Sei sulla pagina 1di 81

Implementacin de un modelo de seguridad informtica en un sistema de

monitoreo para los canales de comunicaciones y Datacenter en la empresa Atento


SA

AUTORES:

XIOMARA MAYERLI MACIAS MENDEZ

JOSE LUIS DUEAS JUEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOS DE CALDAS

FACULTAD TECNOLGICA

INGENIERA EN TELECOMUNICACIONES

BOGOT D.C. 2015

IMPLEMENTACIN DE UN MODELO DE SEGURIDAD INFORMTICA EN


UN SISTEMA DE MONITOREO PARA LOS CANALES DE
COMUNICACIONES Y DATACENTER EN LA EMPRESA ATENTO SA
XIOMARA MAYERLI MACIAS MENDEZ

Cdigo: 20131273028

JOSE LUIS DUEAS JUEZ

Cdigo: 20122273004

MONOGRAFA PARA OPTAR AL TITULO

DE INGENIERIA EN TELECOMUNICACIONES

DIRECTOR DE PROYECTO:

Ing. JOS DAVID CELY

UNIVERSIDAD DISTRITAL FRANCISCO JOS DE CALDAS

FACULTAD TECNOLGICA

INGENIERA EN TELECOMUNICACIONES

BOGOT D.C. 2015


PAGINA DE APROBACIN

Observaciones

___________________________________________

___________________________________________

___________________________________________

___________________________________________

__________________________________
Ing. Jos David Cely Callejas
Director Del Proyecto

__________________________________
Ing. Giovani Mancilla Gaona
Jurado

Fecha de Presentacin: Octubre de 2015


DEDICATORIA

En primera instancia a Dios, por acompaar nuestro camino e iluminarlo en los momentos de
lucidez y dificultad.
A nuestros padres y hermanos por ser motivadores constantes y ensearnos con su ejemplo el
valor del esfuerzo.
A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza.
A nuestros docentes, tutores y asesores, por su orientacin y contribucin para lograr llegar a la
meta que nos hemos propuesto.
A la empresa Atento S.A. por su apoyo incondicional, profesional y personal en la realizacin de
este proyecto.
CONTENIDO

1. INTRODUCCIN .................................................................................................................. 1

2. DESCRIPCION DEL PROYECTO ....................................................................................... 2

2.1. Objetivos .......................................................................................................................... 2

2.1.1. General ...................................................................................................................... 2

2.1.2. Especficos ................................................................................................................ 2

2.2. Alcance y limitaciones ..................................................................................................... 2

2.2.1. Alcance ..................................................................................................................... 2

2.2.2. Limitantes ................................................................................................................. 3

3. GENERALIDADES ............................................................................................................... 4

3.1. MARCO CONCEPTUAL ................................................................................................ 4

3.1.1. Definiciones .............................................................................................................. 4

3.2. MARCO TEORCO ......................................................................................................... 6

3.2.1. Seguridad informtica ............................................................................................... 6

3.2.2. Plan Do Check Act.................................................................................................... 6

3.2.3. Principios de la seguridad de la informacin ............................................................ 7

3.2.4. MAGERIT (MAGUERIT, 2012)............................................................................ 10

3.2.5. Poltica de seguridad (Nozaki & Tipton, 2011) ...................................................... 11

3.3. ANTECENDENTES ...................................................................................................... 15

3.4. MARCO LEGAL ........................................................................................................... 18

3.4.1. Reglamentacin a nivel internacional ..................................................................... 18

3.4.2. Reglamentacin a nivel Nacional ........................................................................... 19

3.5. METODOLOGA .......................................................................................................... 20

4. DISEO METODOLOGICO DEL PROYECTO ................................................................ 22


4.1. Anlisis de riesgos:......................................................................................................... 22

4.1.1. Seleccin de parmetros ......................................................................................... 22

4.1.2. Anlisis de Activos ..................................................................................................... 25

4.1.3. Identificacin de Amenazas........................................................................................ 26

4.1.4. Anlisis de Amenazas:................................................................................................ 26

4.1.5. Impacto Potencial ....................................................................................................... 27

4.1.6. Riesgo Residual .......................................................................................................... 27

4.2. Gestin de riesgos .......................................................................................................... 29

4.2.1. Anlisis de los controles ISO/IEC 27002:2013 ...................................................... 30

4.2.2. Evaluacin de estado actual .................................................................................... 40

4.2.3. Declaracin de aplicabilidad ................................................................................... 42

5. PLAN DE ACCIN ............................................................................................................. 44

5.1. Cierre brechas ................................................................................................................. 44

5.2. Plan de trabajo certificacin ........................................................................................... 45

5.3. Poltica de seguridad para los sistemas de informacin de Atento SA .......................... 47

5.3.1. Objetivo................................................................................................................... 47

5.3.2. Requerimientos organizacionales: .......................................................................... 48

5.3.3. Comunicacin: ........................................................................................................ 48

5.4. Diseo de la infraestructura lgica de interconectividad ............................................... 49

5.4.1. Seguridad Lgica: ................................................................................................... 49

5.4.2. Topologa de Red Segura: ....................................................................................... 49

5.4.3. Zonificacin ............................................................................................................ 50

5.4.4. Red de Acceso......................................................................................................... 50

5.4.5. Red Desmilitarizada ................................................................................................ 50

5.4.6. Red Militarizada...................................................................................................... 51


5.4.7. Red Interna .............................................................................................................. 51

5.4.8. Pautas para la interconectividad de Zonas .............................................................. 52

5.4.9. Flujo de Datos ......................................................................................................... 53

5.4.10. Barreras de Seguridad: ........................................................................................ 54

5.4.11. Alta Disponibilidad en Firewall: ......................................................................... 55

5.4.12. VLANs: .............................................................................................................. 55

6. ETAPA DE PREPRODUCCION ......................................................................................... 56

6.1. Solicitud de Equipos: ..................................................................................................... 57

6.2. Proceso de Configuracin: ............................................................................................. 57

7. RESULTADOS..................................................................................................................... 64

7.1. Etapa anlisis de riesgos ................................................................................................. 64

7.2. Gestin de riesgos .......................................................................................................... 65

7.3. Gestin de riesgos .......................................................................................................... 67

8. CONCLUSIONES ................................................................................................................ 68

9. BIBLIOGRAFA .................................................................................................................. 69

10. REFERENCIAS ................................................................................................................. 70


LISTA DE FIGURAS

Figura 1. Sistema de gestin de la seguridad de la informacin ..................................................... 7


Figura 2.Principios bsicos de la seguridad de la informacin ....................................................... 8
Figura 3. ISO 31000 - Marco de trabajo para la gestin de riesgos .............................................. 10
Figura 4. Etapas en el desarrollo de una poltica .......................................................................... 13
Figura 5. I Solution modeling ....................................................................................................... 17
Figura 6. Identificacin y valoracin de Activos .......................................................................... 25
Figura 7. Identificacin de Amenazas .......................................................................................... 26
Figura 8. Anlisis de Amenazas .................................................................................................... 27
Figura 9. Riesgo Residual ............................................................................................................ 29
Figura 10. Dominios de control .................................................................................................... 30
Figura 11: Nivel de cumplimiento ISO27001 ............................................................................... 43
Figura 12. Diseo esquema de conexiones ................................................................................... 53
Figura 13. Esquema Multihomed .................................................................................................. 54
Figura 14. Configuracin del usuario local ................................................................................... 58
Figura 15. Encriptacin del directorio de usuario ......................................................................... 58
Figura 16. Configuracin IP LAN ................................................................................................ 59
Figura 17. Configuracin IP LAN 2 ............................................................................................. 59
Figura 18. Configuracin usuario administrador de la herramienta de monitoreo. ...................... 60
Figura 19. Interfaz Web Nagios .................................................................................................... 61
Figura 20. Configuracin de roles para usuarios nuevos .............................................................. 61
Figura 21. Cambio de contrasea por los mismos usuarios .......................................................... 62
Figura 22 Poltica Firewall de conexin a la DMZ ....................................................................... 62
Figura 23 Poltica Firewall de conexin hacia la MZ ................................................................... 63
Figura 24: Dimensiones afectadas por amenazas ......................................................................... 64
Figura 25: Frecuencia Vs impacto ................................................................................................ 65
Figura 26: Nivel de cumplimiento ISO27001 ............................................................................... 66
Figura 27 Reporte vulnerabilidades .............................................................................................. 67
LISTA DE TABLAS

Tabla 1 Valor Cuantitativo de Activos ......................................................................................... 22


Tabla 2: Probabilidad de ocurrencia de un evento ........................................................................ 23
Tabla 3: Relacin de impacto........................................................................................................ 23
Tabla 4: Dimensiones de Seguridad.............................................................................................. 24
Tabla 5: Tipos de Activos ............................................................................................................. 24
Tabla 6: Tipos de Amenazas ......................................................................................................... 25
Tabla 7: Anlisis de brechas ......................................................................................................... 41
Tabla 8 Cronograma de ejecucin ................................................................................................ 46
Tabla 9 Modelo de conexin entre zonas...................................................................................... 52
RESUMEN

En este este proyecto se realiz la creacin de una poltica de seguridad con el fin de
establecer medidas para la proteccin de la informacin en la empresa Atento SA. A lo
largo del desarrollo del proyecto se realizaron anlisis de activos informticos vs la
seguridad de los mismos. En primera instancia se realiz el anlisis de riesgos, donde se
identificaron los activos y el valor de los mismos, la identificacin de amenazas, la
evaluacin de impacto y la clasificacin de riesgos que pudiesen causar dichas
amenazas. Enseguida se realiz el tratamiento de los riesgos, donde se identificaron los
controles de seguridad existentes en la empresa tomando como referencia la norma
ISO/IEC 27001:2013, ya que es objetivo de Atento SA certificarse en esta norma, se
identific la situacin actual y las brechas de seguridad. Con el proceso de investigacin
dentro de la empresa se lograron obtener todos los datos necesarios para dar paso al
diseo de la poltica de seguridad y establecer el modelo de implementacin que fue
remitido al comit de seguridad de Atento SA para su respectiva revisin y aprobacin.
Como siguiente paso se realiz el diseo de conexin entre redes tanto externas como
internas de la compaa y por ltimo se realiz la implementacin de una herramienta de
seguridad aplicando las medidas de seguridad correspondientes.
1. INTRODUCCIN

En la actualidad el uso de los sistemas de informacin tiene una gran demanda dado el
incremento de servicios tecnolgicos en las diferentes ramas de la industria y con ello tambin
el aumento de problemas de seguridad, afectando activos esenciales como la informacin. Es
necesario que las empresas se concienticen de la importancia de proteger la integridad de los
datos que manejan, puesto que el dejar de lado el tema podra incurrir en deterioro de la
informacin degradando los servicios y generando prdidas econmicas.

Teniendo en cuenta lo anterior es necesario contar con estrategias y medidas de seguridad de la


informacin, con el fin de garantizar el funcionamiento adecuado de todos los sistemas y dado
el caso de alguna amenaza y/o ataque que impliquen la prdida de informacin, se apliquen los
procedimientos correctivos necesarios.

El propsito de asegurar la informacin consiste en hacer que los riesgos sean conocidos,
asumidos, gestionados y minimizados por la empresa. Realizando la documentacin de tal
forma que sea estructurada, eficiente y ajustable a cambios, estas caractersticas deben primar en
el entorno de cualquier entidad moderna, que incorpore a su gestin las tecnologas de la
informacin y que este respaldada sobre una infraestructura tecnolgica con amplio grado de
integracin de redes, comunicaciones y sistemas de informacin.

El desarrollo de este proyecto permitir que los administradores de la infraestructura tecnolgica


tomen conciencia de la necesidad de una poltica de seguridad correctamente estructurada, que
permita la prevencin de fallas y en caso dado atencin optima de las mismas. Adicionalmente
se debe resaltar la importancia de la divulgacin de la poltica de seguridad a todo el personal
vinculado con la empresa, ya que de ello depende su cumplimiento y la disminucin de las
penalizaciones impuestas en las auditoras realizadas por los diferentes clientes a los que Atento
presta sus servicios.

1
2. DESCRIPCION DEL PROYECTO

2.1. Objetivos

2.1.1. General
Implementar un modelo de seguridad informtica en un sistema de monitoreo para los
canales de comunicaciones y Datacenter en la empresa Atento SA.

2.1.2. Especficos

Identificar las posibles problemticas de seguridad informtica que pueden surgir en el


desarrollo de los procesos realizados en el Datacenter de la empresa.

Disear la infraestructura lgica de interconectividad

Disear polticas de seguridad y modelo de implementacin de las mismas.

2.2. Alcance y limitaciones

2.2.1. Alcance

Este proyecto comprende el diseo de una poltica de seguridad orientada al cumplimiento de


los controles de la norma ISO/IEC 27001:2013 dirigida a procesos, activos y riesgos que
pertenecen al rea de TI en la empresa Atento SA. Este proyecto contempla la etapa de diseo
de la poltica de seguridad, por lo tanto depende de la empresa llevar a cabo su implementacin.
Como prototipo, se realiz la implementacin de una herramienta de monitoreo para los
equipos del Datacenter aplicando los tems establecidos en la poltica de seguridad creada. De
igual forma abarca el diseo de infraestructura lgica de interconectividad enfocado al uso de
esta herramienta con la opcin de ser aplicado para el uso de otros servicios relacionados con el
rea Tecnolgica.
Los valores monetarios de los activos establecidos en el anlisis no son los valores comerciales,
se establece el valor que considera la empresa, de acuerdo los procesos o servicios que maneja.

2
2.2.2. Limitantes

Este proyecto no contempla la implementacin de la poltica de seguridad, se entrega la


respectiva documentacin a las directivas con el fin de que sea aprobada y ejecutada por el rea
que considere.

Los activos relacionados en los anlisis no representan la totalidad de los activos de la empresa,
pero si los que se consideran importantes en el rea de TI.

Los controles de la norma ISO/IEC 27002:2013 sern planteados solo si hay riesgos que
justifiquen un control en particular, de lo contrario sera tomado como una prdida de tiempo y
dinero.

3
3. GENERALIDADES

3.1. MARCO CONCEPTUAL

A continuacin se darn algunas definiciones importantes, tiles para una mejor comprensin
de este proyecto.

3.1.1. Definiciones

- Activos de informacin: Los activos son los recursos que tienen valor o utilidad para la
organizacin, sus operaciones comerciales y su continuidad, necesarios para que la
organizacin funcione y alcance los objetivos que propone su direccin.
- Amenaza: Es todo aquello, ya sea fsico o lgico que puede causar un incidente no
deseado, generando daos materiales o inmateriales a la organizacin y a sus activos,
como la perdida de informacin, o de su privacidad, o bien un fallo en los equipos fsicos.
- Anlisis de riesgos: Uso sistemtico de la informacin para identificar fuentes y estimar
el riesgo.
- Confidencialidad: Acceso a la informacin por parte nicamente de quienes estn
autorizados. (Caracterstica por la que la informacin no est disponible o revelada a
individuos, entidades o procesos no autorizados).
- Controles de seguridad: Las polticas, los procedimientos, las prcticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la informacin por
debajo del nivel de riesgo asumido. Tambin utilizado como sinnimo de salvaguarda o
contramedida.
- Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organizacin adems de la justificacin tanto de su seleccin como de la
exclusin de controles incluidos en el anexo A de la norma.
- Disponibilidad: Acceso a la informacin y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados cuando lo requieran. (Caracterstica de permanecer
accesible y disponible para su uso cuando lo requiera una entidad autorizada).

4
- Gestin de riesgos: Proceso de identificacin, control y minimizacin o eliminacin, a
un coste aceptable, de los riesgos que afecten a la informacin de la organizacin. Incluye
la valoracin de riesgos y el tratamiento de riesgos.
- Impacto: El coste para la empresa de un incidente que puede o no ser medido en
trminos estrictamente financieros ej., prdida de reputacin, implicaciones legales, etc.
- Informacin: Conjunto organizado de datos procesados que constituyen un mensaje que
cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La
informacin ya sea impresa, almacenada digitalmente o hablada, es considerada un activo
dentro de las compaas y debe protegerse.
- Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso. (Caracterstica de salvaguardar la exactitud y completitud de los
activos).
- No conformidad: Situacin aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algn aspecto de un requerimiento de control que permita dudar de la
adecuacin de las medidas para preservar la confidencialidad, integridad o disponibilidad
de informacin sensible, o representa un riesgo menor.
- No repudio: Es un servicio de seguridad que permite probar la participacin de las partes
en una comunicacin.
- PDCA: (Plan-Do-Check-Act) Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI),
verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).
- Poltica de seguridad: Documento que establece el compromiso de la Direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.
- Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una prdida o dao en un activo de informacin. (Combinacin de la probabilidad
de un evento y sus consecuencias).
- Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
- Seguridad de la informacin: es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la
informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.

5
- SGSI: Sistema de Gestin de la Seguridad de la Informacin. Parte de un sistema global
de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza,
revisa, mantiene y mejora la seguridad de la informacin.
- Vulnerabilidad: Debilidad en la seguridad de la informacin de una organizacin que
potencialmente permite que una amenaza afecte a un activo. (Debilidad de un activo o
conjunto de activos que puede ser explotado por una amenaza).

3.2. MARCO TEORCO

3.2.1. Seguridad informtica

Debido a que el uso de Internet se encuentra en aumento, cada vez ms compaas permiten a sus
socios y proveedores acceder a sus sistemas de informacin. Por lo tanto, es fundamental saber
qu recursos de la compaa necesitan proteccin para as controlar el acceso al sistema y los
derechos de los usuarios del sistema de informacin. Los mismos procedimientos se aplican
cuando se permite el acceso a la compaa a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el cual
permite a los empleados conectarse a los sistemas de informacin casi desde cualquier lugar, se
pide a los empleados que lleven consigo parte del sistema de informacin fuera de la
infraestructura segura de la compaa.

Los riesgos, en trminos de seguridad, se caracterizan por lo general mediante la siguiente


ecuacin.
Riesgo = (amenaza * vulnerabilidad) / contramedida

3.2.2. Plan Do Check Act

El ciclo de Deming (de Edwards Deming), tambin conocido como crculo PDCA (del ingls
plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por
Walter A. Shewhart. Es muy utilizado por los sistemas de gestin de la calidad (SGC) y los
sistemas de gestin de la seguridad de la informacin (SGSI).

6
Los resultados de la implementacin de este ciclo permiten a las empresas una mejora integral de
la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo
los costes, optimizando la productividad, reduciendo los precios, incrementando la participacin
del mercado y aumentando la rentabilidad de la empresa u organizacin. (Sistema de gestin de
la seguridad de la informacin, 2015)

Figura 1. Sistema de gestin de la seguridad de la informacin

Fuente: Plan de gestin de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/

3.2.3. Principios de la seguridad de la informacin

La seguridad de la informacin es la proteccin de los activos de informacin, contra una gran


variedad de amenazas que existen en el mundo, con el fin de asegurar la continuidad del negocio,

7
minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de una empresa.
Figura 2.

Figura 2.Principios bsicos de la seguridad de la informacin

Fuente: EAN pgina institucin educativa. [En lnea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.

Se habla regularmente de la Seguridad de la Informacin y se hace, en muchos casos, dando por


hecho que cada persona es plenamente consciente de lo que implica el trmino. Indudablemente,
es fcil deducir lo que se habla, pero tambin es fcil entender que, en un mundo tan tcnico y
complejo, en ocasiones la clave se encuentra en saber definir y entender con exactitud el propio
trmino sobre el que se trabaja. (Mifsud, 2012)

- Confidencialidad: En general el trmino 'confidencial' hace referencia a "Que se hace o


se dice en confianza o con seguridad recproca entre dos o ms personas."
En trminos de seguridad de la informacin, la confidencialidad hace referencia a la
necesidad de ocultar o mantener secreto sobre determinada informacin o recursos. El

8
objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la
informacin. En general, cualquier empresa pblica o privada y de cualquier mbito de
actuacin requiere que cierta informacin no sea accedida por diferentes motivos.

Por otra parte, determinadas empresas a menudo desarrollan diseos que deben proteger de
sus competidores. La sostenibilidad de la empresa as como su posicionamiento en el
mercado puede depender de forma directa de la implementacin de estos diseos, y se deben
proteger mediante mecanismos de control de acceso que aseguren la confidencialidad de la
informacin.

- Integridad: En general, el trmino 'integridad' hace referencia a una cualidad de 'ntegro'


e indica "Que no carece de ninguna de sus partes."

En trminos de seguridad de la informacin, la integridad hace referencia a la fidelidad de la


informacin o recursos, se expresa en lo referente a prevenir el cambio impropio o
desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no
autorizadas de la informacin.

- Disponibilidad: En general, el trmino 'disponibilidad' hace referencia a una cualidad de


'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que est lista
para usarse o utilizarse."

En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la


informacin del sistema debe permanecer accesible a elementos autorizados. El objetivo de
la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los
recursos informticos.

La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores, dependiendo
del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a
otro. (Mifsud, 2012)

9
3.2.4. MAGERIT (MAGUERIT, 2012)

MAGERIT es la metodologa de anlisis y gestin de riesgos elaborada por el Consejo Superior


de Administracin Electrnica, como respuesta a la percepcin de que la Administracin, y, en
general, toda la sociedad, dependen de forma creciente de las tecnologas de la informacin para
el cumplimiento de su misin.

MAGERIT es para todos aquellos que trabajan con informacin digital y sistemas informticos
para tratarla. Si dicha informacin, o los servicios que se prestan gracias a ella, son valiosos,
MAGERIT permite saber cunto valor est en juego y ayuda a protegerlo. Conocer el riesgo al
que estn sometidos los elementos de trabajo es, simplemente, imprescindible para poder
gestionarlos. Se persigue una aproximacin metdica que no deje lugar a la improvisacin, ni
dependa de la arbitrariedad del analista.

Figura 3. ISO 31000 - Marco de trabajo para la gestin de riesgos

Fuente: ISO 31000 y los 11 principios de la Gestin de Riesgos. (n.d.). Consultado Agosto 1, 2015, de
http://www.pmnconsultores.com/ISO31000

10
MAGERIT persigue los siguientes objetivos:

- Directos:
o Concienciar a los responsables de las organizaciones de informacin de la
existencia de riesgos y de la necesidad de gestionarlos.
o Ofrecer un mtodo sistemtico para analizar los riesgos derivados del uso de
tecnologas de la informacin y comunicaciones (TIC)
o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos
bajo control.
- Indirectos:
o Preparar a la Organizacin para procesos de evaluacin, auditora, certificacin o
acreditacin, segn corresponda en cada caso.

3.2.5. Poltica de seguridad (Nozaki & Tipton, 2011)

Es importante aclarar el trmino poltica o estndar o mejor practica o gua o procedimiento,


estos son trminos usados en la seguridad informtica a diario, pero algunas veces son utilizados
correctamente otras veces no. A continuacin se enuncian la definicin de los trminos
anteriormente mencionados en implementacin de polticas.

- Poltica: La poltica de seguridad es un conjunto de leyes, reglas y prcticas que regulan


la manera de dirigir, proteger y distribuir recursos en una organizacin para llevar a cabo
los objetivos de seguridad informtica dentro de la misma. Las polticas de seguridad
definen lo que est permitido y lo que est prohibido, permiten definir los procedimientos
y herramientas necesarias, expresan el consenso de los dueos y permiten adoptar una
buena actitud dentro de la organizacin.

- Estndar: Los estndares de seguridad son una herramienta que apoya la gestin de la
seguridad informtica, ya que los ambientes cada vez ms complejos requieren de
modelos que administren las tecnologas de manera integral, sin embargo, existen
distintos modelos aplicables en la administracin de la seguridad.

11
- Mejor practica: Es una regla de seguridad especfica a una plataforma que es aceptada a
travs de la industria al proporcionar el enfoque ms efectivo a una implementacin de
seguridad concreta. Las mejores prcticas son establecidas para asegurar que las
caractersticas de seguridad de sistemas utilizados con regularidad estn configurados y
administrados de manera uniforme, garantizando un nivel consistente de seguridad a
travs de la organizacin.

- Gua: Una gua es una declaracin general utilizada para recomendar o sugerir un
enfoque para implementar polticas, estndares y buenas prcticas. Las guas son,
esencialmente recomendaciones que deben considerarse al implementar la seguridad.
Aunque no son obligatorias, sern seguidas a menos que existan argumentos
documentados y aprobados para no hacerlo.

- Procedimiento: Los procedimientos definen especficamente cmo las polticas,


estndares, mejores prcticas y guas sern implementados en una situacin dada. Los
procedimientos son dependientes de la tecnologa o de los procesos y se refieren a
plataforma, aplicaciones o procesos especficos. Son utilizados para delinear los pasos
que deben ser seguidos por una dependencia para implementar la seguridad relacionada a
dicho proceso o sistema especfico. Generalmente los procedimientos son desarrollados,
implementados y supervisados por el dueo del sistema. Los procedimientos seguirn las
polticas de la organizacin, los estndares, las mejores prcticas y las guas tan cerca
como les sea posible y a su vez se ajustaran a los requerimientos, procedimentales o
tcnicos establecidos dentro de la dependencia donde ellos se aplican.

Etapas en el desarrollo de una poltica:

Hay 11 etapas que deben realizarse en la vida de una poltica. Estas etapas son agrupadas en
cuatro fases:

12
- Fase de desarrollo: Durante esta fase la poltica es creada, revisada y aprobada.
- Fase de implementacin: En esta fase la poltica es comunicada y acatada (o no cumplida
por alguna excepcin).
- Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la
poltica, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se
le debe dar mantenimiento (Actualizarla).
- Fase de eliminacin: La poltica se retira cuando no se requiere ms.

Figura 4. Etapas en el desarrollo de una poltica

Fuente: Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC
Press.

Este proyecto plantea la creacin de una poltica de seguridad y un modelo de implementacin


de la misma, por tal motivo a continuacin se describe en detalle la gua para la etapa de creacin
comunicacin, cumplimiento y excepciones:

- Creacin: Planificacin, investigacin, documentacin y coordinacin de la poltica.


El primer paso en la fase de desarrollo de una poltica es la planificacin, la investigacin y la
redaccin de la poltica o, tomado todo junto, la creacin. La creacin de una poltica implica
identificar por qu se necesita la poltica (Por ejemplo requerimientos legales, regulaciones

13
tcnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la poltica,
los roles y las responsabilidades inherentes a la aplicacin de la poltica y garantizar la
factibilidad de su implementacin. De esta etapa se tendr como resultado la documentacin de
la poltica de acuerdo con los procedimientos y estndares de la universidad, al igual que la
coordinacin con entidades internas y externas que la poltica afectar, para obtener informacin
y su aceptacin. En general la creacin de una poltica es la funcin ms fcil de entender en el
ciclo de vida de desarrollo de una poltica.

- Comunicacin: Difundir la poltica:


Una vez la poltica ha sido aprobada formalmente, se pasa a la fase de implementacin. La
comunicacin de la poltica es la primera etapa que se realiza en esta fase. La poltica debe ser
inicialmente difundida a los miembros de la comunidad empresarial o a quienes sean afectados
directamente por la poltica (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta
etapa implica determinar el alcance y el mtodo inicial de distribucin de la poltica). Debe
planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser
seguido para mejorar la visibilidad de la poltica.
- Cumplimiento: Implementar la poltica
La etapa de cumplimiento incluye actividades relacionadas con la ejecucin de la poltica.
Implica trabajar con otras personas de la compaa, jefes, dependencias (de divisin o seccin)
para interpretar cual es la mejor manera de implementar la poltica en diversas situaciones y
oficinas; asegurando que la poltica es entendida por aquellos que requieren implementarla,
monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto
inmediato de la poltica en las actividades operativas. Dentro de estas actividades esta la
elaboracin de informes a la administracin del estado de la implementacin de la poltica.
- Excepciones: Gestionar las situaciones donde la implementacin no es posible
Debido a los problemas de coordinacin, falta de personal y otros requerimientos operacionales,
no todas las polticas pueden ser cumplidas de la manera que se pens al comienzo. Por esto,
cuando los casos lo ameriten, es probable que se requieran excepciones a la poltica para permitir
a ciertas oficinas o personas el no cumplimiento de la poltica. Debe establecerse un proceso para
garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para
la aprobacin, documentadas y vigiladas a travs del periodo de tiempo establecido para la

14
excepcin. El proceso tambin debe permitir excepciones permanentes a la poltica, al igual que
la no aplicacin de la misma por circunstancias de corta duracin. (Nozaki & Tipton, 2011)

3.3. ANTECENDENTES

En el rea de la seguridad informtica se han venido desarrollando en los ltimos aos diferentes
tipos de aplicaciones e investigaciones con el fin de reducir los riesgos a los que se enfrentan las
empresas y dar soporte a las operaciones del negocio. A continuacin se describen algunos de los
avances que han logrado en Colombia en diferentes entidades y/o universidades.

En la Universidad Nacional Mayor de San Marcos, facultad de Ciencias Matemticas, en el


2003, se desarroll el proyecto PLAN DE SEGURIDAD INFORMTICA PARA UNA
ENTIDAD FINANCIERA. El cual consiste en definir un plan de seguridad para una entidad
financiera, empieza por definir la estructura organizacional (roles y funciones), despus pasa a
definir las polticas, para finalmente concluir con un plan de implementacin o adecuacin a las
polticas anteriormente definidas. (Crdoba, 2003)

En la Universidad Tecnolgica de Pereira, facultad de ingenieras, programa de ingeniera de


sistemas y computacin, en el 2013 se desarroll el proyecto DISEO DEL SISTEMA DE
GESTIN DE SEGURIDAD DE LA INFORMACIN PARA EL GRUPO EMPRESARIAL
LA OFRENDA. El cual diseo un Sistema de gestin de seguridad de la informacin SGSI,
como parte de un sistema de gestin global basado directamente en los riesgos para el negocio y
los activos del mismo contemplado en la norma ISO 27001:2005, el objetivo primordial fue
ayudar a las empresas a gestionar de una forma eficaz la seguridad de la informacin evitando
las inversiones mal dirigidas, contrarrestando las amenazas presentes en el entorno y dentro de la
misma, implementacin de controles proporcionado y de un coste menos elevado. (Aguirre &
Aristizabal, 2013)
A nivel internacional tambin se han desarrollado diferentes proyectos e investigaciones en
referencia al rea de la seguridad informtica que han contribuido al mejoramiento de la
seguridad en las empresas.

15
En la pontificia universidad catlica de Per, facultad de ciencias e ingeniera, en el ao 2005, se
realiz el ANLISIS Y DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE
INFORMACIN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA
DE PRODUCCIN Y COMERCIALIZACIN DE PRODUCTOS DE CONSUMO MASIVO.
Este proyecto se dise para el caso de una empresa del rubro de produccin y distribucin de
alimentos de consumo masivo, este tipo de empresas tambin tienen la necesidad de proteger la
informacin. Por ejemplo, en unos de sus principales procesos que es el de produccin, est
implicada informacin de gran importancia para la empresa, como recetas de productos,
programacin de manufactura, sistemas que se usan, tipos de pruebas de calidad de producto,
etc., la cual debe estar resguardada correctamente para evitar que dicha informacin se pierda o
caiga en manos indebidas y as garantizar que se logren los objetivos del negocio. Esta tesis
tom en cuenta los aspectos ms importantes de la norma ISO/IEC 27001:2005. (Espinoza,
2013)

En Espaa se realiz un master interuniversitario en seguridad de las tecnologas de la


informacin y las comunicaciones entre las universidades: Universitat Oberta de Catalunya,
Universidat Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears,
llamado PLAN DE IMPLEMENTACIN DE LA NORMA ISO/IEC 27001:2005 en Junio de
2013. Este documento presenta de manera prctica la construccin de un plan de implementacin
de la norma ISO/IEC 27001:2005, lo cual es considerado un aspecto clave para cualquier
organizacin que desee alinear los objetivos del negocio y sus directrices de seguridad en
relacin a la normativa internacional. Plantea las bases para la implementacin de un Sistema de
Gestin de la Seguridad de la Informacin (SGSI) desarrollando las fases de documentacin
normativa, contextualizacin de la compaa y definicin de la situacin actual, anlisis de
riesgos, evaluacin de nivel de cumplimiento de la norma, propuesta de proyectos que permitan
alcanzar el nivel adecuado de seguridad y el esquema documental. (Aurela & Segovia, 2013)

En la revista internacional de la ingeniera y la tecnologa (IJET), en el ao 2012, se public un


artculo llamado INFORMATION SECURITY CHALLENGE AND BREACHES: NOVELTY
APPROACH ON MEASURING ISO 27001 READINESS LEVEL, este traducido al espaol es:
Retos y brechas de la seguridad de la informacin: Enfocado a el nivel de preparacin para la

16
norma ISO 27000. Este artculo est orientado al cumplimiento de las normas de seguridad de la
informacin, da recomendaciones para asegurar toda la informacin, pues la seguridad de la
informacin no es slo una simple cuestin de tener los nombres de usuario y contraseas. En
realidad la seguridad de la informacin se convierte en una parte muy importante de los activos
intangibles de la organizacin. El nivel de confianza de las partes interesadas es el indicador de
desempeo exitoso de la organizacin. En este trabajo se discutieron los retos y las brechas en
seguridad de la informacin, con referencia a varias encuestas en el campo de la seguridad de la
informacin, lo que los llev a entregar un modelo (llamado modelo solucin integrada, modelo
i-solucin) para la comprensin de las normas de gestin de seguridad de la informacin (SGSI)
trmino y concepto. En este artculo tambin se describe la implementacin una aplicacin para
evaluar el nivel de preparacin de una organizacin hacia la norma de seguridad de la
informacin, ISO 27001. (Susanto, Nabil & Chee, 2012)

Figura 5. I Solution modeling

Fuente: Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches:
novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniera y la tecnologa
(IJET)

17
3.4. MARCO LEGAL

3.4.1. Reglamentacin a nivel internacional

- A continuacin se da una breve descripcin sobre ISO/IEC 27000, estndares de


seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y
la Comisin Electrotcnica Internacional (IEC). La reglamentacin ISO 27000 contiene
las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar,
implementar y mantener especificaciones para los sistemas de Gestin de la Seguridad de
la Informacin (SGSI). Estos documentos se encuentran en continuo desarrollo y algunos
an en fase de preparacin, compuesta as:

o ISO/IEC 27000: Contiene la descripcin general y vocabulario a ser empleado en


toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de la
serie y la relacin entre los diferentes documentos que la conforman.

o ISO/IEC 27001: Sistemas de Gestin de la Seguridad de la Informacin (SGSI).


Requisitos. Esta norma agrupa los requerimientos de implantacin de un SGSI,
esta norma es certificable por entidades externas a la organizacin. En su Anexo
A, contempla una lista con los objetivos de control y controles que desarrolla la
ISO 27002 (anteriormente denominada ISO 17799).
La ISO 2700:2013 Es la versin ms actualizada de esta norma, en este proyecto
trabajaremos con esta con el objeto de responder en todo momento a las
necesidades y exigencias actuales.

o ISO/IEC 27002: Este documento es una gua de buenas prcticas para la gestin
de seguridad la cual describe los objetivos de control y controles recomendables,
se encuentra organizado en 11 dominios, 39 objetivos de control y 133 controles.

o ISO/IEC 27003: Corresponde a una gua de implementacin de un SGSI e


Informacin acerca del uso del ciclo Deming (PDCA). Su propsito principal es

18
orientar hacia una implementacin efectiva del modelo de seguridad que se
encuentre acorde con ISO/IEC 27001.

ATENTO SA actualmente no se encuentra certificada en ningn estndar de seguridad


publicado por la Organizacin Internacional para la Estandarizacin (ISO), con este proyecto se
identificaron los riesgos a los que estn sometidos los activos y/o elementos de trabajo en el rea
de tecnologa y entregar un modelo de cumplimiento de los principios bsicos y requisitos
mnimos para la proteccin adecuada de la informacin enfocados en el modelo normativo
ISO/IEC27001:2013 (Anexo A) e ISO/IEC 27002:2013.

3.4.2. Reglamentacin a nivel Nacional

A continuacin se describen algunos reglamentos vigentes a nivel nacional que influyen directa
o indirectamente en la seguridad informtica de las empresas en Colombia

- Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrnico y


Firma Digital: Por medio de la cual se define y reglamenta el acceso y uso de los
mensajes de datos, del comercio electrnico y de las firmas digitales, y se establecen las
entidades de certificacin y se dictan otras disposiciones.
Firma digital: Se entender como un valor numrico que se adhiere a un mensaje de
datos y que, utilizando un procedimiento matemtico conocido, vinculado a la clave del
iniciador y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado
despus de efectuada la transformacin.
El uso de una firma digital tendr la misma fuerza y efectos que el uso de una firma
manuscrita, si aqulla incorpora los siguientes atributos:

1. Es nica a la persona que la usa.


2. Es susceptible de ser verificada.
3. Est bajo el control exclusivo de la persona que la usa.

19
4. Est ligada a la informacin o mensaje, de tal manera que si stos son cambiados, la
firma digital es invalidada.
5. Est conforme a las reglamentaciones adoptadas por el Gobierno Nacional.

- Ley 1273 de 5 de enero de 2009


La ley 1273 del 5 de enero de 2009, fue creada para sancionar todos aquellos delitos que
van en contra del buen uso de la informacin y aquellos que irrumpen con la propiedad
privada, la idea de esta ley fue proteger a todas aquellas personas que cuentan con algn
tipo de informacin financiera y personal.
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos
y de los sistemas informticos se encuentran:
1. Acceso abusivo a un sistema informtico
2. Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin
3. Interceptacin de datos informticos
4. Dao Informtico
5. Uso de software malicioso
6. Violacin de datos personales
7. Suplantacin de sitios web para capturar datos personales.

En este sentido, los estndares, las polticas organizacionales, los planes de seguridad y
estrategias de seguridad que adopten las organizaciones debern estar acordes a la legislacin
existente en el pas donde pretendan aplicarse para asegurar todos los activos informticos,
sistemas de informacin y los datos. (Alcalda Mayor de Bogot D.C., 2008)

3.5. Metodologa

Despus de realizar la investigacin de los mtodos posibles para abordar el desarrollo de este
proyecto, se identific que la metodologa del Ciclo de Deaming es muy usada en el desarrollo
de proyectos universitarios y empresariales, ya que abarca 4 importantes fases para llevar a cabo
el cumplimiento de los objetivos de forma sistemtica y progresiva, logrando un que el
desarrollo del proyecto sea organizado y conciso.

20
Primera etapa, planificacin. La documentacin de esta etapa, se realiz de cierta manera en
el inicio de este documento, al plantar la introduccin y objetivos para lograr la resolucin de la
problemtica.

Segunda etapa, hacer. El desarrollo de esta etapa consisti en la elaboracin de anlisis y la


toma de medidas o acciones de acuerdo a los resultados obtenidos.

Tercera etapa, verificar. Como parte de esta etapa se realiz el proceso de preproduccin, donde
se evidencia la implementacin de la poltica y se toman resultados.

Cuarta etapa, actuar. En el mbito de este proyecto el actuar consisti bsicamente en la entrega
de la poltica de seguridad al comit de seguridad de Atento SA y se complementara en el caso
de que sea aprobada e implementada.

La necesidad de utilizar un mtodo de anlisis y tratado de riesgos que permitiera a la


investigacin ser objetiva hacia el entorno IT, llevo a que en este proyecto se utilizara la
metodologa de MAGERIT, la cual indica una serie de pautas para realizar los respectivos
anlisis de riesgos. Esta metodologa permiti realizar el desarrollo de este proyecto en las
siguientes fases:

- Planificacin del anlisis y gestin de riesgos, establece las consideraciones necesarias


para arrancar el proyecto de anlisis y gestin de riesgos. Coincide de cierta manera con
la etapa 1 de la metodologa de Deaming.
- Anlisis de riesgos, permite identificar y valorar las entidades que intervienen en el
riesgo.
- Gestin de riesgos, permite identificar las funciones o servicios de salvaguarda reductores
del riesgo detectado.

- Seleccin de proteccin, permite seleccionar los mecanismos de proteccin que hay que
implementar. (MAGUERIT, 2012)

21
4. DISEO METODOLOGICO DEL PROYECTO

4.1. Anlisis de riesgos:

4.1.1. Seleccin de parmetros

La seleccin de parmetros se estableci tomando en cuenta lo descrito por la metodologa de


MAGERIT

- Valoracin de Activos
En la Tabla 1 se muestra el nivel de valor que pueden tomar los activos en la compaa, el
cual inicia desde un valor muy bajo hasta un valor muy alto. Este valor fue tomado en
relacin con el costo de cada valor que fue entregado por la empresa:

Tabla 1 Valor Cuantitativo de Activos

Valor Cuantitativo de Activos


MIN Valor MAX Valor Valor
DESCRIPCION
Cualitativo Cuantitativo Cualitativo
>160000.000 MUY ALTO MA
80000.000 <150000.000 ALTO A
40000.000 <80000.000 MEDIO MA
20000.000 <40000.000 BAJO B
<20000.000 Muy Bajo MB

- Probabilidad de ocurrencia: En la Tabla 2 se muestra la frecuencia con la que una


amenaza se puede materializar sobre un activo:

22
Tabla 2: Probabilidad de ocurrencia de un evento

Frecuencia (Anualmente)
# Aos Descripcin Abreviatura # Das Valor

1 Extremadamente
Frecuente EF 1 1

1
Muy Frecuente MF 15 0,06666667
1 Frecuente F 60 0,01666667

1
Poco Frecuente PF 183 0,00546448
Muy poco
1
Frecuente MPF 365 0,00273973

- Relacin de impacto: En la Tabla 3 se muestra la relacin de impacto desde un valor


cualitativo hasta un valor cuantitativo:

Tabla 3: Relacin de impacto

RELACION DE IMPACTO
Valor Valor
Cualitativo Abreviatura Cuantitativo
Critico C (80% - 100%]
Alto A (60% - 80%]
Medio M (30% - 60%]
Bajo B [5% - 30%]

- Dimensiones de Seguridad: En la siguiente tabla


- Tabla 4 se muestran 3 dimensiones generales de seguridad de la informacin (C, I, D) y 2
dimensiones que agrega el modelo de MAGERIT (A, T):

23
Tabla 4: Dimensiones de Seguridad

Dimensiones
Cd.
Dimensin Dimensin
A Autenticidad
C Confidencialidad
I Integridad
D Disponibilidad
T Trazabilidad

- Tipos de Activos: En la Tabla 5 se muestran los tipos de activos utilizados en el anlisis


de riesgos, planteados por el modelo escogido:

Tabla 5: Tipos de Activos

TIPOS DE ACTIVOS
Cd. Activo Tipo de Activo
I Instalaciones
H Hardware
A Aplicaciones
D Datos
R Redes
S Servicios
P Personal

- Tipos de Amenazas: En la Tabla 6 se muestran los 4 principales grupos de amenazas que


pueden afectar los activos de una empresa:

24
Tabla 6: Tipos de Amenazas

TIPOS DE AMENAZAS
Cd. Amenaza Tipo Amenaza
DN Desastres naturales
IN De origen industrial
EF Errores y fallos no intencionados
AI Ataques intencionados

4.1.2. Anlisis de Activos


En esta etapa se identificaron los activos ms relevantes para el desarrollo de actividades en el
rea de TI. Para cada activo identificado se cre y asigno un cdigo con el fin de referenciarlo
en otros anlisis. Se asignaron valores cualitativos (dinerarios), los cuales fueron suministrados
por los administradores de cada segmento que compone el rea de TI; estos valores fueron
aproximados y corresponden al valor representativo que tienen para la empresa respecto a su
funcionamiento y servicio que prestan. Tenido en cuenta el valor indicado se asign un valor
cualitativo (ver Tabla 2) con el fin de obtener un rango especfico.
En la Figura 6 se muestra una parte del total de activos identificados y sus respectivos valores,
para consultar la informacin completa ver Anexo 1. Etapa de anlisis de riesgos.
Valor Cuantitativo Valor
Tipo de Activo Cod. Activo Activo
(Pesos) Cualitativo
Instalaciones I01 Edificacion 430.000.000 MA
H01 Controlador de dominio principal 70.000.000 M
H02 Controlador de dominio secundario 42.000.000 M
H03 Servidor de Base de Datos 63.000.000 M
H04 Servidor de correo 63.000.000 M
H05 Granja de Servidores Vmware 105.000.000 A
H06 SAP Servers 42.000.000 M
H07 Switch core 91.000.000 A
H08 Switch MPLS 35.000.000 B
H09 Tranceiver fibra principal 42.000.000 M
Hardware
H10 Switch Firewal 84.000.000 M
H11 Switch Vlans 84.000.000 M
H12 Servidor Firewall 84.000.000 M
H13 Administracin Vmware 42.000.000 M
H14 Servidor Web 21.000.000 B
H15 Servidor Archivos 35.000.000 B
H16 FTP, VPN, Terminal Server 21.000.000 B
H17 Servidor Monitoreo Equipos 14.000.000 MB
H18 Servidor Antivirus 35.000.000 B

Figura 6. Identificacin y valoracin de Activos

25
4.1.3. Identificacin de Amenazas

En esta etapa se clasificaron las amenazas en 4 grupos principales (ver Tabla 7) de acuerdo al
enfoque metodolgico de MAGERIT, este mtodo cuenta con un libro adicional (Catalogo de
Elementos) donde describe los diferentes tipos de amenazas que pueden ser aplicados de
acuerdo al tipo de activo que se est analizando. Al igual que en la etapa anterior, a las
amenazas se les asigno un cdigo identificador y se definieron cuales amenazas son las que
afectan a las 5 dimensiones de seguridad (ver Tabla 5) y cuales afectan los 7 tipos de activos
(ver Tabla 6).

En la Figura 8 se pueden observar 2 de los grupos de amenazas y las amenazas que conforman
cada grupo. Para consultar la informacin completa ver Anexo 1. Etapa de anlisis de riesgos.
Dimension Activos Afectados
Grupo Cod. Amenaza Amenaza Afectada por Grupo
A C I D T I H A D R S P
DN01 Fuego x x x
Desastres
DN02 Daos por agua x x x
naturales
DN03 Otros desastres Naturales x x x
IN01 Fuego x x x
IN02 Daos por agua x x x
IN03 Contaminacion Mecanica x x
IN04 Contaminacin electromagntica x x
IN05 Avera de origen fsico o lgico x x x
De Origen
IN06 Corte del suministro elctrico x x
Industrial
IN07 Condiciones inadecuadas de temperatura o humedad x x
IN08 Fallo de servicios de comunicaciones x x
IN09 Interrupcin de otros servicios y suministros esenciales x x
IN10 Degradacin de los soportes de almacenamiento de la informacin x x
IN11 Emanaciones electromagnticas x x x

Figura 7. Identificacin de Amenazas

4.1.4. Anlisis de Amenazas:

En esta etapa se relacionaron los activos con las amenazas, a cada activo se asociaron las
amenazas que podran generar de alguna manera un riesgo, tambin se estableci la frecuencia
con que cada amenaza puede materializarse en un determinado activo (ver Tabla 3) y se
determin el impacto que puede causar sobre las diferentes dimensiones de seguridad.

26
En la Figura 10 se puede observar una pequea parte de anlisis, se muestra el cdigo de activo
H01, el cual corresponde al grupo de tipo Hardware, para este activo se asociaron 23 amenazas,
la frecuencia y el impacto sobre cada dimensin. Para consultar la informacin completa ver
Anexo 1. Etapa de anlisis de riesgos.

Frecuencia Frecuencia Impacto sobre cada IMPACTO


Cod.
Cod. Activo Activo AMENAZA Valor Valor POTENCIAL
Amenaza A C I D T
Cualitativo Cuantitativo (Pesos)
DN01 Fuego MPF 0,002739 90% 1059993
DN02 Daos por agua MPF 0,002739 80% 942216
DN03 Otros desastres Naturales MPF 0,002739 80% 942216
IN01 Fuego MPF 0,002739 90% 1059993
IN02 Daos por agua MPF 0,002739 80% 942216
IN03 Contaminacion Mecanica MPF 0,002739 70% 824439
IN04 Contaminacin electromagntica MPF 0,002739 50% 588885
IN05 Avera de origen fsico o lgico MPF 0,002739 60% 706662
IN06 Corte del suministro elctrico MPF 0,002739 60% 706662
IN07 Condiciones inadecuadas de temperatura o humedad MPF 0,002739 60% 706662
Controlador IN11 Emanaciones electromagnticas MPF 0,002739 50% 588885
H01 de dominio EF02 Errores del administrador MPF 0,002739 60% 60% 60% 706662
principal EF15 Errores de mantenimiento / actualizacin de equipos (hardware) F 0,016666 60% 4299828
EF16 Cada del sistema por agotamiento de recursos PF 0,0054644 80% 1879753,6
EF17 Prdida de equipos PF 0,0054644 80% 80% 1879753,6
AI06 Abuso de privilegios de acceso PF 0,0054644 80% 60% 70% 1879753,6
AI07 Uso no previsto MPF 0,002739 60% 60% 60% 706662
AI11 Acceso no autorizado MPF 0,002739 80% 60% 942216
AI15 Modificacin deliberada de la informacin MPF 0,002739 70% 824439
AI23 Manipulacin de los equipos PF 0,0054644 60% 60% 1409815,2
AI24 Denegacin de servicio MPF 0,002739 70% 824439
AI19 Robo PF 0,0054644 80% 80% 1879753,6
AI20 Ataque destructivo MPF 0,002739 80% 942216

Figura 8. Anlisis de Amenazas

4.1.5. Impacto Potencial


En esta etapa se realiz el clculo del impacto potencial, el cual se realiz teniendo en cuenta el
valor cuantitativo de los activos, la probabilidad de ocurrencia (Frecuencia) y el impacto con
mayor porcentaje de las 5 dimensiones de seguridad, se realiz el producto entre estos valores,
obteniendo como resultado un valor numrico que indica el costo que puede generar la
materializacin de las amenazas anteriormente analizadas para la empresa. En la figura 8 se
puede evidenciar un ejemplo del anlisis.

4.1.6. Riesgo Residual

27
En esta etapa se realiza la identificacin de los tipos de proteccin que se pueden aplicar de
acuerdo al mtodo MAGERIT, frente a cada amenaza identificada, se busc un mtodo de
proteccin que permita contrarrestar el impacto potencial. Teniendo definidos los mtodos de
proteccin se estima el porcentaje de efectividad que puede tener frente a cada evento. La tabla
completa se pude consultar en el Anexo 1 Etapa de anlisis de riesgos.
Para el clculo del riesgo residual, como no cambiaron los activos, solo cambio la magnitud de
degradacin, la cual est dada por la proporcin que resta entre la efectividad ideal (100%) y la
efectividad estimada para cada tipo de proteccin, se realiz el anlisis con estos nuevos
valores.
En la Figura 9 se muestra una pequea parte del anlisis realizado mostrando como resultado
final el riego residual para los activos del rea de TI en la empresa Atento SA. Para consultar el
anlisis completo ver Anexo 1 Etapa anlisis de riesgos
.

28
IMPACTO
Cod. PROTEGER PROTECCION SUGERIDA REDUCCION RIESGO RESIDUAL
AMENAZA POTENCIAL
Amenaza ? PARA MITIGAR EL RIESGO DEL RIESGO (Pesos)
(Pesos)
Sistema de supresin y
proteccin contra
DN01 Fuego 1059993 SI incendios 70% 317997,9
DN02 Daos por agua 942216 SI Detectores de humedad 60% 376886,4
Otros desastres
DN03 Naturales 942216 SI plizas de seguro 40% 565329,6
Sistema de supresin y
proteccin contra
IN01 Fuego 1059993 SI incendios 70% 317997,9
IN02 Daos por agua 942216 SI Detectores de humedad 60% 376886,4
Contaminacion
IN03 Mecanica 824439 NO No es requerida 0% 824439
Contaminacin
IN04 electromagntica 588885 NO No es requerida 0% 588885
Avera de origen fsico
IN05 o lgico 706662 NO No es requerida 0% 706662
Corte del suministro
IN06 elctrico 706662 NO No es requerida 0% 706662
Condiciones
inadecuadas de
temperatura o
IN07 humedad 706662 NO No es requerida 0% 706662
Emanaciones
IN11 electromagnticas 588885 NO No es requerida 0% 588885
Errores del
EF02 administrador 706662 NO No es requerida 0% 706662
Errores de Procedimientos y
mantenimiento / contratos de
actualizacin de mantenimiento
EF15 equipos (hardware) 4299828 SI preventivo 70% 1289948,4
Cada del sistema por
agotamiento de Sistema de monitoreo y
EF16 recursos 1879753,6 SI alertas tempranas 70% 563926,08
Control de acceso fisico y
EF17 Prdida de equipos 1879753,6 SI plizas de seguro 70% 563926,08
Abuso de privilegios de Sistema de monitoreo y
AI06 acceso 1879753,6 SI alertas tempranas 70% 563926,08
AI07 Uso no previsto 706662 NO No es requerida 0% 706662
Video vigilancia y tarjetas
AI11 Acceso no autorizado 942216 SI de proximidad 70% 282664,8
Modificacin
deliberada de la
AI15 informacin 824439 NO No es requerida 0% 824439
Manipulacin de los Sistema de monitoreo de
AI23 equipos 1409815,2 SI integridad (HIDS) 70% 422944,56

AI24 Denegacin de servicio 824439 NO No es requerida 0% 824439


Controles de acceso fisico
AI19 Robo 1879753,6 SI y plizas de seguro 60% 751901,44
AI20 Ataque destructivo 942216 SI plizas de seguro 40% 565329,6

Figura 9. Riesgo Residual

4.2. Gestin de riesgos

29
Dado que ya se identificaron los riesgos residuales a los que est expuesta la empresa Atento
S.A. Se deben plantear los controles que ayuden alcanzar el nivel de seguridad ptimo para la
organizacin, basados en el estndar ISO27002:2013.

Los controles fueron seleccionados e implementados de acuerdo a los requerimientos


identificados por la valoracin del riesgo y los procesos de tratamiento del riesgo. Es decir, que
de esta actividad surge la primera decisin acerca de los controles que se deben abordar.

4.2.1. Anlisis de los controles ISO/IEC 27002:2013


ISO27001:2013 El estndar especifica en su Anexo A el listado completo de cada uno de
ellos, agrupndolos en catorce rubros. Para cada uno de ellos define el objetivo y lo describe
brevemente. Los controles que el anexo A de esta norma propone quedan agrupados y
numerados de la siguiente forma:
A continuacin se enuncian los 14 dominios de seguridad, sus principales objetivos y las
acciones ms importantes a tomar en la organizacin:

Figura 10. Dominios de control

30
- A.5 Poltica de seguridad de la informacin

Este grupo est constituido por dos controles:


Poltica para la seguridad de la informacin
Revisin de la poltica de seguridad
Un plan de seguridad metdico, define el Cmo, es decir, un nivel detallado, para dar inicio al
conjunto de acciones que se debern cumplir.

- A.6 Organizacin de la seguridad de la informacin

Este segundo grupo de controles abarca cinco de ellos y se subdivide en:


Organizacin Interna: Compromiso de la Direccin, coordinaciones,
responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con
autoridades y grupos de inters en temas de seguridad, revisiones independientes.
Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto
a clientes y socios de negocio.

Lo ms importante a destacar de este grupo es:

- Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor


detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.).
- Derechos y obligaciones de cualquiera de los involucrados.

En este grupo de controles, lo ideal es disear e implementar una base de datos, que permita de
forma amigable, el alta, baja y/o modificacin de cualquiera de estos campos.

- A.7 Seguridad de los recursos humanos.

Este grupo cubre nueve controles y se encuentra subdividido en:

31
Antes del empleo: Responsabilidades y roles, verificaciones curriculares, trminos y
condiciones de empleo.
Durante el empleo: Administracin de responsabilidades, preparacin, educacin y
entrenamiento en seguridad de la informacin, medidas disciplinarias.
Finalizacin o cambio de empleo: Finalizacin de responsabilidades, devolucin de
recursos, revocacin de derechos.

Se debe partir por la redaccin de la documentacin necesaria para la contratacin de personal y


la revocacin de sus contratos (por solicitud, cambio o despido). En la misma deber quedar bien
claro las acciones a seguir para los diferentes perfiles de la organizacin, con base en la
responsabilidad de manejo de informacin que tenga cada puesto.

- A.8 Gestin de activos

Este grupo cubre diez controles y se encuentra subdividido en:

Responsabilidad en los recursos: Identificar activos de la organizacin y definir


responsabilidades de proteccin adecuadas.
Clasificacin de la informacin: Asegurar que la informacin reciba un apropiado
nivel de seguridad, de acuerdo a la importancia para la empresa.
Manejo de los medios de comunicacin: Previene divulgacin, borrado o destruccin
de informacin almacenada en medios sin autorizacin.

Este grupo define las protecciones adecuadas para cada activo de la organizacin segn su
importancia al igual que el manejo de los medios de comunicacin.

- A.9 Control de accesos

El control de acceso es una de las actividades ms importantes de la arquitectura de seguridad de


un sistema. A medida que va llegando a reas de mayor criticidad, las medidas de control de
acceso deben incrementarse.

32
Este grupo cubre catorce controles y se encuentra subdividido en:

Requerimientos del negocio para control de acceso: Debe existir una Poltica de
Control de accesos documentada, peridicamente revisada y basada en los niveles de
seguridad que determine el nivel de riesgo de cada activo.

Gestin de acceso de usuarios: Tiene como objetivo asegurar el correcto acceso y


prevenir el no autorizado y a travs de cuatro controles, exige llevar un procedimiento
de registro y revocacin de usuarios, una adecuada administracin de los privilegios y
de las contraseas de cada uno de ellos, realizando peridicas revisiones a intervalos
regulares, empleando para todo ello procedimientos formalizados dentro de la
organizacin.

Responsabilidades de usuarios: Todo usuario dentro de la organizacin debe tener


documentadas sus obligaciones dentro de la seguridad de la informacin de la
empresa. Independientemente de su jerarqua, siempre tendr alguna responsabilidad
a partir del momento que tenga acceso a la informacin. Ciertamente existirn
diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones
derivadas de estas funciones. Lo que no puede suceder es que algn usuario las
desconozca.

Control de acceso sistemas y aplicaciones: El acceso no autorizado a nivel sistema


operativo presupone una intrusin. La gran ventaja que posee un administrador, es
que las actividades sobre un sistema operativo son mnimas, poco frecuentes sus
cambios, por lo tanto se puede identificar rpidamente cuando la actividad es
sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la
validacin de usuarios del sistema operativo, empleo de identificadores nicos de
usuarios, correcta administracin de contraseas, control y limitacin de tiempos en
las sesiones.

33
En este grupo, los controles estn dirigidos a prevenir el acceso no autorizado a la
informacin mantenida en las aplicaciones. Propone redactar, dentro de la poltica de
seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a
su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Los
cuales no pueden ser accedidos de ninguna forma va red, sino nicamente estando
fsicamente en ese lugar. Por lo tanto si se posee alguna aplicacin que entre dentro de
estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con
el resto de la infraestructura.

- A.10 Criptografa

Este grupo cubre dos controles y se encuentra subdividido en:

Controles criptogrficos: Su objetivo principal es asegurar que sea apropiado y


efectivo el uso de controles criptogrficos para proteger algunos de los pilares de la
seguridad informtica; confidencialidad, autenticidad e integridad de la informacin.

Es importante que la organizacin relacione en su poltica de seguridad el uso de los controles


criptogrficos para el control de la informacin. Adems de implementar un periodo de vigencia
para las claves criptogrficas.

- A.11 Seguridad fsica y ambiental

Este grupo cubre quince controles y se encuentra subdividido en:

reas de seguridad: Seguridad fsica y perimetral, control fsico de entradas,


seguridad de locales edificios y recursos, proteccin contra amenazas externas y del
entorno, el trabajo en reas e seguridad, accesos pblicos, reas de entrega y carga.
Seguridad de elementos: Ubicacin y proteccin de equipos, elementos de soporte a
los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el

34
equipamiento fuera de la organizacin, seguridad en la redistribucin o reutilizacin
de equipamiento, borrado de informacin y/o software.

La organizacin de una infraestructura de seguridad de la informacin, est en plantearla siempre


por niveles. Es correcto considerar separadamente el nivel fsico con el de enlace, pues
presentan vulnerabilidades muy diferentes.

Aplicacin: Todo tipo de aplicaciones.


Transporte: Control de puertos UDP y TCP.
Red: Medidas a nivel protocolo IP e ICMP, tneles de nivel 3.
Enlace: Medidas de segmentacin a nivel direccionamiento MAC, tablas
estticas y fijas en switchs, control de ataques ARP, control de broadcast y
multicast a nivel enlace, en el caso WiFi: verificacin y control de enlace y
puntos de acceso, empleo de tneles de nivel 2, etc.
Fsico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de
comunicaciones, control de acceso fsico, conductos de comunicaciones,
cables, fibras pticas, radio enlaces, centrales telefnicas.

El objetivo primordial de este grupo es evitar la prdida, el dao, el robo o el compromiso de los
activos y la interrupcin de las operaciones de la organizacin.
Al igual que los accesos no autorizados sobre las instalaciones e infraestructura de la
organizacin.

- A.12 Seguridad en las operaciones

Este grupo cubre catorce controles y se encuentra subdividido en:

Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la


correcta y segura operacin de la informacin, comprende cuatro controles. Hace
especial hincapi en documentar todos los procedimientos, manteniendo los mismos y

35
disponibles a todos los usuarios que los necesiten, segregando adecuadamente los
servicios y las responsabilidades para evitar uso inadecuado de los mismos.

Proteccin del malware: El objetivo de este apartado es la proteccin de la integridad


del software y la informacin almacenada en los sistemas. La empresa adems de
confiar su seguridad a un antivirus, debe preparar al personal de administradores y
usuarios en cmo proceder ante virus y, por supuesto, realizar procedimientos de
recuperacin y verificacin del buen funcionamiento de lo documentado.

Backup: El objetivo de esta apartado es remarcar la necesidad de las copias de


respaldo y recuperacin. Para asegurar que la organizacin se encuentre protegida
contra las prdidas de informacin. La empresa debe incluir en sus procedimientos
internos diferentes documentos de reglamentacin: Plan de recuperacin ante
desastres, que determina los pasos a realizar para realizar las acciones de recuperacin
ante un incidente. Y este debe llevar asociado acciones relativas al inventario
sistemtico de equipos, las plizas de seguro y garantas de los mismos y un listado de
nmeros de emergencias y similares.

Registro y seguimiento: El objeto de este apartado es registrar eventos y generar


pruebas. La organizacin debe enfocarse nicamente en los eventos crticos que
impactan la confidencialidad, integridad y disponibilidad de su informacin
confidencial. Diseando un proceso efectivo de recoleccin y anlisis de registros de
datos, as como el uso de herramientas para revisar los registros de auditoria en busca
de eventos crticos tales como:
o Acceso individual a datos sensibles.
o Todas las acciones tomadas por cuentas privilegiadas.
o Acceso a los datos y funciones de la pista de auditoria.
o Intentos invlidos de accesos lgicos.
o Todas las acciones de identificacin y autenticacin.
o Creacin y eliminacin de objetos a nivel del sistema.

36
Control operacional del software: El objeto del control operacional es identificar
aquellas operaciones y actividades sobre las que es necesario aplicar medidas de
control, como consecuencia de su influencia en los riesgos identificados, y de esta
forma planificar tales actividades para que se desarrollen bajo condiciones
especificadas.

Gestin tcnica de vulnerabilidades: El objeto de este apartado compuesto por dos


controles es gestionar las vulnerabilidades tcnicas. La organizacin deber implantar
una gestin de la vulnerabilidad tcnica siguiendo un mtodo efectivo, sistemtico y
cclico, con la toma de medidas que confirmen su efectividad. Se deberan considerar
sistemas operativos, as como todas las aplicaciones que se encuentren en uso.

Sistemas de informacin auditables: el objeto de este apartado es minimizar el


impacto de las actividades de auditora en los sistemas operativos. La organizacin
deber evaluar el posible impacto operativo de los cambios previstos a sistemas y
equipamiento y verificar su correcta implementacin, asignando las responsabilidades
correspondientes y administrando los medios tcnicos necesarios para permitir la
segregacin de los ambientes y responsabilidades en el procesamiento.

- A.13 Seguridad en las comunicaciones

Este grupo cubre siete controles y se encuentra subdividido en:

Gestin de la seguridad de red: Realizar el monitoreo de las actividades en la red, para


verificar el correcto funcionamiento de toda la infraestructura que la conforma y
controlar los recursos que esta ofrece a los usuarios
Transferencia de informacin: Requisitos y actividades de verificacin de los sistemas
operativos de auditora deben estar cuidadosamente planificados y estipulados para
reducir al mnimo las interrupciones de los procesos de negocio.

37
El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo
control que remarca la necesidad de las copias de respaldo y recuperacin.

- A.14 Adquisicin, desarrollo y mantenimiento de sistemas

Este grupo de controles abarca trece de ellos y se subdivide en:

Requisitos de seguridad en los sistemas de informacin: El objeto de este apartado es


garantizar que la seguridad es parte integral de los sistemas de informacin. La
organizacin debe disear e implantar los sistemas de informacin que sustentan los
procesos de negocio que pueden ser cruciales para la seguridad.

Seguridad en los procesos de desarrollo y soporte: Este apartado tiene como objeto
Mantener la seguridad del software del sistema de aplicaciones y la informacin. Es
importante que la organizacin pueda garantizar que todas las propuestas de cambio
en los sistemas sean revisadas y verificar que no comprometen la seguridad del
sistema o del entorno operativo.

Datos de prueba: Se deberan seleccionar, proteger y controlar cuidadosamente los


datos utilizados para las pruebas.

- A.15 Relaciones con proveedores

Este grupo de controles abarca 5 de ellos y se subdivide en:

Seguridad de la informacin en relacin con los proveedores: El objeto de este


apartado es proteger los activos de la organizacin a los que tienen acceso terceros.
Los acuerdos con terceras partes que implican el acceso, proceso, comunicacin o
gestin de la informacin de la organizacin o de las instalaciones de procesamiento
de informacin o la adicin de productos o servicios a las instalaciones, deben cubrir
todos los requisitos de seguridad relevantes.

38
Gestin de la prestacin de servicios de proveedores: Para llevar a cabo este control,
la organizacin debe garantizar que los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo
sean implementados, operados y mantenidos por la parte externa.

- A.16 Gestin de incidentes de la seguridad de la informacin

Este grupo de controles abarca 7 de ellos y se subdivide en

Gestin de incidentes de seguridad de la informacin y mejoras: El objeto de este


apartado es garantizar que se aplique un enfoque consistente y eficaz para la gestin
de los incidentes en la seguridad de informacin. La organizacin deber establecer
las responsabilidades y procedimientos para manejar los eventos y debilidades en la
seguridad de informacin de una manera efectiva y una vez que hayan sido
comunicados.

Adems se deber aplicar un proceso de mejora continua en respuesta para


monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de
informacin.

- A.17 Aspectos de la seguridad de la informacin dentro de la continuidad del


negocio

El objeto de este grupo de controles que abarca 4 de ellos es reaccionar a la interrupcin de


actividades del negocio y proteger sus procesos crticos frente a desastres o grandes fallos de los
sistemas de informacin, se subdivide en:

Continuidad de la seguridad de la informacin: El objeto de este apartado es


identificar los eventos que puedan causar interrupciones a los procesos de negocio

39
junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias
para la seguridad de informacin.

Redundancia: El control establecido para este apartado consiste en desarrollar e


implantar planes de mantenimiento o recuperacin de las operaciones del negocio
para asegurar la disponibilidad de la informacin en el grado y en las escalas de
tiempo requeridos, suficiente para satisfacer los requisitos de disponibilidad.

Este proceso debera identificar los procesos crticos de negocio e integrar los requisitos de
gestin de la seguridad de informacin para la continuidad del negocio con otros requisitos
de continuidad como operaciones, proveedores de personal, materiales, transporte e
instalaciones.

- A.18 Conformidad

Este grupo de controles abarca 6 de ellos y se subdivide en

Conformidad con requerimientos contractuales y legales: El objeto de este


apartado esta en evitar incumplimientos a requisitos relacionados con la
seguridad de la informacin de cualquier tipo especialmente a las obligaciones
legales, estatutarias, normativas o contractuales.
Revisiones de seguridad de informacin: El objeto de este apartado es garantizar
que se implemente y opere la seguridad de la informacin de acuerdo a las
polticas y procedimientos organizacionales. La organizacin deber revisar el
enfoque de la organizacin para la implementacin y gestin de la seguridad de
la informacin.

4.2.2. Evaluacin de estado actual

Para determinar el estado actual de la organizacin se analiz con el equipo de trabajo los
controles actuales con los que cuenta la compaa, comparndolos con los controles que indica la

40
norma. El anlisis de brecha consiste en identificar los controles que son requeridos y los
procedimientos que deben ser desarrollados por las actividades y operaciones de la organizacin,
para acceder a la certificacin ISO/IEC 27001:2013. El anlisis evidencia la capacidad de
seguridad de la informacin actual y el grado en que la seguridad de informacin de gestin de
seguridad se ha implementado.

En la Tabla 7 se relaciona el encabezado del documento anlisis de brechas (Anexo 2. Gestin del
riesgo) y la descripcin del contenido de cada columna, como las convenciones que se usaron.

Tabla 7: Anlisis de brecha

Brechas
Item ISO 27001 Control Estado Situacin Actual ID Brecha
identificadas
Se relaciona el En esta -Parcialmente Se describe la R: Indica que Se describe
Item del columna se implementado: situacin actual el control es las acciones
estndar ISO describen Los Se ha tomado de la requisito para que no se
27001 al que controles que alguna accin organizacin lograr obtener han tomado
equivale el fueron para el frente a este la certificacin. de acuerdo a
control seleccionados control, pero control. C: Son la
de acuerdo a no cumple con controles que comparacin
los lo estipulado se deben entre el
requerimientos en la norma. implementar. control y el
identificados -Inexistente: A cada letra se estado actual
por la No se ha le asigna un de la
valoracin del tomado nmero con el organizacin.
riesgo. ninguna fin de
accin identificarlas
posteriormente.

Consultar anexo 2. Gestin del riesgo

41
4.2.3. Declaracin de aplicabilidad

La declaracin de aplicabilidad consiste en determinar que controles de los estipulados en la


norma ISO/IEC27001:2013 son aplicables a las brechas identificadas en la etapa de evaluacin
actual. A cada brecha se le asign una accin/control, estas acciones se clasificaron as:
- Mano de obra: Asignar responsabilidades rea Datacenter.
- Mquwinas: Actualizaciones u operaciones a realizar en las maquinas.
- Medicin: Seguimiento medicin y anlisis
- Contractuales: Anlisis de requisitos y documentos legales
- Mtodo: Acciones que se debe implementar o definir

Las acciones a tomar se definieron de acuerdo a la descripcin que se realiz en el numeral


anterior 11.1. Generalidades, donde se describen las acciones ms importantes a tomar en una
empresa de acuerdo a la norma. Ver anexo 2. Gestin del riego

Tabla 8 Nivel de cumplimiento ISO27001

Nivel de
Control Estado de madurez
Cumplimiento
Polticas de Seguridad 25 Inicial
Organizacin de la Seguridad de la
2 Inexistente
Informacin
Parcialmente
Seguridad de los Recursos Humanos 58
implementado
Gestin de Activos de Seguridad de la
20 Inicial
Informacin
Control de accesos (aplicaciones) 11 Inexistente
Criptografa 5 Inexistente
Seguridad fsica y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Parcialmente
Seguridad en las comunicaciones 59
implementado
Adquisicin, desarrollo y mantenimiento de Parcialmente
50
sistemas implementado
Parcialmente
Relaciones con los proveedores 40
implementado
Gestin de incidentes de seguridad de la
21 Inicial
informacin

42
Aspectos de la SI de la gestin de
80 Manejado
continuidad de negocio
Cumplimiento 5 Inexistente

Figura 11: Nivel de cumplimiento ISO27001

43
5. PLAN DE ACCIN

Este captulo trata de cmo llevar a cabo la implementacin del modelo de seguridad planteado
en este documento. Cabe aclarar que el anlisis y la gestin de riesgos, son la parte esencial del
proceso de seguridad de cualquier empresa y deben permanecer permanentemente actualizados.

5.1. Cierre brechas


A continuacin se enuncian en resumen las acciones que debe realizar la empresa para dar cierre
a las brechas, las cuales han sido mencionadas en el tem referente a la declaracin de
aplicabilidad, (Anexo 2. Gestin del riesgo)

- Aplicacin y gestin de medidas de proteccin adecuadas para preservar la integridad,


confidencialidad y disponibilidad de la informacin.

- Acuerdos contractuales: Se establecern acuerdos con terceros en lo relacionado con:


acuerdos de niveles de servicio, periodicidad de mantenimiento de equipos, adquisicin
de plizas de seguro para la proteccin frente a desastres naturales y de origen industrial,
personal de contacto, conexin de equipos de monitoreo y alarmas con las centrales
locales (bomberos, polica, etc.).
- Procedimientos: Se disearan los procedimientos de: reporte y atencin de incidentes,
gestin de cambios y mantenimientos, registro de eventos, entrenamiento, configuracin
de equipos, mtricas, prueba de equipos/escenarios y evaluacin de proveedores.
- Ejecucin de trabajos: En esta etapa se realizaran los trabajos de instalacin y
configuracin de equipos.
- Pruebas: Se disearan escenarios de pruebas que se ejecutaran para verificar que se haya
dado solucin a la brecha
- Capacitacin: Se realizar el entrenamiento respectivo a los responsables de la
administracin y monitoreo.
- Promover: Promover la seguridad de la informacin dentro de la cultura organizacional

44
Con el fin de dar cumplimiento a las pautas mencionadas anteriormente se dise un cronograma
de actividades con fechas tentativas, en donde cada accin tiene asignado un responsable que a
su vez tiene asignadas dos fechas, una fecha inicial para dar inicio a la solucin de la brecha y
una fecha final en la que se espera se d solucin a esta. Consultar Anexo 2. Gestin del riesgo.

5.2. Plan de trabajo certificacin

A continuacin se presentan los proyectos propuestos para el Plan de Accin, especificando el


mbito de ejecucin (Proyecto de gestin y/o tcnico), as como la asociacin con los riesgos
que se veran mitigados.

Figura Plan de Trabajo


- P0 Anlisis de Riesgos: Est se llev a cabo en este proyecto y su proceso se describe
en este documento
- P1 Aprobar, establecer y difundir el Cuerpo Normativo de SI: En este proyecto se
dise una poltica de seguridad, con el fin de mitigar los riesgos, que debe ser aprobada
por el comit directivo de la compaa.
- P2 Clasificacin de la informacin de la compaa en base a la normativa establecida:
En este proyecto se realiz un anlisis de brechas el cual compara la situacin actual de
la empresa con el estndar ISO/IEC/27001:2013

45
- P3 - Consolidacin del proceso de altas, bajas y cambios de Contratistas: Este consiste
en realizar acuerdos de servicio con los terceros que prestan servicios a la compaa y de
tal forma determina si es viable continuar trabajando con estos.
- P4 - Gua de homologacin de terceros: Los terceros son una extensin de la empresa, en
ese sentido la homologacin es una manera de lograr que ellos reflejen los valores,
compromiso y un estndar en el servicio con la empresa Atento SA.
- P5 - Gestin de identidad y acceso: Este consiste en estandarizar la gestin del acceso a
travs de varias plataformas para usuarios, dispositivos, aplicaciones y procesos
empresariales, as como puntos de seguridad fsica como lectores de identificadores,
tarjetas inteligentes y biomtrica.
- P6 - Revisin tcnica de vulnerabilidades de sistemas: Este consiste en hacer un
seguimiento constante de parches de seguridad mediante herramientas de gestin de
vulnerabilidades y/o actualizacin automticas. Evala la relevancia y criticidad o
urgencia de los parches en el entorno tecnolgico. Actualizacin de versiones de
sistemas para que los equipos no queden fuera de soporte por el fabricante.
- P7 Seguridad de dispositivos porttiles: Este radica en actualizar los navegadores
instalar software de seguridad necesarios y mantener los equipos actualizados, en
general verificar que las polticas se cumplan.
- P8 - Formacin, concienciacin, sensibilizacin en SI: Este promueve la seguridad de la
informacin dentro de cultura organizacional.
-
En la Tabla 9 cronograma a un ao, permite entender de manera ms sencilla y visual la
planificacin planteada para los mismos.
Tabla 9 Cronograma de ejecucin

Tiempo de ejecucin (meses)


Proyecto
M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12

P0 Anlisis de Riesgos
P1 Clasificacin de la
informacin de la compaa en
base a la normativa establecida
P2 Aprobar, establecer y
difundir el Cuerpo Normativo

46
de SI
P3 - Consolidacin del proceso
de altas, bajas y cambios de
Contratistas
P4 - Gua de homologacin de
terceros
P5 - Gestin de identidad y
acceso
P6 - Revisin tcnica de
vulnerabilidades de sistemas
P7 Seguridad de dispositivos
porttiles
P8 - Formacin ,
concienciacin, sensibilizacin
en SI

Para llevar a cabo este plan de accin se requiere definir el rol responsable de seguridad de la
informacin (planificar, desarrollar, controlar y gestionar las polticas, procedimientos y
acciones con el fin de mejorar la seguridad de la informacin).

5.3. Poltica de seguridad para los sistemas de informacin de Atento SA

Como parte del plan de accin se crea una poltica de seguridad para los sistemas de informacin
del Datacenter de la empresa, est orientada a cumplir con los controles de seguridad
mencionados en este documento.
Con el fin de llevar a cabo la implementacin, se entrega modelo de la poltica al comit de
seguridad para su respectiva revisin y aprobacin. Anexo 3. Poltica de seguridad Atento.

5.3.1. Objetivo
La poltica de seguridad informtica tiene por objeto establecer las medidas de tipo tcnico
y organizacional, necesarias para garantizar la seguridad de las tecnologas de informacin
(equipos de cmputo, sistemas de informacin, redes (Voz y Datos)), las cuales se aplican a
todos los usuarios de cmputo de las empresas.
Esta poltica se requiere proteger los activos de informacin de todas las amenazas internas o
externas bien sean intencionales o accidentales, tiene como fin asegurar los pilares de la
seguridad informtica (Confidencialidad, integridad y disponibilidad).

47
5.3.2. Requerimientos organizacionales:
Se designar un responsable de Seguridad de la informacin de Atento SA. Esta persona
garantizara la seguridad de los distintos sistemas informticos y de las redes de
telecomunicaciones soportadas por Atento SA., tendr el compromiso de prevenir la
ocurrencia de acciones inapropiadas o comportamientos ilegales de los distintos usuarios
que utilizan los recursos informticos, as como los usuarios externos que acceden a stos
recursos.
Toda documentacin acerca de las polticas de seguridad de la informacin deber ser
aprobada por el respectivo Comit de Seguridad y por el Director Pas de Atento SA y
comunicada a todos los usuarios de la organizacin a travs de los diferentes canales de
comunicacin que posee.

5.3.3. Comunicacin:
A continuacin se describe el modelo de difusin, en caso de que la poltica sea aprobada
por el comit:
- Publicacin en la intranet de la empresa. Responsable Administrador de Servidores
- Envi de comunicados internos por medio del correo electrnico corporativo.
Responsable Recursos Humanos
- Notificacin de existencia de la poltica por medio del fondo de pantalla de los equipos de
trabajo. Responsable Centro de Computo
- Publicacin de la poltica en carteleras ubicadas en lugares estratgicos dentro de la
empresa. Responsable Recursos Humanos.
- Capacitacin por medio de charlas en reuniones con los diferentes grupos o reas de
trabajo.
Los anteriores puntos se deben cumplir a cabalidad inmediatamente aprobada la poltica de
seguridad. De la buena difusin y concientizacin de los empleados, depende el xito de
implementacin de la poltica y el aumento en la seguridad de la empresa.

Para consultar la poltica planteada, remitirse al Anexo 3. Poltica de seguridad Atento.

48
5.4. Diseo de la infraestructura lgica de interconectividad
Para la empresa Atento es muy importante contar con una infraestructura lgica de
interconectividad que sea confiable y segura, esto debido a que los servicios que presta,
dependen directamente del funcionamiento de la red a nivel de datos y voz, son mltiples
servicios que los usuarios finales requieren a cada instante (consulta de BD., consulta de
archivos operativos, acceso a aplicaciones, consulta de intranet, entrada y salida de llamadas),
por ende se realiz un modelo que define pautas para llevar a cabo la implementacin de nuevos
sistemas de informacin.
En esta seccin se desarroll el mbito de la seguridad lgica con las caractersticas y
requerimientos tecnolgicos que deben ser aplicados, con el fin de garantizar la seguridad de la
red en la empresa.

5.4.1. Seguridad Lgica:


El medio de transporte fsico de los datos es un aspecto importante a tener en cuenta para la
seguridad de los mismos, existen dos tipos de canales de transporte de informacin (Cable y
Wireless), los cuales son usados en la empresa para la prestacin de sus servicios.

- Cable: En mbito LAN, el cableado debe acogerse al estndar UTP CAT5 y CAT6
Estructurado, tomando como medida principal el no permitir la conexin a una distancia
mayor de 100 metros entre hosts
- Wireless: El uso de este canal de transporte se debe realizar dentro de los lmites de la
edificacin donde se encuentra ubicado el punto de acceso, se debe restringir el acceso
por medio del identificador MAC para cada cliente, no se debe dejar la configuracin del
AP sin ningn tipo de cifrado puesto que cualquier persona con alcance a la red tendra
la posibilidad de acceder.

5.4.2. Topologa de Red Segura:


Una topologa de red segura se basa en el concepto de seguridad perimetral, el cual hace
referencia a la implementacin de barreras de defensa ante el exterior.
El elemento principal de esta primera defensa es el Firewall que es bsicamente una herramienta
para delimitar una red, es capaz de actuar con base a unas polticas de seguridad establecidas. La
capacidad de realizar ciertas acciones depende del fabricante, sin embargo la razn de uso y el

49
motivo por el cual es muy importante es que puede filtrar el trfico de red en funcin del origen,
desino, tipo de trfico, autenticar usuarios, establecer VPN, entre otros.
Para conseguir una topologa de red segura deben seguirse las siguientes pautas:

5.4.3. Zonificacin
Con el fin de conseguir un nivel adecuado de seguridad es obligatorio realizar una correcta
zonificacin a partir de un Firewall externo. La zonificacin de una red tiene por objeto
proporcionar una segmentacin de los recursos agrupados por distintos niveles de seguridad y
de visibilidad externa. Con una correcta zonificacin se pretende la proteccin exhaustiva de los
recursos estratgicos de la compaa y establece el filtrado de trfico entre zonas lo que
garantiza la proteccin frente a ataques internos o errores de explotacin.
Cada una de las zonas establecidas tiene conexin directa e independiente con el Firewall de
forma que se pueda establecer de forma independiente los servicios y trafico permitido. Este
tipo de configuracin tambin permite el establecimiento de registros o logs adecuados para la
realizacin de auditoras y estadsticas del trfico segmentado. Como parte del diseo de
interconectividad, para este proyecto se establecieron las siguientes zonas:

5.4.4. Red de Acceso

Esta red tiene por objeto unir las redes externas a las redes internas por medio del Firewall. Esta
red permite el crecimiento ilimitado de los recursos de comunicaciones (canales y routers) por
un lado y Firewall de acceso por el otro. Este tipo de rede es originalmente insegura, es decir, no
dispone de elementos anteriores de proteccin, por lo tanto solo se permite la conexin de
Routers, Firewalls o cualquier otro dispositivo que obliga condiciones de seguridad.

5.4.5. Red Desmilitarizada

Tambin conocida como DMZ, debe contener nicamente aquellos sistemas que requieran
visibilidad externa. Estos sistemas tendrn, por medio del Firewall, habilitada la publicacin de
servicios al exterior y nunca contendrn datos crticos. Para llevar a cabo esto, el Firewall debe
habilitar aquellos servidores que estn configurados sobre esta red, la conexin con algn
recurso corporativo que disponga de la informacin a publicar en el exterior.

50
5.4.6. Red Militarizada

Conocida tambin como MZ, en esta zona se ubican aquellos servidores que requieren un nivel
de proteccin superior, aqu se establecen polticas de acceso, restringiendo incluso el acceso
desde las zonas de la red interna.

5.4.7. Red Interna

Se establece una red protegida de ataques por el Firewall y separadas de los servidores que
ofrecen servicios en internet. Dentro de la red interna deben establecerse nuevas zonas, ya sea a
partir de un Firewall o por medio de VLAN. Como parte del diseo se establecen las siguientes
zonas internas:

- Red de Operacin: Esta red es la que contiene todos los puestos de teleoperacin y los
servidores de uso especfico de ellos. Esta red aun estando en la red interna cuenta con
un alto grado de inseguridad, puesto que el acceso a esta red est dispuesto para la
mayora del personal de la empresa, la variedad de servicios que se manejan son altos,
aumentando la probabilidad de que un atacante pueda ingresar al sistema y pueda
generar alguna indisponibilidad del servicio.
- Red de Administracin: En esta red se configura la conectividad a travs de VLAN con
todos los elementos de red, desde esta red es donde se administran los equipos de
cmputo que prestan servicios internos, esta red contiene los equipos que se encargan de
recolectar logs y gestionar alarmas. Es en esta red donde fue ubicado en sistema de
monitoreo para los canales de comunicacin y servidores de la empresa.
- Red Corporativa: En esta zona se sitan los equipos del personal de estructura de
Atento, junto con los servidores de propsito general tales como servidores de dominio,
servidores de archivos, servidores de impresin, entre otros.
- Red de Contenidos: Se establece una red donde se ubican los servidores que tienen
como objeto la entrega de informacin posterior a una consulta realizada por otro

51
servidor que a su vez entrega los datos al usuario (Bases de Datos, Servicios de datos de
internet)

5.4.8. Pautas para la interconectividad de Zonas

Con el fin de realizar un modelo seguro de conectividad se establecieron una serie de flujos
entre zonas, las cuales permitirn a los administradores de la red otorgar o denegar viabilidades
para la implementacin de nuevos recursos. Estas pautas tambin servirn en el momento de
realizar auditoras internas, permitiendo realizar un diagnstico y tomar medias frente a
cualquier inconformidad.
En la Tabla 10 se muestra los tipos de conexin que puede existir o no de acuerdo a las zonas
especificadas anteriormente:
Tabla 10 Modelo de conexin entre zonas

ORIGEN \ DESTINO RA DMZ RC RI MZ


RA SI NO NO NO
DMZ NO SI NO NO
RC NO NO NO NO
RI SI SI NO SI
MZ NO NO NO SI

Convenciones:
RA: Red Acceso (internet, conexin con cliente externo)
DMZ: Zona desmilitarizada:
RC: Zona de contenidos
RI: Redes Internas
MZ: Red militarizada

En la siguiente figura se representa el esquema de conexiones descrito anteriormente.

52
Figura 12. Diseo esquema de conexiones

5.4.9. Flujo de Datos


Gracias a la correcta zonificacin de los equipos y servicios pueden establecerse situaciones
seguras para los datos que deben ser servidos a usuarios ajenos a la organizacin. Estos datos
deben estar fsicamente en servidores ubicados en la red de contenidos.
Siguiendo al esquema anterior nadie podr realizar una conexin directa contra la zona de
contenidos por lo que habr de habilitarse rutas para alcanzar los datos que all estn
disponibles. En la mayora de los casos la el paso ser a travs de un servidor web, que segn lo
establecido debe estar ubicado en la Zona DMZ, quien a travs de consultas de Bases de Datos u
otros servicios presente al usuario la informacin requerida.

53
5.4.10. Barreras de Seguridad:

Con el fin de aumentar la seguridad la seguridad, es conveniente establecer barreras con dos
niveles de Firewall, la primera barrera se denomina como Firewall de Permetro y la segunda
como Firewall Interno.
Gracias a este esquema de dos barreras se podrn implementar polticas de seguridad de distinto
tipo, con niveles permisivos en los Firewall Externos, permitiendo conexiones a los equipos de
la zona publica y otro nivel restrictivo en los internos, permitiendo nicamente las conexiones
necesarias hacia el interior de la red, generalmente conexiones desde la zona DMZ a la zona de
contenidos.
Para esta topologa, la DMZ cumple un rol importante en la seguridad, situndose lgicamente
como barrera hacia la red interna, esto se logra estableciendo un esquema Multihomed, el cual
se configura en modo Firewall Gateway. Este proporciona la conexin entre la red de la
empresa y las redes pblicas como internet.

Figura 13. Esquema Multihomed

54
Cuando se configura un servidor como Firewall, este no pasa paquetes entre las redes que estn
conectadas a las interfaces de host, sin embargo a un puede proporcionar servicios de TCP/IP
estndar como ssh a los usuarios autorizados. De esta manera y salvo que un atacante consiga el
control de la maquina no se podr acceder fsicamente a la red interna, excepto las peticiones
que hagan los equipos de la DMZ por su interfaz interna hacia la red de contenidos.

5.4.11. Alta Disponibilidad en Firewall:


Debido a la gran cantidad de trfico de red que pasa por el Firewall debe usarse alta
disponibilidad para que una incidencia en este equipo no provoque la cada total o parcial de la
actividad de la empresa. Como medida adicional se debe permitir el balanceo de carga con el fin
de que en un futuro se pueda ampliar la capacidad sin necesidad de adquirir nuevos equipos y de
esta forma se ahorre en costos.

5.4.12. VLANs:
Los esquemas VLAN (red virtual) proporcionan los medios adecuados para solucionar la
problemtica de la limitacin geogrfica la cual hace referencia a que los miembros de un
determinado grupo deben estar situados adyacentemente por su conexin al mismo concentrador
o segmento de la red; esto se hace realizando una agrupacin de forma lgica en lugar de fsica.
Con la aplicacin de esta solucin, los usuarios pueden as, moverse a travs de la red
manteniendo su pertenencia al grupo de trabajo lgico. Por otro lado al distribuir a los usuarios
de un mismo grupo lgico a travs de diferentes segmentos se logra como consecuencia directa
el incremento del ancho de banda en dicho grupo de usuarios.
Sin dejar de lado la seguridad deseada, en cada configuracin el administrador debe garantizar
que cada VLAN sea privada restringiendo el acceso de una a otra. Se deben aplicar ACLs con
el fin de permitir o denegar el paso de trfico de un segmento de red a otro, dependiendo de los
requerimientos del negocio. Como parte del modelo de conectividad, se establecen los
siguientes grupos VLAN, los cuales harn parte de la zona interna de la organizacin:
VLAN Servidores Telefona
VLAN Equipos de teleoperacin
VLAN Equipos de Estructura
VLAN Administrativa
VLAN Servidores

55
6. ETAPA DE PREPRODUCCION

En este punto se realiz la implementacin de una herramienta que permite el monitoreo de


enlaces y equipos del Datacenter de la empresa Atento, de acuerdo a la viabilidad dada por la
empresa se permiti realizar una etapa experimental con el fin de mostrar lo que se obtendra
como resultado al implementar la poltica de seguridad propuesta.
Para esto se propuso implementar una herramienta de monitoreo. Con ello se brindara un avance
tecnolgico en el modo de monitoreo y un aumento en la seguridad informtica de la empresa.
Despus de realizar un anlisis de las herramientas de monitoreo, donde las principales razones
de seleccin fueron el tipo de licencia, escalabilidad y funcionalidad frente a las necesidades de
la empresa, se opta por utilizar la herramienta de monitoreo Nagios.

Esta herramienta est bajo la GNU (General Public Licence) Versin 2 publicada por la free
software fundation, con la cual se obtiene el permiso legal de copiar, distribuir o modificar
Nagios.
Por el tipo de licencia que tiene no se asume ningn costo de adquisicin, implementacin y/o
soporte, sin embargo estos procesos deben ser ejecutados por el usuario final, en este caso, el
personal de la empresa Atento. Esta herramienta cuenta con la capacidad de soportar el
monitoreo de ms de 4000 equipos y servicios por lo tanto se ajusta a la demanda que exige la
empresa, teniendo en cuenta un posible incremento en los equipos en los prximos.

A pesar de que se implementa una herramienta sin costo, con limitaciones de soporte (como
cualquier software de tipo Open Source) esta herramienta cuenta con una variante, la cual
incluye mejoras de uso y soporte 100%, con un costo significativo de $ 3,495 Dlares. Esta
variante esta opcional para la empresa si en un futuro considera que es viable su adquisicin.

A continuacin se describe el proceso llevado a cabo para lograr la implementacin de la poltica


de seguridad, en la descripcin se enfocan los procesos realizados con el fin de garantizar la
seguridad de la herramienta de monitoreo y resaltar las los numerales aplicables de la poltica de
seguridad.

56
6.1. Solicitud de Equipos:

Con el fin de dar inicio al proceso de implementacin se solicit al rea de Servidores un equipo
con las siguientes caractersticas, las cuales estn dentro de los requerimientos mnimos de
configuracin de la herramienta:

Procesador: 2 x Xeon Dual Core 3.6 GHz


Memoria Ram: 4 Gb
Disco Duro : 200 Gb Mnimo

El rea de Servidores nos entreg una maquina virtualizada sobre VMware 5.5 con el respectivo
usuario de administracin. Teniendo esto se realiz la configuracin del servidor sobre el cual,
posteriormente se instal el Sistema Operativo Ubuntu 12.04.

6.2. Proceso de Configuracin:

El objetivo de esta etapa del proyecto es aplicar los parmetros establecidos en la poltica de
seguridad que se cre anteriormente.

Como medidas de seguridad implementadas, se describen a continuacin las evidencias


tomadas:
En la instalacin del SO se establece el usuario administrador local (ver Figura 14) con su
respectiva contrasea, se realiz la encriptacin del directorio donde quedara almacenada la
informacin del usuario (ver Figura 15).

57
Figura 14. Configuracin del usuario local

Figura 15. Encriptacin del directorio de usuario

58
Paso seguido se configur el direccionamiento IP LAN de forma esttica, para este caso se
configuro la interfaz eth0 (IP 172.16.1.17) como lo muestra la Figura 16

Figura 16. Configuracin IP LAN

Estando en este punto se actualiz el SO con los ltimos parches de seguridad disponibles. (Ver
Figura 15)

Figura 17. Configuracin IP LAN 2

59
En este punto se tiene el servidor listo para dar inicio a la configuracin de la herramienta de
monitoreo. Para la implementacin de la herramienta fue necesario instalar los paquetes de
instalacin Nagios CORE, Nagios QL, PNP4NAGIOS. En la instalacin de estos paquetes se
establece el usuario nagios y se asignan los permisos para la visualizacin va web (ver figura
18). Este usuario es el que permite la administracin de la herramienta, ya sea por medio de la
consola o por la interfaz web.

Figura 18. Configuracin usuario administrador de la herramienta de monitoreo.

Finalizado el proceso de instalacin de paquetes se ingresa por medio de la interfaz web a la


configuracin de monitoreo. All es donde el administrador de la herramienta (operadores de
centro de cmputo) ingresara los equipos que desea monitorear. (Ver Figura 19)

60
Figura 19. Interfaz Web Nagios

Continuando se defini y realiz la creacin de los usuarios con el rol de invitado, administrador
y de monitoreo (ver Figura 20)

Figura 20. Configuracin de roles para usuarios nuevos

Estos roles se definieron de acuerdo a la labor que desempea cada rea de tecnologa, para este
caso debido a que los responsables de la herramienta son los operadores de centro de cmputo,
son ellos los que tendrn un usuario con rol administrador y los dems usuarios cuentan con rol
de invitado, en donde a estos se les permiti realizar modificaciones, pero nicamente sobre los
recursos propios de cada rea.

61
Se habilita la opcin para que los usuarios puedan realizar el cambio de contrasea despus del
primer inicio de sesin en la herramienta. (Ver Figura 21)

Figura 21. Cambio de contrasea por los mismos usuarios

Como mtodo para garantizar la disponibilidad de la informacin se realiza un backup de la


configuracin, cuando esta se modifica. De igual forma esta herramienta archiva los registros de
eventos relacionados con los equipos que monitorea, cumpliendo de esta manera con otro
numeral de la poltica de seguridad.

Verificacin de Seguridad a nivel de red

Haciendo uso del esquema de interconectividad realizado en este proyecto se configuran los
permisos de acceso de la red origen (Nagios) a las redes destino (Red Teleoperacion, red DMZ,
red de Acceso), sin embardo debido a que el diseo no se encuentra implementado de tal forma
en Atento, la configuracin se realiza con los equipos existentes. Se solicita al rea de redes la
configuracin de las polticas en el Firewal. En la figura 22 se muestra la evidencia de la poltica
configurada para permitir el trfico de red desde el servidor de monitoreo hacia la red que sera
denominada como DMZ

Figura 22 Poltica Firewall de conexin a la DMZ

62
En la figura 23 se muestra la evidencia de otra poltica la cual permite el trfico del servidor de
monitoreo a la red MZ

Figura 23 Poltica Firewall de conexin hacia la MZ

Este servidor es ubicado en la zona interna dentro de la red de administracin, por lo tanto, no es
necesario realizar configuracin de polticas en el Firewall para tener acceso a los equipos
pertenecientes a las otras zonas de red, sin embargo este servidor por ser una herramienta de
monitoreo se permiti el acceso a las VLAN donde se encuentran servicios que utilizan los
usuarios de la empresa.

63
7. RESULTADOS

A continuacin se describen los resultados obtenidos:

7.1. Etapa anlisis de riesgos


En la Figura 24 se visualizan 4 grandes grupos de amenazas y la cantidad de amenazas por
grupo que afectan cada pilar de la seguridad de la informacin. Se puede comprobar que la
Disponibilidad de la informacin es la ms afectada en los grupos de amenazas, a diferencia del
grupo de ataques intencionados, que el pilar que ms se afecta es el de la Confidencialidad de la
informacion.

Figura 24: Dimensiones afectadas por amenazas

En la figura 25 se puede visualizar que los impactos que ocurren con MPF (Muy Poca
Frecuencia) y con PF (Poca Frecuencia) son los que afectan en mayor medida la disponibilidad
de la informacin, algunos de estos impactos son: Fuego, daos por agua, otros desastres
naturales, emanaciones electromagnticas, etc.
Tambin se puede visualizar que los impactos que ocurren con mayor frecuencia (F) como:
Errores de mantenimiento / actualizacin de equipos (hardware), errores de mantenimiento /

64
actualizacin de programas (software) y errores de los usuarios; afectan pilares como la
confiabilidad, la disponibilidad y la integridad de la informacin.

Figura 25: Frecuencia Vs impacto

7.2. Gestin de riesgos


En la tabla 11 se muestra el nivel de cumplimiento de la empresa frente a la estndar
ISO/IEC27001:2013 y el estado de madurez de los controles que se tienen implementados
actualmente.

Tabla 11 Nivel de cumplimiento ISO27001

Nivel de
Control Estado de madurez
Cumplimiento
Polticas de Seguridad 25 Inicial
Organizacin de la Seguridad de la
2 Inexistente
Informacin
Parcialmente
Seguridad de los Recursos Humanos 58
implementado
Gestin de Activos de Seguridad de la
20 Inicial
Informacin
Control de accesos (aplicaciones) 11 Inexistente

65
Criptografa 5 Inexistente
Seguridad fsica y del entorno 62 Definido
Seguridad de las operaciones 39 Inicial
Parcialmente
Seguridad en las comunicaciones 59
implementado
Adquisicin, desarrollo y mantenimiento de Parcialmente
50
sistemas implementado
Parcialmente
Relaciones con los proveedores 40
implementado
Gestin de incidentes de seguridad de la
21 Inicial
informacin
Aspectos de la SI de la gestin de
80 Manejado
continuidad de negocio
Cumplimiento 5 Inexistente

Convenciones:
Nivel de madurez Escala
Inexistente 0 19
Inicial 20 39
Parcialmente
implementado 40 59
Definido 60 79
Manejado 80 94
Optimizado 95 100

El porcentaje de los controles que la empresa tiene definidos y manejados es mnimo en


comparacin con los que estn parcialmente implementados e inexistentes, dejando ver que es
necesario implementar un sistema de seguridad de la informacion.

Figura 26: Nivel de cumplimiento ISO27001

66
7.3. Gestin de riesgos
Gracias a la implementacin de los tem de seguridad propuestos en la poltica de seguridad se
logra establecer una herramienta de monitoreo con un nivel alto de seguridad, los controles
aplicados a nivel de software y hardware permitieron obtener un resultado ptimo despus de
realizar un escaneo de vulnerabilidades. Este reporte indica la cantidad de vulnerabilidades a la
que est expuesto un equipo de cmputo. En este caso segn la figura 27 se detecta 20
vulnerabilidades de tipo bajo e informativo, es decir que no son significantes o que no generan
algn riesgo para la informacin.

Figura 27 Reporte vulnerabilidades

67
8. CONCLUSIONES

La recopilacin de los valores de los activos aunque no eran precisos, permiti completar el anlisis y
extraer los resultados donde se evidenciaron los riesgos de seguridad que podran estar afectando
el desempeo del rea.
El desarrollo de una poltica de Seguridad en cualquier organizacin cubre la gran parte de los
aspectos que componen un Sistema de Gestin de la Seguridad de la Informacin.
El anlisis de riesgos permiti tener una nocin real del estado actual de la empresa a nivel de
seguridad en el entorno relacionado con el Datacenter.
El anlisis realizado a partir de la norma ISO/IEC 27001:2013 permiti identificar la necesidad de
implementar un plan y una poltica de seguridad, con el fin de mitigar los riesgos o
vulnerabilidades a los que pueda estar expuesta la empresa.
Con la implementacin de la herramienta de monitoreo, aplicando los controles de seguridad
pertinentes y haciendo uso de la zonificacin de red establecida se logr evidenciar que es
posible mitigar vulnerabilidades de los sistemas, haciendo de estos unos equipos con alto nivel
de seguridad.
Con el desarrollo de este trabajo se logr el cumplimiento del 100% de los objetivos planteados

68
9. BIBLIOGRAFA

Alcalda Mayor de Bogot D.C. (2008). Secretara General de la Alcalda Mayor de Bogot D.C.
Congreso Decreta. Obtenido de
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=31431
Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la Administracin
Electrnica, L.(2012). MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Libro II - Catlogo de Elementos. Madrid Espaa: Ministerio de Hacienda y
Administraciones Pblicas, Secretara General Tcnica, Subdireccin General de Informacin,
Documentacin y Publicaciones y Centro de Publicaciones.
Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la Administracin
Electrnica, L.(2012). MAGERIT versin 3.0. Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin. Libro I - Mtodo. Madrid Espaa: Ministerio de Hacienda y Administraciones
Pblicas, Secretara General Tcnica, Subdireccin General de Informacin, Documentacin y
Publicaciones y Centro de Publicaciones.
Mifsud Elvira. (Marzo 2012). Pilares de la Seguridad de la Informacin: confidencialidad, integridad
y disponibilidad. Retrieved from http://blog.firma-e.com/pilares-de-la-seguridad-de-la-
informacion-confidencialidad-integridad-y-disponibilidad/

69
10.REFERENCIAS

Aguinaga, E., & Ryan, H. (2013). Anlisis y diseo de un sistema de gestin de seguridad de
informacin basado en la norma ISO/IEC 27001:2005 para una empresa de produccin y
comercializacin de productos de consumo masivo. Obtenido de
http://tesis.pucp.edu.pe/repositorio//handle/123456789/4957
Aguirre Juan y Aristizabal Catalina. (Agosto, 2013). Diseo del sistema de gestin de seguridad de la
informacin para el grupo empresarial la ofrenda. Proyecto de grado, universidad tecnolgica de
Pereira.
Aurela Jose y Segovia Antonio. (Junio 2013). Plan de implementacin de la norma ISO/IEC
27001:2005. Master interuniversitario en seguridad de las tecnologas de la informacin y las
comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat
Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears.
blogfirmae. (n.d.). Pilares de la Seguridad de la Informacin: confidencialidad, integridad y
disponibilidad. Obtenido de http://blog.firma-e.com/pilares-de-la-seguridad-de-la-informacion-
confidencialidad-integridad-y-disponibilidad/
Crdova Rodrguez, Norma Edith. (Lima, 2003). Plan de seguridad informtica para una entidad
financiera. Trabajo Monogrfico (Lic.)-- Universidad Nacional Mayor de San Marcos. Facultad
de Ciencias Matemticas.
Direccin General de Modernizacin Administrativa, Procedimientos e Impulso de la
Administracin Electrnica, L.(2012). MAGERIT versin 3.0. Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin. Libro I Mtodo. Madrid Espaa:
Ministerio de Hacienda y Administraciones Pblicas, Secretara General Tcnica, Subdireccin
General de Informacin, Documentacin y Publicaciones y Centro de Publicaciones.
EAN pgina institucin educativa. [En lnea] Consultado Agosto 2015. Disponible en
mercadodedinero.com.co.
Espinoza Aguinaga y Hans Ryan. (Octubre 2013). Anlisis y diseo de un sistema de gestin de
seguridad de informacin basado en la norma ISO/IEC 27001:2005 para una empresa de
produccin y comercializacin de productos de consumo masivo. Tesis de grado facultad de
ciencias e ingeniera, pontificia universidad catlica del Per.

70
Introduccin a la seguridad informtica. (n.d.). Retrieved August 10, 2015, de
http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
ISO 31000 y los 11 principios de la Gestin de Riesgos. (n.d.). Retrieved August 11, 2015, de
http://www.pmnconsultores.com/ISO31000
ISO/IEC27000. (n.d). Organizacin Internacional para la Estandarizacin, Gestin de seguridad de la
informacin. Obtenido de
http://www.iso.org/iso/home/standards.htm
Normas Apa 2015. (n.d.). Obtenido de http://normasapa.net/actualizacion-apa-2015/
Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition.
CRC Press.
Plan de gestin de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de
https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/
Sistema de gestin de la seguridad de la informacin. (2015, June 3). In Wikipedia, la enciclopedia
libre. Obtenido de
https://es.wikipedia.org/w/index.php?title=Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_
informaci%C3%B3n&oldid=82939765
Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and
breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la
ingeniera y la tecnologa (IJET)

71