PROPUESTA DE UN SISTEMA DE GESTIÓN DE RIESGOS CON BASE EN LA NORMA 27005:2008 APLICADO A ALGUNAS EMPRESAS DE MEDELLIN MODALIDAD Trabajo de grado de pregrado – Exploratorio AUTORES Catalina Arroyave Fernández DIRECTOR Diego Andrés Zuluaga ESCUELA DE INGENIERÍA DE ANTIOQUIA INGENIERÍA INFORMÁTICA ENVIGADO 2009 1 PROPUESTA DE UN SISTEMA DE GESTIÓN DE RIESGOS CON BASE EN LA NORMA 27005:2008 APLICADO A ALGUNAS EMPRESAS DE MEDELLIN CATALINA ARROYAVE FERNÁNDEZ Trabajo de grado para optar al título de Ingeniero Informático Diego Andrés Zuluaga Urrea Ingeniero de sistemas especializado en Gerencia ESCUELA DE INGENIERÍA DE ANTIOQUIA INGENIERÍA INFORMÁTICA ENVIGADO 2009 2 AGRADECIMIENTOS A mi asesor del trabajo de grado, Diego Andrés Zuluaga, por su paciencia en el desarrollo de este trabajo, por su colaboración en la búsqueda del material y por sus valiosos consejos. A mi directora de carrera, Sofía Toro Aguilar, por la colaboración en el desarrollo de la estructura del trabajo y por su interés en el desarrollo del mismo. A C.I BANACOL S.A, que me brindó todo su apoyo consiguiéndome material de calidad para la elaboración del trabajo y ser uno de mis casos de estudio. A CompuRedes S.A por colaborarme con algunos conceptos, por servir como uno de mis casos de estudio y por brindarme material para su desarrollo. 3 CONTENIDO PROPUESTA DE UN SISTEMA DE GESTIÓN DE RIESGOS CON BASE EN LA NORMA 27005:2008 APLICADO A ALGUNAS EMPRESAS DE MEDELLIN ........................................................................................................................... 1 PROPUESTA DE UN SISTEMA DE GESTIÓN DE RIESGOS CON BASE EN LA NORMA 27005:2008 APLICADO A ALGUNAS EMPRESAS DE MEDELLIN ........................................................................................................................... 2 1.1 PLANTEAMIENTO DEL PROBLEMA ..................................................... 15 1.2 OBJETIVOS DEL PROYECTO ............................................................... 16 1.2.1 Objetivo General .............................................................................. 16 1.2.2 Objetivos Específicos ....................................................................... 16 1.3 MARCO TEÓRICO .............................................................................. 17 1.3.1 Objetivo de la Gestión de Riesgos ................................................... 17 1.3.2 Gestión de Riesgos .......................................................................... 17 1.3.2.1 Fase de Evaluación de Riesgos .................................................... 17 Existen criterios para la evaluación de riesgos, los cuales hace referencia a su análisis, donde se evalúan los componentes del riesgo y se efectúa una estimación de su importancia; Por último se procede a un análisis global para la toma de decisiones contundentes sobre el riesgo......................... 17 1.3.2.1.1 Determinar los activos ................................................................ 18 1.3.2.1.2 Determinar amenazas ................................................................ 18 1.3.2.2 Estimar o analizar el impacto ....................................................... 20 1.3.2.2.1 Estimación de la vulnerabilidad de las amenazas sobre los activos ....................................................................................................... 20 1.3.2.3 Cálculo del nivel del riesgo ............................................................ 21 3.1 Analizar el estado de las normas 27000 en Colombia ........................... 24 3.1.1 Introducción a las normas 27000 ......................................................... 24 3.1.1.1 Contenido de la ISO 27001 ................................................................. 24 4 3.1.1.1.1. Ventajas de la norma ISO 27001 .............................................. 24 3.1.1.3 Contenido de la norma ISO 27002 ................................................ 26 3.1.1.4 Contenido de la norma ISO 27005:2008 ....................................... 29 3.1.1.4.1 Establecimiento del contexto ...................................................... 29 3.1.1.4.1.1 Definir criterios básicos ........................................................... 30 3.1.1.4.1.2 Describir el ambiente del proceso de Gestión de Riesgo ........ 30 3.1.1.4.1.3 Ordenar y controlar la Gestión del Riesgo .............................. 31 3.1.1.5 Valoración del Riesgo ................................................................... 31 3.1.1.6 Análisis del Riesgo ........................................................................ 33 3.1.1.6.1 Identificación del Riesgo ............................................................ 33 3.1.1.6.1.4 Identificación de vulnerabilidades ............................................ 36 3.2 Aplicación de las normas de la serie 27000 en Colombia orientado a la ciudad de Medellín. ....................................................................................... 50 3.3. Evaluar diferentes metodologías de gestión de riesgo existentes que sean aplicables a algunas empresas de Medellín ........................................ 52 3.3.1 Fase 1: CONSTRUIR PERFIL DE AMENAZA BASADO EN FACTORES CRITICOS DE ÉXITO ...................................................................................... 53 3.3.1.4 Monitorear y Controlar Riesgos ..................................................... 56 3.3.2 C.I BANACOL S.A ............................................................................ 57 3.4 Mejores prácticas existentes en el mercado ............................................... 64 3.5 APLICABILIDAD DE LA NORMA ISO 27005:2008 EN COLOMBIA ....... 76 5 GLOSARIO A continuación se definirán los conceptos más importantes para el entendimiento de este trabajo de grado, estas no buscan ser definiciones exhaustivas o exactas del concepto sino las re queridas para una mejor comprensión de este documento, por lo tanto se recomienda al lector revisar la definición para otros contextos o fines. ACTIVO: recurso del sistema de información al que la organización le asigna un valor. AMENAZA: evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos. CONTROL: práctica, procedimiento o mecanismo que reduce el nivel de riesgo. CONFIDENCIALIDAD: posibilidad de acceso a la información únicamente por quienes estén autorizados. DISPONIBILIDAD: asegurar que existe acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. IMPACTO: consecuencia sobre un activo de la materialización de una amenaza. INTEGRIDAD: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. RIESGO: posibilidad de que una amenaza se materialice causando daños o pérdidas a los activos de información. 6 VULNERABILIDAD: debilidad en la seguridad de un activo de información de la organización. 7 LISTA DE TABLAS Tabla 1. Amenazas ....................... ............................................................... 33 Tabla 10. Años de experiencia requeridos para trabajar en Seguridad Informática ................................ ............................................................... 42 Tabla 11. Certificaciones en Seguridad Informática ..................................... 43 Tabla 12. Importancia de contar con Certificaciones en Seguridad Informática .................................................. ............................................................... 44 Tabla 13. Presupuesto previsto para Seguridad Informática 2008 ............... 44 Tabla 14. Tipos de Fallas de Seguridad ....................................................... 45 Tabla 15. Identificación de las Fallas de Seguridad ...................................... 46 Tabla 16. No. De pruebas de Seguridad realizadas ..................................... 47 Tabla 17. Principales obstáculos para desarrollar una adecuada seguridad 47 Tabla 18. Cuadro comparativo ...... ............................................................... 61 Tabla 19. Registro de riesgos según el estándar Australiano ....................... 67 Tabla 2. Empresas Certificadas .... ............................................................... 36 Tabla 21. Plan de acción de riesgos ............................................................. 69 Tabla 3. Empresas certificadas por Organismos Internacionales ................. 37 Tabla 4. Estándar o Buenas Prácticas .......................................................... 39 Tabla 5. Sectores Participantes .... ............................................................... 40 Tabla 6. Empleados Empresas Grandes ...................................................... 40 Tabla 7. Empleados Pymes .......... ............................................................... 41 Tabla 8. Personas dedicadas a la Seguridad Informática ............................. 41 Tabla 9. Dependencia Organizacional del área de Seguridad Informática ... 42 Tabña 20. Programa y plan de tratamiento de riesgos ................................. 68 8 LISTA DE FIGURAS Figura 1. Procedimiento valoración del riesgo .............................................. 32 Figura 2. Fases y actividades de la metodología MAGERIT......................... 71 Figura 3. Matriz Probabilidad vs. Impacto ..................................................... 86 9 LISTA DE ANEXOS Anexo 1. ANEXOS\Probabilidad Vs Impacto.xls ........................................... 92 Anexo 2. ANEXOS\Probabilidad Vs Impacto.xls ........................................... 93 10 RESUMEN “La información es un activo que, cómo otros activos de negocio importantes, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente” [ISO/IEC 27002:2005] Esto describe la información como uno de los activos más importantes para las organizaciones, donde su adecuada manipulación permite lograr un alto nivel competitivo dentro del mercado y obtener mejor capacidad de desarrollo; por lo tanto, requiere ser protegida. La información es sensible de ser modificada o sustraída por un agente interno o externo a la organización; por esto se requieren controles que eviten este tipo de sucesos. Para esto, existen normas que proporcionan estos controles para la protección de la información. Una de estas normas es la ISO 27005:2008, la cuál es un estándar internacional que describe como gestionar los riesgos de seguridad de información. Esta norma es aplicable a todo tipo de organización, la cuál pretende gestionar los riesgos que pueden comprometer la seguridad de la información en la organización. Esta administración de riesgos permite identificar que necesita proteger la organización, como debe protegerse y cuánta protección necesita; para enfocar todos sus recursos a este tema. Este trabajo de grado está orientado a la implementación de las actividades de la norma ISO 27005:2008: - Establecimiento de contexto - Análisis y evaluación de riesgos - Tratamiento de riesgos - Aceptación de riesgos - Comunicación de riesgos - Monitoreo y revisión de riesgos En conclusión, con el propósito de orientar a las empresas de Medellín en la implementación de la gestión de riesgos, se muestran buenas prácticas para la protección de los activos de información; y basado en la norma ISO 27005:2008 se propuso un procedimiento, una metodología y unos formatos para administrar los riesgos en cualquier tipo de organización. 11 ABSTRACT “Information is an asset that, like other important business assets is essential to the business of an organization and consequently needs to be adequately protected” [ISO/IEC 27002:2005] This describes the information as one of the most important assets for organizations, where its proper handling to achieve a high level of competition within the market and achieve better development potential and therefore must be protected. Sensitive information is being altered or stolen by an employee or external to the organization, for its controls are required to prevent such occurrences. For this there are norms that provide checks for the protection of information. One of these standards is ISO 27005:2008, which is an international standard that describes how to manage information security risks. This norm is applicable to any type of organization, which seeks to manage risks that can compromise the security of information within the organization. This allows management to identify risks that need to protect the organization, must be protected and how much protection you need, to focus all its resources to this issue. This work is aimed at the level of the implementation of ISO 2700:2008: - Establishing context - Analysis and risk assessment - Treatment risks - Assumption of risk - Risk communication - Monitoring and reviewing risks In conclusion, in order to guide companies in Medellin in the implementation of risk management, are good practice for the protection of information assets, and base on ISO 27005:2008 is a suggested procedure, a methodology and formats for managing risk in any organization. 12 INTRODUCCIÓN La evolución tecnológica ha venido incrementándose exponencialmente, logrando avances en la seguridad de la información, permitiendo a las empresas diseñar estrategias de alineación de la tecnología con los procesos de negocios, tener una forma más eficiente y segura de manipular la información. Actualmente, las empresas han notado que los servicios tecnológicos y la información han adquirido mucha importancia, por eso se han desarrollado medidas para su protección. “Considerando que actualmente las empresas no cuentan con conocimiento sobre como crear una estrategia de seguridad, como definir políticas de seguridad, cuáles son los recursos más importantes que se deben proteger, que personas están involucradas en la protección de la información, cuáles deben definir las políticas de seguridad y quien las debe hacer cumplir y no se tienen procedimientos para que las empresas cumplan con los objetivos de seguridad, es importante que se diseñe un SISTEMA DE GESTIÓN DE RIESGOS PARA LA SEGURIDAD INFORMÁTICA para que las empresas tengan una guía o una estrategia que les ayude a cumplir los objetivos del negocio y los objetivos de seguridad”.1 El Sistema de Gestión de Riesgos pretende implementar controles de seguridad adecuados que protejan los activos de información y que garantice la operación del negocio. En éste trabajo de grado se presenta una propuesta de un Sistema de Gestión de Riesgos para la Seguridad de la Información basado en la norma ISO 27005:2008, a través de procedimientos, guías, formatos, herramientas y técnicas. 1Estrategias en las empresas para proteger su información, Trabajo de grado Jerson Viveros , Universidad del Valle+estrategia+en+las+empresas+para+proteger+su+información 13 En principio se hace una presentación de los componentes de la serie de la norma ISO 27000 y cuál es su aplicabilidad en las empresas. Se evalúan y presentan metodologías usadas por empresas de la ciudad de Medellín y al final, se proponen estándares (incluyendo la documentación, formatos, guías, herramientas y técnicas) que servirán como guía para la implementación de un Sistema de Gestión de Riesgos para la Seguridad de la Información que puede ser aplicable en diferentes empresas del país. 14 1. PRELIMINARES 1.1 PLANTEAMIENTO DEL PROBLEMA Las empresas perciben la importancia de la administración y distribución de la información, logrando identificarla como uno de los recursos fundamentales de las organizaciones y considerándola como un activo que alimenta los negocios; que a su vez ayuda a la toma de decisiones y que soporta el éxito o fracaso de las mismas. Hospitales, Entidades Financieras, Gobiernos, y otras empresas; almacenan una gran cantidad de información confidencial sobre sus pacientes, movimientos financieros, empleados y clientes. Esta información es manipulada (almacenada, recopilada), a través de una red de computadoras. Las empresas están empeñadas en conocer una manera efectiva de proteger su información, pues es posible que agentes externos o internos tengan acceso a datos sensibles o a información importante para la empresa, logrando causar daño a ésta o a personas que estén involucradas directamente con la información. No es posible asegurar los sistemas de información totalmente, porque la información es sensible de ser sustraída y modificada y existe el riesgo de que se genere un ataque informático con técnicas disponibles en la actualidad, por eso se desarrollaron medidas para su protección, control y manejo. En Colombia es imperativo evolucionar la Seguridad Informática; ya que es un país que respecto a América Latina está presentando grandes falencias del 15 estándar en este tema2 y no ha logrado aún un avance significativo en temas relacionados con la seguridad de la información. 1.2 OBJETIVOS DEL PROYECTO 1.2.1 Objetivo General Proponer un diseño de un Sistema de Gestión de Riesgos con base en la Norma ISO 27005:2008 aplicado a algunas empresas de Medellín. 1.2.2 Objetivos Específicos  Analizar el estado de las normas 27000 en Colombia.  Evaluar diferentes metodologías de gestión de riesgo existentes que sean aplicables a empresas de Medellín.  Proponer mejores prácticas para la gestión de riesgos de la seguridad de la información con base en la norma ISO 27005:2008.  Presentar procedimientos, estándares y metodologías de Gestión de Riesgos de Seguridad Informática que sean aplicadas a las empresas de Medellín (las cuales se definirán en este documento más adelante). 2 Estudio de Cisco: http://www.dinero.com/noticias-telecomunicaciones/colombia-tiene-mejorar- seguridad-informatica/50693.aspx 16 1.3 MARCO TEÓRICO 1.3.1 Objetivo de la Gestión de Riesgos “El objetivo del análisis de riesgos es disponer de un diagnóstico del estado actual del riesgo, que sirva, primero para categorizar las vulnerabilidades halladas por su impacto económico y segundo para establecer unas medidas o salvaguardas de seguridad proporcionales a los riesgos establecidos y a valor de los elementos a proteger"3 1.3.2 Gestión de Riesgos La ISO 27005:2008 proporciona directrices para la gestión de riesgos de la seguridad informática y se apoya en algunos componentes de la norma ISO 27000 para facilitar la práctica del análisis y la gestión de riesgos que ayudan a diseñar un Sistema de Gestión de Seguridad de la Información. Para su implementación el proceso de aplicación se ejecuta a toda la organización, en cualquier sistema de información, a una medida de seguridad ya existente o en un proyecto, etc. 1.3.2.1 Fase de Evaluación de Riesgos Existen criterios para la evaluación de riesgos, los cuales hace referencia a su análisis, donde se evalúan los componentes del riesgo y se efectúa una estimación de su importancia; Por último se procede a un análisis global para la toma de decisiones contundentes sobre el riesgo. 3 http://74.125.45.132/search?q=cache:hCPCxKaOt- wJ:www.novasoft.es/docroot/novasoft/files/Presentacionseguridad.pdf+objetivos+de+la+Gestion+de+Rie sgos+para+la+Seguridad+Informatica&hl=es&ct=clnk&cd=28&gl=co 17 1.3.2.1.1 Determinar los activos Uno de los objetivos de realizar la clasificación de activos es permitir controlar la información teniendo en cuenta las necesidades del negocio para compartirla o restringirla adecuadamente. Dicha estructura de la clasificación será de acuerdo al nivel de seguridad requerida por los activos. Los tipos de activos son: o Activos de información o Activos de software o Activos físicos o Servicios o Personas o Intangibles Todos los activos de información deben estar bajo el control de un ente designado por la organización, el cual debe velar por: o La clasificación apropiada de la información o La definición y revisión de las restricciones de acceso o Los procesos de negocios o Los conjuntos definidos de datos Para la clasificación de la información se debe tener en cuenta el valor , su sensibilidad, los requisitos legales,. 1.3.2.1.2 Determinar amenazas “Se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso legítimo). La política de seguridad y el análisis de riesgos habrán identificado las amenazas que han de 18 ser contrarrestadas, dependiendo del diseñador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios.”4 La información no llegará a alcanzar el 100% de seguridad porque siempre van a existir amenazas que estén a su alrededor. Estas amenazas puede ser causadas por:  El usuario: Individuo que manipula la información  El Programas maliciosos: Son programas que afectan el sistema queriendo engañar al individuo.  Un intruso: también conocido como hacker o cracker. Esta persona accede a los sistemas o a la información de la empresa sin contar con la autorización legal.  Un siniestro: caso fortuito, natural o accidental que puede ocasionar la pérdida de la información. Las amenazas se clasifican en: “Según el origen:  Externas: Se originan desde fuera de la organización.  Internas: Se originan desde dentro de la organización y suele tener un mayor impacto dentro de la misma. Según el área de efecto:  Físicas: Afectan a los elementos físicos de la organización.  Lógicas: Afecta a todos los activos de naturaleza digital.  Humanas: Se centran en vulnerar la seguridad utilizando como medio a las personas.”5 4 http://www.iec.csic.es/criptonomicon/seguridad/amenazas.html 5 http://www.sg6.es/labs/docs/sg6.doc.xtrelan.02.pdf 19 “Según el efecto que provoca:  Interrupción: Cuando el ataque a un recurso del sistema ocasiona la no disponibilidad de este. Como por ejemplo un ataque al hardware.  Intercepción: Cuando un agente externo acceda a la información sin ser autorizado.  Modificación: cuando una entidad no autorizada (persona u organización) manipula la información sin ser autorizada.  Fabricación: Cuando un agente externo inserta falsificaciones en el sistema”.6 1.3.2.2 Estimar o analizar el impacto Al determinar la importancia de los riesgos asociados a los activos se debe definir cuál es el impacto que ocasiona a las actividades del negocio. Para determinar las probabilidades del impacto es necesario involucrar al individuo responsable quien determinará cuáles pueden ser las consecuencias de la pérdida de información y cualificará si el incidente podría ser de nivel alto, medio o bajo. 1.3.2.2.1 Estimación de la vulnerabilidad de las amenazas sobre los activos Para estimar la vulnerabilidad que afectan a cada activo debe estar presente el individuo responsable de la información para que comprenda cual es el alcance.. Existen tres tipos de vulnerabilidades: o Vulnerabilidad intrínseca: depende del activo y de la amenaza 6 http://www.sg6.es/labs/docs/sg6.doc.xtrelan.02.pdf 20 o Vulnerabilidad efectiva: resulta después de haber aplicado un control preventivo. o Vulnerabilidad residual: Vulnerabilidad que queda después de aplicar los controles. 1.3.2.3 Cálculo del nivel del riesgo Para calcular el nivel de riesgo se analizan tres factores: o Valoración de los activos: Esta valoración se determina de acuerdo a la clasificación de los activos analizando cual es el más crítico para la compañía y cuál considera que tiene más valor para la actividad del negocio. o Vulnerabilidad de los activos: Es la susceptibilidad de los activos de información. o Amenazas: agentes que pueden explotar las vulnerabilidades hacia los diferentes activos. Luego de analizar estos tres aspectos los entes de seguridad tendrá un mejor conocimiento sobre el riesgo del negocio. 21 2. METODOLOGÍA DEL PROYECTO En primera instancia se investiga acerca de la norma ISO 27005:2008 por medio de la recopilación de la información teniendo en cuenta algunas visitas determinantes a ciertas empresas para analizar cuál es su aplicabilidad en diferentes ramos empresariales e industriales de Colombia. Las empresas que se visitaron en la ciudad de Medellín son dos: C.I BANACOL S.A y COMPUREDES. Se procede a investigar por medio de Internet cómo otras empresas de Medellín manejan la Gestión de Riesgos de Seguridad de la Información, ya que estas empresas solamente se cuentan como base para realizar un cuadro comparativo y obtener una visión amplia acerca del tema para generar un criterio que facilite la propuesta del diseño de Gestión de Riesgos. Analizar el estado de las normas 27000 en Colombia e investigar como se han implementado en Colombia enfocado en la ciudad de Medellín. Evaluar diferentes metodologías de gestión de riesgo existentes que sean aplicables a algunas empresas de Medellín (definidas anteriormente). Visitar algunas empresas (C.I BANACOL S.A Y COMPUREDES) de Medellín para investigar que metodologías de Gestión de Riesgos implementan. Investigar en Internet que metodologías existen en el mercado (Colombia, especialmente en la ciudad de Medellín) para realizar un comparativo que permita a proponer un Diseño de Gestión de Riesgos. Analizar cuál es la aplicabilidad de la norma ISO 27005:2008 en Colombia y proponer mejores prácticas para la gestión de riesgos de la seguridad de la información con base en esta norma. 22 Evaluar la aplicabilidad de las mejores prácticas de la Gestión de Riesgos para la Seguridad de la Información. Recopilar información de diferentes empresas de la ciudad de Medellín para obtener una perspectiva acerca del manejo de este tema y tener una visión más amplia que permita proponer una metodología que ayude a mejorar la Gestión de Riesgos. Presentar procedimientos, estándares y metodologías de Gestión de Riesgos de Seguridad Informática para implementar en una empresa de Medellín Luego analizar la información recopilada para facilitar la propuesta del diseño de Gestión de Riesgo y Proponer procedimientos, estándares y metodologías de Gestión de Riesgos. Ahora bien, luego de haber estudiado e investigado todo lo referente a esta norma y como se comportan las empresas de Colombia en los temas de seguridad de la información y la Gestión de Riesgos existen criterios para identificar donde se encuentran los puntos de mejora en la seguridad de la información tomando como base la norma ISO 27005:2008. 23 3. PROPUESTA DE UN SISTEMA DE GESTIÓN DE RIESGOS CON BASE EN LA NORMA 27005:2008 APLICADO A ALGUNAS EMPRESAS DE MEDELLÍN 3.1 Analizar el estado de las normas 27000 en Colombia 3.1.1 Introducción a las normas 27000 La ISO ha reservado una serie de normas ISO/IEC 27000 que tratan el tema de la Seguridad de la información. En los últimos años han desarrollado varias normas de la serie 27000 que proporcionan el marco de Gestión de la Seguridad de la Información aplicable en todo tipo de organización. 3.1.1.1 Contenido de la ISO 27001 La ISO 27001 es una metodología que comprende un proceso para evaluar, definir, implantar, mantener y administrar un Sistema de Gestión de la Seguridad de la Información. A su vez, comprende un conjunto de controles que permiten desarrollar las mejores prácticas en el tema de Seguridad de la Información. 3.1.1.1.1. Ventajas de la norma ISO 27001  Es una guía que permite proteger los activos de información.  Facilita la administración de los riesgos mostrando algunos controles necesarios a aplicar.  Permite mantener un nivel de seguridad adecuado para mantener la continuidad de la organización. Dentro del contenido de esta norma se encuentra un modelo utilizado por las empresas como referencia para el mejoramiento continuo de sus 24 procesos. Este tema se refiere al conocido ciclo PDCA (Plan, Do, Check, Act). Planear (Plan): Se estudia la organización y como está estructurada toda la seguridad. Se definen algunos criterios básicos: - Identificar los riesgos - Cuantificar cada riesgo por aparte: Cada riesgo es diferente al igual que su probabilidad de ocurrencia. - Identificar las medidas adecuadas para reducir los riesgos identificados a un nivel aceptable. Hacer (Do): Se implementan los controles definidos en la fase anterior (Plan). - Ejecutar acciones (Medidas). - Capacitar a la dirección del personal sobre los riesgos y las medidas adoptadas para mitigarlos. Verificar (Check): Se evalúa la eficacia de los controles implantados. - Supervisar y examinar el rendimiento, eficacia y eficiencia del proceso. Actuar (Act): Se Realiza el monitoreo y seguimiento para reconocer los puntos de mejora y de corrección. - Implantar un correcto tratamiento de los riesgos - Mejorar el proceso de Gestión de Riesgos 3.1.1.2 Documentación Los documentos a considerar en la norma ISO 27001 son: - Establecimiento del contexto: Contiene los límites del Sistema de Gestión de la Seguridad de la Información, considerando las características del 25 negocio, la ubicación, la tecnología implementada, recursos, la organización, etc. - Documento de política de seguridad: Su contenido se define por varios aspectos:  Definición de la valoración de riesgo de la organización: se definen criterios de evaluación en los cuáles se incluye la metodología que se va a implementar para valorar el riesgo, criterio de aceptación de riesgo, etc.  Identificación de riesgos: identificar las amenazas hacia los activos de información y las vulnerabilidades que pueden ser explotadas por esas amenazas.  Análisis y evaluación de riesgos: Analizar el impacto que puede resultar de una falla de seguridad, probabilidad de ocurrencia de los fallos de seguridad, identificación de las opciones de tratamiento de riesgo, etc.  Selección de controles para el tratamiento de riesgos: Estos controles se definirán de acuerdo a los resultados obtenidos en el ítem anterior (Análisis y evaluación de riesgos). Nota: Estos documentos se pueden elaborar en cualquier formato estándar de la empresa. 3.1.1.3 Contenido de la norma ISO 27002 La ISO 27002 trata específicamente de aspectos de la Seguridad en Tecnologías de la Información. Su contenido se describe por varios conceptos: Evaluación de los riesgos de seguridad: Identificar las deficiencias y factores de riesgos. Se debe cuantificar, identificar y priorizar los riesgos de seguridad para implementar unos controles y dar un tratamiento para reducir la probabilidad de impacto. El riesgo se evalúa mediante la medición de la 26 magnitud de la pérdida o el daño y la probabilidad de ocurrencia de dicho daño o pérdida. Política de seguridad: Plan de acción para afrontar riesgos de seguridad y para el mantenimiento de cierto nivel de seguridad. Mantener un documento con las políticas de seguridad de la organización que otorga a la gerencia la dirección y soporte para la Seguridad de la Información. Estas políticas deben regirse por las leyes y regulaciones relevantes que haya en el momento. Las políticas de seguridad deben revisarse constantemente porque estas pueden modificarse cuando se dé un cambio (por ejemplo un cambio tecnológico). Aspectos organizativos de la Seguridad de la Información: Es una estructura organizativa que debe establecerse en la empresa para implantar la gestión de la Seguridad de la Información. La organización de la Seguridad de la Información se da en dos aspectos:  Organización interna: Se maneja la Seguridad de la Información dentro de la organización.  Organización con respecto a terceros: Mantener la Seguridad de la Información y los medios de procesamiento de la información de la organización que son procesados, ingresados, manipulados o comunicados por grupos externos. Gestión de activos: Elaborar una clasificación de los activos determinando quien es el responsable por cada uno de los activos y definir cuál es el uso que se les debe dar este tema. Seguridad ligada a los recursos humanos: Asegurar que los empleados o personal externo entiendan sus responsabilidades y sean aptos para las funciones que desarrollan. Es necesario realizar un programa de capacitación y sensibilización para concienciar a las personas sobre los temas de la Seguridad de la Información. Seguridad Física y Ambiental: Evitar el acceso físico no autorizado y a la información de la organización (Áreas seguras) y evitar la pérdida, daño o robo de los activos (Seguridad de los equipos). Se divide en dos áreas  Áreas seguras: son las áreas que tienen límites y barreras (paredes, muros, etc.) que protegen la información y los medios de procesamiento de 27 información. También se debe tener en cuenta amenazas de la naturaleza como incendios terremotos, huracanes, atentados terroristas o inundaciones, entre otras.  Seguridad ambiental: Se debe controlar la temperatura en el ambiente para que no afecte a los equipos, mantenimiento de cableado, etc. Para esto se debe contar con personal calificado (para realizar estos procedimientos y cuidados. Gestión de comunicaciones y operaciones: Es una medida para asegurar una operación correcta de los sistemas de procesos de datos y de las comunicaciones, para esto se llevan a cabo los siguientes controles:  Procedimientos y controles de operación.  Planificación y aceptación del sistema.  Protección contra software malicioso.  Recuperación de datos.  Gestión de redes.  Seguridad de soportes de información.  Intercambio de información de software. Control de acceso: Requisitos de negocio para el control de acceso. Cuando se menciona ACCESO se refiere no solo a un sistema o a determinados archivos, también comprende el acceso a la red, al sistema operativo, a las aplicaciones y a la información. Esto necesita control de acceso a través diferentes técnicas. Además es necesario contar con una política de acceso para evitar el acceso no adecuado. Adquisición, desarrollo y mantenimiento de los sistemas de información: Requisitos de seguridad de los sistemas de información. Al momento de adquirir equipos o desarrollar sistemas se debe tener en cuenta la seguridad que ofrecen, es decir, validar cual es la seguridad del procesamiento de la información, el control de acceso que ofrecen, etc. Gestión de incidentes en la seguridad de la información: Notificación de puntos débiles de la seguridad de la información, es decir, garantizar que las debilidades y las materializaciones de las vulnerabilidades asociados con los 28 sistemas de información se comuniquen para realizar investigaciones y acciones correctivas oportunas. Gestión de la continuidad del negocio: Proteger los proceso críticos frente a desastres o fallas de los sistemas de información. Tener un plan de continuidad para los desastres, pérdidas de información, fallas en la seguridad para que el impacto no afecte mayormente las operaciones del negocio. Cumplimiento: Evitar cualquier incumplimiento de la ley o cualquier requisito de seguridad. Para la organización debe ser indispensable cumplir con todos los requisitos legales y todos los requerimientos de seguridad. Para todos los sistemas de información y en general para toda la organización se debe mantener la documentación y actualización de todos los requerimientos legales. Las otras normas que siguen como la ISO 27003 y 27004 están en fase de desarrollo. La norma ISO 27005:2008 (publicada en Junio del 2008) permite definir el tratamiento de los riesgos de seguridad en información en una organización. Ésta se describirá a continuación ya que con base en esta norma se desarrollará este proyecto . 3.1.1.4 Contenido de la norma ISO 27005:2008 Para describir el contenido de esta norma se definirán algunos conceptos que son relevantes para el entendimiento de este trabajo. 3.1.1.4.1 Establecimiento del contexto ” Quien debe administrar riesgos necesita identificar la contribución que hará a la organización en el logro de sus objetivos, valores, políticas y estrategias, cuando tome decisiones acerca de los riesgos (Contexto organizacional). Debe comprenderse como estos objetivos, valores, políticas y estrategias ayudan tanto a definir los criterios que determinarán finalmente cuales de los riesgos 29 identificados son aceptables y cuales no los son, como a establecer las bases de los controles necesarios y la administración de las opciones”.7 Los pasos para establecer el contexto son: 3.1.1.4.1.1 Definir criterios básicos Establecer el contexto permite reconocer cuales son las condiciones para el manejo de riesgos en la empresa y permite identificar que aspectos se deben tener en cuenta para la Gestión de Riesgos, estas condiciones incluyen las Financieras, Comerciales, Legales, Sociales, Culturales, Tecnológicas, etc. Dentro de los criterios Básicos se identifican algunos aspectos importantes: - Criterios de evaluación de riesgos - Criterios de impacto - Criterios de aceptación de los riesgos - Disponibilidad de los recursos 3.1.1.4.1.2 Describir el ambiente del proceso de Gestión de Riesgo Se definen algunos términos para describir en que ambiente se mueven los riesgos y como se logran determinarlos. - Presentación de la organización. - Sus objetivos estratégicos, sus estrategias y políticas. - Políticas de seguridad. 7 http://74.125.47.132/search?q=cache:iINkwN3eiogJ:www.aduana.cl/prontus_aduana/site/artic/20070228/ asocfile/20070228130834/asocfile120050916161822.pdf+Establecimiento+del+contexto+de+la+gestion+ de+riesgos&hl=es&ct=clnk&cd=1&gl=co http://74.125.47.132/search?q=cache:iINkwN3eiogJ:www.aduana.cl/prontus_aduana/site/artic/20070228/ asocfile/20070228130834/asocfile120050916161822.pdf+Establecimiento+del+contexto+de+la+gestion+ de+riesgos&hl=es&ct=clnk&cd=1&gl=co 30 - Dificultades que afectan a la organización. - Lista de las obligaciones legales, reglamentarias y contractuales aplicadas a toda la organización. - Arquitectura de los Sistemas de Información. - Ambiente sociocultural. 3.1.1.4.1.3 Ordenar y controlar la Gestión del Riesgo Para ejecutar este procedimiento es necesario tener en cuenta los siguientes ítems: - La aprobación por parte de la Dirección General. - Definición de las partes implicadas (Stakeholders). - Definición de los roles y responsabilidades: Entidades afectadas por el proceso de Gestión del Riesgo. - Establecer los vínculos necesarios entre las partes implicadas: especialmente con funciones de alto nivel de Gestión del Riesgo. - Gestión de los Riesgos Operativos. - Documentación de la distribución de actividades y tareas. - Gestión de recursos. - Definición de los registros que se deben conservar. 3.1.1.5 Valoración del Riesgo - Determinar el valor de los activos. - Definir las amenazas y las vulnerabilidades. - Identificar las medidas de Seguridad existentes y cuáles son sus efectos sobre los riesgos definidos. - Cuantificar las consecuencias potenciales. - Priorizar y organizar los Riesgos. El procedimiento a seguir para la valoración del riesgo: 31 1. Organización de la Gestión de Riesgos 2. Identificación de Riesgos 3. Descripción cuantitativa y cualitativa de los riesgos 4. Priorización de Riesgos 5. Criterios de aceptación 6. Lista de riesgos evaluados - Organización de la Gestión de Riesgos. - Criterios de base. - Identificación de Cr iterios de Riesgos. ac eptación de - Descripción cuantitativa Ri esgos. y cualitativa de los Riesgos. 8 Lista de Riesgos evaluados Figura 1. Procedimiento valoración del riesgo 8 Clusif – groupe méthodes / méhari Paris, 15 mai 2007 matin 32 3.1.1.6 Análisis del Riesgo Los pasos a seguir para realizar el análisis del riesgo son: 1. Identificación del riesgo. 2. Identificación de activos. 3. Identificación de amenazas. 4. Identificación de vulnerabilidades. 5. Identificación de consecuencias: en caso de que el riesgo se materialice. 6. Evaluación de medidas de seguridad existentes. 7. Estimación de riesgos. 3.1.1.6.1 Identificación del Riesgo Para identificar el riesgo se siguen los siguientes pasos 3.1.1.6.1.1 Definir y evaluar los activos - Los activos que no son identificados no serán clasificados porque no afectan el objeto del proceso de Gestión de Riesgo. - El propietario del activo es el responsable del mismo. - Luego de listar los activos con su propietario, sitio y función se definen y evalúan. - Cuando se definen y evalúan se les asigna un valor. 3.1.1.6.1.2 Evaluar los activos - Definir una escala. - Definir criterios de evaluación de los activos. - Evaluar los activos. - Indicar cada criterio de evaluación utilizado y el autor de la evaluación. - Listar los activos y asignarles un valor final a cada uno. 33 3.1.1.6.1.3 Identificar las amenazas El objetivo de la identificación de las amenazas es determinar que elementos del sistema pueden ser afectados por la amenaza. - Priorizar las amenazas que pueden ser producidas por accidentes. - Identificarlas por tipo, por ejemplo que tan comprometida está la información (su importancia), daños técnicos, etc. - Identificar quien y qué causa la amenaza. - Que elementos del sistema pueden ser afectados por la amenaza. El proceso de Identificación de amenazas se puede realizar por medio de entrevistas a: - Propietarios de activos, usuarios, recursos humanos, especialistas en seguridad física, servicios operativos, jurídica, etc. - Autoridades gubernamentales, compañías de seguros, etc. 3.1.1.6.1.3.1 Ejemplos de Amenazas AMENAZA VULNERABILIDAD CONSECUENCIA Virus Carencia de software Infección de virus, Antivirus perdida de disponibilidad, integridad o confidencialidad de la información Hacker Falta de actualización de Acceso no autorizado a parches la información confidencial, perdida de disponibilidad, perdida de integridad de la información Usuarios Parámetros mal Mal funcionamiento del 34 configurados en el sistema, perdidas de sistema operativo confidencialidad, Errores u Omisiones inegridad o disponibilidad, Fraude. Incendio Material inflamable Daños a los activos y a Carencia de las instalaciones y mecanismos de posibles pérdidas extinción de incendios humanas Empleado Mecanismo de control Información sensitiva de acceso débiles o divulgada e información laxos crítica dañada o eliminada, fraude Contratista Mecanismo de control Secretos comerciales de acceso débiles o robados, eliminación de laxos información, perdida de integridad, fraude Atacante Una aplicación mal explotación de un buffer desarrollada overflow que genera posibles pérdidas de integridad confidencialidad o disponibilidad Intruso Falta de guardias de acceso físico, robo de seguridad computadoras y dispositivos, que genera posibles pérdidas de integridad confidencialidad o disponibilidad Empleado Falta de auditorias Entradas y salidas de datos alteradas desde las aplicaciones de procesamiento de datos 35 para ocultar fraudes o por errores u omisiones. Atacante Falta de Baselínes de posibles pérdidas de configuración de integridad Firewalls confidencialidad o disponibilidad 9 Tabla 1. Amenazas 3.1.1.6.1.4 Identificación de vulnerabilidades - Las vulnerabilidades generalmente están relacionadas con las propiedades o atributos de los activos. - Las vulnerabilidades que no tengan amenazas se deben reconocer también por si resulta un cambio más adelante. - Para la identificación de las vulnerabilidades en los activos de información de la empresa, se debe hacer un análisis exhaustivo de debilidades técnicas, procedimentales y humanas en las cuales como ejemplo se puede analizar aspectos como: las cuentas de usuarios sin contraseña, el personal externo no registra su entrada y salida de las instalaciones, no hay un software de control de accesos, no contar con un plan de recuperación de desastres, etc. 3.1.1.6.1.5 Evaluación de las medidas de seguridad existentes - Estudio del plan de tratamiento del riesgo aplicado. - Comprobación de los indicadores de eficacia de las medidas de seguridad: si una medida de seguridad no funciona como estaba previsto existe una vulnerabilidad. - Revisión de las medidas de seguridad. 9 Adrián Palma, CISSP, CISA, CISM, ISO 27001 Presidente de la ALAPSI Internacional 36 3.1.1.7 Estimación de riesgos Existen dos métodos de estimación de riesgos: 3.1.1.7.1 Cualitativa - Es la magnitud o la descripción de las consecuencias, por ejemplo bajo, medio, alto. - Es útil cuando no hay datos que permitan una estimación cuantitativa. - Facilidad de comprensión.} - Incluye la experiencia, el juicio, la intuición, etc. 3.1.1.7.2 Cuantitativa - Escala con valores numéricos. - Hacer un análisis cuantitativo teniendo en cuenta la historia de incidentes. - Incluye el valor del activo, el impacto, la frecuencia de la amenaza, la probabilidad de impacto, etc. 3.1.1.8 Evaluación de consecuencias Esta evaluación se hace generalmente en términos monetarios, puede ser cuantitativa o cualitativa pero puede hacerse en otros como}: impactos ambientales, sociales, de vidas humanas, de imagen o sobre la información misma. Esta evaluación depende de la materialización de las amenazas. 3.1.2 Análisis del estado de las normas ISO 27000 en Colombia Para contextualizar a Colombia, se puede referenciar al estudio realizado por una Red Internacional de Organismos de Certificación donde se encuentra que hay 5314 empresas certificadas en el mundo por Organismos Internacionales. La siguiente tabla muestra las empresas certificadas por país: 37 Japan 2999* France 12 Oman 3 India 441 Iceland 12 Peru 3 UK 395 Pakistan 12 Portugal 3 Taiwan 248 Philippines 11 Vietnam 3 China 191 Singapore 11 Bangladesh 2 Germany 124 Russian Federation 10 Canada 2 Korea 89 Saudi Arabia 10 Isle of Man 2 USA 86 Slovenia 9 Kazakhstan 2 Czech Republic 71 Sweden 9 Morocco 2 Hungary 64 Slovakia 6 Ukraine 2 Italy 59 South Africa 6 Argentina 1 Poland 39 Switzerland 6 Armenia 1 Spain 35 Bahrain 5 Belgium 1 Hong Kong 31 Colombia 5 Kyrgyzstan 1 Austria 30 Croatia 5 Lebanon 1 Australia 29 Indonesia 5 Lithuania 1 Ireland 29 Kuwait 5 Luxembourg 1 Malaysia 26 Bulgaria 4 Macedonia 1 Brazil 21 Gibraltar 4 Belarus 1 Thailand 21 Norway 4 Mauritius 1 Mexico 20 Qatar 4 Moldova 1 UAE 18 Sri Lanka 4 New Zealand 1 Turkey 18 Chile 3 Uruguay 1 Greece 15 Egypt 3 Yemen 1 Romania 15 Iran 3 Relative Total 5333 Netherlands 13 Macau 3 Absolute Total 5314 10 Tabla 2. Empresas Certificadas El nivel de empresas certificadas en Colombia es muy bajo (5 empresas certificadas por Organismos Internacionales) con respecto a los otros países; Según los datos mostrados en la tabla. 10 international network of Certification Bodies | English | Dictionary & Translation by Babylon http://www.iso27001certificates.com/ 38 Las empresas colombianas deben reestructurar sus procesos, objetivos y estrategias de negocio promoviendo la seguridad de la información, de manera que puedan alcanzar una certificación por los Organismos Internacionales (o por normas propias de Colombia) permitiendo llegar a un mayor número de empresas certificadas. Dentro de las estas empresas certificadas por Organismos Internacionales están Standard BS 7799- Certificate Certification Name of the Organization Country 2:2002 or Number Body ISO/IEC 27001:2005 ComBanc S.A. Colombia IS 531192 BSI ISO/IEC 27001:2005 Etek International Holding Corp. Colombia IS 84320 BSI ISO/IEC 27001:2005 Ricoh Colombia, S.A. Colombia IS 85241 BSI ISO/IEC 27001:2005 UNISYS Global Outsourcing & Infrastructure Services Colombia IS 97104 BSI ISO/IEC 27001:2005 (GOIS)/Maintenance Support Services (MSS) Tabla 3. Empresas certificadas por Organismos Internacionales o ComBanc S.A es una sociedad operadora de la Cámara de Compensación de Pagos de Alto Valor S.A. Esta empresa tiene como función apoyar al giro bancario. o Etek International Holding Corp es un proveedor de Seguridad de la Información en Latinoamérica. o Ricoh Colombia, S.A. es una empresa que provee soluciones para una Gestión Integral del Documento. o UNISYS Global Outsourcing & Infrastructure Services (GOIS)/Maintenance Support Services (MSS) o Con el ICONTEC se realizaron contactos, pero por políticas de este organismo no fue posible obtener el listado de empresas certificadas, sin embargo por otras fuentes se pudo confirmar que son 6 las empresas certificadas, entre las cuáles están: 39 o Enlace Operativo: Es una empresa de Outsourcing de Procesos de Negocio con un alto enfoque tecnológico y en continua innovación. o Fluid Signal Group: Es una compañía dedicada a prestar servicios de Seguridad de la Información. o Jaime Torres & CIA: Es una compañía experta en manejo de información masiva, pagos de convenios, procesamiento de declaraciones, etc. Esta empresa le colabora a muchas entidades como la Cámara de Comercio. o Banco de la República: regula la moneda, cambios internacionales y el crédito, etc. Las empresas nombradas anteriormente están certificadas por la norma ISO 27001 relacionada con los requisitos para la seguridad de la información. Nota: La norma ICONTEC actualmente tiene otras empresas en proceso de certificación, pero aún no han cumplido todos los requisitos que esta exige. Un estudio realizado por Jeimy J. Cano, Ph.D, CFE, Coordinador de la lista colombiana Segurinfo, muestra el estado de los estándares y buenas prácticas en seguridad informática y regulaciones en este tema: EN UNA MUESTRA DE 1800 empresas: ESTÁNDAR O BUENAS 2008 PRÁCTICAS (%) ISO 27001 51.232 Common Criteria 5.91 Cobit 4.1 22.6 Magerit 5.9113 Octave 2.4631 Guias NIST 14.286 Guias ENISA 1.4778 Top SANS 9.8522 OSSTM 7.3892 ISM3 3.9409 Otra 22.6 40 Tabla 4. Estándar o Buenas Prácticas Es claro que la norma ISO 27001, Cobit 4.1 y Guias NIST son las normas más implementadas en las empresas de Colombia. Muchas de las empresas usan ISO 27001 aunque no necesariamente con miras a la certificación o están en proceso para cumplir los requisitos de la norma. 3.1.2.1 Tendencias de Seguridad Informática 2008 En Colombia no se ha implementado mucho el concepto de Seguridad de la información ni sus metodologías. Por esta razón se mostrará a continuación cuáles han sido las tendencias en Seguridad de la Información en Colombia según un estudio realizado por Jeimy J. Cano, Ph.D, CFE, Coordinador Segurinfo:  Los sectores que participaron en este estudio son: SECTOR 2002 2003 2004 2005 2007 2008 % % % % % % Banca 10,4 12,5 9,6 13 16,1 16,26 Ingeniería 6,5 2,3 6,4 4 7,3 6,9 Industria Informática /TI 23,4 13,6 15,1 15 10,8 0 Educación 19,5 19,3 14,2 24 17,6 14,78 Servicios Públicos / Energía 3,9 5,7 1,8 3 1,5 0 Gobierno 16,9 25 10,5 9 16,1 9,85 Seguros 2,6 8 2,7 8 0 0 Petróleo 0 0 1,4 0 0 0,49 Transporte 3,9 2,3 0,5 2 1,5 0 Telecomunicaciones 6,5 10,2 10 5 2,5 8,37 Farmacéutico 1,3 0 1,4 2 0 0 Sin ánimo de lucro 5,2 1,1 3,7 1 0 0 Manufactura - - - - - 3,45 Salud - - - - - 2,46 Alimentos - - - - - 0,99 Otro: comercializadora, vigilencia, salud, superintendencia, sonsultoria, cementosservicios de seguridad informática, consumo 33,8 22,7 22,8 20 35,8 36,45 41 11 Tabla 5. Sectores Participantes El resultado muestra la participación activa del sector de la banca, educación, gobierno y telecomunicaciones. En esta sección se identifican los sectores que participan, el tamaño de las organizaciones, el personal dedicado al área de seguridad, las certificaciones en seguridad, entre otras. 2002 2 003 (%) (%) 1 a 100 31.4 19 101 a 250 17.6 13.3 251 a 500 10.8 18.1 501 a 1000 11.8 16.2 1001 a 2500 11.8 16.2 2501 a 5000 8.8 11.4 Más de 5000 7.8 5.7 Tabla 6. Empleados Empresas Grandes 2004 2 005 2 007 2 008 (%) (%) (%) (%) 1 a 50 27.9 28 27.3 31.03 51 a 100 11.6 19 12.9 9.36 101 a 200 13.0 11 7.7 7.39 201 a 300 3.3 5 7.2 7.88 301 a 500 11.2 12 10.8 11.33 501 a 1000 11.6 13 9.3 7.88 Más de 1000 21.4 13 24.7 25.12 12 Tabla 7. Empleados Pymes Este resultado muestra que las medianas empresas tienen como elemento clave la seguridad de la información para formular estrategias de negocio; En las grandes empresas, este tema debe ser parte de la gestión de la organización. 11Seguridad Informática en Colombia Tendencias 2008 12 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 42 2002 2 003 D i f e rencia (%) (%) Porcentual 1 a 10 90.3 90.6 0.3 11 a 20 3.9 6.6 2.7 21 a 50 3.9 1.9 2 Más de 50 0 0.9 0.9 Ninguna 1.9 0 1.9 2004 2 005 2 007 2 008 (%) (%) (%) (%) Ninguna 26.8 26 28.6 23.65 1 a 5 58.2 58 54.9 62.56 6 a 10 10.9 5 10.9 8.37 11 a 15 0.9 5 0.5 1.97 Más de 15 3.2 6 5.2 3.45 13 Tabla 8. Personas dedicadas a la Seguridad Informática Las medianas empresas muestran un gran interés por aumentar los recursos para la Seguridad de la Información; Sin embargo es preocupante el 23. 65%, donde muestra que un gran porcentaje de las empresas aún no destinan recursos para este tema. 2002 2 003 2 004 2 005 2 0 07 2 0 08 (%) (%) (%) (%) (%) (%) Auditoría Interna 5 3.9 6.1 7 4.8 5.56 Director de Seguridad 11.9 14.7 Informática 10.2 18 20.5 25.25 Director 60.4 52.9 Departamento de Sistemas/Tecnología 53.8 39 44.6 38.89 Gerente ejecutivo 4 2 1.5 4 0.6 1.52 Gerente de Finanzas 0 1 1 0 0 2.02 No se tiene 11.9 22.5 especificado formalmente 18.3 21 17.5 19.7 otro, especifique, 6.9 2.9 Riesgo Operativo, Viceprecidencia de Operaciones, Jefe de telemática, etc. 9.1 11 12 7.0 14 13 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 14 Seguridad Informática en Colombia Tendencias 2008 43 Tabla 9. Dependencia Organizacional del área de Seguridad Informática Se presenta un aumento significativo del cargo del Director de Seguridad, pero una disminución del cargo del departamento de sistemas. También se muestra un aumento de organizaciones que no tienen especificada una dependencia de seguridad informática. La Seguridad de la información está ganando terreno pero se sugiere que la dependencia de Tecnología alinee sus procesos de negocio con la dependencia de Sistemas. 2007 2 008 (%) (%) Ninguna 6.6 8.39 Menos de un año de 10.7 7.1 experiencia Uno a dos años 38.5 39.9 Más de dos años 44.3 51.61 Gerente de Finanzas 0 1 15 Tabla 10. Años de experiencia requeridos para trabajar en Seguridad Informática La industria en Colombia exige como mínimo dos años de experiencia en la práctica de la Seguridad de la Información. Sin embargo las instituciones educativas ofrecen muy pocos programas de este tipo, obligando a los especialistas en este tema a formarse en la práctica. El 8.39% muestra que algunas organizaciones no exigen experiencia en este tema porque prefieren formar al especialista según las necesidades del negocio. 2007 2 008 (%) (%) Ninguna 60.3 36.5 CISSP 20.7 19.2 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 15 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 44 CISA 14.9 13.3 CISM 9.9 13.8 CFE 0.8 3.94 CIFI 5.8 1.97 CIA 10.7 4.43 Security - 5.91 Otras: Especializaciones en auditoría de sistemas, Especializaciones en Seguridad Informática, Diplomados en Seguridad Informática, 18.2 13.8 Auditor Líder BS7799, Certified Ethical Hacking, CCNA,CCSP, GSEC, MCSE,etc. 16 Tabla 11. Certificaciones en Seguridad Informática Existe un alto porcentaje de empresas que no cuentan con ninguna certificación en temas de auditoria, fraude y Seguridad Informática. Sin embargo hay un leve incremento en certificaciones como CISM y CFE, orientadas a la administración de la seguridad de la información y el control del fraude. Las empresas perciben la importancia de agregar la Gestión de la Seguridad de la Información para fortalecer los esquemas de seguridad y mantener la continuidad del negocio. Muy Importante No es No Sabe Importante (%) Importante ( % ) (%) (%) CISSP 51.03 38.62 3.45 6.9 CISA 25.74 53.68 11.03 9.56 CISM 40.15 44.53 5.84 9.49 CFE 22.9 42.75 19.08 15.27 CIFI 23.62 43.31 22.83 10.24 CIA 16.94 49.19 20.97 12.90 MCSE/ISA-MCP 22.83 37.01 27.56 12.60 Unix/LinuxLP1 31.78 37.21 20.93 10.08 Security 31.78 34.88 14.73 18.60 16 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 45 17 Tabla 12. Importancia de contar con Certificaciones en Seguridad Informática Esto muestra que las empresas en general ven la importancia de las certificaciones de Seguridad de la Información en el mercado. Estas certificaciones son importantes y valiosas frente a las tendencias internacionales, por esto las empresas comenzaron a fortalecer los esquemas de seguridad y sus estrategias en este tema para alcanzar un alto nivel de seguridad a nivel mundial. 2007 2008 (%) (%) Menos de USD$50.000 61.8 50.52 Entre USD$50.001 Y 13.3 19.27 USD$70.000 Entre USD$70.001 Y 4.8 7.29 USD$90.000 Entre USD$90.001 Y 6.1 5.73 USD$110.000 Entre USD$110.001 y 1.8 5.73 USD$ 130.000 Más de USD$130.000 12.1 11.46 Tabla 13. Presupuesto previsto para Seguridad Informática 2008 Para el 2008 se ve un incremento en las inversiones, las cuáles están orientadas a la continuidad del negocio, la conformidad legal, certificaciones de procesos, entre otras. 2002 2 0 03 2 0 04 2 0 05 2 0 07 2 0 08 (%) (%) (%) (%) (%) (%) Ninguno 5.4 8.7 6.6 9 5.3 2.46 Manipulación de aplicaciones de software 4.5 4.3 5.8 8 24.8 14.8 17 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 46 Accesos no autorizados a la Web 14.8 10.6 9.4 10 35.4 26.6 Fraude 4 3.9 1.8 5 13.3 6.4 Virus 33.6 33.3 34.9 29 62.8 41.9 Robo de datos 3.6 3.9 2.6 2 10.6 7.39 Caballos de troya 4.9 4.8 10.0 11 29.2 16.7 Monitoreo no 4.9 7.7 5.8 8 7.1 9.36 autorizado del tráfico Negación del servicio 6.3 7.2 7.6 7 21.2 13.8 Pérdida de integridad 6.7 3.9 2.9 3 12.4 4.93 pérdida de 9.4 10.1 10.5 7 24.8 11.3 Información Phishing - - - - 17.7 11.8 Pharming - - - - 3.5 1.48 Software no - - - - - 40.9 autorizado Otros: Pérdida de Laptops, acceso no autorizado a equipos, 1.8 1.4 2.1 1 6.2 1.97 fuga de información, spyware. 18 Tabla 14. Tipos de Fallas de Seguridad En esta tabla se muestran las fallas de seguridad más comunes en Colombia. Un estudio hecho por IBM Xforce 2007 Trend Statistics establece:  Incremento del 28% de las vulnerabilidades marcando alta severidad.  Aumento de herramientas para vulnerar los sitios Web. Estos datos deben llevar a la reflexión de la seguridad de las aplicaciones desarrolladas, los procedimientos de instalación y configuración, para evitar ser objeto de los intrusos. 2002 2 0 03 2 0 04 2 0 05 2 0 07 2 0 08 (%) (%) (%) (%) (%) (%) Material o datos alterados 24.2 22.6 19.3 14 23 20.1 Análisis de registros de auditoria/sistemas de 28.8 27 26 29 54 33 archivos/registros firewalls Sistema de detección de intrusos 9.2 10.2 17.3 17 29.2 21.28 18 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 47 Alertado por un cliente/proveedor 16.3 16.8 10 11 27.4 19.7 Alertado por un colega 11.1 12.4 13.7 9 23.9 14.77 Seminarios o conferencias 3.9 2.9 7 8 7.1 4.92 nacionales e internacionales Otro: revisión manual, pérdida del servicio 6.5 8 6.7 12 7.1 4.43 19 Tabla 15. Identificación de las Fallas de Seguridad El listado anterior son fuentes para la identificación de las fallas de seguridad. Proveedores y clientes son una fuente importante para detectar estas fallas por medio del intercambio de experiencias. 2002 2 0 03 2 0 04 2 0 05 2 0 07 2008 (%) (%) (%) (%) (%) (%) Una al año 25.7 28.4 29.4 30 31.3 28.02 Entre 2 y 4 al año 29.5 27.5 28.8 30 21.8 29.67 Más de 4 al año 17.1 14.7 11.9 14 10.2 10.99 Ninguna 27.6 29.4 30.0 26 36.7 31.32 20 Tabla 16. No. De pruebas de Seguridad realizadas El porcentaje de empresas que no realiza ninguna prueba de seguridad al año es muy alto (31.32%) exponiendo la organización a ser infiltrada por agentes externos e internos buscando la vulnerabilidad de la infraestructura. 2002 2003 2 0 04 2 0 05 2 0 07 2 0 08 (%) (%) (%) (%) (%) (%) No se tienen políticas de seguridad definidas 25 27.5 28.8 23 27.9 22.53 Actualmente se encuentran en desarrollo 48.1 49 46.8 44 43.5 45.05 Política formal, escrita, documentada e informada a 26.9 23.5 24.4 33 28.6 32.42 todo el personal 19 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 20 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 48 Tabla 17. Estado actual de las políticas de seguridad Para el 2008 se ha logrado un gran avance en temas de seguridad de la información, sin embargo las políticas de seguridad necesitan más compromiso de todas las empresas de Colombia y tener la certeza que todas las áreas del negocio y la Tecnología se van a alinear para reforzar las políticas de seguridad. 2002 2 0 03 2 0 04 2 0 05 2 0 07 2 0 08 (%) (%) (%) (%) (%) (%) Inexistencia de política de seguridad 20 22.7 17.0 16 36.1 29.06 Falta de tiempo 17.1 14 23.5 18 32.7 31.52 Falta de formación técnica 12.1 16.3 8.5 7 26.5 26.6 Falta de apoyo directivo 13.6 15.1 18.3 23 34 29.5 Falta de colaboración entre áreas/Departamentos 12.1 14.5 9.8 13 28.6 29.5 Complejidad tecnológica 12.9 6.4 7.8 9 16.3 12.8 Poco entendimiento de la seguridad informática 2.1 11 15.0 14 29.9 28.07 Otro: Asignación Presupuestal, falta de - - - - 8.8 4.92 recurso humano, cultura de la empresa 21 Tabla 18. Principales obstáculos para desarrollar una adecuada seguridad La falta de entendimiento sobre este tema muestra la inseguridad de la información a la que está expuesta hoy en día. Las empresas principalmente deben reconocer la importancia de la implementación de las políticas de seguridad para que las medidas de protección de la información sean efectivas. 21 Seguridad Informática en Colombia Tendencias 2008 http://74.125.45.132/search?q=cache:0xgHEejO5X4J:www.acis.org.co/fileadmin/Revista_105/investigaci on.pdf+diferencia+entre+magerit+y+octave&cd=24&hl=es&ct=clnk&gl=co 49 3.2 Aplicación de las normas de la serie 27000 en Colombia orientado a la ciudad de Medellín. 3.2.1 Introducción La gestión, la administración y el mantenimiento de la información se han convertido en un factor clave para el desarrollo de las empresas. Esta tendencia actual de ofrecer diversos servicios y la adopción de nuevas tecnologías y sistemas de información ha provocado la necesidad de idear estrategias, implementar guías y estándares que permitan la definición de políticas de seguridad que garanticen la confiabilidad, confidencialidad, disponibilidad, integridad y continuidad en los procesos de negocio . 3.2.2. Utilidad de las normas para la Gestión de la Seguridad de la Información Las normas de la serie 27000 son procedimientos que permiten que una empresa tenga una guía que permita visualizar amenazas y vulnerabilidades y aspectos que puedan afectar la continuidad del negocio. Las empresas certificadas por estándares internacionales deben cumplir con los requisitos mínimos de la seguridad de la información lo que genera una mayor confianza en los clientes y proveedores. 3.2.3 Políticas de Seguridad Las políticas son un conjunto de directrices que permiten el orden dentro de una organización. Estas políticas mencionan lo que se debe hacer y lo que no se debe hacer dentro de la empresa. Los elementos fundamentales dentro de las políticas de seguridad son: 50 Análisis de riesgos: conceptos de posibles riesgos a los que se encuentra expuesta la organización. Plan de contingencia: Es una guía de actuación en caso de que se materialice una situación de riesgo para mantener las operaciones del negocio. Actividades a realizar: son medidas correctivas y preventivas que tiene la empresa para evitar o en caso de que los riesgos se materialicen. 51 3.3. Evaluar diferentes metodologías de gestión de riesgo existentes que sean aplicables a algunas empresas de Medellín Las empresas analizadas son COMPUREDES Y BANACOL Compuredes S.A se basa en varias metodologías, como referencias están: Operationally, Critical Threat, Asset and Vulnerability Evaluation OCTAVE Version 2.0 Estándar australiano para la administración de riesgos AS/NZS 4360 A guide to the project management body of knowledge, PBOK Guide, Third Edition BS 15000-2:2003 IT Service management – Part 2: Code of practice for service management ISO / IEC 20000-1 Information technology – Service Management – Part 1: Specification A continuación se describirá el procedimiento que utiliza COMPUREDES en la Gestión de Riesgos. Esta información es obtenida de la documentación de la empresa. “Objetivo: Esta guía tiene como propósito establecer los lineamientos y directrices necesarias para el desarrollo de las actividades relacionadas con la identificación, la evaluación, las estrategias de respuesta y el monitoreo y control de riesgos en el desarrollo de los proyectos y la prestación de servicios de tecnologías de información de CompuRedes S.A. Alcance: Este documento es aplicable a todos los procesos relacionados con la entrega y soporte de servicios de tecnología de información, tanto los 52 destinados hacia los clientes como los servicios proporcionados por la gerencia de infraestructura a CompuRedes S.A.”22 3.3.1 Fase 1: CONSTRUIR PERFIL DE AMENAZA BASADO EN FACTORES CRITICOS DE ÉXITO 3.3.1.1Caracterizar factores críticos El primer paso es la identificación de riesgos para los servicios de tecnologías de información y comunicaciones. Esta identificación inicia contextualizando los servicios de tecnologías de información proporcionados al cliente determinando sus objetivos. Luego se identifican los factores críticos de éxito, los cuáles pueden deducirse de las categorías que se plantean a continuación: - Información: Documentación en cualquier formato o tipo de medio utilizada para la entrega de los servicios de tecnología. Esta información está relacionada con los sistemas, servicios y tecnologías de información. Sin embargo no hay que olvidar que existe información física que es importante. - Sistemas, servicios y tecnologías de información: Tecnología utilizada para proporcionar servicios de almacenamiento, procesamiento y comunicación de la información. - Personas: Las personas son un factor crítico de éxito, porque son lo que administran los sistemas, servicios y tecnologías de información. - Madurez organizacional del cliente: políticas corporativas, prácticas, procesos y procedimiento de los clientes a nivel de sus departamentos de tecnología y en general de toda su organización. - Madurez organizacional de CompuRedes S.A: políticas corporativas, prácticas, procesos y procedimientos de CompuRedes S.A para la definición de esquemas contractuales, definición de alcances de los servicios, definición de requerimientos de los servicios, manejo de sus proveedores, etc. 22Documentación ofrecida por CompuRedes S.A 53 Para recolectar toda esta información CompuRedes S.A utiliza una plantilla a la que llaman “Formato Gestión de Riesgos”, la cuál dispone de un ID para identificar los factores críticos de éxito. El segundo paso es identificar las amenazas, como: desastres naturales, interrupciones en el suministro de servicios públicos y de transporte, fallas en la comunicación interna del cliente, fallas en las herramientas tecnológicas utilizadas para la prestación del servicio, entre otras. En caso de que algunas de estas amenazas se materialicen, la salida resultante de CompuRedes S.A sería: “Interrupción de los servicios de tecnología proporcionados por CompuRedes S.A. Degradación de los servicios de tecnología proporcionados por CompuRedes S.A. Entrega de servicios que NO satisfacen los requisitos contractuales y las necesidades de los procesos de negocio del cliente (interrupción de los procesos de negocio del cliente) y aspectos importantes de CompuRedes S.A. Modificación, destrucción o pérdida de la información que CompuRedes S.A. utiliza para la prestación de los servicios de tecnología Modificación, destrucción o pérdida de la información que el cliente ha confiado a CompuRedes S.A. a través la prestación de los servicios de tecnología”23 Nota: Estos ítems corresponden a un plan de contingencia en caso de que las amenazas se materialicen. 23 Documentación ofrecida por CompuRedes S.A 54 3.3.1.2 Crear perfiles de amenaza Se determinan cuáles factores críticos de éxito tienen un impacto más significativo, para esto se formulan algunos interrogantes: - “¿Cuáles factores tendrían un gran impacto adverso sobre la organización (CompuRedes S.A.)? - ¿Cuáles factores tendrían un gran impacto adverso sobre el cliente? ¿Quién controla el factor crítico de éxito? ¿Quién es responsable del logro del factor crítico de éxito? ¿Quiénes intervienen en el logro del factor crítico de éxito?”24 3.3.1.3 Desarrollar estrategias y planes Lo primero es identificar amenazas para los factores críticos de éxito, por esto se considera la siguiente información: - Características de los factores críticos de éxito. Luego se definen quienes son los responsables del control y respuesta: - “Quien controla el riesgo: este rol es responsable por la ejecución o coordinación de las actividades diseñadas y descritas en los planes de mitigación o contingencia - Quien responde por el riesgo: este rol es responsable por rendir cuentas tanto ante la organización cliente como ante CompuRedes, en lo referente a los avances o efectividad de los controles adoptados para la eliminación, mitigación o transferencia de los riesgos”25 Después de definir quienes son los responsables, se determina los 24 Documentación ofrecida por CompuRedes S.A 25 Documentación ofrecida por CompuRedes S.A 55 Planes de mitigación de riesgos: Las actividades que se ejecutan para el plan de mitigación de riesgos Son: - Reconocer o detectar amenazas a medida que ellas se presentan. - Prevenir la materialización de las amenazas. - Recuperarse de la materialización de las amenazas. - Crear planes de contingencia que permiten que las actividades reaccionen ante una amenaza que se materialice. 3.3.1.4 Monitorear y Controlar Riesgos El monitoreo y control de riesgos se realiza con la intención de mantener actualizados los riesgos, sus características y la respuesta a los mismos, dado que a medida que evoluciona, aparecen nuevos riesgos. Entre las actividades de monitoreo y control de riesgos están: “Actividades de verificación que las estrategias de protección y los planes de mitigación han sido implementados de acuerdo a su planificación. Pruebas para verificar la eficacia de las acciones de los planes de mitigación desarrollados. Verificación de la validez de los escenarios y supuestos, sobre los cuales se realizo toda la gestión de riesgos inicial, incluyendo revisiones periódicas a los riesgos del proyecto. Auditorias a las respuestas de riesgo del proyecto y al modelo de Gestión de Riesgos en general. Desarrollo de planes de mejoramiento para la identificación, valoración y esquemas de respuesta a los riesgos identificados 56 Registro de cada control versus el riesgo que está atacando de forma directa o indirecta, con el fin de no perder de vista aquellos riesgos con una prioridad baja pero que pueden verse impactados por una actividad que tiene como fin atacar un riesgo superior, este registro se realiza en el “formato de gestión de riesgo específicamente en la hoja controles versus riesgos””26 3.3.2 C.I BANACOL S.A Según el estudio realizado a C.I BANACOL S.A, se destaca que esta se basa en la norma ISO 27000 para la Gestión de la Seguridad de la Información: En su contenido se encuentra una parte fundamental la cual se refiere al Sistema de Gestión de Riesgos. La Gestión de Riesgos se maneja dentro del proceso de Gestión de la Seguridad de la Información como uno de los conceptos más importantes para garantizar la confidencialidad, integridad y disponibilidad de la información. Los pasos a seguir para la Gestión de Riesgos para la Seguridad de la Información son los siguientes: 1. “Identificar activos relacionados con la información de la Compañía “Será necesario un inventario de activos de sistemas de información que incluya el equipo, los programas y los datos. Se deben identificar todos los activos relacionados con la información, manteniendo un inventario actualizado que registre estos datos”. Identificar todos los activos de información, manteniendo este inventario actualizado. Esta información debe contener los datos de los dispositivos de Hardware y Software, datos, etc. 26 Documentación ofrecida por CompuRedes S.A 57 2. Clasificar activos relacionados con la información Los activos son clasificados de acuerdo a los siguientes parámetros: información (por medios magnéticos), el hardware, el software. 3. Identificar riesgos asociados a los activos de información Se identifican las amenazas en relación a los Sistemas de Información, las vulnerabilidades que puedan ser aprovechadas por dichas amenazas y los impactos en la confidencialidad, integridad y disponibilidad de la información. 4. Seleccionar activos críticos Luego de analizar los riesgos y amenazas potenciales, se identifica y cuantifica el valor del activo para el negocio, es decir, a cada activo se le da una prioridad para saber cuál necesita más protección teniendo en cuenta su nivel de criticidad y para saber que activos poseen más riesgo. 5. Establecer probabilidad de ocurrencia del riesgo Se evalúa de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los Sistemas de Información y los controles que ya estén implementados. La fase de evaluación de riesgos representa un proceso formal para identificar y asignar prioridades a los riesgos en la organización. Se deben utilizar los siguientes criterios cualitativos: -Alto: es muy factible que el hecho se presente. -Medio: es factible que el hecho se presente. -Baja: es poco factible que el hecho se presente 6. Establecer el impacto de la ocurrencia del evento 58 Se determinan los efectos que podrían tener los riesgos asociados a los Sistemas de Información. Hay diferentes niveles de impactos: -Alto: -Medio: -Bajo: 7. Determinar plan de manejo de riesgos. Después de evaluar la probabilidad de ocurrencia y los impactos de los riesgos en la compañía, se identifican las acciones y se asignan recursos (financieros, humanos, entre otros), responsabilidades y prioridades en la gestión de los riesgos de seguridad de Sistemas de Información. Se determinan las defensas para eliminar o reducir los riesgos que se han evaluado. Los controles que se definen en esta actividad se pueden agrupar en: Controles relacionados con el negocio: tales como políticas de seguridad y normas de clasificación de la información. Controles relacionados con el personal: tales como definición de funciones, cláusulas de confidencialidad y normas de uso de equipos y contraseñas. Controles relacionados con los sistemas de información: clasificados en medidas de seguridad física y lógica. Controles relacionados con la revisión de los sistemas de información: tales como auditorias y registros. Para determinar el plan de tratamiento de riesgos se debe tener en cuenta lo siguiente: -Evitar el riesgo (cambio sustancial de procesos) 59 -Reducir el riesgo (optimización de procedimientos, implementación de controles) -Controlar el riesgo (se fortalecen los controles existentes o se agregan nuevos) -Transferir o compartir el riesgo (ej. Pólizas de seguro) -Asumir el riesgo (planes de contingencia y determinar que el nivel de exposición es el adecuado) - Eliminar el riesgo (Se elimina el activo relacionado y por ende el riesgo) 8. Implementar plan de manejo de riesgos En esta fase habrá que centrarse en la implementación del plan efectivo de controles a medio y largo plazo definidos en la actividad anterior, que evite o atenúe los posibles riesgos para la seguridad informática, con el fin de alcanzar los objetivos de control , incluyendo la asignación de recursos, responsabilidades y prioridades. 9. Verificación y validación de los controles y medidas implementadas. En esta actividad se revisan las acciones efectuadas para atender las brechas de seguridad detectadas, y los riesgos que debieron ser mitigados y comprobar el cumplimiento de los objetivos para asegurar la información. Luego de haber implementado los controles y las medidas, es necesario verificar que funcione bien el plan utilizado y se necesita validarlos para saber si es realmente lo que se esperaba solucionar con esas medidas y controles. Cuando en la revisión de los controles se hayan detectado vulnerabilidades, riesgos o debilidades, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información de la empresa. 60 10. Monitorización y seguimiento a las medidas”. 27 Se monitorea la implementación de los controles, se verifica su cumplimiento y se le realiza seguimiento a los resultados. Se debe garantizar el cumplimiento de los planes y procedimientos establecidos para el manejo de riesgos. Supervisar proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Se deben realizar revisiones periódicas a los Sistemas de Información de la organización, para identificar nuevos riesgos y analizar la relación de esos riesgos con otros riesgos ya existentes, para determinar si uno que no fue mitigado pudo dar origen a un nuevo riesgo. 3.3.3 Conclusión Caso de Estudio Las dos empresas estudiadas implementan diferentes metodologías. Para el caso de CompuRedes S.A implementan varias metodologías para la administración de riesgos para los activos de información. Basada en diferentes técnicas, esta empresa crea su propia metodología mediante la recopilación de procedimientos, guías, técnicas y formatos. CompuRedes S.A es una empresa muy bien estructurada que tiene implementada una excelente metodología de administración de riesgos, la cuál tiene su documentación establecida y todos los empleados son concientes de sus políticas de seguridad y de la administración de riesgos. Para el caso de C.I BANACOL S.A, esta implementando la norma ISO 27005:2008, sin embargo no está muy bien estructurado. Esta empresa no ha desarrollado formalmente una metodología para la Gestión de Riesgos independiente porque es un tema reciente y son muy pocas las empresas que lo implementan, sin embargo Banacol tiene la documentación del Sistema de Gestión de la Seguridad de la Información donde uno de sus componente es la Gestión de Riesgos. 27 Documentación ofrecida por C.I BANACOL S.A 61 A continuación se tiene un cuadro comparativo que muestra los pasos en la Gestión de Riesgos establecidos por las empresas objeto de estudio: COMPUREDES S.A C.I BANACOL S.A 1. Identificación de riesgos teniendo 1. Identificar activos relacionados con en cuenta las Tecnologías de la información de la compañía Información proporcionados al cliente. 2. Se identifican los activos críticos: 2.Clasificar activos relacionados con - Información la información - Sistemas, servicios y Tecnologías de información - Personas - Madurez organizacional del cliente - Madurez organizacional de CompuRedes S.A 3. Identificación de amenazas 3.Identificar riesgos asociados a los activos de la información 4. Cuáles activos tendrían un mayor 4. Seleccionar activos críticos impacto 5. Se desarrollan estrategias y planes 5.Establecer probabilidad de ocurrencia del riesgo 6. Monitoreo y control de riesgos 6.Establecer el impacto de la ocurrencia del evento 7. Determinar plan de manejo de riesgos 8. Implementar plan de manejo de riesgos 9.Verificación y validación de los 62 controles y medidas implementadas 10.Monitorización y seguimiento a las medidas Tabla 19. Cuadro comparativo 63 3.4 Mejores prácticas existentes en el mercado A continuación se describen otro tipo de metodologías que existen en el mercado a parte de las mencionadas anteriormente (Capítulo 3.3). 3.4.1 OCTAVE Es una metodología de planificación y consultoría estratégica para la seguridad de la información. En esta metodología todo un equipo de personas contando desde operativos o de negocios hasta los departamentos de tecnologías de información trabajan juntos teniendo en cuenta las necesidades de seguridad, lo riesgos de seguridad, las prácticas de seguridad y la tecnología. 3.4.1.1 Introducción La confidencialidad, la disponibilidad y la integridad de la información es fundamental para las empresas, sin embargo algunas de ellas se centran en las deficiencias de la infraestructura tecnológica y no tienen en cuenta los sistemas de información, generando un desequilibrio en la seguridad de la información. Esta metodología utiliza un enfoque de tres fases para visualizar el estado de la seguridad de la información de la empresa: 1. Perfil de las amenazas: primero es identificar los activos principales de la empresa, cuáles son sus amenazas y en que medida deben ser protegidos. 2. Identificar las deficiencias de la infraestructura de la información: se examinan los principales componentes de los sistemas operativos para saber sus debilidades. 3. Desarrollar planes y estrategias de protección: primero se analizan los riesgos reales de la empresa luego de haber efectuado los dos pasos anteriores, luego analizar cuál es el impacto de estos riesgos y como afecta el 64 objeto del negocio. Por último se desarrollan los planes y las estrategias contra los riesgos más importantes o que afecten la continuidad del negocio. 3.4.1.2 Características de OCTAVE  Auto- Dirección: Un equipo de la organización se encarga de analizar toda la información y administrar todo el proceso de Gestión de riesgos.  Equipo de análisis: Octave requiere de un equipo de análisis para evaluar y analizar la información. Este equipo es conformado para analizar las amenazas y riesgos de la información, reunir toda la información necesaria para su evaluación, desarrollar una estrategia de protección para la organización y desarrollar planes de contingencia frente a los riesgos asociados a los activos de información.  Enfoque basado en talleres: Se realizan talleres con el personal de varias áreas de la organización recopilando información por medio de la identificación de los activos de información más críticos de la organización, las amenazas asociadas, el estado de la seguridad de la información, actual estrategia de protección, entre otras.  Catálogos de información: Una organización que implementa OCTAVE debe considerar 3 aspectos importantes: o Catálogo de prácticas: se reúnen las buenas estrategias y prácticas de seguridad o Perfil de amenazas: una lista de amenazas que la empresa debe considerar o Catálogo de vulnerabilidades: Vulnerabilidades sobre la plataforma y las aplicaciones 3.4.1.3 Perfiles de Amenazas Los talleres antes mencionados permiten recopilar la siguiente información:  Los activos de información con su respectivo valor  Amenazas a los activos  Actual estrategia de protección  Vulnerabilidades de la organización 65 Luego de haber estudiado toda la información, se obtienen unos resultados resaltando los activos críticos de la organización y creando perfiles de amenazas para cada uno 3.4.1.4 Identificar las vulnerabilidades de la infraestructura Las vulnerabilidades son debilidades en los sistemas de información, procedimientos de seguridad, prácticas, controles internos, entre otras. Estas vulnerabilidades se agrupan en:  Diseño de la vulnerabilidad: es cuando esta inmersa en una especificación del hardware o software.  Vulnerabilidad de la aplicación: Se produce una vulnerabilidad de una aplicación de software defectuosa o una especificación del hardware.  vulnerabilidad de la configuración: es cuando una vulnerabilidad es producida por errores de administración o de configuración. En las empresas comúnmente las vulnerabilidades son ocasionadas por deficiencias en las bases tecnológicas, en los servicios de red, la arquitectura, los sistemas operativos y las aplicaciones. Para llevar a cabo una evaluación de estas vulnerabilidades se realizan las siguientes actividades:  Identificar los principales sistemas de información y sus componentes.  Evaluar las debilidades o vulnerabilidades de estos sistemas y sus componentes. Para realizar estas evaluaciones de las vulnerabilidades de los sistemas existe software utilizado por las empresas que les permiten automatizar este proceso de evaluación. Un ejemplo de este tipo de software es el Nessus que permite identificarlas y probarlas o el “McAfee Remediation Manager”, el cual “Resuelve las vulnerabilidades antes de que los exploits28 destruyan el negocio y la red. Aplica el cumplimiento de normas al corregir las violaciones a las 28 Programas que atacan las vulnerabilidades del sistema 66 políticas con la reparación automatizada de los sistemas vulnerables o fuera de cumplimiento”29 3.4.1.5 Desarrollo de estrategias de seguridad El equipo del análisis de riesgos establece prioridades basadas en el impacto que repercute en la organización. Luego de haber realizado todo este análisis, se crea un objetivo de reducción del riesgo a través de acciones como:  Aplicación de prácticas para mantener la seguridad de la información  Identificación de las vulnerabilidades En conclusión, la metodología OCTAVE se basa en la evaluación de riesgos integrando el personal de todas las áreas de la organización con el objetivo de recopilar información para tener criterios en cuanto a la planeación estratégica de la protección de la información. 3.4.2 AS/NZS 4360 Este estándar es australiano que tiene como objetivo proporcionar una guía para la implementación del proceso de la administración de riesgos, involucrando algunos pasos como el establecimiento del contexto, identificación, análisis, evaluación, tratamiento comunicación y el monitoreo de los riegos. 3.4.2.1 Establecer el contexto Establecer cuál es el contexto organizacional y estructural en donde se efectuará todo el proceso de Administración de riesgos. En este contexto se debe definir los criterios para el análisis y la evaluación de los riesgos. 29 McAfee® - enterprise - Administración de riesgos y vulnerabilidades 67 3.4.2.2 Identificar riesgos Se debe definir que criterios se van a utilizar para identificar los riesgos y como pueden surgir para un análisis posterior. 3.4.2.3 Analizar riesgos “Determinar los controles existentes y analizar riesgos en términos de consecuencias y probabilidades en el contexto de estos controles. El análisis debería considerar el rango de consecuencias potenciales y cuán probable es que ocurran esas consecuencias. Consecuencias y probabilidades pueden ser combinadas para producir un nivel estimado de riesgo.”30 3.4.2.4 Evaluar riesgos Evaluar los niveles de los riesgos para determinar las prioridades de administración. En caso de que los niveles sean bajos, los riesgos entrarían a una categoría de aceptabilidad y no se requeriría un tratamiento. 3.4.2.5 Tratar riesgos Para los altos niveles de riesgos crear controles para su tratamiento y desarrollar un plan de administración de riesgos. 3.4.2.6 Monitorear y revisar Monitorear el plan de administración de riesgos y los cambios que podrían afectarlo. 30 http://www.col.ops-oms.org/desastres/docs/gestionriesgosaustralia.pdf 68 3.4.2.7 Comunicar y consultar Comunicar los resultados a las personas (externas e internas) más interesadas de la administración de riesgos. 31 Tabla 20. Registro de riesgos según el estándar Australiano 31 http://www.col.ops-oms.org/desastres/docs/gestionriesgosaustralia.pdf 69 32 Tabla 21. Programa y plan de tratamiento de riesgos 32 http://www.col.ops-oms.org/desastres/docs/gestionriesgosaustralia.pdf 70 33 Tabla 22. Plan de acción de riesgos 3.4.3 MAGERIT Esta metodología analiza los riesgos asociados a los sistemas de información y define medidas para controlar los riesgos. Entre sus objetivos está la evaluación del impacto de una violación de la seguridad de la información en la organización. Se identifican los riesgos, las amenazas asociadas a los sistemas de información. Esto permite a la gestión de riesgos recomendar las medidas apropiadas para controlar, reducir, evitar los riesgos y así reducir los posibles perjuicios. 33 http://www.col.ops-oms.org/desastres/docs/gestionriesgosaustralia.pdf 71 Esta metodología persigue los siguientes objetivos: - Concienciar a las personas de la existencia de los riesgos y como estar atentos para prevenirlos. - Determinar una técnica para analizar dichos riesgos. - Definir medidas para mantener los riesgos bajo control. Esta gráfica muestra las fases y las actividades de la metodología MAGERIT 34 Figura 2. Fases y actividades de la metodología MAGERIT El análisis de riesgos generados por el uso de los sistemas de información determina las políticas de seguridad mediante:  Planificación de la seguridad  Implantación de salvaguardas  Seguimiento de los sistemas de seguridad 34 MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. 72 3.4.3.1 Estructura del MAGERIT  Elementos o componentes del sistema: activos, amenazas, impacto, vulnerabilidades, riesgos y salvaguardas.  Eventos: sucesos ocasionados por los componentes del sistema.  Procesos: planificación, análisis de riesgos, Gestión de riesgos y selección de salvaguardas. 3.4.4 Otras mejores prácticas 3.4.4.1 BS 7799 La norma BS 7799 es publicada en 1995 por el British Standard Institute, un código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta norma es una guía de auditoria del SGSI basada en los requisitos que deben ser cubiertos por la organización. 3.4.4.2 ISO 17799 Esta norma trata a la Gestión de la Seguridad de la Información en términos de confidencialidad, disponibilidad e integridad. La ISO 17799 se descompone en 10 dominios de control que define la Seguridad de la Información: - Política de seguridad. - Aspectos organizativos para la seguridad - Clasificación y control de activos - Seguridad ligada al personal - Seguridad física y del entorno - Gestión de comunicaciones y de operaciones - Control de accesos - Desarrollo y mantenimiento de sistemas - Gestión de continuidad del negocio - Conformidad legal 73 3.4.4.3 NTC 5254 Esta norma está basada en la norma Australiana AS /NZ 4360:1999 de Administración de Riesgos. Esta norma es un código de buenas prácticas muy implementado en Colombia, fue publicada el 31 de Mayo de 2004 por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC). Según los administradores de negocios “La Gestión de riesgos debe formar parte de la cultura organizacional…quienes gestionan el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus objetivos y hacerlo a menor costo”. Uno de los objetivos de las empresas es crear una cultura organizacional para la gestión de riesgos que permita la reducción de perjuicios y de costos. El proceso de gestión de riesgos se compone de varios elementos: Comunicación y consulta: Comunicar y consultar con todos los interesados (internos y externos) cada etapa del proceso de la gestión de riesgos. Esto se desarrolla con el objetivo de que todos los responsables de la gestión del riesgo entiendan en que se basan para la toma de decisiones. Establecer el contexto: Se define donde el proceso tomará lugar y se determinan los criterios contra los cuáles se evaluarán los riesgos y cuál será la estructura del análisis. Identificar riesgos: Identificar el qué, el por qué suceden las cosas y realizar un análisis respectivo. Analizar riesgos: Identificar los controles existentes y analizar cuáles son las consecuencias y las probabilidades en función de los riesgos y determinar como dichas consecuencias pueden ocurrir. Al final el resultado será un nivel de riesgo estimado. 74 Evaluación de riesgos: Analizar los niveles de riesgos estimados para establecer prioridades de los riesgos para proceder a su administración. Tratamiento de riesgos: Desarrollar un plan de administración de riesgos por medio de controles para reducir las pérdidas potenciales. Monitoreo y revisión: Monitorear y revisar el desempeño de la administración de los riesgos, como ha sido el tratamiento de estos y que cambios podrían afectar dicho tratamiento. Este estándar puede ser implementado en todo tipo de organización, desde entidades gubernamentales hasta fundaciones y hospitales. 3.4.5 Análisis de las normas existentes en el mercado Existe una gran variedad de metodologías, unas con reconocimiento internacional, todas con enfoques diferentes pero valiosos . Estas metodologías de análisis de riesgo se parecen, pero cada una tiene sus particularidades y es trabajo de cada empresa saber utilizarlas según sus objetivos de seguridad y sacar lo mejor de ellas. Las mejores prácticas las hace la empresa, dependiendo de los objetivos de seguridad, de los controles que se deseen aplicar, de las personas de la empresa y de muchas cosas más. Las empresas deben hacer sus estudios para determinar cual se acerca más a su cultura organizacional y procesos corporativos de gestión de riesgos, este trabajo puede ser una fuente de consulta inicial para realizar esta labor. 75 3.5 APLICABILIDAD DE LA NORMA ISO 27005:2008 EN COLOMBIA La norma ISO 27005:2008 es aplicable a todo tipo de organización porque el aseguramiento de la información es la base sobre la que se construye la toma de decisiones. Hoy en día las organizaciones protegen su información para: - El aseguramiento de los datos: Los datos por sí solos no son de gran importancia, pero el conjunto de ellos se pueden transformar en información, la cuál evoluciona en conocimiento permitiendo la toma de decisiones. - Aseguramiento de los procesos: Se establecen controles internos y procedimientos. Los procesos son una parte fundamental de las organizaciones, esto permite tener un control de las actividades del negocio. - Aseguramiento del comportamiento: Tener presente la conformidad legal y siempre seguir los procedimientos según lo dicta la ley y las regulaciones gubernamentales. Nota: Esta norma no ha sido implementada en ninguna organización en Colombia porque esta se publicó en Junio de 2008 y hay muchas compañías que no saben de su existencia y las que la conocen están estudiando la posibilidad de implementarla. Sin embargo, según lo investigado es de saberse que la norma ISO 27005:2008 es muy aplicable a todo tipo de organización, porque esta permite tener una visión amplia acerca del análisis y evaluación de riesgos y calcula que impacto puede haber en los activos de información de una organización. 76 3.5 PROPUESTA DE PROCEDIMIENTOS, GUÍAS, FORMATOS, METODOLOGÍAS PARA LA GESTIÓN DE RIESGOS 3.5.1 Políticas de seguridad Las políticas de seguridad son directrices de una empresa relativas a la seguridad. Estas deben estar aprobadas por la alta dirección. Algunas empresas establecen políticas de seguridades extensas y difíciles de entender, pero hay otras que son muy cortas y no se entiende su significado. Se sugiere que el documento de las políticas de seguridad atraiga la atención del personal de la empresa para que se hagan efectivas. Para la elaboración de una política se tiene en cuenta las siguientes fases: 1. Creación de una política: Para crear una política de seguridad se identifica por qué se necesita la política, se determina su alcance (hasta que punto va a llegar o ser factible su implementación), definir las responsabilidades de la aplicación de la política, pero lo más importante es garantizar la factibilidad de su implementación. Para definir una política se hacen una investigación de los requisitos necesarios para crearla, es decir, el responsable en dar la aprobación, que formato se utiliza para su redacción, etc. 2. Revisión: Luego de crear la política, esta se remite a un equipo especializado para la revisión antes de su aprobación final. En caso de que esta necesite un cambio, la persona responsable de esta política debe realizar las correcciones pertinentes. 3. Aprobación: Se procede con la solicitud de aprobación de la política a la persona o directivo responsable de este proceso. Luego se firma la aprobación y se inicia la fase de implementación 77 5. Comunicación: La política luego de ser aprobada inicia la fase de implementación. En esta fase lo más importante es la difusión de la política, esta se transmite a todo el personal de la empresa. 6. Cumplimiento: Asegurar que todos los miembros de la empresa entiendan la política y como efectuar su implementación. 7. Excepciones: En algunas ocasiones la política no es utilizada por algunos miembros de la empresa. En este caso puede ser por falta de personal, por problemas de coordinación, etc. 8. Concienciación: Las personas de la empresa deben estar concientes de la política y como implementarla y en caso de que no sea así, cuáles serían los efectos de su no cumplimiento. 9. Monitoreo: Se realiza un seguimiento y un reporte del cumplimiento de la política. Se reporta la efectividad del cumplimiento de la política y en caso contrario llevar un registro de las deficiencias encontradas. 10. Mantenimiento: Asegurar que la política esté actualizada. Las políticas necesitan actualización porque a través del tiempo pueden aparecer algunos cambios como los cambios tecnológicos, objetivos, desarrollo de algunos procesos, etc. 11. Retiro: Retirar la política cuando no se necesite más. Cuando cambia la tecnología algunas políticas deben cambiar también y otras deben ser retiradas. 3.5.1.1 Procedimiento para la creación de una política Para la creación de las políticas se tienen en cuenta 12 aspectos:  Enunciar la política: explicar que es lo que se desea regular.  Nombre y cargo del individuo que aprueba la política. 78  Nombre del área o autor que propone la política.  Especificar a quien está dirigida la política y quien es el responsable de garantizar su cumplimiento.  Indicadores para saber si se cumple o no la política.  Relación con otras políticas.  Enunciar si la política tiene alguna excepción para realizar su solicitud.  Describir los pasos para solicitar un cambio en la política o una actualización.  Explicar que acciones se tomarán en caso de quebrantar la política.  Fecha de vigencia de la política.  Fecha de caducidad de la política.  Incluir los datos de la persona o personas que pueden contactar en caso de sugerencias o preguntas. 35 3.5.2 Identificación de riesgos Para una eficiente gestión de riesgos a que están expuestos todos los procesos de la organización, se debe empezar por la identificación de los activos de información y que riesgos están asociados a ellos. Entre los métodos más empleados para identificar los riesgos son:  Listas de chequeo  Lluvia de ideas  Juicio basado en la experiencia y en registros  Diagramas de flujo  Otros 35 http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf 79 En el trabajo de grado se encuentran unos anexos, en los cuáles está el formato del inventario de sistemas de información. Allí se especifica el inventario de Hardware, Software y Aplicaciones. Este formato está compuesto por las siguientes partes: Para el inventario de Hardware:  Código: Es una identificación única del riesgo  Descripción: Una breve descripción del activo (que tiene asociado el riesgo)  Serial: del activo  Marca: del activo  Responsable: quien es el encargado del activo  Ubicación: en que lugar, ciudad o país está ubicado el activo  Confidencialidad: Esta compuesto por tres criterios: o Bajo: Revelar información a personal no autorizado tendrá un impacto limitado en la organización o Medio: Revelar información a personal no autorizado tendrá un impacto serio en la organización o Alto: Revelar información a personal no autorizado tendrá un impacto severo en la organización  Integridad: Compuesto por tres criterios: o Bajo: La modificación o destrucción de la información tendrá un impacto limitado en la operación de la organización o Medio: La modificación o destrucción de la información tendrá un impacto serio en la operación de la organización o Alto: La modificación o destrucción de la información tendrá un impacto severo en la operación de la organización  Disponibilidad: Compuesto por tres criterios: o Bajo: La interrupción en el acceso a la información tendrá un impacto limitado en la operación del negocio o Medio: La interrupción en el acceso a la información tendrá un impacto serio en la operación del negocio 80 o Alto: La interrupción en el acceso a la información tendrá un impacto severo en la operación del negocio  Fecha de compra: Que día, año y mes se compró el hardware  Proveedor: a que proveedor se le compró el hardware  Riesgos: que riesgos tiene asociado el activo (estos riesgos se pueden listar según los métodos expuestos anteriormente)  Observaciones: En caso de que el responsable del inventario requiere hacer alguna observación del riesgo o del activo Para el inventario de Software:  Código: Es la identificación del riesgo  Nombre: del activo (software)  Desarrollado /Comprado: Si el software fue comprado a un proveedor o si fue desarrollado por la misma empresa  Proveedor: En caso de que el software haya sido comprado, describir a que proveedor se le compró  Responsable: Encargado del software  Ubicación: en que lugar, ciudad o país está ubicado el activo  Licencias: Licencia (autorización de uso) del software  Fecha de vencimiento: Cuando es la caducidad del software  Usuarios: Que usuario van a utilizar el software  Confidencialidad: Esta compuesto por tres criterios: o Bajo: Revelar información a personal no autorizado tendrá un impacto limitado en la organización o Medio: Revelar información a personal no autorizado tendrá un impacto serio en la organización o Alto: Revelar información a personal no autorizado tendrá un impacto severo en la organización  Integridad: Compuesto por tres criterios: o Bajo: La modificación o destrucción de la información tendrá un impacto limitado en la operación de la organización o Medio: La modificación o destrucción de la información tendrá un impacto serio en la operación de la organización 81 o Alto: La modificación o destrucción de la información tendrá un impacto severo en la operación de la organización  Disponibilidad: Compuesto por tres criterios: o Bajo: La interrupción en el acceso a la información tendrá un impacto limitado en la operación del negocio o Medio: La interrupción en el acceso a la información tendrá un impacto serio en la operación del negocio o Alto: La interrupción en el acceso a la información tendrá un impacto severo en la operación del negocio  Riesgos: que riesgos tiene asociado el activo (estos riesgos se pueden listar según los métodos expuestos anteriormente)  Observaciones: En caso de que el responsable del inventario requiere hacer alguna observación del riesgo o del activo Para el inventario de Aplicaciones:  Código: Es la identificación del riesgo  Nombre: del activo (Aplicación)  Características: De la aplicación  Desarrollado /Comprado: Si la aplicación fue comprado a un proveedor o si fue desarrollado por la misma empresa  Proveedor: En caso de que la aplicación haya sido comprado, describir a que proveedor se le compró  Responsable: Encargado de la aplicación  Ubicación: en que lugar, ciudad o país está ubicado el activo  Sistemas con lo que relaciona: Sistemas con los que interactúa  Usuarios: Que usuario van a utilizar el software  Confidencialidad: Esta compuesto por tres criterios: o Bajo: Revelar información a personal no autorizado tendrá un impacto limitado en la organización o Medio: Revelar información a personal no autorizado tendrá un impacto serio en la organización o Alto: Revelar información a personal no autorizado tendrá un impacto severo en la organización 82  Integridad: Compuesto por tres criterios: o Bajo: La modificación o destrucción de la información tendrá un impacto limitado en la operación de la organización o Medio: La modificación o destrucción de la información tendrá un impacto serio en la operación de la organización o Alto: La modificación o destrucción de la información tendrá un impacto severo en la operación de la organización  Disponibilidad: Compuesto por tres criterios: o Bajo: La interrupción en el acceso a la información tendrá un impacto limitado en la operación del negocio o Medio: La interrupción en el acceso a la información tendrá un impacto serio en la operación del negocio o Alto: La interrupción en el acceso a la información tendrá un impacto severo en la operación del negocio  Riesgos: que riesgos tiene asociado el activo (estos riesgos se pueden listar según los métodos expuestos anteriormente)  Observaciones: En caso de que el responsable del inventario requiere hacer alguna observación del riesgo o del activo 3.5.3 Identificación de activos críticos Para identificar los activos crítico, se determinan las vulnerabilidades asociadas a los activos. Un ejemplo de que tipo de vulnerabilidades que existen hoy en día:  “Vulnerabilidades de software: errores de aplicaciones, errores de sistemas operativos, rutinas de acceso no autorizados, servicios no autorizados  Vulnerabilidades de hardware: inapropiada operación, fallas en mantenimiento, inadecuada seguridad física, falta de protección contra desastres naturales  Vulnerabilidades de datos: inadecuados controles de acceso a personal no autorizado 83  Vulnerabilidades administrativas: ausencia de políticas de seguridad, ausencia de cultura de seguridad, ausencia de procedimientos, falta de educación y entrenamiento en seguridad  Vulnerabilidades de comunicaciones: inadecuados controles de acceso a la red, inadecuados mecanismos para prevenir fallas en comunicaciones  Vulnerabilidades de personal (empleados): inadecuados controles de acceso físico, inadecuados controles de acceso lógico”36 Luego de identificar las vulnerabilidades se determinan los activos más críticos para definir los controles a implementar 3.5.4 Identificación de amenazas Las amenazas pueden obtenerse a partir de incidentes pasados (históricos), responsables de activos, usuarios, especialistas de seguridad, estadísticas, catálogos de amenazas, etc. Ejemplos de amenazas “Clasifican las amenazas en las siguientes categorías: 1. Vulnerabilidades en el software que utilizamos, ni que decir tiene que hay que mantener todo el software actualizado continuamente para evitar que alguien aproveche esa deficiencia para darnos un disgusto 2. Ataques directos de la competencia, clientes insatisfechos y trabajadores descontentos. En el ámbito de la pyme pienso que el último aspecto es el que realmente tenemos que vigilar 3. Malware: Aquí encontramos a los virus, gusanos y troyanos. Estos últimos son programas que intentan tomar el control de nuestro ordenador 4. Ataques DOS: ataque que hace que se venga abajo algún servicio que utiliza el usuario 5. Spam, todos conocemos los llamados correos basura 36 http://www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/pamplona.doc 84 6. Spyware, pequeños programas que recopilan información de nuestros hábitos en internet 7. Contenidos inapropiados o ilegales, aquí lo consideran como fuente de amenazas, esto lo dejo a vuestra opinión 8. Fishing y vishing, suplantación de páginas web, voip y redes sociales 9. Sniffers y acceso a redes wifi inseguras: con un programa llamado sniffer, alguien puede ver nuestro tráifico mientras estamos conectados a una wifi no segura 10. Páginas web con código malicioso donde aprovechando la inocencia del usuario, o agujeros de seguridad de los navegadores, alguien puede colocarnos desde troyanos a virus 11. Ataques a contraseñas: un ataque de fuerza bruta consiste en ir probado todas las combinaciones posibles, de hay la recomendación de utilizar mayúsculas, minúsculas y númeos Tal vez no estén aquí todas las posibles amenazas, pero son bastantes y nos pueden dar una idea de el cuidado que debemos tener con el uso que se le de a los PCs de nuestra empresa y por supuesto, poner las medidas necesarias para evitar todos los riesgos aquí expuestos”.37 La amenaza se identifica a partir de la determinación de las vulnerabilidades, es decir, un evento de amenaza ocurre luego de que explote una o más vulnerabilidades del sistema. 3.5.5 Identificación del impacto El impacto es el efecto que causa la ocurrencia de un incidente. Esto depende de la sensibilidad de los activos y las vulnerabilidades identificadas. 3.5.6 Evaluación de riesgos 37 Amenazas de Seguridad sobre nuestros PCs. http://www.tecnologiapyme.com/recursos/amenzas-de-seguridad-sobre-nuestros-pcs 85 Para esta evaluación de riesgos se utiliza una matriz de riesgos que indica cuál es la probabilidad de ocurrencia y cuál es su impacto en la operación de la organización. La matriz de Probabilidad vs. El Impacto muestra el si el nivel de riesgo es Bajo, Medio o Alto, tal y como se muestra la figura. CALCULO Probabilidad vs. Impacto Alto 3 Impacto Medio 2 Bajo 1 Alto 3 Probabilidad Medio 2 Bajo 1 RIESGO Bajo Medio Alto Alta 3 6 9 Media 2 4 6 Baja 1 2 3 Bajo Medio Alto IMPACTO Figura 3. Matriz Probabilidad vs. Impacto La probabilidad de ocurrencia es que la frecuencia en el que el riesgo se materializa. El cálculo del nivel del riesgo es de la siguiente manera:  Si la probabilidad es baja y el impacto es bajo, el nivel del riesgo es bajo.  Si la probabilidad es baja y el impacto medio, el nivel del riesgo es bajo 86 PROBABILIDAD  Si la probabilidad es baja y el impacto alto, el nivel del riesgo es medio  Si la probabilidad es medio y el impacto bajo, el nivel del riesgo es bajo  Si la probabilidad es medio y el impacto medio, el nivel del riesgo es medio  Si la probabilidad es medio y el impacto alto, el nivel del riesgo es alto  Si la probabilidad es alta y el impacto medio, el nivel del riesgo es medio  Si la probabilidad es alta y el impacto medio, el nivel del riesgo es alta  Si la probabilidad es alta y el impacto medio, el nivel del riesgo es alta Es necesario utilizar esta matriz para ubicar cada escenario para los activos, porque cada puede tener riesgos diferentes. La organización puede utilizar este formato para calcular el nivel del riesgo de cada activo. En caso de que no requiere la utilización de esta matriz, la organización puede diseñar su propia matriz de riesgos. Este formato es una guía para que la empresa tenga una visión amplia acerca de los niveles de riesgos y pueda efectuar su análisis. Anexo 1. ANEXOS\Probabilidad Vs Impacto.xls 3.5.7 Tratamiento de riesgos Para el tratamiento de riesgos se implementan alguna de estas opciones:  Reducción: Se reduce el riesgo por medio de la implementación de controles para que el riesgo llegue a un nivel aceptable.  Evasión: Se evitan los riesgos cuando son identificados como riesgos altos o los costos de implementar otra opción de tratamiento son muy altos. Para esto se sugiere eliminar la actividad que genera el riesgo.  Transferencia: Se transfieren los riesgos a terceras partes (Ejemplo: Aseguradoras). Las organizaciones tienen estas tres opciones para tratar sus riesgos. Este trabajo tiene un formato que les sugiere como organizar los niveles del 87 riesgo, su prioridad, su impacto y dependiendo de eso como determinar un tratamiento adecuado. Anexo 2. ANEXOS\Probabilidad Vs Impacto.xls 3.5.8. Monitoreo y control Luego de haber definido el tratamiento de riesgos, se deben determinar los riesgos residuales. Esto se logra actualizando y realizando una iteración del análisis y evaluación de riesgos según los controles implementados. En caso de que los riesgos residuales persistan, se debe reconsiderar el tratamiento de riesgos. Después de haber obtenido la información de las actividades de gestión de riesgo, se hace la respectiva monitorización y revisión para mejorar el proceso de gestión de riesgos. 3.5.9 Documentación Este paso es muy importante para la ejecución de todo el proceso. Este requiere una documentación en cada una de las fases, tratando de recopilar toda la información de las actividades realizadas para tener un control y poder hacer un seguimiento de todo el proceso. 88 4. CONCLUSIONES Se analizó el estado de las normas ISO 27000 en Colombia logrando obtener el número de empresas certificadas por organismos internacionales y el ICONTEC. Se realizó una investigación de las tendencias en seguridad informática en Colombia en el año 2008. Se describieron las normas que actúan como componentes de la norma ISO 27001, con el fin de que las organizaciones tuvieran diferentes opciones para tomar decisiones de acuerdo a sus necesidades. Se realizó un estudio de las metodologías que implementan dos empresas (C.I BANACOL S.A y CompuRedes S.a) en Medellín para estudiar su aplicabilidad. Se establecieron los pasos adecuados para implementar una política de seguridad en las organizaciones para cumplir con los objetivos de seguridad. Se propone un procedimiento a través de la norma ISO 27005:2008 para identificar los riesgos asociados a los activos de información calculando el valor de cada riesgo y proceder a evaluar su nivel para implementar el tratamiento más adecuado. 89 5. RECOMENDACIONES La investigación para este trabajo de grado fue muy gratificante porque se pudo conocer como operaban algunas empresas en el tema de la seguridad de información y se observó que en las empresas colombianas no está muy implementado este tema. Esta razón dio pie a realizar esta investigación y hacer una propuesta metodológica para la implementación de un sistema de gestión de riesgos. Para proyectos futuros es recomendable investigar mucho el tema, aprender de los expertos y sobre todo, siempre tratar de buscar una solución a un problema o necesidad. 90 7. BIBLIOGRAFÍA -Revista COMPUTERWORLD. “Tendencias en seguridad de la información. Edición Octubre 2008 -Tesis elaborada por dos estudiantes de la EIA. “ Sistema de Gestión de Incidentes de Seguridad basado en la norma ISO 17799:2005 aplicado a las pequeñas y medianas empresas de Colombia orientado a Sistemas Operativo Linux y Windows”. Elaborado en el 2006. Adrián Palma, CISSP, CISA, CISM, ISO 27001 Presidente de la ALAPSI Internacional - CSIC. Amenazas Deliberadas a la Seguridad de la Información http://www.iec.csic.es/criptonomicon/seguridad/amenazas.html. España - Jerson Viveros Aguirre. Fundamentos para el Desarrollo de un Sistema de Gestión de la Seguridad de la Información. http://64.233.169.104/search?q=cache:Nl_4sifeIpAJ:www.univalle.edu.co/~telec omunicaciones/trabajos_de_grado/anteproyectos/anteproyecto_JersonViveros. pdf+estrategia+en+las+empresas+para+proteger+su+informacion&hl=es&ct=cl nk&cd=6&gl=co. Cali - Novasoft. Objetivos de la Gestión de Riesgos para la Seguridad de la Información. http://74.125.45.132/search?q=cache:hCPCxKaOt- wJ:www.novasoft.es/docroot/novasoft/files/Presentacionseguridad.pdf+objetivo s+de+la+Gestion+de+Riesgos+para+la+Seguridad+Informatica&hl=es&ct=clnk &cd=28&gl=co. España - “Colombia tiene que mejorar en seguridad informática”. Artículo de la revista Dinero. http://www.dinero.com/noticias-telecomunicaciones/colombia-tiene- mejorar-seguridad-informatica/50693.aspx 91 -“Gestión de la Seguridad de la Información”. Autor: Audea. http://www.degerencia.com/articulo/gestion_de_la_seguridad_de_la_informacio n - http://www.sg6.es/labs/docs/sg6.doc.xtrelan.02.pdf - Gestión de Riesgos de Australia. http://www.col.ops- oms.org/desastres/docs/gestionriesgosaustralia.pdf - MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. http://www.coit.es/publicac/publbit/bit128/bitcd1/legisla/pg5m21.htm. Madrid - INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA). 2006 http://www.isaca.org/. - Amenazas de Seguridad sobre nuestros PCs. http://www.tecnologiapyme.com/recursos/amenzas-de-seguridad-sobre- nuestros-pcs - 92