GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA...

GUÍA DE SISTEMA DE

GESTIÓN DE SEGURIDAD

DE LA INFORMACIÓN

(SGSI) PARA ENTIDADES

DE CONTACT CENTER

UNIVERSIDAD DISTRIAL FRANCISCO JOSE DE

CALDAS FACULTAD TECNOLOGICA INGENIERA TELEMATICA

GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) PARA ENTIDADES DE CONTACT CENTER

PEDRO ALEJANDRO GUERRERO RODRIGUEZ

JUAN CAMILO PEÑA MUÑOZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTÁ

2018

GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) PARA ENTIDADES DE CONTACT CENTER

Modalidad Monografía para el Título de Ingeniería Telemática

PEDRO ALEJANDRO GUERRERO RODRIGUEZ

JUAN CAMILO PEÑA MUÑOZ

Tutor:

INGENIERO MIGUEL ANGEL LEGUIZAMON PAEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELEMÁTICA

BOGOTÁ

2018

Nota de aceptación

Tutor

Jurado

Bogotá D.C.____ Septiembre de 2018

TABLA DE CONTENIDO

RESUMEN...................................................................................................................................................... 7

ABSTRACT .................................................................................................................................................... 8

INTRODUCCIÓN ............................................................................................................................................ 9

1. DEFINICIÓN, OBJETIVOS Y ANÁLISIS DEL PROBLEMA .................................................................. 11

1.1 Título........................................................................................................................................... 11

1.2 Planteamiento de la problemática ............................................................................................. 11

1.3 OBJETIVOS ................................................................................................................................ 11

1.3.1 Objetivo General ................................................................................................................ 11

1.3.2 Objetivos Específicos ....................................................................................................... 12

1.4 MARCO TEÓRICO ...................................................................................................................... 12

1.4.1 Estado del Arte .................................................................................................................. 12

1.4.2 Conceptos Introductorios ................................................................................................. 13

1.5 Solución Tecnológica al planteamiento del problema ............................................................. 16

1.6 Análisis y Factibilidad Económica ............................................................................................ 16

1.6.1 Factibilidad Económica: Recurso Humano ...................................................................... 16

1.6.2 Factibilidad Económica: Recurso o Factor Técnico ........................................................ 16

1.6.3 Costo Total del Proyecto ................................................................................................... 17

1.6.4 CRONOGRAMA DE TRABAJO .......................................................................................... 18

2. SITUACIÓN EMPRESARIAL Y CASO DE ESTUDIO ........................................................................... 20

2.1 Caso de estudio para análisis y gestión de riesgos ................................................................. 20

2.2 Caracterización tecnológica de la empresa .............................................................................. 22

2.2.1 Equipos de Hardware ........................................................................................................ 22

2.2.2 Equipos de Software ......................................................................................................... 22

2.3 Condiciones de seguridad de la empresa ................................................................................. 23

2.4 Matriz EFI.................................................................................................................................... 24

2.4.1 Definición de valores de peso y calificación matriz EFI .................................................. 24

2.4.2 Fortalezas .......................................................................................................................... 24

2.4.3 Debilidades ........................................................................................................................ 25

2.5 Matriz EFE .................................................................................................................................. 25

2.5.1 Definición de valores de peso y calificación matriz EFE ................................................. 25

2.5.2 Oportunidades ................................................................................................................... 26

2.5.3 Amenazas .......................................................................................................................... 26

2.6 Matriz DOFA ............................................................................................................................... 26

3. PLANIFICACION, ACTIVOS AMENAZAS ........................................................................................... 30

3.1 Terminología de Magerit ............................................................................................................ 30

3.2 Identificación de los activos ...................................................................................................... 31

3.2.1 Categorización de activos según Magerit ........................................................................ 31

3.2.2 Etiquetado de Activos ....................................................................................................... 31

3.2.3 Características o dimensiones de una activo .................................................................. 32

3.2.4 Escala de valoración de las características o dimensiones de un activo ....................... 32

3.2.5 Listado de activos identificados ....................................................................................... 33

3.3 Valoración de los activos .......................................................................................................... 34

3.4 Identificación de amenazas ....................................................................................................... 37

3.4.1 Categorización de las amenazas ...................................................................................... 37

3.4.2 Formato de documentación de amenazas........................................................................ 38

3.4.3 Documentación de las amenazas identificadas ............................................................... 38

3.5 Listado de amenazas por activo ................................................................................................ 46

4. GESTIÓN DE RIESGOS ...................................................................................................................... 49

4.1 Listado de vulnerabilidades por amenaza ................................................................................ 49

4.2 Identificación del Riesgo potencial ........................................................................................... 53

4.2.1 Escala de valoración impacto de una amenaza según Magerit ....................................... 53

4.2.2 Escala de valoración probabilidad ocurrencia de una vulnerabilidad según Magerit .... 53

4.2.3 Determinación del Riesgo Potencial con la relación Impacto- Probabilidad .................. 54

4.2.4 Matriz del Riesgo Potencial (Mapa de Calor) .................................................................... 54

4.3 Tratamiento de Riesgos Potenciales ........................................................................................ 55

4.3.1 Controles ISO 27002 de 2013 ............................................................................................ 55

4.3.2 Efecto de los controles o salvaguardas ........................................................................... 56

4.3.3 Aplicación de Controles a los Riesgos Identificados ...................................................... 56

4.3.4 Matriz de Riesgo Residual................................................................................................. 57

4.4 Importancia de la Gestión de Riesgos ...................................................................................... 57

5. POLITICAS DE SEGURIDAD .............................................................................................................. 59

6. PROTOTIPO SISTEMA WEB ............................................................................................................... 61

6.1 Condiciones de Arquitectura ..................................................................................................... 61

6.1.1 Modelo Multicapa Java EE 6 ............................................................................................. 61

6.1.2 Tecnologías de Desarrollo ................................................................................................ 62

6.1.3 Ambiente y herramientas de desarrollo ........................................................................... 63

6.1.4 Manual Técnico Configuración de Ambiente ................................................................... 64

6.2 Condiciones Legales ................................................................................................................. 64

6.3 Casos de Uso ............................................................................................................................. 65

6.3.1 Roles de Usuario ............................................................................................................... 65

6.3.2 Especificación de Funcionalidades .................................................................................. 65

6.3.3 Diagrama de Casos de Uso ............................................................................................... 66

6.4 Modelo Relacional Base de Datos ............................................................................................. 78

6.5 Manual de Usuario ..................................................................................................................... 78

CONCLUSIONES ......................................................................................................................................... 80

5

Índice de Tablas

TABLA 1. DOMINIOS ISO27002 14

TABLA 2. FACTIBILIDAD ECONOMICA RECURSO HUMANO 16

TABLA 3. COSTO TOTAL PROYECTO 17

TABLA 4. EQUIPOS DE HARDWARE 22

TABLA 5. EQUIPOS DE SOFTWARE 22

TABLA 6. DEFINICIONES PESO MATRIZ EFI 24

TABLA 7. FORTALEZAS 24

TABLA 8. DEBILIDADES 25

TABLA 9. VALORES PESO MATRIZ EFE 25

TABLA 10. OPORTUNIDADES 26

TABLA 11. AMENAZAS 26

TABLA 12. CATEGORIZACIÓN DE LOS ACTIVOS SEGÚN MAGERIT 31

TABLA 13. ETIQUETADO DE ACTIVOS 31

TABLA 14. DIMENSIONES DE UN ACTIVO 32

TABLA 15. ESCALA VALORACIÓN DIMENSIONES DE UN ACTIVO 32

TABLA 16. LISTADO ACTIVOS IDENTIFICADOS 33

TABLA 17. VALORACIÓN DE LOS ACTIVOS 35

TABLA 18. CATEGORIZACIÓN DE AMENAZAS 37

TABLA 19. FORMATO DOCUMENTACIÓN DE AMENAZAS 38

TABLA 20. DOCUMENTACIÓN AMENAZA INCENDIO 38

TABLA 21. DOCUMENTACIÓN AMENAZA INUNDACIÓN 39

TABLA 22. DOCUMENTACIÓN AMENAZA TERREMOTO 39

TABLA 23. DOCUMENTACIÓN AMENAZA FUEGO 39

TABLA 24. DOCUMENTACIÓN AMENAZA DAÑOS POR AGUA 40

TABLA 25. DOCUMENTACIÓN AMENAZA CONTAMINACIÓN ELECTROMAGNÉTICA 40

TABLA 26. DOCUMENTACIÓN AMENAZA CORTE DEL SUMINISTRO ELÉCTRICO 40

TABLA 27. DOCUMENTACIÓN AMENAZA CONDICIONES INADECUADAS O HUMEDAD 40

TABLA 28. DOCUMENTACIÓN AMENAZA FALLO SERVICIO DE COMUNICACIONES 41

TABLA 29. DOCUMENTACIÓN AMENAZA DEGRADACIÓN SOPORTES ALMACENAMIENTO 41

TABLA 30. DOCUMENTACIÓN AMENAZA ERRORES DE LOS USUARIOS 41

TABLA 31. DOCUMENTACIÓN ERRORES DEL ADMINISTRADOR 42

TABLA 32. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN 42

TABLA 33. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN 42

TABLA 34. DOCUMENTACIÓN ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN 42

TABLA 35. DOCUMENTACIÓN VULNERABILIDAD DE PROGRAMAS 43

TABLA 36. DOCUMENTACIÓN ERRORES DE MANTENIMIENTO 43

TABLA 37. DOCUMENTACIÓN CAÍDA DEL SISTEMA AGOTAMIENTO DE RECURSOS 43

TABLA 38. DOCUMENTACIÓN AMENAZA PERDIDA DE EQUIPOS 44

TABLA 39. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL 44

TABLA 40. DOCUMENTACIÓN AMENAZA SUPLANTACIÓN DE IDENTIDAD 44

TABLA 41. DOCUMENTACIÓN AMENAZA ABUSO PRIVILEGIOS DE ACCESO 44

TABLA 42. DOCUMENTACIÓN AMENAZA USO NO PREVISTO 45

TABLA 43. DOCUMENTACIÓN AMENAZA ACCESO NO AUTORIZADO 45

TABLA 44. DOCUMENTACIÓN AMENAZA DENEGACIÓN DE SERVICIO 45

TABLA 45. DOCUMENTACIÓN AMENAZA MANIPULACIÓN DE PROGRAMAS 46

6

TABLA 46. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL 46

TABLA 47. LISTADO DE VULNERABILIDADES POR AMENAZA 49

TABLA 48. ESCALA VALORACIÓN IMPACTO MAGERIT 53

TABLA 49. ESCALA PROBABILIDAD DE OCURRENCIA MAGERIT 53

TABLA 50. MAPA DE CALOR RIESGO POTENCIAL 55

TABLA 51. EFECTOS DE LAS SALVAGUARDAS 56

TABLA 52. MAPA CALOR RIESGO RESIDUAL 57

TABLA 53. CAPAS ARQUITECTURA JEE 6 62

TABLA 54. TECNOLOGÍAS UTILIZADAS EN DESARROLLO 63

TABLA 55. CONDICIONES DE AMBIENTE DESARROLLO 64

TABLA 56. LICENCIAS DE SOFTWARE 65

TABLA 57. ROLES DE USUARIO 65

TABLA 58. CASO DE USO NO 1 68










7

RESUMEN

El presente trabajo contiene un guía para que las entidades de contact center

puedan implementar modelos de seguridad de la información (SGSI) , basado en la

normatividad ISO 27001 , se desarrollará un esquema de seguridad de la

información tomando referencia un caso de estudio de una empresa colombiana

dedicada a contact center.

Mediante el presente documento y un prototipo de software en arquitectura web, se

pretende realizar la gestión de riesgos del caso estudio en cuestión, para que las

empresas de contact center tengan una base con la cual plantar sus sistemas de

seguridad tan necesarios con la cantidad de amenazas que pueden afectar el

negocio y su continuidad.

Se decide tomar dicha actividad empresarial para implementar como base

fundamental la norma ISO 27001, ya que estos modelos de negocio están sujetos

porcentajes de disponibilidad muy altos, que requieren control de riesgos que

puedan afectar al negocio.

La categorización de los activos, la recopilación y evaluación de los riesgos, los

controles y monitoreo asociados que se presentarán a continuación tienen como

objetivo reducir las escalas de probabilidad de ocurrencia de los riesgos y los

impactos en activos propiamente.

Realizadas estas buenas prácticas, las empresas de contact center podrán tener

una base más clara de cómo responder a los riesgos esfuerzo que afecten al

negocio.

8

ABSTRACT

The present work contains a guide so that the contact center entities can implement

information security models (SGSI), based on the ISO27001 norms, an information

security scheme will be developed taking reference to a case study of a Colombian

company dedicated to contact center.

Through this document and a prototype of software in web architecture, it is intended

to perform the risk management of the case study in question, so that the contact

center companies have a base with which to plant their necessary security systems

with the amount of threats that can affect the business and its continuity.

It was decided to take this business activity to implement the ISO 27001 standard

as a fundamental basis, since these business models are subject to very high

availability percentages, which require control of risks that may affect the business.

The categorization of the assets, the collection and evaluation of risks, the

associated controls and monitoring that will be presented below, aim to reduce the

probability scales of the occurrence of the risks and the impacts on assets

themselves.

Once these good practices have been carried out, the contact center companies can

have a clearer basis on how to respond to the risks that affect the business.

9

INTRODUCCIÓN

En la actualidad con la globalización de las tecnologías de la información y las

innumerables actividades de las empresas de diversos sectores, es necesario hacer

uso de dichas tecnologías para controlar, gestionar y salvaguardar la información

de una empresa.

Sin embargo el uso de las tecnologías de la información y las malas prácticas

aplicadas por las empresas, hacen visibles amenazas que pueden impactar de

forma negativa sus activos, desde el factor tecnológico hasta el factor humano

pueden ser un riesgo para la organización.

Los sistemas de gestión de seguridad de la información (SGSI), recogen prácticas

aplicables las organizaciones para que sean capaces de hacer frente a estas

amenazas.

Realizar una adecuada gestión de riesgos en una organización garantiza la

continuidad del negocio siendo resiliente ante amenazas existentes y futuras.

Para ello la norma ISO27001 estipula ciertos controles y monitoreo que permiten

realizar mejora continua a nuestros sistemas de gestión de seguridad.

Dicho de esta manera la implementación de una guía para gestionar la seguridad

de la información, trae beneficios para las organizaciones que le permiten proteger

al negocio.

10

DEFINICIÓN, OBJETIVOS Y

ANÁLISIS DEL PROBLEMA

11

1. DEFINICIÓN, OBJETIVOS Y ANÁLISIS DEL PROBLEMA

1.1 Título

Guía de sistema de gestión de seguridad de la información (SGSI) para

entidades de contact center.

1.2 Planteamiento de la problemática

Actualmente la mayoría de empresas dedicadas al contacto de clientes por

distintos medios como mensajes de texto, telefónicamente y demás opciones,

no implementan procesos que le permitan salvaguardar de forma adecuada sus

activos de información, para el caso de las organizaciones de contact center es

de vital importancia proteger procesos y servicios brindados en la operación de

la empresa.

En general los servicios de contact center son de operación continua 24 horas

7 días a la semana y por ello mantener su infraestructura tecnológica libre de

ataques y vulnerabilidades es vital para el negocio ya que permite evitar

interrupción en la operación.

Como las organizaciones dedicadas a esta actividad no tienen mecanismos

eficaces para afrontar y controlar los riesgos y vulnerabilidades, es necesario

implementar un diseño que permita gestionar y establecer políticas a través de

un SGSI, que permita alinear a estas organizaciones para afrontar las

amenazas actuales y cómo prepararse a futuro, y garantizar la disponibilidad y

confiabilidad de sus servicios de cara al usuario.

De esta forma diseñar un sistema que gestione la seguridad de la información,

permite a las empresas de contact center seguir un modelo estándar para

afrontar los problemas de seguridad y permitir a las áreas de tecnología

reaccionar y tomar medidas rápidas a cualquier evento que amenace la

integridad de la información y disponibilidad de servicios.

1.3 OBJETIVOS

1.3.1 Objetivo General

Diseñar una guía de sistema de gestión de seguridad de la información

para organizaciones de contact center, basado en la norma ISO/IEC

27001 que permita establecer políticas y procedimientos para el

tratamiento de riesgos.

12

1.3.2 Objetivos Específicos

➢ Analizar la situación actual de la seguridad de la información para las

entidades dedicadas a servicios de contact center en un caso de

estudio puntual de una empresa.

➢ Identificar los activos y amenazas que se pueden presentar en las

compañías de contact center.

➢ Analizar y realizar gestión de riesgos que se pueden presentar en los

contact center, orientado con los fundamentos de la metodología

Magerit.

➢ Establecer políticas y mecanismos que permitan mitigar riesgos

identificados que puedan afectar los activos de información.

➢ Desarrollar una aplicación web que permita consultar los riesgos,

políticas, controles e información del SGSI.

1.4 MARCO TEÓRICO

1.4.1 Estado del Arte

La seguridad de la información es un punto importante dentro de todas las

organizaciones, proteger los datos y todos los activos de la información de la

empresa es de vital importancia para el funcionamiento del negocio.

Así como velar por la disponibilidad de los servicios, ya que son la base de la

organización para ello es necesario tener lineamientos claros de cómo

salvaguardar y proteger la información de la empresa y de terceros.

Estos lineamientos y políticas se pueden sustentar y servir de modelo guía de

acuerdo con la norma ISO 27001, con el fin de establecer medidas que

permitan reducir la probabilidad de ocurrencia de un hecho que afecte la

información.

Los Sistemas de gestión de seguridad de la información permiten establecer

dichas medidas y tener un modelo de seguridad con mayor reacción y

anticipación de las amenazas.

Las entidades de contact center , en sus líneas típicas de cobranza de

obligaciones y venta de servicios , maneja información importante de titulares

,clientes y demás información sensible , y que es necesario proteger para

garantizar la continuidad del negocio en operación, así como amenazas que

puedan afectar equipos , servicios e información propia de la organización, de

igual manera es importante proteger los canales de contacto , ya que es la base

fundamental de este tipo de organizaciones.

13

1.4.2 Conceptos Introductorios

1.4.2.1 Sistema de gestión de seguridad de la información SGSI1.

Es el concepto central sobre el que se construye ISO 27001. La gestión de la

seguridad de la información debe realizarse mediante un proceso sistemático,

documentado y conocido por toda la organización.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propósito de un sistema de

gestión de la seguridad de la información es, por tanto, garantizar que los

riesgos de la seguridad de la información sean conocidos, asumidos,

gestionados y minimizados por la organización de una forma documentada,

sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se

produzcan en los riesgos, el entorno y las tecnologías. Las organizaciones y

sus sistemas de información están expuestos a un número cada vez más

elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades

existentes, pueden someter a activos críticos de información a diversas formas

de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el

“hacking” o los ataques de denegación de servicio son algunos ejemplos

comunes y conocidos, pero también se deben considerar los riesgos de sufrir

incidentes de seguridad causados voluntaria o involuntariamente desde dentro

de la propia organización o aquellos provocados accidentalmente por

catástrofes naturales y fallos técnicos.

1.4.2.2 Norma ISO/IEC 270012

Es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información

en una empresa. La revisión más reciente de esta norma fue publicada en

2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión

se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-

2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o

sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los

mejores especialistas del mundo en el tema y proporciona una metodología

para implementar la gestión de la seguridad de la información en una

organización. También permite que una empresa sea certificada; esto significa

que una entidad de certificación independiente confirma que la seguridad de

la información ha sido implementada en esa organización en cumplimiento con

la norma ISO 27001.

1 SGSI. http://www.iso27000.es/sgsi.html 2 ISO 27001. https://advisera.com/27001academy/es/que-es-iso-27001/

14

1.4.2.3 Norma ISO/IEC 27002 de 20133

La Norma ISO 27002 está estructura en 14 capítulos que describen las áreas

que hay que considerar para garantizar la seguridad de la información de que

dispone la organización. En total, el documento recomienda un total de 114

controles que, si bien no hace falta cumplirlos todos, sí que hay que tenerlos

en cuenta y considerar su posible aplicación, así como el grado de la misma.

TABLA 1. DOMINIOS ISO27002

Nombre del Capítulo

1.Políticas de Seguridad de información

2.Organización de la seguridad de la información

3.Seguridad Relativa a los recursos humanos

4.Gestión de Activos

5.Control de Acceso

6.Criptografía

7.Seguridad Física y del entorno

8.Seguridad de las operaciones

9.Seguridad de la comunicaciones

10.Adquisiciones , desarrollo y mantenimiento de los sistemas de información

11.Relación con los proveedores

12.Gestión de incidentes de seguridad de la información

Fuente: Autores

1.4.2.4 Metodología Magerit para gestión de riesgos4

Puntualmente MAGERIT se basa en analizar el impacto que puede tener para

la empresa la violación de la seguridad, buscando identificar las amenazas que

pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser

utilizadas por estas amenazas, logrando así tener una identificación clara de

las medidas preventivas y correctivas más apropiadas. Lo interesante de esta

metodología, es que presenta una guía completa y paso a paso de cómo llevar

a cabo el análisis de riesgos. Esta metodología está

3 ISO 27002 de 2013. http://iso27000.es/iso27002.html

15

dividida en tres libros. El primero de ellos hace referencia al Método, donde se

describe la estructura que debe tener el modelo de gestión de riesgos. Este

libro está de acuerdo a lo que propone ISO para la gestión de riesgos.

1.4.2.5 Ciclo PHVA o ciclo Deming5

También es conocido como Ciclo de mejora continua o Círculo de Deming,

esta metodología describe los cuatro pasos esenciales que se deben llevar a

cabo de forma sistemática para lograr la mejora continua, entendiendo como

tal al mejoramiento continuado de la calidad (disminución de fallos, aumento

de la eficacia y eficiencia, solución de problemas, prevención y eliminación de

riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas,

de forma que una vez acabada la etapa final se debe volver a la primera y

repetir el ciclo de nuevo, de forma que las actividades son reevaluadas

periódicamente para incorporar nuevas mejoras. La aplicación de esta

metodología está enfocada principalmente para para ser usada en empresas

y organizaciones. Las etapas del ciclo Deming se presentan de la siguiente

manera:

Planificar (Plan): Se buscan las actividades susceptibles de mejora y

se establecen los objetivos a alcanzar. Para buscar posibles mejoras

se pueden realizar grupos de trabajo, escuchar las opiniones de los

trabajadores, buscar nuevas tecnologías mejores a las que se están

usando ahora, etc.

Hacer (Do): Se realizan los cambios para implantar la mejora

propuesta. Generalmente conviene hacer una prueba piloto para

probar el funcionamiento antes de realizar los cambios a gran escala.

Controlar o Verificar: Una vez implantada la mejora, se deja un

periodo de prueba para verificar su correcto funcionamiento. Si la

mejora no cumple las expectativas iniciales habrá que modificarla para

ajustarla a los objetivos esperados. (ver Herramientas de Control).

Actuar (Act): Por último, una vez finalizado el periodo de prueba se

deben estudiar los resultados y compararlos con el funcionamiento de

las actividades antes de haber sido implantada la mejora. Si los

resultados son satisfactorios se implantará la mejora de forma

definitiva, y si no lo son habrá que decidir si realizar cambios para

ajustar los resultados o si desecharla. Una vez terminado el paso 4,

se debe volver al primer paso periódicamente para estudiar nuevas

mejoras a implantar.

4 Magerit. https://www.pmg-ssi.com/2015/03/iso-27001-el-metodo-magerit/ 5 Ciclo Deming. https://www.isotools.com.co/la-norma-iso-9001-2015-se-basa-ciclo-phva/

16

1.5 Solución Tecnológica al planteamiento del problema

Para desarrollar la solución SGSI es necesario hacer uso del estándar

ISO/IEC 27001 como base fundamental para identificar los activos, las

vulnerabilidades, las amenazas, las consecuencias y las probabilidades,

como también definir el nivel aceptable de riesgo.

Definir la metodología de gestión de riesgos para el caso concreto de este

proyecto se utilizara Magerit, obtener una visión integral de los peligros sobre

la información y documentar todos los pasos tomados durante el proceso de

evaluación y tratamiento de riesgos.

Determinar los controles y tratamiento de riesgos definir claramente cómo se

implementarán los controles quien los ejecutará en qué momentos, luego

debemos implementar dichos controles esto implica la implementación de

nuevas conductas en su organización con el fin de garantizar la seguridad de

información.

Desarrollo de un prototipo de software web que permita realizar el

seguimiento y consulta de la gestión de riesgos realizada en términos de

controles , análisis de vulnerabilidades y costos asociados a la

implementación de la solución que permita mitigar el impacto y la

probabilidad de ocurrencia de los riesgos documentados.

1.6 Análisis y Factibilidad Económica

1.6.1 Factibilidad Económica: Recurso Humano

TABLA 2. FACTIBILIDAD ECONOMICA RECURSO HUMANO

Tipo Descripción Hora Cantidad Total

Asesor Asesorías ISO 27001

$ 27.000 80 $ 2’160.000

Total Recurso Humano $ 2’160.000

Fuente: Autores

1.6.2 Factibilidad Económica: Recurso o Factor Técnico

Tipo Descripción Valor Unitario Cantidad Total

Equipos Equipos portátiles $ 1.6500.000 2 $ 3’300.000

17

realización del documento SGSI , Desarrollo de software y pruebas

Internet Conexión a Internet $ 60.000 2 $ 180.000

Total Recurso Humano $ 3’480.000

1.6.3 Costo Total del Proyecto

TABLA 3. COSTO TOTAL PROYECTO

Recurso Valor

Total Recursos Humanos $ 2’160.000

Total Recursos Técnicos $ 3’480.000

Total Otros recursos $ 400.000

Costos imprevistos (20%) $ 1’772.000

TOTAL COSTO $ 7’812.000

Fuente: Autores

18

1.6.4 CRONOGRAMA DE TRABAJO

19

SITUACIÓN EMPRESARIAL

CASO DE ESTUDIO

20

2. SITUACIÓN EMPRESARIAL Y CASO DE ESTUDIO

Las organizaciones de contact center, son empresas cuyo manejo de

información es constante y relativamente no se detienen con relación a

empresas dedicadas a otros sectores productivos, la información de los clientes,

procesos, activos y lo necesario para la operación diaria pueden verse

afectados, el constante uso de información, los grandes volúmenes de datos y

los tiempos de operación son razones proteger la organización, brindar

disponibilidad , eficiencia de servicio y mantener la continuidad del negocio .

Para ello se llegara a la práctica una guía que permita organizar y evidenciar

como realizar gestión de riesgos y protegerse de las constantes amenazas que

pueden afectar el negocio de manera negativa, Tomando como referente una

organización colombiana del sector de contact center.

2.1 Caso de estudio para análisis y gestión de riesgos

SistemGroup es una empresa que ofrece portafolios de servicios en venta de

servicios, y cobranza de cartera a través de contact center (entrada y salida de

llamadas, contacto por correo, mensajería, visitas a domicilio), con alrededor de

35 clientes en distintos sectores, entre ellos están las telecomunicaciones,

banca, farmacéuticos y asegurador.

La empresa cuenta con sucursales en las ciudades de Bogotá, Barranquilla,

Medellín y Cali y centro administrativo ubicado en la ciudad de Bogotá.

Dentro de la organización se encuentra una extensa área de tecnología que

suple las necesidades para el funcionamiento de la empresa entre estas áreas

se encuentran:

Área de Infraestructura: Que se encarga de suplir las necesidades de

comunicaciones y redes, servidores y espacio tecnológico de la

compañía.

Área de Desarrollo de Software: Se encarga del desarrollo de

requerimientos asociados a todas las áreas de la empresa.

Área de Soporte: Mesa de ayuda disponible para atender necesidades

urgentes en todas las áreas y para todas las sucursales.

Área de Inteligencia: Encargada de establecer márgenes estadísticos

con relación a la operación del negocio.

La base central del negocio está relacionada con el personal de operación entre

los cuales encontramos los siguientes roles:

Agentes o asesores: Es el personal encargado de realizar la gestión de

cobranza y venta por los diferentes canales.

Coordinadores : Encargados de realizar el seguimiento de las diferentes

campañas de venta y cobranza y de asegurar metas establecidas

21

Analistas de Planeación: Este rol realiza la asignación de tareas en las

diferentes campañas de acuerdo a las estrategias de venta y cobranza

propias del negocio.

Analistas de Calidad: Área encargada monitorear llamadas y canales

con el fin de verificar que los servicios se brinden de una forma rápida y

atenta.

En común los modelos de empresa actuales, la empresa cuenta con área de

recursos humanos y personal administrativo en interactúan los siguientes roles:

Personal de contabilidad y tesorería: Encargados de mantener la

contabilidad de la organización.

Área de Recursos Humanos: Área encargada de realizar toda la gestión

del talento humano para todas las áreas de la organización.

Personal Jurídico: Personal encargado de realizar los procesos jurídicos

y de más procesos legales a carteras donde los titulares están

demandados para cobro jurídico

Personal de Implementación: Área designada para verificar, corregir e

implementar procesos en la operación que permitan la eficiencia más alta.

La interacción y los procesos internos entre todas las áreas y el personal

mencionado anteriormente, hacen que el flujo y la cantidad de información sea

muy grande, el manejo de información importante relacionada con clientes,

situaciones contables, procesos en la operación entre otros.

De igual manera salvaguardar todo equipo servicio y procesos que contenga

información importante del negocio es de prioridad alta

El modelo de negocio está orientado a la disponibilidad de su personal y de sus

plataformas tecnológicas para que pueda operar todos los días de la semana

en horario continuo.

Se requiere analizar factores internos y externos que afecten de forma negativa

a la organización y poder controlar dichos factores (fuga de información,

fraudes, incidentes tecnológicos, recurso humano) y todo lo que pueda ser una

amenaza.

El negocio requiere de manera inmediata realizar la implementación de

procesos que le permitan estar preparada para responder a eventos que la

puedan impactar de manera negativa.

Analizando desde un punto de vista global la organización se realizará gestión

de riesgos, que le permitan tener márgenes de confidencialidad y consistencia

de información y disponibilidad altos, además de mantener y ganar su imagen

22

reputacional como una de las empresas líderes en el sector, y servir de modelo

para otras organizaciones.

2.2 Caracterización tecnológica de la empresa

SistemGroup cuenta con las siguientes características de infraestructura, que le

permiten ejecutar el negocio.

2.2.1 Equipos de Hardware

TABLA 4. EQUIPOS DE HARDWARE

Descripción Cantidad

Equipos de Mesa y portátiles 523

Servidores de Troncal Telefónica 14

Servidores de Base de datos 8

Servidores de servicios 10

Televisores 8

Equipos de Monitoreo de red Forti 4

UPS y planta de energía 2

TOTAL 569

Fuente: Autores

La falla, caída o daño de alguno de estos equipos de red puede causar pérdidas

en dinero o en imagen reputacional a la empresa, ya que la disponibilidad de

los servicios y la operación misma en uno o varios sectores de la organización

así como en sus sucursales, pueden verse afectadas.

2.2.2 Equipos de Software

TABLA 5. EQUIPOS DE SOFTWARE

Descripción Cantidad

Bases de datos SQL Server 2008 27

Servidores de Aplicaciones Glassfish 15

Instancias Telefónicas de Asterisk 20

Software de monitoreo y filtro web Forti 2

23

Servidor de estadística e inteligencia Power BI y Tableu 2

Software contable Siigo 1

CRM de gestión de venta y cobranza web 3

Licencias de Microsoft Windows 502

Servidores Centos 6 15

TOTAL 572

Fuente: Autores

Tener salvaguardados todos estos servicios de información, es la mayor

prioridad, una intrusión, una caída o condiciones no indicadas para la operación

de estos servicios puede lanzar a pique la operación de todo el negocio.

La infraestructura de software listada anteriormente, es el flujo total de

información de la organización (captura, procesamiento, almacenamiento).

La información es el insumo principal de la organización y por ello hay que

salvaguardar cada sector de información.

2.3 Condiciones de seguridad de la empresa

SistemGroup tiene actualmente los siguientes controles de seguridad básicos

que le permiten controlar algunos aspectos de la seguridad de la información

para la empresa:

Directorio activo

Controles de perfiles a aplicaciones

Filtros web por equipos de red.

A pesar de estos controles en algunos puntos de la organización, esta sigue

expuesta a amenazas y factores internos y externos que pueden afectarla al

borde de afectar su operación continua y terminar con el negocio.

En los siguientes capítulos se pretende hacer uso de todas las herramientas

necesarias para identificar, evaluar y mitigar cada riesgo que pueda tener desde

un impacto muy grande a un impacto mínimo en alguna zona de información de

la organización.

A continuación se inicia toda la gestión de riesgo de acuerdo a la metodología

seleccionada (Magerit) en un ciclo de iterativo y de mejora continua que permita

a la organización tener la capacidad de anticipar y responder a los múltiples

riesgos presentes desde el punto de vista de la gestión de riesgos.

24

2.4 Matriz EFI6

La matriz EFI (Evaluación de factores internos) es un instrumento para formular

estrategias que resume y evalúa las fuerzas y debilidades más importantes

dentro de las áreas funcionales de la empresa. Además ofrece una base para

identificar y evaluar las relaciones entre dichas áreas, así como la manera en

que cada una interviene en los objetivos de la empresa.

2.4.1 Definición de valores de peso y calificación matriz EFI

Para la evaluación del peso se tendrá una escala entre 0.0 (no importante) a

1.0 (absolutamente importante) a cada uno de los factores. El peso adjudicado

a un factor dado indica la importancia relativa del mismo para alcanzar los

objetivos de la empresa. Para la evaluación de calificación entre 1 y 4 a cada

uno de los factores a efecto de indicar si el factor representa.

TABLA 6. DEFINICIONES PESO MATRIZ EFI

Calificación Descripción

1 Debilidad mayor

2 Debilidad menor

3 Fuerza menor

4 Fuerza mayor

Fuente: Autores

2.4.2 Fortalezas

TABLA 7. FORTALEZAS

Factores Peso Calificación Ponderado

Disponibilidad de servicios 0.23 4 0.92

Garantías de seguridad de archivos y bases de información

0.17 4 0.68

Alianzas más fuertes con otras empresas 0.19 3 0.57

Clasificación de información y confidencialidad 0.19 3 0.57

Planes de contingencia para la continuidad del negocio

0.22 4 0.88

Total 1 3.62

Fuente: autores

6 Matriz EFI https://yiminshum.com/matriz-evaluacion-factores-internos-mefi/

25

2.4.3 Debilidades

TABLA 8. DEBILIDADES


Políticas de seguridad no definidas 0.23 1 0.23

Retraso y falta de continuidad en el proceso de gestión de riesgos

0.19 2 0.38

Disponibilidad de servicios no cumple el porcentaje necesario para el negocio

0.18 2 0.36

Pérdidas y fugas de información delicada 0.23 1 0.23

Falta de concientización del personal , en temas de seguridad de información

0.17 2 0.34

Total 1 1.54

Fuente: Autores

2.5 Matriz EFE7

La matriz EFE (Evaluación de factores externos) es un instrumento para

formular estrategias que resume y evalúa las oportunidades y amenazas

relevantes en el ámbito económico en el que se encuentra la empresa.

2.5.1 Definición de valores de peso y calificación matriz EFE.

Para la evaluación del peso se tendrá una escala entre 0.0 (no importante) a

1.0 (absolutamente importante) a cada uno de los factores. El peso adjudicado

a un factor dado indica la importancia relativa del mismo para alcanzar los

objetivos de la empresa. Para la evaluación de calificación entre 1 y 4 a cada

uno de los factores a efecto de indicar si el factor representa.

TABLA 9. VALORES PESO MATRIZ EFE

Calificación Descripción

1 Amenaza mayor

2 Amenaza menor

3 Oportunidad menor

4 Oportunidad mayor

Fuente : autores

7 Matriz EFE http://www.joseacontreras.net/direstr/cap491d.ht

http://www.joseacontreras.net/direstr/cap491d.ht

26

2.5.2 Oportunidades

TABLA 10. OPORTUNIDADES


Aumentar Imagen reputacional 0.20 4 0.8

Confianza organizacional ante riesgos 0.22 4 0.88

Procesos bien definidos en respuesta a los riesgos

0.18 3 0.54

Mejora continua en seguridad de la información 0.17 3 0.51

Modelo de seguridad ante otras empresas del sector

0.23 4 0.92

Total 1 3.65

Fuente: Autores

2.5.3 Amenazas

TABLA 11. AMENAZAS


Mala gestión de riesgos 0.28 1 0.28

No concientizar al personal de la organización 0.23 2 0.46

Recursos económicos no disponibles 0.27 2 0.54

Mala asignación de los roles y las tareas 0.22 2 0.44

Total 1 1.72

Fuente: Autores

2.6 Matriz DOFA

A través de esta matriz se logra diagnosticar la situación actual de la

organización, identificando y colocando atención en los puntos que se

consideran relevantes, en este caso aspectos relacionados con salvaguardar la

información de la organización. Además conduce a una mejora planeación

como primera etapa para la definición e implementación de un sistema de

gestión de la información en este caso para organizaciones en el sector del

contact center.

27

A continuación se presenta la matriz DOFA para el caso de estudio definido en

los numerales anteriores:

Fortalezas (F) 1. Disponibilidad de servicios. 2. Garantías de seguridad de

archivos y bases de información

3. Buena imagen y satisfacción por parte del cliente.

4. Alianzas más fuertes con otras empresas.

5. Clasificación de información y confidencialidad

6. Planes de contingencia para la continuidad del negocio

Debilidades (D) 1. Políticas de seguridad no

definidas 2. Retraso y falta de

continuidad en el proceso de gestión de riesgos

3. Disponibilidad de servicios no cumple el porcentaje necesario para el negocio.

4. Pérdidas y fugas de información delicada.

5. Falta de concientización del personal , en temas de seguridad de información

Oportunidades (O) 1. Aumentar Imagen

reputacional. 2. Confianza organizacional

ante riesgos. 3. Procesos bien definidos

en respuesta a los riesgos.

4. Mejora continua en seguridad de la información.

5. Modelo de seguridad ante otras empresas del sector

Estrategias (FO) 1. Emprender procesos de

seguridad en materia de gestión de riesgos que promuevan la mejora continua de los esquemas de protección de información de la compañía.

2. Fortalecer las características de Disponibilidad y consistencia de los servicios prestados al cliente

Estrategias (DO) 1. Establecer campañas y

métodos de concientización del personal de cómo ayudar a proteger la información de la organización.

2. Impulsar planes que permitan analizar y evaluar los riesgos de manera continua y periódica.

3. Esquematizar y documentar planes de reacción y políticas para mitigar o eliminar riesgos relevantes

Amenazas (A) 1. Mala gestión de riesgos. 2. No concientizar al

personal de la organización

3. Recursos económicos no disponibles.

4. Mala asignación de los roles y las tareas.

Estrategias (FA) 1. Planeación correcta de la

gestión de riesgos y la elaboración de dichos planes para reaccionar y mejorar la seguridad de la información de la organización.

Estrategias (DA) 1. Estudiar Metodologías y

herramientas que permitan realizar buenas prácticas para la gestión de riesgos.

2. Analizar y reducir los costos para la implementación de planes para reacción a riesgos

28

Una vez recolectada la información de la organización como se ha realizado en

este capítulo, se tienen insumos para saber que se busca proteger de la

organización, y realizar una evaluación de como la organización está enfrentando

los problemas de seguridad sin realizar la respectiva gestión de riesgos que se

desarrollara en los siguientes capítulos.

Esta información recolectada también sirve para identificar qué factores pueden

determinar un problema para la continuidad del negocio, además de conocer las

necesidades de la organización y así realizar una planeación y ejecución de

esquemas de seguridad eficientes que permitan a la empresa asegurar y proteger

su información de cualquier agente.

Posterior a toda la información conseguida, se debe empezar a utilizar la

metodología Magerit, que nos brinda una forma de trabajo para realizar toda la

gestión de riesgos, lo cual se tocara a profundidad en adelante.

29

PLANIFICACION, ACTIVOS

AMENAZAS

30

3. PLANIFICACION, ACTIVOS AMENAZAS

Con el objetivo de tomar como referencia la situación empresarial del capítulo

anterior, se tiene previsto realizar la respectiva gestión de riesgos como lo

plantean los capítulos de la norma ISO 27001, y la aplicación de controles como

lo sostiene la norma ISO 27002 del 2013, sin embargo se precisa hacer uso de

Magerit una metodología que permite a los analistas de riesgos tomar como

marco de referencia un paso a paso de cómo realizar gestión efectiva de riesgos.

Antes de empezar a tomar como referencia Magerit es necesario entender cierta

terminología para abordar de manera adecuada cada paso de la gestión de

riesgos.

3.1 Terminología de Magerit

● Activo8: Componente o funcionalidad de un sistema susceptible a ser

atacado deliberada o accidentalmente con consecuencias para la

organización.

● Amenaza9: Causa potencial de un incidente que puede causar daños a

un sistema de información o a una organización.

● Vulnerabilidad10: Hecho mediante el cual una amenaza pueda

materializarse y generar impacto en un activo.

● Riesgo Potencial11: Se denomina riesgo a la medida del daño probable

sobre un sistema. Conociendo el impacto de las amenazas sobre los

activos, es directo derivar el riesgo sin más que tener en cuenta la

probabilidad de ocurrencia.

● Salvaguardas12: Se definen las salvaguardas o contramedidas como

aquellos procedimientos o mecanismos que reducen el riesgo,

presentando la relación de mecanismos para cada uno de los activos,

según el catálogo de elementos de Magerit.

● Impacto Residual13: Dado cierto conjunto de salvaguardas desplegadas

y una medida de madurez de su proceso de gestión, el sistema queda en

una situación de posible impacto que se denomina residual.

● Riesgo Residual14: Dado un cierto conjunto de salvaguardas

desplegadas y una medida de la madurez de su proceso, el sistema

queda en una situación de riesgo que se denomina residual, se modifica

desde un valor potencial a un valor residual.

Una vez contextualizados los términos claves, se iniciaría con el proceso

base de la gestión de riesgos que tiene que ver con la identificación de los

activos de información de la organización. Partiendo de esta base podremos

derivar como pueden ser afectados estos activos y cómo protegerlos de

cualquier tipo de agente que puede perjudicarlos.

8, 9, 10, 11, 12, 13,14 MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información. Libro I - Método

31

3.2 Identificación de los activos

La identificación de los activos es el primer paso según Magerit para realizar

todo el proceso de gestión del riesgo. Así como la identificación de los activos

es importante también lo es su categorización de acuerdo con sus

características, con lo cual la identificación de cada activo este debe ser

categorizada.

3.2.1 Categorización de activos según Magerit

La metodología Magerit propone una categorización completa con la cual

ubicar cada activo de información identificado de acuerdo a sus características

funcionales, físicas, entre otras.

TABLA 12. CATEGORIZACIÓN DE LOS ACTIVOS SEGÚN MAGERIT

Categoría

Activos de Software o aplicaciones

Activos de Hardware

Activos de Información

Activos de Servicios

Activos de Infraestructura

Activos de Recurso Humano

Fuente: Magerit Version 3 Libro de Método

Es importante clasificar los activos en alguno de los grupos presentados

anteriormente, ya que el en pasos más adelante la categorización del activo

puede marcar pautas para decidir cómo realizar la gestión de un riesgo.

3.2.2 Etiquetado de Activos

Presentadas las categorías a las que un activo de información puede

pertenecer se hace necesario etiquetar cada activo identificado, las etiquetas

están relacionadas con cada categoría. El etiquetado de los activos busca en

general brindar un identificador para cada activo de acuerdo a la clasificación

en la que se encuentre. Para hecho se propone que para tipo de activo se

maneje una etiqueta que se conforma como se muestra a continuación:

TABLA 13. ETIQUETADO DE ACTIVOS

Categoría del Activo Etiqueta

Activos de Software o aplicaciones ASOFT-###

32

Activos de Hardware AHARD-###

Activos de Información AINFO-###

Activos de Servicios ASERV-###

Activos de Infraestructura AINFR-###

Activos de Recurso Humano ARRHH-###

Fuente: Autores

3.2.3 Características o dimensiones de una activo

Es importante conocer cuáles son las características de un activo y el valor que

tiene para una organización.

Sin embargo las características de un activo van más allá del contexto físico o

funcional, Magerit aconseja enfocarse en 3 propiedades de los activos que

pueden dar al observador un objeto con el cual realizar una valoración de un

determinado activo.Estas propiedades se denominan “Dimensiones” y son

atributos de los activos que pueden ser valorados de forma cualitativa. Estas

propiedades son:

TABLA 14. DIMENSIONES DE UN ACTIVO

Fuente: Autores

Estas son las características básicas a valorar en un activo pero es necesario

poder dar un valor cuantitativo a cada uno de estos aspectos.

3.2.4 Escala de valoración de las características o dimensiones de un

activo

Después de conocer las características o dimensiones fundamentales de un

activo, estas deben ser evaluadas de acuerdo a una escala propuesta por

Magerit:

TABLA 15. ESCALA VALORACIÓN DIMENSIONES DE UN ACTIVO

Rango de Valor Valor Criterio

10 Extremo Daño extremadamente grave

Dimensión Antecedente

Confidencialidad ¿Qué daño causaría que lo conociera quien no debe?

Integridad ¿Qué perjuicio causaría que estuviera dañado ?

Disponibilidad ¿Qué perjuicio causaría no poder utilizarlo?

33

9 Muy alto Daño muy grave

6-8 Alto Daño grave

3-5 Medio Daño importante

1-2 Bajo Daño Menor

0 Despreciable

Irrelevante a efectos prácticos Fuente: Magerit Version 3 Libro de Método

3.2.5 Listado de activos identificados

A continuación se listan los activos de información identificados del caso

empresarial propuesto y su respectiva categorización presentada la cual fue

presentada en el numeral 3.2.1 con base a este listado iniciaremos la

identificación de agentes que pueden causar daños y cómo abordarlos.

TABLA 16. LISTADO ACTIVOS IDENTIFICADOS

Etiqueta Nombre del Activo Categoría

AHARD-001 Discos Duros Externos

Activos de

Hardware

AHARD-002 Equipos de Computo

AHARD-003 Memorias USB y Magnéticos

AHARD-004 Impresoras y Fax

AHARD-005 Equipos de Red

AINFO-001 Procesos de Operación Contacto

Activos de

Información

AINFO-002 Manuales de Gestión de Cobranza CRM

AINFO-003 Procesos de Implementación

AINFO-004 Documentación Física del Recurso Humano

AINFO-005 Documentos Administrativos

AINFO-006 Manuales de Usuario

AINFO-007 Grabaciones de Gestión de contacto(LLamadas mensajes)

AINFO-008 Tableros de control estadísticos

AINFO-009 Contratos

AINFO-010 Documentos Proceso de Desarrollo Software

AINFO-011 Cintas con backups

34

AINFO-012 Libros Contables

AINFO-013 Documentación Jurídica

AINFR-001 Camaras de seguridad

Activos de

Infraestructura

AINFR-002 Planta Eléctrica y UPS

AINFR-003 Aire Acondicionado Centro Datos

AINFR-004 Troncal Telefónica

ARRHH-001 Personal Operación Call Center

Activos de

RRHH

ARRHH-002 Personal Administrativo

ARRHH-003 Personal de desarrollo de tecnología

ASERV-001 Equipos Celulares Activos de Servicio

ASOFT-001 Bases de Datos Clientes (SQL, Excel Access)

Activos de

Software

ASOFT-002 Repositorio de Aplicaciones productivas

ASOFT-003 Repositorio de Aplicaciones desarrolladas

ASOFT-004 Asterisk Voip

ASOFT-005 Sistemas Operativos Windows

ASOFT-006 Sistemas Operativos CentOS

ASOFT-007 Aplicaciones Web de la operación

Fuente: Autores

3.3 Valoración de los activos

Una vez identificados todos los activos de información de la empresa, se hace

necesario realizar una valoración evidenciando que tan prescindible es para la

organización y aclarando una visión de que tan grande debe ser el esfuerzo

para protegerlo.

Determinar la valía de un activo aclara el contexto de qué tan importante es

protegerlo , ya que se han definido atributos relevantes de los activos , es decir

sus dimensiones presentadas en el numeral 3.2.3 se hace necesario evaluar

cada una de las dimensiones para ponderar los valores asignados a cada

dimensión y observar qué tan valioso verdaderamente es el activo.

A continuación se presenta la tabla de los activos identificados con su

correspondiente valoración en cada una de las dimensiones, y la valoración final

del activo que en contexto es el promedio de los valores asignados a las

35

dimensiones, valores que deben ser tomados de la escala de valoración

presentada en el numeral 3.2.4

● I (Integridad)

● C (Confidencialidad)

● D (Disponibilidad)

TABLA 17. VALORACIÓN DE LOS ACTIVOS

Descripción Activo Dimensiones Valoración

Etiqueta Nombre del Activo I C D

AINFO-001 Procesos de Operación Contacto

Muy Alto 9 Extremo 10 Alto 9 Alto

AINFO-002 Manuales de Gestión de Cobranza CRM

Medio 4 Muy Alta 9 Alta 7 Alto

AINFO-002 Procesos de Implementación

Alto 7 Muy Alta 9 Medio 5 Alto

ASOFT-001 Bases de Datos Clientes (SQL, Excel Access)

Extremo 10 Extremo 10 Extremo 10 Extremo

ASOFT-002 Repositorio de Aplicaciones productivas

Extremo 10 Muy Alto 9 Muy Alto 9 Muy Alto

ASOFT-003 Repositorio de Aplicaciones desarrolladas

Extremo 10 Muy Alto 9 Muy Alto 9 Muy Alto

AINFO-003 Documentación Física del Recurso Humano

Alto 7 Alto 8 Alto 8 Alto

AINFO-004 Documentos Administrativos

Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto

AHARD-001 Discos Duros Externos Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto

AINFO-005 Manuales de Usuario Medio 5 Alto 7 Alto 7 Alto

AINFO-006 Grabaciones de Gestión de contacto(Llamadas mensajes)


AHARD-002 Equipos de Computo Alto 7 Alto 7 Extremo 10 Alto

AINFR-001 Cámaras de seguridad Alto 7 Extremo 10 Extremo 10 Extremo

36

AINFO-007 Tableros de control estadísticos


ASOFT-004 Asterisk Voip Muy Alto 9 Alto 7 Muy alto 9 Muy Alto

AINFO-008 Contratos Extremo 10 Extremo 10 Muy Alto 9 Extremo

ASERV-001 Equipos Celulares Medio 4 Medio 4 Medio 4 Medio

AHARD-003 Memorias USB y Magnéticos

Alto 7 Alto 7 Muy Alto 9 Alto

AINFO-009 Documentos Proceso de Desarrollo Software

Medio 4 Alto 7 Alto 8 Alto

ARRHH-001 Personal Operación Call Center

Muy Alto 9 Extremo 10 Extremo 10 Extremo

ARRHH-002 Personal Administrativo Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto

AHARD-004 Impresoras y Fax Medio 5 Alto 7 Medio 5 Medio

AINFO-010 Cintas con backups Extremo 10 Extremo 10 Extremo 10 Extremo

ASOFT-005 Sistemas Operativos Windows

Alto 8 Extremo 10 Alto 7 Muy Alto

ASOFT-006 Sistemas Operativos CentOS

Alto 8 Extremo 10 Alto 7 Muy Alto

ASOFT-007 Aplicaciones Web de la operación

Extremo 10 Extremo 10 Extremo 10 Extremo

AINFO-011 Libros Contables Extremo 10 Extremo 10 Extremo 10 Extremo

AINFR-002 Planta Eléctrica y UPS Alto 7 Alto 7 Extremo 10 Alto

AHARD-005 Equipos de Red Muy Alto 9 Muy Alto 9 Extremo 10 Muy Alto

AINFR-003 Aire Acondicionado Centro Datos

Alto 7 Alto 7 Extremo 10 Alto

AINFR-004 Troncal Telefónica Alto 7 Muy Alto 9 Extremo 10 Muy Alto

AINFO-012 Documentación Jurídica Alto 7 Alto 8 Alto 7 Alto

37

ARRHH-003 Personal de desarrollo de software

Muy Alto 9 Alto 7 Alto 7 Alto

Fuente: Autores

3.4 Identificación de amenazas

Con la valoración de los activos realizada en el numeral anterior, y teniendo

claro qué activos son los activos más valiosos, es necesario analizar qué

agentes pueden perjudicarlos que afectar sus características o dimensiones.

Para ello es necesario determinar cuáles son las amenazas que pueden afectar

a cada uno de los activos , identificar cuáles son los incidentes que pueden

causar un daño pequeño o grave , sin importar que tan minúsculo sea un daño

se debe documentarse y dejar en claro cómo puede afectar un activo.

En este numeral se identificaran cuáles son los incidentes que pueden causar

daños a un activo y por consecuencia a la organización.

3.4.1 Categorización de las amenazas

En el catálogo de elementos de la metodología Magerit presenta las posibles

amenazas que pueden degradar un activo, sin embargo existe una

categorización relacionada a la causa de las amenazas.

TABLA 18. CATEGORIZACIÓN DE AMENAZAS

Código Categoría Causa

N Desastres naturales Sucesos que pueden ocurrir sin intervención del ser humano.

I Origen Industrial Sucesos que pueden ocurrir de forma accidental, derivados. de la actividad humana

E Errores y Fallos no intencionados

Errores y fallos no intencionados causados por las personas.

A Ataques intencionados Fallos deliberados causados por las personas.

Fuente: Magerit Versión 3 Libro 2 Catalogo de Elementos

Para cada una de las categorías presentadas hay un grupo de amenazas

típicas, estas amenazas están contenidas en el libro de Magerit relacionado al

catálogo de elementos en el numeral de amenazas. Teniendo en cuenta esta

lista de amenazas se deben documentar las que se consideran pueden afectar

cualquiera de las dimensiones de los activos listados en el numeral 3.3.6.

38

3.4.2 Formato de documentación de amenazas

Teniendo en cuenta la categorización y los grupos de amenazas típicas, se

debe realizar la respectiva documentación, haciendo énfasis en cuales son

características relevantes del activo que se pueden degradar si se materializa

la amenaza.

La documentación de las amenazas se realiza en base a los tipos de activos

es decir se seleccionan los tipos de activos a los cuales puede afectar la

amenaza, y cuáles de sus características se ven más afectadas.

Magerit propone el siguiente formato de documentación de amenazas en el

cual registrar la información necesaria, descripciones, causas, daños y la

información abstraída de cada amenaza.

TABLA 19. FORMATO DOCUMENTACIÓN DE AMENAZAS

[Código] E ,A, N ... Definición o nombre de la amenaza

Tipos de Activo: ● Se listan los tipos activos

que pueden presentar daños

Dimensiones o Características: 1. Características de seguridad que se

pueden ver afectadas listadas por relevancia.

Descripción: Identificación detallada de la amenaza y de los impactos negativos que puede tener sobre los activos.

Fuente: Magerit Version 3 Libro 1 Método

3.4.3 Documentación de las amenazas identificadas

Utilizando el formato presentado en el numeral anterior se procede a

documentar las amenazas que se consideran pueden afectar a los activos de

información presentados en los numerales anteriores. Se recopila la

información más relevante y clara de la amenaza para luego definir qué tan

impactante puede llegar a ser su materialización.

A continuación se presenta la documentación de cada de las amenazas

identificadas para los activos típicos de un contact center.

TABLA 20. DOCUMENTACIÓN AMENAZA INCENDIO

N1-Incendio

Tipos de activo: 1. Hardware. 2. Software. 3. Información.

Dimensiones: 1. Disponibilidad.

39

4. Infraestructura.

Descripción: Posibilidad de que un incendio exterior afecte las instalaciones.

Fuente: Autores

TABLA 21. DOCUMENTACIÓN AMENAZA INUNDACIÓN

N2-Inundación

Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura. 4. Información.


Descripción: Posibilidad ocurra una inundación externa que afecte las instalaciones.

Fuente: Autores

TABLA 22. DOCUMENTACIÓN AMENAZA TERREMOTO

N3-Terremoto

Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura.


Descripción: Posibilidad de que un terremoto ocurra en los lugares donde se encuentran nuestras instalaciones.

Fuente: Autores

TABLA 23. DOCUMENTACIÓN AMENAZA FUEGO

I1-Fuego

Tipos de activo: 1. Hardware. 2. Software. 3. Información. 4. Infraestructura.


Descripción:

Posibilidad de que se genere un incendio interno.

40

TABLA 24. DOCUMENTACIÓN AMENAZA DAÑOS POR AGUA

I2-Daños por agua



Descripción: Posibilidad de que se presenten fugas de agua en lugares donde se tienen elementos electrónicos.

Fuente: Autores

TABLA 25. DOCUMENTACIÓN AMENAZA CONTAMINACIÓN ELECTROMAGNÉTICA

I3- Contaminación electromagnética.

Tipos de activo: 1. Hardware. 2. Software.


Descripción: Interferencia por impulsos electromagnéticos afecten los elementos de comunicación interna.

Fuente: Autores

TABLA 26. DOCUMENTACIÓN AMENAZA CORTE DEL SUMINISTRO ELÉCTRICO

I4-Corte del suministro eléctrico

Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura.


Descripción: Cese de suministro eléctrico por falla interna o externa.

Fuente: Autores

TABLA 27. DOCUMENTACIÓN AMENAZA CONDICIONES INADECUADAS O HUMEDAD

I5-Condiciones inadecuadas de temperatura o humedad

Tipos de activo: Dimensiones:

41

1. Hardware. 2. Software.

1. Disponibilidad.

Descripción: Deficiencias en la aclimatación para el funcionamiento del hardware, en especial si se cuenta con datacenter.

Fuente: Autores

TABLA 28. DOCUMENTACIÓN AMENAZA FALLO SERVICIO DE COMUNICACIONES

I6-Fallo de servicios de comunicaciones

Tipos de activo:

1. Hardware. 2. Software. 3. Información.

Dimensiones:

1. Disponibilidad.

Descripción:

Cese de la capacidad de transmitir datos de un sitio a otro, debido a daños físicos o simplemente capacidad de la red.

Fuente: Autores

TABLA 29. DOCUMENTACIÓN AMENAZA DEGRADACIÓN SOPORTES ALMACENAMIENTO

I7-Degradación de los soportes de almacenamiento de la información

Tipos de activo: 1. Hardware.


Descripción:

Avería de hardware de almacenamiento como consecuencia del paso del tiempo.

Fuente: Autores

TABLA 30. DOCUMENTACIÓN AMENAZA ERRORES DE LOS USUARIOS

E1-Errores de los usuarios

Tipos de activo: 1. Software. 2. Información.

Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.

Descripción: Errores en el uso de los elementos para realizar el proceso interno, de cada usuario.

Fuente: Autores

42

TABLA 31. DOCUMENTACIÓN ERRORES DEL ADMINISTRADOR

E2-Errores del administrador



Descripción: Errores en la instalación y mantenimiento de los elementos para realizar el proceso interno.

Fuente: Autores

TABLA 32. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN

E3-Errores de monitorización (log)

Tipos de activo: 1. Software. 2. Información.

Dimensiones: 1. Integridad.

Descripción: Forma incorrecta para el registro de actividades de cada sistema de información utilizado.

Fuente: Autores

TABLA 33. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN

E4-Difusión de software dañino

Tipos de activo: 1. Software.


Descripción: Propagación intencionada o no de virus, software espía, etc.

Fuente: Autores

TABLA 34. DOCUMENTACIÓN ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN

E5-Alteración accidental de la información

Tipos de activo: 1. Hardware.

Dimensiones: 1. Integridad.

43

2. Software. 3. Información.

Descripción: Cambio en la información proporcionada en algún proceso o especificada de manera accidental.

Fuente: Autores

TABLA 35. DOCUMENTACIÓN VULNERABILIDAD DE PROGRAMAS

E6-Vulnerabilidades de los programas (software)

Tipos de activo:

1. Software.

Dimensiones:

1. Disponibilidad. 2. Integridad. 3. Confidencialidad.

Descripción:

Problemas presentados en el software utilizado para los procesos en el cual lo usuarios pueden cambiar datos sin la intención de hacerlo.

Fuente: Autores

TABLA 36. DOCUMENTACIÓN ERRORES DE MANTENIMIENTO

E7-Errores de mantenimiento / actualización de equipos


Dimensiones: 1. Disponibilidad. 2. Integridad.

Descripción: No realizar los cambios solicitados por los elementos de hardware o software en el momento de una actualización o al encontrar una falla en el mismo.

Fuente: Autores

TABLA 37. DOCUMENTACIÓN CAÍDA DEL SISTEMA AGOTAMIENTO DE RECURSOS

E8-Caída del sistema por agotamiento de recursos



Descripción: No contar con unos recursos apropiados para los procesos que se ejecutan así se provoca saturación del mismo y por tanto caída.

Fuente: Autores

44

TABLA 38. DOCUMENTACIÓN AMENAZA PERDIDA DE EQUIPOS

E9-Pérdida de equipos

Tipos de activo: 1. Hardware. 2. Información.

Dimensiones: 1. Disponibilidad. 2. Confidencialidad.

Descripción: Pérdida de equipos provocada por hurto o simplemente no tener el control adecuado sobre los equipo lo cual provoca que se los lleven y además tener una fuga de información.

Fuente: Autores

TABLA 39. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL

E10-Indisponibilidad del personal

Tipos de activo: 1. Recurso Humano.


Descripción: No presencia del personal en las instalaciones presentada por diferentes casos enfermedad, disturbios o simplemente negligencia.

Fuente: Autores

TABLA 40. DOCUMENTACIÓN AMENAZA SUPLANTACIÓN DE IDENTIDAD

A1-Suplantación de la identidad del usuario



Descripción: Cuando un atacante consigue hacerse pasar por un usuario autorizado, aprovechando los permisos de acceso entre otros para conseguir un beneficio propio.

Fuente: Autores

TABLA 41. DOCUMENTACIÓN AMENAZA ABUSO PRIVILEGIOS DE ACCESO

A2-Abuso de privilegios de acceso



45

Descripción: Cuando un usuario que disfruta de un nivel de privilegios para un determinado propósito los utiliza para realizar tareas que no son de su competencia o tener conocimiento de información que no corresponde.

Fuente: Autores

TABLA 42. DOCUMENTACIÓN AMENAZA USO NO PREVISTO

A3-Uso no previsto



Descripción:

Utilizar los recursos del sistema e instalaciones para fines no previstos como parte del proceso que lleva cada individuo en la compañía.

Fuente: Autores

TABLA 43. DOCUMENTACIÓN AMENAZA ACCESO NO AUTORIZADO

A4-Acceso no autorizado


Dimensiones: 1. Integridad. 2. Confidencialidad.

Descripción: Un atacante consigue acceder a los recursos del sistema sin tener autorización para ello utilizando falencias del sistema o software específico para ello.

Fuente: Autores

TABLA 44. DOCUMENTACIÓN AMENAZA DENEGACIÓN DE SERVICIO

A5-Denegación de servicio

Tipos de activo:

1. Hardware. 2. Software.

Dimensiones:

1. Disponibilidad.

Descripción: La provocación de una carga de trabajo es desmesurada a propósito para provocar la caída del sistema.

Fuente: Autores

46

TABLA 45. DOCUMENTACIÓN AMENAZA MANIPULACIÓN DE PROGRAMAS

A6-Manipulación de programas

Tipos de activo: 1. Software.


Descripción: Modificar intencionalmente el funcionamiento de los sistemas de los programas con el fin de obtener un beneficio indirecto cuando una persona autorizada lo utiliza.

Fuente: Autores

TABLA 46. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL

A7-Indisponibilidad del personal

Tipos de activo: 1. Recursos Humanos.


Descripción: No ejecución de las labores asignadas de manera deliberada mediante huelgas, ausentismo, bloqueos, etc.

Fuente: Autores

3.5 Listado de amenazas por activo

Una vez documentadas las amenazas que se consideran pueden causar daños

a los activos de la organización, se tiene información detallada de cada

amenaza y en que dimensión o característica (confidencialidad, disponibilidad,

integridad) puede tener mayor impacto negativo.

Como en la documentación de las amenazas se menciona cuáles son los tipos

de activo que se podrían ser afectados si la amenaza se materializa a

continuación se presenta una tabla donde se listan todos los activos y que

amenazas por cada activo de las documentadas en el numeral anterior pueden

tener un impacto.

Ya que se asoció una amenaza a varios tipos de activos, los activos de dicho

tipo tienen asociadas dichas amenazas por lo cual un activo puede tener varias

amenazas, y dichas amenazas pueden estar también asociadas a otros activos.

Con lo cual se ve que una amenaza puede afectar a varios activos.

Ver Anexo – “Listado de amenazas por activo”

../Anexos/Listado%20de%20Amenazas%20por%20activo.xlsx

47

3.6 Identificación de Activos y Amenazas

En el transcurso de este numeral se definieron los activos de información que

la organización quiere proteger, ya que son objetos tangibles o intangibles con

información que la organización considera relevante y que al ser afectados

pueden causar daños leves a la operación del contact center, hasta daños que

pueden influir en la continuidad del negocio.

Conociendo los activos y teniendo como insumo los tipos de amenazas que

Magerit expone, se realizó una relación de que agentes o amenazas pueden

afectar a cada uno de los activos.

Sin embargo la documentación de dichas amenazas es de vital importancia, ya

que permite visualizar que características importantes del activo se pueden ver

afectadas. Por lo pronto con la información de las amenazas debe ser evaluada

con el fin de establecer valores de impacto y que agentes pueden causar estos

impactos, todo este análisis se desarrollada en el siguiente capítulo con relación

a la gestión del riesgo.

48

GESTIÓN DE RIESGOS

49

4. GESTIÓN DE RIESGOS

Determinados los activos que amenazas pueden afectar a estos activos, se debe

determinar el riesgo potencial, para determinar este riesgo es necesario

identificar que vulnerabilidades pueden causar la materialización de una

amenaza. La determinación del riesgo potencial es dada por la evaluación de

impacto de las amenazas y las probabilidades de que una vulnerabilidad se

presente y así una amenaza afecte un activo.

En los siguientes numerales se identificaran vulnerabilidades por amenaza y su

respectiva valoración cualitativa y cuantitativa y así identificar que riesgos

potenciales se deben mitigar.

4.1 Listado de vulnerabilidades por amenaza

Como se ha visto en los capítulos anteriores las amenazas son agentes que

pueden causar impactos negativos a los activos de información, sin embargo

cada amenaza se puede dar o materializar por varias causas , estas causas son

denominadas vulnerabilidades , que son debilidades que producen que una

amenaza tenga más probabilidades de impactar y provocar un incidente de

seguridad.

Por lo pronto es preciso identificar que vulnerabilidades pueden hacer que cada

amenaza se materialice, a continuación se presenta la tabla de vulnerabilidades

por amenaza:

TABLA 47. LISTADO DE VULNERABILIDADES POR AMENAZA

Amenaza Vulnerabilidad

N1-Incendio

Incendio provocado en los alrededores

N2-Inundación

Instalaciones ubicadas cerca de ríos con un caudal importante

Instalaciones ubicadas cerca de una zona de tratamiento de aguas

N3-Terremoto Instalaciones ubicadas en zonas geográficamente propensas a sismos

I1-Fuego

Falla eléctrica

Material inflamable en lugares sensibles

Falta de mantenimiento de elementos eléctricos o maquinaria

I2-Daños por agua

Ubicación de material sensible en zonas de flujo de aguas

Inconvenientes presentados por el mal uso de las instalaciones

50

I3- Contaminación electromagnética.

Cambio brusco en el suministro de corriente eléctrica

Ingreso de elementos eléctricos productores de espectro electromagnético peligroso

I4-Corte del suministro eléctrico

Cambio en el fluido eléctrico generando daños a los elementos eléctricos internos No disponibilidad de energía por daño en sistema interno

No disponibilidad de energía por daño en sistema externo

I5-Condiciones inadecuadas de temperatura o humedad

Fallas internas del aire acondicionado

Falta de mantenimiento preventivo

Falla en la temperatura recomendada para el funcionamiento (Datacenter)

I6-Fallo de servicios de comunicaciones

Acceso a personal no autorizado

Subestimar la capacidad del sistema de comunicación

Fallas de proveedores de servicios

Falta de documentación sobre los elementos del sistema (configuraciones)

I7-Degradación de los soportes de almacenamiento de la información

Falta de mantenimiento preventivo

Daño por golpes

Fallos por uso inadecuado de los elementos

Falla en la estimación de espacio requerido

E1-Errores de los usuarios

Falta de capacitación

Mal uso del material de trabajo

E2-Errores del administrador


Configuraciones incorrectas

Falta de herramientas adecuadas

E3-Errores de monitorización (log)



Falta de mantenimiento

Problemas de almacenamiento

51

Problemas de comunicaciones

E4-Difusión de software dañino


Falta de herramientas de control

Sistemas y software no actualizados

Acceso a elementos no permitidos

E5-Alteración accidental de la información


Mal uso de las herramientas

Acceso a lugares sensibles

Difusión de software dañino

Cambios en la potencia eléctrica

E6-Vulnerabilidades de los programas (software)

Problemas de sesión

Falta de perfilamiento adecuado

Difusión de software dañino


Problemas con el almacenamiento

Cortes de energía

E7-Errores de mantenimiento / actualización de equipos

Falta de calendario de mantenimientos



E8-Caída del sistema por agotamiento de recursos


Subestimación de los recursos

Mala gestión de proyectos

E9-Pérdida de equipos

Falta de inventario actualizado

Acceso a lugares sensibles

Falta de sistema cerrado de seguridad

52

E10-Indisponibilidad del personal

Ausencia personal

A1-Suplantación de la identidad del usuario

Pérdida de elementos de identificación

Pérdida de información confidencial

Mal manejo de claves e información personal

Poca seguridad de acceso a sitios sensibles

A2-Abuso de privilegios de acceso

Falta de herramientas de control de acceso

Falta de auditoría constante sobre anomalías en los acceso

A3-Uso no previsto

Falta de herramientas restrictivas

Poca auditoría de anomalías en el sistema

No aplicación de políticas de seguridad internas

Accesos no controlados

Mal manejo de los perfiles y accesos

A4-Acceso no autorizado

Fallas de seguridad para accesos

Fallas en el sistema interno de seguridad

Falta de revisión periódica de los elementos de seguridad

A5-Denegación de servicio


Ataques de Virus

Caída en la red

A6-Manipulación de programas

Accesos a fuentes a personas no autorizadas

Mal manejo de versiones de programas

Utilización de software ilegal

No contar con log

Falta de controles de acceso

Suplantación de identidad

Fuente: Autores

53

4.2 Identificación del Riesgo potencial

Establecer el riesgo potencial se deriva de calificar el impacto de una amenaza

y la probabilidad de que una vulnerabilidad se presente llegando a que una

amenaza impacte al activo, para ello es necesario conocer las escalas de

impacto o degradación y las de probabilidad de ocurrencia de una

vulnerabilidad.

4.2.1 Escala de valoración impacto de una amenaza según Magerit

La degradación o impacto mide el daño causado por un incidente en el

supuesto que ocurriera, el impacto es el porcentaje en que la amenaza daña

un activo, para cada una de las dimensiones del activo (disponibilidad,

confidencialidad o integridad). Cuando un activo es afectado por una amenaza,

se puede ver afectado en todas sus dimensiones por lo cual es necesario

establecer un valor de impacto hacia un activo es decir cuan perjudicado

resultaría el valor de un activo si lo impacta una amenaza. Para ello Magerit

sugiere la siguiente tabla de valoración de impacto.

TABLA 48. ESCALA VALORACIÓN IMPACTO MAGERIT

Fuente: Autores

4.2.2 Escala de valoración probabilidad ocurrencia de una vulnerabilidad

según Magerit

Magerit presenta una escala que permite evaluar cuan probable es que

materialice una amenaza a través de una vulnerabilidad, por ello se presenta

una escala nominal con valores de frecuencia.

TABLA 49. ESCALA PROBABILIDAD DE OCURRENCIA MAGERIT

Identificador Frecuencia Nivel

S Siempre 5

CS Casi Siempre 4

Nivel Valor Descripción

10 Muy Alto Daño extremadamente grave

9 Alto Daño muy grave

6-8 Medio Daño importante

3-5 Bajo Daño Menor

1-2 Muy Bajo Daño muy leve

54

M A Menudo 3

AV Algunas Veces 2

AN Casi Nunca 1

Fuente: Autores

4.2.3 Determinación del Riesgo Potencial con la relación Impacto-

Probabilidad

Conociendo las escalas de valoración de impacto y la probabilidad de que se

materialicen las amenazas es necesario realizar estas valoraciones, es decir

valorar el impacto de cada amenaza para cada activo, y valorar la probabilidad

de que una amenaza afecte un activo tomando como insumo las

vulnerabilidades para cada amenaza.

Es decir la probabilidad de que una amenaza afecte un activo es derivada de

cada una de las vulnerabilidades asociadas, no será la misma probabilidad por

cada vulnerabilidad, eso es dependiente de las características de la

vulnerabilidad.

En orden lógico cada activo puede ser afectado por varias amenazas, pero

cada amenaza puede ser materializada por una o varias vulnerabilidades.

La calificación de impacto de una amenaza y la probabilidad de ocurrencia de

dicha amenaza producto de una vulnerabilidad es lo que se denomina riesgo.

A continuación se presenta la relación activo-amenaza-vulnerabilidad valorada

con las escalas presentadas en los numerales anteriores:

Ver Anexo – “Riesgo Potencial”

4.2.4 Matriz del Riesgo Potencial (Mapa de Calor)

Una vez evaluados los impactos y la probabilidad de ocurrencia de que una

amenaza se materialice y genere afectación en un activo, los riesgos se pueden

ubicar en una herramienta señala en el libro 3 de técnicas de Magerit.

El mapa de calor es una herramienta visual y amigable que permite visualizar

de manera rápida y consistente los valores de impacto y probabilidad de

ocurrencia de las amenazas. Para efectos prácticos en gestión de riesgos es

una herramienta versátil para identificar valoración de riesgos.

En este numeral se ubicaran la cantidad de riesgos potenciales que están

ubicados en la extensión del mapa de calor.

../Anexos/Riesgo%20Potencial.xlsx

55

Cabe resaltar que los riesgos acá ubicados son los riesgos potenciales es decir

no han sido aplicadas salvaguardas.

TABLA 50. MAPA DE CALOR RIESGO POTENCIAL Impacto

Pro

bab

ilid

ad

Muy Bajo Bajo Medio Alto Muy Alto

Siempre

Casi Siempre 83 70 16

A Menudo 2

Algunas Veces 54 46 6

Casi Nunca 101 80 32

Fuente: Autores

Sin embargo es más factible hacer la ubicación de cada uno de los riesgos en

el mapa, ya que se han identificado y evaluado una gran cantidad de riesgos

se presenta una matriz en la cual se ubica el identificador de cada riesgos

asignado en el numeral anterior donde se realizó la evaluación de impacto y

probabilidad.

Ver Anexo – “Matriz de Riesgo Potencial”

4.3 Tratamiento de Riesgos Potenciales

Realizada la respectiva evaluación y visualización de que tan crítico puede ser

un riesgo, se hace necesario realizar el tratamiento adecuado para mitigar cada

riesgos al máximo, cabe resaltar que los riesgos nunca van a desaparecer, la

consecuencia del tratamiento de los riesgos disminuir el daño a un activo o

disminuir cuan frecuente puede ser a materialización de determinadas

amenazas, teniendo como resultado un riesgo residual que sea más fácil de

controlar y predecir.

El tratamiento de los riesgos se realiza a través de salvaguardas o controles

que se asocian a cada riesgo.

4.3.1 Controles ISO 27002 de 2013

La norma ISO/IEC está enfocada a todo tipo de organizaciones cuenta con 14

dominios, 35 objetivos de control y 114 controles.

En esta nueva versión de la norma se encuentran los controles que buscan

mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los

cuales se encuentra expuesta la organización.

../Anexos/Matriz%20de%20Riesgo%20Potencial.xlsx

56

4.3.2 Efecto de los controles o salvaguardas

Para entrar a evaluar nuevamente un riesgos con salvaguardas aplicadas, las

salvaguardas o controles pueden tener dos efectos.

Reducir la probabilidad de las amenazas:

Se llaman salvaguardas preventivas, ideales para impedir

completamente que la amenaza se materialice.

Limitar el daño causado:

Hay controles que directamente limitan la posible degradación o daño

del activo, mientras que otras permiten detectar inmediatamente el

ataque para frenar el impacto en avance.

Así mismo existen tipos de protección que ofrecen los controles de ISO 27002

TABLA 51. EFECTOS DE LAS SALVAGUARDAS

Siglas Tipo Proteccion

PR Prevención

DR Disuasión

EL Eliminación

IM Minimización del impacto

CR Corrección

RC Recuperación

DC Concientización

AW Administración

Fuente: Autores

4.3.3 Aplicación de Controles a los Riesgos Identificados

Luego de ver el efecto de los controles sobre los riesgos es necesario asociar

los controles de ISO 27002 a los riesgos identificados, a continuación se

muestra la tabla del riesgos potencial las salvaguardas o controles asociados

y la nueva valoración de impacto y probabilidad de ocurrencia haciendo del

riesgo potencial un riesgo residual es decir sus valores de impacto y

probabilidad disminuyen de acuerdo a los controles asociado.

De acuerdo con el Ciclo PHVA la aplicación de los controles y la evaluación de

los riesgos debe hacerse de forma periódica con el fin de establecer nuevos

controles y de asegurar la mejora continua de la gestión del riesgo para nuestra

organización es decir la periodicidad de la evaluación de los riesgos y el

57

establecimiento de nuevas salvaguardas aseguran las mitigación y protección

de nuevos agentes que puedan afectar los activos.

La periodicidad de evaluación es dada como directriz o política de seguridad

de la organización.

A continuación se encuentra el ejercicio de asociación de controles a cada

riesgo como Magerit propone:

Ver Anexo – “Controles y salvaguardas por riesgo”

4.3.4 Matriz de Riesgo Residual

Una vez establecidos los controles y salvaguardas necesarias para la

mitigación de los riesgos, se pueden volver a ubicar en un mapa de calor con

el fin de contrastar el riesgo residual vs la ubicación en la matriz del riesgo

potencial y verificar cuanto se ha mitigado el riesgo, y si hay que prestar más

atención a determinados riesgos.

TABLA 52. MAPA CALOR RIESGO RESIDUAL

Impacto

Pro

bab

ilid

ad

Muy Bajo

Bajo Medio Alto Muy Alto

Siempre

Casi Siempre

14 5

A Menudo

Algunas Veces

151 7

Casi Nunca 271 42

Fuente: Autores

4.4 Importancia de la Gestión de Riesgos

La importancia de la gestión de riesgos radica en la evaluación de las amenazas

para identificar riesgos potenciales. Para este capítulo se desarrolló la

identificación de amenazas como punto clave para entender el origen de la

materialización de una amenaza, y la evaluación en términos de impacto y

probabilidades. La mitigación de los riesgos a través de los controles de ISO

27002 como apoyo clave para disminuir impactos o probabilidades.

Sin embargo, la implementación y asegurar que los controles asociados se

cumplan y se ejecuten depende de las directrices y políticas de seguridad, que

la organización plasme. Dichas políticas se tocarán a fondo en el siguiente

capítulo.

../Anexos/Controles%20por%20Riesgo.xlsx

../Anexos/Controles%20por%20Riesgo.xlsx

58

POLITICAS DE SEGURIDAD

59

5. POLITICAS DE SEGURIDAD

Tomando como base el análisis de riesgos se definen una serie de normas y/o

buenas prácticas con el fin de estandarizar los procesos de la organización y así

mismo gestionar y proteger los distintos activos de esta, de una manera más

apropiada.

Ver Anexo – “Manual de Políticas de Seguridad”

Contando con unas políticas claras en cada uno de los procesos de la

organización se puede establecer acciones a tomar con respecto a cada una de

las situaciones que se presenten y contemplen dentro de las mismas, esto

asegura que la organización tendrá el control y gobierno sobre su información

generando la seguridad adecuada para cada etapa.

../Anexos/Politicas%20de%20seguridad.pdf

../Anexos/Politicas%20de%20seguridad.pdf

60

PROTOTIPO SISTEMA WEB

61

6. PROTOTIPO SISTEMA WEB

Desarrollado a fondo las especificaciones metodológicas de Magerit para la

gestión de riesgos enfocado en un caso estudio para entidades de contact

center, es de fácil apreciación que la recolección y manipulación de información

de forma manual puede ser intensa. Para ello se presenta un prototipo de

software con arquitectura que permita sistematizar los aspectos metodológicos

más relevantes para realizar la gestión de riesgos a través de una herramienta

web.

Para se tienen algunas consideraciones técnicas de desarrollo y posible

implementación de un software con estas características.

A continuación se presentan las condiciones técnicas requeridas con las cuales

desarrollar un software web que permita al usuario final aplicar instintivamente

la metodología de gestión de riesgos, a su vez sistematizar la información

evitando la intervención manual.

6.1 Condiciones de Arquitectura

El prototipo web es orientado hacia la especificación de arquitectura Java EE

(Java Enterprise Edition 6), la cual sugiere un abanico de tecnologías y

arquitectura multicapa, capaz de suplir las necesidades a medida del prototipo

desarrollado. Se presenta el esquema básico de una aplicación empresarial de

Java.

Fuente: https://docs.oracle.com/javaee/6/tutorial/doc/

6.1.1 Modelo Multicapa Java EE 6

La arquitectura Enterprise de Java brinda soporte de tecnologías asociadas al

Front End o capa de vista a usuario final y de Back End relacionada a

controladores de página y lógica de negocio.

62

Cada una de las capas de arquitectura de Java EE tiene opciones de

tecnologías y frameworks que el desarrollador aplica de acuerdo a sus

necesidades, como se muestra en siguiente esquema.

Fuente: https://docs.oracle.com/javaee/6/tutorial/doc/bnacj.html

La división de capas según el modelo Enterprise esta dado en la siguiente

segmentación

TABLA 53. CAPAS ARQUITECTURA JEE 6

Capas JEE Descripción

Capa Cliente Esta capa corresponde a lo que se encuentra en el computador del

cliente. Es la interfaz gráfica del sistema y se encarga de

interactuar con el usuario.

Capa Web Se encuentra en el servidor web y contiene la lógica de

presentación que se utiliza para generar una respuesta al cliente.

Capa de Negocio Se encuentra en el servidor de aplicaciones y contiene el núcleo

de la lógica del negocio de la aplicación.

Capa Datos Esta capa es responsable del sistema de información de la

empresa o Enterprise Information System (EIS) que incluye bases

de datos, sistema de procesamiento datos, sistemas legados.

Fuente: Autores

6.1.2 Tecnologías de Desarrollo

Una vez presentado el esquema de arquitectura de Java EE, se seleccionan

las tecnologías con las que se desarrolla el prototipo para esta caso se tienen

en cuenta las siguientes bases tecnológicas.

63

TABLA 54. TECNOLOGÍAS UTILIZADAS EN DESARROLLO

Tipo Tecnologia Nombre Descripción

Lenguaje de

Programación

Java 1.8.75 Version Java Oracle

Tecnologías Front

End

Java Server

Faces 2.2

Es una tecnología y framework para

aplicaciones Java basadas en web que

simplifica el desarrollo de interfaces de

usuario en aplicaciones Java EE.

Primefaces 6.1 Es una biblioteca de componentes para Java

Server Faces (JSF) de código abierto que

cuenta con un conjunto de componentes

enriquecidos que facilitan la creación de las

aplicaciones web.

Java Beans 2.0 Componentes de software reutilizables que se

puedan manipular visualmente en una

herramienta de construcción.

Tecnologias Back

End

Enterprise Java

Beans (EJB) 3.1

Tecnología que permite encapsular la lógica

de negocio a través de interfaces y esquemas

de diseño del estándar JEE

Java Persistence

API (JPA) 2.1

Es un framework del lenguaje de programación

Java que maneja datos relacionales en

aplicaciones JEE y JSE

JDBC (Java

Database

Conexion)

Es una API que permite la ejecución de

operaciones sobre bases de datos desde

el lenguaje de programación Java.

Base de Datos

MySQL 5.5

Sistema de Gestion de bases de datos

relacionales.

Fuente: Autores

6.1.3 Ambiente y herramientas de desarrollo

Cuando se menciona la expresión ambiente de desarrollo, se relaciona

directamente con las herramientas usadas para escribir compilar y empaquetar

64

los códigos, sistemas operativos, entorno de programación, gestores de bases

de datos y servidores de aplicaciones entre otros.

La interacción entre todas las herramientas mencionadas es lo que se conoce

como ambiente de desarrollo. Además de las herramientas que puede agilizar

la codificación o gestión de los códigos, como editores de texto y sistemas de

versionamiento.

Para el caso del prototipo desarrollado en este capítulo, se utilizan las

siguientes herramientas que conforman el ambiente de desarrollo:

TABLA 55. CONDICIONES DE AMBIENTE DESARROLLO

Herramienta Descripción

SO Windows 10 Sistema Operativo donde se encuentra el ambiente de desarrollo

Eclipse Mars IDE Entorno integrado de desarrollo para JEE

Glassfish 4.0 EAP Servidor de Aplicaciones con soporte para despliegue de

aplicaciones JEE

Xampp Gestion de Administración para MySQL

Toad for MySQL 8.0 Esta capa es responsable del sistema de información de la

empresa o Enterprise Information System (EIS) que incluye bases

de datos, sistema de procesamiento datos, sistemas legados.

Jboss Tools JSF Plugin para IDE eclipse con soporte para desarrollo de páginas

transaccionales sobre tecnología JSF.

Fuente: Autores

6.1.4 Manual Técnico Configuración de Ambiente

Ver Anexo – “Configuración Ambiente de Desarrollo”

6.2 Condiciones Legales

El software que se utiliza para la implementación del sistema de información

corresponde a herramientas libres, y los equipos para el desarrollo del proyecto

son recursos personales.

En la siguiente tabla se resumen las licencias correspondientes a las

herramientas a utilizar en este proyecto, reflejando las condiciones de licencia

../Anexos/Configuracion%20de%20Ambiente%20Desarrollo.pdf

../Anexos/Configuracion%20de%20Ambiente%20Desarrollo.pdf

65

Por cada una de las herramientas de desarrollo usadas durante el desarrollo del

proyecto.

TABLA 56. LICENCIAS DE SOFTWARE

Fuente: Autores

6.3 Casos de Uso

6.3.1 Roles de Usuario

Los roles definidos para el uso de la aplicación son los siguientes:

TABLA 57. ROLES DE USUARIO

Fuente: Autores

6.3.2 Especificación de Funcionalidades

A continuación, se presentan los requerimientos funcionales para este caso:

Se permitirá el registro de activos con datos obligatorios completos, los

cuales podrán ser modificados en cualquier momento.

Recurso Licencia

Windows Licencia EULA

Toad MySQL Licencia GNU General

MySQL Licencia BSD

Prime Faces Licencia de software libre.

Java Oracle 1.8.75 Licencia GNU General Public License

Eclipse Mars Licencia GNU General Public License

Rol Descripción

Jefe de seguridad Usuario quien administra el control de los elementos que intervienen en la gestión de seguridad de la información, cuenta con todos los elementos del sistema menos los propios de la administración

Analista de seguridad Usuario que cuenta con acceso limitado a los elementos de la aplicación que intervienen en la gestión de seguridad de la información

Administrador Usuario quien administra la aplicación y tiene todos los elementos del sistema a su alcance

66

Se permitirá el registro de amenazas con datos obligatorios completos,

los cuales podrán ser modificados en cualquier momento.

Se permitirá el registro de vulnerabilidades con datos obligatorios

completos, los cuales podrán ser modificados en cualquier momento.

Se permitirá evaluar el activo y su riesgo, además de ver el control para

ser aplicado al mismo.

Generar informes asociados a la cantidad y actividad de los activos,

entre datos específicos de los mismos.

Se permitirá el acceso seguro a través de un login por usuario para la

diferenciación de estos.

6.3.3 Diagrama de Casos de Uso

Modelo caso de uso rol Administrador

Fuente: Autores

67

Modelo caso de uso rol Jefe de Seguridad

Fuente: Autores

Modelo caso de uso analista de Seguridad

Fuente: Autores

68

TABLA 58. CASO DE USO NO 1

Caso de uso

N°1

Nombre: Iniciar sesión

Actores Jefe de seguridad, Analista de seguridad, Administrador

Objetivo Permite el ingreso a los servicios de la plataforma a los usuarios.

Descripción El sistema deberá permitir el ingreso al sistema a los usuarios, deberá

comportarse tal como se describe en el presente caso de uso. Para ello

el actor deberá ingresar los datos solicitados y el sistema se encargará

de validarlos.

Precondicion

es

El usuario debe haber ingresado a la página principal del sistema.

El usuario debe estar registrado en el sistema.

Postcondicio

nes

El usuario puede utilizar los servicios del sistema de acuerdo con el tipo

de usuario con sus respectivos permisos. El sistema está listo para otra

operación.

Flujo de Eventos

Acciones del actor

1. El usuario ingresa nombre de usuario y

clave.

2. El usuario solicita el ingreso presionando

la opción Ingresar.

Acciones del sistema

1. El sistema valida que los campos se han

completado correctamente.

2. El sistema envía los datos y busca al

usuario en la base de datos.

3. El sistema carga la interfaz

correspondiente al tipo de usuario.

Manejo de situaciones excepcionales

E1. El usuario no se encuentra registrado en la base de datos o los datos son erróneos.

El sistema regresa a la página de principal y solicita de nuevo los datos.

Flujo alterno

F1. El usuario puede abortar el proceso en cualquier momento cerrando la página

principal del sistema.

Fuente: Autores

69


Caso de uso

N°2

Nombre: Cerrar sesión

Actores Jefe de seguridad, Analista de seguridad, Administrador

Objetivo Permitir a los usuarios la salida segura del sistema.

Descripción El sistema deberá comportarse tal como se describe en el siguiente caso

de uso cuando el actor desee cerrar sesión en el sistema. Para ello el

actor seleccionará “Cerrar Sesión” y el sistema se encargará de las

validaciones correspondientes para cerrar la sesión.

Precondicion

es

El usuario debe haber iniciado sesión en el sistema.

Postcondicio

nes

El sistema cerrará la sesión del usuario, impidiendo usar los datos de

dicha sesión por otros usuarios que tengan acceso al sistema.

Flujo de Eventos

Acciones del actor

1. El usuario presiona sobre la opción “Cerrar

sesión”.


1. El sistema destruirá la sesión en uso.

2. El sistema muestra la interfaz principal

para permitir a otros usuarios iniciar

sesión con sus respectivas cuentas.


E1. El sistema no puede cerrar sesión porque se encuentra realizando otra acción. El

sistema informa al usuario que si cierra sesión no se completará la acción, y da la opción

de terminar o cerrar sesión.

Flujo alterno F1.

No aplica.

Fuente: Autores


Caso de uso

N°3

Nombre: Ingresar Activo.

70

Actores Jefe de seguridad, Administrador

Objetivo Registrar en la base de datos del sistema un nuevo activo.


de uso cuando el actor desee crear un activo dentro del sistema. Para

ello el actor deberá ingresar los datos correspondientes.

Precondicion

es

El usuario debe haber iniciado sesión.

El usuario debió acceder a la interfaz “Activo”, “Ingresar Activo”.

Postcondicio

nes

El nuevo activo ha sido registrado en el sistema y se notifica la

transacción como exitosa. El sistema está listo para otra operación.

Flujo de Eventos

Acciones del actor

1. El usuario selecciona la opción de

“Ingresar Activo”.

2. El usuario diligencia los datos

requeridos en el formulario.

3. El usuario presiona sobre la opción

“Guardar Activo”.


1. El sistema muestra la interfaz para

registrar un nuevo activo y permite al

usuario introducir los datos dentro de un

formulario.

2. El sistema verifica que los campos se

hayan completado correctamente.

3. El sistema registra el nuevo activo en la

base de datos e informa al usuario que la

acción se realizó satisfactoriamente.


E1. Los datos del nuevo activo son insuficientes para el registro. El sistema vuelve a

solicitar los datos faltantes.

Flujo alterno

F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual

del sistema o seleccionando la “X” ubicada en la parte superior.

Fuente: Autores

71


Caso de uso

N°4

Nombre: Modificar Activo.


Objetivo Permitir la valoración de activo por parte del usuario que lo solicite.


de uso cuando el actor desee modificar los datos de algún activo del

sistema. Para ello el actor diligenció los nuevos datos y el sistema se

encargará de modificarlos.

Precondicione

s

El actor debe haber iniciado sesión en el sistema.

El activo que se desea valorar debe estar registrada en el

sistema.

El actor debió acceder a la interfaz “Activo” y presionar sobre la opción

“Valorar” y luego “Guardar Valoración”.

Postcondicion

es

La información del activo ha sido modificada y el sistema está listo para

otra operación.

Flujo de Eventos

Acciones del actor

1. El actor presiona sobre la opción “Activo”.

2. El actor selecciona la opción “Valorar” en el

activo seleccionado.

3. El actor modifica la información

correspondiente.

4. El actor selecciona sobre la opción “Guardar

Valoración”.


1. El sistema consulta la base de datos

y muestra los datos de los activos en

una tabla.

2. El sistema muestra un formulario con

los datos que se pueden modificar en

campos editables.



4. El sistema actualiza los datos del

activo en la base de datos e informa al

actor que la acción se realizó

satisfactoriamente.

72


E1. No se suministró información. El sistema informa al actor sobre el error y arroja una

advertencia para ser corregida inmediatamente en el formulario.

Flujo alterno

F1. El Actor puede abortar la acción en cualquier momento cerrando la página actual del

sistema o seleccionando la “X” ubicada en la parte superior.

Fuente: Autores


Caso de uso

N°5

Nombre: Consultar Activo.

Actores Jefe de seguridad, Administrador, Analista de seguridad

Objetivo Consultar en la base de datos del sistema un activo.


de uso cuando el actor desee consultar un activo dentro del sistema.

Precondicion

es


El usuario debió acceder a la interfaz “Activo”.

Postcondicio

nes

El activo ha sido consultado por el sistema y se notificara como acción

exitosa. El sistema está listo para otra operación.

Flujo de Eventos

Acciones del actor


“Activo”.


1. El sistema consulta y muestra los activos

solicitados satisfactoriamente.


E1. No existen activos a consultar. El sistema vuelve a solicitar una nueva búsqueda.

Flujo alterno


del sistema.

Fuente: Autores

73


Caso de uso

N°6

Nombre: Consultar Amenaza.


Objetivo Consultar en la base de datos del sistema una amenaza.


de uso cuando el actor desee consultar una amenaza dentro del

sistema.

Precondicion

es


El usuario debió acceder a la interfaz “Amenazas”.

Postcondicio

nes

La amenaza ha sido consultada por el sistema y se notificara como

acción exitosa. El sistema está listo para otra operación.

Flujo de Eventos

Acciones del actor


“Amenaza”.


1. El sistema consulta y muestra las

amenazas solicitadas satisfactoriamente.


E1. No existen amenazas a consultar. El sistema vuelve a solicitar una nueva

búsqueda.

Flujo alterno


del sistema.

Fuente: Autores


Caso de uso

N°7

Nombre: Modificar Amenaza.

74


Objetivo Permitir la documentación de la amenaza seleccionada.


de uso cuando el actor desee modificar una amenaza dentro del

sistema. Para ello el actor deberá ingresar los datos correspondientes.

Precondicion

es


La amenaza que se desea documentar debe estar registrada en

el sistema.

El actor debió acceder a la interfaz “Amenazas” y presionar sobre la

opción “Documentar” y luego “Guardar Documentación”.

Postcondicio

nes

La información de la amenaza ha sido modificada y el sistema está listo

para otra operación.

Flujo de Eventos

Acciones del actor


“Documentar”.




“Guardar Documentación”.



documentar una amenaza y permite al


formulario.



3. El sistema registra la nueva amenaza en

la base de datos e informa al usuario que la



E1. Los datos de la amenaza son insuficientes para el registro. El sistema vuelve a


Flujo alterno



Fuente: Autores

75


Caso de uso

N°8

Nombre: Consultar Vulnerabilidad.


Objetivo Consultar en la base de datos del sistema una vulnerabilidad.


de uso cuando el actor desee consultar una amenaza dentro del

sistema.

Precondicion

es


El usuario debió acceder a la interfaz “Vulnerabilidad”.

Postcondicio

nes

La vulnerabilidad ha sido consultada por el sistema y se notificara como

acción exitosa. El sistema está listo para otra operación.

Flujo de Eventos

Acciones del actor


“Vulnerabilidad”.


1. El sistema consulta y muestra las

vulnerabilidades solicitadas

satisfactoriamente.


E1. No existen vulnerabilidades a consultar. El sistema vuelve a solicitar una nueva

búsqueda.

Flujo alterno


del sistema.

Fuente: Autores


Caso de uso

N°9

Nombre: Ingresar Vulnerabilidad.

76


Objetivo Registrar en la base de datos del sistema una nueva vulnerabilidad.


de uso cuando el actor desee crear un activo dentro del sistema. Para

ello el actor deberá ingresar los datos correspondientes.

Precondicion

es


El usuario debió acceder a la interfaz “Vulnerabilidad”, “Ingresar

Vulnerabilidad”.

Postcondicio

nes

La nueva vulnerabilidad ha sido registrado en el sistema y se notifica la

transacción como exitosa. El sistema está listo para otra operación.

Flujo de Eventos

Acciones del actor






“Ingresar Vulnerabilidad”.



registrar una nueva vulnerabilidad y permite

al usuario introducir los datos dentro de un

formulario.



3. El sistema registra la nueva

vulnerabilidad en la base de datos e informa

al usuario que la acción se realizó

satisfactoriamente.


E1. Los datos de la nueva vulnerabilidad son insuficientes para el registro. El sistema

vuelve a solicitar los datos faltantes.

Flujo alterno



Fuente: Autores

77


Caso de uso

N°10

Nombre: Modificar Vulnerabilidad.


Objetivo Permitir modificar el impacto a la vulnerabilidad.


de uso cuando el actor desee modificar una vulnerabilidad dentro del

sistema. Para ello el actor deberá ingresar los datos correspondientes.

Precondicion

es


La vulnerabilidad que se desea modificar debe estar registrada

en el sistema.

El actor debió acceder a la interfaz “Vulnerabilidad” y presionar sobre la

opción “Vulnerabilidad” y luego “Ingresar Vulnerabilidad”.

Postcondicio

nes

La información de la vulnerabilidad ha sido modificada y el sistema está

listo para otra operación.

Flujo de Eventos

Acciones del actor






“Ingresar Vulnerabilidad”.



modificar una vulnerabilidad y permite al


formulario.



3. El sistema modifica la vulnerabilidad en la

base de datos e informa al usuario que la



E1. Los datos de la vulnerabilidad son insuficientes para el registro. El sistema vuelve a


Flujo alterno



78

Fuente: Autores

6.4 Modelo Relacional Base de Datos

Fuente: Autores

6.5 Manual de Usuario

Ver Anexo – “Manual de Usuario Final”

6.6 Utilización de Herramientas de software

La utilización de herramientas de software para gestión la información de un

SGSI es una práctica adecuada, ya que la gestión de riesgos es un tema

profundo que puede incurrir en la necesidad de sistematiza la información y

poderla gestionar de manera adecuada.

../Anexos/Manual%20de%20Usuario.pdf

79

CONCLUSIONES

80

CONCLUSIONES

Las compañías de contact center son un grupo específico de organizaciones

que deben proteger sus activos, debido que la información manejada a diario

es enorme y manipulada por gran cantidad de personas. Aplicar los

fundamentos de la metodología Magerit relacionada a la norma ISO 27001

ayuda a este tipo de empresas a diagnosticar, evaluar prevenir y madurar los

procesos que intervienen en el manejo de la información.

La adecuada gestión de riesgos en unas entidades de contact center es de

vital importancia, ya que la continuidad del negocio se puede ver afectada,

realizar la mejora continua y la constante evaluación y auditoria en términos

de seguridad de la información ayuda a las entidades a estar preparadas

para mitigar o anticipar incidentes de seguridad dentro y fuera de la

organización.

Es importante que las entidades de contact center sigan una guía adecuada

con la cual proteger sus activos más importantes la norma ISO 27001 es un

esquema muy claro de cómo poner en marcha planes de tratamiento que

permitan asumir procesos que protejan la organización de cualquier incidente

de seguridad.

La utilización de herramientas de software para gestión la información de un

SGSI es una práctica adecuada, ya que la gestión de riesgos es un tema

profundo que puede incurrir en la necesidad de sistematiza la información y

poderla gestionar de manera adecuada.

La gestión de riesgos orientados a metodologías como Magerit hace que las

organizaciones tengan un margen de pasos y procesos claros que permitan

realizar gestión de riesgos de manera más clara y eficiente.

GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA...

Documents

Transcript of GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA...