GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA...
Transcript of GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA...
GUÍA DE SISTEMA DE
GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN
(SGSI) PARA ENTIDADES
DE CONTACT CENTER
UNIVERSIDAD DISTRIAL FRANCISCO JOSE DE
CALDAS FACULTAD TECNOLOGICA INGENIERA TELEMATICA
GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PARA ENTIDADES DE CONTACT CENTER
PEDRO ALEJANDRO GUERRERO RODRIGUEZ
JUAN CAMILO PEÑA MUÑOZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ
2018
GUÍA DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PARA ENTIDADES DE CONTACT CENTER
Modalidad Monografía para el Título de Ingeniería Telemática
PEDRO ALEJANDRO GUERRERO RODRIGUEZ
JUAN CAMILO PEÑA MUÑOZ
Tutor:
INGENIERO MIGUEL ANGEL LEGUIZAMON PAEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA EN TELEMÁTICA
BOGOTÁ
2018
Nota de aceptación
Tutor
Jurado
Bogotá D.C.____ Septiembre de 2018
TABLA DE CONTENIDO
RESUMEN...................................................................................................................................................... 7
ABSTRACT .................................................................................................................................................... 8
INTRODUCCIÓN ............................................................................................................................................ 9
1. DEFINICIÓN, OBJETIVOS Y ANÁLISIS DEL PROBLEMA .................................................................. 11
1.1 Título........................................................................................................................................... 11
1.2 Planteamiento de la problemática ............................................................................................. 11
1.3 OBJETIVOS ................................................................................................................................ 11
1.3.1 Objetivo General ................................................................................................................ 11
1.3.2 Objetivos Específicos ....................................................................................................... 12
1.4 MARCO TEÓRICO ...................................................................................................................... 12
1.4.1 Estado del Arte .................................................................................................................. 12
1.4.2 Conceptos Introductorios ................................................................................................. 13
1.5 Solución Tecnológica al planteamiento del problema ............................................................. 16
1.6 Análisis y Factibilidad Económica ............................................................................................ 16
1.6.1 Factibilidad Económica: Recurso Humano ...................................................................... 16
1.6.2 Factibilidad Económica: Recurso o Factor Técnico ........................................................ 16
1.6.3 Costo Total del Proyecto ................................................................................................... 17
1.6.4 CRONOGRAMA DE TRABAJO .......................................................................................... 18
2. SITUACIÓN EMPRESARIAL Y CASO DE ESTUDIO ........................................................................... 20
2.1 Caso de estudio para análisis y gestión de riesgos ................................................................. 20
2.2 Caracterización tecnológica de la empresa .............................................................................. 22
2.2.1 Equipos de Hardware ........................................................................................................ 22
2.2.2 Equipos de Software ......................................................................................................... 22
2.3 Condiciones de seguridad de la empresa ................................................................................. 23
2.4 Matriz EFI.................................................................................................................................... 24
2.4.1 Definición de valores de peso y calificación matriz EFI .................................................. 24
2.4.2 Fortalezas .......................................................................................................................... 24
2.4.3 Debilidades ........................................................................................................................ 25
2.5 Matriz EFE .................................................................................................................................. 25
2.5.1 Definición de valores de peso y calificación matriz EFE ................................................. 25
2.5.2 Oportunidades ................................................................................................................... 26
2.5.3 Amenazas .......................................................................................................................... 26
2.6 Matriz DOFA ............................................................................................................................... 26
3. PLANIFICACION, ACTIVOS AMENAZAS ........................................................................................... 30
3.1 Terminología de Magerit ............................................................................................................ 30
3.2 Identificación de los activos ...................................................................................................... 31
3.2.1 Categorización de activos según Magerit ........................................................................ 31
3.2.2 Etiquetado de Activos ....................................................................................................... 31
3.2.3 Características o dimensiones de una activo .................................................................. 32
3.2.4 Escala de valoración de las características o dimensiones de un activo ....................... 32
3.2.5 Listado de activos identificados ....................................................................................... 33
3.3 Valoración de los activos .......................................................................................................... 34
3.4 Identificación de amenazas ....................................................................................................... 37
3.4.1 Categorización de las amenazas ...................................................................................... 37
3.4.2 Formato de documentación de amenazas........................................................................ 38
3.4.3 Documentación de las amenazas identificadas ............................................................... 38
3.5 Listado de amenazas por activo ................................................................................................ 46
4. GESTIÓN DE RIESGOS ...................................................................................................................... 49
4.1 Listado de vulnerabilidades por amenaza ................................................................................ 49
4.2 Identificación del Riesgo potencial ........................................................................................... 53
4.2.1 Escala de valoración impacto de una amenaza según Magerit ....................................... 53
4.2.2 Escala de valoración probabilidad ocurrencia de una vulnerabilidad según Magerit .... 53
4.2.3 Determinación del Riesgo Potencial con la relación Impacto- Probabilidad .................. 54
4.2.4 Matriz del Riesgo Potencial (Mapa de Calor) .................................................................... 54
4.3 Tratamiento de Riesgos Potenciales ........................................................................................ 55
4.3.1 Controles ISO 27002 de 2013 ............................................................................................ 55
4.3.2 Efecto de los controles o salvaguardas ........................................................................... 56
4.3.3 Aplicación de Controles a los Riesgos Identificados ...................................................... 56
4.3.4 Matriz de Riesgo Residual................................................................................................. 57
4.4 Importancia de la Gestión de Riesgos ...................................................................................... 57
5. POLITICAS DE SEGURIDAD .............................................................................................................. 59
6. PROTOTIPO SISTEMA WEB ............................................................................................................... 61
6.1 Condiciones de Arquitectura ..................................................................................................... 61
6.1.1 Modelo Multicapa Java EE 6 ............................................................................................. 61
6.1.2 Tecnologías de Desarrollo ................................................................................................ 62
6.1.3 Ambiente y herramientas de desarrollo ........................................................................... 63
6.1.4 Manual Técnico Configuración de Ambiente ................................................................... 64
6.2 Condiciones Legales ................................................................................................................. 64
6.3 Casos de Uso ............................................................................................................................. 65
6.3.1 Roles de Usuario ............................................................................................................... 65
6.3.2 Especificación de Funcionalidades .................................................................................. 65
6.3.3 Diagrama de Casos de Uso ............................................................................................... 66
6.4 Modelo Relacional Base de Datos ............................................................................................. 78
6.5 Manual de Usuario ..................................................................................................................... 78
CONCLUSIONES ......................................................................................................................................... 80
5
Índice de Tablas
TABLA 1. DOMINIOS ISO27002 14
TABLA 2. FACTIBILIDAD ECONOMICA RECURSO HUMANO 16
TABLA 3. COSTO TOTAL PROYECTO 17
TABLA 4. EQUIPOS DE HARDWARE 22
TABLA 5. EQUIPOS DE SOFTWARE 22
TABLA 6. DEFINICIONES PESO MATRIZ EFI 24
TABLA 7. FORTALEZAS 24
TABLA 8. DEBILIDADES 25
TABLA 9. VALORES PESO MATRIZ EFE 25
TABLA 10. OPORTUNIDADES 26
TABLA 11. AMENAZAS 26
TABLA 12. CATEGORIZACIÓN DE LOS ACTIVOS SEGÚN MAGERIT 31
TABLA 13. ETIQUETADO DE ACTIVOS 31
TABLA 14. DIMENSIONES DE UN ACTIVO 32
TABLA 15. ESCALA VALORACIÓN DIMENSIONES DE UN ACTIVO 32
TABLA 16. LISTADO ACTIVOS IDENTIFICADOS 33
TABLA 17. VALORACIÓN DE LOS ACTIVOS 35
TABLA 18. CATEGORIZACIÓN DE AMENAZAS 37
TABLA 19. FORMATO DOCUMENTACIÓN DE AMENAZAS 38
TABLA 20. DOCUMENTACIÓN AMENAZA INCENDIO 38
TABLA 21. DOCUMENTACIÓN AMENAZA INUNDACIÓN 39
TABLA 22. DOCUMENTACIÓN AMENAZA TERREMOTO 39
TABLA 23. DOCUMENTACIÓN AMENAZA FUEGO 39
TABLA 24. DOCUMENTACIÓN AMENAZA DAÑOS POR AGUA 40
TABLA 25. DOCUMENTACIÓN AMENAZA CONTAMINACIÓN ELECTROMAGNÉTICA 40
TABLA 26. DOCUMENTACIÓN AMENAZA CORTE DEL SUMINISTRO ELÉCTRICO 40
TABLA 27. DOCUMENTACIÓN AMENAZA CONDICIONES INADECUADAS O HUMEDAD 40
TABLA 28. DOCUMENTACIÓN AMENAZA FALLO SERVICIO DE COMUNICACIONES 41
TABLA 29. DOCUMENTACIÓN AMENAZA DEGRADACIÓN SOPORTES ALMACENAMIENTO 41
TABLA 30. DOCUMENTACIÓN AMENAZA ERRORES DE LOS USUARIOS 41
TABLA 31. DOCUMENTACIÓN ERRORES DEL ADMINISTRADOR 42
TABLA 32. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN 42
TABLA 33. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN 42
TABLA 34. DOCUMENTACIÓN ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN 42
TABLA 35. DOCUMENTACIÓN VULNERABILIDAD DE PROGRAMAS 43
TABLA 36. DOCUMENTACIÓN ERRORES DE MANTENIMIENTO 43
TABLA 37. DOCUMENTACIÓN CAÍDA DEL SISTEMA AGOTAMIENTO DE RECURSOS 43
TABLA 38. DOCUMENTACIÓN AMENAZA PERDIDA DE EQUIPOS 44
TABLA 39. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL 44
TABLA 40. DOCUMENTACIÓN AMENAZA SUPLANTACIÓN DE IDENTIDAD 44
TABLA 41. DOCUMENTACIÓN AMENAZA ABUSO PRIVILEGIOS DE ACCESO 44
TABLA 42. DOCUMENTACIÓN AMENAZA USO NO PREVISTO 45
TABLA 43. DOCUMENTACIÓN AMENAZA ACCESO NO AUTORIZADO 45
TABLA 44. DOCUMENTACIÓN AMENAZA DENEGACIÓN DE SERVICIO 45
TABLA 45. DOCUMENTACIÓN AMENAZA MANIPULACIÓN DE PROGRAMAS 46
6
TABLA 46. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL 46
TABLA 47. LISTADO DE VULNERABILIDADES POR AMENAZA 49
TABLA 48. ESCALA VALORACIÓN IMPACTO MAGERIT 53
TABLA 49. ESCALA PROBABILIDAD DE OCURRENCIA MAGERIT 53
TABLA 50. MAPA DE CALOR RIESGO POTENCIAL 55
TABLA 51. EFECTOS DE LAS SALVAGUARDAS 56
TABLA 52. MAPA CALOR RIESGO RESIDUAL 57
TABLA 53. CAPAS ARQUITECTURA JEE 6 62
TABLA 54. TECNOLOGÍAS UTILIZADAS EN DESARROLLO 63
TABLA 55. CONDICIONES DE AMBIENTE DESARROLLO 64
TABLA 56. LICENCIAS DE SOFTWARE 65
TABLA 57. ROLES DE USUARIO 65
TABLA 58. CASO DE USO NO 1 68
TABLA 59. CASO DE USO NO 2 69
TABLA 60. CASO DE USO NO 3 69
TABLA 61. CASO DE USO NO 4 71
TABLA 62. CASO DE USO NO 5 72
TABLA 63. CASO DE USO NO 6 73
TABLA 64. CASO DE USO NO 7 73
TABLA 65. CASO DE USO NO 8 75
TABLA 66. CASO DE USO NO 9 75
TABLA 67. CASO DE USO NO 10 77
7
RESUMEN
El presente trabajo contiene un guía para que las entidades de contact center
puedan implementar modelos de seguridad de la información (SGSI) , basado en la
normatividad ISO 27001 , se desarrollará un esquema de seguridad de la
información tomando referencia un caso de estudio de una empresa colombiana
dedicada a contact center.
Mediante el presente documento y un prototipo de software en arquitectura web, se
pretende realizar la gestión de riesgos del caso estudio en cuestión, para que las
empresas de contact center tengan una base con la cual plantar sus sistemas de
seguridad tan necesarios con la cantidad de amenazas que pueden afectar el
negocio y su continuidad.
Se decide tomar dicha actividad empresarial para implementar como base
fundamental la norma ISO 27001, ya que estos modelos de negocio están sujetos
porcentajes de disponibilidad muy altos, que requieren control de riesgos que
puedan afectar al negocio.
La categorización de los activos, la recopilación y evaluación de los riesgos, los
controles y monitoreo asociados que se presentarán a continuación tienen como
objetivo reducir las escalas de probabilidad de ocurrencia de los riesgos y los
impactos en activos propiamente.
Realizadas estas buenas prácticas, las empresas de contact center podrán tener
una base más clara de cómo responder a los riesgos esfuerzo que afecten al
negocio.
8
ABSTRACT
The present work contains a guide so that the contact center entities can implement
information security models (SGSI), based on the ISO27001 norms, an information
security scheme will be developed taking reference to a case study of a Colombian
company dedicated to contact center.
Through this document and a prototype of software in web architecture, it is intended
to perform the risk management of the case study in question, so that the contact
center companies have a base with which to plant their necessary security systems
with the amount of threats that can affect the business and its continuity.
It was decided to take this business activity to implement the ISO 27001 standard
as a fundamental basis, since these business models are subject to very high
availability percentages, which require control of risks that may affect the business.
The categorization of the assets, the collection and evaluation of risks, the
associated controls and monitoring that will be presented below, aim to reduce the
probability scales of the occurrence of the risks and the impacts on assets
themselves.
Once these good practices have been carried out, the contact center companies can
have a clearer basis on how to respond to the risks that affect the business.
9
INTRODUCCIÓN
En la actualidad con la globalización de las tecnologías de la información y las
innumerables actividades de las empresas de diversos sectores, es necesario hacer
uso de dichas tecnologías para controlar, gestionar y salvaguardar la información
de una empresa.
Sin embargo el uso de las tecnologías de la información y las malas prácticas
aplicadas por las empresas, hacen visibles amenazas que pueden impactar de
forma negativa sus activos, desde el factor tecnológico hasta el factor humano
pueden ser un riesgo para la organización.
Los sistemas de gestión de seguridad de la información (SGSI), recogen prácticas
aplicables las organizaciones para que sean capaces de hacer frente a estas
amenazas.
Realizar una adecuada gestión de riesgos en una organización garantiza la
continuidad del negocio siendo resiliente ante amenazas existentes y futuras.
Para ello la norma ISO27001 estipula ciertos controles y monitoreo que permiten
realizar mejora continua a nuestros sistemas de gestión de seguridad.
Dicho de esta manera la implementación de una guía para gestionar la seguridad
de la información, trae beneficios para las organizaciones que le permiten proteger
al negocio.
10
DEFINICIÓN, OBJETIVOS Y
ANÁLISIS DEL PROBLEMA
11
1. DEFINICIÓN, OBJETIVOS Y ANÁLISIS DEL PROBLEMA
1.1 Título
Guía de sistema de gestión de seguridad de la información (SGSI) para
entidades de contact center.
1.2 Planteamiento de la problemática
Actualmente la mayoría de empresas dedicadas al contacto de clientes por
distintos medios como mensajes de texto, telefónicamente y demás opciones,
no implementan procesos que le permitan salvaguardar de forma adecuada sus
activos de información, para el caso de las organizaciones de contact center es
de vital importancia proteger procesos y servicios brindados en la operación de
la empresa.
En general los servicios de contact center son de operación continua 24 horas
7 días a la semana y por ello mantener su infraestructura tecnológica libre de
ataques y vulnerabilidades es vital para el negocio ya que permite evitar
interrupción en la operación.
Como las organizaciones dedicadas a esta actividad no tienen mecanismos
eficaces para afrontar y controlar los riesgos y vulnerabilidades, es necesario
implementar un diseño que permita gestionar y establecer políticas a través de
un SGSI, que permita alinear a estas organizaciones para afrontar las
amenazas actuales y cómo prepararse a futuro, y garantizar la disponibilidad y
confiabilidad de sus servicios de cara al usuario.
De esta forma diseñar un sistema que gestione la seguridad de la información,
permite a las empresas de contact center seguir un modelo estándar para
afrontar los problemas de seguridad y permitir a las áreas de tecnología
reaccionar y tomar medidas rápidas a cualquier evento que amenace la
integridad de la información y disponibilidad de servicios.
1.3 OBJETIVOS
1.3.1 Objetivo General
Diseñar una guía de sistema de gestión de seguridad de la información
para organizaciones de contact center, basado en la norma ISO/IEC
27001 que permita establecer políticas y procedimientos para el
tratamiento de riesgos.
12
1.3.2 Objetivos Específicos
➢ Analizar la situación actual de la seguridad de la información para las
entidades dedicadas a servicios de contact center en un caso de
estudio puntual de una empresa.
➢ Identificar los activos y amenazas que se pueden presentar en las
compañías de contact center.
➢ Analizar y realizar gestión de riesgos que se pueden presentar en los
contact center, orientado con los fundamentos de la metodología
Magerit.
➢ Establecer políticas y mecanismos que permitan mitigar riesgos
identificados que puedan afectar los activos de información.
➢ Desarrollar una aplicación web que permita consultar los riesgos,
políticas, controles e información del SGSI.
1.4 MARCO TEÓRICO
1.4.1 Estado del Arte
La seguridad de la información es un punto importante dentro de todas las
organizaciones, proteger los datos y todos los activos de la información de la
empresa es de vital importancia para el funcionamiento del negocio.
Así como velar por la disponibilidad de los servicios, ya que son la base de la
organización para ello es necesario tener lineamientos claros de cómo
salvaguardar y proteger la información de la empresa y de terceros.
Estos lineamientos y políticas se pueden sustentar y servir de modelo guía de
acuerdo con la norma ISO 27001, con el fin de establecer medidas que
permitan reducir la probabilidad de ocurrencia de un hecho que afecte la
información.
Los Sistemas de gestión de seguridad de la información permiten establecer
dichas medidas y tener un modelo de seguridad con mayor reacción y
anticipación de las amenazas.
Las entidades de contact center , en sus líneas típicas de cobranza de
obligaciones y venta de servicios , maneja información importante de titulares
,clientes y demás información sensible , y que es necesario proteger para
garantizar la continuidad del negocio en operación, así como amenazas que
puedan afectar equipos , servicios e información propia de la organización, de
igual manera es importante proteger los canales de contacto , ya que es la base
fundamental de este tipo de organizaciones.
13
1.4.2 Conceptos Introductorios
1.4.2.1 Sistema de gestión de seguridad de la información SGSI1.
Es el concepto central sobre el que se construye ISO 27001. La gestión de la
seguridad de la información debe realizarse mediante un proceso sistemático,
documentado y conocido por toda la organización.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto, garantizar que los
riesgos de la seguridad de la información sean conocidos, asumidos,
gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías. Las organizaciones y
sus sistemas de información están expuestos a un número cada vez más
elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas
de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el
“hacking” o los ataques de denegación de servicio son algunos ejemplos
comunes y conocidos, pero también se deben considerar los riesgos de sufrir
incidentes de seguridad causados voluntaria o involuntariamente desde dentro
de la propia organización o aquellos provocados accidentalmente por
catástrofes naturales y fallos técnicos.
1.4.2.2 Norma ISO/IEC 270012
Es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información
en una empresa. La revisión más reciente de esta norma fue publicada en
2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión
se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-
2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o
sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los
mejores especialistas del mundo en el tema y proporciona una metodología
para implementar la gestión de la seguridad de la información en una
organización. También permite que una empresa sea certificada; esto significa
que una entidad de certificación independiente confirma que la seguridad de
la información ha sido implementada en esa organización en cumplimiento con
la norma ISO 27001.
1 SGSI. http://www.iso27000.es/sgsi.html 2 ISO 27001. https://advisera.com/27001academy/es/que-es-iso-27001/
14
1.4.2.3 Norma ISO/IEC 27002 de 20133
La Norma ISO 27002 está estructura en 14 capítulos que describen las áreas
que hay que considerar para garantizar la seguridad de la información de que
dispone la organización. En total, el documento recomienda un total de 114
controles que, si bien no hace falta cumplirlos todos, sí que hay que tenerlos
en cuenta y considerar su posible aplicación, así como el grado de la misma.
TABLA 1. DOMINIOS ISO27002
Nombre del Capítulo
1.Políticas de Seguridad de información
2.Organización de la seguridad de la información
3.Seguridad Relativa a los recursos humanos
4.Gestión de Activos
5.Control de Acceso
6.Criptografía
7.Seguridad Física y del entorno
8.Seguridad de las operaciones
9.Seguridad de la comunicaciones
10.Adquisiciones , desarrollo y mantenimiento de los sistemas de información
11.Relación con los proveedores
12.Gestión de incidentes de seguridad de la información
Fuente: Autores
1.4.2.4 Metodología Magerit para gestión de riesgos4
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para
la empresa la violación de la seguridad, buscando identificar las amenazas que
pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser
utilizadas por estas amenazas, logrando así tener una identificación clara de
las medidas preventivas y correctivas más apropiadas. Lo interesante de esta
metodología, es que presenta una guía completa y paso a paso de cómo llevar
a cabo el análisis de riesgos. Esta metodología está
3 ISO 27002 de 2013. http://iso27000.es/iso27002.html
15
dividida en tres libros. El primero de ellos hace referencia al Método, donde se
describe la estructura que debe tener el modelo de gestión de riesgos. Este
libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
1.4.2.5 Ciclo PHVA o ciclo Deming5
También es conocido como Ciclo de mejora continua o Círculo de Deming,
esta metodología describe los cuatro pasos esenciales que se deben llevar a
cabo de forma sistemática para lograr la mejora continua, entendiendo como
tal al mejoramiento continuado de la calidad (disminución de fallos, aumento
de la eficacia y eficiencia, solución de problemas, prevención y eliminación de
riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas,
de forma que una vez acabada la etapa final se debe volver a la primera y
repetir el ciclo de nuevo, de forma que las actividades son reevaluadas
periódicamente para incorporar nuevas mejoras. La aplicación de esta
metodología está enfocada principalmente para para ser usada en empresas
y organizaciones. Las etapas del ciclo Deming se presentan de la siguiente
manera:
Planificar (Plan): Se buscan las actividades susceptibles de mejora y
se establecen los objetivos a alcanzar. Para buscar posibles mejoras
se pueden realizar grupos de trabajo, escuchar las opiniones de los
trabajadores, buscar nuevas tecnologías mejores a las que se están
usando ahora, etc.
Hacer (Do): Se realizan los cambios para implantar la mejora
propuesta. Generalmente conviene hacer una prueba piloto para
probar el funcionamiento antes de realizar los cambios a gran escala.
Controlar o Verificar: Una vez implantada la mejora, se deja un
periodo de prueba para verificar su correcto funcionamiento. Si la
mejora no cumple las expectativas iniciales habrá que modificarla para
ajustarla a los objetivos esperados. (ver Herramientas de Control).
Actuar (Act): Por último, una vez finalizado el periodo de prueba se
deben estudiar los resultados y compararlos con el funcionamiento de
las actividades antes de haber sido implantada la mejora. Si los
resultados son satisfactorios se implantará la mejora de forma
definitiva, y si no lo son habrá que decidir si realizar cambios para
ajustar los resultados o si desecharla. Una vez terminado el paso 4,
se debe volver al primer paso periódicamente para estudiar nuevas
mejoras a implantar.
4 Magerit. https://www.pmg-ssi.com/2015/03/iso-27001-el-metodo-magerit/ 5 Ciclo Deming. https://www.isotools.com.co/la-norma-iso-9001-2015-se-basa-ciclo-phva/
16
1.5 Solución Tecnológica al planteamiento del problema
Para desarrollar la solución SGSI es necesario hacer uso del estándar
ISO/IEC 27001 como base fundamental para identificar los activos, las
vulnerabilidades, las amenazas, las consecuencias y las probabilidades,
como también definir el nivel aceptable de riesgo.
Definir la metodología de gestión de riesgos para el caso concreto de este
proyecto se utilizara Magerit, obtener una visión integral de los peligros sobre
la información y documentar todos los pasos tomados durante el proceso de
evaluación y tratamiento de riesgos.
Determinar los controles y tratamiento de riesgos definir claramente cómo se
implementarán los controles quien los ejecutará en qué momentos, luego
debemos implementar dichos controles esto implica la implementación de
nuevas conductas en su organización con el fin de garantizar la seguridad de
información.
Desarrollo de un prototipo de software web que permita realizar el
seguimiento y consulta de la gestión de riesgos realizada en términos de
controles , análisis de vulnerabilidades y costos asociados a la
implementación de la solución que permita mitigar el impacto y la
probabilidad de ocurrencia de los riesgos documentados.
1.6 Análisis y Factibilidad Económica
1.6.1 Factibilidad Económica: Recurso Humano
TABLA 2. FACTIBILIDAD ECONOMICA RECURSO HUMANO
Tipo Descripción Hora Cantidad Total
Asesor Asesorías ISO 27001
$ 27.000 80 $ 2’160.000
Total Recurso Humano $ 2’160.000
Fuente: Autores
1.6.2 Factibilidad Económica: Recurso o Factor Técnico
Tipo Descripción Valor Unitario Cantidad Total
Equipos Equipos portátiles $ 1.6500.000 2 $ 3’300.000
17
realización del documento SGSI , Desarrollo de software y pruebas
Internet Conexión a Internet $ 60.000 2 $ 180.000
Total Recurso Humano $ 3’480.000
1.6.3 Costo Total del Proyecto
TABLA 3. COSTO TOTAL PROYECTO
Recurso Valor
Total Recursos Humanos $ 2’160.000
Total Recursos Técnicos $ 3’480.000
Total Otros recursos $ 400.000
Costos imprevistos (20%) $ 1’772.000
TOTAL COSTO $ 7’812.000
Fuente: Autores
18
1.6.4 CRONOGRAMA DE TRABAJO
19
SITUACIÓN EMPRESARIAL
CASO DE ESTUDIO
20
2. SITUACIÓN EMPRESARIAL Y CASO DE ESTUDIO
Las organizaciones de contact center, son empresas cuyo manejo de
información es constante y relativamente no se detienen con relación a
empresas dedicadas a otros sectores productivos, la información de los clientes,
procesos, activos y lo necesario para la operación diaria pueden verse
afectados, el constante uso de información, los grandes volúmenes de datos y
los tiempos de operación son razones proteger la organización, brindar
disponibilidad , eficiencia de servicio y mantener la continuidad del negocio .
Para ello se llegara a la práctica una guía que permita organizar y evidenciar
como realizar gestión de riesgos y protegerse de las constantes amenazas que
pueden afectar el negocio de manera negativa, Tomando como referente una
organización colombiana del sector de contact center.
2.1 Caso de estudio para análisis y gestión de riesgos
SistemGroup es una empresa que ofrece portafolios de servicios en venta de
servicios, y cobranza de cartera a través de contact center (entrada y salida de
llamadas, contacto por correo, mensajería, visitas a domicilio), con alrededor de
35 clientes en distintos sectores, entre ellos están las telecomunicaciones,
banca, farmacéuticos y asegurador.
La empresa cuenta con sucursales en las ciudades de Bogotá, Barranquilla,
Medellín y Cali y centro administrativo ubicado en la ciudad de Bogotá.
Dentro de la organización se encuentra una extensa área de tecnología que
suple las necesidades para el funcionamiento de la empresa entre estas áreas
se encuentran:
Área de Infraestructura: Que se encarga de suplir las necesidades de
comunicaciones y redes, servidores y espacio tecnológico de la
compañía.
Área de Desarrollo de Software: Se encarga del desarrollo de
requerimientos asociados a todas las áreas de la empresa.
Área de Soporte: Mesa de ayuda disponible para atender necesidades
urgentes en todas las áreas y para todas las sucursales.
Área de Inteligencia: Encargada de establecer márgenes estadísticos
con relación a la operación del negocio.
La base central del negocio está relacionada con el personal de operación entre
los cuales encontramos los siguientes roles:
Agentes o asesores: Es el personal encargado de realizar la gestión de
cobranza y venta por los diferentes canales.
Coordinadores : Encargados de realizar el seguimiento de las diferentes
campañas de venta y cobranza y de asegurar metas establecidas
21
Analistas de Planeación: Este rol realiza la asignación de tareas en las
diferentes campañas de acuerdo a las estrategias de venta y cobranza
propias del negocio.
Analistas de Calidad: Área encargada monitorear llamadas y canales
con el fin de verificar que los servicios se brinden de una forma rápida y
atenta.
En común los modelos de empresa actuales, la empresa cuenta con área de
recursos humanos y personal administrativo en interactúan los siguientes roles:
Personal de contabilidad y tesorería: Encargados de mantener la
contabilidad de la organización.
Área de Recursos Humanos: Área encargada de realizar toda la gestión
del talento humano para todas las áreas de la organización.
Personal Jurídico: Personal encargado de realizar los procesos jurídicos
y de más procesos legales a carteras donde los titulares están
demandados para cobro jurídico
Personal de Implementación: Área designada para verificar, corregir e
implementar procesos en la operación que permitan la eficiencia más alta.
La interacción y los procesos internos entre todas las áreas y el personal
mencionado anteriormente, hacen que el flujo y la cantidad de información sea
muy grande, el manejo de información importante relacionada con clientes,
situaciones contables, procesos en la operación entre otros.
De igual manera salvaguardar todo equipo servicio y procesos que contenga
información importante del negocio es de prioridad alta
El modelo de negocio está orientado a la disponibilidad de su personal y de sus
plataformas tecnológicas para que pueda operar todos los días de la semana
en horario continuo.
Se requiere analizar factores internos y externos que afecten de forma negativa
a la organización y poder controlar dichos factores (fuga de información,
fraudes, incidentes tecnológicos, recurso humano) y todo lo que pueda ser una
amenaza.
El negocio requiere de manera inmediata realizar la implementación de
procesos que le permitan estar preparada para responder a eventos que la
puedan impactar de manera negativa.
Analizando desde un punto de vista global la organización se realizará gestión
de riesgos, que le permitan tener márgenes de confidencialidad y consistencia
de información y disponibilidad altos, además de mantener y ganar su imagen
22
reputacional como una de las empresas líderes en el sector, y servir de modelo
para otras organizaciones.
2.2 Caracterización tecnológica de la empresa
SistemGroup cuenta con las siguientes características de infraestructura, que le
permiten ejecutar el negocio.
2.2.1 Equipos de Hardware
TABLA 4. EQUIPOS DE HARDWARE
Descripción Cantidad
Equipos de Mesa y portátiles 523
Servidores de Troncal Telefónica 14
Servidores de Base de datos 8
Servidores de servicios 10
Televisores 8
Equipos de Monitoreo de red Forti 4
UPS y planta de energía 2
TOTAL 569
Fuente: Autores
La falla, caída o daño de alguno de estos equipos de red puede causar pérdidas
en dinero o en imagen reputacional a la empresa, ya que la disponibilidad de
los servicios y la operación misma en uno o varios sectores de la organización
así como en sus sucursales, pueden verse afectadas.
2.2.2 Equipos de Software
TABLA 5. EQUIPOS DE SOFTWARE
Descripción Cantidad
Bases de datos SQL Server 2008 27
Servidores de Aplicaciones Glassfish 15
Instancias Telefónicas de Asterisk 20
Software de monitoreo y filtro web Forti 2
23
Servidor de estadística e inteligencia Power BI y Tableu 2
Software contable Siigo 1
CRM de gestión de venta y cobranza web 3
Licencias de Microsoft Windows 502
Servidores Centos 6 15
TOTAL 572
Fuente: Autores
Tener salvaguardados todos estos servicios de información, es la mayor
prioridad, una intrusión, una caída o condiciones no indicadas para la operación
de estos servicios puede lanzar a pique la operación de todo el negocio.
La infraestructura de software listada anteriormente, es el flujo total de
información de la organización (captura, procesamiento, almacenamiento).
La información es el insumo principal de la organización y por ello hay que
salvaguardar cada sector de información.
2.3 Condiciones de seguridad de la empresa
SistemGroup tiene actualmente los siguientes controles de seguridad básicos
que le permiten controlar algunos aspectos de la seguridad de la información
para la empresa:
Directorio activo
Controles de perfiles a aplicaciones
Filtros web por equipos de red.
A pesar de estos controles en algunos puntos de la organización, esta sigue
expuesta a amenazas y factores internos y externos que pueden afectarla al
borde de afectar su operación continua y terminar con el negocio.
En los siguientes capítulos se pretende hacer uso de todas las herramientas
necesarias para identificar, evaluar y mitigar cada riesgo que pueda tener desde
un impacto muy grande a un impacto mínimo en alguna zona de información de
la organización.
A continuación se inicia toda la gestión de riesgo de acuerdo a la metodología
seleccionada (Magerit) en un ciclo de iterativo y de mejora continua que permita
a la organización tener la capacidad de anticipar y responder a los múltiples
riesgos presentes desde el punto de vista de la gestión de riesgos.
24
2.4 Matriz EFI6
La matriz EFI (Evaluación de factores internos) es un instrumento para formular
estrategias que resume y evalúa las fuerzas y debilidades más importantes
dentro de las áreas funcionales de la empresa. Además ofrece una base para
identificar y evaluar las relaciones entre dichas áreas, así como la manera en
que cada una interviene en los objetivos de la empresa.
2.4.1 Definición de valores de peso y calificación matriz EFI
Para la evaluación del peso se tendrá una escala entre 0.0 (no importante) a
1.0 (absolutamente importante) a cada uno de los factores. El peso adjudicado
a un factor dado indica la importancia relativa del mismo para alcanzar los
objetivos de la empresa. Para la evaluación de calificación entre 1 y 4 a cada
uno de los factores a efecto de indicar si el factor representa.
TABLA 6. DEFINICIONES PESO MATRIZ EFI
Calificación Descripción
1 Debilidad mayor
2 Debilidad menor
3 Fuerza menor
4 Fuerza mayor
Fuente: Autores
2.4.2 Fortalezas
TABLA 7. FORTALEZAS
Factores Peso Calificación Ponderado
Disponibilidad de servicios 0.23 4 0.92
Garantías de seguridad de archivos y bases de información
0.17 4 0.68
Alianzas más fuertes con otras empresas 0.19 3 0.57
Clasificación de información y confidencialidad 0.19 3 0.57
Planes de contingencia para la continuidad del negocio
0.22 4 0.88
Total 1 3.62
Fuente: autores
6 Matriz EFI https://yiminshum.com/matriz-evaluacion-factores-internos-mefi/
25
2.4.3 Debilidades
TABLA 8. DEBILIDADES
Factores Peso Calificación Ponderado
Políticas de seguridad no definidas 0.23 1 0.23
Retraso y falta de continuidad en el proceso de gestión de riesgos
0.19 2 0.38
Disponibilidad de servicios no cumple el porcentaje necesario para el negocio
0.18 2 0.36
Pérdidas y fugas de información delicada 0.23 1 0.23
Falta de concientización del personal , en temas de seguridad de información
0.17 2 0.34
Total 1 1.54
Fuente: Autores
2.5 Matriz EFE7
La matriz EFE (Evaluación de factores externos) es un instrumento para
formular estrategias que resume y evalúa las oportunidades y amenazas
relevantes en el ámbito económico en el que se encuentra la empresa.
2.5.1 Definición de valores de peso y calificación matriz EFE.
Para la evaluación del peso se tendrá una escala entre 0.0 (no importante) a
1.0 (absolutamente importante) a cada uno de los factores. El peso adjudicado
a un factor dado indica la importancia relativa del mismo para alcanzar los
objetivos de la empresa. Para la evaluación de calificación entre 1 y 4 a cada
uno de los factores a efecto de indicar si el factor representa.
TABLA 9. VALORES PESO MATRIZ EFE
Calificación Descripción
1 Amenaza mayor
2 Amenaza menor
3 Oportunidad menor
4 Oportunidad mayor
Fuente : autores
7 Matriz EFE http://www.joseacontreras.net/direstr/cap491d.ht
26
2.5.2 Oportunidades
TABLA 10. OPORTUNIDADES
Factores Peso Calificación Ponderado
Aumentar Imagen reputacional 0.20 4 0.8
Confianza organizacional ante riesgos 0.22 4 0.88
Procesos bien definidos en respuesta a los riesgos
0.18 3 0.54
Mejora continua en seguridad de la información 0.17 3 0.51
Modelo de seguridad ante otras empresas del sector
0.23 4 0.92
Total 1 3.65
Fuente: Autores
2.5.3 Amenazas
TABLA 11. AMENAZAS
Factores Peso Calificación Ponderado
Mala gestión de riesgos 0.28 1 0.28
No concientizar al personal de la organización 0.23 2 0.46
Recursos económicos no disponibles 0.27 2 0.54
Mala asignación de los roles y las tareas 0.22 2 0.44
Total 1 1.72
Fuente: Autores
2.6 Matriz DOFA
A través de esta matriz se logra diagnosticar la situación actual de la
organización, identificando y colocando atención en los puntos que se
consideran relevantes, en este caso aspectos relacionados con salvaguardar la
información de la organización. Además conduce a una mejora planeación
como primera etapa para la definición e implementación de un sistema de
gestión de la información en este caso para organizaciones en el sector del
contact center.
27
A continuación se presenta la matriz DOFA para el caso de estudio definido en
los numerales anteriores:
Fortalezas (F) 1. Disponibilidad de servicios. 2. Garantías de seguridad de
archivos y bases de información
3. Buena imagen y satisfacción por parte del cliente.
4. Alianzas más fuertes con otras empresas.
5. Clasificación de información y confidencialidad
6. Planes de contingencia para la continuidad del negocio
Debilidades (D) 1. Políticas de seguridad no
definidas 2. Retraso y falta de
continuidad en el proceso de gestión de riesgos
3. Disponibilidad de servicios no cumple el porcentaje necesario para el negocio.
4. Pérdidas y fugas de información delicada.
5. Falta de concientización del personal , en temas de seguridad de información
Oportunidades (O) 1. Aumentar Imagen
reputacional. 2. Confianza organizacional
ante riesgos. 3. Procesos bien definidos
en respuesta a los riesgos.
4. Mejora continua en seguridad de la información.
5. Modelo de seguridad ante otras empresas del sector
Estrategias (FO) 1. Emprender procesos de
seguridad en materia de gestión de riesgos que promuevan la mejora continua de los esquemas de protección de información de la compañía.
2. Fortalecer las características de Disponibilidad y consistencia de los servicios prestados al cliente
Estrategias (DO) 1. Establecer campañas y
métodos de concientización del personal de cómo ayudar a proteger la información de la organización.
2. Impulsar planes que permitan analizar y evaluar los riesgos de manera continua y periódica.
3. Esquematizar y documentar planes de reacción y políticas para mitigar o eliminar riesgos relevantes
Amenazas (A) 1. Mala gestión de riesgos. 2. No concientizar al
personal de la organización
3. Recursos económicos no disponibles.
4. Mala asignación de los roles y las tareas.
Estrategias (FA) 1. Planeación correcta de la
gestión de riesgos y la elaboración de dichos planes para reaccionar y mejorar la seguridad de la información de la organización.
Estrategias (DA) 1. Estudiar Metodologías y
herramientas que permitan realizar buenas prácticas para la gestión de riesgos.
2. Analizar y reducir los costos para la implementación de planes para reacción a riesgos
28
Una vez recolectada la información de la organización como se ha realizado en
este capítulo, se tienen insumos para saber que se busca proteger de la
organización, y realizar una evaluación de como la organización está enfrentando
los problemas de seguridad sin realizar la respectiva gestión de riesgos que se
desarrollara en los siguientes capítulos.
Esta información recolectada también sirve para identificar qué factores pueden
determinar un problema para la continuidad del negocio, además de conocer las
necesidades de la organización y así realizar una planeación y ejecución de
esquemas de seguridad eficientes que permitan a la empresa asegurar y proteger
su información de cualquier agente.
Posterior a toda la información conseguida, se debe empezar a utilizar la
metodología Magerit, que nos brinda una forma de trabajo para realizar toda la
gestión de riesgos, lo cual se tocara a profundidad en adelante.
29
PLANIFICACION, ACTIVOS
AMENAZAS
30
3. PLANIFICACION, ACTIVOS AMENAZAS
Con el objetivo de tomar como referencia la situación empresarial del capítulo
anterior, se tiene previsto realizar la respectiva gestión de riesgos como lo
plantean los capítulos de la norma ISO 27001, y la aplicación de controles como
lo sostiene la norma ISO 27002 del 2013, sin embargo se precisa hacer uso de
Magerit una metodología que permite a los analistas de riesgos tomar como
marco de referencia un paso a paso de cómo realizar gestión efectiva de riesgos.
Antes de empezar a tomar como referencia Magerit es necesario entender cierta
terminología para abordar de manera adecuada cada paso de la gestión de
riesgos.
3.1 Terminología de Magerit
● Activo8: Componente o funcionalidad de un sistema susceptible a ser
atacado deliberada o accidentalmente con consecuencias para la
organización.
● Amenaza9: Causa potencial de un incidente que puede causar daños a
un sistema de información o a una organización.
● Vulnerabilidad10: Hecho mediante el cual una amenaza pueda
materializarse y generar impacto en un activo.
● Riesgo Potencial11: Se denomina riesgo a la medida del daño probable
sobre un sistema. Conociendo el impacto de las amenazas sobre los
activos, es directo derivar el riesgo sin más que tener en cuenta la
probabilidad de ocurrencia.
● Salvaguardas12: Se definen las salvaguardas o contramedidas como
aquellos procedimientos o mecanismos que reducen el riesgo,
presentando la relación de mecanismos para cada uno de los activos,
según el catálogo de elementos de Magerit.
● Impacto Residual13: Dado cierto conjunto de salvaguardas desplegadas
y una medida de madurez de su proceso de gestión, el sistema queda en
una situación de posible impacto que se denomina residual.
● Riesgo Residual14: Dado un cierto conjunto de salvaguardas
desplegadas y una medida de la madurez de su proceso, el sistema
queda en una situación de riesgo que se denomina residual, se modifica
desde un valor potencial a un valor residual.
Una vez contextualizados los términos claves, se iniciaría con el proceso
base de la gestión de riesgos que tiene que ver con la identificación de los
activos de información de la organización. Partiendo de esta base podremos
derivar como pueden ser afectados estos activos y cómo protegerlos de
cualquier tipo de agente que puede perjudicarlos.
8, 9, 10, 11, 12, 13,14 MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información. Libro I - Método
31
3.2 Identificación de los activos
La identificación de los activos es el primer paso según Magerit para realizar
todo el proceso de gestión del riesgo. Así como la identificación de los activos
es importante también lo es su categorización de acuerdo con sus
características, con lo cual la identificación de cada activo este debe ser
categorizada.
3.2.1 Categorización de activos según Magerit
La metodología Magerit propone una categorización completa con la cual
ubicar cada activo de información identificado de acuerdo a sus características
funcionales, físicas, entre otras.
TABLA 12. CATEGORIZACIÓN DE LOS ACTIVOS SEGÚN MAGERIT
Categoría
Activos de Software o aplicaciones
Activos de Hardware
Activos de Información
Activos de Servicios
Activos de Infraestructura
Activos de Recurso Humano
Fuente: Magerit Version 3 Libro de Método
Es importante clasificar los activos en alguno de los grupos presentados
anteriormente, ya que el en pasos más adelante la categorización del activo
puede marcar pautas para decidir cómo realizar la gestión de un riesgo.
3.2.2 Etiquetado de Activos
Presentadas las categorías a las que un activo de información puede
pertenecer se hace necesario etiquetar cada activo identificado, las etiquetas
están relacionadas con cada categoría. El etiquetado de los activos busca en
general brindar un identificador para cada activo de acuerdo a la clasificación
en la que se encuentre. Para hecho se propone que para tipo de activo se
maneje una etiqueta que se conforma como se muestra a continuación:
TABLA 13. ETIQUETADO DE ACTIVOS
Categoría del Activo Etiqueta
Activos de Software o aplicaciones ASOFT-###
32
Activos de Hardware AHARD-###
Activos de Información AINFO-###
Activos de Servicios ASERV-###
Activos de Infraestructura AINFR-###
Activos de Recurso Humano ARRHH-###
Fuente: Autores
3.2.3 Características o dimensiones de una activo
Es importante conocer cuáles son las características de un activo y el valor que
tiene para una organización.
Sin embargo las características de un activo van más allá del contexto físico o
funcional, Magerit aconseja enfocarse en 3 propiedades de los activos que
pueden dar al observador un objeto con el cual realizar una valoración de un
determinado activo.Estas propiedades se denominan “Dimensiones” y son
atributos de los activos que pueden ser valorados de forma cualitativa. Estas
propiedades son:
TABLA 14. DIMENSIONES DE UN ACTIVO
Fuente: Autores
Estas son las características básicas a valorar en un activo pero es necesario
poder dar un valor cuantitativo a cada uno de estos aspectos.
3.2.4 Escala de valoración de las características o dimensiones de un
activo
Después de conocer las características o dimensiones fundamentales de un
activo, estas deben ser evaluadas de acuerdo a una escala propuesta por
Magerit:
TABLA 15. ESCALA VALORACIÓN DIMENSIONES DE UN ACTIVO
Rango de Valor Valor Criterio
10 Extremo Daño extremadamente grave
Dimensión Antecedente
Confidencialidad ¿Qué daño causaría que lo conociera quien no debe?
Integridad ¿Qué perjuicio causaría que estuviera dañado ?
Disponibilidad ¿Qué perjuicio causaría no poder utilizarlo?
33
9 Muy alto Daño muy grave
6-8 Alto Daño grave
3-5 Medio Daño importante
1-2 Bajo Daño Menor
0 Despreciable
Irrelevante a efectos prácticos Fuente: Magerit Version 3 Libro de Método
3.2.5 Listado de activos identificados
A continuación se listan los activos de información identificados del caso
empresarial propuesto y su respectiva categorización presentada la cual fue
presentada en el numeral 3.2.1 con base a este listado iniciaremos la
identificación de agentes que pueden causar daños y cómo abordarlos.
TABLA 16. LISTADO ACTIVOS IDENTIFICADOS
Etiqueta Nombre del Activo Categoría
AHARD-001 Discos Duros Externos
Activos de
Hardware
AHARD-002 Equipos de Computo
AHARD-003 Memorias USB y Magnéticos
AHARD-004 Impresoras y Fax
AHARD-005 Equipos de Red
AINFO-001 Procesos de Operación Contacto
Activos de
Información
AINFO-002 Manuales de Gestión de Cobranza CRM
AINFO-003 Procesos de Implementación
AINFO-004 Documentación Física del Recurso Humano
AINFO-005 Documentos Administrativos
AINFO-006 Manuales de Usuario
AINFO-007 Grabaciones de Gestión de contacto(LLamadas mensajes)
AINFO-008 Tableros de control estadísticos
AINFO-009 Contratos
AINFO-010 Documentos Proceso de Desarrollo Software
AINFO-011 Cintas con backups
34
AINFO-012 Libros Contables
AINFO-013 Documentación Jurídica
AINFR-001 Camaras de seguridad
Activos de
Infraestructura
AINFR-002 Planta Eléctrica y UPS
AINFR-003 Aire Acondicionado Centro Datos
AINFR-004 Troncal Telefónica
ARRHH-001 Personal Operación Call Center
Activos de
RRHH
ARRHH-002 Personal Administrativo
ARRHH-003 Personal de desarrollo de tecnología
ASERV-001 Equipos Celulares Activos de Servicio
ASOFT-001 Bases de Datos Clientes (SQL, Excel Access)
Activos de
Software
ASOFT-002 Repositorio de Aplicaciones productivas
ASOFT-003 Repositorio de Aplicaciones desarrolladas
ASOFT-004 Asterisk Voip
ASOFT-005 Sistemas Operativos Windows
ASOFT-006 Sistemas Operativos CentOS
ASOFT-007 Aplicaciones Web de la operación
Fuente: Autores
3.3 Valoración de los activos
Una vez identificados todos los activos de información de la empresa, se hace
necesario realizar una valoración evidenciando que tan prescindible es para la
organización y aclarando una visión de que tan grande debe ser el esfuerzo
para protegerlo.
Determinar la valía de un activo aclara el contexto de qué tan importante es
protegerlo , ya que se han definido atributos relevantes de los activos , es decir
sus dimensiones presentadas en el numeral 3.2.3 se hace necesario evaluar
cada una de las dimensiones para ponderar los valores asignados a cada
dimensión y observar qué tan valioso verdaderamente es el activo.
A continuación se presenta la tabla de los activos identificados con su
correspondiente valoración en cada una de las dimensiones, y la valoración final
del activo que en contexto es el promedio de los valores asignados a las
35
dimensiones, valores que deben ser tomados de la escala de valoración
presentada en el numeral 3.2.4
● I (Integridad)
● C (Confidencialidad)
● D (Disponibilidad)
TABLA 17. VALORACIÓN DE LOS ACTIVOS
Descripción Activo Dimensiones Valoración
Etiqueta Nombre del Activo I C D
AINFO-001 Procesos de Operación Contacto
Muy Alto 9 Extremo 10 Alto 9 Alto
AINFO-002 Manuales de Gestión de Cobranza CRM
Medio 4 Muy Alta 9 Alta 7 Alto
AINFO-002 Procesos de Implementación
Alto 7 Muy Alta 9 Medio 5 Alto
ASOFT-001 Bases de Datos Clientes (SQL, Excel Access)
Extremo 10 Extremo 10 Extremo 10 Extremo
ASOFT-002 Repositorio de Aplicaciones productivas
Extremo 10 Muy Alto 9 Muy Alto 9 Muy Alto
ASOFT-003 Repositorio de Aplicaciones desarrolladas
Extremo 10 Muy Alto 9 Muy Alto 9 Muy Alto
AINFO-003 Documentación Física del Recurso Humano
Alto 7 Alto 8 Alto 8 Alto
AINFO-004 Documentos Administrativos
Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto
AHARD-001 Discos Duros Externos Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto
AINFO-005 Manuales de Usuario Medio 5 Alto 7 Alto 7 Alto
AINFO-006 Grabaciones de Gestión de contacto(Llamadas mensajes)
Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto
AHARD-002 Equipos de Computo Alto 7 Alto 7 Extremo 10 Alto
AINFR-001 Cámaras de seguridad Alto 7 Extremo 10 Extremo 10 Extremo
36
AINFO-007 Tableros de control estadísticos
Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto
ASOFT-004 Asterisk Voip Muy Alto 9 Alto 7 Muy alto 9 Muy Alto
AINFO-008 Contratos Extremo 10 Extremo 10 Muy Alto 9 Extremo
ASERV-001 Equipos Celulares Medio 4 Medio 4 Medio 4 Medio
AHARD-003 Memorias USB y Magnéticos
Alto 7 Alto 7 Muy Alto 9 Alto
AINFO-009 Documentos Proceso de Desarrollo Software
Medio 4 Alto 7 Alto 8 Alto
ARRHH-001 Personal Operación Call Center
Muy Alto 9 Extremo 10 Extremo 10 Extremo
ARRHH-002 Personal Administrativo Muy Alto 9 Muy Alto 9 Muy Alto 9 Muy Alto
AHARD-004 Impresoras y Fax Medio 5 Alto 7 Medio 5 Medio
AINFO-010 Cintas con backups Extremo 10 Extremo 10 Extremo 10 Extremo
ASOFT-005 Sistemas Operativos Windows
Alto 8 Extremo 10 Alto 7 Muy Alto
ASOFT-006 Sistemas Operativos CentOS
Alto 8 Extremo 10 Alto 7 Muy Alto
ASOFT-007 Aplicaciones Web de la operación
Extremo 10 Extremo 10 Extremo 10 Extremo
AINFO-011 Libros Contables Extremo 10 Extremo 10 Extremo 10 Extremo
AINFR-002 Planta Eléctrica y UPS Alto 7 Alto 7 Extremo 10 Alto
AHARD-005 Equipos de Red Muy Alto 9 Muy Alto 9 Extremo 10 Muy Alto
AINFR-003 Aire Acondicionado Centro Datos
Alto 7 Alto 7 Extremo 10 Alto
AINFR-004 Troncal Telefónica Alto 7 Muy Alto 9 Extremo 10 Muy Alto
AINFO-012 Documentación Jurídica Alto 7 Alto 8 Alto 7 Alto
37
ARRHH-003 Personal de desarrollo de software
Muy Alto 9 Alto 7 Alto 7 Alto
Fuente: Autores
3.4 Identificación de amenazas
Con la valoración de los activos realizada en el numeral anterior, y teniendo
claro qué activos son los activos más valiosos, es necesario analizar qué
agentes pueden perjudicarlos que afectar sus características o dimensiones.
Para ello es necesario determinar cuáles son las amenazas que pueden afectar
a cada uno de los activos , identificar cuáles son los incidentes que pueden
causar un daño pequeño o grave , sin importar que tan minúsculo sea un daño
se debe documentarse y dejar en claro cómo puede afectar un activo.
En este numeral se identificaran cuáles son los incidentes que pueden causar
daños a un activo y por consecuencia a la organización.
3.4.1 Categorización de las amenazas
En el catálogo de elementos de la metodología Magerit presenta las posibles
amenazas que pueden degradar un activo, sin embargo existe una
categorización relacionada a la causa de las amenazas.
TABLA 18. CATEGORIZACIÓN DE AMENAZAS
Código Categoría Causa
N Desastres naturales Sucesos que pueden ocurrir sin intervención del ser humano.
I Origen Industrial Sucesos que pueden ocurrir de forma accidental, derivados. de la actividad humana
E Errores y Fallos no intencionados
Errores y fallos no intencionados causados por las personas.
A Ataques intencionados Fallos deliberados causados por las personas.
Fuente: Magerit Versión 3 Libro 2 Catalogo de Elementos
Para cada una de las categorías presentadas hay un grupo de amenazas
típicas, estas amenazas están contenidas en el libro de Magerit relacionado al
catálogo de elementos en el numeral de amenazas. Teniendo en cuenta esta
lista de amenazas se deben documentar las que se consideran pueden afectar
cualquiera de las dimensiones de los activos listados en el numeral 3.3.6.
38
3.4.2 Formato de documentación de amenazas
Teniendo en cuenta la categorización y los grupos de amenazas típicas, se
debe realizar la respectiva documentación, haciendo énfasis en cuales son
características relevantes del activo que se pueden degradar si se materializa
la amenaza.
La documentación de las amenazas se realiza en base a los tipos de activos
es decir se seleccionan los tipos de activos a los cuales puede afectar la
amenaza, y cuáles de sus características se ven más afectadas.
Magerit propone el siguiente formato de documentación de amenazas en el
cual registrar la información necesaria, descripciones, causas, daños y la
información abstraída de cada amenaza.
TABLA 19. FORMATO DOCUMENTACIÓN DE AMENAZAS
[Código] E ,A, N ... Definición o nombre de la amenaza
Tipos de Activo: ● Se listan los tipos activos
que pueden presentar daños
Dimensiones o Características: 1. Características de seguridad que se
pueden ver afectadas listadas por relevancia.
Descripción: Identificación detallada de la amenaza y de los impactos negativos que puede tener sobre los activos.
Fuente: Magerit Version 3 Libro 1 Método
3.4.3 Documentación de las amenazas identificadas
Utilizando el formato presentado en el numeral anterior se procede a
documentar las amenazas que se consideran pueden afectar a los activos de
información presentados en los numerales anteriores. Se recopila la
información más relevante y clara de la amenaza para luego definir qué tan
impactante puede llegar a ser su materialización.
A continuación se presenta la documentación de cada de las amenazas
identificadas para los activos típicos de un contact center.
TABLA 20. DOCUMENTACIÓN AMENAZA INCENDIO
N1-Incendio
Tipos de activo: 1. Hardware. 2. Software. 3. Información.
Dimensiones: 1. Disponibilidad.
39
4. Infraestructura.
Descripción: Posibilidad de que un incendio exterior afecte las instalaciones.
Fuente: Autores
TABLA 21. DOCUMENTACIÓN AMENAZA INUNDACIÓN
N2-Inundación
Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura. 4. Información.
Dimensiones: 1. Disponibilidad.
Descripción: Posibilidad ocurra una inundación externa que afecte las instalaciones.
Fuente: Autores
TABLA 22. DOCUMENTACIÓN AMENAZA TERREMOTO
N3-Terremoto
Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura.
Dimensiones: 1. Disponibilidad.
Descripción: Posibilidad de que un terremoto ocurra en los lugares donde se encuentran nuestras instalaciones.
Fuente: Autores
TABLA 23. DOCUMENTACIÓN AMENAZA FUEGO
I1-Fuego
Tipos de activo: 1. Hardware. 2. Software. 3. Información. 4. Infraestructura.
Dimensiones: 1. Disponibilidad.
Descripción:
Posibilidad de que se genere un incendio interno.
40
TABLA 24. DOCUMENTACIÓN AMENAZA DAÑOS POR AGUA
I2-Daños por agua
Tipos de activo: 1. Hardware. 2. Software. 3. Información. 4. Infraestructura.
Dimensiones: 1. Disponibilidad.
Descripción: Posibilidad de que se presenten fugas de agua en lugares donde se tienen elementos electrónicos.
Fuente: Autores
TABLA 25. DOCUMENTACIÓN AMENAZA CONTAMINACIÓN ELECTROMAGNÉTICA
I3- Contaminación electromagnética.
Tipos de activo: 1. Hardware. 2. Software.
Dimensiones: 1. Disponibilidad.
Descripción: Interferencia por impulsos electromagnéticos afecten los elementos de comunicación interna.
Fuente: Autores
TABLA 26. DOCUMENTACIÓN AMENAZA CORTE DEL SUMINISTRO ELÉCTRICO
I4-Corte del suministro eléctrico
Tipos de activo: 1. Hardware. 2. Software. 3. Infraestructura.
Dimensiones: 1. Disponibilidad.
Descripción: Cese de suministro eléctrico por falla interna o externa.
Fuente: Autores
TABLA 27. DOCUMENTACIÓN AMENAZA CONDICIONES INADECUADAS O HUMEDAD
I5-Condiciones inadecuadas de temperatura o humedad
Tipos de activo: Dimensiones:
41
1. Hardware. 2. Software.
1. Disponibilidad.
Descripción: Deficiencias en la aclimatación para el funcionamiento del hardware, en especial si se cuenta con datacenter.
Fuente: Autores
TABLA 28. DOCUMENTACIÓN AMENAZA FALLO SERVICIO DE COMUNICACIONES
I6-Fallo de servicios de comunicaciones
Tipos de activo:
1. Hardware. 2. Software. 3. Información.
Dimensiones:
1. Disponibilidad.
Descripción:
Cese de la capacidad de transmitir datos de un sitio a otro, debido a daños físicos o simplemente capacidad de la red.
Fuente: Autores
TABLA 29. DOCUMENTACIÓN AMENAZA DEGRADACIÓN SOPORTES ALMACENAMIENTO
I7-Degradación de los soportes de almacenamiento de la información
Tipos de activo: 1. Hardware.
Dimensiones: 1. Disponibilidad.
Descripción:
Avería de hardware de almacenamiento como consecuencia del paso del tiempo.
Fuente: Autores
TABLA 30. DOCUMENTACIÓN AMENAZA ERRORES DE LOS USUARIOS
E1-Errores de los usuarios
Tipos de activo: 1. Software. 2. Información.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción: Errores en el uso de los elementos para realizar el proceso interno, de cada usuario.
Fuente: Autores
42
TABLA 31. DOCUMENTACIÓN ERRORES DEL ADMINISTRADOR
E2-Errores del administrador
Tipos de activo: 1. Hardware. 2. Software. 3. Información. 4. Infraestructura.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción: Errores en la instalación y mantenimiento de los elementos para realizar el proceso interno.
Fuente: Autores
TABLA 32. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN
E3-Errores de monitorización (log)
Tipos de activo: 1. Software. 2. Información.
Dimensiones: 1. Integridad.
Descripción: Forma incorrecta para el registro de actividades de cada sistema de información utilizado.
Fuente: Autores
TABLA 33. DOCUMENTACIÓN ERRORES DE MONITORIZACIÓN
E4-Difusión de software dañino
Tipos de activo: 1. Software.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción: Propagación intencionada o no de virus, software espía, etc.
Fuente: Autores
TABLA 34. DOCUMENTACIÓN ALTERACIÓN ACCIDENTAL DE LA INFORMACIÓN
E5-Alteración accidental de la información
Tipos de activo: 1. Hardware.
Dimensiones: 1. Integridad.
43
2. Software. 3. Información.
Descripción: Cambio en la información proporcionada en algún proceso o especificada de manera accidental.
Fuente: Autores
TABLA 35. DOCUMENTACIÓN VULNERABILIDAD DE PROGRAMAS
E6-Vulnerabilidades de los programas (software)
Tipos de activo:
1. Software.
Dimensiones:
1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción:
Problemas presentados en el software utilizado para los procesos en el cual lo usuarios pueden cambiar datos sin la intención de hacerlo.
Fuente: Autores
TABLA 36. DOCUMENTACIÓN ERRORES DE MANTENIMIENTO
E7-Errores de mantenimiento / actualización de equipos
Tipos de activo: 1. Hardware. 2. Software.
Dimensiones: 1. Disponibilidad. 2. Integridad.
Descripción: No realizar los cambios solicitados por los elementos de hardware o software en el momento de una actualización o al encontrar una falla en el mismo.
Fuente: Autores
TABLA 37. DOCUMENTACIÓN CAÍDA DEL SISTEMA AGOTAMIENTO DE RECURSOS
E8-Caída del sistema por agotamiento de recursos
Tipos de activo: 1. Hardware. 2. Software.
Dimensiones: 1. Disponibilidad.
Descripción: No contar con unos recursos apropiados para los procesos que se ejecutan así se provoca saturación del mismo y por tanto caída.
Fuente: Autores
44
TABLA 38. DOCUMENTACIÓN AMENAZA PERDIDA DE EQUIPOS
E9-Pérdida de equipos
Tipos de activo: 1. Hardware. 2. Información.
Dimensiones: 1. Disponibilidad. 2. Confidencialidad.
Descripción: Pérdida de equipos provocada por hurto o simplemente no tener el control adecuado sobre los equipo lo cual provoca que se los lleven y además tener una fuga de información.
Fuente: Autores
TABLA 39. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL
E10-Indisponibilidad del personal
Tipos de activo: 1. Recurso Humano.
Dimensiones: 1. Disponibilidad.
Descripción: No presencia del personal en las instalaciones presentada por diferentes casos enfermedad, disturbios o simplemente negligencia.
Fuente: Autores
TABLA 40. DOCUMENTACIÓN AMENAZA SUPLANTACIÓN DE IDENTIDAD
A1-Suplantación de la identidad del usuario
Tipos de activo: 1. Hardware. 2. Software. 3. Información.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción: Cuando un atacante consigue hacerse pasar por un usuario autorizado, aprovechando los permisos de acceso entre otros para conseguir un beneficio propio.
Fuente: Autores
TABLA 41. DOCUMENTACIÓN AMENAZA ABUSO PRIVILEGIOS DE ACCESO
A2-Abuso de privilegios de acceso
Tipos de activo: 1. Hardware. 2. Software. 3. Información.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
45
Descripción: Cuando un usuario que disfruta de un nivel de privilegios para un determinado propósito los utiliza para realizar tareas que no son de su competencia o tener conocimiento de información que no corresponde.
Fuente: Autores
TABLA 42. DOCUMENTACIÓN AMENAZA USO NO PREVISTO
A3-Uso no previsto
Tipos de activo: 1. Hardware. 2. Software. 3. Información. 4. Infraestructura.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción:
Utilizar los recursos del sistema e instalaciones para fines no previstos como parte del proceso que lleva cada individuo en la compañía.
Fuente: Autores
TABLA 43. DOCUMENTACIÓN AMENAZA ACCESO NO AUTORIZADO
A4-Acceso no autorizado
Tipos de activo: 1. Hardware. 2. Software. 3. Información.
Dimensiones: 1. Integridad. 2. Confidencialidad.
Descripción: Un atacante consigue acceder a los recursos del sistema sin tener autorización para ello utilizando falencias del sistema o software específico para ello.
Fuente: Autores
TABLA 44. DOCUMENTACIÓN AMENAZA DENEGACIÓN DE SERVICIO
A5-Denegación de servicio
Tipos de activo:
1. Hardware. 2. Software.
Dimensiones:
1. Disponibilidad.
Descripción: La provocación de una carga de trabajo es desmesurada a propósito para provocar la caída del sistema.
Fuente: Autores
46
TABLA 45. DOCUMENTACIÓN AMENAZA MANIPULACIÓN DE PROGRAMAS
A6-Manipulación de programas
Tipos de activo: 1. Software.
Dimensiones: 1. Disponibilidad. 2. Integridad. 3. Confidencialidad.
Descripción: Modificar intencionalmente el funcionamiento de los sistemas de los programas con el fin de obtener un beneficio indirecto cuando una persona autorizada lo utiliza.
Fuente: Autores
TABLA 46. DOCUMENTACIÓN AMENAZA INDISPONIBILIDAD DEL PERSONAL
A7-Indisponibilidad del personal
Tipos de activo: 1. Recursos Humanos.
Dimensiones: 1. Disponibilidad.
Descripción: No ejecución de las labores asignadas de manera deliberada mediante huelgas, ausentismo, bloqueos, etc.
Fuente: Autores
3.5 Listado de amenazas por activo
Una vez documentadas las amenazas que se consideran pueden causar daños
a los activos de la organización, se tiene información detallada de cada
amenaza y en que dimensión o característica (confidencialidad, disponibilidad,
integridad) puede tener mayor impacto negativo.
Como en la documentación de las amenazas se menciona cuáles son los tipos
de activo que se podrían ser afectados si la amenaza se materializa a
continuación se presenta una tabla donde se listan todos los activos y que
amenazas por cada activo de las documentadas en el numeral anterior pueden
tener un impacto.
Ya que se asoció una amenaza a varios tipos de activos, los activos de dicho
tipo tienen asociadas dichas amenazas por lo cual un activo puede tener varias
amenazas, y dichas amenazas pueden estar también asociadas a otros activos.
Con lo cual se ve que una amenaza puede afectar a varios activos.
Ver Anexo – “Listado de amenazas por activo”
47
3.6 Identificación de Activos y Amenazas
En el transcurso de este numeral se definieron los activos de información que
la organización quiere proteger, ya que son objetos tangibles o intangibles con
información que la organización considera relevante y que al ser afectados
pueden causar daños leves a la operación del contact center, hasta daños que
pueden influir en la continuidad del negocio.
Conociendo los activos y teniendo como insumo los tipos de amenazas que
Magerit expone, se realizó una relación de que agentes o amenazas pueden
afectar a cada uno de los activos.
Sin embargo la documentación de dichas amenazas es de vital importancia, ya
que permite visualizar que características importantes del activo se pueden ver
afectadas. Por lo pronto con la información de las amenazas debe ser evaluada
con el fin de establecer valores de impacto y que agentes pueden causar estos
impactos, todo este análisis se desarrollada en el siguiente capítulo con relación
a la gestión del riesgo.
48
GESTIÓN DE RIESGOS
49
4. GESTIÓN DE RIESGOS
Determinados los activos que amenazas pueden afectar a estos activos, se debe
determinar el riesgo potencial, para determinar este riesgo es necesario
identificar que vulnerabilidades pueden causar la materialización de una
amenaza. La determinación del riesgo potencial es dada por la evaluación de
impacto de las amenazas y las probabilidades de que una vulnerabilidad se
presente y así una amenaza afecte un activo.
En los siguientes numerales se identificaran vulnerabilidades por amenaza y su
respectiva valoración cualitativa y cuantitativa y así identificar que riesgos
potenciales se deben mitigar.
4.1 Listado de vulnerabilidades por amenaza
Como se ha visto en los capítulos anteriores las amenazas son agentes que
pueden causar impactos negativos a los activos de información, sin embargo
cada amenaza se puede dar o materializar por varias causas , estas causas son
denominadas vulnerabilidades , que son debilidades que producen que una
amenaza tenga más probabilidades de impactar y provocar un incidente de
seguridad.
Por lo pronto es preciso identificar que vulnerabilidades pueden hacer que cada
amenaza se materialice, a continuación se presenta la tabla de vulnerabilidades
por amenaza:
TABLA 47. LISTADO DE VULNERABILIDADES POR AMENAZA
Amenaza Vulnerabilidad
N1-Incendio
Incendio provocado en los alrededores
N2-Inundación
Instalaciones ubicadas cerca de ríos con un caudal importante
Instalaciones ubicadas cerca de una zona de tratamiento de aguas
N3-Terremoto Instalaciones ubicadas en zonas geográficamente propensas a sismos
I1-Fuego
Falla eléctrica
Material inflamable en lugares sensibles
Falta de mantenimiento de elementos eléctricos o maquinaria
I2-Daños por agua
Ubicación de material sensible en zonas de flujo de aguas
Inconvenientes presentados por el mal uso de las instalaciones
50
I3- Contaminación electromagnética.
Cambio brusco en el suministro de corriente eléctrica
Ingreso de elementos eléctricos productores de espectro electromagnético peligroso
I4-Corte del suministro eléctrico
Cambio en el fluido eléctrico generando daños a los elementos eléctricos internos No disponibilidad de energía por daño en sistema interno
No disponibilidad de energía por daño en sistema externo
I5-Condiciones inadecuadas de temperatura o humedad
Fallas internas del aire acondicionado
Falta de mantenimiento preventivo
Falla en la temperatura recomendada para el funcionamiento (Datacenter)
I6-Fallo de servicios de comunicaciones
Acceso a personal no autorizado
Subestimar la capacidad del sistema de comunicación
Fallas de proveedores de servicios
Falta de documentación sobre los elementos del sistema (configuraciones)
I7-Degradación de los soportes de almacenamiento de la información
Falta de mantenimiento preventivo
Daño por golpes
Fallos por uso inadecuado de los elementos
Falla en la estimación de espacio requerido
E1-Errores de los usuarios
Falta de capacitación
Mal uso del material de trabajo
E2-Errores del administrador
Falta de capacitación
Configuraciones incorrectas
Falta de herramientas adecuadas
E3-Errores de monitorización (log)
Falta de capacitación
Falta de herramientas adecuadas
Falta de mantenimiento
Problemas de almacenamiento
51
Problemas de comunicaciones
E4-Difusión de software dañino
Falta de capacitación
Falta de herramientas de control
Sistemas y software no actualizados
Acceso a elementos no permitidos
E5-Alteración accidental de la información
Falta de capacitación
Mal uso de las herramientas
Acceso a lugares sensibles
Difusión de software dañino
Cambios en la potencia eléctrica
E6-Vulnerabilidades de los programas (software)
Problemas de sesión
Falta de perfilamiento adecuado
Difusión de software dañino
Falta de herramientas de control
Problemas con el almacenamiento
Cortes de energía
E7-Errores de mantenimiento / actualización de equipos
Falta de calendario de mantenimientos
Falta de capacitación
Falta de herramientas adecuadas
E8-Caída del sistema por agotamiento de recursos
Falta de herramientas de control
Subestimación de los recursos
Mala gestión de proyectos
E9-Pérdida de equipos
Falta de inventario actualizado
Acceso a lugares sensibles
Falta de sistema cerrado de seguridad
52
E10-Indisponibilidad del personal
Ausencia personal
A1-Suplantación de la identidad del usuario
Pérdida de elementos de identificación
Pérdida de información confidencial
Mal manejo de claves e información personal
Poca seguridad de acceso a sitios sensibles
A2-Abuso de privilegios de acceso
Falta de herramientas de control de acceso
Falta de auditoría constante sobre anomalías en los acceso
A3-Uso no previsto
Falta de herramientas restrictivas
Poca auditoría de anomalías en el sistema
No aplicación de políticas de seguridad internas
Accesos no controlados
Mal manejo de los perfiles y accesos
A4-Acceso no autorizado
Fallas de seguridad para accesos
Fallas en el sistema interno de seguridad
Falta de revisión periódica de los elementos de seguridad
A5-Denegación de servicio
Falta de herramientas de control
Ataques de Virus
Caída en la red
A6-Manipulación de programas
Accesos a fuentes a personas no autorizadas
Mal manejo de versiones de programas
Utilización de software ilegal
No contar con log
Falta de controles de acceso
Suplantación de identidad
Fuente: Autores
53
4.2 Identificación del Riesgo potencial
Establecer el riesgo potencial se deriva de calificar el impacto de una amenaza
y la probabilidad de que una vulnerabilidad se presente llegando a que una
amenaza impacte al activo, para ello es necesario conocer las escalas de
impacto o degradación y las de probabilidad de ocurrencia de una
vulnerabilidad.
4.2.1 Escala de valoración impacto de una amenaza según Magerit
La degradación o impacto mide el daño causado por un incidente en el
supuesto que ocurriera, el impacto es el porcentaje en que la amenaza daña
un activo, para cada una de las dimensiones del activo (disponibilidad,
confidencialidad o integridad). Cuando un activo es afectado por una amenaza,
se puede ver afectado en todas sus dimensiones por lo cual es necesario
establecer un valor de impacto hacia un activo es decir cuan perjudicado
resultaría el valor de un activo si lo impacta una amenaza. Para ello Magerit
sugiere la siguiente tabla de valoración de impacto.
TABLA 48. ESCALA VALORACIÓN IMPACTO MAGERIT
Fuente: Autores
4.2.2 Escala de valoración probabilidad ocurrencia de una vulnerabilidad
según Magerit
Magerit presenta una escala que permite evaluar cuan probable es que
materialice una amenaza a través de una vulnerabilidad, por ello se presenta
una escala nominal con valores de frecuencia.
TABLA 49. ESCALA PROBABILIDAD DE OCURRENCIA MAGERIT
Identificador Frecuencia Nivel
S Siempre 5
CS Casi Siempre 4
Nivel Valor Descripción
10 Muy Alto Daño extremadamente grave
9 Alto Daño muy grave
6-8 Medio Daño importante
3-5 Bajo Daño Menor
1-2 Muy Bajo Daño muy leve
54
M A Menudo 3
AV Algunas Veces 2
AN Casi Nunca 1
Fuente: Autores
4.2.3 Determinación del Riesgo Potencial con la relación Impacto-
Probabilidad
Conociendo las escalas de valoración de impacto y la probabilidad de que se
materialicen las amenazas es necesario realizar estas valoraciones, es decir
valorar el impacto de cada amenaza para cada activo, y valorar la probabilidad
de que una amenaza afecte un activo tomando como insumo las
vulnerabilidades para cada amenaza.
Es decir la probabilidad de que una amenaza afecte un activo es derivada de
cada una de las vulnerabilidades asociadas, no será la misma probabilidad por
cada vulnerabilidad, eso es dependiente de las características de la
vulnerabilidad.
En orden lógico cada activo puede ser afectado por varias amenazas, pero
cada amenaza puede ser materializada por una o varias vulnerabilidades.
La calificación de impacto de una amenaza y la probabilidad de ocurrencia de
dicha amenaza producto de una vulnerabilidad es lo que se denomina riesgo.
A continuación se presenta la relación activo-amenaza-vulnerabilidad valorada
con las escalas presentadas en los numerales anteriores:
Ver Anexo – “Riesgo Potencial”
4.2.4 Matriz del Riesgo Potencial (Mapa de Calor)
Una vez evaluados los impactos y la probabilidad de ocurrencia de que una
amenaza se materialice y genere afectación en un activo, los riesgos se pueden
ubicar en una herramienta señala en el libro 3 de técnicas de Magerit.
El mapa de calor es una herramienta visual y amigable que permite visualizar
de manera rápida y consistente los valores de impacto y probabilidad de
ocurrencia de las amenazas. Para efectos prácticos en gestión de riesgos es
una herramienta versátil para identificar valoración de riesgos.
En este numeral se ubicaran la cantidad de riesgos potenciales que están
ubicados en la extensión del mapa de calor.
55
Cabe resaltar que los riesgos acá ubicados son los riesgos potenciales es decir
no han sido aplicadas salvaguardas.
TABLA 50. MAPA DE CALOR RIESGO POTENCIAL Impacto
Pro
bab
ilid
ad
Muy Bajo Bajo Medio Alto Muy Alto
Siempre
Casi Siempre 83 70 16
A Menudo 2
Algunas Veces 54 46 6
Casi Nunca 101 80 32
Fuente: Autores
Sin embargo es más factible hacer la ubicación de cada uno de los riesgos en
el mapa, ya que se han identificado y evaluado una gran cantidad de riesgos
se presenta una matriz en la cual se ubica el identificador de cada riesgos
asignado en el numeral anterior donde se realizó la evaluación de impacto y
probabilidad.
Ver Anexo – “Matriz de Riesgo Potencial”
4.3 Tratamiento de Riesgos Potenciales
Realizada la respectiva evaluación y visualización de que tan crítico puede ser
un riesgo, se hace necesario realizar el tratamiento adecuado para mitigar cada
riesgos al máximo, cabe resaltar que los riesgos nunca van a desaparecer, la
consecuencia del tratamiento de los riesgos disminuir el daño a un activo o
disminuir cuan frecuente puede ser a materialización de determinadas
amenazas, teniendo como resultado un riesgo residual que sea más fácil de
controlar y predecir.
El tratamiento de los riesgos se realiza a través de salvaguardas o controles
que se asocian a cada riesgo.
4.3.1 Controles ISO 27002 de 2013
La norma ISO/IEC está enfocada a todo tipo de organizaciones cuenta con 14
dominios, 35 objetivos de control y 114 controles.
En esta nueva versión de la norma se encuentran los controles que buscan
mitigar el impacto o la posibilidad de ocurrencia de los diferentes riesgos a los
cuales se encuentra expuesta la organización.
56
4.3.2 Efecto de los controles o salvaguardas
Para entrar a evaluar nuevamente un riesgos con salvaguardas aplicadas, las
salvaguardas o controles pueden tener dos efectos.
Reducir la probabilidad de las amenazas:
Se llaman salvaguardas preventivas, ideales para impedir
completamente que la amenaza se materialice.
Limitar el daño causado:
Hay controles que directamente limitan la posible degradación o daño
del activo, mientras que otras permiten detectar inmediatamente el
ataque para frenar el impacto en avance.
Así mismo existen tipos de protección que ofrecen los controles de ISO 27002
TABLA 51. EFECTOS DE LAS SALVAGUARDAS
Siglas Tipo Proteccion
PR Prevención
DR Disuasión
EL Eliminación
IM Minimización del impacto
CR Corrección
RC Recuperación
DC Concientización
AW Administración
Fuente: Autores
4.3.3 Aplicación de Controles a los Riesgos Identificados
Luego de ver el efecto de los controles sobre los riesgos es necesario asociar
los controles de ISO 27002 a los riesgos identificados, a continuación se
muestra la tabla del riesgos potencial las salvaguardas o controles asociados
y la nueva valoración de impacto y probabilidad de ocurrencia haciendo del
riesgo potencial un riesgo residual es decir sus valores de impacto y
probabilidad disminuyen de acuerdo a los controles asociado.
De acuerdo con el Ciclo PHVA la aplicación de los controles y la evaluación de
los riesgos debe hacerse de forma periódica con el fin de establecer nuevos
controles y de asegurar la mejora continua de la gestión del riesgo para nuestra
organización es decir la periodicidad de la evaluación de los riesgos y el
57
establecimiento de nuevas salvaguardas aseguran las mitigación y protección
de nuevos agentes que puedan afectar los activos.
La periodicidad de evaluación es dada como directriz o política de seguridad
de la organización.
A continuación se encuentra el ejercicio de asociación de controles a cada
riesgo como Magerit propone:
Ver Anexo – “Controles y salvaguardas por riesgo”
4.3.4 Matriz de Riesgo Residual
Una vez establecidos los controles y salvaguardas necesarias para la
mitigación de los riesgos, se pueden volver a ubicar en un mapa de calor con
el fin de contrastar el riesgo residual vs la ubicación en la matriz del riesgo
potencial y verificar cuanto se ha mitigado el riesgo, y si hay que prestar más
atención a determinados riesgos.
TABLA 52. MAPA CALOR RIESGO RESIDUAL
Impacto
Pro
bab
ilid
ad
Muy Bajo
Bajo Medio Alto Muy Alto
Siempre
Casi Siempre
14 5
A Menudo
Algunas Veces
151 7
Casi Nunca 271 42
Fuente: Autores
4.4 Importancia de la Gestión de Riesgos
La importancia de la gestión de riesgos radica en la evaluación de las amenazas
para identificar riesgos potenciales. Para este capítulo se desarrolló la
identificación de amenazas como punto clave para entender el origen de la
materialización de una amenaza, y la evaluación en términos de impacto y
probabilidades. La mitigación de los riesgos a través de los controles de ISO
27002 como apoyo clave para disminuir impactos o probabilidades.
Sin embargo, la implementación y asegurar que los controles asociados se
cumplan y se ejecuten depende de las directrices y políticas de seguridad, que
la organización plasme. Dichas políticas se tocarán a fondo en el siguiente
capítulo.
58
POLITICAS DE SEGURIDAD
59
5. POLITICAS DE SEGURIDAD
Tomando como base el análisis de riesgos se definen una serie de normas y/o
buenas prácticas con el fin de estandarizar los procesos de la organización y así
mismo gestionar y proteger los distintos activos de esta, de una manera más
apropiada.
Ver Anexo – “Manual de Políticas de Seguridad”
Contando con unas políticas claras en cada uno de los procesos de la
organización se puede establecer acciones a tomar con respecto a cada una de
las situaciones que se presenten y contemplen dentro de las mismas, esto
asegura que la organización tendrá el control y gobierno sobre su información
generando la seguridad adecuada para cada etapa.
60
PROTOTIPO SISTEMA WEB
61
6. PROTOTIPO SISTEMA WEB
Desarrollado a fondo las especificaciones metodológicas de Magerit para la
gestión de riesgos enfocado en un caso estudio para entidades de contact
center, es de fácil apreciación que la recolección y manipulación de información
de forma manual puede ser intensa. Para ello se presenta un prototipo de
software con arquitectura que permita sistematizar los aspectos metodológicos
más relevantes para realizar la gestión de riesgos a través de una herramienta
web.
Para se tienen algunas consideraciones técnicas de desarrollo y posible
implementación de un software con estas características.
A continuación se presentan las condiciones técnicas requeridas con las cuales
desarrollar un software web que permita al usuario final aplicar instintivamente
la metodología de gestión de riesgos, a su vez sistematizar la información
evitando la intervención manual.
6.1 Condiciones de Arquitectura
El prototipo web es orientado hacia la especificación de arquitectura Java EE
(Java Enterprise Edition 6), la cual sugiere un abanico de tecnologías y
arquitectura multicapa, capaz de suplir las necesidades a medida del prototipo
desarrollado. Se presenta el esquema básico de una aplicación empresarial de
Java.
Fuente: https://docs.oracle.com/javaee/6/tutorial/doc/
6.1.1 Modelo Multicapa Java EE 6
La arquitectura Enterprise de Java brinda soporte de tecnologías asociadas al
Front End o capa de vista a usuario final y de Back End relacionada a
controladores de página y lógica de negocio.
62
Cada una de las capas de arquitectura de Java EE tiene opciones de
tecnologías y frameworks que el desarrollador aplica de acuerdo a sus
necesidades, como se muestra en siguiente esquema.
Fuente: https://docs.oracle.com/javaee/6/tutorial/doc/bnacj.html
La división de capas según el modelo Enterprise esta dado en la siguiente
segmentación
TABLA 53. CAPAS ARQUITECTURA JEE 6
Capas JEE Descripción
Capa Cliente Esta capa corresponde a lo que se encuentra en el computador del
cliente. Es la interfaz gráfica del sistema y se encarga de
interactuar con el usuario.
Capa Web Se encuentra en el servidor web y contiene la lógica de
presentación que se utiliza para generar una respuesta al cliente.
Capa de Negocio Se encuentra en el servidor de aplicaciones y contiene el núcleo
de la lógica del negocio de la aplicación.
Capa Datos Esta capa es responsable del sistema de información de la
empresa o Enterprise Information System (EIS) que incluye bases
de datos, sistema de procesamiento datos, sistemas legados.
Fuente: Autores
6.1.2 Tecnologías de Desarrollo
Una vez presentado el esquema de arquitectura de Java EE, se seleccionan
las tecnologías con las que se desarrolla el prototipo para esta caso se tienen
en cuenta las siguientes bases tecnológicas.
63
TABLA 54. TECNOLOGÍAS UTILIZADAS EN DESARROLLO
Tipo Tecnologia Nombre Descripción
Lenguaje de
Programación
Java 1.8.75 Version Java Oracle
Tecnologías Front
End
Java Server
Faces 2.2
Es una tecnología y framework para
aplicaciones Java basadas en web que
simplifica el desarrollo de interfaces de
usuario en aplicaciones Java EE.
Primefaces 6.1 Es una biblioteca de componentes para Java
Server Faces (JSF) de código abierto que
cuenta con un conjunto de componentes
enriquecidos que facilitan la creación de las
aplicaciones web.
Java Beans 2.0 Componentes de software reutilizables que se
puedan manipular visualmente en una
herramienta de construcción.
Tecnologias Back
End
Enterprise Java
Beans (EJB) 3.1
Tecnología que permite encapsular la lógica
de negocio a través de interfaces y esquemas
de diseño del estándar JEE
Java Persistence
API (JPA) 2.1
Es un framework del lenguaje de programación
Java que maneja datos relacionales en
aplicaciones JEE y JSE
JDBC (Java
Database
Conexion)
Es una API que permite la ejecución de
operaciones sobre bases de datos desde
el lenguaje de programación Java.
Base de Datos
MySQL 5.5
Sistema de Gestion de bases de datos
relacionales.
Fuente: Autores
6.1.3 Ambiente y herramientas de desarrollo
Cuando se menciona la expresión ambiente de desarrollo, se relaciona
directamente con las herramientas usadas para escribir compilar y empaquetar
64
los códigos, sistemas operativos, entorno de programación, gestores de bases
de datos y servidores de aplicaciones entre otros.
La interacción entre todas las herramientas mencionadas es lo que se conoce
como ambiente de desarrollo. Además de las herramientas que puede agilizar
la codificación o gestión de los códigos, como editores de texto y sistemas de
versionamiento.
Para el caso del prototipo desarrollado en este capítulo, se utilizan las
siguientes herramientas que conforman el ambiente de desarrollo:
TABLA 55. CONDICIONES DE AMBIENTE DESARROLLO
Herramienta Descripción
SO Windows 10 Sistema Operativo donde se encuentra el ambiente de desarrollo
Eclipse Mars IDE Entorno integrado de desarrollo para JEE
Glassfish 4.0 EAP Servidor de Aplicaciones con soporte para despliegue de
aplicaciones JEE
Xampp Gestion de Administración para MySQL
Toad for MySQL 8.0 Esta capa es responsable del sistema de información de la
empresa o Enterprise Information System (EIS) que incluye bases
de datos, sistema de procesamiento datos, sistemas legados.
Jboss Tools JSF Plugin para IDE eclipse con soporte para desarrollo de páginas
transaccionales sobre tecnología JSF.
Fuente: Autores
6.1.4 Manual Técnico Configuración de Ambiente
Ver Anexo – “Configuración Ambiente de Desarrollo”
6.2 Condiciones Legales
El software que se utiliza para la implementación del sistema de información
corresponde a herramientas libres, y los equipos para el desarrollo del proyecto
son recursos personales.
En la siguiente tabla se resumen las licencias correspondientes a las
herramientas a utilizar en este proyecto, reflejando las condiciones de licencia
65
Por cada una de las herramientas de desarrollo usadas durante el desarrollo del
proyecto.
TABLA 56. LICENCIAS DE SOFTWARE
Fuente: Autores
6.3 Casos de Uso
6.3.1 Roles de Usuario
Los roles definidos para el uso de la aplicación son los siguientes:
TABLA 57. ROLES DE USUARIO
Fuente: Autores
6.3.2 Especificación de Funcionalidades
A continuación, se presentan los requerimientos funcionales para este caso:
Se permitirá el registro de activos con datos obligatorios completos, los
cuales podrán ser modificados en cualquier momento.
Recurso Licencia
Windows Licencia EULA
Toad MySQL Licencia GNU General
MySQL Licencia BSD
Prime Faces Licencia de software libre.
Java Oracle 1.8.75 Licencia GNU General Public License
Eclipse Mars Licencia GNU General Public License
Rol Descripción
Jefe de seguridad Usuario quien administra el control de los elementos que intervienen en la gestión de seguridad de la información, cuenta con todos los elementos del sistema menos los propios de la administración
Analista de seguridad Usuario que cuenta con acceso limitado a los elementos de la aplicación que intervienen en la gestión de seguridad de la información
Administrador Usuario quien administra la aplicación y tiene todos los elementos del sistema a su alcance
66
Se permitirá el registro de amenazas con datos obligatorios completos,
los cuales podrán ser modificados en cualquier momento.
Se permitirá el registro de vulnerabilidades con datos obligatorios
completos, los cuales podrán ser modificados en cualquier momento.
Se permitirá evaluar el activo y su riesgo, además de ver el control para
ser aplicado al mismo.
Generar informes asociados a la cantidad y actividad de los activos,
entre datos específicos de los mismos.
Se permitirá el acceso seguro a través de un login por usuario para la
diferenciación de estos.
6.3.3 Diagrama de Casos de Uso
Modelo caso de uso rol Administrador
Fuente: Autores
67
Modelo caso de uso rol Jefe de Seguridad
Fuente: Autores
Modelo caso de uso analista de Seguridad
Fuente: Autores
68
TABLA 58. CASO DE USO NO 1
Caso de uso
N°1
Nombre: Iniciar sesión
Actores Jefe de seguridad, Analista de seguridad, Administrador
Objetivo Permite el ingreso a los servicios de la plataforma a los usuarios.
Descripción El sistema deberá permitir el ingreso al sistema a los usuarios, deberá
comportarse tal como se describe en el presente caso de uso. Para ello
el actor deberá ingresar los datos solicitados y el sistema se encargará
de validarlos.
Precondicion
es
El usuario debe haber ingresado a la página principal del sistema.
El usuario debe estar registrado en el sistema.
Postcondicio
nes
El usuario puede utilizar los servicios del sistema de acuerdo con el tipo
de usuario con sus respectivos permisos. El sistema está listo para otra
operación.
Flujo de Eventos
Acciones del actor
1. El usuario ingresa nombre de usuario y
clave.
2. El usuario solicita el ingreso presionando
la opción Ingresar.
Acciones del sistema
1. El sistema valida que los campos se han
completado correctamente.
2. El sistema envía los datos y busca al
usuario en la base de datos.
3. El sistema carga la interfaz
correspondiente al tipo de usuario.
Manejo de situaciones excepcionales
E1. El usuario no se encuentra registrado en la base de datos o los datos son erróneos.
El sistema regresa a la página de principal y solicita de nuevo los datos.
Flujo alterno
F1. El usuario puede abortar el proceso en cualquier momento cerrando la página
principal del sistema.
Fuente: Autores
69
TABLA 59. CASO DE USO NO 2
Caso de uso
N°2
Nombre: Cerrar sesión
Actores Jefe de seguridad, Analista de seguridad, Administrador
Objetivo Permitir a los usuarios la salida segura del sistema.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee cerrar sesión en el sistema. Para ello el
actor seleccionará “Cerrar Sesión” y el sistema se encargará de las
validaciones correspondientes para cerrar la sesión.
Precondicion
es
El usuario debe haber iniciado sesión en el sistema.
Postcondicio
nes
El sistema cerrará la sesión del usuario, impidiendo usar los datos de
dicha sesión por otros usuarios que tengan acceso al sistema.
Flujo de Eventos
Acciones del actor
1. El usuario presiona sobre la opción “Cerrar
sesión”.
Acciones del sistema
1. El sistema destruirá la sesión en uso.
2. El sistema muestra la interfaz principal
para permitir a otros usuarios iniciar
sesión con sus respectivas cuentas.
Manejo de situaciones excepcionales
E1. El sistema no puede cerrar sesión porque se encuentra realizando otra acción. El
sistema informa al usuario que si cierra sesión no se completará la acción, y da la opción
de terminar o cerrar sesión.
Flujo alterno F1.
No aplica.
Fuente: Autores
TABLA 60. CASO DE USO NO 3
Caso de uso
N°3
Nombre: Ingresar Activo.
70
Actores Jefe de seguridad, Administrador
Objetivo Registrar en la base de datos del sistema un nuevo activo.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee crear un activo dentro del sistema. Para
ello el actor deberá ingresar los datos correspondientes.
Precondicion
es
El usuario debe haber iniciado sesión.
El usuario debió acceder a la interfaz “Activo”, “Ingresar Activo”.
Postcondicio
nes
El nuevo activo ha sido registrado en el sistema y se notifica la
transacción como exitosa. El sistema está listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Ingresar Activo”.
2. El usuario diligencia los datos
requeridos en el formulario.
3. El usuario presiona sobre la opción
“Guardar Activo”.
Acciones del sistema
1. El sistema muestra la interfaz para
registrar un nuevo activo y permite al
usuario introducir los datos dentro de un
formulario.
2. El sistema verifica que los campos se
hayan completado correctamente.
3. El sistema registra el nuevo activo en la
base de datos e informa al usuario que la
acción se realizó satisfactoriamente.
Manejo de situaciones excepcionales
E1. Los datos del nuevo activo son insuficientes para el registro. El sistema vuelve a
solicitar los datos faltantes.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema o seleccionando la “X” ubicada en la parte superior.
Fuente: Autores
71
TABLA 61. CASO DE USO NO 4
Caso de uso
N°4
Nombre: Modificar Activo.
Actores Jefe de seguridad, Administrador
Objetivo Permitir la valoración de activo por parte del usuario que lo solicite.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee modificar los datos de algún activo del
sistema. Para ello el actor diligenció los nuevos datos y el sistema se
encargará de modificarlos.
Precondicione
s
El actor debe haber iniciado sesión en el sistema.
El activo que se desea valorar debe estar registrada en el
sistema.
El actor debió acceder a la interfaz “Activo” y presionar sobre la opción
“Valorar” y luego “Guardar Valoración”.
Postcondicion
es
La información del activo ha sido modificada y el sistema está listo para
otra operación.
Flujo de Eventos
Acciones del actor
1. El actor presiona sobre la opción “Activo”.
2. El actor selecciona la opción “Valorar” en el
activo seleccionado.
3. El actor modifica la información
correspondiente.
4. El actor selecciona sobre la opción “Guardar
Valoración”.
Acciones del sistema
1. El sistema consulta la base de datos
y muestra los datos de los activos en
una tabla.
2. El sistema muestra un formulario con
los datos que se pueden modificar en
campos editables.
3. El sistema verifica que los campos se
hayan completado correctamente.
4. El sistema actualiza los datos del
activo en la base de datos e informa al
actor que la acción se realizó
satisfactoriamente.
72
Manejo de situaciones excepcionales
E1. No se suministró información. El sistema informa al actor sobre el error y arroja una
advertencia para ser corregida inmediatamente en el formulario.
Flujo alterno
F1. El Actor puede abortar la acción en cualquier momento cerrando la página actual del
sistema o seleccionando la “X” ubicada en la parte superior.
Fuente: Autores
TABLA 62. CASO DE USO NO 5
Caso de uso
N°5
Nombre: Consultar Activo.
Actores Jefe de seguridad, Administrador, Analista de seguridad
Objetivo Consultar en la base de datos del sistema un activo.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee consultar un activo dentro del sistema.
Precondicion
es
El usuario debe haber iniciado sesión.
El usuario debió acceder a la interfaz “Activo”.
Postcondicio
nes
El activo ha sido consultado por el sistema y se notificara como acción
exitosa. El sistema está listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Activo”.
Acciones del sistema
1. El sistema consulta y muestra los activos
solicitados satisfactoriamente.
Manejo de situaciones excepcionales
E1. No existen activos a consultar. El sistema vuelve a solicitar una nueva búsqueda.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema.
Fuente: Autores
73
TABLA 63. CASO DE USO NO 6
Caso de uso
N°6
Nombre: Consultar Amenaza.
Actores Jefe de seguridad, Administrador, Analista de seguridad
Objetivo Consultar en la base de datos del sistema una amenaza.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee consultar una amenaza dentro del
sistema.
Precondicion
es
El usuario debe haber iniciado sesión.
El usuario debió acceder a la interfaz “Amenazas”.
Postcondicio
nes
La amenaza ha sido consultada por el sistema y se notificara como
acción exitosa. El sistema está listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Amenaza”.
Acciones del sistema
1. El sistema consulta y muestra las
amenazas solicitadas satisfactoriamente.
Manejo de situaciones excepcionales
E1. No existen amenazas a consultar. El sistema vuelve a solicitar una nueva
búsqueda.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema.
Fuente: Autores
TABLA 64. CASO DE USO NO 7
Caso de uso
N°7
Nombre: Modificar Amenaza.
74
Actores Jefe de seguridad, Administrador
Objetivo Permitir la documentación de la amenaza seleccionada.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee modificar una amenaza dentro del
sistema. Para ello el actor deberá ingresar los datos correspondientes.
Precondicion
es
El actor debe haber iniciado sesión en el sistema.
La amenaza que se desea documentar debe estar registrada en
el sistema.
El actor debió acceder a la interfaz “Amenazas” y presionar sobre la
opción “Documentar” y luego “Guardar Documentación”.
Postcondicio
nes
La información de la amenaza ha sido modificada y el sistema está listo
para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Documentar”.
2. El usuario diligencia los datos
requeridos en el formulario.
3. El usuario presiona sobre la opción
“Guardar Documentación”.
Acciones del sistema
1. El sistema muestra la interfaz para
documentar una amenaza y permite al
usuario introducir los datos dentro de un
formulario.
2. El sistema verifica que los campos se
hayan completado correctamente.
3. El sistema registra la nueva amenaza en
la base de datos e informa al usuario que la
acción se realizó satisfactoriamente.
Manejo de situaciones excepcionales
E1. Los datos de la amenaza son insuficientes para el registro. El sistema vuelve a
solicitar los datos faltantes.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema o seleccionando la “X” ubicada en la parte superior.
Fuente: Autores
75
TABLA 65. CASO DE USO NO 8
Caso de uso
N°8
Nombre: Consultar Vulnerabilidad.
Actores Jefe de seguridad, Administrador, Analista de seguridad
Objetivo Consultar en la base de datos del sistema una vulnerabilidad.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee consultar una amenaza dentro del
sistema.
Precondicion
es
El usuario debe haber iniciado sesión.
El usuario debió acceder a la interfaz “Vulnerabilidad”.
Postcondicio
nes
La vulnerabilidad ha sido consultada por el sistema y se notificara como
acción exitosa. El sistema está listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Vulnerabilidad”.
Acciones del sistema
1. El sistema consulta y muestra las
vulnerabilidades solicitadas
satisfactoriamente.
Manejo de situaciones excepcionales
E1. No existen vulnerabilidades a consultar. El sistema vuelve a solicitar una nueva
búsqueda.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema.
Fuente: Autores
TABLA 66. CASO DE USO NO 9
Caso de uso
N°9
Nombre: Ingresar Vulnerabilidad.
76
Actores Jefe de seguridad, Administrador
Objetivo Registrar en la base de datos del sistema una nueva vulnerabilidad.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee crear un activo dentro del sistema. Para
ello el actor deberá ingresar los datos correspondientes.
Precondicion
es
El usuario debe haber iniciado sesión.
El usuario debió acceder a la interfaz “Vulnerabilidad”, “Ingresar
Vulnerabilidad”.
Postcondicio
nes
La nueva vulnerabilidad ha sido registrado en el sistema y se notifica la
transacción como exitosa. El sistema está listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Vulnerabilidad”.
2. El usuario diligencia los datos
requeridos en el formulario.
3. El usuario presiona sobre la opción
“Ingresar Vulnerabilidad”.
Acciones del sistema
1. El sistema muestra la interfaz para
registrar una nueva vulnerabilidad y permite
al usuario introducir los datos dentro de un
formulario.
2. El sistema verifica que los campos se
hayan completado correctamente.
3. El sistema registra la nueva
vulnerabilidad en la base de datos e informa
al usuario que la acción se realizó
satisfactoriamente.
Manejo de situaciones excepcionales
E1. Los datos de la nueva vulnerabilidad son insuficientes para el registro. El sistema
vuelve a solicitar los datos faltantes.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema o seleccionando la “X” ubicada en la parte superior.
Fuente: Autores
77
TABLA 67. CASO DE USO NO 10
Caso de uso
N°10
Nombre: Modificar Vulnerabilidad.
Actores Jefe de seguridad, Administrador
Objetivo Permitir modificar el impacto a la vulnerabilidad.
Descripción El sistema deberá comportarse tal como se describe en el siguiente caso
de uso cuando el actor desee modificar una vulnerabilidad dentro del
sistema. Para ello el actor deberá ingresar los datos correspondientes.
Precondicion
es
El actor debe haber iniciado sesión en el sistema.
La vulnerabilidad que se desea modificar debe estar registrada
en el sistema.
El actor debió acceder a la interfaz “Vulnerabilidad” y presionar sobre la
opción “Vulnerabilidad” y luego “Ingresar Vulnerabilidad”.
Postcondicio
nes
La información de la vulnerabilidad ha sido modificada y el sistema está
listo para otra operación.
Flujo de Eventos
Acciones del actor
1. El usuario selecciona la opción de
“Vulnerabilidad”.
2. El usuario diligencia los datos
requeridos en el formulario.
3. El usuario presiona sobre la opción
“Ingresar Vulnerabilidad”.
Acciones del sistema
1. El sistema muestra la interfaz para
modificar una vulnerabilidad y permite al
usuario introducir los datos dentro de un
formulario.
2. El sistema verifica que los campos se
hayan completado correctamente.
3. El sistema modifica la vulnerabilidad en la
base de datos e informa al usuario que la
acción se realizó satisfactoriamente.
Manejo de situaciones excepcionales
E1. Los datos de la vulnerabilidad son insuficientes para el registro. El sistema vuelve a
solicitar los datos faltantes.
Flujo alterno
F1. El usuario puede abortar la acción en cualquier momento cerrando la página actual
del sistema o seleccionando la “X” ubicada en la parte superior.
78
Fuente: Autores
6.4 Modelo Relacional Base de Datos
Fuente: Autores
6.5 Manual de Usuario
Ver Anexo – “Manual de Usuario Final”
6.6 Utilización de Herramientas de software
La utilización de herramientas de software para gestión la información de un
SGSI es una práctica adecuada, ya que la gestión de riesgos es un tema
profundo que puede incurrir en la necesidad de sistematiza la información y
poderla gestionar de manera adecuada.
79
CONCLUSIONES
80
CONCLUSIONES
Las compañías de contact center son un grupo específico de organizaciones
que deben proteger sus activos, debido que la información manejada a diario
es enorme y manipulada por gran cantidad de personas. Aplicar los
fundamentos de la metodología Magerit relacionada a la norma ISO 27001
ayuda a este tipo de empresas a diagnosticar, evaluar prevenir y madurar los
procesos que intervienen en el manejo de la información.
La adecuada gestión de riesgos en unas entidades de contact center es de
vital importancia, ya que la continuidad del negocio se puede ver afectada,
realizar la mejora continua y la constante evaluación y auditoria en términos
de seguridad de la información ayuda a las entidades a estar preparadas
para mitigar o anticipar incidentes de seguridad dentro y fuera de la
organización.
Es importante que las entidades de contact center sigan una guía adecuada
con la cual proteger sus activos más importantes la norma ISO 27001 es un
esquema muy claro de cómo poner en marcha planes de tratamiento que
permitan asumir procesos que protejan la organización de cualquier incidente
de seguridad.
La utilización de herramientas de software para gestión la información de un
SGSI es una práctica adecuada, ya que la gestión de riesgos es un tema
profundo que puede incurrir en la necesidad de sistematiza la información y
poderla gestionar de manera adecuada.
La gestión de riesgos orientados a metodologías como Magerit hace que las
organizaciones tengan un margen de pasos y procesos claros que permitan
realizar gestión de riesgos de manera más clara y eficiente.