Post on 16-Aug-2020
1
2
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI) APLICADA A CORREDORES DE SEGUROS BAJO EL
MARCO DE REFERENCIA DE LA NORMA ISO/IEC 27001:2013
EDICSON LEONARDO GÓMEZ PACHÓN
ALEX MAURICIO LATORRE AGUILAR
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ D.C
AGOSTO DE 2018
3
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI) APLICADA A CORREDORES DE SEGUROS BAJO EL
MARCO DE REFERENCIA DE LA NORMA ISO/IEC 27001:2013
EDICSON LEONARDO GÓMEZ PACHÓN
ALEX MAURICIO LATORRE AGUILAR
PROYECTO PRESENTADO COMO REQUISITO PARA OPTAR AL TÍTULO DE
INGENIERÍA EN TELEMÁTICA
MIGUEL ÁNGEL LEGUIZAMÓN PÁEZ
INGENIERO EN SISTEMAS
TUTOR
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ D.C
AGOSTO DE 2018
4
Nota de aceptación
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
____________________________________________________
Tutor
____________________________________________________
Jurado
___________________________________________
Bogotá, 07 de agosto de 2018
5
CONTENIDO
ILUSTRACIONES ............................................................................................. 12
LISTADO DE TABLAS ...................................................................................... 14
RESUMEN ........................................................................................................ 18
ABSTRACT ....................................................................................................... 19
GLOSARIO ....................................................................................................... 20
INTRODUCCIÓN .............................................................................................. 22
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ..................... 24
1.1 Título ........................................................................................................... 24
1.2 Tema ........................................................................................................... 24
1.3 Planteamiento del problema ....................................................................... 24
1.3.1 Formulación del problema ........................................................................ 26
1.4 Justificación ................................................................................................ 26
1.5 Objetivos ..................................................................................................... 27
1.5.1 Objetivo general ....................................................................................... 27
1.5.2 Objetivos específicos ............................................................................... 27
1.6 Solución tecnológica ................................................................................... 28
1.7 Alcance ....................................................................................................... 29
1.8 Limitaciones ................................................................................................ 29
1.8.1 Temporal .................................................................................................. 29
1.8.2 Geográfica ............................................................................................... 29
1.8.3 Conceptual ............................................................................................... 30
6
1.8.4 Operativa ................................................................................................. 30
1.9 Marcos de referencia .................................................................................. 30
1.9.1 Marco histórico ......................................................................................... 30
1.9.2 Estado del arte ......................................................................................... 31
1.9.3 Marco conceptual ..................................................................................... 38
1.9.3.1 ¿Para qué sirve un SGSI? .................................................................... 38
1.9.3.2 ¿QUÉ INCLUYE UN SGSI? .................................................................. 40
1.9.3.2.1 Documentos de nivel 1 ....................................................................... 41
1.9.3.2.2 Documentos de nivel 2 ....................................................................... 41
1.9.3.2.3 Documentos de nivel 3 ....................................................................... 41
1.9.3.2.4 Documentos de nivel 4 ....................................................................... 41
1.9.4 Marco teórico ........................................................................................... 43
1.9.4.1 Norma ISO 27001 – 2013 ..................................................................... 44
1.9.4.2 Norma ISO 31000 – 2011 ..................................................................... 45
1.9.4.3 Sistema de gestión de seguridad de la información (SGSI) .................. 46
1.9.4.3.1 Utilización SGSI ................................................................................. 48
1.9.4.3.2 Beneficios de un SGSI ....................................................................... 49
1.10 Factibilidad ................................................................................................ 50
1.10.1 Técnica. ................................................................................................. 50
1.10.2 Legal. ..................................................................................................... 50
1.10.3 Económica. ............................................................................................ 50
1.10.3.1 Talento humano. ................................................................................. 51
1.10.3.2 Recurso de hardware .......................................................................... 51
7
1.10.3.3 Otros recursos .................................................................................... 52
1.10.3.4 Consolidado ........................................................................................ 52
1.11 Cronograma de actividades. ..................................................................... 53
2. ESTADO ACTUAL SINERGIA PROFESIONALES EN SEGUROS .............. 54
2.1 Descripción. ................................................................................................ 54
2.2 Reconocimiento de la organización. ........................................................... 54
2.2.1 Estructura organizacional......................................................................... 57
2.2.3 Red de datos. ........................................................................................... 59
2.2.4 Equipos .................................................................................................... 60
2.2.5 Dispositivos .............................................................................................. 61
2.2.6 Aplicaciones. ............................................................................................ 61
2.3 Análisis de seguridad existente ................................................................... 62
2.3 Propuesta de red para pequeñas y medias empresas ................................ 63
2.3.1 Base de datos. ......................................................................................... 63
2.3.2 Aplicaciones. ............................................................................................ 65
2.3.3 Correo ...................................................................................................... 66
2.3.4 Infraestructura (Servidores, Storage) ....................................................... 70
2.3.5 Redes y comunicaciones (Switches, routers, canales). ........................... 71
2.3.6 Topología física ........................................................................................ 71
2.3.7 Cableado horizontal. ................................................................................ 72
2.3.8 Infraestructura Física (Ups, Electricidad, Aire acondicionado). ................ 72
2.3.9 Seguridad informática. ............................................................................. 73
2.3.10 Seguridad física. .................................................................................... 74
8
2.3.10.1 Control de acceso ............................................................................... 75
2.3.11 Seguridad lógica .................................................................................... 76
2.4 ESTADO ACTUAL – COMPARACIÓN NORMA ISO/IEC 27001 ................ 77
2.4.1 A5 Políticas de seguridad de la información ............................................ 80
2.4.2 A6 Organización de la seguridad de la información ................................. 80
2.4.3 A7 Seguridad de los recursos humanos. ................................................. 81
2.4.4 A8 Gestión de activos. ............................................................................. 82
2.4.5 A9 Control de acceso. .............................................................................. 83
2.4.6 A10 Criptografía. ...................................................................................... 84
2.4.7 A11 Seguridad física y ambiental. ............................................................ 85
2.4.8 A12 Seguridad de las operaciones. ......................................................... 86
2.4.9 A13 Seguridad de las comunicaciones. ................................................... 87
2.4.10 A14 Adquisición, desarrollo y mantenimiento de sistemas. ................... 88
2.4.11 A15 Relaciones con los proveedores ..................................................... 89
2.4.12 A16 Gestión de los incidentes de seguridad. ......................................... 90
2.4.13 A17 Gestión de la continuidad del negocio ............................................ 91
2.4.14 A18 Cumplimiento con requerimientos legales y contractuales. ............ 92
2.5 Alcances y limitaciones. .............................................................................. 95
2.5.1 Alcance del SGSI ..................................................................................... 95
2.5.2 Limitaciones del SGSI .............................................................................. 95
2.6 Definición de la política de seguridad ......................................................... 96
2.7 Aplicabilidad ................................................................................................ 97
2.8 Nivel de cumplimiento ................................................................................. 97
9
3. GESTIÓN DE RIESGOS.............................................................................. 98
3.1 Metodología. ............................................................................................... 98
3.2 Ventajas de la implementación de la gestión de riesgos .......................... 100
3.3 Análisis de riesgos .................................................................................... 101
3.3.1 criterios de evaluación. .......................................................................... 102
3.4 Desarrollo de requerimientos. ................................................................... 103
3.5 Identificación de riesgo ............................................................................. 104
3.6 Objetivos de control para la gestión de riesgos ........................................ 104
3.6.1 Objetivo de control A.5 Política de seguridad de la Información ............ 104
3.6.1.1 Identificación de riesgos Objetivo de control A.5.1 Política de seguridad de
la Información ................................................................................................. 105
3.6.2 Objetivo de control A.6 sobre Organización de la seguridad de la Información
........................................................................................................................ 105
3.6.2.1 Identificación de riesgos Objetivo de control A.6.2 Dispositivos Móviles y
teletrabajo ....................................................................................................... 106
3.6.3 Objetivo de control A.8 sobre Organización de la seguridad de la Información
........................................................................................................................ 107
3.6.3.1 Identificación de riesgos Objetivo de control A.8.2 Clasificación de la
Información ..................................................................................................... 107
3.6.3.2 Identificación de riesgos Objetivo de control A.8.3 Clasificación de la
Información ..................................................................................................... 108
3.6.4 Objetivo de control A.9 sobre Control de Acceso ................................... 108
3.6.4.1 Identificación de riesgos Objetivo de control A.9.1 Clasificación de la
Información, Requisitos para el control de acceso en una organización de
corredores de seguros. ................................................................................... 109
10
3.6.4.2 Identificación de riesgos Objetivo de control A.9.2 Gestión de usuarios en
una organización de corredores de seguros ................................................... 110
3.6.4.3 Identificación de riesgos Objetivo de control A.9.3 Responsabilidades de los
usuarios. ......................................................................................................... 111
3.6.4.4 Identificación de riesgos Objetivo de control A.9.4 Control de acceso a
sistemas y aplicaciones. ................................................................................. 112
3.6.5 Objetivo de control A.10 sobre Criptografía ........................................... 112
3.6.5.1 Identificación de riesgos Objetivo de control A.10.1 Controles criptográficos.
........................................................................................................................ 113
3.6.6 Objetivo de control A.12 sobre Seguridad de las Operaciones .............. 113
3.6.6.1 Identificación de riesgos Objetivo de control A.12.2 Protección contra
códigos maliciosos .......................................................................................... 114
3.6.6.2 Identificación de riesgos Objetivo de control A.12.3 Protección contra
códigos maliciosos. ......................................................................................... 114
3.7 Análisis de riesgo identificado ................................................................... 115
3.7.1 Evaluación del Riesgo ........................................................................... 115
3.7.2 Evaluación de Riesgos identificados ...................................................... 116
3.7.2.1 Análisis de riesgos proceso A.5.1 ....................................................... 117
3.7.2.2 Análisis de riesgos proceso A.6.2 ....................................................... 118
3.7.2.3 Análisis de riesgos proceso A.8.2 ....................................................... 119
3.7.2.4 Análisis de riesgos proceso A.8.3 ....................................................... 120
3.7.2.5 Análisis de riesgos proceso A.9.1 ....................................................... 121
3.7.2.6 Análisis de riesgos proceso A.9.2 ....................................................... 122
3.7.2.7 Análisis de riesgos proceso A.9.3 ....................................................... 123
11
3.7.2.8 Análisis de riesgos proceso A.9.4 ....................................................... 124
3.7.2.9 Análisis de riesgos proceso A.10.1 ..................................................... 125
3.7.2.10 Análisis de riesgos proceso A.12.2 ................................................... 126
3.7.2.11 Análisis de riesgos proceso A.12.3 ................................................... 127
3.8 Mapa de Riesgos ...................................................................................... 127
3.8.1 Análisis de riesgos proceso A.5.1 .......................................................... 128
4 POLÍTICAS DE SEGURIDAD ...................................................................... 129
4.1 Políticas de seguridad de la información .................................................. 129
5. MONITOREO Y REVISIÓN ........................................................................ 130
5.1 Técnicas para obtener evidencias del proceso de gestión de riesgos ...... 131
6. CONCLUSIONES ..................................................................................... 132
7. RECOMENDACIONES ............................................................................ 134
8. BIBLIOGRAFÍA ........................................................................................ 137
ANEXOS ......................................................................................................... 141
Anexo A Estado actual de la compañía .......................................................... 141
Anexo B Entrevista ......................................................................................... 141
Anexo C Gestión de riesgos ........................................................................... 141
Anexo D Políticas de seguridad ...................................................................... 142
12
ILUSTRACIONES
Ilustración 1 - funcionamiento SGSI ....................................................................... 39
Ilustración 2 - Componentes de un SGSI ............................................................... 40
Ilustración 3 - Estructura organizacional ................................................................ 57
Ilustración 4 - Clúster activo – activo ..................................................................... 59
Ilustración 5 - Clúster activo – activo ..................................................................... 64
Ilustración 6 - Disponibilidad y balanceo ................................................................ 65
Ilustración 7 - Correo Gmail ................................................................................... 68
Ilustración 8 - Red de servidores ........................................................................... 70
Ilustración 9 - Topología física ............................................................................... 71
Ilustración 10 - Controles de acceso ...................................................................... 76
Ilustración 11 - Resultados encuesta Estado de la organización ........................... 78
Ilustración 12 - A5 Política de seguridad ................................................................ 80
Ilustración 13 - A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN .... 81
Ilustración 14 - A7 Seguridad de los recursos humanos ........................................ 82
Ilustración 15 - A8 Gestión de activos .................................................................... 83
Ilustración 16 - A9 Control de acceso. ................................................................... 84
13
Ilustración 17 – A10 Criptografía. .......................................................................... 85
Ilustración 18 – A11 Seguridad física y ambiental. ................................................ 86
Ilustración 19 – A12 Seguridad en las operaciones. .............................................. 87
Ilustración 20 – A13 Seguridad en las comunicaciones. ........................................ 88
Ilustración 21 – A14 Adquisición, desarrollo y mantenimiento de sistemas. .......... 89
Ilustración 22 – A15 Relación con proveedores. .................................................... 90
Ilustración 23 – A16 Gestión de los incidentes de seguridad. ................................ 91
Ilustración 24 – A17 Continuidad del negocio. ....................................................... 92
Ilustración 25 – A18 Cumplimiento con requerimientos legales y contractuales. ... 93
Ilustración 26 - Relaciones entre los principios, en el marco de referencia y los
procesos de la gestión del riesgo. .......................................................................... 99
Ilustración 27 - Ciclo administración del riesgo .................................................... 102
Ilustración 28 - Matriz de calificación, evaluación y respuesta a los riesgos ........ 116
14
LISTADO DE TABLAS
Tabla 1 - Talento humano ...................................................................................... 51
Tabla 2 - Recurso de hardware .............................................................................. 51
Tabla 3 - Otros recursos ........................................................................................ 52
Tabla 4 - Consolidado ............................................................................................ 52
Tabla 5 - Servicios de seguros personales prestados por Sinergia ....................... 55
Tabla 6 - Servicios de seguros empresariales prestados por Sinergia .................. 56
Tabla 7 - Muestra del personal y clientes de la organización ................................ 58
Tabla 8 – Equipos Existentes................................................................................. 60
Tabla 9 – Distribución de Equipos ......................................................................... 60
Tabla 10 - Lista de dispositivos .............................................................................. 61
Tabla 11 – Aplicaciones ......................................................................................... 61
Tabla 12 - Items de respuesta encuesta: estado actual de la organización. .......... 78
Tabla 13 - Resultados Estado actual comparado con la ISO 27001-2013 ............. 79
Tabla 14 - Objetivos de control A.5 ...................................................................... 104
Tabla 15 - Identificación de riesgos para el objetivo de control A.5 ..................... 105
Tabla 16 - Objetivos de control A.6 ...................................................................... 105
Tabla 17 - Identificación de riesgos para el objetivo de control A.6 ..................... 106
Tabla 18 - Objetivos de control A.8 ...................................................................... 107
Tabla 19 - Identificación de riesgos para el objetivo de control A.8.2 .................. 107
Tabla 20 - Identificación de riesgos para el objetivo de control A.8.3 .................. 108
15
Tabla 21 - Objetivos de control A.9 ...................................................................... 108
Tabla 22 - Identificación de riesgos para el objetivo de control A.9.1 .................. 109
Tabla 23 - Identificación de riesgos para el objetivo de control A.9.2 .................. 110
Tabla 24 - Identificación de riesgos para el objetivo de control A.9.3 .................. 111
Tabla 25 - Identificación de riesgos para el objetivo de control A.9.4 .................. 112
Tabla 26 - Objetivos de control A.10 .................................................................... 112
Tabla 27 - Identificación de riesgos para el objetivo de control A.10.1 ................ 113
Tabla 28 - Objetivos de control A.12 ................................................................... 113
Tabla 29 - Identificación de riesgos para el objetivo de control A.12.2 ................ 114
Tabla 30 - Identificación de riesgos para el objetivo de control A.12.2 ................ 114
Tabla 31 - Análisis de riesgos proceso A.5.1 ....................................................... 117
Tabla 32 - Análisis de riesgos proceso A.6.2 ....................................................... 118
Tabla 33 - Análisis de riesgos proceso A.8.2 ....................................................... 119
Tabla 34 - Análisis de riesgos proceso A.8.3 ....................................................... 120
Tabla 35 - Análisis de riesgos proceso A.9.1 ....................................................... 121
Tabla 36 - Análisis de riesgos proceso A.9.2 ....................................................... 122
Tabla 37 - Análisis de riesgos proceso A.9.3 ....................................................... 123
Tabla 38 - Análisis de riesgos proceso A.9.4 ....................................................... 124
Tabla 39 - Análisis de riesgos proceso A.10.1. .................................................... 125
Tabla 40 - Análisis de riesgos proceso A.12.2 ..................................................... 126
Tabla 41 - Análisis de riesgos proceso A.12.3 ..................................................... 127
Tabla 42 - Análisis de riesgos proceso A.5.1 ....................................................... 128
16
LISTADO DE ANEXOS CD-ROM
1. Anexo A. Estado actual de la compañía.
2. Anexo B. Audios Entrevista.
3. Anexo C. Gestión de Riesgos.
3.1. Identificación de riesgos.
3.2. Análisis de riesgos.
3.3. Mapa de riesgos.
4. Anexo D. Políticas de seguridad.
17
AGRADECIMIENTOS.
Expresamos nuestro sincero agradecimiento a Dios, por brindarnos Salud y
permitirnos llegar hasta este momento tan importante. Agradecemos
profundamente a nuestros padres, por su apoyo y amor incondicional, y fueron
testigos de nuestra formación profesional.
Agradecemos a la Universidad Francisco José de Caldas por habernos brindado la
oportunidad de estudiar, ser personas con valores y cumplir una meta personal al
culminar una carrera profesional.
Al Ing. Miguel Ángel Leguizamón Páez, por su orientación, supervisión, apoyo y
participación activa en el desarrollo del proyecto y a lo largo de nuestra carrera
profesional. Finalmente, pero no con menos importancia agradecemos a nuestra
familia, compañeros y amigos, puesto que nos brindaron su apoyo y sus consejos
para seguir adelante con nuestra formación profesional y personal.
18
RESUMEN
Documento monográfico que establece una guía para la planificación e
implementación de un sistema de gestión de la seguridad de la información (SGSI)
de las empresas corredoras de seguros y afines, basada en la norma ISO
27001:2013; y gestión de riesgos de la norma ISO 31000.; iniciando con el análisis
de la situación actual bajo la óptica de los procesos críticos de la operación
documental, ejecución del diagnóstico de seguridad de la información, análisis,
identificación y mapeo de los principales riesgos que determina la ISO 31000 dentro
de la gestión de riesgos .
El proyecto se estructura por capítulos; en cada uno de estos se desarrollan los
objetivos planteados de la siguiente manera:
1. Planeación: Se especifica el planteamiento del problema, en el cual se
evidencian las problemáticas en organizaciones corredoras de seguros que no
cuentan con un completo SGSI. Se establecen los objetivos del SGSI a desarrollar,
el marco de referencia a partir del cual se logró medir las dimensiones del proyecto
culminando con el cronograma del proyecto y la factibilidad económica para
implementarlo en cualquier institución educativa.
2. Análisis de la situación actual: Se inicia con la descripción de la situación actual
de la empresa a intervenir (Sinergia Profesionales en Seguros Ltda.); basados en el
análisis y diagnóstico de la red de datos implementado actualmente. Dicho estudio
se ejecuta con el fin de plantear un modelo de seguridad de la información, que sirva
de guía a pequeñas y medianas empresas que requieran un modelo para fortalecer
la disponibilidad, integridad y confiabilidad de la información, así como la
implementación y/o actualización de sus actuales modelos.
3. Planificación: Se desarrolla el análisis de riesgos con base en la descripción
inicial y lo establecido en la norma ISO 27001.; se establece una identificación de
activos y se estructuran los controles para mitigar los riesgos identificados.
4. Políticas de seguridad: define las políticas y prácticas que regulan la forma en
que se protegen los recursos, con el fin de llevar a cabo los objetivos de seguridad
de la información.
19
ABSTRACT
This monograph document, describes the objectives, the scope, the expectation of
the ISMS and the methodology associated with the definition, planning, identification
and design of the information security model applied to brokers, based on ISO
27001: 2013 ; starting with the analysis of the current situation from the point of view
of the critical processes of the documentary operation, execution of the diagnosis of
information security, identification of the main vulnerabilities and threats, applying a
methodology of information security risk management, planning and risk treatment
with a support document that allows building an information security management
system focused on insurance brokers.
The project is structured by chapters, in each of these the objectives stated are
developed as follows:
1. Planning: specifies the approach to the problem in which the disadvantages
presented by insurance brokerage organizations that do not have an implemented
ISMS, the objectives of the ISMS to be developed, the reference framework as of
which was able to measure the dimensions of the project and finally find the project
schedule and the economic feasibility to implement it in any educational institution.
2. Analysis of the current situation: describes the current situation of the company
Sinergia Ltd., in terms of the analysis and diagnosis of the data network. This
company is selected for the study in order to raise a model of information security,
with the main objective is to guide small and medium-sized companies that need this
model to strengthen the availability, integrity and reliability of the information, as well
as the implementation or update of their current models.
3. Planning: the risk analysis is developed according to what was identified in the
organization and what is established in ISO 27001, an identification of assets is
established and controls are established to mitigate the identified risks.
4. Security policies: defines the policies and practices that regulate the way in
which resources are protected, in order to carry out information security objectives.
20
GLOSARIO
ACTIVO DE INFORMACIÓN: Recursos del sistema de información o relacionados
con este, necesarios para que la organización funcione correctamente y alcance los
objetivos propuestos por la dirección.
ALTA DIRECCIÓN: Está conformada por la gerencia y directivos de la organización
AMENAZAS: Eventos que pueden desencadenar incidentes en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
ANÁLISIS DE RIESGOS: Método sistemático de recopilación, evaluación, registro
y difusión de información requerida para formular recomendaciones encaminadas a
la adopción de una medida en respuesta a un determinado peligro.
CONTROL: Medida preventiva o correctiva ante la presencia de diferentes riesgos.
EFECTIVIDAD: Medida del impacto de la gestión tanto en el logro de los resultados
planificados, como en el manejo de los recursos utilizados y disponibles.
EFICACIA: Grado en que se realizan las actividades planificadas y se alcanzan los
resultados planificados.
EFICIENCIA: Relación entre el resultado alcanzado y los recursos estimados.
ESTIMACIÓN DEL RIESGO: Proceso de asignación de valores a la probabilidad de
impacto de un riesgo.
GESTIÓN DEL RIESGO: Actividades coordinadas para dirigir y controlar los
aspectos asociados al riesgo dentro de una organización.
IMPACTO DE UN ACTIVO: Consecuencia sobre éste de la materialización de una
amenaza.
INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: Evento o serie de eventos
de seguridad de la información no deseados o esperados, que pueden comprometer
las operaciones del negocio y amenazar la seguridad de la información.
INFORMACIÓN: Datos relacionados que tienen significado para la organización.
ISMS: Término en ingles de SGSI. Information Security Management System.
ISO: International Standard Organization. En español Organización de Estándares
Internacionales.
21
PROBABILIDAD: Posibilidad de que una amenaza aproveche la vulnerabilidad
para materializar el riesgo.
PROCESO: Actividades relacionadas entre sí o que interactúan para generar valor
y las cuales transforman elementos de entrada en resultados.
RIESGO: Toda posibilidad de ocurrencia de una situación que pueda impedir el
desarrollo normal de las funciones de la empresa dificultando el logro de sus
objetivos.
RIESGO RESIDUAL: Valor de riesgo tras la aplicación de uno o varios controles.
SEGURIDAD INFORMÁTICA: Asegurar que los recursos del sistema de
información de una organización sean seguro y confiables, mediante el
establecimiento de normas, métodos y técnicas.
S.G.S.I: Sistema de Gestión de Seguridad de la Información
VULNERABILIDADES: Debilidades que son aprovechadas por amenazas y
generan un riesgo
PRUEBAS DE FAILOVER: Es un modo de funcionamiento de respaldo en el que
las funciones de un componente de sistema (tal como un procesador, servidor, red
o base de datos, por ejemplo) son asumidos por componentes del sistema
secundario cuando el componente principal no está disponible ya sea debido a una
falla o por el tiempo de inactividad programado.
22
INTRODUCCIÓN
En los últimos años la información se considera uno de los activos más valiosos de
una empresa, los costos derivados a la pérdida de seguridad en el manejo de dicha
información (no son sólo costes económicos directos), afectan directamente la
imagen y fiabilidad de la empresa; por ende, la seguridad de la información forma
parte de los principales objetivos de las empresas e incentiva la necesidad de
reforzar e implementar sistemas de gestión que refuerce dichos aspectos.
La continua evolución, crecimiento y sofisticación de la tecnología, al igual que los
ataques cibernéticos en las organizaciones, ponen en manifiesto la necesidad de
adoptar las medidas y modelos que permitan proteger a la empresa ante las
amenazas a los activos informáticos.
Sinergia Profesionales en Seguros Ltda, ubicada en la ciudad de Bogotá– Colombia,
es una empresa prestadora de servicios de intermediación de seguros para
personas jurídicas y naturales. Como empresa quieren asegurarse de brindar a sus
clientes la satisfacción del cumplimento de todas sus necesidades específicas
dentro de su campo de acción. Actualmente la empresa no cuenta con un modelo
de control eficaz en el campo de la confidencialidad, protección de la integridad de
la información y garantía de disponibilidad de la misma; así como la precisión
durante el tratamiento de la información. Razón por la cual no cuenta con la correcta
protección de los datos de clientes, empleados, socios comerciales y cualquier ente
relacionado.
Basados en la importancia y necesidades primarias mencionadas sobre el manejo
de información, es necesario el desarrollo de un modelo de gestión de seguridad de
la información (SGSI). Esté, específicamente planteado para corredores de bolsa y
afines, busca ayudar a las empresas, compañías u organizaciones a cumplir sus
objetivos y promesas de seguridad en el manejo de la información. La gestión de la
seguridad de la información debe realizarse mediante un proceso sistemático,
documentado y conocido por todos los integrantes de la empresa.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso
de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de
la seguridad de la información es, garantizar que los riesgos de la seguridad de la
información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada, repetible,
23
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías.
Para la protección y seguridad de la información se deben tener en cuenta todas las
medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información, buscando de esta
manera mantener la confidencialidad, la disponibilidad e integridad de la misma.
Las entidades que cuentan con un flujo de información sensible, están en la
obligación de garantizar la debida seguridad, protección y privacidad de la
información financiera y personal de los usuarios que residen en sus bases de
datos; lo que implica que deben contar con los más altos estándares y niveles de
seguridad con el fin de asegurar la correcta recolección, almacenamiento,
tratamiento y uso de esta información.
La seguridad en los datos es una latente constante en las empresas, esto debido a
los diferentes cambios en las leyes y regulaciones como se cita en el siguiente
párrafo del centro criptológico nacional. “La importancia de la gestión de riesgos
operativos y de seguridad se ha incrementado debido a diversos factores, entre los
que se destacan el aumento de los requisitos por parte de leyes y regulaciones, el
crecimiento de los riesgos en seguridad por parte de los empleados y el número
cada vez mayor de brechas en la seguridad de los datos.1”
1Centro Criptológico Nacional, Defensa frente a las ciberamenazas, [En línea] 2007, [Consultado el 16 de junio
de 2017], Disponible en internet (https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-
preocupaciones-en-seguridad-del-sector-bancario.html)
24
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
La información, junto a sus procesos y sistemas de manejo, son activos importantes
de una empresa. La confidencialidad, integridad y disponibilidad de información
sensible pueden ser características fundamentales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial. La correcta
identificación de las vulnerabilidades y amenazas que afectan a la empresa, permite
construir y actualizar mecanismos, estándares y políticas que lleve a la empresa a
reducir los riesgos (calculado, residual, intrínseco). Por esta razón la elaboración e
implementación de políticas ayudan en la preservación de los pilares fundamentales
de un SGIS, así como de los sistemas implicados en su tratamiento, dentro de una
organización.
1.1 Título
Modelo de un sistema de gestión de la seguridad de la información (SGSI) aplicada
a corredores de seguros bajo el marco de referencia de la norma ISO/IEC 27001
1.2 Tema
El tema principal de este proyecto es la elaboración de un SGSI (Sistema de Gestión
de Seguridad de la Información) que sirva como modelo o base de iniciación en el
planteamiento, desarrollo y posteriormente implantación en empresas de corredores
de seguros y afines. Entre los puntos más relevantes se destacan las políticas a
implementar en el ámbito operativo, cifrado de información, respaldo de información,
seguridad en red, entre otros.
1.3 Planteamiento del problema
Actualmente las entidades intermediarias o corredores de seguros, como
COOMEVA corredores de seguros, AVIA corredores de seguros S.A, entre otras
que se especializan en correduría de seguros (Agencias de seguros, agentes de
seguros, comerciales de seguros), tienen la responsabilidad de manejar de la
manera más segura y confiable, el volumen de información que manejan todos los
25
usuarios que solicitan uno de los muchos tipos de seguros que prestas las
aseguradoras del país; pues son ellos los encargados de supervisar y asegurar
responsablemente la manipulación de la información personal y especifica de los
usuarios, facturación, pólizas, recaudos y toda la parte administrativa, dicha
manipulación debe estar soportada en un sistema de información que apoye la
gestión de riesgos de seguridad, en conjunto con el personal de la compañía.
Dentro de los innumerables servicios que prestan los corredores de seguros, es
notable ver que no cuentan con un modelo adecuado de SGSI (Sistema de Gestión
de Seguridad de la información), que permita analizar, prever y solucionar riesgos,
amenazas y vulnerabilidades de seguridad que se presenten en este proceso,
donde generalmente conlleva a fraudes, sabotaje y suplantación, afectando la
integridad de las personas y de la misma organización.
Actualmente las empresas corredoras de seguros, presentan falencias en sus
sistemas de gestión y seguridad de la información, ya sea porque no se
contemplaron los posibles escenarios de riego, amenazas, vulnerabilidades y
demás aspectos de seguridad a nivel tecnológico o sencillamente porque sus SGSI
no son adaptables a la constante evolución tecnológica que requiere este mercado.
Actualmente existen riesgos que amenazan la privacidad de la información, que
deben ser controlados para mitigar los daños que puedan causar, y en base a eso
cumplir con los principios básicos de confiabilidad y disponibilidad de la información.
En un SGSI, los riesgos son definidos y expresados en términos de la combinación
de la probabilidad de ocurrencia de un evento no deseado y sus consecuencias, por
lo cual todas las medidas de seguridad que se deseen tomar van enfocadas a
reducir gradualmente los riesgos, con la finalidad de mitigar cualquier impacto
negativo que se pueda presentar si se llegase a materializar la amenaza.
En las últimas décadas, se ha incrementado de manera exponencial la adquisición
de cualquier tipo de seguro por parte de las personas naturales y/o jurídicas, por lo
cual los corredores de seguros han evolucionado sus formas de comercializar sus
productos: Ventas puerta a puerta, promociones, ventas digitales (llamadas, pagina
web) entre otros; con la finalidad de atender la demanda actual.
Es importante resaltar que las pólizas de seguros que hoy se adquieren cuentan
con grandes ofertas que motivan al posible beneficiario adquirir uno o más servicios,
ya sea para garantizar un cubrimiento económico en caso un evento no deseado,
tanto para el bienestar del asegurado como para sus bienes.
26
1.3.1 Formulación del problema
Son tres los principios básicos de un SGSI: Confidencialidad, Integridad y
Disponibilidad; si alguno de estos presenta falencias es necesario plantear nuevas
políticas que apoyen a reducir los riesgos y las amenazas. La sinergia de estos
principios es fundamental para el óptimo y satisfactorio desarrollo e implementación
del sistema de gestión de la información. Por lo cual, es indispensable cuestionarse
desde el inicio de los procesos corporativos si se cumplen dichos principios, ¿Se
garantiza la integridad de los datos?, ¿Está bien que información personal se
demore en llegar a las instalaciones? ¿Qué ocurre si se extravía un formato ya
diligenciado?
¿Cómo identificar los componentes para gestionar la información recopilada por
corredores de seguros garantizando confidencialidad, integridad y disponibilidad de
los datos?
1.4 Justificación
Teniendo en cuenta el creciente aumento de amenazas informáticas que buscan
sustraer de las empresas su información, que con lleva a fraudes financieros,
denegación de servicios además de afectar directamente la imagen de una
organización; las empresas encargadas de los temas de seguridad y como soporte
sus informes, han obligado a las organizaciones a darle prioridad al tema de la
seguridad ya que tanto la información, los procesos y los sistemas que hacen uso
de la misma, son sus activos más valiosos.
Las organizaciones han entendido que, si los mecanismos de protección informática
implementados fallan, es necesario contar con procesos estructurados y personal
especializado que maneje incidentes de seguridad de información y restablezca los
temas en el menor tiempo posible. Es por esto que en la actualidad poder asegurar
la confidencialidad, integridad y disponibilidad de la información más sensible llegan
a ser esenciales para ellas en aras de mantener sus niveles de competitividad,
beneficio económico, conformidad legal e imagen empresarial obligatorios para
lograr los objetivos de la organización, asegurando obtener beneficios económicos.
Los datos e información constituyen la materia prima para la gestión de las
empresas de correduría de seguros. Es deber de la organización garantizar la
27
confidencialidad, integridad y disponibilidad de esta información; la dirección es
consciente que la seguridad establecida por las compañía en este momento es
puede ser limita e incompleta, es por esto que requieren como una primera etapa,
se realice un análisis de la situación actual de las empresas en cuanto a la seguridad
informática, y con base en este diagnóstico se diseñe un modelo de Sistema de
Seguridad que permita ofrecer un mejor nivel de servicio en calidad, funcionalidad
y facilidad en el uso de la seguridad a este tipo de empresas, de manera tal que al
ser implementado minimice costos a la organización.
1.5 Objetivos
1.5.1 Objetivo general
Diseñar un documento guía de un modelo de un sistema de gestión de la seguridad
de la información (SGSI), donde se identifiquen las políticas de seguridad de la
información, que permitan implementar mecanismos y controles necesarios para
hacer gestión de riesgos, basados en la norma ISO/IEC 27001:2013.
1.5.2 Objetivos específicos
Realizar levantamiento de información para analizar la situación actual de
seguridad de la información en las entidades intermediarias de seguros.
Analizar e identificar riesgos utilizando los fundamentos de la gestión de
riesgos ISO 31000.
Contextualizar los riesgos identificados para determinar acciones de
detección y prevención con la finalidad de minimizar cualquier impacto
generado por la ocurrencia de una amenaza.
28
Definir políticas de seguridad que garanticen el correcto funcionamiento de
un SGSI, bajo los principios fundamentales de la seguridad de la información
(integridad, confidencialidad, disponibilidad).
1.6 Solución tecnológica
En este proyecto se realiza la definición de cada uno de los principales riesgos
identificados, que puede afectar a la organización, con el fin de construir políticas
generales que puedan ser consideradas, modificadas y/o aplicadas para minimizar
los riesgos latentes a los que se encuentran expuestos las compañías de corredores
de seguros, asumiendo como finalidad general el garantizar la confiabilidad,
disponibilidad e integridad de la información.
Con la evolución de los mercados y de las organizaciones, uno de los activos más
importantes con las que estos cuentan es la información (data), es por ello que se
hace vital contar con mecanismos, planes y/o estrategias que permitan garantizar
la calidad y el aseguramiento de la información generando políticas y controles bien
sea en busca de garantizar la continuidad del negocio o de una certificación como
carta de presentación y de distinción ante la competencia. Es importante que las
organizaciones y en este caso particular las de corredores de seguros tomen
conciencia de la necesidad de alinear sus objetivos institucionales, asegurar el flujo
de información, optimizar recursos y garantizar la confidencialidad, disponibilidad e
integridad de la misma.
Como resultado final se entrega una monografía donde se identifican cada una de
los riesgos, donde un profesional encargado procederá a realizar las respectivas
implementaciones de las políticas establecidas, las cuales se encuentran apoyadas
en un sistema de gestión de seguridad de la información (SGSI) que ayudará a llevar
a feliz término dicha implementación.
29
1.7 Alcance
De acuerdo al estándar internacional ISO/IEC 27001:2013, se realiza un
levantamiento de información para analizar la posible situación actual de la
seguridad de la información, se evaluarán riesgos e impactos, permitiendo así un
análisis comparativo de los controles a ser establecidos en la organización, respecto
a los controles planteados en la norma.
Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) áreas críticas
de cualquier organización como son los activos, seguridad física y ambiental, el
control de acceso y adicionalmente estos dominios están directamente relacionados
con los tres pilares básicos de la seguridad.
El documento generado a partir de la investigación realizada en este proyecto podrá
ser tenido en cuenta como guía por las compañías corredores de seguro para su
evaluación, corrección e implementación de las políticas resaltadas en el SGSI, por
lo tanto, el alcance máximo del proyecto radica en la identificación, valoración y la
construcción de la política para reducir los riesgos identificados.
1.8 Limitaciones
Las “limitaciones” jamás se refieren a las dificultades de realización, sino a los
“límites” o fronteras hasta donde llegan las aspiraciones de la investigación,
referencia a los objetivos
1.8.1 Temporal
Para la elaboración de un modelo de un sistema de gestión de la seguridad de la
información (SGSI) aplicado a corredores de seguros, bajo el marco de referencia
de la norma ISO/IEC 27001 se estima un tiempo de seis a nueve meses, abarcados
entre las fechas de enero de 2018 hasta septiembre de 2018.
1.8.2 Geográfica
El análisis de los riesgos existentes para las organizaciones de corredores de
seguros se realiza únicamente en la ciudad de Bogotá. Sinergia Profesionales en
Seguros Ltda es la empresa seleccionada para el análisis, planteamiento, desarrollo
e implementación del SGSI.
30
1.8.3 Conceptual
Los conceptos a manejar en este proyecto son los relacionados con la Seguridad
de la Información, Sistema de Gestión de Seguridad de la Información (SGSI),
Riesgos, Administración de Riesgos, Políticas de Seguridad de la Información y
Controles.
1.8.4 Operativa
Este proyecto diseña un Sistema de Gestión de Seguridad de la Información (SGSI)
para las organizaciones de corredores de seguros, en aras de lograr un excelente
nivel de protección de los activos de información de acuerdo con el valor y riesgo
que represente para la organización.
1.9 Marcos de referencia
1.9.1 Marco histórico
Las políticas y los procedimientos de seguridad informática surgen como una
herramienta organizacional para concienciar a cada uno de los miembros de una
organización sobre la importancia y la sensibilidad de la información que favorecen
el desarrollo y el buen funcionamiento de la organización. Deben considerarse como
reglas a cumplir que surgen para evitar problemas y que se establecen para dar
soporte a los mecanismos de seguridad implementados en los sistemas y en las
redes de comunicación.2
Un plan de seguridad en una organización debe estar soportado por políticas y
procedimientos que definan porque proteger un recurso, que quiere hacer la
organización para protegerlo y como debe procederse para poder lograrlo.
2 Guindel Sánchez, Esmeralda. Calidad y seguridad de la información y auditoría informática. e-
archivo.uc3m.es. [En línea]. [Consultado 15 de julio de 2017]. Disponible en internet: https://e-
archivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessionid=10850A53006DB846CED4
EDCEDEDE1C40?sequence=1
31
1.9.2 Estado del arte
En la actualidad la seguridad de la información debe ser un componente crítico en
la estrategia de negocio para cualquier organización, adicionalmente debe ser
manejada en un proceso integral, que garantice “protección” en todos los aspectos
(físicos, lógicos, humanos), bajo esta visión en los últimos años en Colombia las
organizaciones tanto en el ámbito público como en el privado, vienen blindando sus
infraestructuras tecnológicas contra todo tipo de amenazas, en aras de proteger su
infraestructura crítica y por ende sus procesos vitales.
Resultado de este nuevo enfoque empresarial se han venido desarrollado estudios,
investigaciones y proyectos de grado relacionados con el tema de seguridad
informática, los cuales han sido tomados como referentes para el desarrollo del
presente trabajo, los cuales se describen a continuación:
“Marco Normativo (Normas y políticas) de un SGSI”3
El tema de reglamentación de seguridad de la información en Colombia es
prácticamente inexistente, por lo que todo SGSI está fundamentado netamente en
la 27001 con los controles de la 27002 (Anexo A de la 27001).
Para implementar con éxito un SGSI se debe constituir un modelo normativo el cual
puede estructurarse mediante el documento de políticas, teniendo en cuenta uno a
uno todos los dominios y normas que complementen a la política y que agrupen los
objetivos de control existentes en la ISO 27002, obteniendo así 10 Políticas, y 30
normas o más en busca de cubrir completamente lo incluido en esta Norma.
Dificultades en la implementación de un SGSI4
A la hora de hacer la implementación y desarrollo de un plan de SGSI, es importante
tener en cuenta los problemas con los que se va a encontrar, teniendo en cuenta
que se aplicará sobre una empresa que ya se encuentra constituida y la
3 CAMELO, Leonardo. Seguridad de la Información en Colombia. Marco Normativo (Normas y políticas) de
un SGSI. [En línea]. 2010. [Consultado 10 de junio de 2017]. Disponible en Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-normas-y-politicas-de.html) 4 CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia personal: dificultades en la
implementación de un SGSI. [En línea]. [Consultado 26 de marzo, 2017]. Disponible en Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-dificultades-en-la.html)
32
implementación de estos planes precisan de cambios en distintas áreas tales como
manejo de personal, manejo de información, cambio de políticas e inversión de
recursos.
Dentro de las dificultades a la hora de implementar un SGSI quizá la más
significativa es la del dinero, no se puede hablar de dinero sin haber hecho
previamente una adecuada evaluación de riesgos la cual nos indique a que
amenazas está expuesta la Organización, y allí si determinar cuáles serían los
controles a implementar sabiendo obviamente cuales costos van a representar. Este
tema si va en un solo sentido: no se puede hablar primero de dinero y luego de
controles.
Aun así, una vez se haga una adecuada evaluación de los riesgos será más
controlable la variable riesgo.
Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea
2.05
El documento presenta una estrategia de preparación por parte del Gobierno para
soportar al Sistema de Administración de Seguridad de la Información de Gobierno
en Línea (SASIGEL) como modelo sostenible, y cubre desde la preparación de la
organización para comenzar la implementación del Modelo, la definición de las
brechas, la alineación y la implementación del SGSI como modelo sostenible.
En el capítulo tres (3), se presenta la alineación del Modelo de seguridad de la
Información con la arquitectura empresarial de la Estrategia de Gobierno en línea.
En el capítulo cuatro (4), se presenta una estrategia de preparación por parte del
gobierno central para soportar al Sistema de Administración de Seguridad de la
Información de Gobierno en línea (SASIGEL) como modelo sostenible.
Posteriormente, en el capítulo cinco (5), se cubre la preparación de la organización
para comenzar la implementación del Modelo, la definición de las brechas, la
alineación y la implementación del Sistema de Gestión de la Seguridad de la
Información (SGSI) como modelo sostenible.
5 MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. Modelo de
Seguridad de la Información para la Estrategia de Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. [Consultado
el 15 de junio de 2017]. Disponible en Internet:
(http://www.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pdf)
33
La importancia de un SGSI6
Para el autor de este artículo un SGSI permite obtener una visión global del estado
de los sistemas de información sin caer en detalles técnicos, brindando la opción de
observar los resultados obtenidos al aplicar las medidas de seguridad; con estos
resultados la alta gerencia podrá tomar mejores decisiones estratégicas.
Adicionalmente define como punto importante a tener en cuenta el que un SGSI se
debe documentar muy bien y debe darse a conocer a todo el personal de la
organización en todos los niveles jerárquicos, teniendo en cuenta que será
necesario implantar diferentes controles que ayudarán a mantener los riesgos
potenciales en un nivel bajo.
Una organización debe considerar dentro de sus prioridades establecer un SGSI si
realmente quiere administrar la seguridad en su organización, especialmente para
conseguir eficiencia y garantía en la protección de sus activos de información.
Resumen Ejecutivo Memoria TFM Plan de Implementación del SGSI7
El autor hace una descripción de una manera diferente de su visión como Consultor
en seguridad de la información sobre la Ciberseguridad y cómo “los malos” han
impactado el mundo de los sistemas de información. Su visión la resume en tres
goles que estos malos han marcado, donde el primer gol se debe a que no se le dio
la suficiente importancia de la seguridad desde el diseño en la fabricación de
software, ocasionando con ello productos inseguros.
El segundo gol se produce debido a que uno, las empresas no le dan la suficiente
importancia al área de tecnología ocasionando la falta de recursos humanos
6 PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En línea].2010. [Consultado
25 de junio de 2017]. Disponible en Internet: (www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-
un-sgsi/) 7 SALCEDO, Robin. Plan de Implementación del SGSI basado en la Norma ISO 27001:2013. Memoria Trabajo
Final Máster MISTIC. Barcelona: Universidad Oberte Catalunya. [En línea].2014. 43 p. [Consultado 13 de
enero, 2015]. Disponible en Internet:
(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214memoria.pdf)
34
especializados y recursos tecnológicos para afrontar los peligros cibernéticos
generados por la conexión a Internet y que día a día acechan las empresas, pues
como es sabido el delincuente online es internacional y el Internet no conoce
fronteras; y dos la prioridad que se da a perseguir a los ciber delincuentes es
relativamente baja al igual que las penas por delitos cibernético, transmitiendo
mensajes equivocados a la delincuencia online, la cual aumenta a gran velocidad.
El tercer gol se debe a que los malos desarrollaron una auténtica industria del
malware logrado traspasar medidas de seguridad perimetral como Firewalls y
antivirus. El malware ahora viene como un software inofensivo que el antivirus no
detecta; en el fondo los malos están utilizando las mismas técnicas usadas en la
protección legítima de datos, pero para unas finalidades diferentes. Es por esto que
con este nivel de sofisticación las medidas tradicionales ya están siendo superadas.
Consejos de implantación y métricas de ISO/IEC 27001 y 270028
Este documento pretende ayudar a otros que estén implantando o planeando
implantar los estándares ISO/IEC de gestión de seguridad de la información. Al igual
que los propios estándares ISO/IEC, se trata de un documento genérico y necesita
ser adaptado a las necesidades específicas de cada uno.
Se considera la gestión de continuidad de negocio como un proceso con entradas
provenientes de muchas funciones como: alta dirección, TI, operaciones, entre
otros. y de diversas actividades entre ellas la evaluación de riesgos, asegurando la
adaptación y concienciación mediante personas y unidades organizativas
relevantes en los planes de continuidad de negocio. Deberían llevarse a cabo las
pruebas pertinentes entre ellas simulacros, pruebas de fail over, pruebas sobre el
papel, entre otros.) para de esa forma mantener los planes actualizados, aumentar
la confianza de la alta dirección en los planes y por último familiarizar a los
empleados relevantes con sus funciones y responsabilidades cuando se encuentren
bajo condiciones de desastre.
8COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE
ISO27001SECURITY.COM. Consejos de implantación y métricas de ISO/IEC 27001 y 27002. Traducido por
www.iso27000.es. [En línea] Versión 1, 16 p. 2007. [Consultado 26 de junio de 2017]. Disponible en Internet:
(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.pdf)
35
Lo que no debes pasar por alto para gestionar la seguridad de la información9
Para el autor al momento de integrar temas seguridad de la información con la
organización lo más complicado es que estos no se orientan en las necesidades e
intereses del negocio, razón por la cual revisa son los aspectos fundamentales que
no se deben pasar por alto, tales como:
¿Qué debe garantizar nuestro Sistema de Gestión de Seguridad de la
Información (SGSI)?
La piedra angular: política de seguridad
Clasificar la información corporativa
Qué hacer y dónde enfocar esfuerzos: Análisis de riesgos
Lo que no se puede olvidar
Normatividad: Políticas de seguridad de la información - Parte I10
En el ámbito de la seguridad de la información, una política es un documento donde
se consignan las reglas o requisitos definidos y que deben cumplirse en una
organización. Presenta una declaración formal, de manera breve y en un alto nivel,
la cual que abarca las creencias generales de la organización, metas, objetivos y
procedimientos aceptables para un área determinada.
9 GUTIÉRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad de la información. En:
Revista. Seguridad. [En línea]. no.22 (ago-sep.2014). p.04-06. [Consultado 26 de marzo, 2017]. Disponible en
Internet: revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num22.pdf
10 MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones: Políticas de seguridad de
la información - Parte I. En: Revista Seguridad. [En línea]. no.16, (Ene-Feb 2013). p. 13-17. [Consultado 17 de
julio de 2017]. Disponible en Internet:
(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seguridad_Num16_0.pdf)
36
Las políticas de seguridad de la información proveen un marco para que los
empleados de una organización sigan las mejores prácticas, permitiendo de esta
manera minimizar riesgos y responder a incidentes inesperados, es por esto que al
crearse el documento de las políticas es imprescindible tener en cuenta las
operaciones cotidianas, los hábitos de sus empleados y la cultura organizacional,
para así llegar a todas las audiencias logrando su aceptación y cumplimiento.
Igualmente ayudan a la organización a asegurar sus activos, definir su postura ante
la protección de la información frente a sucesos tales como: accesos no autorizados,
modificación, divulgación o destrucción.
La norma ISO 27001:2013 ¿Cuál es su estructura?11
La norma ISO 27001:2013 no sólo establece cambios en el contenido sino también
en la estructura, viéndose reflejada en otros documentos que hacen parte de la
familia ISO 27000.
La norma ISO 27001:2013, proporcionando un formato y una alineación conjunta
que siguen el desarrollo documental de un Sistema de Gestión sin importarle el
enfoque empresarial; todos los documentos que se relacionan con el Sistema de
Gestión de Seguridad de la Información se alinean bajo la misma estructura
evitando problemas de integración con otros marcos de referencia.
¿Por qué implantar un SGSI basado en la norma ISO 27001?12
Según ISO-27001 un Sistema de Gestión de Seguridad de la Información eficaz,
tiene que generar valor agregado a las organizaciones, ya que les permiten hacer
mejor las cosas, es decir, de una forma mucho más económica y más rápida.
11 ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 ¿Cuál es su estructura? [En línea]. 2015.
[Consultado 18 de junio de 2017]. Disponible en Internet: (http://www.pmg-ssi.com/2015/08/norma-iso-27001-
2013-estructura/) 12 ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma ISO 27001. [En línea].
2015. [Consultado 18 de junio de 2017]. Disponible en Internet: (http://www.pmg-ssi.com/2015/05/por-que-
implantar-un-sgsi-basado-en-la-norma-iso-27001/)
37
Implementar un Sistema de Gestión de Seguridad de la Información ISO 27001
ofrece la oportunidad de optimizar las áreas, dentro de la organización, relacionadas
con la información que más le importan a la alta dirección de la empresa.
La norma ISO 27001 persigue un enfoque muy detallado hacía la Seguridad de la
Información. Los activos necesitan proteger la información, ya sea en papel, en
formato digital o los activos físicos, los empleados deben tener los conocimientos
necesarios.
Medición de un SGSI: diseñando el cuadro de mandos13
Implantar un SGSI debe siempre tener una motivación y unos objetivos concretos y
tangibles. Por tanto, la medición que se debe instaurar dentro del sistema deberá
tender a medir la realidad del cumplimiento de estos objetivos. Se pueden
establecer tres grandes ejes donde colocar sensores de medición relacionados con
las metas del SGSI, estos ejes son:
Eje de Metas de la Dirección: La organización establece su estrategia de
seguridad basándose en el análisis de riesgos, pero estos resultados no son
los únicos que determinan las necesidades de seguridad. Hay
organizaciones que consideran no tolerable sufrir un incumplimiento legal o
no poder recuperarse frente a un desastre, aunque ello no suponga riesgos
fuera del umbral aceptable. Por tanto, en este eje se tienen en consideración
aquellos requisitos de negocio que están relacionados con la seguridad de la
información o condicionados por su buen funcionamiento y tiene que ver con
logros a medio y largo plazo.
Eje del riesgo: Estos objetivos estarán directamente relacionados con los
resultados del análisis de riesgos y tendrán como finalidad la reducción de
los mismos. Por tanto, los indicadores serán situados en torno a las medidas
de seguridad que velan por reducir los riesgos más preocupantes que no han
sido aceptados y sobre los que se ha diseñado un plan de tratamiento a poner
en marcha. Estas son las medidas de seguridad más importantes para
13 CAO, Javier. Medición de un SGSI: diseñando el cuadro de mandos. [En línea]. [consultado 12 de junio de
2017]. Disponible en Internet: (https://www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-
cuadro-de-mandos/)
38
nuestro SGSI dado que su error o fallo implica un problema severo de
seguridad (que sitúa al riesgo fuera del umbral aceptable) y tienen que ver
con los resultados del día a día.
Eje del tiempo: Es necesario también medir la evolución a lo largo del tiempo del grado de implantación del plan de tratamiento del riesgo, así como la evolución de la madurez de las medidas. Dado que una de las actividades dentro del ciclo de gestión del SGSI es la definición de un plan de tratamiento, el seguimiento de la ejecución en el tiempo será otro eje a atender.
1.9.3 Marco conceptual
1.9.3.1 ¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para mantener
los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
Las organizaciones y sus sistemas de información están expuestos a un número
cada vez más elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos críticos de información a
diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos,
el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes
y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de
seguridad causados voluntaria o involuntariamente desde dentro de la propia
organización o aquellos provocados accidentalmente por catástrofes naturales y
fallos técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones
variables del entorno, la protección adecuada de los objetivos de negocio para
asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
39
herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por
sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la
organización, con la gerencia al frente, tomando en consideración también a clientes
y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe
contemplar unos procedimientos adecuados y la planificación e implantación de
controles de seguridad basados en una evaluación de riesgos y en una medición de
la eficacia de los mismos.
Ilustración 1 - funcionamiento SGSI
Fuente: www.iso27000.es
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer
estas políticas y procedimientos en relación a los objetivos de negocio de la
40
organización, con objeto de mantener un nivel de exposición siempre menor al nivel
de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una sistemática
definida, documentada y conocida por todos, que se revisa y mejora
constantemente.
1.9.3.2 ¿QUÉ INCLUYE UN SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado
gráficamente la documentación del sistema como una pirámide de cuatro niveles.
Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la
Información basado en ISO 27001 de la siguiente forma:
Ilustración 2 - Componentes de un SGSI
Fuente: www.iso27000.es
41
1.9.3.2.1 Documentos de nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término
se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el
sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, entre otras, del SGSI.
1.9.3.2.2 Documentos de nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen
de forma eficaz la planificación, operación y control de los procesos de seguridad
de la información.
1.9.3.2.3 Documentos de nivel 3
Instrucciones, check lists y formularios: documentos que describen cómo se
realizan las tareas y las actividades específicas relacionadas con la seguridad de la
información.
1.9.3.2.4 Documentos de nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento
de los requisitos del SGSI; están asociados a documentos de los otros tres niveles
como output que demuestra que se ha cumplido lo indicado en los mismos. De
manera específica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,
incluyendo una identificación clara de las dependencias, relaciones y límites
que existen entre el alcance y aquellas partes que no hayan sido
consideradas (en aquellos casos en los que el ámbito de influencia del SGSI
considere un subconjunto de la organización como delegaciones, divisiones,
áreas, procesos, sistemas o tareas concretas).
42
Política y objetivos de seguridad: documento de contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en
la gestión de la seguridad de la información.
Procedimientos y mecanismos de control que soportan al SGSI:
aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Enfoque de evaluación de riesgos: descripción de la metodología a
emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades,
probabilidades de ocurrencia e impactos en relación a los activos de
información contenidos dentro del alcance seleccionado), desarrollo de
criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
Informe de evaluación de riesgos: estudio resultante de aplicar la
metodología de evaluación anteriormente mencionada a los activos de
información de la organización.
Plan de tratamiento de riesgos: documento que identifica las acciones de
la dirección, los recursos, las responsabilidades y las prioridades para
gestionar los riesgos de seguridad de la información, en función de las
conclusiones obtenidas de la evaluación de riesgos, de los objetivos de
control identificados, de los recursos disponibles, entre otros.
Procedimientos documentados: todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la
información, así como para la medida de la eficacia de los controles
implantados.
Registros: documentos que proporcionan evidencias de la conformidad con
los requisitos y del funcionamiento eficaz del SGSI.
Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus
siglas inglesas); documento que contiene los objetivos de control y los
controles contemplados por el SGSI, basado en los resultados de los
procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
43
1.9.4 Marco teórico
El presente proyecto se encuentra fundamentado en las normas NTC – ISO 27001
de 2013 y la norma NTC – ISO 31000 de 2011 con las cuales se identifican y se
gestionan los riesgos, amenazas y vulnerabilidades identificadas para la compañía
Sinergia Profesionales en Seguros y permitirá ser un modelo para las
organizaciones que deseen tomar como documento guía el estudio realizado y que
se apoyará en temas como:
Identificación de las principales debilidades de las organizaciones enfocadas
a los corredores de seguros.
Normatividad actual de estandarización según Normas ISO 27001.
Metodología para identificación de debilidades como lo son encuestas y
entrevistas.
Elaboración de procesos normativos para el desempeño del SGSI
Sinergia Profesionales en Seguros, ubicada en la ciudad de Bogotá – Colombia es
una compañía dedicada a prestar servicios de intermediación de seguros para
personas jurídicas y naturales, teniendo como primer componente de su filosofía
empresarial el aseguramiento de la satisfacción de las necesidades de sus clientes.
Actualmente en la organización no existe un control adecuado que asegure la
confidencialidad, proteja la integridad de la información en su totalidad y que
garantice la disponibilidad, así como la precisión durante el tratamiento de la
información, razón por la cual no se cuenta con la correcta protección de los datos
de clientes, empleados, socios comerciales y la sociedad en general.
Por esta razón se ha realizado un protocolo basado en la norma ISO 27001 e ISO
31000, entendiendo que la seguridad tiene una función muy importante para la
organización y que es la evaluación y análisis de riesgos la que la lleva a reducir el
dallo efectivo que puede ocasionar la materialización de una amenaza.
44
1.9.4.1 Norma ISO 27001 – 201314
ISO 27001 es una norma internacional que permite el aseguramiento, la
confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.
El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la
Información permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos.
La aplicación de ISO-27001 significa una diferenciación respecto al resto, que
mejora la competitividad y la imagen de una organización.
La norma ISO-27001 se conforma de una serie de paso que conforma su estructura
la cual se definen a continuación:
a) Objeto y campo de aplicación: La norma comienza aportando unas
orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
b) Referencias Normativas: Recomienda la consulta de ciertos documentos
indispensables para la aplicación de ISO27001.
c) Términos y Definiciones: Describe la terminología aplicable a este estándar.
d) Contexto de la Organización: Este es el primer requisito de la norma, el cual
recoge indicaciones sobre el conocimiento de la organización y su contexto,
la comprensión de las necesidades y expectativas de las partes interesadas
y la determinación del alcance del SGSI.
e) Liderazgo: Este apartado destaca la necesidad de que todos los empleados
de la organización han de contribuir al establecimiento de la norma. Para ello
la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar
una política de seguridad que conozca toda la organización y ha de asignar
roles, responsabilidades y autoridades dentro de la misma.
f) Planificación: Esta es una sección que pone de manifiesto la importancia de
la determinación de riesgos y oportunidades a la hora de planificar un
14 Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información.
Requisitos. Norma Técnica NTC-ISO-IEC colombiana 27001-2013
45
Sistema de Gestión de Seguridad de la Información, así como de establecer
objetivos de Seguridad de la Información y el modo de lograrlos.
g) Soporte: En esta cláusula la norma señala que para el buen funcionamiento
del SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada
caso.
h) Operación: Para cumplir con los requisitos de Seguridad de la Información,
esta parte de la norma indica que se debe planificar, implementar y controlar
los procesos de la organización, hacer una valoración de los riesgos de la
Seguridad de la Información y un tratamiento de ellos.
i) Evaluación del Desempeño: En este punto se establece la necesidad y forma
de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la
auditoría interna y la revisión por la dirección del Sistema de Gestión de
Seguridad de la Información, para asegurar que funciona según lo
planificado.
j) Mejora: Por último, en la sección décima vamos a encontrar las obligaciones
que tendrá una organización cuando encuentre una no conformidad y la
importancia de mejorar continuamente la conveniencia, adecuación y eficacia
del SGSI.
1.9.4.2 Norma ISO 31000 – 201115
Desde que se inició la crisis financiera mundial sobre el año 2008, la gestión del
riesgo se ha convertido en factor clave para todo tipo de organizaciones o empresas,
gobiernos o industrias, ya que la exposición al riesgo es más evidente, y con ello, la
necesidad de prepararse frente a ellos, o incluso, beneficiarse cuando tengan lugar.
De ahí el surgimiento de la ISO 31000.
Para cualquier actividad que se realice, existe un potencial riesgo que puede o no
materializarse, siendo las fuentes del riesgo diversas. Es decir, la incertidumbre del
mercado, fallos durante el diseño, desarrollo o producción de proyectos,
15 Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, [en línea], [consultado el 20 de abril
de 2018], Disponible en: https://sitios.ces.edu.co/Documentos/NTC-ISO31000_Gestion_del_riesgo.pdf
46
responsabilidades legales, accidentes, causas naturales, responsabilidades
legales, entre otras. son posibles orígenes de riesgos.
La norma ISO 31000, se ofrece la posibilidad de transformar un riesgo en una
oportunidad. Por ejemplo, en Japón, debido a la amenaza constante de terremotos,
se ha desarrollado uno de los sistemas de gestión de emergencias más sofisticados
que se conocen, de esta forma una de las amenazas con mayor impacto lleva a
implementar políticas que la puedan transformar o mitigar.
La era de la tecnología, plantea nuevos retos. Nuevos desafíos a los que debemos
aprender a enfrentarnos, procurando siempre obtener la mejor parte de ello. Para
cumplir con esto, muchas compañías apuestan por la implantación de la ISO 31000
dentro de su estrategia comercial, que se diseñó especialmente para proporcionar
una estructura y orientación de buenas prácticas para todas las operaciones que
tengan lugar en el seno de una organización.
Como parte de estos avances, la ISO 31000 está siendo revisada, para garantizar
que los principios y directrices de la norma sigan siendo relevantes para sus
usuarios, y ofreciendo un siguiente paso para hacer que la gestión de riegos sea
más fácil, clara y concisa.
Como para cualquier Sistema de Gestión, en la ISO 31000 la cooperación y
colaboración entre las diferentes áreas y niveles jerárquicos que forman parte de
una organización es esencial, pero esto no es tarea fácil. Es decir, no sólo con la
implantación de la nueva versión de la ISO 31000 podrás llevar a cabo una gestión
de riesgos eficaz, ni podrás comprender las causas e identificar las medidas
necesarias para reducir los riesgos que generan la incertidumbre del mercado
financiero hoy en día, sino que se requiere de la voluntad de todos los implicados.
Esto supone la transparencia de las operaciones, buenas regulaciones y
cumplimiento, integridad, responsabilidad y, por supuesto, buen gobierno.
1.9.4.3 Sistema de gestión de seguridad de la información (SGSI)
Un SGSI es una parte del sistema de gestión de una organización, basado en una
aproximación a los riesgos del negocio, que permite establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de
una organización. Son componentes esenciales de un sistema así los siguientes:
47
Estructura organizativa.
Políticas.
Planificación.
Responsabilidades definidas.
Buenas prácticas.
Procedimientos de actuación.
Procesos de gestión.
Recursos suficientes.
Podemos entender por información todo el conjunto de datos que se organizan en una organización y otorgan valor añadido para ésta, de forma independiente de la forma en la que se guarde o transmita, el origen que tenga o la fecha de elaboración.
El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la organización.
Para garantizar que el Sistema de Gestión de Seguridad de la Información gestionado de forma correcta se tiene que identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar, los cuales son:
Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.
Integridad: mantener de forma completa y exacta la información y los métodos de proceso.
Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.
Según el conocimiento que se tiene del ciclo de vida de la información relevante se puede adoptar la utilización de un proceso sistemático, documentado y conocido por toda la empresa, desde un enfoque de riesgos empresarial. El proceso es el que constituye un SGSI.
48
1.9.4.3.1 Utilización SGSI
La información, junto a los procesos y los sistemas que hacen uso de ella, son
activos demasiado importantes para la empresa. La confidencialidad, integridad y
disponibilidad de dicha información puede ser esencial para mantener los niveles
de competitividad, conformidad, rentabilidad e imagen de la empresa necesarios
para conseguir los objetivos de la empresa y asegurase de que haya beneficios
económicos.
Las empresas y los sistemas de información se encuentran expuestos a un número
cada vez más elevado de amenazas que aprovechan cualquier tipo de
vulnerabilidad para someter a los activos críticos de información a ataques,
espionajes, vandalismo, y otros eventos. Los virus informáticos o los ataques son
ejemplos muy comunes y conocidos, pero también se deben asumir los riesgos de
sufrir incidentes de seguridad que pueden ser causados voluntariamente o
involuntariamente desde dentro de la propia empresa o los que son provocados de
forma accidental por catástrofes naturales.
El cumplimiento de la legislación, la adaptación dinámica y de forma puntual de
todas las condiciones variables del entorno, la protección adecuada de los objetivos
de negocio para asegurar que se obtiene el máximo beneficio son algunos de los
aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y
de importante ayuda para la gestión de las empresas. El nivel de seguridad que se
alcanza gracias a los medios técnicos es limitado e insuficiente por sí mismo.
Durante la gestión efectiva de la seguridad debe tomar parte activa toda la empresa,
con la gerencia al frente, tomando en consideración a los clientes y a los
proveedores de la organización.
El modelo de gestión de la seguridad tiene que contemplar unos procedimientos
adecuados y planificar e implementar controles de seguridad que se basan en una
evaluación de riesgos y en una medición de la eficiencia de los mismos. Para
entender que es SGSI, ayuda a establecer la política de seguridad y los
procedimientos en relación a los objetivos de negocio de la empresa, con objeto de
mantener un nivel de exposición siempre menor al nivel de riesgo que la propia
organización ha decidido asumir.
49
1.9.4.3.2 Beneficios de un SGSI
A continuación, se realiza una lista de los principales beneficios que se tienen al
implementar un SGSI en una organización:
1) Establecer una metodología de Gestión de la Seguridad estructurada y clara.
2) Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
3) Los clientes tienen acceso a la información mediante medidas de seguridad.
4) Los riesgos y los controles son continuamente revisados.
5) Se garantiza la confianza de los clientes y los socios de la organización.
6) Las auditorías externas ayudan de forma cíclica a identificar las debilidades
del SGSI y las áreas que se deben mejorar.
7) Facilita la integración con otros sistemas de gestión.
8) Se garantiza la continuidad de negocio tras un incidente grave.
9) Cumple con la legislación vigente sobre información personal, propiedad
intelectual y otras.
10) La imagen de la organización a nivel internacional mejora.
11) Aumenta la confianza y las reglas claras para las personas de la empresa.
12) Reduce los costes y la mejora de los procesos y el servicio.
13) Se incrementa la motivación y la satisfacción del personal.
14) Aumenta la seguridad en base la gestión de procesos en lugar de una compra
sistemática de productos y tecnologías.
50
1.10 Factibilidad
1.10.1 Técnica.
El desarrollo de este proyecto requiere conocimiento y experiencia a nivel de
seguridad de la información, aplicando la norma NTC-ISO-IEC 270001 de 2013, la
metodología establecida en la norma NTC – ISO 31000, análisis de amenazas,
gestión de riesgo y aplicación de medidas que permitan garantizar la
confidencialidad, integridad y disponibilidad de la información en la organización.
1.10.2 Legal.
Este proyecto es utilizado como guía y se desarrolla manejando metodologías de
libre implementación que se encuentran disponibles en diferentes medios para su
aplicación, por lo cual no requieren de pagos a empresas por su respectiva
implementación, permitiendo que varias organizaciones puedan tomarlo como base
para mejorar sus SGSI.
Tanto la norma NTC-ISO-IEC 27001 de 2013 y la metodología establecida en la
norma NTC – ISO 31000 son instrumentos bases que permiten construir este
documento, brindando orientación para la gestión e implementación del SGSI en la
organización. Adicionalmente, se tiene presente las normativas que se encuentran
vigentes y que son susceptibles en el desarrollo de las actividades de la misma, por
lo cual realizamos un listado de las leyes nacionales que intervienen con la actividad
de la organización.
Ley 1273 – De la protección de la información y de los datos
Ley 1581 de 2012 - Ley de protección de datos personales.
1.10.3 Económica.
El objetivo de este proyecto es brindar un documento guía para la implementación
de un SGSI, por lo tanto, la factibilidad económica se ve contemplada en los
recursos destinados para la elaboración del mismo.
En las siguientes tablas se detalla e identifican los costos relacionados, formando
tres grupos importantes en el desarrollo del proyecto.
51
1.10.3.1 Talento humano.
TIPO DESCRIPCIÓN VALOR HORA
CANTIDAD TOTAL
TUTOR ASESORIAS DEL TURTOR UNIVERSIDAD DISTRITAL
FRANCISCO JOSÉ DE CALDAS
$ 70.000
150 HORAS 10.500.000
ANALISTA IMPLMENTADOR
DOS ANALISTA ENCARGADOS DE
IMPLEMENTAR MODELO DE UN SISTEMA DE
GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN (SGSI) APLICADA A
CORREDORES DE SEGUROS BAJO EL
MARCO DE REFERENCIA DE LA NORMAL ISO/IEC
27001
$ 40.000
8 HORAS SEMANALES
10.240.000
TOTAL TALENTO HUMANO. 20.740.000
Tabla 1 - Talento humano
Fuente: Elaboración Propia.
1.10.3.2 Recurso de hardware
RECURSO DESCRIPCIÓN VALOR UNITARIO
CANTIDAD TOTAL
PROCESADOR INTEL CORE I5 350.000 1 350.000
DISCO DURO SATA TOSHIBA 500 GB
170.000 1 170.000
MEMORIA RAM Markvision 8.00 gb 150.000 1 150.000
UNIDAD CD Quemador DVD 90.000 1 90.000
COSTO TOTAL 670.000
Tabla 2 - Recurso de hardware
Fuente: Elaboración Propia.
52
1.10.3.3 Otros recursos
RECURSO DESCRIPCION VALOR UNITARIO
CANTIDAD TOTAL
Norma iso 27001 Documento técnico norma
iso
67500 1 67.500
Papelería (resma) 9500 1 9.500
Fotocopias 100 80 8.000
Transportes 2000 120 240.000
COSTO TOTAL 325.000
Tabla 3 - Otros recursos
Fuente: Elaboración Propia.
1.10.3.4 Consolidado
RECURSO DESCRIPCIÓN VALOR
TALENTO HUMANO Profesionales da las áreas
20.740.000
HARDWARE Dispositivos tecnológicos
670.000
OTROS Gastos no definidos 325.000
CONSOLIDADO TOTAL 21.735.000
Tabla 4 - Consolidado
Fuente: Elaboración Propia.
53
1.11 Cronograma de actividades.
54
2. ESTADO ACTUAL SINERGIA PROFESIONALES EN SEGUROS
El proyecto será ejecutado tomando como referencia una metodología de trabajo
que permita en un futuro la implementación del Sistema de Gestión de Seguridad
de la Información (SGSI), bajo el estándar ISO 27001-2013.
Para el desarrollo de este capítulo, se toma como referencia la empresa Sinergia
Profesionales en Seguros que tiene cinco años de experiencia bajo la actividad
económica: Actividades de agentes y corredores de seguros, esta única sede está
ubicada en la ciudad de Bogotá. Esta empresa fue escogida con el fin de plantear
un modelo de seguridad de la información para los procesos de correduría de
seguros, dónde nuestro principal objetivo es guiar a pequeñas y medianas
empresas que realmente necesiten de este modelo para fortalecer la disponibilidad,
integridad y confiabilidad de la información.
2.1 Descripción.
Sinergia Profesionales en Seguros es una organización enfocada a prestar servicios
de intermediación de seguros para personas jurídicas y naturales, teniendo como
primer componente de su filosofía empresarial el aseguramiento de la satisfacción
de las necesidades de sus clientes.
Con una única sede en Bogotá, esta empresa Pyme, que lleva tres años en el
mercado, busca optimizar sus procesos con el objetivo de ampliar su cobertura y
convertirse en una de las organizaciones líderes del mercado, sin embargo, para
empezar a lograr tal objetivo, debe iniciar implementando controles y políticas que
permita garantizar la integridad, confidencialidad y disponibilidad de la información.
2.2 Reconocimiento de la organización.
Este diseño se realiza en base a información descrita por colaboradores de distintas
organizaciones dedicadas a esta actividad véase Anexo Audios “Entrevista
ejecutiva de cuenta colectiva Ingrid Paola Gómez”.
En la actualidad es indispensable mantener un esquema seguro y eficiente sobre
las redes de datos, ya que para cualquier tipo de empresa representa un recurso
indispensable de controlar y procesar datos tanto de la parte interna en términos
administrativos, así como la parte externa que involucra clientes, empleados
55
outsourcing y proveedores, esquema de trabajo desarrollado por Sinergia
Profesionales de Seguros.
Dentro de los procesos de negocio que maneja Sinergia Profesionales en Seguros
Ltda., se destaca la utilización de una red sencilla, donde sus procesos de
almacenamiento (Aplicación DigiDoc), documentación, facturación, contabilidad,
pagos, cuentas. (Aplicación ERP). Esta información es privada y se maneja a través
de servicios cloud que le presta un proveedor de servicios de almacenamiento y
aplicaciones donde se cumplen con las normas de privacidad de la información
suministrada por Sinergia según información suministrada en la entrevista ver
Anexo - “Audios” disponible en CD-ROM carpeta Anexo-Audios.
A continuación, se definen los tipos de seguros que ofrecen como servicio a sus
clientes personales y empresa.
SEGUROS PERSONAS
Productos de Vida
· Vida Individual. · Accidentes Personales y Escolares.
· Seguro Exequial. · Enfermedades Graves.
Productos de Salud
· Medicina Prepagada. · Planes Complementarios. · Hospitalización y Cirugía. · Asistencia Internacional.
· Seguro Odontológico.
Productos de Protección Patrimonial
· Hogar. · Seguro de Arrendamiento.
· Seguro de Automóviles. · Seguro Obligatorio Accidentes SOAT.
· Responsabilidad Civil Profesional (errores y omisiones).
Productos de Ahorro · Universidad Prepagada. · Capitalización.
Cirugías Estéticas · Cirugías Estéticas. Tabla 5 - Servicios de seguros personales prestados por Sinergia
Fuente: Elaboración Propia.
56
SEGUROS EMPRESAS
Productos de Daños
· Seguros de Automóviles · Seguros de Daños Materiales
· Seguro de Transporte de Valores · Seguro de Montaje y Construcción
· Seguros Agrícolas · Seguros de Equipo y Maquinaria
Productos de vida
· Seguros de Vida Grupo · Colectivo Vida
· Vida Grupo Deudores · Colectivo de Vida y Accidentes Personales Condiciones
Particulares USO · Accidentes Personales
· Seguro Exequial · Riesgos Laborales
Productos de Salud
· Medicina Prepagada · Planes Complementarios · Hospitalización y Cirugía
· Asistencia Médica Domiciliaria · Asistencia Internacional
Productos de Protección Patrimonial
· Responsabilidad Civil Extracontractual · Seguro Obligatorio Accidentes SOAT
· Cumplimientos Estatales · Cumplimientos Particulares
· Cumplimiento de Disposiciones Legales · Pólizas de Caución Judicial
· Directores y Administradores · Infidelidad y Riesgos Financieros
· Responsabilidad Civil Profesional (errores y omisiones) · Seguros de Manejo
Productos de Ahorro · Capitalización Tabla 6 - Servicios de seguros empresariales prestados por Sinergia
Fuente: Elaboración Propia.
57
2.2.1 Estructura organizacional.
La estructura organizacional Sinergia Profesionales en Seguros se basa en la
jerarquía de los cargos ejecutivos y áreas definidas, ésta a su vez está encabezada
por un gerente general y un director.
2.2.1.1 Modelo estructura organizacional
Ilustración 3 - Estructura organizacional
Fuente: Elaboración Propia.
Gerencia General
Director
PlaceMent
Ejecutivo de cuentas
Colectivas
Técnico Senior Línea Coletiva
Técnico Junior Línea Colectiva
Ejecutivos de cuenta Linea
personal
Técnico Senior Línea Personal
Técnico Junior Línea Personal
Asistente General
Analista de administración
Personal
58
2.2.1.2 Muestra poblacional de la organización
Dentro de la estructura organizacional y muestra de la empresa Sinergia
Profesionales de Seguros Ltda., ésta nos permitió obtener la siguiente información
por áreas:
Organización y Muestra
PERSONAL CANTIDAD ACTIVIDAD
Gerencia 1 Dirigir, organizar y controlar los procesos
Dirección 1 Dirección de Operaciones
Analista de Administración Personal
1 Dirección de recursos humanos
de Placement 1 - Estudio de mercado – Propuestas de Seguros –
Ventajas y Desventajas por aseguradora
Ejecutivos de cuenta Colectivos
2 Asesoran clientes empresariales y su sitio de trabajo varía entre
inhouse y oficina principal
Ejecutivos de cuenta Linea Personal
3 Asesoran clientes personales y su sitio de trabajo sólo se
desarrolla en la oficina principal.
Técnicos Senior 2 Análisis de siniestros y gestión de cartera
Técnico Junior 3 Facturación, reporte de afiliaciones, novedades hacia las aseguradoras y gestión de base
de datos
Cliente Colectivo Promedio
30 Cliente empresa
Cliente Personal Promedio Mensual
250 Cliente Personal
Tabla 7 - Muestra del personal y clientes de la organización
Fuente: Elaboración Propia.
59
2.2.3 Red de datos.
Sinergia Profesionales en Seguros tiene contratado un servicio de fibra mono modo
de 50 MB con la compañía Claro, quien deja en sitio un router cisco 867 el cual
presenta una configuración de dos Vlans para telefonía y tráfico de datos. También
se cuenta con un firewall fortinet, un equipo servidor para el manejo de la telefonía
y un switch cisco 2960.
Se cuenta con una topología en estrella en la cual se tienen disponibles 24 puntos
de acceso, gracias al switch Cisco Catalyst 2960-24PC-L podemos utilizar su
funcionalidad de PoE (Power over Ethernet) nos garantiza que podamos ubicar
nuestros dispositivos en la red sin tener que dedicar puntos exclusivos a la telefonía.
Ilustración 4 - Clúster activo – activo
Fuente: Elaboración propia.
60
2.2.4 Equipos
En la definición de los equipos, se tienen disponibles los siguientes elementos
distribuidos de la siguiente manera:
Tipo y Características de equipos existentes
CARACTERÍSTICAS
Equipo de Escritorio Fabricante: Hewllwett-Packard Company Modelo: Hp notbook
Procesador: Inter Core I 5-4570 CPU: 3.20 GHz
Memoria RAM: 4 GB Sistema Operativo: Windows 7 Professional 64 Bits
Service Pack 1
Equipo Portátil Fabricante: Hewllwett-Packard Company Modelo: Hp ProBook 440 G2
Procesador: Inter Core I 5-4210U CPU: 1.70 GHz
Memoria RAM: 4 GB Sistema Operativo: Windows 8 Pro 64 Bits
Tabla 8 – Equipos Existentes
Fuente: Elaboración propia
Organización y Muestra
PERSONAL EQUIPOS TIPO DE EQUIPO
Gerencia 2 Escritorio, Portátil
Dirección 2 Escritorio, Portátil
Analista de Administración Personal
1 Escritorio
de Placement 1 Escritorio
Ejecutivos de cuenta Colectivos
2 Portátil
Ejecutivos de cuenta Linea Personal
3 Portátil
Técnicos Senior 2 Escritorio
Técnico Junior 3 Escritorio Tabla 9 – Distribución de Equipos
Fuente: Elaboración propia
61
2.2.5 Dispositivos
Adicional de los equipos de cómputo, se cuenta con los siguientes dispositivos:
EQUIPO MARCA
Firewall Fortinet
Servidor de correos Gmail empresarial
Router Cisco 867
Switch Cisco 2960
Servidor Servidor para telefonía asterisk
Teléfono Tabla 10 - Lista de dispositivos
Fuente: Elaboración propia.
2.2.6 Aplicaciones.
Sinergia Profesionales en Seguros utiliza en su operación las siguientes
herramientas tecnológicas:
APLICACIÓN TIPO DE APLICACIÓN
DESCRIPCIÓN
Paquete Office 2016 Herramienta de Ofimática
Microsoft Windows 7 Professional
Sistema operativo
Microsoft Windows 8 Pro
Sistema Operativo
Skype Comunicaciones Para comunicación entre clientes y proveedores
DigiDoc servicio proveedor Cloud
Gestión de archivos
Almacenamiento en la nube de archivos de Formatos, pólizas,
facturación, novedades, soporte de siniestros y otros.
ERP Servicio proveedor Cloud
Gestión contable y financiera
facturación, contabilidad, pagos, cuentas, entre otras.
McAfee Antivirus Antivirus instalado en equipos portátiles y de escritorio
asteriks Gestión Telefónica Suministrado por el servidor Tabla 11 – Aplicaciones
Fuente: Elaboración propia
62
2.3 Análisis de seguridad existente
Con base al levantamiento de información proporcionado por el personal de Sinergia
Profesionales de Seguros Ltda., se destaca que la empresa, aunque no tiene
documentada ninguna norma que haga cumplir las buenas prácticas para manejo
de seguridad de la información, ésta mantiene un sentido común de los procesos
seguros que deben realizarse por cada una de las operaciones o la misma
privacidad de la información. A continuación, se listan las evidencias que existen
con respecto a la seguridad existente.
1. Dentro de las aplicaciones en la nube prestadas por un proveedor del
servicio, se destaca el uso de permiso y roles en las aplicaciones de ERP y
digitalización de documentos, existe todo un gestor de acceso que limita la
divulgación de la información privada dentro del personal de la compañía.
2. Los puertos USB de cada equipo están bloqueados principalmente para
restringirlos de virus y no como un método que involucre robo de información.
3. Cada usuario tiene un equipo de escritorio que sólo es manipulado por él, los
ejecutivos de cuenta colectiva mantienen un equipo portátil con el que visitan
a los clientes, estos equipos no poseen un tipo de restricción para conexión
de redes externas a la empresa WIFI o LAN algo que puede infiltración de
agentes externos por medio de este tipo de redes no propias.
4. Los equipos de escritorio están protegidos con un sistema de pantalla anti
espías para limitar el acceso visual de la información dentro de las
instalaciones.
5. Los quipos cuentan con antivirus y aplicaciones licenciadas.
63
6. La documentación correspondiente a las pólizas, novedades, archivos de
facturación y otros documentos, después de ser almacenada en las
aplicaciones, ésta se resguarda en bolsas marcadas y se envía por medio de
cajas a un outsourcing que administra el archivo inactivo.
7. Actualmente los equipos están protegidos con contraseña, aunque estas
contraseñas no son modificadas por periodos de tiempo determinados.
8. Actualmente la empresa mantiene restringido el acceso no autorizado a sus
instalaciones por medio de proveedor seguridad perimetral.
9. Toda la documentación que es suministrada por la aseguradora y va dirigida
a clientes, está relacionada con políticas de tratamientos de datos
personales, donde el corredor de seguros suministra una carta para su
respectivo uso privado bajo consentimiento propio.
2.3 Propuesta de red para pequeñas y medias empresas
A continuación, se presenta como propuesta de red, el detalle de la infraestructura
técnica con el que puede contar una compañía de corredores de seguros, con el fin
de almacenar su información privada sin depender de terceros, de esta forma puede
mantener un alto estándar de seguridad en la información dentro de su negocio
2.3.1 Base de datos.
Para la operación de procesos, desarrollos y aplicaciones se sugiere implementar
como mínimo el motor de base de datos Microsoft SQL Server 2012, esto debido a su
robustez, ya que proporciona capacidades de centro de datos de tecnología avanzada
completas con un rendimiento ultra rápido, virtualización ilimitada y Business
Intelligence integral, que habilita los mayores niveles de servicio para las cargas de
trabajo de gran importancia y el acceso del usuario final a ideas claras de los datos.
Esto no significa que una empresa corredora de seguros no pueda utilizar motores
diferentes como lo son Oracle o inclusive PostgresSQL.
64
Se debe garantizar un esquema de alta disponibilidad para las bases de datos, por
lo tanto, se recomienda tener un clúster configurado activo – activo donde se
encuentran al menos dos equipos con el mismo servicio, brindando una conexión
instantánea.
Entre las ventajas de manejar un clúster se encuentran la adquisición de nuevas
instancias de bases de datos según la capacidad del mismo y, sobre todo, la
posibilidad de alojar motores totalmente diferentes y comunicarlos entre sí.
Ilustración 5 - Clúster activo – activo
Fuente: Elaboración propia.
65
2.3.2 Aplicaciones.
Las empresas corredoras de seguros cuentas con una serie de aplicaciones para
uso interno y externo sobre las cuales se soporta la operación de la misma, estas
aplicaciones garantizan el normal desempeño de las funciones de la entidad. En
cuanto a las aplicaciones publicadas hacia internet se debe tener una infraestructura
de servidores para garantizar una óptima prestación del servicio, esto con el uso de
un esquema de alta disponibilidad y balanceo de carga NLB (Network Load
Balancing de Microsoft), con la siguiente arquitectura:
Ilustración 6 - Disponibilidad y balanceo
Fuente: Elaboración propia.
Este esquema de NLB garantiza que las aplicaciones publicadas estén disponibles
y con un adecuado performance en su desempeño, ya que cada uno de sus nodos
es una máquina robusta y que con el balanceo de cargas se optimiza la ejecución
de las diferentes aplicaciones.
66
A nivel interno de una compañía corredores de seguros puede disponer de los
siguientes aplicativos para ejecutar sus operaciones:
PROGRAMA DIGITALIZADOR DE ARCHIVOS Y ERP: Programas que
permiten organizar administrar y controlar la información para el manejo
administrativo de los intermediarios de seguros con los siguientes
módulos: Producción, recaudos, cartera, Vencimientos.
PRINT MANAGER PLUS: Software que controla la cantidad de
impresiones realizadas día a día por cada uno de los usuarios.
INFOPOINT: Sistema de radicación de correspondencia.
VIEW TRACK: Software que controla la cantidad de copias, scans y fax
realizados día a día por cada uno de los usuarios a través de las
impresoras.
EAGLE CONTROL ADMINISTRATOR (SOFTWARE DE TARIFICACION
DE LLAMADAS): Software que controla las llamadas entrantes y salientes
de toda la organización.
FOREFRONT: Este es el antivirus utilizado por toda la organización.
MICROSOFT OFFICE PROFESSIONAL: Aplicaciones ofimáticas.
2.3.3 Correo
El contacto vía mensajería electrónica se encuentra en auge, por lo cual las
organizaciones de corredores de seguros deben garantizar el uso del correo
corporativo y por lo tanto es de gran importancia tener un contrato con algún
proveedor de servicios de correo electrónico; entre los principales se destacan:
Gmail.
Outlook
Yahoo mail
Mail.com
67
Con base en la necesidad de la organización se recomienda tener o implementar
como sistema de mensajería (correo electrónico Google Apps16). La información es
considerada el principal activo de las empresas. Por esta razón, contar con un
respaldo o backup de la información es una inversión segura si se considera que la
pérdida de datos clave puede repercutir en la estabilidad y continuidad de la
empresa.
El plan de Recuperación de Desastres consiste en contar con respaldos de
información crítica del negocio ante situaciones como: ataques informáticos, robo,
incendio, inundación u otro desastre. La eficacia de un plan de recuperación de
desastres se suele medir de dos maneras: Recovery Time Objective (RTO) y
Recovery Point Objective (RPO). La primera opción RTO es el tiempo en que se
tarda en recuperar los datos en caso de pérdida y la segunda opción RPO es el
punto de recuperación de los datos, es decir, en qué momento temporal anterior a
la pérdida se recuperan los datos.
Teniendo en cuenta lo anterior Google posee una de las mayores redes de
procesamiento de datos en el mundo, los datos de los clientes y la protección de la
propiedad intelectual tiene la prioridad más alta. Los centros de datos de Google
están protegidos en todo momento. Google dispone de un equipo de seguridad que
se concentra exclusivamente en la seguridad en los sitios de la empresa. Los
controles implementados por Google se ajustan a los requisitos establecidos por la
auditoría SAS 70 Tipo II.
En este contexto Google ofrece servicios en la nube fiable, los cuales se
caracterizan por entornos informáticos redundantes y la asignación dinámica de
recursos, permiten a los clientes acceder a sus datos prácticamente en cualquier
momento y en cualquier lugar en dispositivos con capacidad para Internet.
Los controles de seguridad aplicados por Google, que aíslan los datos durante el
procesamiento en la nube, se desarrollaron al lado de la tecnología de la base desde
el principio. La seguridad es por lo tanto un componente clave de cada uno de los
elementos de computación en la nube.
Para reducir al mínimo la interrupción del servicio debido a un fallo de hardware,
desastres naturales u otras catástrofes, Google implementa un programa de
recuperación de desastres en todos sus centros de datos. Este programa incluye
16 G Suite. Gmail, Documento, Drive y Calendar para empresas. [En línea]. [Consultado 09 de septiembre de
2017]. Disponible en Internet: (https://gsuite.google.com/intl/es/)
68
múltiples componentes para reducir al mínimo el riesgo de cualquier punto de fallo,
incluyendo las siguientes medidas:
La replicación de datos y copia de seguridad: Para ayudar a asegurar la
disponibilidad en caso de un desastre, los datos de Google Apps son replicados en varios sistemas dentro de un centro de datos, y también replicado en un centro de datos secundario.
Ilustración 7 - Correo Gmail
Fuente: Gsuite by google
Google dispone de un conjunto de centros de datos geográficamente distribuidos
que están diseñados para mantener la continuidad del servicio en el caso de un
desastre u otro incidente en una región. Conexiones de alta velocidad entre los
centros de datos ayudará a asegurar la conmutación por error rápidamente. La
gestión de los centros de datos y la administración del sistema también se distribuye
para proporcionar una cobertura independiente de la ubicación en un esquema
siguiendo el sol.
69
Además de la redundancia de los datos y centros de datos regionales dispares,
Google también tiene un plan de continuidad empresarial para su sede en Mountain
View, CA. El cual involucra personas y servicios no disponibles hasta por 30 días.
Este plan está diseñado para permitir la continuación de las operaciones de los
servicios para los clientes. Google realiza pruebas regulares del plan de
recuperación de desastres.
La aplicación y la arquitectura de la red de Google ha sido diseñada para una
máxima fiabilidad y tiempo de funcionamiento. La plataforma de computación de
Google supone un posible fallo de hardware, y un robusto software de conmutación
por error puede resistir esta interrupción. Todos los sistemas de Google son
intrínsecamente redundantes por su diseño, y cada subsistema no depende de
ningún servidor en particular físico o lógico para su operación.
Google Apps ofrece una manera con sólidas capacidades de recuperación de
desastres, para Google la meta de diseño RPO (Objetivo de Punto de
Recuperación) es igual a cero pérdidas de datos y la meta de diseño RTO (Recovery
Time Objetive) es conmutación por error al instante. Google lo hace a través de la
replicación sincrónica o en directo de los datos: cada acción que sus usuarios
realicen en su correo electrónico es a la vez replicado en dos centros de datos a la
vez, de modo que, si un centro de datos falla, casi al instante se transfieren sus
datos al otro.
Los datos se replican varias veces a través de los servidores de Google, por lo que,
en el caso de un fallo de la máquina, los datos serán accesibles a través de otro
sistema, la información también se replica a los centros de datos secundarios para
garantizar la seguridad en caso de fallas en uno de los centros de datos principales.
El objetivo de Google es no perder los datos cuando se están transferido de un
centro de datos a otro, por tanto, tiene conexiones de alta velocidad entre ellos, para
poder transferir los datos muy rápidamente de un conjunto de servidores a otro. Esto
le permite a Google replicar grandes cantidades de datos al mismo tiempo y se
transfieren los datos con tanta rapidez que ni siquiera los usuarios perciben cuando
un centro de datos está experimentando una interrupción.
Google Apps tiene el mismo nivel de replicación de datos para todas las
aplicaciones importantes en la suite de Google Apps: Gmail, Google Calendar,
Google Docs y Google Sites.
Todo lo anterior confirma que si hay un desastre o una interrupción que afecta a uno
de sus centros de datos, Google es capaz de trasladar a los usuarios a un centro
de datos alternativo, por lo que se puede seguir trabajando sin interrupciones. Su
70
correo electrónico y los documentos serán accesibles para que su organización
pueda continuar a pesar del desastre. Esta es una de las principales razones por
las que los negocios confían sus datos a Google Apps.
2.3.4 Infraestructura (Servidores, Storage)
Se cuenta con una red de datos de aproximadamente de setecientos puntos físicos
y se tiene una proyección a cinco años de mil cuatrocientos puntos de red, esta
plataforma de red se soporta sobre plataforma Microsoft Windows Server 2008 R2
para la administración de servidores físicos, virtuales y un aproximado de
setecientos equipos de cómputo, los cuales operan con sistemas operativos
Windows 7, Windows 8.1, Windows 10. Todas las aplicaciones y procesos de
operación crítica se ejecutan sobre esta plataforma y sobre estos servidores, existen
otros componentes hardware que son complemento de esta plataforma como son
las unidades de Storage SAN “red de área de almacenamiento, en inglés SAN
(Storage Área Network)” y la EVA, sistemas para el respaldo de la información
“Librería SDLT y la VTL virtual tape library” o librería de cintas virtuales. Todos estos
componentes están bajo una estructura y un diseño para soportar la operación de
la entidad, a continuación, se describe esta arquitectura:
Ilustración 8 - Red de servidores
Fuente: Elaboración propia.
71
2.3.5 Redes y comunicaciones (Switches, routers, canales).
Para interconectar a sus cerca de setecientos usuarios que requieren trabajar en
red y que tiene como base de operación el funcionamiento de la red y del dominio
corporativo, requiere de una infraestructura de networking que soporte este nivel de
usuarios, contemplando la proyección y crecimiento de los mismos con el paso
transcurrir del tiempo, y de la misma manera un diseño y una configuración lógica
que garantice un óptimo rendimiento de los equipos activos instalados, la red
Ethernet de la entidad cuenta aproximadamente con setecientos puntos dobles,
bajo una plataforma Microsoft Windows Server 2008 R2 Enterprise, con un Forest y
un Active Directory nativo en Windows.
2.3.6 Topología física
La siguiente imagen muestra la distribución de equipos y la topología física de la
red.
Ilustración 9 - Topología física
Fuente: Elaboración propia.
72
2.3.7 Cableado horizontal.
El cableado debe estar enmarcado en un soporte distribuido horizontalmente en
cada aula u oficina, llevarán sus respectivas derivaciones para cumplir el objetivo
final que es llevar los cables hasta cada puesto de trabajo, estas canaletas plásticas
junto con sus accesorios terminarán en una caja y esta caja tendrá su respectivo
faceplate, el cual portará Jack RJ45.
Se debe considerar su proximidad con el cableado eléctrico generador de altos
niveles de EMI (interfaces electromagnéticas) limitaciones descritas en el estándar
ANSI/EIA/TIA 569. Máxima longitud de 90 metros.
La altura de los faceplates desde el piso debe ser de 30 a 45 centímetros. El rack
soporta: los equipos activos de red LAN, patch panels, UTP y sus accesorios)
dependiendo del cuarto donde se alojará se optará por ser cerrado o abierto.
En el rack se debe instalar patch panel de puertos categoría 6 o superior y sistema
frontal de conexión tipo RJ-45. Utilizar organizadores para situar y seleccionar
correctamente los patch cords entrantes a puertos UTP de equipos activos, los
cuales deben ser categoría 6 o superior.
2.3.8 Infraestructura Física (Ups, Electricidad, Aire acondicionado).
La operación de toda la plataforma tecnológica, requiere de una serie de
adecuaciones e instalaciones que permiten el funcionamiento de los diferentes
componentes de hardware y software que soportan la misma. Varios de estos
elementos y servicios su operación y mantenimiento son requeridos para evitar
inconvenientes en la operación.
Aire Acondicionado centro de cómputo (soporte y mantenimiento).
Sistema de detección y extinción de incendios (soporte y mantenimiento).
Sistema de alimentación eléctrica regulada (mantenimiento y soporte a las
UPS y planta eléctrica).
Sistema de monitoreo y alarmas. (sensores y personal que opera la central
de monitoreo).
73
Vigilancia privada (personal de la empresa de vigilancia, control de acceso).
Por tal motivo se interactúa con esta dirección para coordinar la operación y
mantenimiento de los elementos anteriormente mencionados.
2.3.9 Seguridad informática.
La velocidad de los cambios tecnológicos actuales, la multiplicidad de plataformas,
marcas, soluciones y otros, hacen cada día más difícil el tratamiento de la
información de manera eficiente y segura. Sumado a esto, encontramos las barreras
de distancia y tiempo comunes a cada uno de nosotros, lo que entorpece aún más
la actualización tecnológica.
La seguridad informática consiste en asegurar que los recursos de los sistemas de
información (material informático o programas) del DANE sean utilizados de la
manera que se decidió y que el acceso a la información allí contenida, así como su
modificación sólo sea posible a las personas que se encuentren acreditadas y
dentro de los límites de su autorización.
Podemos entender como seguridad un estado de cualquier tipo de información
(informático o no) de como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para que un
sistema se pueda definir como seguro debe tener estas tres características:
Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Dependiendo de las fuentes de amenaza, la seguridad de la entidad puede dividirse
en dos partes: seguridad física y seguridad lógica.
74
2.3.10 Seguridad física.
Para las compañías corredoras de seguros es muy importante ser consciente que
por más que nuestra entidad sea la más segura desde el punto de vista de ataques
externos (hackers, virus, ataques de DoS.); la seguridad de la misma será nula si
no se ha previsto como combatir un incendio o cualquier otro tipo de desastre natural
y no tener presente políticas claras de recuperación.
Si bien algunos de los aspectos de seguridad física básicos se prevén, otros, como
la detección de un atacante interno a la empresa que intenta acceder físicamente a
una sala de cómputo de la misma, no. Esto puede derivar en que para un atacante
sea más fácil lograr tomar y copiar una cinta de backup de la sala de cómputo, que
intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la
“aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información
confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y
alrededor del centro de cómputo, así como los medios de acceso remoto al y desde
el mismo; implementados para proteger el hardware y medios de almacenamiento
de datos.
Las principales amenazas que se prevén en Seguridad Física son:
Desastres naturales, incendios accidentales, tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
Evaluar y controlar permanentemente la seguridad física de las instalaciones de
cómputo y del edificio es la base para comenzar a integrar la seguridad como una
función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
Disminuir siniestros.
Trabajar mejor manteniendo la sensación de seguridad.
75
Descartar falsas hipótesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes
2.3.10.1 Control de acceso
Planta Física-Edificios: Para el ingreso a las instalaciones de la entidad esta
cuenta con los servicios de una empresa especializada en seguridad y vigilancia, la
cual realiza tareas de registro y control al personal externo e interno. En cada uno
de los pisos se cuenta con una persona de esta empresa que vigila el acceso del
personal y la entrada y salida de elementos con anotaciones en libros de bitácoras.
Para los accesos a las dependencias o direcciones ya los funcionarios deben contar
para ingresar con sus tarjetas de control de acceso “magnéticas”.
Independiente a esto se realiza una vigilancia y supervisión por medio de cámaras
que están ubicadas en lugares estratégicos “fuera y dentro de las instalaciones” las
cuales son monitoreadas las 24 horas del día por personal capacitado en una sala
de control.
Centro de Cómputo: El centro de cómputo cuenta con un sistema más complejo
de control de acceso completamente independientes del sistema del sistema de
seguridad principal de la entidad, para el ingreso al centro de cómputo se cuenta
con un sistema de exclusa en donde en la primera puerta) permite el acceso a la
sala de los administradores del sistema y una segunda puerta que permite el acceso
a personas que están registradas y autorizadas, las dos abren con un sistema de
control de acceso biométrico “huella digital”.
1. Tablero de comando del sistema de detección de intrusos con sus
respectivos dispositivos de alarma, sensores de movimiento y cámaras de
monitoreo.
2. Sistema de control de acceso biométrico con su respectivo sistema de
administración instalado en uno de los computadores de los administradores
de la plataforma.
76
Ilustración 10 - Controles de acceso
Fuente: Fotografía elaboración propia.
2.3.11 Seguridad lógica.
Luego de ver como nuestro sistema puede verse afectado por la falta de seguridad
física, es importante recalcar que la mayoría de los daños que puede sufrir un centro
de cómputo no será sobre los medios físicos sino contra información almacenada y
procesada.
Así, la seguridad física sólo es una parte del amplio espectro que se debe cubrir
para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado,
el activo más importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física que la proteja. Estas técnicas las brinda la
Seguridad Lógica.
La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos que
resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas
autorizadas para hacerlo”. Partimos de la premisa ya conocida que “todo lo que no
está permitido debe estar prohibido” y esto es lo que debe verificar la Seguridad
Lógica.
77
Los objetivos que se definen son:
Restringir el acceso a los programas y archivos.
Asegurar que los funcionarios puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizando los datos, archivos y programas correctos
en y por el procedimiento correcto.
Que la información transmitida sea recibida por el destinatario al cual ha sido
enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
2.4 ESTADO ACTUAL – COMPARACIÓN NORMA ISO/IEC 27001
Para desarrollar un correcto SGSI basado en la norma ISO/IEC 27001 de 2013 se
ejecuta un detallado análisis de la situación actual de la organización Sinergia
Profesionales en Seguros Ltda, el cual nos permite evaluar el contexto en el que se
encuentra, brindando la oportunidad de tener un punto de partida y poder determinar
cuáles son las mejores alternativas a implementar en el momento de diseñar una
política de seguridad de la información.
En el anexo A se encuentra, de forma completa, la encuesta realizada a la
organización y la que nos muestra los resultados obtenidos tras evaluar 117 ítems
distribuidos en los 14 dominios de seguridad que establece la norma. Las posibles
respuestas se encuentran divididas en tres categorías (CS, CP, NC) como se
muestra en la siguiente tabla.
78
SIGLA
ESTADO DE EVALUACIÓN
DESCRIPCIÓN
NC
No Cumple. No se ha implementado en la organización
CP
Cumple Parcialmente.
Se tienen normas establecidas que son basadas en la ISO 27001, se tienen implementadas pero no cumple a
cabalidad con lo definido en la norma
CS
Cumple Satisfactoriamente.
Existe, es gestionado, se está cumpliendo con lo que dice la norma ISO 27001, está documentado, es conocido y
aplicado por todos los involucrados de la organización en el SGSI
Tabla 12 - Ítems de respuesta encuesta: estado actual de la organización.
Fuente: Elaboración propia.
Finalizado el proceso de validación del estado actual de la organización se obtienen
los siguientes resultados:
Ilustración 11 - Resultados encuesta Estado de la organización
Fuente: Elaboración propia.
Resultados de la consulta organizacional
CS
CP
NC
79
La ilustración anterior se construye a partir de los datos recopilados por la encuesta
realizada para identificar y comparar el estado de la organización con respecto a la
norma ISO/IEC 27001 de 2013.
ANEXO
DOMINIO CS CP NC
CANT. ITEMS
A5 POLÍTICA DE SEGURIDAD. 0 3 3 6 A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN. 2 3 1 6 A7 SEGURIDAD DE LOS RECURSOS HUMANOS. 3 3 3 9 A8 GESTIÓN DE ACTIVOS. 0 4 5 9 A9 CONTROL DE ACCESO. 3 7 4 14
A10 CRIPTOGRAFÍA. 0 1 4 5 A11 SEGURIDAD FÍSICA Y AMBIENTAL. 3 3 8 14 A12 SEGURIDAD EN LAS OPERACIONES. 1 5 6 12 A13 SEGURIDAD EN LAS COMUNICACIONES. 1 5 1 7
A14
ADQUSICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
1 7 1 9
A15 RELACIÓN CON PROVEEDORES. 4 2 0 6 A16 GESTIÓN DE LOS INCIDENTES DE SEGURIDAD. 1 5 1 7 A17 CONTINUIDAD DEL NEGOCIO. 0 4 1 5
A18
CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Y CONTRACTUALES.
5 2 1 8
CS CP NC
TOTAL ELEMENTO EVALUADOS: 24 54 39 117 Tabla 13 - Resultados Estado actual comparado con la ISO 27001-2013
Fuente: Elaboración propia.
Los resultados obtenidos en la evaluación, nos permite evidenciar que gran parte
de los ítems no se encuentran sujetos a la norma ISO/IEC 27001 y que sólo el 20%
de los mismos se cumplen en la organización.
Se plantea a Sinergia Profesionales en Seguros Ltda, la importancia de llevar a
cabalidad el cumplimiento de la norma y de los beneficios que se pueden obtener si
se aplica de la forma correcta. A continuación, se realiza una descripción de los
hallazgos realizados con la información entregada.
80
2.4.1 A5 Políticas de seguridad de la información
Se busca que la dirección brinde orientación y soporte para la seguridad de la
información de acuerdo con los requisitos del negocio y con las leyes y reglamentos
pertinentes. Se determina que Sinergia Profesionales en Seguros Ltda. Tienen
grandes falencias en las políticas, procedimientos y controles para garantizar la
seguridad de la información.
Ilustración 12 - A5 Política de seguridad
Fuente: Elaboración propia.
Este análisis actual de la política de seguridad permite a la organización determinar
los mecanismos necesarios para lograr cambiar las estadísticas encontradas. Se
evidencia que el 50% de las políticas evaluadas no se cumplen en la organización
y el otro 50% se cumplen de forma parcial, exigiendo a la organización actualizar e
implementar nuevas medidas para cambiar estos porcentajes de forma favorable.
2.4.2 A6 Organización de la seguridad de la información
Establece un marco de referencia de gestión para iniciar y controlar la
implementación y operación de la seguridad de la información dentro de la
organización. Sinergia Profesionales en Seguros Ltda. Ha venido trabajando en este
punto generando acuerdos de confidencialidad, definiendo roles, asignando
responsables y realizando capacitaciones.
CS0%
CP50%
NC50%
Política de seguridad
CS
CP
NC
81
Ilustración 13 - A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN
Fuente: Elaboración propia.
La organización con los resultados obtenidos debe empezar a establecer un marco
de referencia para iniciar y controlar la implementación y la operación de la
seguridad de la información. Los responsables de la seguridad de la información
deben implementar mecanismos efectivos para hacer cumplir el 17% de las políticas
que no se cumplen (NC) y lograr llevar el 50% de las que se cumplen parcialmente
(CP), llevando a cumplir satisfactoriamente (CS) las políticas evaluadas.
2.4.3 A7 Seguridad de los recursos humanos.
Establece los procesos y mecanismos para generar garantías donde se realice una
correcta selección de los empleados y contratistas, buscando que al mismo tiempo
estos comprendan sus responsabilidades frente a la organización.
CS33%
CP50%
NC17%
A6 ORGANIZACIÓN DE LOS SISTEMAS DE INFORMACIÓN.
CS
CP
NC
82
Ilustración 14 - A7 Seguridad de los recursos humanos
Fuente: Elaboración propia.
El anterior gráfico muestra que la organización debe reforzar sus lazos con los
empleados y contratistas, aunque las estadísticas están equilibradas los altos
directivos son conscientes que para cumplir los objetivos es necesario llevar a que
todas las políticas se cumplan de forma satisfactoria. La organización debe
comprometerse en asegurar que los empleados y los contratistas comprendan sus
responsabilidades ante la misma con el fin de llevar al 100% todas las políticas.
2.4.4 A8 Gestión de activos.
Se ejecuta una identificación de activos organizacionales para definir
responsabilidades de protección, garantizando que la información recibe un nivel
apropiado de protección, de acuerdo con su importancia para la organización. Se
determina que Sinergia Profesionales en Seguros Ltda. Ha implementado por
iniciativa medidas para gestionar los activos, sin embargo, no son lo suficientemente
concretas para cumplir con la norma, teniendo como eje un gran porcentaje de
activos en situación de alto riesgo.
CS34%
CP33%
NC33%
A 7 SEGURIDAD DE LOS RECURSOS HUMANOS.
CS
CP
NC
83
Ilustración 15 - A8 Gestión de activos
Fuente: Elaboración propia.
El gráfico anterior muestra que la organización no tiene un correcto control de los
activos ya que ninguna política cumple satisfactoriamente, el 44% cumplen
parcialmente (CP) y el 56% no cumplen (NC). Los altos directivos deben
implementar los mecanismos y políticas correspondientes con el objetivo de
identificar los activos de la organización y asignar a los profesionales responsables
de los mismo y así cambiar estas estadísticas.
2.4.5 A9 Control de acceso.
Es muy importante para la organización tener un estricto control de acceso a la
información e instalaciones, con el objetivo de minimizar riesgos.
CS0%
CP44%
NC56%
A8 GESTIÓN DE ACTIVOS.
CS
CP
NC
84
Ilustración 16 - A9 Control de acceso.
Fuente: Elaboración propia.
En el gráfico anterior se evidencia que Sinergia Profesionales en Seguros Ltda, tiene
implementada algunas medidas para controlar el acceso, pero no son suficientes
para proteger todos sus activos, los altos directivos deben implementar políticas que
permitan cambiar se 29% de políticas que no se cumplen (NC) y optimizar el 50%
de las que se cumplen parcialmente (CP).
2.4.6 A10 Criptografía.
Con la criptografía se busca asegurar un uso apropiado y eficaz para proteger los
datos confidenciales, autenticidad y/o la integridad de la información. Se evidencia
que Sinergia Profesionales en Seguros Ltda. Son muy básicos los controles de
protección de información con sistemas criptográficos, de hecho, se podría decir
que procesos de criptografía no existen ya que parte de sus bases de datos se
manejan en documentos Excel.
CS21%
CP50%
NC29%
A9 CONTROL DE ACCESO.
CS
CP
NC
85
Ilustración 17 – A10 Criptografía.
Fuente: Elaboración propia.
La gráfica anterior compromete a los altos directivos a buscar e implementar
políticas con la mayor brevedad ya que el 80% de los ítems evaluados no se
cumplen (NC), teniendo como objetivo principal proteger de forma segura la
información por medio de mecanismos criptográficos.
2.4.7 A11 Seguridad física y ambiental.
Sinergia Profesionales en Seguros Ltda. Viene trabajando en mejorar las
condiciones de seguridad de sus instalaciones, sin embargo, las acciones
realizadas hasta el momento no son lo suficientemente concretas para minimizar
los riesgos latentes a los que se encuentra expuesta la organización. En el siguiente
gráfico, se evidencia el porcentaje de avance con relación a la encuesta realizada
comparado las medidas existentes con la ISO/IEC 27001 de 2013.
CS0% CP
20%
NO80%
A10 CRIPTOGRAFÍA.
CS
CP
NO
86
Ilustración 18 – A11 Seguridad física y ambiental.
Fuente: Elaboración propia.
En la anterior ilustración se logra identificar que la organización no se encuentra de
forma equilibrada para cumplir las políticas de seguridad física y ambiental. Los altos
directivos de la organización, con ayuda del auditor y las políticas que se
implementen deben lograr cambiar el 57% de políticas que no se cumplen (NC) y
optimizar el 21% de las que se cumplen parcialmente (CP).
2.4.8 A12 Seguridad de las operaciones.
Con la seguridad en las operaciones se busca obtener procesos concretos y
seguros en el procesamiento de la información. Aquí, se incluyen controles contra
códigos maliciosos, respaldo de información, registro de eventos. Sinergia
Profesionales en Seguros Ltda. Ha llegado a cumplir en un mínimo porcentaje de
forma satisfactoria y de forma parcial estos objetivos, sin embargo, contar con
operaciones que no tienen seguridad en el 50% de sus procesos logra dejar en
evidencia que su estado es muy vulnerable.
CS22%
CP21%
NC57%
A11 SEGURIDAD FÍSICA Y AMBIENTAL.
CS
CP
NC
87
Ilustración 19 – A12 Seguridad en las operaciones.
Fuente: Elaboración propia.
Prevenir la perdida, daño, robo o compromiso de los activos, y la interrupción de las
operaciones de la organización es uno de los retos más alto de la organización.
Como se evidencia en la ilustración 19, sólo el 8% de las políticas se cumplen
satisfactoriamente (CS) mientras que el 50% no se cumplen (NC).
2.4.9 A13 Seguridad de las comunicaciones.
El nivel de preocupación por asegurar la protección de la información en las redes
y la transferencia de la información en Sinergia Profesionales en Seguros Ltda. Se
enfocado en establecer medidas que mitiguen la pérdida o el hurto de la
información, de tal forma que se pueda garantizar la integridad, confidencialidad y
disponibilidad de la misma en el momento del intercambio entre la organización y
los clientes a través de las herramientas establecidas.
Se evidencia que se tienen varios procesos en ejecución que llevan a la
organización para cumplir a cabalidad este ítem, sim embargo, las medidas
implementadas no se encuentran enfocadas en su totalidad a la norma ISO/IEC
27001 de 2013. A continuación, se muestran los resultados obtenidos en la
encuesta realizada en la organización.
CS8%
CP42%
NC50%
A12 SEGURIDAD EN LAS OPERACIONES.
CS
CP
NC
88
Ilustración 20 – A13 Seguridad en las comunicaciones.
Fuente: Elaboración propia.
Mantener la seguridad de la información transferida dentro y fuera de la
organización, y con cualquier entidad externa es uno de los compromisos de la alta
gerencia. La ilustración 20 muestra que se ha trabajado en políticas para la
seguridad de las comunicaciones con un 72% de cumplimiento parcial (CP) y un
14% de no cumplimiento (NC).
2.4.10 A14 Adquisición, desarrollo y mantenimiento de sistemas.
Sinergia Profesionales en Seguros Ltda. Es una organización joven que busca
posicionarse en el mercado de forma sólida, ha implementado tareas
correspondientes a los procesos de adquisición, desarrollo y mantenimiento de
sistemas basados en el sentido común. Aunque no se tienen procedimientos
formales, si se tienen establecidos mecanismos y una serie de pasos para este tipo
de proceso que busca el bien organizacional. Con las tareas realizadas se busca
garantizar la seguridad de la información durante todo el ciclo de vida de los
sistemas de información, pero se requiere establecer y aplicar reglas para minimizar
cualquier riesgo o amenaza que se pueda presentar.
CS14%
CP72%
NC14%
A13 SEGURIDAD EN LAS COMUNICACIONES.
CS
CP
NC
89
Ilustración 21 – A14 Adquisición, desarrollo y mantenimiento de sistemas.
Fuente: Elaboración propia.
Con el 78% de cumplimento parcial (CP) y un 11% de no se cumple (NC), como se
muestra en la ilustración 21, la alta gerencia debe implantar mejoras en las políticas
con el objetivo de cambiar estos valores a “cumple satisfactoriamente” (CS).
2.4.11 A15 Relaciones con los proveedores
Sinergia Profesionales en Seguros Ltda. Tiene como uno de sus principios el
mejorar continuamente la relación que existe entre proveedores – organización, con
el objetivo de buscar y brindar los mejores beneficios a sus clientes. Es por ello que
este ítem evaluado es uno con las mayores calificaciones, puesto que el modelo de
negocio requiere que esta relación sea fuerte y de forma transparente.
CS11%
CP78%
NC11%
A14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
CS
CP
NC
90
Ilustración 22 – A15 Relación con proveedores.
Fuente: Elaboración propia.
Cumpliendo el 67% de forma satisfactoria (CS) y con un 33% de cumplimiento
parcial (CP), como se muestra en la ilustración 22, la organización debe tener
conocimiento que no es suficiente. Asegurar la información y la prestación de
servicios con los proveedores permitirá a la organización cumplir el 100% de las
políticas establecidas.
2.4.12 A16 Gestión de los incidentes de seguridad.
La gestión de los incidentes comprende en asegurar un enfoque coherente y eficaz
para el manejo de los mismos que se relacionan con la seguridad de la información,
incluida la comunicación sobre eventos de seguridad y debilidades.
CS67%
CP33%
NC0%
A15 RELACIÓN CON PROVEEDORES.
CS
CP
NC
91
Ilustración 23 – A16 Gestión de los incidentes de seguridad.
Fuente: Elaboración propia.
Se evidencia que Sinergia Profesionales en Seguros Ltda cuenta con medidas que
no permiten manejar de la mejor manera este tipo de incidentes, sin embargo, el
hecho de que exista un porcentaje amplio de ítems que cumplen parcialmente nos
muestra que la organización está trabajando en el mejoramiento de la gestión de
los incidentes, asignando responsables, generando documentación actualizada de
los hechos presentados, atendiendo los incidentes con la mayor brevedad posible.
Se resalta que es de gran importancia para cualquier organización cumplir este
conjunto de Ítems de forma completa para minimizar los riesgos y amenazas
existentes.
2.4.13 A17 Gestión de la continuidad del negocio
Sinergia Profesionales en Seguros Ltda entiende que el cliente lo es todo, por lo
tanto, se ha buscado que el negocio siempre esté en constante continuidad. Se
evidencia que cuenta con medidas implementadas para lograr este objetivo y que
el porcentaje que no cumple es bajo, pero lo que tiene actualmente no es suficiente,
ya que la no organización de las medidas implementadas puede generar un efecto
contrario en la organización.
CS14%
CP72%
NC14%
A16 GESTIÓN DE LOS INCIDENTES DE SEGURIDAD.
CS
CP
NC
92
Ilustración 24 – A17 Continuidad del negocio.
Fuente: Elaboración propia.
En este punto, se recomienda reevaluar lo los mecanismos de continuidad de
negocio existentes, lo que no se tienen y ejecutar un trabajo de re estructuración
para llevar a su máximo potencial la continuidad del negocio y lograr minimizar los
eventos de riego a los que se enfrenta la organización.
2.4.14 A18 Cumplimiento con requerimientos legales y contractuales.
Sinergia Profesionales en Seguros Ltda siendo una empresa joven entiende la
importancia de cumplir a cabalidad todos los requerimientos legales que se tienen
en su campo de desempeño, esto lo hace con un objetivo principal y este se
relaciona con el cliente, y de e igual forma, todos los compromisos legales que se
adquieren el mismo garantizando el compromiso de la organización.
CS0%
CP80%
NC20%
A17 CONTINUIDAD DEL NEGOCIO.
CS
CP
NC
93
Ilustración 25 – A18 Cumplimiento con requerimientos legales y contractuales.
Fuente: Elaboración propia.
Se evidencia que el trabajo realizado hasta el momento es bueno, pero no lo
suficiente para cumplir con estándares de las grandes organizaciones, por lo tanto,
en el porcentaje que no se cumple de forma satisfactoria se debe trabajar para
alcanzar el objetivo del 100%
Una vez realizado el análisis de la situación actual de la organización en los
diferentes dominios de la norma ISO/IEC 27001 de 2013 se evaluaron un total de
117 ítems, donde el 20.5% se cumplen satisfactoriamente (24 ítems), el 46.1 % se
cumplen de forma parcial (54 ítems) y el 33.4% no se cumplen (39 ítems).
Este análisis demuestra que la organización Sinergia Profesionales en Seguros Ltda
requiere de manera urgente la implementación de forma pronta y efectiva de las
políticas de seguridad planteadas y diseñadas en un SGSI, por lo tanto, se debe
construir e implementar de forma efectiva con el principal objetivo de minimizar los
riesgos y amenazas a los que se encuentra expuesta la organización basados en
los principales hallazgos realizados en este análisis inicial.
CS62%
CP25%
NC13%
A18 CUMPLIMIENTO CON REQUERIMIENTOS LEGALES Y CONTRACTUALES.
CS
CP
NC
94
Sinergia Profesionales en Seguros Ltda se encuentra comprometida con la calidad
de sus productos y servicios con el objetivo de brindar la mejor opción a los clientes,
para ello, es consciente de la importancia de elaborar, implementar y ejecutar en un
cien por ciento un Sistema de Gestión de Seguridad de la Información (SGSI)
basados en el siguiente principio al que se llegó tras el análisis final de estado actual
de la organización:
“En lo que respecta a la seguridad de la información, uno de los aspectos más
importantes es comprender que esta debe ser gestionada, especialmente cuando
se trata de proteger redes corporativas.
Toda organización tiene objetivos, por lo general relacionados con el mercado y los
negocios, y requiere que, desde los procesos de operaciones hasta las políticas de
uso de recursos, sean definidos a un nivel general, de manera confiable. Si bien
gran parte de la información se vincula con computadoras y redes, hay otra parte
que no se representa en forma de bits, sino por ejemplo en papeles, en la memoria
de las personas, en el conocimiento y experiencia de la organización misma, en la
madurez de sus procesos. En ambos casos, la información debe ser protegida de
manera diferente, y aquí entra en juego un SGSI.”
Fuente: Ingrid Paola Gómez: Ejecutiva, Sinergia Profesionales en Seguros LTDA.
95
2.5 Alcances y limitaciones.
El proyecto busca realizar un análisis de la situación actual de la seguridad de la
información que adminsitra Sinergia profesionales en seguros, con el fin de
establecer inicialmente los principios básicos de un SGSI dentro de la compañía.
2.5.1 Alcance del SGSI
El proyecto se lleva a cabo en la empresa Sinergia Profesionales en Seguros, con
la alta gerencia se definió como alcance máximo del proyecto la construcción de las
políticas (documentos aplicables) necesarias para la reducción de los riesgos y
amenazas identificadas en el análisis de riesgos.
De acuerdo al estándar internacional ISO/IEC 27001:2013, se debe realizar un
diagnóstico de la situación actual de la seguridad de la información, se evaluarán
las amenazas, riesgos e impactos, permitiendo así un análisis comparativo de los
controles a ser establecidos en la organización, respecto a los controles planteados
en la norma.
Lo anterior teniendo en cuenta que con ellos se abordan las tres (3) áreas críticas
de cualquier organización como son los activos, la seguridad (física y ambiental), y
el control de acceso y adicionalmente estos dominios están directamente
relacionados con los tres pilares básicos de la seguridad como son: la
confidencialidad, integridad y disponibilidad.
2.5.2 Limitaciones del SGSI
2.5.2.1 Geográfica: El Proyecto se desarrolla en las instalaciones de la empresa
Sinergia Profesionales en Seguros, única sede registrada por la empresa
actualmente que se encuentra ubicada en la Ciudad de Bogotá D.C., donde se
diseña un sistema de gestión de seguridad de la información, que inicialmente se
adapta a la organización, pero puede ser adoptado a diferentes corredores de
seguros.
2.5.2.2 Temporal: Este proyecto se ejecutará en un término de cuatro (4) Meses,
de acuerdo con las diferentes actividades a realizar durante el desarrollo del mismo.
96
2.5.2.3 Conceptual: Los conceptos a manejar en este proyecto son los relacionados
con la seguridad de la información, sistema de gestión de seguridad de la
información (SGSI), disponibilidad, disponibilidad, integridad, riesgos,
administración de riesgos, políticas de seguridad de la información y controles.
2.5.2.4 Operativa: Este proyecto diseñará un modelo sistema de gestión de
seguridad de la información (SGSI) basado en los procesos de la empresa Sinergia
Profesionales en Seguros cuya actividad principal es la correduría de seguros, en
aras de lograr un mejor nivel de protección de los activos de la organización, mejora
económica y visibilidad positiva de la compañía a nivel local y nacional.
2.5.2.5 Personal: Inicialmente el proyecto busca estimular a las buenas practicas e
implementación, guiando así el personal que labora en Sinergia Profesionales en
Seguros en temas como la importancia que tiene esta investigación en relación con
los procesos que se realizan diariamente en su compañía, esto permite múltiples
beneficios internos tales como: Eficiencia, productividad, calidad de
producto/Servicio y control sobre los procesos.
2.5.2.6 Económicas: A través de la realización de este proyecto, se proveerá de
medios que permitan prevenir y resolver los problemas relacionados con la
seguridad de la información, permitiendo así un ahorro en los gastos generales
relacionados a la seguridad de la información actual.
2.6 Definición de la política de seguridad
Las políticas de seguridad (Anexo D), estipuladas en este documento, definen lo
que está permitido, procedimientos a seguir y la responsabilidad de cada funcionario
frente al acceso y tratamiento de los activos de la compañía, definiendo así
procedimientos y herramientas necesarias. Estas políticas expresan el consenso de
alta gerencia y permite adoptar una buena actitud dentro de la organización.
Los objetivos fundamentales de estas políticas son:
Minimizar los riesgos de las funciones más importantes de la Sinergia
Profesionales en Seguros.
Cumplir con los principios de la seguridad de la información de la
organización.
Cumplir con los principios de la función administrativa en la organización,
optimizando los niveles de seguridad existentes.
97
Implementar el sistema de gestión de seguridad de la información SGSI como
modelo para Sinergia Profesionales en Seguros y organizaciones de
correduría de seguros.
Proteger los activos de la organización.
Establecer políticas, procedimientos e instructivos en materia de seguridad
de la información.
Fortalecimiento de la cultura por la seguridad de la información para:
administrativos, colaboradores, contratistas y practicantes dentro y fuera de
la organización.
Garantizar la continuidad de operación de Sinergia Profesionales en
Seguros, frente a incidentes de seguridad.
2.7 Aplicabilidad
Estas políticas se aplican para todos los administrativos, colaboradores, contratistas
practicantes, visitantes y demás personas que se encuentren relacionados con
Sinergia Profesionales en Seguros.
2.8 Nivel de cumplimiento
Para todo el personal que abarca el alcance y aplicabilidad, se espera que se
adhieran en un 100% de las políticas de seguridad, optimizando así los niveles de
seguridad en la organización.
98
3. GESTIÓN DE RIESGOS
En el presente capítulo se detalla la metodología a utilizar para la gestión de riesgos
relacionados con las organizaciones corredores de seguros, con el objetivo principal
de establecer un documento base en el cual se pueden guiar las entidades
mencionadas y a fines que busque establecer controles para mitigar riesgos.
3.1 Metodología.
Todas las actividades de una organización implican riesgo. Las organizaciones
gestionan el riesgo mediante su identificación y análisis y luego evaluando si el
riesgo se debería modificar por medio del tratamiento del riesgo con el fin de
satisfacer los criterios del riesgo. A través de este proceso, las organizaciones se
comunican y consultan con las partes involucradas, monitorean y revisan el riesgo
y los controles que lo están modificando con el fin de garantizar que no se requiere
tratamiento adicional del riesgo. La norma NTC - ISO 3100017 describe el proceso
sistemático y lógico en detalle.
Aunque todas las organizaciones gestionan el riesgo de algún grado, esta norma
establece un número de principios que es necesario satisfacer para hacer que la
gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones
desarrollen, implementen y mejoren continuamente un marco de referencia cuyo
propósito sea integrar el proceso para la gestión del riesgo en los procesos globales
del gobierno, estrategia y planificación, gestión, procesos de presentación de
informe, políticas, valores y cultura de la organización.
La gestión del riesgo puede aplicar a todas las organizaciones, en todas sus muchas
áreas y niveles, en cualquier momento, así como a funciones, proyectos y
actividades específicos.
Aunque la práctica de la gestión el riesgo se ha desarrollado con el paso del tiempo
y en muchos sectores para satisfacer diversas necesidades, la adopción de
procesos consistentes dentro de un marco de referencia exhaustivo puede ayudar
a garantizar que el riesgo se gestione eficaz, eficiente y coherentemente en toda la
17 Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, Página [29],[en línea],[consultado el
20 de Abril de 2018], Disponible en: https://sitios.ces.edu.co/Documentos/NTC-
ISO31000_Gestion_del_riesgo.pdf
99
organización. El enfoque genérico que se describe en esta norma suministra los
principios y las directrices para la gestión de cualquier forma de riesgo en una
manera sistemática, transparente y creíble, y en cualquier alcance y contexto.
Cada sector específico o cada aplicación de la gestión del riesgo traen consigo
necesidades, audiencias, percepciones y criterios individuales. Por lo tanto, una
característica clave de esta norma es la inclusión de “establecimiento del contexto”
como una actividad al inicio de este proceso genérico para la gestión del riesgo. Al
establecer el contexto se capturarán los objetivos de la organización, el entorno en
el cual ella persigue sus objetivos, sus partes involucradas y la diversidad de
criterios de riesgo; todo conjunto ayudará a revelar y evaluar la naturaleza y
complejidad de sus riesgos.
La relación entre los principios para la gestión del riesgo, el marco de referencia en
el cual ésta sucede y los procesos de gestión del riesgo descritos aquí se ilustran
en la siguiente figura.
Ilustración 26 - Relaciones entre los principios, en el marco de referencia y los procesos de la gestión del
riesgo.
Fuente: NTC – ISO 31000
100
3.2 Ventajas de la implementación de la gestión de riesgos
Cuando la gestión del riesgo se implementa y se mantiene de acuerdo con esta
norma, dicha gestión le permite a la organización, entre otras cosas:
Aumentar la probabilidad de alcanzar los objetivos.
Fomentar la gestión proactiva.
Ser consciente de la necesidad de identificar y tratar los riesgos en toda la
organización.
Cumplir con los requisitos legales y reglamentarios pertinentes y con las
normas internacionales.
Mejorar la presentación de los informes obligatorios y voluntarios.
Mejorar la confianza y honestidad de las partes involucradas.
Establecer una base confiable para la toma de decisiones y la planificación.
Mejorar los controles.
Asignar y usar eficazmente los recursos para el tratamiento del riesgo.
Mejorar la eficacia y eficiencia operativa.
Incrementar el desempeño de la salud y la seguridad, así como la protección
ambiental.
Mejorar la prevención de pérdidas y la gestión de incidentes.
Minimizar perdidas.
Mejorar el aprendizaje organizacional.
Mejorar la flexibilidad organizacional.
101
Esta norma está destinada a satisfacer las necesidades de un rango amplio de
partes involucradas, incluyendo.
a) Aquellos responsables del desarrollo de la política de gestión dentro de la
organización.
b) Aquellos responsables de garantizar que el riesgo se gestiona
eficazmente dentro de la organización como unidad o dentro de un área,
proyecto o actividad específico.
c) Aquellos que necesitan evaluar la eficacia de una organización en cuanto
a la gestión del riesgo.
d) Aquellos que desarrollan normas, guías, procedimientos y códigos de
práctica que, parcial o totalmente, establecen la manera de gestionar el
riesgo dentro del contexto específico de estos documentos.
3.3 Análisis de riesgos
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en
estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y
otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La
evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el
proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de
consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que
permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones
que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento
y ejecutarlos.
En la siguiente gráfica se muestra el ciclo de administración del riesgo:
102
Ilustración 27 - Ciclo administración del riesgo
Fuente: Gestión del riesgo. Principio y directrices - NTC-ISO31000_Gestion_del_riesgo. - Página
17
3.3.1 criterios de evaluación.
Los criterios de evaluación de riesgos están basados en la norma ISO 31000.
Se han establecido dos aspectos para realizar el análisis de los riesgos
identificados:
A. Probabilidad: Es la posibilidad de ocurrencia del riesgo; esta puede ser
medida con criterios de frecuencia o teniendo en cuenta la presencia de
factores internos y externos que pueden propiciar el riesgo, aunque éste no
se haya presentado nunca.
B. Impacto: Es la consecuencia que puede ocasionar a la entidad la
materialización del riesgo en caso de sucederse.
103
3.4 Desarrollo de requerimientos.
Se tienen en cuenta políticas de: seguridad de la información, de acceso y de
análisis de riesgo.
Se debe tener en cuenta las características fundamentales para el manejo de
riesgos, estas características consisten en:
Evitar: es la técnica de seguridad la cual lleva un control determinado de las
aplicaciones y los accesos que la red pueda tener, este tipo de manejo puede
generar desventajas ya que existen riesgos positivos y riesgos negativos, por la
inflexibilidad de la solución la compañía puede estar perdiendo la posibilidad de
adquirir riesgos positivos.
Reducir: Cuando en determinados casos el riesgo no sea posible de evitar se pasa
a reducir, es decir atenuar el menor índice de interrupciones o daños a la red, esta
opción es la más económica y sencilla de implementar, puesto que consiste en la
generación de protocolos que permitan el control y monitoreo constante de la red.
Asumir o aceptar el Riesgo: Esta técnica es la más utilizada, es la decisión de
aceptar las consecuencias de hecho de que ocurra el evento, pueden ser
alternativas, esta decisión se toma en base a la falta de alternativas para el ataque
o detección de fallos en la seguridad.
Transferir: esta técnica es utilizada con el fin de distribuir el riesgo de un lugar a
otro con el fin de minimizar su ataque, generándole un menor impacto en su
ejecución. Un ejemplo de esta transferencia es la creación de servidores alternos,
escenarios de alta disponibilidad para la reducción del riesgo de pérdida de
información.
104
3.5 Identificación de riesgo
Dentro de la identificación de riesgos la norma ISO 31000, es quién determina el
¿cómo?, ¿Cuándo? y ¿Por qué?, se presenta un suceso que puede impactar y
perjudicar el correcto y seguro funcionamiento de una entidad corredora de seguros.
Esta norma a su vez permite conocer claramente la probabilidad de evento y las
consecuencias.
Por tal razón la norma ISO 31000 permite realizar una identificación de riesgos a
través de los objetivos de control de referencia de la norma ISO 27001 de 2013,
tomando de ésta, los ítems objetivos de control, que más se adecuen al
funcionamiento y a los procesos que desarrolla una empresa Corredora de Seguros,
así como se describen a continuación (Para revisar todos los objetivos de control
véase ANEXO C – Identificación de riesgos).
3.6 Objetivos de control para la gestión de riesgos
3.6.1 Objetivo de control A.5 Política de seguridad de la Información
Objetivo de control de referencia (ISO-27001:2013)
A.5 Política de seguridad de la Información
Proceso Descripción Objetivos
A.5.1
Orientación de la dirección para para la gestión de la
seguridad de la información
Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de
acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes.
Tabla 14 - Objetivos de control A.5
Fuente: Autores bajo la norma ISO-27001:2013
105
3.6.1.1 Identificación de riesgos Objetivo de control A.5.1 Política de seguridad
de la Información
IDENTIFICACIÓN DE RIESGOS
A.5.1 Orientación de la dirección ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la información.
La dirección ejecutiva o encargados deben brindar orientación y soporte, para la seguridad de la información de acuerdo con los requisitos de una empresa corredora de seguros, teniendo en cuenta
las leyes y reglamentos pertinentes.
CAUSAS RIESGO EVENTO / CONSECUENCIA
Definición de conjunto de políticas de seguridad de la
información
No garantizar un adecuado control de la
seguridad de la información
Consecuencias legales, financieras y prestigio de la compañía
Publicación y comunicación del conjunto de políticas de
seguridad de la información
El no cumplimiento de las políticas de seguridad
por el personal de la compañía
Posible fuga de información y deterioro del sistema de seguridad de la
información de la compañía
Tabla 15 - Identificación de riesgos para el objetivo de control A.5
Fuente: Autores bajo la norma ISO-27001:2013
3.6.2 Objetivo de control A.6 sobre Organización de la seguridad de la
Información
Tabla 16 - Objetivos de control A.6
Fuente: Autores bajo la norma ISO-27001:2013
Objetivo de control de referencia (ISO-27001:2013)
A.6 Organización de la seguridad de la Información
Proceso Descripción Objetivos
A.6.2 Dispositivos Móviles y teletrabajo
Garantizar la seguridad del teletrabajo y el uso de servicios móviles
106
3.6.2.1 Identificación de riesgos Objetivo de control A.6.2 Dispositivos Móviles
y teletrabajo
IDENTIFICACIÓN DE RIESGOS
A.6.2 Dispositivos móviles y teletrabajo
La empresa corredora de seguros debe garantizar los procesos seguros, durante el teletrabajo y el uso de dispositivos móviles
CAUSAS RIESGO EVENTO / CONSECUENCIA
Uso de la conexión LAN por medio de equipos de usuarios externos a
la compañía
Robo de la información privada de la compañía, acciones de fraude, ataques de red, abrir
puertas traseras de red.
Manipulación de la información por entes exteriores a la compañía.
Extracción de información privada del corredor de seguros a
equipo que no pertenezcan a la
compañía
Manipulación de información privada de la compañía
Uso no autorizado del equipo, Agilidad en la revocación de
permisos. Accesos en perímetros no
establecidos para el colaborador.
Equipos sin Control de acceso e información
sin ser cifrada.
Manipulación de la información de los equipos portátiles de la
compañía
Manipulación de credenciales de usuarios, corrupción de datos, robo
de información de procesos de la compañía, alteración de datos y
divulgación de la información
Deficiente control de acceso remoto
Manipulación de la información por medios remotos
Espionaje remoto, daños colaterales a las bases de datos, aplicativos, información privada
Deshabilitar Medios Removibles
Extraer información privada de la compañía, implantar
software malicioso o virus que afecten el correcto
funcionamiento de los procesos de la compañía
Extracción de información e implantación de software o virus
maliciosos
Tabla 17 - Identificación de riesgos para el objetivo de control A.6
Fuente: Autores bajo la norma ISO-27001:2013
107
3.6.3 Objetivo de control A.8 sobre Organización de la seguridad de la
Información
Objetivo de control de referencia
(ISO-27001:2013)
A.8 Gestión de Activos
Proceso Descripción Objetivos
A.8.2 Clasificación de la Información
Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la
organización
A.8.3 Manejo de Medios Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.
Tabla 18 - Objetivos de control A.8
Fuente: Autores bajo la norma ISO-27001:2013
3.6.3.1 Identificación de riesgos Objetivo de control A.8.2 Clasificación de la
Información
IDENTIFICACIÓN DE RIESGOS
A.8.2 Clasificación de la Información
Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la organización
CAUSAS RIESGO EVENTO / CONSECUENCIA
El no clasificar la información para uso del
personal y áreas con acceso definidamente
autorizado
Divulgación o modificación no autorizada de la
información
Divulgación, robo y manipulación de la información por personal o áreas sin
autorización.
Excesivo control sobre la información que es vital
para el correcto funcionamiento del corredor de seguros
Disposición de la información
Deficiencia y poco entendimiento en los procesos de la compañía. Consecuencias
financieras.
Tabla 19 - Identificación de riesgos para el objetivo de control A.8.2
Fuente: Autores bajo la norma ISO-27001:2013
108
3.6.3.2 Identificación de riesgos Objetivo de control A.8.3 Clasificación de la
Información
IDENTIFICACIÓN DE RIESGOS
A.8.3 Manejo de Medios
Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.
CAUSAS RIESGO EVENTO / CONSECUENCIA
No tener una implementación de la gestión de medios removibles sin uso
Baja disponibilidad de los medios removibles, por
almacenamiento en desuso
Disponibilidad de la Información
No realizar los procedimientos adecuados a la hora de transportar
información por medios físicos, contraseñas o cifrado de información
sobre el medio removibles
Acceso no autorizado a medios físico por trasferencias de
información
Uso indebido o corrupción de la información
Tabla 20 - Identificación de riesgos para el objetivo de control A.8.3
Fuente: Autores bajo la norma ISO-27001:2013
3.6.4 Objetivo de control A.9 sobre Control de Acceso
Objetivo de control de referencia (ISO-27001:2013)
A.9 Control de Acceso
Proceso Descripción Objetivos
A.9.1 Requisitos para el control de acceso en una organización de
corredores de seguros.
Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en
las instalaciones de una empresa corredora de seguros, teniendo en cuenta las leyes y reglamentos pertinentes.
A.9.2 Gestión de usuarios en una organización de corredores de
seguros.
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
A.9.3 Responsabilidades de los usuarios.
Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de la información de
autenticación
A.9.4 Control de acceso a sistemas y aplicaciones.
Evitar acceso a los sistemas y aplicaciones.
Tabla 21 - Objetivos de control A.9
Fuente: Autores bajo la norma ISO-27001:2013
109
3.6.4.1 Identificación de riesgos Objetivo de control A.9.1 Clasificación de la
Información, Requisitos para el control de acceso en una organización de
corredores de seguros.
IDENTIFICACIÓN DE RIESGOS
A.9.1 Requisitos para el control de acceso en una organización de corredores de seguros.
Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en las instalaciones de una empresa corredora de seguros,
teniendo en cuenta las leyes y reglamentos pertinentes.
CAUSAS RIESGO EVENTO / CONSECUENCIA
Zonas, perímetros o áreas de la organización que no
cuenta con un correcto control, que permita regular el ingreso a
espacios establecidos.
El no control e identificación de accesos en la organización
Proveer ingreso de personal no autorizado en áreas exclusivas de
la organización. Posible daño físico en la
organización por la intromisión de personal no idóneo en el área
Perímetros sin barreras de acceso adecuadas.
Entrada y salida de personal no idóneo.
Retiro de equipos o material
alto valor organizacional
Fuga de información. Retiro de equipos.
Afectación en el área de trabajo. Ingreso de personal no autorizado.
No contar con un control de acceso efectivo
Ingreso y salida sin el debido registro del personal
Baja seguridad en el área. Fuga de información.
No identificación del personal
No asignar roles y/o permisos de acceso
Desplazamiento del personal y/o terceros por áreas no
permitidas
Asignación de permisos innecesarios.
Intromisión en áreas fueras de las permitidas.
Tabla 22 - Identificación de riesgos para el objetivo de control A.9.1
Fuente: Autores bajo la norma ISO-27001:2013
110
3.6.4.2 Identificación de riesgos Objetivo de control A.9.2 Gestión de usuarios
en una organización de corredores de seguros
IDENTIFICACIÓN DE RIESGOS
A.9.2 Gestión de usuarios en una organización de corredores de seguros.
Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
CAUSAS RIESGO EVENTO / CONSECUENCIA
No cancelación del registro de usuarios.
Acceso de personal que trabajó en la organización.
No brindar acceso a los nuevos colaboradores cuando ingresan en la
organización. Permitir ingreso a personal
que se ha retirado de la compañía.
Mala definición de derechos de acceso
Ingreso en áreas no restringidas o no relacionadas con su actividad
laboral
Agilidad en la revocación de permisos.
Accesos en perímetros no establecidos para el
colaborador.
Incorrecta clasificación de roles y permisos
Brindar privilegios de acceso a roles que no lo requieren
Privilegios de acceso no controlados.
Tabla 23 - Identificación de riesgos para el objetivo de control A.9.2
Fuente: Autores bajo la norma ISO-27001:2013
111
3.6.4.3 Identificación de riesgos Objetivo de control A.9.3 Responsabilidades
de los usuarios.
IDENTIFICACIÓN DE RIESGOS
A.9.3 Responsabilidades de los usuarios.
Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de su información de autenticación
CAUSAS RIESGO EVENTO / CONSECUENCIA
Suplantación de identidad
Infiltración de terceros en la organización. Brindar acceso a personal no autenticado en el sistema.
Suplantación de identidad por perdida o hurto de información.
Brindar acceso a personal no autorizado
Fuga de información. Daño de infraestructura.
violación de permisos. Acceso no autorizado.
Tabla 24 - Identificación de riesgos para el objetivo de control A.9.3
Fuente: Autores bajo la norma ISO-27001:2013
112
3.6.4.4 Identificación de riesgos Objetivo de control A.9.4 Control de acceso a
sistemas y aplicaciones.
IDENTIFICACIÓN DE RIESGOS
A.9.4 Control de acceso a sistemas y aplicaciones.
Evitar acceso a los sistemas y aplicaciones.
CAUSAS RIESGO EVENTO / CONSECUENCIA
Seguridad poca o nula en las fuentes de información.
El usuario puede tener acceso a información, editar
y borrar data.
Vulnerabilidad de los datos. Alteración de información.
Perdida de datos.
Una mala política de control de acceso.
Copia y/o borrado de aplicaciones de la
organización.
Acceso sin control en aplicaciones.
Contraseñas estándar, que nunca vencen y de poco
cumplimiento con las políticas.
Identificación de contraseñas de aplicaciones.
Acceso a las aplicaciones protegidas con autenticación
La no existencia de versionamiento de las
aplicaciones desarrolladas.
Publicación de versiones anteriores a las que se
encuentran en producción. Re construcción de código
perdido.
Publicaciones de aplicaciones que no se encuentran actualizadas.
Tabla 25 - Identificación de riesgos para el objetivo de control A.9.4
Fuente: Autores bajo la norma ISO-27001:2013
3.6.5 Objetivo de control A.10 sobre Criptografía
Objetivo de control de referencia (ISO-27001:2013)
A.10 Criptografía
Proceso
Descripción Objetivos
A.10.1
Controles criptográficos. Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la
integridad de la información.
Tabla 26 - Objetivos de control A.10
Fuente: Autores bajo la norma ISO-27001:2013
113
3.6.5.1 Identificación de riesgos Objetivo de control A.10.1 Controles
criptográficos.
IDENTIFICACIÓN DE RIESGOS
A.10.1 Controles criptográficos.
Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.
CAUSAS RIESGO EVENTO / CONSECUENCIA
Almacenamiento incorrecto de
información sensible
Violación de acceso. Ingreso no autorizado.
Incumplimiento de política de seguridad
El incorrecto almacenamiento de la información sensible puede llevar a
la difusión de datos privados, incumpliendo las políticas de
seguridad.
Descripción de información
acceso de información Fuga de información. Debilidad criptográfica.
Los documentos deben ser protegidos antes de
ser cifrados.
Los datos que contienen documentos confidenciales se
ven vulnerados si no se cuentan con políticas
correctas.
Información al alcance del personal.
Difusión de las llaves criptográficas.
Construcción de aplicaciones capaces de descifrar datos por
el mal manejo de las llaves
Visualización de información protegida.
Tabla 27 - Identificación de riesgos para el objetivo de control A.10.1
Fuente: Autores bajo la norma ISO-27001:2013
3.6.6 Objetivo de control A.12 sobre Seguridad de las Operaciones
Objetivo de control de referencia
(ISO-27001:2013)
A.12 Seguridad de las Operaciones
Proceso Descripción Objetivos
A.12.2 Protección contra códigos maliciosos
Asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra
códigos maliciosos
A.12.3 Copias de Respaldo Proteger contra la pérdida de datos Tabla 28 - Objetivos de control A.12
Fuente: Autores bajo la norma ISO-27001:2013
114
3.6.6.1 Identificación de riesgos Objetivo de control A.12.2 Protección contra
códigos maliciosos
IDENTIFICACIÓN DE RIESGOS
A.12.2 Protección contra códigos maliciosos
El corredor de seguros debe asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra códigos maliciosos
CAUSAS RIESGO EVENTO / CONSECUENCIA
Fuentes internas o externas
Agentes contaminantes en la red Contaminación por medio de software malicioso a redes e información de la compañía
Poca limitación de acceso a la internet
Descarga de virus o software malicioso por medio del
navegador
Contaminación por medio de software malicioso descargado de la
internet Tabla 29 - Identificación de riesgos para el objetivo de control A.12.2
Fuente: Autores bajo la norma ISO-27001:2013
3.6.6.2 Identificación de riesgos Objetivo de control A.12.3 Protección contra
códigos maliciosos.
IDENTIFICACIÓN DE RIESGOS
A.12.3 Copias de Respaldo
Proteger contra la pérdida de datos
CAUSAS RIESGO EVENTO / CONSECUENCIA
Eventos naturales o Humanos
Pérdida de información critica Baja disponibilidad de la información y restauración
oportuna
Copias de respaldo almacenadas en dentro
de instalaciones
Disponibilidad y seguridad de la información bajo eventos
naturales o humanos
Tabla 30 - Identificación de riesgos para el objetivo de control A.12.2
Fuente: Autores bajo la norma ISO-27001:2013
115
3.7 Análisis de riesgo identificado
Dentro del análisis y evaluación del riesgo, se toma la información descrita en la
anterior etapa de identificación de riesgos de la norma 31000. Con base en esto un
corredor de seguros debe tener un criterio de riesgos que se desarrolla por niveles
bajo la aceptación de la compañía.
La guía de Riesgos DAFP define cuales son los pasos a seguir en el análisis de
riesgos bajo los conceptos de probabilidad e impacto, descritos así:
“Por Probabilidad se entiende la posibilidad de ocurrencia del riesgo; esta puede ser
medida con criterios de Frecuencia, si se ha materializado (por ejemplo: número de
veces en un tiempo determinado), o de Factibilidad teniendo en cuenta la presencia
de factores internos y externos que pueden propiciar el riesgo, aunque éste no se
haya materializado.
Por Impacto se entienden las consecuencias que puede ocasionar a la organización
la materialización del riesgo”.18
De esta manera se realiza una calificación de riesgo a partir de una estimación de
la probabilidad de ocurrencia del riesgo y el impacto en la empresa en el caso de
una materialización.
3.7.1 Evaluación del Riesgo
La siguiente tabla desarrollada por la guía de riesgos DAFP, permite definir los
criterios necesarios para el análisis de la probabilidad de ocurrencia y el impacto
que pueda tener un riesgo para la compañía y así obtener una matriz de calificación,
evaluación y respuesta a los riesgos definidos en el capítulo anterior, tal cual lo
describe la siguiente imagen:
18 Guía de Riesgos DAFP, pág 24.
116
Matriz de Calificación, Evaluación y respuesta a los Riesgos
PROBABILIDAD
IMPACTO
Insignificante (1)
Menor (2)
Moderado (3)
Mayor (4)
CATASTROFICO (5)
Raro (1) B B M A A
Poco Probable (2) B B M A E
Posible (3) B M A E E
Probable (4) M A A E E
Casi Seguro (5) A A E E E
B: Zona de Riesgo Baja: Asumir el Riesgo
M: Zona de Riesgo Moderado:
Asumir el Riesgo, Reducir el Riesgo
A: Zona De Riesgo Alta: Evitar, compartir o Transferir
E: Zona de Riesgo Extrema:
Reducir el Riesgo, Evitar, compartir o Transferir
Ilustración 28 - Matriz de calificación, evaluación y respuesta a los riesgos
Fuente: Elaboración propia a partir de la Guía de Riesgos DAFP
3.7.2 Evaluación de Riesgos identificados
A continuación, se presenta un análisis de los riesgos de seguridad de la
información identificados a partir de los objetivos de control de la norma ISO-27001
de 2013, para análisis de una empresa corredora de seguros, (Para revisar todos
los objetivos de control véase ANEXO C – Análisis de riesgos).
117
3.7.2.1 Análisis de riesgos proceso A.5.1
ANÁLISIS DEL RIESGO A.5.1
PROCESO: Orientación de la dirección ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la información.
OBJETIVO: La dirección ejecutiva o encargados deben brindar orientación y soporte, para la seguridad de la información de acuerdo con los requisitos de una empresa corredora de
seguros, teniendo en cuenta las leyes y reglamentos pertinentes.
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
No garantizar un adecuado
control de la seguridad de la
información
1 5 Confidencialidad, integrad y
disponibilidad de la información.
Alta La compañía corredora de
seguros con base en su gerencia general debe hacer uso de
todo un sistema de gestión de la seguridad de la
información para un uso obligado de su personal
Incumplimiento de las políticas
de seguridad por parte del
personal de la compañía
3 3 Operativo, legal Alta La gerencia debe desarrollar un
plan de contingencia, que permita informar y orientarse en algún enveto de
riesgo que comprometa la información a
cada uno de sus colaboradores
Tabla 31 - Análisis de riesgos proceso A.5.1
Fuente: Autores.
118
3.7.2.2 Análisis de riesgos proceso A.6.2
ANÁLISIS DEL RIESGO A.6.2
PROCESO: Dispositivos móviles y teletrabajo
OBJETIVO: La empresa corredora de seguros debe garantizar los procesos seguros, durante el teletrabajo y el uso de dispositivos móviles
RIESGO CALIFICACIÓN
Tipo de Impacto
Evaluación
Medidas de Respuesta
Probabilidad
Impacto
Zona de Riesgo
Control de acceso por medio de redes LAN a personal externo a la
compañía
3 2 Confidencialidad de la Informació
n
Moderada
Limitar el uso de la conexión LAN a entes exteriores a la compañía, y reemplazarla por tecnología Wifi
Manipulación de información privada de la compañía por
personal con roles sin autorización
4 3 Integridad de la
información
Alta Restringir el acceso a la información a partir de una política
que limite el acceso para determinados usuarios,
Manipulación de la información de los
equipos portátiles de la compañía
5 4 Confidencialidad,
Integridad de la
Información
Extrema
Cumplir a cabalidad con el objetivo de control A.9 sobre equipos
portátiles de la compañía
Manipulación de la información por medios remotos
3 5 Legal, Confidencia
lidad, Integridad
Extrema
Permitir acceso remoto a usuarios bajo supervisión y autorización
explícita.
implantación software malicioso o virus por medios removibles
que afecten el correcto
funcionamiento de los procesos de la
compañía
4 5 Imagen corporativa
, legal, confidencia
lidad, integridad, disponibilid
ad
Extrema
Anulación del acceso a equipos por medio de Medios Removibles
Tabla 32 - Análisis de riesgos proceso A.6.2
Fuente: Autores.
119
3.7.2.3 Análisis de riesgos proceso A.8.2
ANÁLISIS DEL RIESGO A.8.2
PROCESO: Clasificación de la Información
OBJETIVO: Asegurar que la información recibe un nivel apropiado de la protección, de acuerdo con su importancia para la organización
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta
Probabilidad
Impacto Zona de Riesgo
Divulgación o modificación no autorizada
de la información
5 4 Confidencialidad, Legal
Extremo El corredor de seguros debe
darle una clasificación a
su información para otorgar
permiso y accesos
autorizados por este medio
Disposición de la información
3 3 Disponibilidad Alta La confidencialidad
no debe asemejarse a la
no disponibilidad
de la información
Tabla 33 - Análisis de riesgos proceso A.8.2
Fuente: Autores.
120
3.7.2.4 Análisis de riesgos proceso A.8.3
ANÁLISIS DEL RIESGO A.8.3
PROCESO: Manejo de Medios
OBJETIVO: Evitar la modificación, divulgación, el retiro o la destrucción no autorizada de información que reside en los medios.
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta
Probabilidad Impacto Zona de Riesgo
Baja disponibilidad de los medios removibles, que están
almacenados por desuso
3 3 Disponibilidad, Integridad
Alta El disponer de los medios de forma
segura hace parte de los
procedimientos formales de la
compañía.
Acceso no autorizado a
medios removibles por transferencias de información
4 3 Confidencialidad, Legal, Imagen
corporativa
Alta La información que es
transferida debe mantenerse bajo
un proceso de seguridad que la
proteja de accesos no autorizados
Tabla 34 - Análisis de riesgos proceso A.8.3
Fuente: Autores.
121
3.7.2.5 Análisis de riesgos proceso A.9.1
ANÁLISIS DEL RIESGO A.9.1
PROCESO: Requisitos para el control de acceso en una organización de corredores de seguros.
OBJETIVO: Establecer los lineamientos de seguridad física para la protección de los activos de información que se encuentran en las instalaciones de una empresa corredora de seguros,
teniendo en cuenta las leyes y reglamentos pertinentes.
RIESGO CALIFICACIÓN Tipo de Impacto
Evaluación
Medidas de Respuesta
Probabilidad
Impacto
Zona de Riesgo
No controlar identificación
de accesos en la
organización
3 5 Imagen corporativ
a
Extrema Establecer perímetros de seguridad física en las locaciones
que contengan activos de información cuyo impacto por pérdida de confidencialidad,
integridad o disponibilidad pueda poner en riesgo la normal operación de la compañía.
Entrada y salida de
personal no autorizado.
Retiro de equipos o
material alto valor
organizacional
3 4 Legal, Imagen
corporativa,
confidencialidad
Extrema Establecer perímetros de seguridad cuentan con barreras para el acceso, como puertas o
paredes y se establece un mecanismo, automatizado o no de
control de acceso que tenga un factor de autenticación en el cual
cada funcionario.
Ingreso y salida sin el
debido registro del
personal
1 1 Imagen corporativ
a
Baja Establecer controles de acceso que permita a los funcionarios
identificarse dentro de las instalaciones.
Desplazamiento del
personal y/o terceros por
áreas no permitidas
3 3 Confidencialidad
Alta Definir correctamente el rol para cada colaborador o visitante, con
la finalidad de restringir privilegios de acceso
Tabla 35 - Análisis de riesgos proceso A.9.1
122
3.7.2.6 Análisis de riesgos proceso A.9.2
ANÁLISIS DEL RIESGO A.9.2
PROCESO: Gestión de usuarios en una organización de corredores de seguros.
OBJETIVO: Asegurar el acceso de los usuarios autorizados y evitar el acceso no autorizado a sistemas y servicios.
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
Acceso de personal que
ya no está vinculada a la organización.
3 2 Imagen corporativa,
confidencialidad
Moderado Actualización del Directorio Activo de la organización
para adicionar o desactivar
registros de colaboradores.
Ingreso en áreas no
restringidas o no
relacionadas con su
actividad laboral
4 2 confidencialidad Alta Implementar un proceso de
suministro de acceso formal de usuarios,
con el objetivo de asignar o
revocar permisos
Brindar privilegios de acceso a roles
que no lo requieren
4 4 confidencialidad Extrema Definir de forma correcta
los perfiles y roles, con sus respectivos puntos de
acceso para garantizar el
control efectivo.
Tabla 36 - Análisis de riesgos proceso A.9.2
Fuente: Autores.
123
3.7.2.7 Análisis de riesgos proceso A.9.3
ANÁLISIS DEL RIESGO A.9.3
PROCESO: Responsabilidades de los usuarios.
OBJETIVO: Realizar controles, para que los colaboradores y/o terceros sean responsables por las salvaguardas de su información de autenticación
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
Infiltración de terceros
en la organización.
4 5 imagen corporativa,
legal, confidencialidad
Extrema Se deben establecer
políticas donde el colaborador y el visitante sean conscientes que su información
de autenticación lo
hace responsable en
caso de un evento.
Fuga de información.
3 4 Confidencialidad, legal, imagen corporativa
Extrema Establece políticas donde se establezca
responsabilidad por brindar acceso no
autorizado. Tabla 37 - Análisis de riesgos proceso A.9.3
Fuente: Autores.
124
3.7.2.8 Análisis de riesgos proceso A.9.4
ANÁLISIS DEL RIESGO A.9.4
PROCESO: Control de acceso a sistemas y aplicaciones.
OBJETIVO: Evitar acceso a los sistemas y aplicaciones.
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
Usuarios sin permisos con
acceso a información,
editar y borrar data.
3 5 Integridad, confidencialidad,
seguridad, disponibilidad,
legal
Extrema El acceso a la información y a las
funciones de los sistemas de las aplicaciones se
debe restringir con la política de control
de acceso.
Copia y/o borrado de
aplicaciones de la organización.
4 5 Integridad, disponibilidad
Extrema Cuando lo requiere la política de control de acceso, el acceso
a sistemas de aplicaciones se
debe controlar bajo un ingreso seguro.
Acceso a contraseñas de
aplicaciones.
1 4 Integridad, Seguridad
Alta Los sistemas de gestión de
contraseñas deben ser interactivos y deben asegurar la
calidad de las mismas.
Publicación de versiones
anteriores a las que se
encuentran en producción.
Re construcción de código perdido.
3 4 Integridad. Extrema Se debe restringir el acceso a los códigos de los programas, y
garantizar su respectivo
versionamiento.
Tabla 38 - Análisis de riesgos proceso A.9.4
Fuente: Autores.
125
3.7.2.9 Análisis de riesgos proceso A.10.1
ANÁLISIS DEL RIESGO A.10.1
PROCESO: Controles Criptográficos
OBJETIVO: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de
Riesgo
Violación de acceso. Ingreso no autorizado.
Incumplimiento de política de seguridad
4 3 Seguridad, Imagen
corporativa
Alta La información que contenga
contraseñas de usuarios o
claves para el control de
acceso no podrá ser almacenada en texto plano
Acceso de información sin
cifrado
2 4 Integridad, disponibilidad,
confidencialidad, seguridad
Alta El cifrado y descifrado de los datos se
debe realizar directamente
con las herramientas desarrolladas.
Los datos que contienen
documentos confidenciales se
ven vulnerados si no se cuenta con
políticas correctas.
2 4 Integridad, disponibilidad,
confidencialidad, seguridad
Alta Se debe generar claves a los
documentos que cuenten
con información personal.
Construcción de aplicaciones capaces
de descifrar datos por el mal manejo
de las llaves
2 5 Integridad, disponibilidad,
confidencialidad, seguridad
Extrema Manejo de llaves
criptográficas según la política.
Tabla 39 - Análisis de riesgos proceso A.10.1.
Fuente: Autores.
126
3.7.2.10 Análisis de riesgos proceso A.12.2
ANÁLISIS DEL RIESGO A.12.2
PROCESO: Protección contra Código Malicioso
OBJETIVO: El corredor de seguros debe asegurarse de que la información y las instalaciones de procesamiento de información, estén protegidas contra códigos maliciosos
RIESGO CALIFICACIÓN Tipo de Impacto
Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
Agentes contaminantes
en la red
3 5 Seguridad, Disponibilidad
Extrema Uso de hardware, software o
aplicaciones que permitan prevenir algún
tipo de infección en
equipos y redes de la compañía
Descarga de virus o software
malicioso por medio del navegador
4 5 Seguridad, Disponibilidad
Extrema Restringir el acceso a la
información web que
provenga de dudosas
procedencias Tabla 40 - Análisis de riesgos proceso A.12.2
Fuente: Autores.
127
3.7.2.11 Análisis de riesgos proceso A.12.3
ANÁLISIS DEL RIESGO A.12.3
PROCESO: Copias de respaldo
OBJETIVO: Proteger contra la pérdida de datos
RIESGO CALIFICACIÓN Tipo de Impacto Evaluación Medidas de Respuesta Probabilidad Impacto Zona de Riesgo
Pérdida de información
critica
4 4 Integridad, disponibilidad,
confidencialidad, seguridad, Legal,
imagen corporativa
Extrema Mantener alta disponibilidad
de la información
por medio de copias de seguridad
Disponibilidad y seguridad de la información bajo eventos naturales o humanos
4 4 Imagen corporativa,
disponibilidad
Extrema Copias de respaldo en
lugares externos a la
compañía
Tabla 41 - Análisis de riesgos proceso A.12.3
Fuente: Autores.
3.8 Mapa de Riesgos
De todos los análisis riesgos bajo cada uno de los objetivos de control de la norma
y enfocado a los procesos que desarrolla una empresa corredora de seguros se
obtiene el Mapa de riesgos (ANEXO C – mapa de riesgos), en el cual se presenta
un resumen de las acciones empleadas para la identificación, análisis y evaluación
de riesgos, así como de la evaluación y elección de los controles, a continuación se
presenta el mapa de riegos para el proceso A.5.1, Orientación de la dirección
ejecutiva de la empresa corredora de seguros, para la gestión de la seguridad de la
información:
128
3.8.1 Análisis de riesgos proceso A.5.1
Tabla 42 - Análisis de riesgos proceso A.5.1
Fuente: Elaboración propia.
129
4 POLÍTICAS DE SEGURIDAD
Una vez identificado los activos y hecho el análisis de gestión de riesgos se hace
necesario establecer mecanismos que permitan garantizar la calidad de la
información de la organización y lograr minimizar los riesgos a los que se enfrenta
día tras día.
La política de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la información. Contiene la definición de la
seguridad de la información desde el punto de vista de la entidad.
Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta,
objetivos de seguridad, procedimientos. Debe estar fácilmente accesible de forma
que los empleados estén al tanto de su existencia y entiendan su contenido. Puede
ser también un documento único o inserto en un manual de seguridad. Se debe
designar un propietario que será el responsable de su mantenimiento y su
actualización a cualquier cambio que se requiera.
4.1 Políticas de seguridad de la información
Tomando como base el análisis de riesgos desarrollado en el capítulo anterior, a
continuación, se definen una serie de normas o políticas de seguridad que van a
permitir un control en la seguridad de la información a partir de los procesos que
desarrolla un corredor de seguros.
Las políticas fueron definidas a partir del análisis de riesgos realizado bajo la norma
ISO 31000 de 2011, dentro del Anexo D Políticas de Seguridad, se encuentran
formalmente presentadas en un formato que define objetivo, alcance, palabras
claves, descripción y hacia quienes se dirige los diferentes grupos de políticas
determinadas por objetivo de control de la norma ISO 27001:2013.
130
5. MONITOREO Y REVISIÓN
El presente capítulo proporciona los principales fundamentos a tener en cuenta para
el análisis, monitoreo y revisión del proceso de evaluación de la seguridad de la
información que se ha diseñado basado en la norma ISO/IEC 27001 de 2013 y la
norma ISO 31000 de 2011.
Para obtener evidencias del proceso de Gestión de Riesgos los auditores internos
pueden considerar diversos procedimientos de auditoría. Veamos algunos:
1. Investigar tendencias de la información, desarrollos actuales y todo lo
relacionado con el sector económico o industrial en el que opera la
organización, con el objetivo de determinar riesgos a los que está expuesto
el negocio, así como los procedimientos de control implementados para tratar
y gestionar esos riesgos.
2. Revisar las políticas corporativas y los informes de la alta dirección, para
determinar la estrategia comercial de la organización, la filosofía sobre
riesgos y la metodología para su gestión.
3. Revisar informes previos de evaluación de riesgos emitidos por la alta
dirección, otros auditores internos, auditores externos o cualquier otra fuente
que emita informes relacionados con la gestión de riesgos.
4. Realizar entrevistas con la alta dirección con el fin de establecer los objetivos
de la auditoría con respecto al tratamiento de riesgos, la mitigación de los
mismos y las actividades de monitoreo y seguimiento.
5. Revisar los problemas relacionados con la gestión de riesgos, que pueden
indicar debilidad y, según corresponda, discutirlos con la alta dirección.
Si el auditor cree que la alta dirección tolera un nivel de riesgo que no está de
acuerdo con la estrategia y la política de gestión de riesgos de la organización, es
importante consultar las normas, las políticas y volver a realizar un análisis de riesgo
e impacto, teniendo en cuenta las consideraciones de la alta dirección.
131
5.1 Técnicas para obtener evidencias del proceso de gestión de riesgos
Una vez el auditor ha establecido cuál o cuáles procedimientos utilizará para obtener
evidencias del proceso de gestión de riesgos, debe definir las técnicas, pasos a
realizar en la práctica, que le permitan desarrollar los procedimientos por los que ha
optado.
Entre los métodos más utilizados se tienen los siguiente:
1) Observación: estando presente cuando la gestión de riesgos se lleve a cabo
en las diferentes áreas y a distintos niveles en la organización, pasando por
los departamentos, los programas, proyectos e incluso, empleados.
2) Entrevistas: a empleados, miembros de la alta dirección y empleados que
tengan asignadas responsabilidades en la gestión de riesgos.
3) Revisión de documentos: agendas, documentos de apoyo, actas emitidas
por la alta dirección, planes estratégicos o documentos de respaldo para la
toma de decisiones del área de recursos humanos.
4) Resultados de auditorías anteriores: con el objetivo de determinar el
cumplimiento de acciones correctivas dispuestas tras el hallazgo de no
conformidades.
5) Técnicas analíticas: causa raíz, análisis de fallas, mapeo de procesos,
análisis estadísticos o revisión y evaluación del modelo de riesgo.
A menudo, el uso de varios procedimientos y técnicas, permite obtener evidencias
del proceso de gestión de riesgos, reuniendo información suficiente para llegar a
conclusiones relevantes para la mejora del sistema. El auditor también evalúa si los
recursos y las habilidades disponibles son los adecuados para proporcionar el
apoyo que requiere la gestión de riesgos y el sistema en general.
Los requerimientos de evidencia varían de acuerdo con el tipo de opinión que el
auditor desee presentar. Por ejemplo, si desea expresar un concepto positivo y de
aseguramiento, debe proporcionar el más alto nivel de evidencia que le permita
apoyar tal concepto.
132
6. CONCLUSIONES
Esta monografía, permite revisar, analizar y proponer las características básicas
dentro de la implementación de un SGSI, abarcando así todos los objetivos de
control de la norman 27001:2013 que están relacionados con los procesos que
desarrollan las empresas con actividades de correduría de seguros.
El levantamiento de información sobre el caso estudio actual es de vital importancia
para reconocer el funcionamiento estructural, técnicas y herramientas que tienen
las empresas dedicadas a la actividad de correduría de seguros.
La gestión de riesgos de la norma ISO 31000:2011 realiza un proceso sincronizado
con los objetivos de control de la norma ISO 27001:2013 a la hora de analizar e
identificar la mayor cantidad de riesgos presentes en diferentes compañías.
La definición de unas correctas políticas de seguridad de la información, permiten
que los riesgos no se materialicen o puedan afectar el correcto funcionamiento de
una compañía siempre y cuando se lleve un control de la aplicación de las mismas
por cada uno de los responsables.
El uso de la gestión de riesgos, permite detallar claramente los riesgos presentes
dentro de la compañía, el análisis por cada uno de los procesos permite detectar y
prevenir acciones o sucesos que generen algún tipo de amenaza que impida el
correcto funcionamiento de las tareas fundamentales del negocio.
Un modelo de seguridad de la información es tan importante para la estructura
organizacional y el funcionamiento de una compañía, pues permite encaminarse a
un desarrollo de buenas prácticas basadas en la importancia de la seguridad de la
información.
Garantizar la integridad, disponibilidad y confidencialidad son los factores mínimos
que debe poseer cualquier tipo de compañía, pues de ésta depende que la
información como un activo sea privada y no difundida o manipulada por entes
externos con intereses particulares.
El uso e implementación de un modelo de seguridad de la información, por parte de
un corredor de seguros, agencia de seguros o agente de seguros, certifica que este
tipo de compañías mantenga un funcionamiento seguro de la información privada a
la que tienen acceso.
133
Es fundamental el uso y aplicación de políticas de seguridad aprobadas por la alta
dirección, pues esto garantiza la implementación, actualización y cumplimiento de
las mismas.
Para que un SGSI sea efectivo en su ejecución y cumpla con su propósito, todas
las áreas y colaboradores de la organización, deben dar cumplimiento a la
normatividad, políticas y controles que están definidos por el SGSI.
134
7. RECOMENDACIONES
La evaluación de madurez indica que la organización está avanzando en un proceso
de concientización, tomando medidas preventivas adecuadas según sus
prioridades. Sin embargo, se recomienda revisar cada una de las políticas
existentes y aplicar las medidas correspondientes al momento de aplicar los
controles que aún se encuentran sin aplicar o que son inexistentes.
Con el fin de mantener un buen funcionamiento y control de seguridad de la
información dentro de la compañía, la norma ISO 27001 se basa en la mejora
continua de SGSI a partir de controles y auditorias que permiten encontrar nuevos
riesgos, ya sea por avances en las tecnologías de la información y comunicación
(Tics), o por nuevos procesos que son adaptados por la compañía. Por tal razón a
continuación se recomiendan algunos controles que puede tener un corredor de
seguros para la mejora continua de su SGSI:
Gestión y control sobre las redes, aplicaciones y procesos con el fin de
prevenir cualquier tipo de fallo que se pueda presentar por la aparición de un
riesgo.
Control estricto sobre el acceso a la información que tiene cada una de su
dependencia o personas.
En el caso de Sinergia Profesionales de Seguros, la empresa debe mantener
un control sobre el servicio que le presta su proveedor de aplicaciones y
almacenamiento, manteniendo así seguridad en las transacciones
realizadas.
La alta gerencia está en la obligación de mantener el cumplimiento de las
políticas de seguridad dentro de la compañía, por tal razón y con el ánimo de
mantener un control, la gerencia de la compañía debe revisar
constantemente el cumplimiento a las normas que hacen parte del
procesamiento de la información privada de la compañía.
Control estricto sobre el uso de herramientas que puedan ayudar a la
protección sobre aplicaciones y/o equipos.
135
De igual manera para el respectivo mantenimiento de SGSI, la compañía debe
tener en cuenta actividades cómo:
Es necesario tener en cuenta el ciclo de vida de la información, pues los
riesgos pueden variar dependiendo los aspectos de cambio dentro de la
compañía.
Es de gran importancia la revisión, actualización y agregación semestral o
según determinado tiempo de Políticas de Seguridad de la Información.
La concientización y la divulgación de las políticas de seguridad de la
información, pretende que haya una aplicación de buenas prácticas y que el
personal esté actualizado con ello.
Acudir a consultores y/o auditores especializados que realicen los estudios
pertinentes para el análisis del funcionamiento de la organización, las
respectivas políticas de seguridad y certificaciones con el objetivo de obtener
un alto nivel de seguridad dentro y fuera de la compañía.
Ya implementado el modelo, a continuación, se describe un proceso de mejora
continua del SGSI para sinergia profesionales en seguros, basado en la
identificación y tratamiento de nuevos riesgos que no hacen parte del estudio actual.
El siguiente es el proceso que describe la norma ISO 31000: 2011:
1. Identificar y reportar de manera oportuna los eventos generadores de riesgos
de Seguridad de la Información;
2. Identificar la(s) causa(s) raíz de los riesgos reportados; ▪
3. Definir los planes de acción tendientes a tomar medidas de tratamiento de
los riesgos identificados (Evitar, Reducir, Transferir o Asumir);
4. Implementar acciones correctivas y preventivas orientadas a reducir el riesgo
a niveles aceptables.
5. Cumplir de forma oportuna y eficiente las acciones tomadas por parte del
responsable del riesgo.
6. Promover la mejora continua en los procesos, haciendo más oportuno y
reiterativo el seguimiento sobre los procesos de mayor importancia.
7. Comunicar a las instancias superiores de la gestión y tratamiento de los
Riesgos identificados en los procesos.
136
8. Establecer roles y responsabilidades de todos los funcionarios que participan
directa o indirectamente en la Administración del Riesgo.
9. Brindar a todo el personal de la Compañía una Metodología común para
identificar, analizar, evaluar y dar tratamiento a los riesgos de seguridad de
la información.
137
8. BIBLIOGRAFÍA
Centro Criptológico Nacional, Defensa frente a las ciberamenazas, [En línea] 2007,
[Consultado el 16 de junio de 2017], Disponible en internet https://www.ccn-
cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-
del-sector-bancario.html
Guindel Sánchez, Esmeralda. Calidad y seguridad de la información y auditoría
informática. e-archivo.uc3m.es. [En línea]. [Consultado 15 de julio de 2017].
Disponible en internet: https://e-
archivo.uc3m.es/bitstream/handle/10016/8510/proyectoEsmeralda.pdf;jsessionid=
10850A53006DB846CED4EDCEDEDE1C40?sequence=1
CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia
personal: dificultades en la implementación de un SGSI. [En línea]. [Consultado 26
de marzo, 2017]. Disponible en Internet:
seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-
dificultades-en-la.html
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES. Modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. [Consultado el 15 de junio de 2017].
Disponible en Internet:
(http://www.mintic.gov.co/ap/gel4/images/Modelo_Seguridad_Informacion_2_01.pd
f)
PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En
línea].2010. [Consultado 25 de junio de 2017]. Disponible en Internet:
(www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)
SALCEDO, Robin. Plan de Implementación del SGSI basado en la Norma ISO
27001:2013. Memoria Trabajo Final Máster MISTIC. Barcelona: Universidad Oberte
138
Catalunya. [En línea].2014. 43 p. [Consultado 13 de enero, 2015]. Disponible en
Internet:
(openaccess.uoc.edu/webapps/o2/bitstream/10609/41002/4/rsalcedobTFC1214me
moria.pdf)
COMUNIDAD INTERNACIONAL DE IMPLANTADORES DE ISO27000 DE
ISO27001SECURITY.COM. Consejos de implantación y métricas de ISO/IEC
27001 y 27002. Traducido por www.iso27000.es. [En línea] Versión 1, 16 p. 2007.
[Consultado 26 de junio de 2017]. Disponible en Internet:
(www.iso27000.es/download/ISO_27000_implementation_guidance_v1_Spanish.p
df)
GUTIÉRREZ, Camilo. Lo que no debes pasar por alto para gestionar la seguridad
de la información. En: Revista. Seguridad. [En línea]. no.22 (ago-sep.2014). p.04-
06. [Consultado 26 de marzo, 2017]. Disponible en Internet:
revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num
22.pdf
MENDOZA, Miguel y LORENZANA, Pablo. Normatividad en las organizaciones:
Políticas de seguridad de la información - Parte I. En: Revista.Seguridad. [En línea].
no.16, (Ene-Feb 2013). p. 13-17. [Consultado 17 de julio de 2017]. Disponible en
Internet:
(revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Seg
uridad_Num16_0.pdf)
ISOTOOLS EXCELLENCE. SGSI. La norma ISO 27001:2013 ¿Cuál es su
estructura? [En línea]. 2015. [Consultado 18 de junio de 2017]. Disponible en
Internet: (http://www.pmg-ssi.com/2015/08/norma-iso-27001-2013-estructura/)
ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma
ISO 27001. [En línea]. 2015. [Consultado 18 de junio de 2017]. Disponible en
Internet: (http://www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-
la-norma-iso-27001/)
139
CAO, Javier. Medición de un SGSI: diseñando el cuadro de mandos. [En línea].
[consultado 12 de junio de 2017]. Disponible en Internet:
(https://www.securityartwork.es/2011/01/12/medicion-de-un-sgsi-disenando-el-
cuadro-de-mandos/)
CAMELO, Leonardo. Seguridad de la Información en Colombia. Experiencia
personal: dificultades en la implementación de un SGSI. [En línea]. [Consultado 10
de junio de2017]. Disponible en Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/02/experiencia-personal-
dificultades-en-la.html)
CAMELO, Leonardo. Seguridad de la Información en Colombia. Marco Normativo
(Normas y políticas) de un SGSI. [En línea]. 2010. [Consultado 10 de junio de 2017].
Disponible en Internet:
(seguridadinformacioncolombia.blogspot.com.co/2010/03/marco-normativo-
normas-y-politicas-de.html)
MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS
COMUNICACIONES. Modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea 2.0. [En línea]. Versión 2.0.2. 49p.Bogotá, 2011. [Consultado 16
de diciembre de 2016]. Disponible en Internet:
(http://www.mintic.gov.co/portal/gel4/images/Modelo_Seguridad_Informacion_2_01
.pdf)
PACHECO, Federico. La importancia de un SGSI. Welivesecurity en español. [En
línea].2010. [Consultado 14 de marzo de 2017]. Disponible en Internet:
(www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-un-sgsi/)
140
ISOTOOLS EXCELLENCE. SGSI. Por qué implantar un SGSI basado en la norma
ISO 27001. [En línea]. 2015. [Consultado 18 de agosto de 2017]. Disponible en
Internet: (www.pmg-ssi.com/2015/05/por-que-implantar-un-sgsi-basado-en-la-
normaiso-27001/)
Gestión del riesgo principios y directrices, Norma NTC – ISO 31000, Página [29],
[en línea], [consultado el 20 de abril de 2018], Disponible en: https: // sitios. ces.
edu.co/Documentos /NTCISO31000_Gestion_del_riesgo.pdf
DECRETO 410 DE 1971. Por el cual se expide el Código de Comercio. [En línea].
2010. [Consultado 18 de agosto de 2017]. Disponible en Internet:
(http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=41102)
G Suite. Gmail, Documento, Drive y Calendar para empresas. [En línea].
[Consultado 09 de septiembre de 2017]. Disponible en Internet:
(https://gsuite.google.com/intl/es/)
141
ANEXOS
Los anexos correspondientes al complemento para la guía de implementación del
modelo de SGSI para corredores de seguros, están contenidos en el CD-ROM de
la siguiente manera:
1. Anexo A. Estado actual de la compañía.
2. Anexo B. Audios Entrevista.
3. Anexo C. Gestión de Riesgos.
3.1. Identificación de riesgos.
3.2. Análisis de riesgos.
3.3. Mapa de riesgos.
4. Anexo D. Políticas de seguridad
Anexo A Estado actual de la compañía
Se toma como referencia la empresa Sinergia profesionales en seguros, la cual
presta sus servicios como corredora de seguros, en este anexo se ejecuta un
detallado análisis de la situación actual de la organización con base a los objetivos
de control de la norma ISO 27001:2013.
Anexo B Entrevista
Este anexo está representado por una serie de entrevistas realizadas ejecutiva de
cuenta colectiva de la empresa Sinergia profesionales en seguros, dónde especifica
detalles del funcionamiento de la empresa, seguridad actual, manejo de
aplicaciones, procesos que desarrollan, estructura y roles dentro de la misma.
Anexo C Gestión de riesgos
Este anexo contiene todo el proceso detallado del análisis, identificación y mapas
de riesgos, realizados a partir de la norma ISO 31000 de gestión de riesgos, para la
empresa Sinergia profesionales de seguros, teniendo en cuenta los dominios y
142
controles de la norma ISO 27001:2013 para el uso de técnicas de tratamiento y
controles necesarios por cada uno de los riesgos.
Anexo D Políticas de seguridad
Se define el formato que llevará cada política de seguridad conformada por los ítems
de objetivo, alcance, palabras claves, descripción y hacia quienes se dirige, cada
formato contiene un el grupo de políticas determinadas por el análisis de riesgos
sobre los objetivos de control de la norma ISO 27001:2013.
143
ANEXO D POLÍTICAS DE SEGURIDAD
POLÍTICAS DE SEGURIDAD SINERGIA PROFESIONALES EN SEGUROS
A continuación, se define el formato que llevará cada política de seguridad
conformada por los ítems de objetivo, alcance, palabras claves, descripción y hacia
quienes se dirige, cada formato contiene un el grupo de políticas determinadas por
el análisis de riesgos sobre los objetivos de control de la norma ISO 27001:2013.
Contenido 1. A.5 Orientación de la dirección ejecutiva.................................................. 144
2. A.6 Dispositivos Móviles y teletrabajo – Organización Interna. ................ 145
3. A.7 Seguridad de los recursos humanos. ................................................. 150
4. A.8 Gestión de Activos ............................................................................. 152
5. A.9 Control de acceso. ............................................................................. 156
6. A.10 Criptografía. ..................................................................................... 159
7. A.11 Seguridad física y del entorno. ......................................................... 161
8. A.12 Seguridad de las operaciones .......................................................... 163
9. A.13 Seguridad de las comunicaciones .................................................. 166
10. A.14 Desarrollo de software.................................................................... 169
11. A.15 Relación con Proveedores y gestión de la prestación de servicios de
proveedores .................................................................................................... 171
12. A.16 Gestión de incidentes y mejoras en la seguridad de la información y
Redundancias ................................................................................................. 173
13. A.17 Continuidad del negocio .............................................................. 175
14. A18 Cumplimiento ................................................................................ 177
144
1. A.5 Orientación de la dirección ejecutiva.
ORIENTACIÓN DE LA DIRECCIÓN EJECUTIVA DEL LA EMPRESA CORREDORA DE SEGUROS, PARA LA GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN. OBJETIVO
La dirección ejecutiva del corredor de seguros, deberá tener un equipo profesional
que oriente y soporte en la implementación, uso y cambio de políticas de seguridad
de la información de acuerdo a su actividad económica, leyes y reglamentos
pertinentes.
ALCANCE
Empleados y/o usuarios que hagan parte del corredor de seguros.
DEFINICIONES
Confidencialidad: Propiedad de que la información sólo sea conocida por aquellas
personas que tienen derecho legítimo a conocerla.
Disponibilidad: Propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
Integridad: Propiedad de que la información sea integra, confiable y no haya sido
alterada bajo ninguna circunstancia.
POLÍTICAS
La dirección general del corredor de seguros, debe ser consciente de la importancia
de la planeación, implementación, mantenimiento y mejora continua del sistema de
gestión de seguridad de la información de su negocio a nivel de confidencialidad,
integridad y disponibilidad, dando cumplimiento a los recursos legales y
reglamentarios que rijan en el país.
La dirección general del corredor de seguros, con el fin de llevar un control
adecuado del estado actual de las políticas para la seguridad de la información,
145
deberá revisar cada tres meses el estado y aplicabilidad de las políticas de
seguridad de información, con el fin de determinar cambios relevantes,
agregaciones o actualizaciones de las misma.
El incumplimiento de las políticas de seguridad de la información, por parte de
funcionarios y colaboradores conllevará a sanciones de la compañía o legales si en
su efecto lo requiere.
El corredor de seguros debe realizar una retroalimentación de lo establecido en el
sistema de seguridad de la información SGSI frecuentemente, con el fin de
mantenerse dispuesto a enfrentar riesgos que se presenten en nuevos escenarios
de los procesos de su negocio
La gerencia del corredor de seguros se compromete a realizar mantenimientos
correctivos y preventivos periódicamente sobre todos sus sistemas, equipos,
dispositivos e instalaciones con el fin de garantizar el correcto funcionamiento de
procesos y trabajo personal.
Todo el personal del corredor de seguros implementará estándares para las buenas
prácticas que involucre la seguridad de la información.
Los equipos que pertenecen a la compañía deberán bloquearse por tiempo de
inactividad de cinco minutos.
La alta gerencia debe mantener y comprometerse a dar una solución de red que
brinde y dé soporte de seguridad frente a nuevos mecanismos de vulnerabilidades.
Los usuarios deberán bloquear sus equipos en caso de ausentarse de su puesto de
trabajo.
Los usuarios deberán usar los equipos de la compañía sólo en horarios habilitados
por la misma, en caso de ser necesario el acceso al equipo, se deberá solicitar
formalmente una solicitud al área encargada para disponer de éste.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
2. A.6 Dispositivos Móviles y teletrabajo – Organización Interna.
146
EMPRESA CORREDORA DE SEGUROS
POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO
OBJETIVO
Permitir que los datos e información utilizada a partir del teletrabajo tengan la
protección necesaria de acuerdo a los requerimientos del corredor de seguros.
ALCANCE
Empleados y/o usuarios que requieran el acceso a la información del corredor de
seguros de una forma remota.
DEFINICIONES
Teletrabajo: El teletrabajo, o trabajo a distancia, permite trabajar en un lugar
diferente a la oficina. El trabajo se realiza en un lugar alejado de las oficinas
centrales o de las instalaciones de producción, mediante la utilización de las nuevas
tecnologías de la información y la comunicación (TICs).
POLÍTICAS
En las oficinas del corredor de seguros no se permiten las conexiones a la red LAN
por parte de computadores portátiles o de escritorio para personal externo a la
compañía, para tal caso se hará uso de la red pública designada por la compañía
que permite la conexión a internet vía WIFI como invitado.
Si se requiere conectividad a la red interna por un usuario externo, se debe notificar
al Oficial de Seguridad de la información y/o Líderes de TI que administren los
sistemas de gestión.
Los equipos portátiles que son parte del corredor de seguros y que contienen
información en ellos relacionada con los procesos de la empresa, deberán estar
protegidos en el acceso con contraseña definida grupo de TI o área a fin del corredor
de seguros, así como la instalación de programas y aplicaciones que no hacen parte
de la compañía. En el caso de una instalación de programas o aplicaciones
147
necesarias, se deberá comunicar con el área encargada para generar la solicitud de
instalación.
Cuando algún usuario y/o empleado requiera acceso remoto hacía la red del
corredor de seguros, se solicitará autorización explícita a su jefe inmediato y así
mismo al área encargada de analizar el riesgo que implica la solicitud de conexión
remota.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
148
EMPRESA CORREDORA DE SEGUROS
POLÍTICAS ORGANIZACIÓN INTERNA
OBJETIVO
Establecer las directrices sobre las cuales se efectuará la organización de seguridad
de la información interna.
ALCANCE
Todos los funcionarios de la compañía.
DEFINICIONES
Confidencialidad: La propiedad de que la información sólo sea conocida por
aquellas personas que tienen derecho legítimo a conocerla.
Disponibilidad: La propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
Integridad: La propiedad de que la información sea integra, confiable y no haya
sido alterada bajo ninguna circunstancia.
Responsables: Las personas o áreas que tiene la responsabilidad de producir /
procesar o entregar una pieza de información específica.
POLÍTICAS
La Gerencia administrativa debe tener compromiso con la seguridad de la
información mediante la asignación de encargados de los recursos de seguridad
para mantener el control de los riesgos frente a la confidencialidad, integridad o
disponibilidad. De igual manera establecer responsabilidades en seguridad de la
información para todos los funcionarios.
Se debe un grupo entre administrativos, expertos internos o externos y encargados
de la seguridad de la información para gestionar de manera periódica
actualizaciones, cambios y eventos referentes a la seguridad de la información.
149
El grupo asignará, revisará y modificará las diferentes responsabilidades en cuanto
a la seguridad de la información de los miembros y de los funcionarios que
dependen de ellos.
El grupo revisará la política de seguridad de la información de manera periódica
(cada seis meses) para garantizar que ésta es adecuada y sigue siendo acorde con
los objetivos de negocio, del SGSI y de la situación política y legal.
Para la seguridad interna, la compañía cuenta con acuerdos de confidencialidad
firmados por las partes en cuanto al manejo de la información por parte de
contratistas y terceros.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
150
3. A.7 Seguridad de los recursos humanos.
EMPRESA CORREDORA DE SEGUROS
POLÍTICA: CLASIFICACIÓN DE LA INFORMACIÓN
OBJETIVO
Establecer los lineamientos de seguridad de la información bajo los cuales se
llevarán a cabo los procesos de contratación, permanencia y retiro de los
funcionarios.
ALCANCE
Empleados y/o área de recursos humanos del corredor de seguros.
DEFINICIONES
Activos de Información: Cualquier pieza de información, sea esta en cualquier
medio magnético, impreso o que sea transmitida electrónica, visual u oralmente y
que tenga importancia para el cumplimiento de las funciones.
Candidato: Persona que aspira a ocupar un cargo dentro de la compañía o
cualquier tercero que constituirá un contrato de trabajo permanente o temporal.
POLÍTICAS
La compañía debe establecer, documentar y divulgar todos los roles y
responsabilidades para cada uno de los perfiles de cargo de los funcionarios que
deban efectuar labores y que tengan acceso a la información de la compañía.
ha integrado dentro del proceso de selección de personal mecanismos particulares
que garanticen la confiabilidad y credibilidad de cualquier candidato en
concordancia con las leyes y normativas vigentes para la selección de personal.
La compañía debe incluir dentro de todos los contratos con funcionarios la
obligación del cumplimiento de las políticas de seguridad de la información, así
como las responsabilidades, los términos y condiciones referentes a la protección
151
de la seguridad y uso adecuado de los activos de información a los que tendrá
acceso.
Se deben establecer dentro de los convenios o contratos con funcionarios cláusulas
de confidencialidad, así como el cumplimiento del modelo de seguridad de la
información.
Durante la finalización del contrato de un colaborador, o la rotación de cargos se
debe llevar cabo de una manera segura, especificando responsabilidades claras por
parte del funcionario que entrega el cargo.
Todos los empleados cuando sea finalizado su contrato serán removidos o
bloqueados en el sistema, además de que se realice la entrega de todos los activos
de información que le han sido asignados.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
152
4. A.8 Gestión de Activos
EMPRESA CORREDORA DE SEGUROS
POLÍTICA: CLASIFICACIÓN DE LA INFORMACIÓN
OBJETIVO
Establecer las normas para el manejo confidencial de la información usada en los
procesos del corredor de seguros.
ALCANCE
Empleados y/o usuarios e información que haga parte del corredor de seguros.
DEFINICIONES
Confidencialidad: Propiedad de que la información sólo sea conocida por aquellas
personas que tienen derecho legítimo a conocerla.
Disponibilidad: Propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
Integridad: Propiedad de que la información sea integra, confiable y no haya sido
alterada bajo ninguna circunstancia.
POLÍTICAS
La información del corredor de seguros debe ser solamente de uso interno de la
compañía, para un responsables o áreas con acceso autorizado a ella.
El personal encargado de la información, está en la obligación de determinar la
importancia y el acceso confidencial de la nueva información que se le suministre.
La información del corredor de seguros debe estar disponible en el momento de ser
requerida por las leyes de justicia que rigen el país.
El corredor de seguros deberá implementar formatos para la manipulación de
información por parte del equipo de trabajo, los formatos deberán ser monitoreados
constantemente para determinar alteración o robos de la información.
El corredor de seguros deberá formalizar los procesos de almacenamiento para el
archivo inactivo (Digitalización, carga, descarga y embalaje de la información) con
153
el fin de que todo el que tenga permisos de acceso a esa información conozca
claramente el procedimiento para el tratamiento del archivo inactivo.
El corredor de seguros deberá crear un documento legalmente constituido sobre la
privacidad de su información y remitirlo a cada uno de sus proveedores para ser
cumplido o tomar acciones legales frente a la manipulación indebida de su
información.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
154
EMPRESA CORREDORA DE SEGUROS
POLÍTICA: MANEJO DE MEDIOS
OBJETIVO
Permitir que los datos e información utilizada a través de medios físicos tengan la
protección necesaria de acuerdo a los requerimientos del corredor de seguros.
ALCANCE
Empleados.
DEFINICIONES
Disponibilidad: Propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
Dispositivos de almacenamiento extraíble: elementos de
almacenamiento de datos en formato digital, tales como: memorias USB,
CDs, DVDs, Smartphone, memorias SD, entre otros.
POLÍTICAS
Los medios removibles como dispositivos de almacenamiento extraíble que no
tenga uso, deberán ser etiquetados y almacenados en un lugar o área definida para
mantener una alta disponibilidad de la información de su contenido.
El personal encargado del intercambio de información interna del corredor de
seguros, deberá tomar las medidas necesarias para proteger la información de
accesos no autorizados ya sea por medio de contraseñas de acceso al medio o
cifrado de la información si así lo requiere.
El corredor de seguros en vista de manejar información por aplicaciones en la nube,
deberá realizar un seguimiento constante por medio de su equipo de trabajo a los
procesos de actualización eliminación y agregación de información a las bases de
datos del proveedor, informando cualquier tipo de irregularidad en los datos que se
tengan.
Todo equipo o dispositivo de la compañía deberá estar protegido bajo contraseña,
este tipo de contraseñas deberá ser modificado periódicamente por el grupo de TI.
155
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
156
5. A.9 Control de acceso.
EMPRESA CORREDORA DE SEGUROS
CONTROL DE ACCESO
OBJETIVO
La dirección ejecutiva del corredor de seguros, debe implementar lineamientos de
seguridad física para la protección de los activos de la información que se
encuentren en las instalaciones.
ALCANCE
Empleados, usuario y visitantes que formen parte del sector de corredores de
seguros.
DEFINICIONES
Activos de Información: Cualquier pieza de información, sea esta en
cualquier medio magnético, impreso o que sea transmitida electrónica,
visual u oralmente y que tenga importancia para el cumplimiento de las
funciones.
Borrado Seguro: Técnicas de borrado de archivos que hacen imposible la
recuperación de los datos luego de su eliminación.
Confidencialidad: La propiedad de que la información sólo sea conocida
por aquellas personas que tienen derecho legítimo a conocerla.
Disponibilidad: La propiedad de que la información se encuentre
disponible en los puntos de uso cuando ésta sea requerida por una persona
autorizada.
Integridad: La propiedad de que la información sea integra, confiable y no
haya sido alterada bajo ninguna circunstancia.
157
POLÍTICAS
El corredor de seguros debe contar con el control de acceso físico, está compuesto
por un conjunto de políticas que interactúan entre sí, para garantizar un proceso
más riguroso de desplazamientos de personal dentro de la organización.
El cumplimiento correcto de cada una de las políticas establecidas permite
garantizar, a las entidades de corredores de seguros, de manera mucho más
precisa, un control sobre los activos de la organización estableciendo de esta forma
áreas más seguras llevando un registro automatizado de los movimientos de un
individuo o grupo dentro de un espacio determinado.
El corredor de seguros debe establecer perímetros de seguridad en las
instalaciones, contar con barreras para el acceso como puertas o paredes y
establecer un mecanismo, automatizado o no, de control de acceso que tenga un
factor de autenticación en el cual cada funcionario debe quedar registrado.
Todos los visitantes a las instalaciones deben realizar el respectivo proceso de
control acceso de para generar un registro de su ingreso.
Los visitantes que requieran ingreso a las instalaciones, deben estar debidamente
identificados como visitantes y permanentemente acompañados por un funcionario,
quien es responsable del visitante durante su estadía en las oficinas. De igual forma
los equipos de cómputo que ingresen con cada uno de los visitantes, deben ser
registrados en dicho proceso.
Los usuarios deben responsabilidades frente a los controles implementados por la
organización, por consiguiente, es importante aclarar que cada integrante que se
encuentre dentro de las instalaciones, debe garantizar el correcto uso de
información de autenticación, cumpliendo las políticas establecidas.
La compañía debe proveer de acceso lógico, que corresponde a permisos y
privilegios establecidos dentro de los sistemas y/o aplicativos con los que cuenta el
corredor de seguros.
El corredor de seguros debe realizar una actualización periódica del Directorio
Activo de la organización para adicionar o desactivar registros asociado a
colaboradores que ingresan o se retiran de la organización. Si bien, el acceso físico
ya se ha restringido, es vital realizar este proceso para evitar ingresos de nivel lógico
con usuarios no activos.
158
El corredor de seguros debe establecer configuración respecto a roles y perfiles en
los aplicativos que maneje con el fin delimitar los privilegios que se tienen que
asignar a cada uno de los usuarios con el fin de determinar datos de consulta,
ingreso de peticiones, validación de datos, parametrización y administración de
información.
El corredor de seguros deberá crear un formato o documento oficial donde se
estipule la función y permisos que tiene cada integrante ya sea por área o función
de su grupo de trabajo sobre la documentación privada de los procesos de la
empresa.
El personal del corredor de seguros debe tener definido y formalizado los privilegios
y restricciones que le otorgan los roles que pertenecen a su respectivo cargo.
El corredor de seguros deberá exigir a su proveedor de aplicaciones reportes de la
gestión de sus usuarios a la información almacenada para su respectivo control.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
159
6. A.10 Criptografía.
EMPRESA CORREDORA DE SEGUROS
CRIPTOGRAFÍA
OBJETIVO
Las organizaciones de corredores de seguros deben garantizar que la información
de mayor nivel de sensibilidad sea cifrada al momento de ser transmitida y
almacenada con el objetivo de cumplir uno de los pilares fundamentales del SGSI,
la confidencialidad.
ALCANCE
Esta política aplica para todas las áreas del sector de corredores de seguros que
tratan información clasificada como confidencial o de uso interno.
DEFINICIONES
Cifrar: Es un procedimiento que utiliza un algoritmo de cifrado con
cierta clave (clave de cifrado) transforma la información, sin atender a su estructura lingüística o significado, de tal forma que
sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta.
Cifrar información en el almacenamiento: mientras se
mantiene almacenada.
Cifrar información cuando se transmite: mientras es
transmitida por cualquier medio.
Texto plano: es un archivo informático que contiene
únicamente texto formado solo por caracteres que son legibles por
humanos, careciendo de cualquier tipo de formato tipográfico. También son llamados archivos de texto llano, simple o sin formato.
160
Llaves criptográficas: Son códigos (algoritmos) que se generan de forma automática y se guarda en un directorio especial durante
la instalación. Habitualmente, esta información es una secuencia de números o letras mediante la cual, en criptografía, se especifica la
transformación del texto plano en texto cifrado, o viceversa.
POLÍTICAS
El corredor debe implementar un cifrado de información o mecanismos de
protección de datos que reposan en servidores externos y que se
transmiten por medios de comunicación, esto con el fin de garantizar la
confidencialidad de información sensible.
Todos los documentos que se han cifrado y descifrado, en caso que se
requiera, deberán ser almacenados y tratados con las medidas de
seguridad requeridas conforme al grado de clasificación de la información.
Se deberá identificar todo sistema de información que requiera realizar
transmisión de información confidencial, para así garantizar que cuente
con mecanismos de cifrado de datos.
El manejo de llaves criptográficas se debe realizar de acuerdo a los
lineamientos establecidos en la Política de Gestión de Llaves
Criptográficas. Cada vez que se solicite una llave criptográfica, es
necesario informar al oficial de seguridad de la información, o quien haga
sus veces con el fin de evaluar los riesgos de seguridad y la aplicación de
los debidos procedimientos.
La información que contenga contraseñas de usuario o claves para el
control de acceso a los sistemas de información no podrá ser almacenada
en texto plano y deberá hacer uso de mecanismos criptográficos.
Se deberán cifrar los discos duros de los portátiles que contengan
información confidencial.
161
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
7. A.11 Seguridad física y del entorno.
EMPRESA CORREDORA DE SEGUROS
AREAS SEGURAS Y EQUIPOS
OBJETIVO
Establecer los lineamientos de seguridad física para la protección de los activos de
información que se encuentran en las instalaciones de la compañía
ALCANCE
Todos los funcionarios y proveedores terceros.
DEFINICIONES
Activos de Información: Cualquier pieza de información, sea esta en
cualquier medio magnético, impreso o que sea transmitida electrónica,
visual u oralmente y que tenga importancia para el cumplimiento de las
funciones.
Borrado Seguro: Técnicas de borrado de archivos que hacen imposible
la recuperación de los datos luego de su eliminación.
Confidencialidad: La propiedad de que la información sólo sea conocida
por aquellas personas que tienen derecho legítimo a conocerla.
162
Disponibilidad: La propiedad de que la información se encuentre
disponible en los puntos de uso cuando ésta sea requerida por una
persona autorizada.
Integridad: La propiedad de que la información sea integra, confiable y
no haya sido alterada bajo ninguna circunstancia.
POLÍTICAS
La empresa debe establecer perímetros de seguridad física en los lugares
que contengan activos de información cuyo impacto por pérdida de
confidencialidad, integridad o disponibilidad pueda poner en riesgo la
normal operación de la compañía y/o aquellos lugares donde exista
información clasificada.
Los perímetros de seguridad deben contar con barreras para el acceso,
como puertas o paredes o un mecanismo automatizado para el control de
acceso bajo autenticación.
Los funcionarios deben contar con un carnet de identificación, que deben
portar en lugar visible dentro de las instalaciones de la compañía.
Todos los visitantes a las instalaciones del corredor de seguros deben
diligenciar el formato Control acceso de visitantes para generar un
registro de su ingreso. Al acceder a las instalaciones, deben estar
debidamente identificados como visitantes y permanentemente
acompañados por un funcionario, quien es responsable del visitante
durante su estadía en la compañía.
Los equipos de cómputo de los visitantes, deben ser registrados en el
formato de control de acceso.
La compañía debe contar con los mecanismos necesarios para la
prevención de amenazas medio ambientales como inundaciones,
incendios, terremotos, etc.
Los equipos de comunicación, cableados de datos y energía y en general
los equipos que componen la plataforma tecnológica y de comunicaciones
de la compañía, deben ser resguardados en un centro de datos con acceso
biométrico solo para personal autorizado, aire acondicionado y sensores
de humedad y temperatura.
163
La compañía debe contar con planta eléctrica con el fin de suplir
interferencias eléctricas.
Se deben proporciona mantenimientos adecuados a todos los equipos de
la compañía según un cronograma organizado por el área de tecnología.
Cuando se decida dar de baja algún equipo tecnológico de la compañía,
se asegurará de efectuar el borrado seguro de todos los datos contenidos
en el activo de información y de llevar a cabo actas o registros
correspondientes del procedimiento realizado al equipo.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
8. A.12 Seguridad de las operaciones
EMPRESA CORREDORA DE SEGUROS
POLÍTICAS: PROTECCIÓN CONTRA CÓDIGO MALICIOSO
OBJETIVO
Dar orientación al personal y realizar procedimientos para el control de código
malicioso.
ALCANCE
Todos los funcionarios del Corredor de Seguros.
DEFINICIONES
Activos de Información: Cualquier pieza de información, sea esta en cualquier
medio magnético, impreso o que sea transmitida electrónica, visual u oralmente y
que tenga importancia para el cumplimiento de las funciones.
164
Agente Contaminante: Cualquier clase de virus, troyano, spam, malware,
herramientas hacker, rootkit o en general cualquier clase de programa que pueda
distribuirse mediante técnicas subrepticias hacia una red de datos o un equipo de
cómputo
Código Malicioso: Cualquier clase de programa de software que pueda llegar a
ser un agente contaminante.
POLÍTICAS
Los líderes TI del corredor de seguros, deberán seleccionar los mecanismos y/o
herramientas idóneas bajo aprobación de la gerencia, para proteger los activos de
información de cualquier tipo de riesgo que provenga de fuentes internas o externas
cómo agentes contaminantes que pongan en riesgo los equipos de cómputo o la
información.
Los Líderes TI del corredor de seguros, deberán establecer los mecanismos
adecuados para el control de acceso a sitios de internet o correo electrónico que
pueda contener agentes contaminantes.
Los equipos de la compañía tendrán restricción de instalación de programas o
aplicaciones sin la autorización del área encargada.
Los equipos de la empresa deberán siempre estar protegidos a partir de un antivirus
u otras aplicaciones si así lo requiera debidamente licenciadas cumpliendo así con
los aspectos legales.
El acceso a internet debe estar restringido de algunos sitios no confiables y que no
tengan relación a las actividades de la empresa.
Los equipos de la compañía deberán estar restringidos de software no licenciado.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
165
EMPRESA CORREDORA DE SEGUROS
POLÍTICA: COPIAS DE RESPALDO
OBJETIVO
Establecer las normas para el respaldo de la información del corredor de seguros.
ALCANCE
Empleados, Usuarios e Información.
DEFINICIONES
Disponibilidad: Propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
POLÍTICAS
La compañía corredora de seguros, debe realizar copias de seguridad de la
información que esté en estado crítico inmediatamente para mantener una alta
disponibilidad de la información ante un evento humano o natural que atente contra
la misma.
Todas las copias de seguridad deberán ser identificada y marcadas por el personal
encargado manteniendo una bitácora de los procedimientos que se realizaron sobre
ésta, y que permiten a las entidades de corredores de seguros llevar un registro
exacto de los procesos realizados.
Todos los respaldos de la información deberán ser almacenados en un lugar externo
a las oficinas principales con el fin de evitar pérdidas de disponibilidad por eventos
naturales o humanos.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
166
9. A.13 Seguridad de las comunicaciones
EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA SEGURIDAD DE LAS REDES
OBJETIVO
Especificar los lineamientos necesarios para la protección de los servicios de red
ALCANCE
Aplica a las instalaciones de la sede principal.
DEFINICIONES
Redes de datos: Cualquier mecanismo de interconexión por cable o inalámbrico que permita la comunicación de dos o más sistemas de cómputo para compartir recursos entre sí.
POLÍTICAS
El encargado de TI en conjunto con el grupo encargado del sistema de
seguridad deberá realizar capacitaciones constantes a los usuarios que
acceden al sistema y/o red, sobre los cuidados que deben tener con
respecto a la seguridad de la información y la red de telecomunicaciones
(ataques, amenazas, engaños, mejores prácticas, lo que no debe hacerse,
etc.), como también las posibles consecuencias que conllevan cada acción
ejecutada por los usuarios.
Los servidores solamente deberán ser accedidos por usuarios con
privilegios otorgados por el organismo que gestione el sistema de
seguridad.
Se deberá llevar un control escrito por medio de un formato que lleve el
control o registro de los cambios que se realicen sobre los servidores y
demás dispositivos de la red de la compañía
Los encargados de TI deberán asignar ip estáticas a cada uno de los
equipos que están en la oficina.
167
El equipo de TI deberá vigilar y monitorear constantemente los servicios
de red por medio de herramientas que se adapten a las necesidades de
la compañía.
Los servidores, dispositivos, red de telecomunicaciones, red eléctrica y
demás aspectos deberán ser estar bajo mantenimientos correctivos y/o
preventivos para garantizar el correcto funcionamiento de las operaciones
de la compañía.
Se debe garantizar que los servidores y dispositivos cuenten con entornos
adecuados bajo las normas que rijan para el correcto funcionamiento de
los mismos.
Se deben mantener registros como diagramas e instructivos relacionados
con la red de datos, así como los acuerdos de nivel de servicio con terceros
que provean servicios sobre las redes y el responsable de aprobar y
gestionar los cambios relacionados con dichos registros será el Gerente
de tecnologías de la información.
El área de computo deberá ser administrada y controlada solamente por
el grupo de infraestructura de la red.
El equipo de TI deberá gestionar el cambio de contraseña de los equipos
y dispositivos según unos periodos determinados y planeados, de igual
manera informar a todo el personal afectado.
El equipo de Ti deberá asignar usuario y contraseña a cada uno de los
empleados de la compañía informándole anticipadamente al personal
sobre accesos, disponibilidad y demás normas y políticas que se deben
cumplir por el uso de equipos de la compañía.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
168
EMPRESA CORREDORA DE SEGUROS TRANSFERENCIA DE INFORMACIÓN
ETIVO
Establecer los lineamientos que se tendrán en cuenta para el intercambio de
información interna y con terceros.
ALCANCE
Aplica para todos los funcionarios.
DEFINICIONES
Redes de datos: Cualquier mecanismo de interconexión por cable o inalámbrico que permita la comunicación de dos o más sistemas de cómputo para compartir recursos entre sí.
POLÍTICAS
En caso de transferir información por cualquier medio de transmisión
(electrónico, físico, impreso, audiovisual) con terceros, sean estos
clientes, proveedores, organismos de control o una compañía externa, es
necesario seguir un procedimiento seguro de intercambio con terceros.
Se deben establecer mecanismos que incluyan la firma de acuerdos de
intercambio de información con los terceros estableciendo las
responsabilidades de la compañía y del receptor de la información.
Cuando la información, sea cual sea el medio en que se encuentre, deba
ser transportada de un lugar a otro, se toman las medidas necesarias para
garantizar que dicha información no sea susceptible de acceso no
autorizado.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
169
10. A.14 Desarrollo de software
EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA EL DESARROLLO DE SOFTWARE
OBJETIVO
Establecer los lineamientos mediante los cuales el corredor de seguros controla el
desarrollo y mantenimiento de software.
ALCANCE
Aplica al Departamento de Tecnologías de la Información y comunicaciones, oficial
de seguridad de la información y funcionarios que requieran desarrollos.
DEFINICIONES
Ambiente de producción: El objetivo del ambiente de producción es
proveer la infraestructura de hardware y software necesaria para realizar la
operación final del sistema.
Ambiente de pruebas: El objetivo del ambiente de pruebas es proveer la
infraestructura de hardware y software necesaria para realizar la ejecución
de pruebas de integración, técnicas y funcionales para determinar el
comportamiento de una aplicación en escenarios reales.
POLÍTICAS
Los desarrolladores deben documentar el levantamiento de
requerimientos, teniendo en cuenta los requerimientos de seguridad, con
buenas prácticas para el desarrollo seguro de aplicaciones según
procedimiento de desarrollo tecnológico.
Dentro de las aplicaciones los desarrolladores deben suministrar opciones
de cierre de sesión que permitan la desconexión asociada a la aplicación.
Se deben proteger los códigos fuente de las aplicaciones desarrolladas,
de tal manera que no sea descargado ni modificado por ningún
funcionario.
170
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
171
11. A.15 Relación con Proveedores y gestión de la prestación de
servicios de proveedores
EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA RELACIÓN CON PROVEDORES
OBJETIVO
Establecer mecanismos de control en las relaciones del corredor de seguros con
sus proveedores, con el objetivo de asegurar que la información a la que tengan
acceso y los servicios que sean provistos por ellos, cumplan con las políticas y
procedimientos de seguridad de la información.
ALCANCE
Esta política aplica para todos los proveedores de productos y servicios del corredor
de seguros, así mismo, es aplicable a todo el personal que| se vea
involucrado en relaciones con proveedores.
DEFINICIONES
Acuerdos de Confidencialidad: Es un contrato legal entre al menos dos compañías para compartir material confidencial o
conocimiento para ciertos propósitos, pero restringiendo su uso público.
Acuerdos de Intercambio de información: Es un contrato legal
entre al menos dos compañías para compartir información o conocimiento para ciertos propósitos, donde se definen las
responsabilidades de protección que se le deberá dar a dicha información.
Acuerdos de Niveles de Servicio: Es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel
acordado para la calidad de dicho servicio.
172
POLÍTICAS
Se deberá identificar, mitigar y monitorear los riesgos relacionados con
los proveedores de servicios, incluidos los servicios de tecnología o
comunicaciones.
Se deberá divulgar las políticas y procedimientos de seguridad de la
información del corredor de seguros a los proveedores, así como velar por
el acceso a la información y a los recursos de almacenamiento o
procesamiento de la misma.
Se deberá evaluar y aprobar de manera formal los accesos a la
información de la compañía requeridos por terceras partes.
Se deberá monitorear las condiciones de conexión para los equipos de
cómputo o dispositivos desde terceros hacía la red de datos de la
compañía.
Se deberá establecer y monitorear las condiciones de seguridad física y
ambiental de los terceros que prestan servicio al corredor de seguros
dentro de sus instalaciones.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
173
12. A.16 Gestión de incidentes y mejoras en la seguridad de la
información y Redundancias
EMPRESA CORREDORA DE SEGUROS POLÍTICA PARA LA GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA
INFORMACIÓN Y REDUNDANCIAS
OBJETIVO
Establecer los lineamientos bajo los cuales se brindará la respuesta a incidentes de
seguridad de la información, con el fin de prevenir el impacto de los mismos.
ALCANCE
Aplica a los funcionarios y proveedores que tengan acceso a los sistemas de
información del corredor de seguros.
DEFINICIONES
Activos de Información: Cualquier pieza de información, sea esta en cualquier
medio magnético, impreso o que sea transmitida electrónica, visual u oralmente y
que tenga importancia para el cumplimiento de las funciones.
Confidencialidad: La propiedad de que la información sólo sea conocida por
aquellas personas que tienen derecho legítimo a conocerla.
Disponibilidad: La propiedad de que la información se encuentre disponible en los
puntos de uso cuando ésta sea requerida por una persona autorizada.
Integridad: La propiedad de que la información sea integra, confiable y no haya
sido alterada bajo ninguna circunstancia.
Vulnerabilidad: Situación anómala que crea una debilidad, generalmente causada
por el hombre y que puede ser explotada por una amenaza para poner en riesgo un
activo de información.
POLÍTICAS
174
Los funcionarios del corredor de seguros deberán informar la existencia de un potencial evento o incidente de seguridad de la información o
vulnerabilidad que pueda afectar, en términos de integridad, disponibilidad y/o confidencialidad de los activos de información de la
compañía.
Disponer de mecanismos claros para el reporte de incidentes que afecten la seguridad de la información.
Establecer procedimientos para la atención de incidentes; buscando la mejora continua en la respuesta a incidentes de seguridad.
Analizar los eventos de seguridad para determinar si se cataloga como incidente de seguridad de la información.
Efectuar cuando lo considere necesario, investigaciones sobre los
incidentes de seguridad de la información, actuando como primer respondiente y con la responsabilidad de recolectar, preservar, analizar,
sustentar y reportar la evidencia digital derivada de dicho incidente.
El equipo de TI o proveedor encargado deberá realizar un plan y ejecución de los herramientas y mecanismos necesarios para mantener redundancia
en los sistemas de información con el fin de mantener los requisitos de disponibilidad.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
175
13. A.17 Continuidad del negocio
EMPRESA CORREDORA DE SEGUROS POLITICA DE CONTINUIDAD DE NEGOCIO
OBJETIVO
Garantizar que se incluyan los aspectos de seguridad de la información en el plan
de continuidad de negocios
ALCANCE
Aplica a los Administradores de Sistemas, Gerencia de TI y al Oficial de Seguridad.
DEFINICIONES
Confidencialidad: La propiedad de que la información sólo sea conocida por aquellas personas que tienen derecho legítimo a conocerla.
Disponibilidad: La propiedad de que la información se encuentre disponible en los puntos de uso cuando ésta sea requerida por una persona autorizada.
Integridad: La propiedad de que la información sea integra, confiable y no haya sido alterada bajo ninguna circunstancia.
POLÍTICAS
Se deben establecer procedimientos de restablecimiento de las actividades críticas para garantizar la continuidad del negocio en
momentos de crisis y recuperación.
Se deben analizar riesgos de continuidad para el establecimiento del Plan de Continuidad de Negocio.
176
Se deben realizar pruebas periódicas del plan de continuidad de negocio al menos una vez al año, efectuando las actualizaciones y mejoras que
resulten de dichas pruebas.
La participación del personal en las pruebas de continuidad es de carácter obligatorio.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1
177
14. A18 Cumplimiento
EMPRESA CORREDORA DE SEGUROS POLITICA DE CUMPLIMIENTO DE REQUISITOS LEGALES DE SEGURIDAD DE LA
INFORMACION
OBJETIVO
Establecer el compromiso de cada uno de los colaboradores de del corredor de
seguros con el fin de cumplir los requisitos técnicos, legales, contractuales y
reglamentarios relacionados con seguridad de la información.
ALCANCE
Esta política aplica para todos los funcionarios del corredor de seguros
DEFINICIONES
Contractual: es lo relativo, procedente o derivado de un contrato. Definiendo a contrato como un acuerdo que se establece con
determinadas formalidades entre dos o más personas, mediante el cual se obligan de forma recíproca a determinadas cosas. Por su
parte, también es el documento en que se acredita ese acuerdo.
POLÍTICAS
El corredor de seguros deberá verificar y dar seguimiento a los
requerimientos legales y/o reglamentarios a nivel nacional o internacional
por medio de asesores expertos en el tema.
La alta gerencia debe vela por el cumplimiento de las políticas de
seguridad de la información y de toda clase de políticas, normas,
estándares y procedimientos para el control de la seguridad de la
información, auditará periódicamente el cumplimiento de los funcionarios,
sistemas de información y los procesos; y ejecutará las actividades que
considere para reforzar el cumplimiento de las mismas en donde sea
necesario.
178
El equipo de TI deberá llevar un control y análisis de nuevas estructuras
técnicas frente a la gestión de seguridad de la información.
HISTORIAL DE VERSIONES
ID V. Fecha Elaboró Aprobado Por:
Resumen de Cambios
POL-001
1.0 1 de Marzo 2018
Mauricio Latorre, Leonardo Gómez.
Gerencia General.
Revisión 1