UNIVERSIDAD FACULTAD DE INGENIERÍA Y ARQUITECTURA AUDITORIA DE SISTEMAS DE INFORMACION
TEMA: “AUDITORIA IMPLEMENTANDO LA NORMA ISO/IEC 27002 ”
1
Tabla de contenido Resumen Resumen ............................................................................................................................ 4 Introducci Introducción ón ...................................................................................................................... 5
1. Presentación de proyecto de catedra....................................................... 6 Introducci Introducción ón ...................................................................................................................... 7 1.1.
Planteami Planteamiento ento del problema problema ................................................................................... 7
1.1.1.
Descripci Descripción ón del problema problema ................................................................................. 7
1.1.2.
Formulació Formulación n del problema................................................................................ problema................................................................................ 8
1.2.
Justificac Justificación ión ............................................................................................................. 8
1.3.
Objetivos Objetivos ................................................................................................................. 9
1.3.1.
Objetivo Objetivo general general ............................................................................................... 9
1.3.2.
Objetivos Objetivos específicos específicos ........................................................................................ 9
1.4.
Alcances Alcances .................................................................................................................. 9
1.5.
Limites................................................................................................................... Limites................................................................................................................... 10
1.6.
Instrumen Instrumentos tos de recolección recolección de informació información......................................................... n......................................................... 10
2. Marco referencial ............................................................................................ 11 Introducci Introducción ón .................................................................................................................... 12 2.1.
Marco conceptual conceptual ................................................................................................. 12
2.2.
Marco teórico teórico ........................................................................................................ 13
2.3.
Marco contextual contextual .................................................................................................. 16
3. Análisis de Riesgos Asociados Asociados a las TI en la empresa AVX Industries El Salvador. ........................................................................................... 18 Introducci Introducción ón .................................................................................................................... 19 3.1.
Identificación y clasificación de las computadoras ............ ...... ............. ............. ............ ........... ........... ............ ........ 19
3.2.
Identificación de salvaguardas aplicadas a los activos......... activos... ............. ............. ............ ........... ........... ........... ..... 22
3.3.
Determinación de vulnerabilidades y amenazas asociadas a los activos ............ ...... .......... .... 22
3.4.
Determina Determinación ción del riesgo ...................................................................................... 24
4. Evaluación de cumplimiento cumplimiento de los los controles controles de la la Norma .............................................................................................. 30 ISO/IEC 27002:2013. .............................................................................................. Introducci Introducción ón .................................................................................................................... 31 2
4.1.
Elaboración del checklist en base a la norma 27002:2013 ............ ...... ............ ............ ............ ............ ........ 31
4.2.
Evaluación de cumplimiento de los los controles de la norma ISO/IEC 27002:2013 .... 31
4.3.
Relación de Fichas de no Conformidad y recomendaciones. ............ ...... ............ ............ ............. .......... ... 37
4.4.
Presentacio Presentacion n de resultad resultados os ................................................................................... 40
5. Recomendaciones Recomendaciones a la Empresa AVX Industries Industries El Salvador. ....... 42 Introducci Introducción ón .................................................................................................................... 43 5.1.
Políticas Políticas de Seguridad Seguridad de la la Información Información ............................................................... 43
5.1.1.
Gestión Gestión de activos activos .......................................................................................... 43
5.1.2.
Seguridad Seguridad física física y ambiental ambiental ........................................................................... 43
6.
Conclusio Conclusiones nes ............................................................................................................. 44
7.
Recomenda Recomendacione cioness ..................................................................................................... 44
8.
Cronogra Cronograma ma de actividade actividadess ....................................................................................... 46
3
Resumen Este proyecto con fines académicos efectuado en la empresa AVX Industries El Salvador., una empresa del sector tecnológico, tuvo como fin la realización de una auditoria en seguridad de la información con la cual se pudo identificar los riesgos a los que se encuentran expuestos las computadoras del área de Soldadura Láser, a causa de factores humanos, ambientales, internos, externos, deliberados e involuntarios, entre otros. Este proceso de identificación de riesgos se realizó mediante el método de observación y herramientas de recolección de información como el checklist, para identificar los controles o medidas existentes desplegados por la empresa para proteger la información, a partir de estos métodos se pudo identificar los activos de información, sus vulnerabilidades y las amenazas bajo las cuales se encontraban expuestos. A través de la auditoria se pudo evaluar el grado de cumplimiento de la empresa en base a los controles de la norma ISO/IEC 27002:2013, mediante la aplicación de un checklist en el cual se abordaron algunos controles establecidos, específicamente los dominios: gestión de activos, seguridad física y ambiental.
4
Introducción En la actualidad, los sistemas de información apoyan en gran medida la actividad productiva en las empresas; incluso, la propia información y el acceso a la misma. Por ello, la gestión de la información no sigue siendo concebida como el resultado de un accionar para preservar los otros activos de la empresa, sino que se ha transformado en un condicionante estratégico para operar. Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la Seguridad de la Información y de las redes de datos en empresas y Organizaciones, cualquiera que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen estructuras empresariales que requieren que estos temas sean analizados con una estrategia diferente, ya sea por la criticidad de la información que manejan, su dimensión o su estructura empresarial. Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y confidencialidad de la información y evaluarlos periódicamente con el o bjeto de evidenciar su nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria de seguridad de la información con la cual, se podrá determinar las vulnerabilidades del sistema y en base a estos resultados los encargados podrán tomar decisiones y establecer las mejores medidas para dar solución a los inconvenientes de seguridad. De esta manera, en el presente documento se dará a conocer el desarrollo de las distintas actividades realizadas en la ejecución de la respectiva auditoria en seguridad de la información en la empresa AVX Industries El Salvador. Este documento se encuentra estructurado en cinco capítulos los cuales contienen los siguientes temas respectivamente: la descripción del proyecto, un marco referencial donde se presenta una breve definición de los diferentes términos utilizados, el análisis de riesgos asociados a los activos de información en la empresa caso de estudio, la evaluación de cumplimiento de los controles de la Norma ISO/IEC 27002:2013 y por ultimo las recomendaciones.
5
1.
Presentación de proyecto de catedra.
6
Introducción En el presente capítulo se hablará acerca de las características principales del proyecto de catedra, realizado en la empresa AVX Industries El Salvador, a través del Departamento de Reparación y Mantenimiento, en el áreas de Soldadura Láser, que tuvo como objeto la realización de una auditoria en seguridad de la información con el fin de identificar los riesgos a los que se encuentra expuestos los activos de información del área antes descrita, y posteriormente generar estrategias que que permitieran mitigar en gran medida esos niveles de riesgo.
1.1. Planteamiento del problema 1.1.1. Descripción del problema La información es uno de los activos más valiosos que poseen las organizaciones y por ello las tecnologías de la información y la comunicación se han convertido en una herramienta imprescindible para realizar cualquier actividad económica, así como un factor clave para mejorar su productividad. Como consecuencia de su uso, las organizaciones se enfrenten a múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de información y comunicación. A su vez, internamente, se viven situaciones que podrían afectar la seguridad por descuidos internos, falta de procedimientos, un software mal configurado o la falta de políticas de seguridad. A esto se le suma la posible inexperiencia, falta de conocimiento o capacitación del administrador de los equipos, que en muchos casos conlleva a realizar actividades no planeadas que pueden afectar la operación diaria de los distintos sistemas. Teniendo en cuenta la importancia que la información representa para las organizaciones, es necesario administrar sus riesgos con procesos y tecnologías adecuadas que permitan salvaguardarla y garantizar su respectiva disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad. Como podemos ver el papel de la seguridad es importante y trascendente para garantizar la operación diaria y para controlar los procesos de las organizaciones, las cuales, hoy en 7
día están optando por hacer uso de estándares estándares de seguridad de la información, como lo es la norma ISO 27002 una de las normas más utilizadas por las organizaciones. Teniendo como referencia lo mencionado anteriormente y según visitas previas en donde se evidenció que la organización caso de estudio no realiza periódicamente peri ódicamente auditorias en TI que le permita identificar los distintos riesgos a los que están expuestos continuamente sus activos. Se pretende realizar una auditoria TI que permita identificar los activos con que cuenta el área donde se realizara la auditoria, las amenazas a que están expuestos y posteriormente, se harán las recomendaciones pertinentes que permitan salvaguardar la información y la infraestructura de de TI de la organización. o rganización.
1.1.2. Formulación del problema ¿De qué forma el departamento de Reparación y Mantenimiento mejorara sus procesos para salvaguardar la información y la infraestructura TI del área de Soldadura Laser utilizando como herramienta la auditoria?
1.2. Justificación Actualmente, la seguridad de la información se ha convertido en el mayor soporte para todas las empresas y esto se ha generado como consecuencia de las constantes amenazas como lo son los sucesos naturales, accidentales e intencionales a los que están expuestos continuamente los activos de las organizaciones. Por ello, es fundamental que las empresas realicen periódicamente un estudio de riesgos basado en una metodología que permita identificar claramente los activos, las amenazas y las salvaguardas que poseen, para posteriormente diseñar estrategias que permitan el buen funcionamiento del negocio. Es por eso, que en este proceso se realizará una auditoria en seguridad de la información e infraestructura de de TI basada en la norma ISO/IEC 27002:2013 en la empresa AVX Industries El Salvador la cual tiene el propósito de identificar los puntos débiles y a partir de ellos establecer medidas que mitiguen los riesgos a que está expuesta la información.
8
En base a lo anterior, la empresa siendo una entidad privada que produce dispositivos electrónicos como son los capacitores de tecnología SMD, que cumplen con estándares internacionales requeridos por clientes de la industria automotriz, telecomunicaciones y aeroespacial. El área de Soldadura Laser con un volumen de producción semanal de 80 millones de unidades y eficiencia de producción del 97% es primordial que se realice realice un estudio de seguridad en el cual se identifiquen los posibles riesgos derivados del uso de las Tecnologías de La información y la Comunicación y de esta forma establecer medidas que permitan proteger los activos, especialmente los involucrados en los procesos de producción con el fin de no poner en peligro las metas de producción semanal de dicha área.
1.3. Objetivos 1.3.1. Objetivo general Realizar una auditoría de Seguridad de la información basada en las normas ISO/IEC 27000:2013 al área de Soldadura Laser de la empresa AVX Industries El Salvador.
1.3.2. Objetivos específicos -
Planificar las distintas actividades que permitan realizar el proceso de auditoría.
-
Desarrollar la auditoria apoyada en una herramienta de recolección de datos.
-
Informar a los miembros encargados del área de los hallazgos obtenidos en el proceso de la auditoria.
-
Presentar mejoras al área en cuanto a la seguridad de la información teniendo en cuenta los hallazgos obtenidos.
1.4.
Alcances
La auditoría se realizará en el periodo del 21 de octubre al 24 de noviembre de 2018 -
Se realizará una entrevista e inspección del área a auditar con el especialista encargado. Temas a abarcar: 9
1. Gestión de las computadoras en el área de Soldadura Laser. 2. Seguridad física y ambiental en el sistema de energía ininterrumpida y computadoras.
1.5. Limites -
La presenta auditoria solo abarca un área en específico dentro de la organización que es el área de Soldadura Laser.
-
Las recomendaciones serán solo para el área de Soldadura Laser.
1.6. Instrumentos de recolección de información Los instrumentos para recopilar la información son los siguientes: El Checklist y el cuestionario, herramientas que permiten identificar los controles existentes y su nivel de eficiencia, están compuestos por un conjunto sistemático de preguntas que van dirigidas principalmente al personal encargado de reparación y mantenimiento asignados al área de Soldadura Laser. Otro de los métodos a utilizar en este proceso práctico son las entrevistas y la observación que tienen como objeto recopilar aquella información que no es posible obtener a través de los cuestionarios y checklist.
10
2. Marco referencial
11
Introducción En este capítulo se describen las distintas teorías y conceptos relacionados con la seguridad de la Información y datos relevantes de la Empresa caso de estudio con el objeto de permitir al lector familiarizarse con los temas tratados en los próximos capítulos y contextualizarse en el ámbito de ejecución de este proyecto.
2.1. Marco conceptual Auditoria se define como “un proceso de apoyo estratégico a la organización a través del
cual es posible medir, revisar y evaluar el nivel de cumplimiento y desempeño de eventos, procedimientos, actividades u objetos que se aborden.”
Las auditorías se pueden realizar haciendo uso de la Norma ISO 27002 que contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).Ésta normativa hace parte de la ISO 27000.Ésta última está compuesta por una serie de estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO), la cual, es reconocida por ser una entidad no gubernamental que promueve el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico, y la Comisión Electrotécnica Internacional (IEC), que se caracteriza por ser la organización líder a nivel mundial encargada de preparar y publicar Normas Internacionales para todas las tecnologías eléctricas, electrónicas y afines. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
12
2.2. Marco teórico Activos. Son los recursos que forman parte del sistema de la empresa como el hardware, software, datos, infraestructura y personas. Amenaza. Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información. Backup. Es un duplicado o copia que se le hace a la información contenida en discos duros, memorias USB, bases de datos, etc., y que es de gran importancia para su propietario . Controles. Son todos aquellos mecanismos desplegados con el fin de garantizar que los distintos procesos se realicen correctamente. Disponibilidad. Característica de los activos que implica el acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran. Ficha de no conformidades. Es un formato donde se establecen los aspectos que no cumplen con los criterios establecidos en las normas. Información. Es el conjunto de datos, añadidos, procesados y relacionados, de manera que pueden dar pauta a la correcta toma de decisiones según el fin previsto. Integridad.
13
Cualidad de los activos de información donde se asegura que la información y s us métodos de proceso se mantengan exactos y completos. Mantenimiento correctivo. Es el proceso mediante el cual se realizan las correcciones de las averías o fallas, de un equipo de cómputo, cuando éstas se presentan. Mantenimiento preventivo. Es el conjunto de actividades que se desarrollan con el objeto de proteger los equipos de posibles fallas, utilizando métodos de limpieza física y también métodos basados en el uso de Software. Riesgo. Se refiere a la incertidumbre o probabilidad de que ocurra o se realice una eventualidad, la cual puede estar prevista. Salvaguarda. Son todos aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Norma ISO/IEC 27000. Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014). A continuación, se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas.
14
Tabla 1: Normativa ISO/IEC 27000. Norma
Descripción
ISO/IEC
Esta Norma Internacional proporciona una visión general de los sistemas de ISO 27000
gestión de seguridad de la información, y los términos y definiciones de uso común en la familia de normas de SGSI. Esta norma es aplicable a todo tipo y tamaño de organización (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin ánimo de lucro Especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar los sistemas de gestión de seguridad de la
ISO
información (SGSI) formalizado dentro del contexto de los riesgos globales
27001
de negocio de la organización. Especifica los requisitos para la aplicación de los controles de seguridad de la información adaptados a las necesidades de las organizaciones o partes de las mismas. Proporciona una lista de objetivos de control comúnmente aceptados y las
ISO
mejores prácticas para ser utilizadas como una guía de implementación en
27002
la selección y la aplicación de controles para lograr la seguridad de la información
ISO 27003
Proporciona una guía práctica de implementación y proporciona más información para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI según ISO / IEC 27001 Proporciona orientación y asesoramiento sobre el desarrollo y uso de las
ISO
mediciones con el fin de evaluar la eficacia del SGSI, los objetivos de control
27004
y controles utilizados para implementar y administrar la seguridad de la información, tal como se especifica en la norma ISO / IEC 27001.
15
ISO 27005
Proporciona directrices para la gestión de riesgos de seguridad de la información. El método descrito en esta norma es compatible con los conceptos generales especificados en la norma ISO / IEC 27001. Especifica los requisitos y proporciona una guía para los organismos que
ISO 27006
realizan la auditoría y la certificación del SGSI según ISO / IEC 27001. Ésta norma está destinada principalmente para apoyar la acreditación de organismos de certificación que ofrecen certificación SGSI según ISO / IEC 27001
ISO 27007
Proporciona orientación sobre la realización de auditorías de SGSI, así como orientación sobre la competencia de los auditores de sistemas de gestión de seguridad de la información
2.3. Marco contextual La empresa AVX Industries de El Salvador, se encuentra ubicada en el municipio de Ilopango, zona franca de San Bartolo. AVX es un fabricante y proveedor internacional líder de una amplia cartera de componentes electrónicos avanzados, que incluyen: condensadores, inductores, filtros, resistencias, acopladores, diodos y dispositivos de protección de circuitos, así como una amplia gama de sensores innovadores, control, interconexión y soluciones de antena. Con 29 instalaciones de investigación, diseño, fabricación e instalaciones de atención al cliente en 16 países de todo el mundo, AVX ofrece importantes ventajas competitivas, que incluyen capacidades de entrega y producción optimizadas para satisfacer los requisitos de inventario justo a tiempo de cada cliente individual y equipos de ingeniería globales experimentados en desarrollando soluciones de productos nuevas en el mercado especialmente diseñadas para satisfacer los requisitos de aplicación únicos del cliente.
16
Misión AVX será reconocido como el principal socio estratégico para componentes pasivos, sensores, antenas, módulos de control y soluciones de interconexión en la industria electrónica, proporcionando productos y tecnología que cumplan o superen las expectativas de calidad y confiabilidad del cliente de manera oportuna, rentable y eficiente. y de manera profesional. Visión AVX continuamente construirá una gran organización con enfoque en la mejora c ontinua y superando consistentemente las expectativas de los clientes. Fomentaremos una cultura de calidad de "cero defectos" con el objetivo de desarrollar, fabricar y proporcionar productos y servicios confiables y preferidos por nuestros clientes. Continuamente nos desafiaremos a nosotros mismos para mejorar el sistema de gestión de calidad para prevenir incidentes de calidad y eliminar defectos a través de la revisión de objetivos y resultados de calidad. AVX alentará la participación, promoción y responsabilidad de los objetivos de calidad entre todos los empleados y terceros a través de estándares, educación, capacitación, entrenamiento, comunicación y brindando los recursos necesarios para lograr el objetivo. Trataremos a nuestros clientes con respeto, y nos haremos responsables de cumplir los compromisos que les hacemos. Cumpliremos estos objetivos mientras se cumplan las leyes y reglamentos pertinentes, así como los requisitos internos.
17
3. Análisis de Riesgos Asociados a las TI en la empresa AVX Industries El Salvador.
18
Introducción En el presente capítulo se evidencia el desarrollo del proceso de gestión de las computadoras realizado en el área de caso de estudio, utilizando los instrumentos de recolección de información ya planteados. En esta sección no se muestra alguna de la información relacionada con la empresa por motivos de mantener la confidencialidad de la misma. Para llevar a cabo el análisis de riesgos, inicialmente se hizo la respectiva identificación de las computadoras del are en mención. Se determinaron la vulnerabilidades y amenazas a la que están expuestas y las respectivas salvaguardas desplegadas.
3.1. Identificación y clasificación de las computadoras La identificación de las computadoras se logró a través de entrevistas realizadas al personal del área, los cuales carecían de un inventario de computadoras, igualmente, por el método de observación a través de las respectivas visitas al área de estudio. En la caracterización de las computadoras fue necesario determinar para cada uno de ellos una serie de características del equipamiento informático, como código, nombre, descripción, tipo, unidad responsable (se identifica la unidad que lo mantiene, es decir, la encargada de que el activo funcione correctamente, y la unidad que lo explota, en otras palabras, la que hace uso de este ), persona responsable (es necesario identificar la persona responsable por la integridad del activo y aquella que se encarga de operarlo), ubicación y cantidad. El formato para la caracterización de los activos se presenta en el anexo 1, pero en este no se consigna la información de los activos de la empresa porque ésta sólo es de interés de la misma. Como resultado de esta actividad se obtuvo la siguiente clasificación:
19
Tabla 1: Clasificación de los activos. Tipo de activo
Activo Información contenida en programas de
Datos y/o información
control
de
maquinaria
sobre
configuraciones para realizar los procesos requeridos. Sistemas operativos utilizados: Windows NT 2000, MS-DOS. Software utilizado: -
Software
LassEdit. Programa
para
configurar
generadores laser -
Aspic3.86 Programa para configurar equipo de producción
10 Computadoras DEL GX620 con las siguientes características:
Equipamiento informático (Hardware)
-
Procesador Intel Pentium D
-
1GB DDR2 533MHz
-
Ocho puertos USB
-
Gráficos integrados de Intel GMA 950
-
Sistema
operativo
Microsoft
Windows NT 2000 -
Monitor de Pantalla Plana 15
-
LAN Gigabit Ethernet Broadcom 5751 10/100/1000
20
-
Unidad USB Floppy, CD-ROM, CDRW
-
Teclado y mouse USB
-
Fuente de poder 305W
-
Disco duro de 4GB
14 Computadoras Venturis 443 con las siguientes características: -
Procesador Intel Pentium 120 MHz
-
16 MB EDO DRAM
-
Video Matrox MGA 2 MB WRAM
-
Sistema operativo MS-DOS
-
Monitor de Pantalla Plana de 15
-
Unidad Floppy
-
Teclado y mouse USB PS2
-
Fuente de poder 200W
-
Disco duro de 540MB
-
Modem Boca Research BRI4925 (8-bit ISA)
Redes de comunicaciones
7 Intranet formada por un computador y generador laser.
Soportes de información
Disco duro externo
Equipamiento auxiliar
UPS
Personal
Miembros del área que Reparación y Mantenimiento
21
3.2. Identificación de salvaguardas aplicadas a los activos Las salvaguardas de los activos que se identificaron a través de entrevistas al personal del área de estudio fueron los siguientes: Mantenimiento Preventivo de Hardware. No se tienen establecidos determinados periodos para realizar mantenimiento a los distintos equipos del área de manera que se garantice su correcto funcionamiento. Respaldo de la información. Las respectivas copias de la información contenida en los discos duros, no hay periodos establecidos.
3.3. Determinación de vulnerabilidades y amenazas asociadas a los activos En una de las entrevistas efectuadas al especialista del área caso de estudio, se le aplicó el checklist de identificación del riesgo mediante el cual se pudo identificar las amenazas y vulnerabilidades asociadas a los activos. Cada una de las preguntas descritas en este checklist se encuentra relacionada a una amenaza y a una vulnerabilidad, las cuales están definidas en el formato de identificación de amenazas y vulnerabilidades. La forma como se estableció la relación fue a través de su respectiva numeración. Los dos formatos utilizados para la identificación de vulnerabilidades y amenazas de los activos de información del área caso de estudio se encuentran ubicados en el anexo 2 y 3 del presente documento:
22
Tabla 2: Vulnerabilidades y Amenazas de los activos. ACTIVO
VULNERABILIDADES
AMENAZAS
Humedad
Generar un corto circuito
Electricidad estática
Daños a los equipos
Polvo
Disminución del rendimiento de los equipos
No se tiene establecido controles físicos Personal no autorizado puede de accesos a los equipos. Inexistencia de un sistema que reduzca el nivel de daño en caso de mojar las computadoras o UPS
manipular los equipos Perdida de información y daño irreparables del equipo Disminución del rendimiento de
Acumulación de partículas dañinas Computadoras y UPS
los equipos Generar un corto circuito
Mantenimiento del equipo inexistente
Fallos en los equipos
No existe Inventario con la información completa de algunos de los activos Perdida de los activos informáticos de la empresa No se minimiza la posibilidad Inexistencia de un registro de fallas de de que los sucesos ocurridos los equipos
anteriormente se vuelvan a generar Robo de información
Fácil acceso a los sistemas de los Destrucción de la información equipos
Interrupción
del
funcionamiento de los equipos
23
No
se
tiene
establecidas
las
responsabilidades del personal para la protección de los activos
Los activos están propensos a sufrir daños No
se
contralan
No están actualizadas las políticas de adecuadamente los distintos seguridad
sucesos que afectan los equipos y la información
No se hacen copia de los datos antes de una reinstalación Los activos son sacados fácilmente del área asignada Los equipos no tienen Antivirus Computadoras
No existe plan de respaldo de la información
Perdida de la información
Robo del activo Intrusión de software malicioso Perdida de la información
3.4. Determinación del riesgo Para determinar el riesgo de los activos críticos de la empresa caso de estudio, se tomó como guía la siguiente matriz de riesgo, en la cual se establece una escala de valoración de 1 a 4 para determinar la probabilidad de explotación de una vulnerabilidad y la probabilidad de ocurrencia de una amenaza:
24
Tabla 3: Matriz de riesgos:
La siguiente tabla se utilizó para establecer el nivel de probabilidad de explotación de las vulnerabilidades y la probabilidad de ocurrencia de las amenazas y posteriormente para determinar el nivel de riesgo al que están expuestos los activos. Esta actividad se desarrolló mediante entrevista con el Especialista del área caso de estudio, designado para realizar el acompañamiento durante el desarrollo de todas las actividades de este proyecto.
25
Tabla 4: Análisis de riesgos. ACTIVO
VULNERABILIDADES
P.E.
AMENAZAS
P.O.
NIVEL DE RIESGO
Humedad
4
Generar un corto circuito
1
4
Electricidad estática
3
Daños a los equipos
2
6
Polvo
3
Disminución del rendimiento de los equipos
2
6
2
8
1
8
No
se
tiene
establecido
controles físicos de accesos a los
3
equipos.
Personal no autorizado puede manipular los equipos
Inexistencia de un sistema que Computadoras reduzca el nivel de daño en caso y UPS
de mojar las computadoras o
4
Perdida de información y daño irreparables del equipo
UPS Acumulación
de
partículas
dañinas Mantenimiento
del
equipo
inexistente No existe Inventario con la información
completa
de
3
Disminución del rendimiento de los equipos
2
6
3
Generar un corto circuito
2
6
4
Fallos en los equipos
3
12
3
Perdida de los activos
2
6
26
algunos
de
los
activos
informáticos de la empresa Inexistencia de un registro de fallas de los equipos
No se minimiza la posibilidad 3
de que los sucesos ocurridos
2
6
anteriormente se vuelvan a generar
Fácil acceso a los sistemas de los equipos
2
Robo de información
3
6
3
Destrucción de la información
3
9
3
Interrupción del funcionamiento de los equipos
3
9
2
Los activos están propensos a sufrir daños
2
4
3
6
No se tiene establecidas las responsabilidades del personal para la protección de los activos No
están
actualizadas
las
políticas de seguridad No se hacen copia de los datos antes de una reinstalación Los
activos
son
sacados
fácilmente del área asignada Computadoras
Los equipos no tienen Antivirus actualizados
3
No se contralan adecuadamente los distintos sucesos que afectan los equipos y la información
4
Perdida de la información
2
8
4
Robo del activo
2
8
3
Intrusión de software malicioso
3
6
27
No existe plan de respaldo de la información
4
Perdida de la información
3
12
28
Para la representación se hizo mediante un gráfico, el porcentaje por cada uno de los niveles de riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel de riesgo se encontraban los activos del área en ese momento. Grafica 1: Porcentaje de riesgo de los activos.
PORCENTAJE DE RIESGO DE LOS ACTIVOS DE INFORMACION DE L.W. Alto riesgo
Medio riesgo
Bajo riesgo
10%
58%
32%
29
4. Evaluación de cumplimiento de los controles de la Norma ISO/IEC 27002:2013.
30
Introducción En el presente capítulo se evidencia todo el proceso que se llevó a cabo para evaluar el estado en materia de seguridad de la información del área caso de estudio en base a los controles seleccionados de la Norma ISO/IEC 27002:2013.
4.1. Elaboración del checklist en base a la norma 27002:2013 Antes de iniciar la elaboración del instrumento de recolección es necesario seleccionar los controles de la Norma ISO/IEC 27002:2013, con los cuales, se evaluó la seguridad de la información en la empresa. De los 114 controles establecidos en la norma anteriormente mencionada, se seleccionaron 25 porque son los más acordes con la funcionalidad del área desde el ámbito de las Tecnologías de la información. Estos se evidencian en el formato del checklist (ver anexo 4) que se aplicó mediante entrevista al Especialista encargado con el objetivo de evaluar el nivel de cumplimiento del área en cuanto a gestión de activos, seguridad física y ambiental.
4.2. Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 La evaluación de cumplimiento de cada uno de los 25 controles seleccionados de la norma ISO/IEC 27002:2013, se realizó de acuerdo a las respuestas obtenidas mediante la aplicación del checklist y en base a las cuales se determinó el nivel de madurez de los controles, siguiendo el modelo de madurez de procesos establecidos. Además, se estableció una valoración de bajo, medio, alto para cada uno de los dominios, objetivos de control y controles para evidenciar cuales de los controles evaluados en el área de estudio son los más críticos o que no se han gestionado de manera adecuada. Con el objeto de facilitar la comprensión del proceso realizado, se hace una breve, pero concisa descripción de los términos usados en el desarrollo de esta actividad, la cual está plasmada en la tabla evaluación de controles.
31
Tabla 5: Nivel de madurez.
NIVEL DE MADUREZ ISO/IEC 21827:2008 Criterio No realizado
Porcentaje 0%
Descripción No hay controles de seguridad de la información establecidos. Existen procedimientos para llevar a cabo ciertas acciones
Realizado informalmente
20%
en determinado momento. Estas prácticas no se adoptaron formalmente y/o no se les hizo seguimiento y/o no se informaron adecuadamente.
Planificado
40%
Los controles de seguridad de la información establecidos son planificados, implementados y repetibles. Los controles de seguridad de la información además de
Bien definido
60%
planificados
son
documentados,
aprobados
e
implementados en toda la organización Cuantitativamente controlado
80%
Los controles de seguridad de la información están sujetos a verificación para establecer su nivel de efectividad. Los controles de seguridad de la información definidos son
Mejora continua
100%
periódicamente revisados y actualizados. Estos reflejan una mejora al momento de evaluar el impacto.
En la tabla anterior se modificó el tipo de valor para establecer el grado de cumplimiento de los controles. En la norma se maneja una escala de 0 a 5 respectivamente para cada criterio y en la realización de esta actividad se maneja un porcentaje de 0% a 100%.
32
Tabla 6: Valoración de los controles: VALORACION DE CONTROLES Porcentaje
Escala
0% - 30%
Bajo
31% - 74%
Medio
75% - 100%
Alto
Representación
La valoración de los controles se estableció de la siguiente manera, un porcentaje del 030% para los controles con más bajo nivel de cumplimiento y por ende son más críticos. Del 31-74% para aquellos controles que se han desarrollado pero que en ocasiones no se documentan. Por último, un porcentaje del 75-100% para identificar los controles que además de haber sido planificados y documentados. A continuación, se muestra el porcentaje de cumplimiento para los controles del dominio Gestión de Activos, Seguridad física y Ambiental.
33
Tabla 7: Evaluación de controles.
EVALUACION DE CONTROLES Norma
Sección
Puntos a Evaluar
Cumplimiento
8
GESTION DE ACTIVOS
10%
8.1
Responsabilidad sobre los activos
25%
Todos los activos deberían estar claramente 8.1.1
Inventario de activos
identificados, confeccionando y manteniendo un inventario con los más importantes.
No realizado
0%
Toda la información y activos del inventario 8.1.2
Propiedad de los
asociados a los recursos para el tratamiento de
No
activos
la información deberían pertenecer a una
realizado
0%
parte designada de la Organización. Se 8.1.3
deberían
identificar,
documentar
e
Uso aceptable de los
implantar regulaciones para el uso adecuado
No
activos
de la información y los activos asociados a
realizado
0%
recursos de tratamiento de la información. Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de
8.1.4
Devolución de activos
la
organización
que
estén
en
su
posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o
Mejora continua
100%
actividades relacionadas con su contrato de empleo. 8.2
8.2.1
8.2.2
0%
Clasificación de la información Directrices de clasificación
La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y
N/A
criticidad para la Organización.
Etiquetado y
Se debería desarrollar e implantar un conjunto
manipulado de la
apropiado
información
etiquetado y tratamiento de la información, de
de
procedimientos
para
el
No realizado
0%
34
acuerdo con el esquema de clasificación adoptado por la organización. Se
8.2.3
deberían
desarrollar
e
implantar
procedimientos para la manipulación de los
Manipulación de
activos acordes con el esquema de clasificación
activos
de
la
información
adoptado
por
la
No realizado
0%
organización. 8.3
0%
Manejo de los soportes de almacenamiento Se deberían establecer procedimientos para la
8.3.1
Gestión de soportes
gestión de los medios informáticos removibles
No
extraíbles
acordes con el esquema de clasificación
realizado
0%
adoptado por la organización. Se deberían eliminar los medios de forma 8.3.2
Eliminación de
segura y sin riesgo cuando ya no sean
soportes
requeridos,
utilizando
procedimientos
No realizado
0%
formales. Se deberían proteger los medios que contienen 8.3.3
Soportes físicos en
información contra acceso no autorizado, mal
No
tránsito
uso o corrupción durante el transporte fuera
realizado
0%
de los límites físicos de la organización.
EVALUACION DE CONTROLES Norma
Sección
Puntos a Evaluar
Cumplimiento
11
SEGURIDAD FISICA Y AMBIENTAL
19%
11.1
Áreas seguras
22%
Se deberían definir y utilizar perímetros de
11.1.1
Perímetro de seguridad física
seguridad para la protección de las áreas que
contienen
instalaciones
de
información
y
las
procesamiento
de
N/A
información sensible o crítica. 11.1.2
Controles físicos de
Las áreas seguras deberían estar protegidas
entrada
mediante controles de entrada adecuados
N/A
35
para garantizar que solo el personal autorizado dispone de permiso de acceso.
11.1.3
Seguridad de
Se debería diseñar y aplicar un sistema de
oficinas, despachos y
seguridad física a las oficinas, salas e
recursos
instalaciones de la organización.
Protección contra 11.1.4
las amenazas externas y ambientales
11.1.5
El trabajo en áreas seguras
Se debería diseñar y aplicar una protección física contra desastres naturales, ataques maliciosos o accidentes. Se
deberían
diseñar
y
aplicar
procedimientos para el desarrollo de trabajos y actividades en áreas seguras.
N/A
No realizado No realizado
0%
0%
Se deberían controlar puntos de acceso a la organización como las áreas de entrega y
11.1.6
Áreas de acceso
carga/descarga (entre otros) para evitar el
público, carga y
ingreso de personas no autorizadas a las
descarga
dependencias aislando estos puntos, en la
Bien definido
66%
medida de lo posible, de las instalaciones de procesamiento de información. 11.2
Emplazamiento y 11.2.1
24%
Seguridad de los equipos
protección de equipos
Los equipos se deberían emplazar y proteger para reducir los riesgos de las
No
amenazas y peligros ambientales y de
realizado
0%
oportunidades de acceso no autorizado. Los equipos deberían estar protegidos
11.2.2
Instalaciones de
contra cortes de luz y otras interrupciones
Mejora
suministro
provocadas por fallas en los suministros
continua
100%
básicos de apoyo. Los
cables
eléctricos
y
de
telecomunicaciones que transportan datos 11.2.3
Seguridad del cableado
o apoyan a los servicios de información se
Planificado
50%
deberían proteger contra la intercepción, interferencia o posibles daños.
36
Los 11.2.4
Mantenimiento de los equipos Salida de activos
11.2.5
fuera de las dependencias de la empresa
11.2.6
equipos
deberían
mantenerse
adecuadamente con el objeto de garantizar su disponibilidad e integridad continuas. Los equipos, la información o el software no se deberían retirar del sitio sin previa autorización.
Seguridad de los
Se debería aplicar la seguridad a los activos
equipos y activos
requeridos para actividades fuera de las
fuera de las
dependencias de la organización y en
instalaciones
consideración de los distintos riesgos.
No
0%
realizado Bien definido
66%
N/A
Se deberían verificar todos los equipos que contengan medios de almacenamiento para Reutilización o
11.2.7
retirada segura de dispositivos de almacenamiento
garantizar que cualquier tipo de datos sensibles y software con licencia se hayan extraído o se hayan sobrescrito de manera segura
antes
de
su
eliminación
No realizado
0%
o
reutilización.
11.2.8
Equipo informático
Los usuarios se deberían asegurar de que los
de usuario
equipos no supervisados cuentan con la
desatendido
protección adecuada.
No realizado
0%
Se debería adoptar una política de puesto
11.2.9
Política de puesto
de trabajo despejado para documentación
de trabajo
en papel y para medios de almacenamiento
No
despejado y
extraíbles y una política de monitores sin
realizado
bloqueo de pantalla
información para las instalaciones de
0%
procesamiento de información.
4.3. Relación de Fichas de no Conformidad y recomendaciones. En este apartado se relacionan los controles de la Norma ISO/IEC 27002:2013 que presentan un porcentaje de cumplimiento menor o igual al 60%.
37
Tabla 8: Fichas de No Conformidad: Gestion de Activos.
GESTION DE ACTIVOS Descripcion de las No Conformidades. 8.1.1 No existe un inventario de los activos asociados a el area de estudio. 8.1.2 Los activos en uso no tienen usuarios definidos. 8.1.3 Se identifioco la inexitencia de una politica de uso aceptable de los dispositivos. 8.2.2 Los equipos no estan identificados. 8.2.3 No existe procedimientos para la manipulacion de los equipos. 8.3.1 Inexistencia de politicas, procesos o comunicado que informe el uso adecuado de los soportes de almacenamiento. 8.3.2 No existe procedimiento para eliminar los soportes de almacenamiento. 8.3.3 No existe proceso para proteger los medios que continen informacion contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los limites físicos de area.
ACCION CORRECTIVAS PROPUESTAS Formular políticas de gestion de activos en base a los 10 controles aplicados en esta evaluación. Establecer periodos para la revisión de las políticas de gestion de activos, lo recomendado sería una vez al año o cuando se implementen nuevas tecnologías.
38
Tabla 9: Fichas de No Conformidad: Gestion de Activos.
SEGURIDAD FISICA Y AMBIENTAL Descripcion de las No Conformidades. 11.1.4 No existen medidas de proteccion para prevenir desastres naturales, ataques mailciosos o accidentes. 11.2.1 Los equipos estan expuestos a peligros ambientales no identificados y acceso no autorizado. 11.2.3 La ubicación de los cables de energia y telecomunicaciones estan instalados en ubicaciones no seguras y de manera desordenada, que pudieran causara interferencias o daños. 11.2.4 Inexixtencia de un plan de mantenimiento de los equipos. 11.2.7 No existe proceso para la eliminacion de informacion de medios de almacenamiento para su reutilizacion o eliminacion. 11.2.8 No existe politicas y en torno a equipos desatendidos. 11.2.9 No existe politica de puesto de trabajo despejado y bloqueo de pantalla.
ACCION CORRECTIVAS PROPUESTAS Formular políticas de gestion de activos en base a los 15 controles aplicados en esta evaluación. Establecer periodos para la revisión de las políticas de gestion de activos, lo recomendado sería una vez al año o cuando se implementen nuevas tecnologías.
39
4.4. Presentacion de resultados Luego de evaluados los diferentes controles se presenta gráficamente los resultados obtenidos tras la evaluación de los 25 controles que componen los dominios Gestion de Activos y Control de Seguridad Fisica y Ambiental de la Norma ISO/IEC 27002:2013 en la empresa AVX Industries. Estos se presentan de la siguiente manera: inicialmente se hace una descripción del porcentaje de cumplimiento de los controles evaluados categorizándolos por objetivos de control, luego se muestra una gráfica con el porcentaje de cumplimiento de cada uno de los dominios y por último, se presenta una gráfica con el porcentaje de cumplimiento de cada uno de los niveles de madurez de los distintos controles evaluados. Grafica 1: Nivel de cumplimiento por objetivo de control.
40
Grafica 2: Nivel de cumplimiento por dominio
Grafica 3: Nivel de madurez de los controles.
41
5. Recomendaciones a la Empresa AVX Industries El Salvador.
42
Introducción En este capítulo se presenta una breve descripción de las políticas de seguridad de la información que se desarrollaron para proteger los activos de información de la Empresa AVX Industries de El Salvador, es por ello que en esta sección sólo se explicarán los puntos más relevantes de las políticas que son los dos dominios que se evaluaron de la norma ISO/IEC 27002:2013, los cuales se mencionan a continuación: Políticas de Gestión de activos, Seguridad física y Ambiental.
5.1. Políticas de Seguridad de la Información 5.1.1. Gestión de activos Ésta política conlleva a la empresa a identificar y clasificar sus activos de información, definir las respectivas responsabilidades para su adecuada protección, además regula las prácticas para su uso adecuado y la devolución por parte del personal al finalizar su contrato laboral. Igualmente, reglamente la gestión de los soportes de almacenamiento estableciendo una serie de indicaciones para evitar el hurto, modificación y eliminación de la información.
5.1.2. Seguridad física y ambiental Regula el acceso al edificio, las instalaciones de procesamiento de información y a las oficinas, establece medidas para la protección de los activos de información tales como: el uso de extintores, sistemas de alarma contra incendios, cámaras de seguridad, el registro de ingreso y salida de los visitantes de la empresa y del acceso del personal autorizado a las instalaciones donde reside el archivo, la constante revisión de los soportes eléctricos y ambientales para garantizar el óptimo funcionamiento de los equipos de cómputo ubicados, la instalación adecuada del cableado para evitar posibles interferencias en la transmisión de la información, el mantenimiento preventivo y correctivo de los dispositivos informáticos.
43
6. Conclusiones Luego de realizada la auditoria en seguridad de la información se evidenciaron una serie de factores que ponen en riesgo los activos de información de la empresa, los bajos niveles de cumplimiento de los dominios evaluados, aumenta la probabilidad de perdida, deterioro e indisponibilidad de la información y los equipos de cómputo. Además, otros factores son la inadecuada gestión de los activos de información debida a la falta de prácticas para su uso adecuado, no tener definidas las responsabilidades del personal sobre ellos, ni tener establecidos controles que garanticen su devolución al finalizar el contrato aboral de los empleados. Igualmente, la infraestructura tecnológica de la empresa no apega a lo requerido en la Norma ISO/IEC 27002:2013. Otro de los factores que aumentan significativamente los niveles de riesgo de los activos de información es el desconocimiento o la falta de conciencia por parte del personal para evitar aquellas situaciones que pueden afectar la disponibilidad e integridad de la información.
7. Recomendaciones Concientizar al personal sobre los distintos riesgos a los que está expuesta la información de la empresa y enfatizar sobre la importancia que esta representa para la empresa. Por otra parte, dar a conocer las políticas de seguridad de la información al personal de la empresa y ejecutar adecuadamente los diferentes controles que se plantean en ella y de esta manera brindar mayor protección a los activos de información de la empresa. Posteriormente, hacerles un seguimiento a esos controles, evaluar su nivel de efectividad y hacerle las respectivas mejoras ya sea anualmente o cuando surjan determinados factores que así lo ameriten. Además, elaborar formatos para: registrar toda la información relacionada con los equipos de cómputo y de comunicación de propiedad de la empresa a través del levantamiento de su respectiva hoja de vida, garantizar que los equipos de cómputo sean devueltos luego de la terminación del contrato de los empleados y de esta manera se pueda evidenciar el
44
estado en que se entregan, determinar los diferentes aspectos vinculados a la realización de pruebas de funcionamiento del software. Asimismo, crear procedimientos que permitan realizar de forma segura la eliminación de los soportes de almacenamiento, restrinjan y controlen el uso de programas no autorizados en los equipos de la empresa, establezcan los pasos a seguir para el transporte seguro de los soportes de almacenamiento, y proteger los activos de información de amenazas externas y ambientales. También, es necesario crear una infraestructura que minimice los riesgos de daños a los equipos e interferencias a la información y a las operaciones de la empresa. Tales como el establecimiento de instalaciones de suministro y cableado adecuado. Además, es necesario la creación de medidas que garanticen la seguridad de los equipos dentro de las instalaciones, todo lo anterior permitirá garantizar el correcto funcionamiento de los equipos de cómputo y minimizar las interrupciones de los servicios que estos prestan.
45
8. Cronograma de actividades
Ítem
Actividades
Mes
SEGURIDAD DE LA INFORMACION
1
2
3
4
Planificar las distintas 1
actividades que permitan realizar el proceso de auditoría Identificación
2
de
los
activos, las amenazas a que estos están expuestos y las respectivas salvaguardas
3
Analizar
y
valorar
los
riesgos Aplicar el instrumento de
4
recolección
de
la
información Analizar la información 5
recopilada en la actividad anterior
6
Elaborar un informe con los resultados obtenidos
46
Anexos
47
Anexo 1: Formato caracterización de los activos de información. Tabla 10: Caracterización de los activos CARACTERIZACION DE LOS ACTIVOS IDENTIFICACION DE LOS ACTIVOS
Empresa: Empleado: Cargo:
Fecha: Unidad
Ítem
Activo
Código
Descripción
Tipo
responsable
Persona responsable Ubicación Cantidad
Mantiene Explota Responsable Operador 1 2 3 4
48
Anexo 2: Checklist identificación del riesgo de los activos de información. Tabla 11: Identificación de amenazas y vulnerabilidades.
CARACTERIZACION DE LOS ACTIVOS, AMENAZAS Y SALVAGUARDAS IDENTIFICACION DE VULNERABILIDAES Y AMENAZAS Checklist Empresa: Empleado: Cargo:
Fecha:
N°
Preguntas
Si No NA
Observaciones
INSTALACIONES 1
2
¿Están las instalaciones de las computadoras protegidas de acceso no autorizado? ¿Cuáles
de
las
siguientes
medidas
contra
incendios
tienen
implementadas? a)
Alarmas
b)
Extintores
c)
Sistemas contra incendios
d)
Otro (especifique en la casilla de observaciones)
49
3 4 5
6
¿Las instalaciones dónde están ubicadas las computadoras cuenta con condiciones físicas adecuadas a la norma? ¿Tiene documentado el diseño de la red? ¿Tiene establecido controles para llevar a cabo el mantenimiento preventivo y correctivo de los equipos del área? ¿Tiene establecido controles para llevar a cabo el mantenimiento de las instalaciones donde se encuentran ubicados los equipos ?
RED 7
¿Se tiene determinado quienes comparten los datos a través de la red y como los utilizan?
8
¿Son documentadas las fallas y/o problemas que ocurren en la red?
9
¿Existen controles definidos de acceso a la red interna?
10
¿Cuenta con un dispositivo firewall para protección y aseguramiento de la red?
SOFTWARE 11 12
13 14
¿Los equipos de cómputo cuentan con Antivirus actualizados? ¿Las aplicaciones instaladas en las computadoras están debidamente actualizadas? ¿Son guardados de manera segura los datos importantes del equipo antes de una reinstalación? ¿Los datos que viajan por intranet están cifrados?
ORGANIZACION
50
15
16 17 18
¿Existe
una
estructura
orgánica
para
dicha
área
con
sus
correspondientes funciones? ¿Existe personal dedicado solo al mantenimiento de los equipos informáticos? ¿Existen políticas de seguridad actualizadas? ¿Para ser movidos los equipos, software o información fuera del área requiere de una autorización? ¿Están claramente definidas las responsabilidades del recurso humano
19
para proteger los activos, así como la ejecución del proceso de seguridad?
51
Anexo 3: Formato de identificación de amenazas y vulnerabilidades. Tabla 12: Formato de identificación de amenazas y vulnerabilidades. CARACTERIZACION DE ACTIVOS, AMENAZAS Y SALVAGUARDAS IDENTIFICACION DE VULNERABILIDAES Y AMENAZAS Empresa: Empleado: Cargo:
Fecha:
ITEM
1
VULNERABILIDADES Humedad
Generar un corto circuito
Electricidad estática
Daños a los equipos
Polvo
2
Disminución del rendimiento de los equipos
No se tiene establecido controles físicos Personal no autorizado puede de accesos a los equipos. Inexistencia de un sistema que reduzca
3
AMENAZAS
el nivel de daño en caso de mojar las computadoras o UPS
manipular los equipos Perdida de información y daño irreparables del equipo Disminución del rendimiento de
4
Acumulación de partículas dañinas
los equipos Generar un corto circuito
5
Mantenimiento del equipo inexistente
Fallos en los equipos
No existe Inventario con la información 6
completa de algunos de los activos Perdida de los activos informáticos de la empresa
7
Inexistencia de un registro de fallas de No se minimiza la posibilidad los equipos
de que los sucesos ocurridos
52
anteriormente se vuelvan a generar Robo de información 8
Fácil acceso a los sistemas de los Destrucción de la información equipos
Interrupción
del
funcionamiento de los equipos 9
10
Los
no
tienen
Antivirus
actualizados No se hacen copia de los datos antes de una reinstalación No
11
equipos
se
tiene
establecidas
las
responsabilidades del personal para la protección de los activos
Intrusión de software malicioso
Perdida de la información
Los activos están propensos a sufrir daños No
12
No están actualizadas las políticas de seguridad
se
contralan
adecuadamente los distintos sucesos que afectan los equipos y la información
13
14
Los activos son sacados fácilmente del área asignada No existe plan de respaldo de la información
Robo del activo
Perdida de la información
53
Anexo 4: Herramienta de evaluación en base a la Norma ISO/IEC 27002:2013. Tabla 13: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
AUDITORIA EN SEGURIDAD DE LA INFORMACION Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013
Empresa:
________________________________________________________________
Empleado:
________________________________________________________________
Cargo:
________________________________________________________________
Norma
Sección
Puntos a evaluar
8 8.1
Si
No
N/A
Fecha:___________________
Observaciones
GESTION DE ACTIVOS Responsabilidad sobre los activos 1.¿Existe un inventario de todos
8.1.1
Inventario de activos
los activos asociados a las instalaciones de procesamiento de información?
54
2.¿El inventario de activos de información
contiene
información
precisa
y
actualizada? ¿Tienen 8.1.2
los
activos un
de
la
Propiedad de los
información
responsable
activos.
definido que sea consciente de sus responsabilidades? 1.¿Existe una política de uso aceptable para cada clase o tipo
8.1.3
Uso aceptable de los
de activos de información?
activos.
2.¿Están
los
usuarios
conscientes de esta política antes de su uso? 1.¿Existe algún proceso para asegurar que los empleados y 8.1.4
Devolución de activos.
los
contratistas
hagan
devolución de los activos de
55
información de propiedad de la empresa a la terminación de su contrato laboral?
8.2
Clasificación de la información 1. ¿Existe una política que rige la clasificación de la información?
8.2.1
Directrices de
2. ¿Existe un proceso por el cual
clasificación.
toda la información se pueda clasificar de manera adecuada? 1.¿Existe
8.2.2
un
proceso
o
Etiquetado y
procedimiento que garantice el
manipulado de la
etiquetado
información.
manipulación de los activos de
y
la
correcta
información? 8.2.3
Manipulación de
1. ¿Existe un procedimiento
activos.
para
el
manejo
de
cada
56
clasificación de los activos de información? 2. ¿Están los usuarios de los activos de información al tanto de este procedimiento? 8.3
Manejo de los soportes de almacenamiento 1. ¿Existe alguna política que rige el uso de los soportes de almacenamiento? 2. ¿Existe algún proceso que diga
8.3.1
cómo
utilizar
Gestión de soportes
adecuadamente los soportes de
extraíbles.
almacenamiento? 3. ¿Existen políticas de procesos o comunicados a los empleados que informe el uso adecuado de los
soportes
de
almacenamiento?
57
1. ¿Existe algún procedimiento 8.3.2
Eliminación de soportes
formal que rija como se debe eliminar
los
soportes
de
almacenamiento? 1.¿Existe
alguna
política
documentada y detallada que defina la forma cómo se debe transportar los soportes físicos 8.3.3
Soportes físicos en
de almacenamiento?
tránsito
2.
¿Están
soportes
protegidos de
los
comunicación
contra el acceso no autorizado, mal uso o perdida durante su transporte? 11 11.1 11.1.1
SEGURIDAD FISICA Y AMBIENTAL Áreas seguras Perímetro de seguridad
1.¿existe
un
perímetro
física.
seguridad designado?
de
58
2.¿Las áreas de información sensible o críticas se encuentran separadas
y
controladas
adecuadamente? 1.¿Las áreas seguras tienen 11.1.2
Controles físicos de
sistemas de control de acceso
entrada.
adecuado
para
que
sólo
personal autorizado ingrese? 1.¿Tienen despachos
las e
oficinas, instalaciones
seguridad perimetral?
11.1.3
Seguridad de oficinas, despachos y recursos.
2.¿Realiza
procesos
concientización
con
de los
empleados por mantener la seguridad
en
puertas,
escritorios, archivadores, etc., de las oficinas?
59
1. ¿Tiene diseños o medidas de
11.1.4
Protección contra las
protección física para prevenir
amenazas externas y
desastres
ambientales.
maliciosos o accidentes de la
naturales,
ataque
empresa? 1. ¿Existen áreas seguras? 2. ¿Dónde existen, las áreas 11.1.5
El trabajo en áreas
seguras cuentan con políticas y
seguras.
procesos adecuados? 3. ¿Estas políticas y procesos son aplicadas y supervisadas? 1 ¿Las áreas de acceso público están separadas de las áreas de
11.1.6
Áreas de acceso
carga y descarga?
público, carga y
2 ¿El acceso a estas áreas están
descarga
controladas? 3 ¿Esta el acceso a las áreas de carga
aislado
de
las
60
instalaciones de los procesos de información? 11.2
Seguridad de los Equipos 1
11.2.1
Emplazamiento y protección de equipos.
¿Están
los
peligros
ambientales
identificados
y
considerados
cuando
se
selecciona la ubicación de los equipos? 2 ¿Son los riesgos de acceso no autorizado
o
transeúntes
considerados al emplazamiento de equipos? 1. ¿Existe un sistema de UPS o 11.2.2
Instalaciones de
generador de respaldo?
suministro.
2.¿Han
sido
probados
en
simulacros? 1.¿Se 11.2.3
han
realizado
Seguridad del cableado. evaluaciones de riesgos sobre la
61
ubicación de los cables de energía y telecomunicaciones? 2. ¿Están ubicadas para evitar interferencias, interceptación o daños? 11.2.4
Mantenimiento de los
1. ¿Existe una programación de
equipos.
mantenimiento de equipos?
Salida de activos fuera 11.2.5
de las dependencias de la empresa.
Seguridad de los 11.2.6
equipos y activos fuera de las instalaciones.
1 ¿Existe un proceso de control de la salida de activos fuera de empresa? 2 ¿Se aplica este proceso? 3 ¿se realizan controles en sitio? 1
¿Existe
una
política
de
seguridad de activos fuera de la empresa? 2 ¿Estas políticas son del conocimiento de todos?
62
1. ¿Existe una política que mencione que los activos de información reutilizados
11.2.7
pueden o
retirados
ser en
Reutilización o retirada
forma segura?
segura de dispositivos
2 ¿Cuándo datos o información
de almacenamiento.
es borrada de dispositivos de almacenamiento debidamente
es comprobado
antes de su reutilización o eliminación? 1. ¿La empresa tiene una política en torno a cómo el equipo desatendido se debe 11.2.8
Equipo informático de
proteger?
usuario desatendido.
2. ¿Existen controles técnicos para garantizar que un equipo se ha dejado inadvertidamente desatendido?
63
11.2.9
Política de puesto de
1. ¿Existe una política de puesto
trabajo despejado y
de trabajo despejado y bloqueo
bloqueo de pantalla
de pantalla?
64
Anexo 5: Evidencia
Área de computadora en desorden.
Polvo en UPS.
65
Basura en computadoras.
Computadora con conector de alimentación 220V en mal estado.
66