Diseño de Un Sistema de Seguridad e Información Con Base a La Norma Iso 27001 Para Implementar en Una Empresa de Servicios Del Sector Publico 9 Nov

8/10/2019 Diseo de Un Sistema de Seguridad e Informacin Con Base a La Norma Iso 27001 Para Implementar en Una Em

1/21

DISEO DE UN SISTEMA DE SEGURIDAD E

INFORMACIN CON BASE A LA NORMA ISO 27001

PARA IMPLEMENTAR EN UNA EMPRESA DE

SERVICIOS DEL SECTOR PUBLICO

PROYECTO DEGRADO

FACULTAD DE INGENIERA INDUSTRIAL Pg. 1 de 2

DISEO DE UN SISTEMA DE SEGURIDAD E INFORMACIN CON BASE A LANORMA ISO 27001 PARA IMPLEMENTAR EN UNA EMPRESA DE SERVICIOSDEL SECTOR PUBLICO EN EL AREA METROPOLITANA DE BUCARAMANGA

Presentado por:CARMEN EMILCE RODRIGUEZ JAIMES

OSCAR IVAN HERNANDEZ DIAZ

Aspirantes a Ingenieros Industriales

Trabajo supervisado por:KAROL MILENA GARCIA PRADA

Docente

Universitaria de investigacin y desarrolloFacultad de Ingeniera Industrial

Proyecto de grado III-2014


2/21





PROYECTO DEGRADO


TABLA DE CONTENIDO


3/21





PROYECTO DEGRADO


1. PLANTEAMIENTO DEL PROBLEMA

Las empresas pblicas del rea metropolitana de Bucaramanga tienen comoobjetivo principal la regulacin y prestacin de servicios a la comunidad, ya seapara autorizar servicios pblicos, como tambin otorgar y controlar los beneficiosque el gobierno brinda para la poblacin santandereana. Para llevar a cabo cadauno de estos procesos, cada una de las empresas tiene sus procedimientos y

polticas, que los rigen para cumplir con sus objetivos misionales.Pero adems de cumplir con dichos objetivos planeados y seguir todos losprotocolos se debe tener control total de la informacin que se maneje de losclientes, ya que en la actualidad es uno de los activos ms valiosos que tienecualquier empresa y es muy importante el salvaguardarla de todo acto accidental omalintencionado que la ponga en riesgo.

Para llevar a cabo dicha proteccin de la informacin es importante conocer queinformacin es vital para la empresa, lo que lleva a plantearse las siguientespreguntas:

Qu informacin es indispensable y su perdida, divulgacin o destruccin puedaproducir daos importantes a la empresa?

Qu polticas se deben establecer para brindar dicha proteccin y adems quese puedan cumplir y no interfieran con los procesos actuales?

En qu estado est la informacin que hemos considerado vital para la empresa?Y la podemos clasificar como iinformacin en reposo, Informacin en trnsito eInformacin en el punto final (endpoint).

Qu medidas de control se deben tomar en caso de presentarse algunaeventualidad?


4/21





PROYECTO DEGRADO


2. JUSTIFICACIN:

La actualidad el medio empresarial exige que las organizaciones afronten retos demanera permanente, para poder mantenerse vigentes en mercados cada vez mscompetidos, saturados de ofertantes de servicios de alta calidad y esquemas deatencin cada vez ms agiles. Todas estas condiciones obligan a que losprocesos internos tambin se optimicen, aportando de manera significativa a sucompetitividad en la disminucin de sus costos operacionales.

Los nuevos retos organizacionales no estn enmarcados solo en temas deproductividad, eficiencia, satisfaccin al cliente, parten de ellos, pero ya no selimita a seguir las tendencias tradicionales de sistemas enfocados a la realizacino prestacin de un bien y/o servicio.

El avance vertiginoso que se est desarrollando a nivel tecnolgico para facilitartareas, reducir cargas, agilizar el proceso de intercambio, tambin ha permitidoabrir brechas y exponer a las organizaciones y consumidores a ataques, perdidas,alteraciones y dems. Ya no basta la calidad del servicio (satisfaccin), el valorque este representa, el servicio post venta, etc. El consumidor y la mismacompetencia, ha llevado a que las empresas u organizaciones implementen

medios para salvaguardar un aspecto que es fundamental para mantener laintegridad de los negocios, la informacin del cliente externo, se exige cada vezms seguridad en a los ambiente tan virtuales. La custodia de la informacin yano es un valor agregado, es un aspecto intrnseco en toda actividad con o sinnimo de lucro.

Con el presente proyecto se pretende disear un sistema de seguridad einformacin con base a la norma ISO 27001 para implementar en una empresa deservicios del sector pblico, que permita establecer los mtodos para el anlisisde riesgos, procesos que para la adopcin de polticas en pro de asegurarcontroles de seguridad para la proteccin de la informacin del cliente externo.


5/21





PROYECTO DEGRADO


3. OBJETIVOS

1. OBJETIVO GENERAL

Disear una metodologa para la implementacin del sistema de gestin deseguridad de la informacin para empresas del sector pblico basado en lanorma ISO 27001.

2. OBJETIVOS ESPECIFICOS

Disear el sistema de gestin de seguridad de la informacin bajo la normaNTC ISO 27001:2013 para empresas del sector pblico.

Proponer planes de capacitacin sobre la importancia de la confidencialidad yseguridad de la informacin que se maneja en cada rea de trabajo paraasegurar la eficacia del sistema implementado.

Disear gua prctica de implementacin para empresas del sector pblicodonde se expliquen los lineamientos de las normas que enmarcan la seguridadde la informacin y as contextualizar requisitos requeridos del sector.

establecer las polticas requeridas por las empresas del sector pblico para garantizar la seguridad,

confidencialidad disponibilidad de informacin.

disear una metodologa para la implementacin y mantenimiento de la norma NTC/ISO 27001:2013

en donde se involucren las fases del PHVA

Disear planes de capacitacin sobre la importancia de la confidencialidad, disponibilidad y

seguridad de la informacin que se maneja en cada rea de trabajo para asegurar la eficacia del

sistema implementado.

disear gua prctica de implementacin para empresas del sector pblico donde se expliquen los

lineamientos de las normas que enmarcan la seguridad de la informacin y as contextualizar

requisitos requeridos del sector.


6/21





PROYECTO DEGRADO


4. MARCO REFERENCIAL

La capacidad humana ha trascendido lo tangible y se ha sumergido cada vez msen un mundo ms prctico, gil, simultaneo, un mundo que permite tener el controle informacin sobre la palma de la mano, un mundo virtual.

Es cotidiano ver como muchas de las actividades que tardaban o demandabanbastante esfuerzo, hoy estn al alcance de un click, llamadas, fax, correocertificado, entre otras. Parte del da se invierte en el aprovechamiento de laflexibilidad y versatilidad de herramientas que el avance tecnolgico y social hanpuesto disposicin de todos para agilizar las tareas de bsqueda, compras,pagos, reservaciones, trabajos, entre otros.

Pero no se es ajeno a los problemas que implican vivir de la virtualidad, cada dason ms los casos de robos electrnicos, transferencias bancarias no autorizadaspor el cliente, sustraccin de informacin, etc.

1Frente al mayor acceso de los ciudadanos colombianos a las nuevas tecnologasde la informacin y la expansin del dominio ciberntico, las autoridadesobservaron un incremento paralelo y sistemtico de la transicin de las

actividades delictivas del mundo fsico al mundo virtual. En Colombia, estefenmeno fue sumamente evidente en el mbito del fraude electrnico, que afectaa usuarios y entidades del sistema bancario colombiano. Cada vez ms, losincidentes que se reportan involucran el uso de keyloggers (registradores deteclas), spyware y otros programas maliciosos semejantes. La misma dinmica sevio reflejada en el campo del suplantacin de identidad, donde los autores delhecho se vuelcan a delitos cada vez ms sofisticados, como ransomware(secuestro informtico) y el uso del programa malicioso Cryptolocker para atacar ala comunidad de pequeas y medianas empresas (PyME), as como a empresasms grandes.

Los datos recopilados por la Polica Nacional revelan estadsticas interesantes enrelacin al crecimiento del uso de las TIC y el aumento consiguiente de incidentesy delitos cibernticos. Se informaron las siguientes cifras para 2013: 448.983seguidores en Twitter; 256,987 visitantes al sitio web www.ccp.gov.com; 16,789

1Tendencias de seguridad ciberntica en Amrica latina y el Caribe, Organizacin de los Estados Americanos

(OEA), Symantec, pag 46-48, junio del 2014


7/21





PROYECTO DEGRADO


pginas web bloqueadas por pornografa infantil; 2652 nuevas alertas deamenazas cibernticas; 422 personas detenidas por delitos cibernticos y un totalde 4,290 reclamos recibidos por la Polica Nacional en relacin con incidentesasociados a las TIC (lo cual representa un aumento de 1,194 quejas respecto delao anterior). En 2013, el 2CCP respondi a 1,647 ataques o incidentescibernticos, de los cuales 62% involucr a ciudadanos particulares y 21%, aentidades del sector bancario. El resto de los incidentes involucr a unacombinacin casi igual de entidades pertenecientes a los sectores de gobierno,fuerzas de seguridad, comunicaciones, energa, salud y educacin.

Las autoridades colombianas identificaron tres tendencias especficas del delitociberntico. La primera es el mayor uso de cdigos maliciosos, phishing(suplantacin de identidad) y el robo de informacin que afectan a usuarios einstituciones que operan en el creciente sector de la banca virtual. Las autoridadesafirman que esta situacin fue perpetuada por una dbil cultura de la seguridad yuna correspondiente falta de concientizacin de los usuarios en materia deseguridad por parte de las empresas. La segunda tendencia genera incidentes queafectan la seguridad ciberntica, entre ellos, el acceso no autorizado a lainformacin o la fuga de esta, la interceptacin de datos, el acceso abusivo a lossistemas, la denegacin de servicio (DoS) y vandalismo de sitios web. La tercera

tendencia observada se refiere al mayor uso de Internet, las redes sociales, elcorreo electrnico y la Internet profunda por delincuentes comunes y el crimenorganizado. Esto comprende el cobro masivo ilegal de dinero (por ejemplo,pirmides cibernticas), el uso de divisas virtuales como mecanismo para lavardinero y negocios ilcitos que involucran el trfico de armas, las drogas, lapornografa infantil, etctera.

2Centro Ciberntico Policial,http://www.ccp.gov.co/
http://www.ccp.gov.co/http://www.ccp.gov.co/http://www.ccp.gov.co/http://www.ccp.gov.co/


8/21





PROYECTO DEGRADO


5. MARCO TERICO:

Con el presente proyecto se busca disear una metodologa para laimplementacin y mantenimiento del sistema de gestin de seguridad de lainformacin para empresas del sector pblico, tomando como gua principalmentela NORMA TCNICA NTC-ISO/ IEC 27001:2013 TECNOLOGA DE LAINFORMACIN; TCNICAS DE SEGURIDAD; SISTEMAS DE GESTIN DE LASEGURIDAD DE LA INFORMACIN; REQUISITOS.3Esta norma ha sidoelaborada para suministrar requisitos para el establecimiento, implementacin,mantenimiento y mejora continua de un sistema de gestin de la seguridad de lainformacin (SGSI). La adopcin de un SGSI es una decisin estratgica parauna organizacin. El establecimiento e implementacin del SGSI de unaorganizacin estn influenciados por las necesidades y objetivos de laorganizacin, los requisitos de seguridad, los procesos organizacionalesempleados y el tamao y estructura de la organizacin. Se espera que estosaspectos y sus sistemas de apoyo cambien con el tiempo. Se espera que laimplementacin de un SGSI se ajuste de acuerdo con las necesidades de laorganizacin, se espera que tos estos factores de influencia cambien con eltiempo. El sistema de gestin de la seguridad de la informacin preserva laconfidencialidad, la integridad, la integridad de y la disponibilidad de la

informacin, mediante la aplicacin de un proceso de gestin del riesgo, y brindaconfianza a las partes interesadas acerca de que los riesgos son gestionadosadecuadamente.

Partiendo de ello, se tendr en cuenta:

4Ciclo PHVA:

El ciclo PHVA es una herramienta de la mejora continua, presentada por Deming apartir del ao 1950, la cual se basa en un ciclo de 4 pasos: Planificar (Plan), Hacer

3NORMA TCNICA COLOMBIANA NTC-ISO/ IEC 27001:2013 TECNOLOGA DE

LA INFORMACIN; TCNICAS DE SEGURIDAD; SISTEMAS DE GESTIN DELA SEGURIDAD DE LA INFORMACIN; REQUISITOS. Generalidades , pag i.

4GESTION EMPRESARIAL, 2011, Ciclo PHVA y matriz DOFA,http://gestionempresarial4.wordpress.com/174-

2/[Consulta: Viernes 31 ,octubre de 2014]
http://gestionempresarial4.wordpress.com/174-2/http://gestionempresarial4.wordpress.com/174-2/http://gestionempresarial4.wordpress.com/174-2/http://gestionempresarial4.wordpress.com/174-2/http://gestionempresarial4.wordpress.com/174-2/http://gestionempresarial4.wordpress.com/174-2/


9/21





PROYECTO DEGRADO


(Do), Verificar (Check) y Actuar (Do). Es comn usar esta metodologa en laimplementacin de un sistema de gestin de la calidad, de tal manera que alaplicarla en la poltica y objetivos de calidad as como la red de procesos laprobabilidad de xito sea mayor.Los resultados de la implementacin de este ciclo permiten a las empresas unamejora integral de la competitividad, de los productos y servicios, mejorandocontinuamente la calidad, reduciendo los costes, optimizando la productividad,reduciendo los precios, incrementando la participacin del mercado y aumentandola rentabilidad de la empresa.


10/21





PROYECTO DEGRADO

FACULTAD DE INGENIERA INDUSTRIAL Pg. 10 de21

5.1 MARCO CONCEPTUAL

Para los propsitos de este proyecto, se aplican los siguientes trminos ydefiniciones:

Aceptacin del riesgo: decisin de asumir un riesgo.[Gua ISO/IEC 73:2002].

Activo: cualquier cosa que tiene valor para la organizacin.[NTC 5411-1:2006].

Anlisis de riesgo: uso sistemtico de la informacin para identificar las fuentesy estimar el riesgo.[Gua ISO/IEC 73:2002].

Confidencialidad: propiedad que determina que la informacin no estdisponible ni sea revelada a individuos, entidades o procesos noautorizados.[NTC 5411-1:2006]

Declaracin de aplicabilidad: documento que describe los objetivos de control ylos controles pertinentes y aplicables para el SGSI de la organizacin.

Disponibilidad: propiedad de que la informacin sea accesible y utilizable porsolicitud de una entidad autorizada. [NTC 5411-1:2006]

Evaluacin del riesgo: proceso de comparar el riesgo estimado contra criteriosde riesgo dados, para determinar la importancia del riesgo.[Gua ISO/IEC73:2002]

Evento de seguridad de la informacin: presencia identificada de una condicinde un sistema, servicio o red, que indica una posible violacin de la poltica deseguridad de la informacin o la falla de las salvaguardas, o una situacin

desconocida previamente que puede ser pertinente a la seguridad.[ISO/IEC TR18044:2004]

Gestin del riesgo: actividades coordinadas para dirigir y controlar unaorganizacin en relacin con el riesgo.[gua ISO/IEC 73:2002]


11/21





PROYECTO DEGRADO


Incidente de seguridad de la informacin: un evento o serie de eventos deseguridad de la informacin no deseados o inesperados, que tienen unaprobabilidad significativa de comprometer las operaciones del negocio yamenazar la seguridad de la informacin.[ISO/IEC TR 18044:2004]

Integridad: propiedad de salvaguardar la exactitud y estado completo de losactivos. [NTC 5411-1:2006]

Riesgo residual: nivel restante de riesgo despus del tratamiento del riesgo.[Gua ISO/IEC 73:2002]

Seguridad de la informacin: preservacin de la confidencialidad, la integridady la disponibilidad de la informacin; adems, puede involucrar otraspropiedades tales como: autenticidad, trazabilidad (Accountability), no repudioy fiabilidad. [NTC-ISO/IEC 17799:2006]

Sistema de gestin de la seguridad de la informacin: SGSI parte del sistemade gestin global, basada en un enfoque hacia los riesgos globales de unnegocio, cuyo fin es establecer, implementar, operar, hacer seguimiento,

revisar, mantener y mejorar la seguridad de la informacin.

Tratamiento del riesgo: proceso de seleccin e implementacin de medidaspara modificar el riesgo. [Gua ISO/IEC 73:2002]

Valoracin del riesgo: proceso global de anlisis y evaluacin del riesgo.[GuaISO/IEC 73:2002]

MARCO LEGAL


12/21





PROYECTO DEGRADO


La constitucin poltica de Colombia en el artculo 15 estipula que todas las

personas tienen derecho a conocer, actualizar y rectificar las informaciones que se

hayan recogido sobre ellas en bases de datos o archivos de entidades pblicas o

privadas5, y los dems derechos, libertades y garantas constitucionales a que serefiere este articulo; as como el derecho a la informacin consagrado en elartculo 20 de la misma.

Por lo anterior el arco legal colombiano exige el tratamiento veraz de lainformacin y lo hace cumplir mediante la ley 1581 de 2012, "POR EL CUAL SEDICTAN DISPOSICIONES GENERALES PARA LA PROTECCIN DE DATOSPERSONALES6"

La presente ley 1581 aplicar al Tratamiento de datos personales efectuado en

territorio colombiano o cuando al Responsable del Tratamiento o Encargado deltratamiento no establecido en territorio nacional le sea aplicable la legislacincolombiana en virtud de normas y tratados internacionales.

Para el estado colombiano es importante la proteccin de la informacin quereposa en las diferentes bases de datos tanto de empresas pblicas comoprivadas, teniendo en cuenta que cada da se encuentra expuestas a diferentesriesgos. Es por esto que se crea la ley estatutaria 1581 de 2012, donde establece

principios y parmetros para el tratamiento de la informacin; tambin estnconsignados los derechos y las obligaciones que tanto el titular de la informaciny el tratante tienen para llevar a cabo un proceso adecuado para el manejo de los

5Colombia. congreso de la repblica. articulo 15 (constitucin poltica de Colombia, 1991)

6Colombia. congreso de la repblica. ley 1581(17, octubre, 2012). por el cual se dictan disposiciones

generales para la proteccin de datos personales.


13/21





PROYECTO DEGRADO


datos. Es por eso que el sistema de gestin de la seguridad de la informacinabarca las exigencias legales expuestas en dicha ley.

DISEO METODOLGICO

La metodologa a utilizar para el desarrollo de este proyecto est basado en elcrculo Deming o tambin conocido como PHVA.

Planificar: definir los objetivos y los medios para conseguirlos.

Hacer: implementar la visin preestablecida.

Verificar: comprobar que se alcanzan los objetivos previstos con los recursosasignados.

Actuar: analizar y corregir las desviaciones detectadas as como proponer mejorasa los procesos utilizados.

Este mtodo nos permite estructurar de manera adecuada y organizada losprocesos e intervenir, para esto la organizacin debe determinar los riesgos yoportunidades del sistema de gestin de la informacin, se deben prepararacciones de mejora para tratar dichos riesgos y oportunidades y evaluar la eficaciade las acciones y por ltimo Se debe hacer una valoracin de riesgos de laseguridad de la informacin, determinar los niveles, la incidencia y consecuencias.

Por lo anterior, en los siguientes tems vamos a utilizar los siguientes numeralesde la norma NTC/ISO27001:2013

PLANEAR

4.1. Conocimiento de la organizacin y de su contexto

4.3. Determinacin del alcance del sistema de gestin de la seguridad de lainformacin


14/21





PROYECTO DEGRADO


6.1. Acciones para tratar los riesgos y oportunidades

6.1.2. Valoracin del riesgo de la seguridad de la informacin

6.1.3 tratamiento de riesgos de la seguridad de la informacin

HACER

5.1 poltica

6.2 objetivos de la seguridad de la informacin y planes para lograrlos

7.3 toma de conciencia

7.4 comunicacin

7.5 informacin documentada

8.1 planificacin y control operacional

VERIFICACIN

8.2. Valoracin de riesgos de la seguridad de la informacin

8.3. Tratamiento de riesgos de la seguridad de la informacin

9.1 seguimiento, medicin, anlisis y evaluacin

9.2 auditoria interna

9.3 revisin por la direccin

ACTUAR

10.1 no conformidades y acciones correctivas

10.2 mejora continua


15/21





PROYECTO DEGRADO


Flujo grama

7

7 27001 ACADEMY (www.iso27001standard.com)


16/21





PROYECTO DEGRADO


RECURSOS DISPONIBLES

RECURSOS DISPONIBLES PARA EL DISEO DELPROYECTO

RECURSOS INSTITUCIONALESAsesoria de la Ingeniera KAROL MILENA GARCIA

PRADA

RECURSOS FINANCIEROS CANTIDAD VALOR TOTAL1. PERSONAL

Ingenieros / Autores/ 2 3,804,200.00 7,608,400.00tutora 1 300,000.00 300,000.00

2. TRANSPORTETransporte para Autores 2 500,000 1,000,000

3. MATERIALES

Norma Tecnica Colombiana NTC-ISO-IEC

27001:2013 1 47,000 47,000Impresiones NA 80,000 50,000Fotocopias NA 40,000 20,000Empastes NA 40,000 20,000Imprevistos NA 100,000 100,000

4. EQUIPOS 0Computador,impresora, etc. (uso) 2 1,500,000 3,000,000Internet NA 100,000 100,000Plan de celulales 2 64,000 128,000

5. OTROS 0

Refrigerio NA 100,000 100,000

COSTOS TOTALES 12,473,400

NOTA: NA (no aplica )


17/21





PROYECTO DEGRADO


CRONOGRAMA

CRONOGRAMA ACTIVIDADES

ACTIVIDADES SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE ENERO FEBRERO MARZO ABRIL

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4FORMULACIONDELPROBLEMA

X

DEFINICION DE

TITULO,OBJETIVOS YLIMITACIONES

X

JUSTIFICACIONDELPROBLEMA

X X

DEFINIRYESTABLECERMARCOTEORICO

X X X X X X


18/21





PROYECTO DEGRADO


DEFINIRDISEOMETODOLOGICO DELPROYECTO

X X

ENTREGA DELDOCUMENTOPROYECTO DEGRADOI

X


19/21





PROYECTO DEGRADO


DISEAR ELSISTEM

A DEGESTION DE LAINFORM

ACIONPARAEMPRESASDELSECTORPUBLICO DEBUCAR

AMANG

ABASADO EN LANORMANTCISO27001:2013

X X X X X


20/21





PROYECTO DEGRADO


DISEARPLANESDECAPACITACINSOBRE

LAIMPORTANCIADE LACONFIDENCIALIDAD YSEGURIDAD DELAINFORM

ACIN

X X X

DISE AR GUAPRCTICA DEIMPLEMENTACINPARAEMPRE

SASDELSECTORPBLICO

X X X X X


21/21





PROYECTO DEGRADO


DOCUMENTACION

X X X X X X X X X X X X X X X X X X X X X

Documents

Diseño de Un Sistema de Seguridad e Información Con Base a La Norma Iso 27001 Para Implementar en Una Empresa de Servicios Del Sector Publico 9 Nov