Plantear la implementación de un SGSI (Sistema de Gestión de la Seguridad de Información) en la empresa Banpyme, en la cual se pueda ofrecer una gestión de la seguridad de la información que cumpla conlos estándares requeridos como la reducción y mitigación de los riesgos, para garantizar la viabilidad del negocio.
1. ENTREGA FINAL CASO ESTUDIO BANPYME
BRIAN CAMILO PIRAGAUTA
SHAYTHER DIAZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA TELEMÁTICA
SEGURIDAD EN REDES - 302
BOGOTÁ D. C.
2016
2. ENTREGA FINAL CASO ESTUDIO BANPYME
BRIAN CAMILO PIRAGAUTA - 20161678024
SHAYTHER DIAZ - 20161678033
PRESENTADO A:
YESID ALBERTO TIBAQUIRA
INGENIERO
UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS
FACULTAD TECNOLÓGICA
INGENIERÍA TELEMÁTICA
SEGURIDAD EN REDES - 302
BOGOTÁ D. C.
2016
3. Tabla de Contenido
1. Introducción 5
1.1 Propósito del proyecto 5
1.2 Recomendaciones estratégicas 5
1.3 Consideraciones de implementación 5
2. Objetivos 6
2.1 Objetivo General 6
2.2 Objetivos Específicos 6
3. situación actual de la empresa 6
3.1 Conocimiento Corporativo 6
3.2 Misión 7
3.3 Visión 7
3.4 Política de Calidad 7
3.5 Valores Corporativos 7
3.6 Buenas Prácticas 8
3.7 Organigrama 8
4. Caso Estudio 9
5. Estructura Jerárquica del área 10
6. Activos de información 10
7. Identificación Amenazas 11
8. Clasificación de la información 12
9. Definición Escalas 12
9.1 Escalas de impacto 12
9.2 Escalas de probabilidad 13
9.3 Escalas valoración de los activos 13
9.4 Escalas valoración riesgos 14
10. Valoraciones 14
10.1 Valoración de los activos 14
10.2 Valoración de riesgos 15
11. Mapa de Calor de riesgos 15
12. Controles 16
13. Relación Controles Homólogos 18
14. Política General de la Información 19
14.1 PROPÓSITO 19
14.2 POLÍTICA 19
4. 14.3 RESPONSABILIDADES DE LA IMPLEMENTACIÓN 20
14.4 DEFINICIONES 20
15. Políticas Específicas de Seguridad 21
15.1 Política de uso aceptable 21
15.2 Política de respuesta a la violación de datos 25
16. Conclusiones 28
17. Bibliografía 28
5. 1. Introducción
1.1 Propósito del proyecto
Plantear la implementación de un SGSI (Sistema de Gestión de la Seguridad de
Información) en la empresa Banpyme, en la cual se pueda ofrecer una gestión de la
seguridad de la información que cumpla con los estándares requeridos como la reducción y
mitigación de los riesgos, para garantizar la viabilidad del negocio.
1.2 Recomendaciones estratégicas
● Apoyo de los directivos
● Definir el alcance del SGSI
● Inventario de los activos de información de la organización
● Identificar las amenazas, vulnerabilidades y riesgos.
● Definir controles para el tratamiento de los riesgos
● Formación y concientización relacionado con la seguridad de la información hacia el
recurso humano de la organización.
● Realizar auditorías internas periódicamente.
1.3 Consideraciones de implementación
La implementación de los mecanismos de seguridad y el SGSI se relaciona directamente
con los escenarios vinculados a la compañía, en donde se tomarán decisiones básicas que
lleven a la viabilidad del negocio. Estas decisiones están basadas por el tipo de contenido
que se desee restringir, la naturaleza de la organización y los equipos que se deseen
instalar. Los temas de esta implementación están diseñados para ofrecer todo lo necesario
para que se brinde la información a la hora de la toma de decisiones sobre esta, de tal
forma que permitirá avanzar de forma organizada y sistémica, manteniendo la seguridad de
la información que maneja la organización con un alto grado de confiabilidad, integridad y
disponibilidad.
6. 2. Objetivos
2.1 Objetivo General
Generar la información necesaria que sea completa y clara sobre cada una de las normas y
Métodos que deben tenerse en cuenta y ser aplicados con el único propósito de proteger
todos los activos que intervienen en la compañía, así como y la información que es
procesada por los sistemas de información de cada dependencia de la organización.
2.2 Objetivos Específicos
● Gestionar y Administrar la mayor cantidad de actividades que permitan que los
recursos informáticos tangibles e intangibles sufran el menor riesgo posible que
pueda provocar un efecto dominó sobre los sistemas informáticos de la compañía.
● Desarrollar y capacitar a nuestro personal en todas las áreas, potenciando los
valores de profesionalismo, calidad y servicio.
● Plantear, organizar, dirigir y controlar las actividades organizacionales para
mantener y garantizar la integridad de los recursos, así como resguardar los activos
de la organización.
3. situación actual de la empresa
3.1 Conocimiento Corporativo
Banpyme es una empresa Colombiana con más de 10 años de experiencia ofreciendo
Soluciones de Tercerización de Procesos de Negocio BPO (Business ProcessOutsourcing)
y Soluciones Tecnológicas de Información (IT Information Technology) en los sectores
Gobierno, Salud, Financiero, Educación, Industria y Telecomunicaciones. La organización
se encuentra ubicada Calle. 68D Bis A Sur Nº 49F – 70 Bogotá- Colombia
7. 3.2 Misión
Suministrar servicios de externalización de Procesos de Negocio (BPO) y de Tecnologías
de la Información (TI), en el sector público y privado del ámbito nacional, cumpliendo altos
estándares de calidad, optimizando tiempos y recursos, con estrategias de marketing y
comunicación efectivas, integrales e innovadoras, ideadas para identificar necesidades y
soluciones que contribuyan no solo a mejorar el posicionamiento en el mercado de nuestros
servicios sino satisfaciendo las necesidades de nuestros clientes.
3.3 Visión
Ser reconocidos dentro de las empresas colombianas líderes en el suministro de servicios
de externalización de Procesos de Negocios (BPO) y de Tecnologías de Información (TI ),
por satisfacer las necesidades de los clientes a través del cumplimiento de sus
requerimientos. Respaldados en la calidad humana y desarrollo técnico/profesional de
nuestros colaboradores, apoyados en infraestructura física, tecnológica apropiada y los
sistemas de gestión organizacionales; que contribuyan al desarrollo de la comunidad en
general, siendo parte activa del desarrollo de nuestro país.
3.4 Política de Calidad
Es la política de la calidad de Banpyme, la prestación de servicios de externalización de
Procesos de Negocio BPO y de Tecnologías de la Información IT, mediante el logro de la
calidad, a través de las normas y estándares de servicio establecidos, que aseguren la
completa satisfacción de nuestros clientes, apoyados en un equipo humano de alto
rendimiento y con actitud emprendedora, con infraestructura física y tecnológica apropiada,
garantizando el mejoramiento continuo de nuestros procesos; fomentando así en todos
nuestros colaboradores, la interiorización de nuestra cultura empresarial, basada en el
respeto individual y social.
3.5 Valores Corporativos
● Respeto: Por nosotros mismos, por nuestros funcionarios,colaboradores,
proveedores, clientes, entes de control y la sociedad en general, construyendo
relaciones sólidas en el tiempo.
● Honestidad: Actuando siempre basados en la verdad, manteniendo una
comunicación transparente con nuestro público interno y externo.
● Compromiso: Dando lo mejor de nosotros, cumpliendo con altos estándares de
calidad y logrando satisfacer las necesidades de nuestros clientes
● Trabajo en Equipo: Sumando talentos, unidos, trabajando con amor, innovando en la
consecución de objetivos y metas propuestas.
9. 4. Caso Estudio
La entidad financiera Banpyme (Banco de crédito para las pequeñas y medianas empresa)
ha recibido la visita de un funcionario del negocio Master Cards, con quién establecer una
alianza para proporcionar a los clientes del banco el uso de tarjetas débito y crédito de esta
marca. Como resultado de la visita, el funcionario solicitó la contratación de un QSA
(Qualified Security Assessor) para que hiciera un diagnóstico interno del cumplimiento de la
entidad financiera basado en PCI-DSS 3.0. Dentro de la evaluación realizada por el QSA
identificó lo siguiente:
● Se identificaron algunos dispositivos de telecomunicaciones y servidores de la red
interna, los cuales no se encontraron relacionados en la CMDB del área de
tecnología, incluso hay sistemas que no cuentan con la versión relacionada en el
inventario de la CMDB.
● Desde el 2012 se encuentran definidas las líneas base de la configuración de los
dispositivos de telecomunicación (firewall y routers). Sin embargo en los últimos 2
años se ha hecho una renovación de algunos de estos dispositivos en el área de
publicidad, donde se ha cambiado la tecnología y el proveedor, y no se evidenció la
documentación de la línea base para los nuevos dispositivos.
● La administración remota de los servidores y aplicaciones donde se procesa
información del tarjetahabiente se realiza, tanto para sistemas Windows como para
Linux, a través de VNC.
● En la plataforma educativa virtual se identificó que sólo el 51% de los colaboradores
que tienen alguna relación con el CDE (Cardholder Data Environment), han
realizado la capacitación de Seguridad de la Información.
● Existen interfaces (Web Services, servicios REST, servicios FTP), donde se
comparte entre diferentes sistemas información del tarjetahabiente. Estos sistemas
son, Metrisoft (Mediciones de ventas), Reconsystem (Sistema de reembolsos) y
CRMplus (Información de los tarjetahabientes).
● En la CMDB, en los sistemas Metrisoft y CRMplus se identificó que no se puede
rastrear en completitud las acciones críticas que realizan los usuarios en cada
sistema, debido a que no tienen implementado un registro de pistas de auditoría.
● El procedimiento de respuesta ante incidentes de seguridad no se encuentra
totalmente implementado, debido a que la alta dirección de la entidad, le ha dado
prioridad a otros proyectos.
10. 5. Estructura Jerárquica del área
Coordinador de Seguridad de la Información
El coordinador de seguridad de la información es el encargado del manejo de la
información, además de la gestión que se realiza en cada una de las dependencias de la
misma.
El coordinador de la seguridad de la información, gestionará la autenticación de cada uno
de los empleados, en el momento en que los mismos realicen la firma de contrato con la
organización.
El coordinador de seguridad de la información, asignará el equipo con el que trabajará cada
uno de los empleados que ingrese a la organización
Junta Directiva
La dirección de la empresa junto con el coordinador de gestión de seguridad debe asignar
capacitación de los empleados sobre diferentes temas de la seguridad una vez al mes,
durante el tiempo que se considere necesario.
6. Activos de información
Actualmente la organización cuenta con los siguientes activos de información:
● CMDB, base de datos de la gestión de configuración,
● Plataforma educativa Virtual
● Reconsystem, sistema de reembolsos
● CRMplus, CRM con Información de los tarjetahabientes
● FireWall y Routers
● Información tarjetahabiente
● Colaboradores
11. 7. Identificación Amenazas
Es necesario identificar las amenazas que existen sobre estos activos, teniendo en cuenta
los activos como función en la empresa, siguiendo la metodología Magerit, se tomará en
cuenta la misma valoración y la tipificación que se hace allí de las amenazas.
ACTIVO AMENAZA CONSECUENCIA
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Instalaciones físicas (FireWall y
Routers)
Personal (Colaboradores)
Desastres Naturales Posibilidad de que el fuego acabe
con el sistema
Inundaciones; posibilidad de que
el agua acabe con recursos del
sistema.
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Instalaciones físicas (FireWall y
Routers)
Suspensión del suministro
eléctrico
Cese de la alimentación
eléctrica en el cableado
estructurado
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Instalaciones físicas (FireWall y
Routers)
Fallos en servicios de
comunicaciones
Intermitencia al transferir datos
entre emisor y receptor en el
canal.
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Vulnerabilidad del software Defectos en el código que
interrumpe la operación del
software.
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Fugas de información La información llega
accidentalmente a personas
erróneas.
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Divulgación de la información Revelar información
confidencial
Información tarjetahabientes
Aplicaciones Comunicaciones
(CRMplus, Reconsystem)
Instalaciones físicas (FireWall y
Routers)
Intercepción de información El atacante filtra información
que no le corresponde
ocasionando daños en el
sistema
Personal (Colaboradores) Ingeniería Social Abusos de la buena fe de las
personas para que realicen
actividades que interesen a un
tercero
12. 8. Clasificación de la información
● Cada empleado debe hacer una copia de la información que maneja diariamente (física
o digital), además de guardarla en una carpeta que llevará su nombre a la cual tiene
acceso a través de la red y su debida autenticación, el seguimiento de dichas copias de
seguridad las realizará el coordinador encargado de la gestión de seguridad
● Los equipos o dispositivos que se encuentren en el interior de la empresa son propiedad
de Banpyme, todo el personal que ingrese a las instalaciones de la empresa debe hacer
el uso adecuado de dichos recursos.
● La dirección de la empresa, en conjunto con el coordinador de gestión de seguridad,
deben programar una jornada de mantenimiento preventivo o correctivo como lo amerite
el caso, de los equipos de cómputo y demás dispositivos que sea necesario, como
mínimo cada seis meses con el fin de identificar fallos a nivel de hardware y software en
dichos dispositivos.
9. Definición Escalas
A continuación se realiza la definición de las diferentes escalas que nos ayudaran para
configurar el mapa de calor que se utilizara en Banpyme.
9.1 Escalas de impacto
Descripción de las 5 escalas de impacto:
1 Insignificante Su impacto es tan mínimo que carece de importancia para la
organización
2 Menor Tiene poco impacto en los procesos de la organización
3 Moderado Es un impacto que afecta procesos de la organización pero cuya
recuperación no precisa prácticas correctoras o protectoras
intensivas
4 Mayor Es un impacto que afecta de forma importante a la organización,
para el cual es necesario realizar procesos o acciones internas de
gran esfuerzo.
5 Catastrófico Su impacto en la organización es devastador y puede atentar
contra la existencia de la misma.
13. 9.2 Escalas de probabilidad
Descripción de las 5 escalas de Probabilidad:
1 Raro Que es escaso, el evento ocurre en situaciones
extraordinarias
2 Improbable Que es difícil o remoto de que ocurra.
3 Posible Que puede que ocurra en algún un tiempo
4 Probable Se tiene conocimiento de que quizás ocurra pronto.
5 Casi Seguro Es indudable de que va a ocurrir
9.3 Escalas valoración de los activos
Las dimensiones que se tendrán en cuenta para valorar los activos son las siguientes:
● Confidencialidad (C): ¿Qué daño causaría que lo conociera quien no debe?
● Integridad (I): ¿Qué perjuicio causaría que estuviera dañado o corrupto?
● Disponibilidad (D): ¿Qué perjuicio causaría no tenerlo o poderlo utilizar?
A continuación la descripción de las escalas de Valoración.
Escala de
Valoración
Valor Descripción
MB: Muy Bajo 1 Irrelevante para efectos prácticos de la organización
B: Bajo 2 Importancia Menor para el desarrollo de la organización
M: Medio 3 Importante para la organización
A: Alto 4 Altamente importante para la organización
MA: Muy Alto 5 De vital importancia para los objetivos que persigue la
organización
14. 9.4 Escalas valoración riesgos
Valoración Definición
Bajo Son riesgos que no se consideran importantes y
aceptamos conscientemente los posibles impactos y sus
consecuencias
Moderado Cuando el riesgo está asociado con consecuencias
dañinas, pero solamente para un área de la organización y
su mitigación es conocida y fácil de ejecutar
Alto Son riesgos para los cuales tenemos implementados
medidas para evitar o mitigar sus daños, pero que aun así
siempre nos pueden afectar
Extremo Es el riesgo cuyo impacto general es muy grande
seguramente afectará gravemente a la organización.
10. Valoraciones
10.1 Valoración de los activos
ID NOMBRE DESCRIPCIÓN C I D VALOR DEL
ACTIVO
A1 Base de datos de la
gestión de la
configuración
(CMDB)
Base de datos que
contiene detalles
relevantes a servidores
de la red interna.
A MA A ALTO
A2 Información
Tarjetahabiente
Información privada y
delicada de los
tarjetahabiente
MA MA MA MUY ALTO
A3 Colaboradores que
tienen relación con
el CDE
Personal interno de la
organización que tiene
contacto directo con el
Cardholder Data
Environment
A A A ALTO
A4 Sistemas Metrisoft
y CRMplus
Aplicaciones encargadas
de la gestión de
información de
empleados y clientes de
la organización
MA MA A MUY ALTO
A5 Políticas de
seguridad
Procesos de respuesta
ante incidentes de
seguridad
A MA A ALTO
15. 10.2 Valoración de riesgos
ID DESCRIPCIÓN PROBABILIDAD IMPACTO VALORACIÓN
R1En Consulta desactualizada de los registros
de la CMDB
Probable Moderado ALTO
R2 Captura o robo de la contraseña de la
VNC que controla la administración de
información del tarjetahabiente
Probable Mayor EXTREMO
R3 Desconocimiento de los colabores frente
a las políticas de seguridad de
información
Posible Moderado ALTO
R4 No se puede hacer seguimiento a una
acción en los sistemas Metrisoft y
CRMplus, porque no hay pistas de
auditoría
Casi Seguro Moderado EXTREMO
R5 Que no haya una respuesta ante un
incidente de seguridad debido a que no
se ha implementado totalmente
Probable Menor MODERADO
11. Mapa de Calor de riesgos
INSIGNIFICANTE (1) MENOR (2) MODERADO
(3)
MAYOR (4) CATASTRÓFICO (5)
RARO (1)
IMPROBABLE (2)
POSIBLE (3) R3
PROBABLE (4) R5 R1 R2
CASI SEGURO
(5)
R4
16. 12. Controles
A continuación el listado de los controles que al ser implementados mitigaron los riesgos
identificados anteriormente
CÓDIGO
CONTROL
DESCRIPCIÓN TIPO DE CONTROL CÓDIGO
RIESGO
JUSTIFICACIÓN
1.3 Asegúrese de que todas las
adquisiciones de equipos actualizan
automáticamente el sistema de
inventario a medida que se
conectan nuevos dispositivos
aprobados a la red.
System R1 Es necesario,
cuando se conectan
nuevos dispositivos
a la red
13.3 Despliegue una herramienta
automatizada en los perímetros de
la red que monitorea información
sensible (por ejemplo, información
personal identificable), palabras
clave y otras características del
documento para descubrir intentos
no autorizados de exfiltrar datos a
través de los límites de la red y
bloquear tales transferencias
mientras alerta al personal de
seguridad de la información.
Network R2 Para identificar si
hay algún ente que
quiere sacar
contraseñas o datos
de mi red.
17.2 Ofrecer capacitación para llenar la
brecha de habilidades. Si es posible,
use un personal más alto para
impartir la capacitación. Una
segunda opción es que los
profesores externos proporcionen
capacitación en el lugar, por lo que
los ejemplos utilizados serán
directamente relevantes. Si usted
tiene un pequeño número de
personas para entrenar, use
conferencias de capacitación o
capacitación en línea para llenar las
lagunas.
Aplicación R3 Aumentar seguridad
en aplicación
6.2 Valide la configuración del registro
de auditoría para cada dispositivo
de hardware y el software instalado
en él, asegurándose de que los
registros incluyan una fecha, hora,
direcciones de origen, direcciones
Sistema R4 Aumentar seguridad
en Sistema
17. de destino y varios otros elementos
útiles de cada paquete y / o
transacción. Los sistemas deben
registrar los registros en un formato
estandarizado, tales como las
entradas de syslog o las descritas
por la iniciativa Common Event
Expression. Si los sistemas no
pueden generar registros en un
formato estandarizado, se pueden
implementar herramientas de
normalización de logs para convertir
registros a dicho formato.
19.1 Asegúrese de que hay
procedimientos escritos de
respuesta a incidentes que incluyen
una definición de roles de personal
para manejar incidentes. Los
procedimientos deben definir las
fases de manejo de incidentes.
Aplicación R5 Aumentar seguridad
en aplicación
18. 13. Relación Controles Homólogos
A continuación se asocian los controles seleccionados anteriormente con el critical security
control poster.
CÓDIGO CONTROL CSC-CIS CRITICAL SECURITY CONTROL POSTER
Critical Security Control #1: Inventory of
Authorized and Unauthorized Devices
CSC 1
Inventory of Authorized and
Unauthorized Devices
Actively manage (inventory, track, and correct) all
hardware devices on the network so that only
authorized devices are given access, and
unauthorized and unmanaged devices are found and
prevented from gaining access
Critical Security Control #13: Data
Protection
CSC 13
Data Protection
Prevent data exfiltration, mitigate the effects of
exfiltrated data, and ensure the privacy and integrity
ofsensitive information.
Critical Security Control #17: Security Skills
Assessment and Appropriate Training to Fill
Gaps
CSC 17
Security Skills Assessment and Appropriate Training
to Fill Gaps
Identify the specific knowledge, skills, and abilities
needed to support defense of the enterprise; develop
and execute an integrated plan to assess, identify
and remediate gaps, through policy, organizational
planning, training, and awareness programs for all
functional roles in the organization.
Critical Security Control #6: Maintenance,
Monitoring, and Analysis of Audit Log
CSC 6
Maintenance, Monitoring, and Analysis of Audit Logs
Collect, manage, and analyze audit logs of events
that could help detect, understand, or recover from
an attack.
Critical Security Control #19: Incident
Response and Management
CSC 19
Incident Response and Management
Protect the organization’s information, as well as its
reputation, by developing and implementing an
incident response infrastructure (e.g., plans, defined
roles, training,communications, management
oversight)
19. 14. Política General de la Información
14.1 PROPÓSITO
Esta política establece estrategias y responsabilidades universales para proteger la
confidencialidad, la integridad y la disponibilidad de los activos de información a los que
Banpyme accede, administra y / o controla. Los activos de información tratados por la política
incluyen datos, sistemas de información, ordenadores, dispositivos de red, así como
documentos e información comunicada verbalmente.
Al implementar esta política, Banpyme:
● Establecer un marco de seguridad de la información a nivel universitario para asegurar
adecuadamente el acceso a los recursos y servicios de información;
● Proteger contra el acceso no autorizado, el uso o el intercambio de información
confidencial que podría resultar en un daño para la Universidad o para miembros de la
comunidad universitaria;
● Proteger contra las amenazas o peligros previstos para la seguridad de los activos de
información;
● Cumplir con las leyes federales, estatales y locales, las políticas de la Universidad y los
acuerdos vinculantes de la Universidad que requieren que la Universidad implemente las
salvaguardas de seguridad aplicables.
14.2 POLÍTICA
A. Los miembros de Banpyme tienen responsabilidades individuales y compartidas para
proteger los activos de información controlados por Banpyme de acuerdo con las leyes
federales, estatales y locales, las políticas de Banpyme y los acuerdos que vinculan a
Banpyme.
B. Cada unidad de Banpyme desarrollará, mantendrá e implementará un plan de seguridad
de la información. El plan identificará las regulaciones aplicables y definirá las iniciativas
de seguridad de la unidad.
C. Cada unidad de Banpyme identificará y rastreará los activos de información sensibles y
críticos bajo su control. Los activos de información se clasificarán en función del nivel de
riesgo que su compromiso pueda plantear a la organización. Se cumplirán las normas y
directrices de clasificación de activos de información.
D. Cada unidad Banpyme realizará periódicamente evaluaciones de riesgo alrededor de
sus activos de información sensibles y críticos. Las evaluaciones de riesgo priorizarán
los riesgos y recomendarán estrategias de mitigación apropiadas.
E. Cada unidad de Banpyme reportará y administrará incidentes de seguridad de
información de acuerdo con las políticas y directrices establecidas, incluyendo, Informes
de Incidentes de Seguridad de la Información.
20. F. Cada unidad de Banpyme implementará salvaguardias de seguridad apropiadas a la
sensibilidad de los activos de información, la criticidad y el nivel de riesgo identificado en
el proceso de evaluación del riesgo.
14.3 RESPONSABILIDADES DE LA IMPLEMENTACIÓN
La Junta Directiva es responsable de implementar y asegurar el cumplimiento de esta política.
Incluyendo las siguientes responsabilidades:
A. Comunicar esta política a su comunidad y asegurar una educación y capacitación
adecuadas;
B. Designar a los individuos para que desempeñen funciones de seguridad de la
información de la unidad, asegurándose de que estén debidamente capacitados y
asegurando su participación continua en actividades de seguridad a nivel empresarial;
C. Asegurar la implementación de planes de seguridad de la información dentro de sus
unidades;
D. Asegurar la colaboración de la unidad en la implementación del Programa de Seguridad
de TI de toda la Empresa.
El Coordinador de Seguridad de la Información es responsable de:
A. Dirigir y coordinar el Programa de Seguridad de TI de toda la Empresa;
B. Determinar el cumplimiento a nivel de unidad de esta política;
C. Proporcionar un punto focal para la supervisión de incidentes graves de seguridad,
D. Establecer métricas de seguridad, seguir el progreso del Programa de Seguridad de TI y
proporcionar un perfil de riesgo en toda la Empresa;
E. Ayudar a las unidades a cumplir con sus requisitos de seguridad de la información.
14.4 DEFINICIONES
DISPONIBILIDAD es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
CONFIDENCIALIDAD es la propiedad que impide la divulgación de información a individuos,
entidades o procesos no autorizados.
INTEGRIDAD es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas.
ACTIVO Se refiere a datos, sistemas, computadoras, dispositivos de red, documentos o
cualquier otro componente de la infraestructura empresarial que almacena, procesa o transmite
datos.
SALVAGUARDAS se refieren a las medidas de protección prescritas para cumplir con los
requisitos de seguridad (es decir, confidencialidad, integridad, disponibilidad) especificados para
un activo o entorno de información. También se llama controles de seguridad o contramedidas.
INFORMACIÓN SENSIBLE se refiere a información cuya divulgación no autorizada puede tener
un efecto adverso grave en la reputación, los recursos, los servicios o los individuos de
21. Banpyme. La información protegida bajo regulaciones federales o estatales o debido a
consideraciones de propiedad, ética o privacidad, normalmente se clasificará como delicada.
SENSIBILIDAD se refiere al grado en que la información requiere protección para asegurar que
no esté expuesta a usuarios no autorizados.
UNIDAD se refiere a cualquier sección, departamento u oficina central dentro de Banpyme.
15. Políticas Específicas de Seguridad
15.1 Política de uso aceptable
Propósito
El propósito de esta política es describir el uso aceptable del equipo informático en
Banpyme. Estas normas están en vigor para proteger al empleado y a Banpyme. El uso
inapropiado expone a Banpyme a riesgos como ataques de virus, compromiso de sistemas
y servicios de red y cuestiones legales.
Alcance
Esta política se aplica al uso de información, dispositivos electrónicos y de computación y
recursos de red para realizar negocios de Banpyme o interactuar con redes internas y
sistemas empresariales, sean propiedad o arrendados por Banpyme, el empleado o un
tercero, empleados, contratistas, consultores, trabajadores temporales y otros en Banpyme
y sus subsidiarias son responsables de ejercer un buen juicio sobre el uso apropiado de la
información, dispositivos electrónicos y recursos de la red de acuerdo con las políticas y
estándares Leyes y regulaciones. Esta política se aplica a empleados, contratistas,
consultores, temporales y otros trabajadores en Banpyme, incluyendo todo el personal
afiliado a terceros. Esta política se aplica a todo el equipo que es propiedad o arrendado por
Banpyme.
Política
Uso general y propiedad
La información de propiedad registrada en dispositivos electrónicos e informáticos, sea
propiedad o arrendada por Banpyme, el empleado o un tercero, sigue siendo propiedad
exclusiva de Banpyme. Debe asegurarse, a través de medios legales o técnicos, de que la
información protegida está protegida de acuerdo con la Norma de Protección de Datos.
● Usted tiene la responsabilidad de reportar de inmediato el robo, pérdida o
divulgación no autorizada de información de propiedad de la Compañía.
● Usted puede acceder, usar o compartir información de propiedad de la Compañía
sólo en la medida en que esté autorizado y necesario para cumplir con las tareas
asignadas.
● Los empleados son responsables de ejercer un buen juicio con respecto a la
razonabilidad del uso personal. Los departamentos individuales son responsables de
la creación de directrices sobre el uso personal de los sistemas de Internet / Intranet
/ Extranet. En ausencia de tales políticas, los empleados deben guiarse por las
políticas departamentales sobre el uso personal, y si hay alguna incertidumbre, los
empleados deben consultar a su supervisor o gerente.
22. ● Para fines de seguridad y mantenimiento de la red, las personas autorizadas dentro
de Banpyme pueden supervisar el equipo, los sistemas y el tráfico de la red en
cualquier momento, de acuerdo con la política de auditoría de Infosec.
● Banpyme se reserva el derecho de auditar las redes y sistemas periódicamente para
asegurar el cumplimiento de esta política.
Información de seguridad y propiedad
● Todos los dispositivos móviles y de cómputo que se conectan a la red interna deben
cumplir con la Política de acceso mínimo.
● Las contraseñas a nivel del sistema y del usuario deben cumplir con la Política de
contraseñas. Está prohibido el acceso a otra persona, ya sea deliberadamente o por
falta de seguridad en su acceso.
● Todos los dispositivos de computación deben estar protegidos con un protector de
pantalla protegido por contraseña con la función de activación automática
establecida en 10 minutos o menos. Debe bloquear la pantalla o cerrar la sesión
cuando el dispositivo esté desatendido.
● Los envíos de empleados de una dirección de correo electrónico de Banpyme a los
grupos de noticias deben contener un descargo de responsabilidad que indique que
las opiniones expresadas son estrictamente propias y no necesariamente las de
Banpyme, a menos que se publiquen en el curso de los deberes comerciales.
● Los empleados deben tener extrema precaución al abrir los archivos adjuntos de
correo electrónico recibidos de remitentes desconocidos, que pueden contener
malware
Uso inaceptable
Las siguientes actividades están, en general, prohibidas. Los empleados pueden estar
exentos de estas restricciones durante el curso de sus responsabilidades laborales
legítimas (por ejemplo, el personal de administración de sistemas puede tener la necesidad
de deshabilitar el acceso a la red de un host si ese anfitrión está interrumpiendo los
servicios de producción).
Bajo ninguna circunstancia un empleado de Banpyme está autorizado a participar en
actividades que sean ilegales bajo las leyes locales, estatales, federales o internacionales
mientras se utilizan recursos de Banpyme.
Las listas que figuran a continuación no son en modo alguno exhaustivas, sino que tratan de
proporcionar un marco para las actividades que entran en la categoría de uso inaceptable.
Actividades del sistema y de la red
Las siguientes actividades están estrictamente prohibidas, sin excepciones:
1. Violaciones a los derechos de cualquier persona o compañía protegidos por
derechos de autor, secretos comerciales, patentes u otros derechos de propiedad
intelectual, o leyes o reglamentos similares, incluyendo, pero no limitado a, la
instalación o distribución de productos piratas u otros productos de software que No
están debidamente licenciadas para su uso por Banpyme.
2. Copia no autorizada de material protegido por derechos de autor incluyendo, pero no
limitado a, digitalización y distribución de fotografías de revistas, libros u otras
23. fuentes con derechos de autor, música protegida por derechos de autor y la
instalación de cualquier software protegido por derechos de autor para el cual Tener
una licencia activa está estrictamente prohibido.
3. Está prohibido acceder a datos, a un servidor o a una cuenta para cualquier fin que
no sea la realización de negocios de Banpyme, incluso si tiene acceso autorizado.
4. Introducción de programas maliciosos en la red o el servidor (por ejemplo, virus,
gusanos, caballos de Troya, bombas de correo electrónico, etc.).
5. Revelar su contraseña de cuenta a otros o permitir el uso de su cuenta por otros.
Esto incluye la familia y otros miembros del hogar cuando el trabajo se hace en
casa.
6. Utilizar un activo informático Banpyme para participar activamente en la adquisición
o transmisión de material que está en violación de acoso sexual o leyes hostiles de
trabajo en la jurisdicción local del usuario.
7. Hacer ofertas fraudulentas de productos, artículos o servicios provenientes de
cualquier cuenta de Banpyme.
8. El escaneo de puerto o escaneado de seguridad está expresamente prohibido a
menos que se haga una notificación previa a Banpyme.
9. Ejecutar cualquier forma de monitoreo de red que intercepte datos no destinados al
anfitrión del empleado, a menos que esta actividad sea parte del trabajo / deber
normal del empleado.
10. Interferir o negar el servicio a cualquier usuario que no sea el anfitrión del empleado
(por ejemplo, ataque de denegación de servicio).
11. Utilizar cualquier programa / script / comando, o enviar mensajes de cualquier tipo,
con la intención de interferir o desactivar la sesión de terminal de un usuario, a
través de cualquier medio, localmente o a través de Internet / Intranet / Extranet.
Actividades de correo electrónico y comunicación
Al utilizar los recursos de la empresa para acceder y utilizar Internet, los usuarios deben
darse cuenta de que representan a la empresa. Siempre que los empleados declaren una
afiliación a la empresa, también deben indicar claramente que "las opiniones expresadas
son mías y no necesariamente las de la empresa".
1. Envío de mensajes de correo electrónico no solicitados, incluyendo el envío de
"correo basura" u otro material publicitario a personas que no soliciten
específicamente dicho material (spam por correo electrónico).
2. Cualquier forma de acoso por correo electrónico, teléfono o paginación, ya sea a
través del idioma, la frecuencia o el tamaño de los mensajes.
3. Uso no autorizado, o falsificación, de información de encabezado de correo
electrónico.
4. Creación o reenvío de "cadenas", u otros esquemas de "pirámide" de cualquier tipo.
5. Uso de correos electrónicos no solicitados procedentes de redes de otros
proveedores de servicios de Internet / Intranet / Extranet en nombre de, o para
anunciar, cualquier servicio hospedado por Banpyme..
Blogging y medios sociales
24. 1. Los blogs de los empleados, ya sea que utilicen propiedad y sistemas de Banpyme o
sistemas de computadora personal, también están sujetos a los términos y
restricciones establecidos en esta Política. El uso limitado y ocasional de los
sistemas de Banpyme para participar en los blogs es aceptable, siempre y cuando
se haga de manera profesional y responsable, no viole la política de Banpyme, no
perjudique a Banpyme, Y no interfiere con las obligaciones de trabajo regular de un
empleado. Los sistemas de blogs de Banpyme también están sujetos a monitoreo.
2. La política de información confidencial de Banpyme también se aplica a los blogs.
Como tal, a los empleados se les prohíbe revelar cualquier información confidencial
o de propiedad, secretos comerciales o cualquier otro material cubierto por la política
de información confidencial de la empresa cuando participen en blogs o redes
sociales.
3. 3. Los empleados no deberán participar en ningún blog que pueda dañar o empañar
la imagen, reputación y / o buena voluntad de Banpyme y / o cualquiera de sus
empleados. A los empleados también se les prohíbe hacer comentarios
discriminatorios, despectivos, difamatorios o acosadores al blogging o de cualquier
otra forma involucrarse en cualquier conducta prohibida por la política de no
discriminación y antiacoso de Banpyme.
4. Además de seguir todas las leyes relacionadas con el manejo y divulgación de
materiales controlados por derechos de autor o exportación, las marcas registradas,
los logotipos y cualquier otra propiedad intelectual de Banpyme tampoco se pueden
utilizar en relación con ninguna actividad de redes sociales.
15.2 Política de respuesta a la violación de datos
Propósito
25. Esta política definirá claramente a quién se aplica y en qué circunstancias incluirá la
definición de incumplimiento, las funciones y responsabilidades del personal, las normas y
las métricas (por ejemplo, para permitir la priorización de los incidentes), así como la
presentación de informes, la remediación, Y mecanismos de retroalimentación. La política
se publicará bien y se pondrá fácilmente a disposición de todo el personal cuyas funciones
incluyan la protección de la privacidad y la seguridad de los datos. Las intenciones de
publicar una Política de Respuesta a la Violación de Datos son centrar la atención en la
seguridad de los datos y las brechas de seguridad de los datos y cómo la cultura
establecida de apertura, confianza e integridad debería responder a tal actividad. Banpyme
está comprometida a proteger la información de los empleados, socios y a la compañía de
acciones ilegales o dañinas por parte de individuos, ya sea a sabiendas o sin saberlo.
Esta política establece que cualquier persona que sospeche que se ha producido un robo,
incumplimiento o exposición de datos de Banpyme debe proporcionar inmediatamente una
descripción de lo que ocurrió por correo electrónico, llamando, o mediante el uso de la
página web de informes de la mesa de ayuda. Esta dirección de correo electrónico, número
de teléfono y página web son supervisados por el Administrador de Seguridad de la
Información de Banpyme. Este equipo investigará todos los robos reportados, brechas de
datos y exposiciones para confirmar si se ha producido un robo, incumplimiento o
exposición.
Alcance
Esta política se aplica a todos los que recopilan, tienen acceso, mantienen, distribuyen,
procesan, protegen, almacenan, usan, transmiten, eliminan o manejan de otra manera la
información de identificación personal o la Información de Salud Protegida (PHI) de los
miembros de Banpyme.
Política Confirmación de robo, violación de datos o exposición de datos
confidenciales de Banpyme
Tan pronto como se detecte un robo, se identifique el incumplimiento de datos o exposición
que contenga datos confidenciales de Banpyme, se iniciará el proceso de eliminación de
todo acceso a ese recurso.La junta directiva presidirá un equipo de respuesta a incidentes
para manejar el incumplimiento o la exposición.
● El equipo incluirá a miembros de:
● IT
● Aplicaciones informáticas
● Finanzas (si corresponde)
● Legal
● Comunicaciones
● Recursos humanos
● La unidad o departamento afectado que usa el sistema o la salida involucrados o
cuyos datos pueden haber sido violados o expuestos
● Departamentos adicionales basados en el tipo de datos involucrados, Individuos
adicionales según lo juzgue necesario la junta directiva
26. Robo, incumplimiento o exposición confirmados de los datos de Banpyme
La junta directiva será notificada del robo, incumplimiento o exposición. IT, junto con el
equipo forense designado, analizará la brecha o exposición para determinar la causa raíz.
Trabajar con Investigadores Forenses
Según lo proporcionado por el seguro cibernético Banpyme, el asegurador tendrá que
proporcionar acceso a investigadores forenses y expertos que determinarán cómo se
produjo el incumplimiento o la exposición; Los tipos de datos involucrados; El número de
individuos / organizaciones internas / externas afectadas; Y analizar la brecha o exposición
para determinar la causa raíz.
Desarrollar un plan de comunicación.
Trabajar con los departamentos de comunicaciones, legales y recursos humanos de
Banpyme para decidir cómo comunicar el incumplimiento a: a) los empleados internos, b) al
público, yc) a los directamente afectados.
Roles y responsabilidades:
● Patrocinadores - Los patrocinadores son aquellos miembros de la comunidad de
Banpyme que tienen la responsabilidad principal de mantener cualquier recurso de
información en particular. Los Patrocinadores pueden ser designados por cualquier
Ejecutivo de Banpyme en relación con sus responsabilidades administrativas, o por
el patrocinio real, recopilacion, desarrollo o almacenamiento de información.
● El Administrador de la Seguridad de la Información es el miembro de Banpyme
designado por la junta directiva presta apoyo administrativo para la implementación,
supervisión y coordinación de los procedimientos y sistemas de seguridad Consulta
con los Patrocinadores pertinentes.
● Los usuarios incluyen prácticamente todos los miembros de la comunidad Banpyme
en la medida en que han autorizado el acceso a los recursos de información, y
pueden incluir personal, fideicomisarios, contratistas, consultores, pasantes,
empleados temporales y voluntarios.
Aplicación
Cualquier personal de Banpyme encontrado en violación de esta política puede estar sujeto
a medidas disciplinarias, hasta e incluyendo la terminación del empleo. Cualquier empresa
asociada de terceros que se encuentre en violación puede terminar su conexión de red.
Definiciones
● Cifrado o cifrado de datos - La forma más eficaz de lograr la seguridad de los
datos. Para leer un archivo cifrado, debe tener acceso a una clave secreta o una
27. contraseña que le permita decodificarla. Los datos sin cifrar se denominan texto sin
formato;
● Texto sin formato: datos no codificados.
● Hacker - Un término de argot para un entusiasta de la computadora, es decir, una
persona que disfruta de aprendizaje de lenguajes de programación y sistemas
informáticos y puede a menudo ser considerado un experto en el tema.
● Información de identificación personal Cualquier información que pudiera
identificar a un individuo específico. Cualquier información que pueda ser usada para
distinguir a una persona de otra.
● Recurso de información Los datos y los activos de información de una
organización, departamento o unidad.
● Datos sensibles Datos cifrados o en texto sin formato y que contienen datos
personales
16. Conclusiones
En la implementación de este SGSI se tienen como beneficios la mejora continua en la gestión
de seguridad de la organización, adicional al ser una empresa en crecimiento ésta desea tener
un posicionamiento ante un mercado exigente y global teniendo en cuenta que para ello,
28. requerirá del uso de la Tecnología de la información y las comunicaciones para ser competente
y lograrlo.
Adicional mantendrá a la organización preparada para afrontar un incidente de seguridad que
rompa las barreras de seguridad implantadas y a estar en la capacidad de poner en
funcionamiento el negocio de manera rápida , mitigando incidentes mediante las gestión de
riesgos sin que los clientes lo perciban. Aunque, también hay que tener en cuenta que se
requiere una Gestión de proyectos y un cambio organizacional, lo cual implica recursos; se
propone trabajar en un diseño, desarrollo, pruebas e implementación en TI. Se programaran
visitas a fin de realizar un seguimiento, operación y mantenimiento en curso.
17. Bibliografía
● Sans. (Junio 2014). Information Security Policy. Diciembre 2016, de Consensus Policy
Resource Community Sitio web: http://cio.umich.edu/policy/general-policies.php
● David A, Jorge L. & Plinio P,. (2012). Metodología para la Detección de Vulnerabilidades
en Redes de Datos. Noviembre, 2016, de Universidad de Cartagena Sitio web:
http://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-0764201200030001
● UNAD. (2014). Preguntas orientadoras de la necesidad del SGSI. Noviembre, 2016, de
Universidad Nacional Abierta y a Distancia Sitio web:
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/251_preg
untas_orientadoras_de_la_necesidad_del_sgsi.html