Post on 23-Jul-2020
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PARA LAS EMPRESAS DEDICADAS A LA
LOGISTICA EN MENSAJERIA
FRANCISCO LEONARDO MIRANDA RODRIGUEZ
ANA LUISA VILLAMIL MARTÍN
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
FACULTAD TECNOLOGICA
INGENIERIA TELEMATICA
BOGOTÁ
2017
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PARA LAS EMPRESAS DEDICADAS A LA
LOGISTICA EN MENSAJERIA
FRANCISCO LEONARDO MIRANDA RODRIGUEZ
CODIGO: 20142678042
ANA LUISA VILLAMIL MARTÍN
CODIGO: 20151678015
Trabajo de grado presentado como requisito para optar al título de:
INGENIERO TELEMÁTICO
Tutor:
ING. MIGUEL ANGEL LEGUIZAMON PAEZ
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
FACULTAD TECNOLOGICA
INGENIERIA TELEMATICA
BOGOTÁ
2017
Nota de Aceptación
Ing. Miguel Ángel Leguizamón Páez
Tutor Proyecto
Ing. Jairo Hernández Gutiérrez
Jurado
Bogotá D.C. 24 de Octubre de 2017
Dedicamos este proyecto a nuestros
familiares y amigos que nos brindaron el
apoyo necesario durante su realización.
AGRADECIMIENTOS
Este proyecto se logró desarrollar con la generosa colaboración de muchas personas
a quienes expresamos nuestro agradecimiento.
Deseamos extender nuestro gran sincero agradecimiento a:
Al Ing. Miguel Ángel Leguizamón Páez, Tutor de este proyecto de grado, por el
apoyo ofrecido durante todo este tiempo y permitirnos aprender cada día
grandes y pequeñas enseñanzas que quedan para nuestro conocimiento,
mente y corazón.
TABLA DE CONTENIDO
LISTA DE FIGURAS ........................................................................................ 5
LISTA DE TABLAS .......................................................................................... 6
RESUMEN ........................................................................................................ 1
ABSTRACT ...................................................................................................... 2
INTRODUCCIÓN .............................................................................................. 3
1. ORGANIZACIÓN, DEFINICIÓN Y ANÁLISIS ............................................. 4
1.1. TEMA ...................................................................................................... 4
1.2. TÍTULO ................................................................................................... 4
1.3. OBJETIVOS ............................................................................................ 4
1.3.1. Objetivo General ............................................................................................. 4
1.3.2. Objetivos Específicos ..................................................................................... 4
1.4. PLANTEAMIENTO DEL PROBLEMA ................................................... 5
1.5. FORMULACIÓN DEL PROBLEMA ....................................................... 6
1.6. JUSTIFICACIÓN .................................................................................... 6
1.7. MARCO DE REFERENCIA. ................................................................... 7
1.7.1. MARCO TEÓRICO ......................................................................................... 7
1.7.1.1. Vulnerabilidad Informática ....................................................................... 7
1.7.1.2. Amenazas Informáticas ........................................................................... 8
1.7.1.3. Riesgos Informáticos ............................................................................. 10
1.7.1.4. Seguridad de la información ................................................................. 11
1.8. ESTADO DEL ARTE ............................................................................ 17
1.9. METODOLOGÍA ................................................................................... 19
1.10. ALCANCES Y DELIMITACIONES .................................................... 24
1.10.1. ALCANCE ................................................................................................. 24
1.10.2. DELIMITACIONES .................................................................................... 24
1.10.2.1. Técnica .................................................................................................. 24
1.10.2.2. Tiempo ................................................................................................... 24
1.10.2.3. Geográfica ............................................................................................. 24
1.11. FACTIBILIDAD .................................................................................. 24
1.11.1. FACTIBILIDAD TÉCNICA ......................................................................... 24
1.11.2. FACTIBILIDAD DE OPERACIONES ........................................................ 25
1.11.3. FACTIBILIDAD ECONÓMICA .................................................................. 26
1.12. CRONOGRAMA ................................................................................ 27
2. ANÁLISIS DE LA SITUACIÓN ACTUAL .................................................. 28
2.1. Aspecto Comercial ............................................................................. 29
2.2. Manejo de la Seguridad ..................................................................... 29
2.3. Diagnóstico de la situación actual ................................................... 30
3. IDENTIFICACIÓN DE ACTIVOS ............................................................. 32
3.1. Identificación De Los Activos Presentes En Las Empresas De
Mensajería ..................................................................................................... 32
3.2. Análisis de Activos de Apoyo Logístico en Mensajería ................ 34
3.3. Servicios ofrecidos por ALM ............................................................. 35
3.4. Aplicativos Utilizados en ALM .......................................................... 35
3.5. Valoración De Activos ........................................................................ 37
3.5.1. Identificación e importancia de las Vulnerabilidades ................................... 46
3.5.1.1. Infraestructura. ...................................................................................... 47
3.5.1.2. Financiera .............................................................................................. 48
3.5.1.3. Prestación en el Servicio ....................................................................... 49
3.5.1.4. Operación A nivel de la entrega de la correspondencia. ...................... 50
3.5.1.5. Equipos Informáticos ............................................................................. 51
3.5.1.6. Comunicaciones .................................................................................... 52
3.5.1.7. Manejo De personal .............................................................................. 53
3.5.1.8. Caracterización y valoración de las amenazas .................................... 54
3.6. Identificación y valoración de las amenazas .................................. 55
3.7. Riesgos ................................................................................................ 62
3.8. Evaluación De riesgos ....................................................................... 66
3.9. Tratamiento de los riesgos ................................................................ 69
3.9.1. Selección De Controles ................................................................................ 69
3.9.1.1. Barracuda Spam Firewall 300 ............................................................... 70
3.9.1.2. Lector de tarjetas OMNIKEY® 5427CK de HID Global ........................ 72
3.9.1.3. Tarjetas de acceso iCLASS - Credenciales - 200x .............................. 73
3.9.1.4. Circuito cerrado de televisión (Cámaras de Seguridad y DVR) ........... 74
3.9.1.5. Extintores ............................................................................................... 75
3.9.1.6. Eset Endpoint Antivirus ......................................................................... 76
3.9.1.7. Control de acceso y privilegio de usuarios mediante Protocolo LDAP 78
3.9.1.8. Sistema de Administración de Contraseñas ......................................... 79
4. POLÍTICAS DE SEGURIDAD ................................................................. 80
4.1. Política de Seguridad en la Información.......................................... 80
4.2. Política de Mantenimiento de equipos de Computo ...................... 80
4.3. Política de Acceso a los equipos locales ........................................ 81
4.4. Política de acceso a la red corporativa. .......................................... 81
4.5. Política de Instalación de aplicativos. ............................................. 82
4.6. Política de Auditoría de Software ..................................................... 82
4.7. Política aplicada al software Desarrollado por la compañía......... 82
4.8. Política de Acceso a Áreas restringidas ......................................... 83
4.9. Política Para traslado de equipo a otra área ................................... 83
4.10. Planes De Mejoramiento ................................................................. 84
4.11. Planes De Acción Para Hacer Cumplir Y Verificar Las Políticas
Del Sgsi .......................................................................................................... 85
5. MÓDULO WEB ........................................................................................ 86
6. CONCLUSIONES .................................................................................... 88
7. BIBLIOGRAFIA ....................................................................................... 89
LISTA DE FIGURAS
Figura 01. Cronograma .................................................................................... 27
Figura 02. Firewall Barracuda .......................................................................... 70
Figura 03. Lector de tarjetas OMNIKEY® 5427CK .......................................... 72
Figura 04. Tarjeta de acceso iClass 200x ........................................................ 73
Figura 05. Circuito cerrado de Televisión. ........................................................ 74
Figura 06. Extintor ........................................................................................... 75
Figura 07. Antivirus Eset .................................................................................. 76
Figura 09. Pantalla Inicio ................................................................................. 86
Figura 10. Pantalla SGSI ................................................................................. 87
Figura 11. Pantalla Informes ............................................................................ 87
LISTA DE TABLAS
Tabla 1. Factibilidad Económica Fuente: autores ............................................ 26
Tabla 2. Diagnóstico de la situación actual ...................................................... 31
Tabla 3. Escala de valoración ........................................................................ 39
Tabla 4. Listado de tipo de activo................................................................... 40
Tabla 5. Relación de escalas y valoraciones con base a las necesidades
generales de empresas de mensajería. ........................................................... 44
Tabla 6. Relación de escalas ........................................................................... 46
Tabla 7. Evaluación de vulnerabilidades .......................................................... 46
Tabla 8. Relación de escalas.......................................................................... 47
Tabla 9. Vulnerabilidades en el análisis hecho por el área financiera .............. 48
Tabla 10. Prestación en el Servicio .................................................................. 49
Tabla 11. Operación A nivel de la entrega de la correspondencia ................... 50
Tabla 12. Equipos Informáticos........................................................................ 51
Tabla 13. Comunicaciones .............................................................................. 52
Tabla 14. Manejo De personal ......................................................................... 53
Tabla 15. Degradación de Amenazas .............................................................. 54
Tabla 16. Frecuencia de Amenazas. ............................................................... 55
Tabla 17. Amenazas de Infraestructura ........................................................... 56
Tabla 18. Amenazas Financieras ..................................................................... 57
Tabla 19. Amenazas de Prestación en el Servicio ........................................... 58
Tabla 20. Amenazas Operación de mensajería ............................................... 58
Tabla 21. Amenazas en Equipos Informáticos ................................................. 60
Tabla 22. Amenazas en Comunicaciones ........................................................ 61
Tabla 23. Amenazas en el Personal ................................................................ 61
Tabla 31. Matriz de priorización ....................................................................... 63
Tabla 32. Consenso de riesgos. ...................................................................... 66
Tabla 33. Criterios de evaluación de riesgo. .................................................... 66
Tabla 34. Vulnerabilidades Prestación en el Servicio....................................... 69
1
RESUMEN
La implementación de los sistemas de información en la industria colombiana
cada día es más frecuente, por lo que son vulnerables a amenazas que pueden
llegar a convertirse en riesgos que afectan los activos más importantes. En
este documento se propone el diseño de un Sistema de Seguridad de la
Información enfocado y adaptado a las necesidades de las empresas de
mensajería, buscando de esta forma establecer estándares de manejo de la
información e implementación de políticas de seguridad. Para esta
implementación se tomará como modelo la empresa Apoyo Logístico en
Mensajería ALM la cual busca implementar un SGSI que le permita mejorar sus
procesos.
2
ABSTRACT
The implementation in the Colombian industry of the information systems every
day is more frequent, reason why they are vulnerable to threats that can
become to become risks that affect the most important assets of the companies
as the information is. This document proposes the design of an Information
Security System focused and adapted to the needs of the messaging
companies, seeking in this way to establish standards of information
management and implementation of security policies. For this implementation
will take as a model the company Apoyo Logístico en Mensajería ALM which
seeks to implement an SGSI that allows it to be certified.
3
INTRODUCCIÓN
Con el constante avance en la tecnología y la gran cantidad de recursos
disponibles en la red que pueden suplir o mejorar necesidades de personas y/o
empresas, se requiere adaptarse a la implementación de estos avances, con el
fin de optimizar procesos que permitan tener mayor rendimiento y
productividad.
Sin embargo, en este entorno de evolución, se encuentran amenazas
recurrentes, ya sean ataques cibernéticos, robo o alteración de información,
que hacen ver la obligación de implementar mecanismos y controles que
permitan garantizar la confidencialidad, integridad y disponibilidad de la
información.
El principal activo de las empresas de mensajería es el manejo de la
información que se encuentra en sus bases de datos, lo cual se debe preservar
y mantener un correcto manejo, lo que implica tener una gestión óptima en los
recursos tecnológicos y humanos.
Para lo cual se busca realizar un estudio preliminar del nivel de seguridad de la
información y de los activos de la empresa, que permitan detectar las
amenazas, riesgos y principales debilidades a las que la información se
encuentre expuesta.
Es necesario crear un sistema de gestión de seguridad de la información que
permita proteger, administrar y optimizar los recursos informáticos de la
compañía, con la finalidad de mejorar los procesos productivos de la entidad.
Este sistema debe ser de amplio conocimiento para toda la organización,
garantizando la correcta implementación del mismo.
El resultado final es este documento, el cual explica de manera detallada su
implementación de la mano con el ciclo PHVA y la metodología MAGERIT,
permitiendo que las empresas de mensajería moldeen y mejoren sus objetivos,
políticas y valores planteados.
4
1. ORGANIZACIÓN, DEFINICIÓN Y ANÁLISIS
1.1. TEMA
El proyecto concentra sus esfuerzos en la creación de una propuesta para el
diseño de un Sistema de Gestión de Seguridad de la Información SGSI con el
cual se busca facilitar y agilizar los procesos en empresas de Logística en
Mensajería.
1.2. TÍTULO
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) PARA LAS EMPRESAS DEDICADAS A LA
LOGISTICA EN MENSAJERIA
1.3. OBJETIVOS
1.3.1. Objetivo General
Diseñar un Sistema de Gestión de Seguridad de la Información (SGSI) basado
en la norma ISO 27001, que permita minimizar los riesgos a los que están
expuestos los activos de información de las empresas dedicadas a la logística
en mensajería.
1.3.2. Objetivos Específicos
● Analizar la situación actual de seguridad de las organizaciones con el
levantamiento de información.
● Identificar y valorar los activos informáticos en empresas de mensajería.
● Conocer, definir y dimensionar los riesgos a los que está expuesta la
organización a nivel de manejo de la información.
● Crear un documento guía para facilitar el direccionamiento de las normas y
políticas del SGSI
● Desarrollar un módulo web que permita llevar el control de los activos
informáticos.
5
1.4. PLANTEAMIENTO DEL PROBLEMA
Empresas dedicadas a la logística en mensajería relacionada con recibos de
servicios públicos, entrega de tarjetas de crédito, boletería de eventos,
campañas en telemercadeo, entre otras. El constante crecimiento de la
compañía requiere que su tecnología avance a la par con las necesidades que
se presenten, pero acompañado de su constante crecimiento se han
presentado problemas con el manejo de la información de los clientes que
reposan en las bases de datos de la compañía, lo que ocasiona la pérdida de
información, envío de correspondencia a lugares incorrectos, alteración de
información que debe ser tratada como confidencial trocado de direcciones en
las guías, duplicidad y redundancia de información en la base de datos, con la
necesidad de solicitar a los clientes la reimpresión de los documentos por parte
de entidades bancarias y demás clientes.
Puesto que no se dispone de procedimientos, normativas o políticas de manejo
de la información, se tiene una alta probabilidad que se generen errores
humanos y/o del sistema, que se puede ver reflejada en la redundancia en la
información, duplicidad de tablas en las bases de datos, alteración y acceso a
la información sin previa autenticación, riesgos en el deterioro o manipulación
del cableado estructurado que no presenta protección, entre otras causas.
La información almacenada en las bases de datos se convierte en uno de sus
principales activos para lo cual se debe hacer un análisis profundo de la
existencia o nivel de madurez de la seguridad de la información presentes en la
actualidad, dependiendo de esta evaluación preliminar se define los puntos
más críticos presentes y se contemplan las alternativas que se deben emplear
para subsanar esas vulnerabilidades. Es de principal importancia resaltar que
al no tener un sistema de gestión de seguridad de la información que trabaje en
mejora de los procesos presentes en la compañía, a largo plazo se pueden
presentar mayores inconvenientes y considerables fallas en la ejecución
sistemática de los procesos generando retrasos en la operación y la prestación
de los servicios.
6
1.5. FORMULACIÓN DEL PROBLEMA
¿De qué manera aportar en la mejora de los procesos y la seguridad de la
información al interior de las empresas dedicadas a la logística en mensajería?
1.6. JUSTIFICACIÓN
La información almacenada en las bases de datos se convierte en uno de los
principales activos para lo cual se debe hacer un análisis profundo de la
existencia o nivel de madurez de la seguridad de la información, dependiendo
de esta evaluación preliminar se definen los puntos más críticos presentes y se
contemplan las alternativas que se deben emplear para subsanar esas
vulnerabilidades. La principal importancia es resaltar que, al no tener un
sistema de gestión de seguridad de la información en los procesos de la
compañía, a largo plazo se pueden presentar mayores inconvenientes y
considerables fallas en la ejecución sistemática de los procesos, generando
retrasos en la operación y la prestación de los servicios.
El diseño de un Sistema de Gestión de Seguridad de la Información adaptado a
las empresas enfocadas en el manejo de procesos logísticos y de mensajería
permitirá subsanar y gestionar de manera más eficiente los riesgos que se
presentan a diario, generando de esta forma mayor confianza en los clientes
que es importante para el progreso de la compañía.
7
1.7. MARCO DE REFERENCIA.
1.7.1. MARCO TEÓRICO
Para las organizaciones la información se ha convertido en uno de los activos
más valiosos, es por esto que se deben implementar técnicas que permitan la
mayor eficiencia en sus operaciones, no solo de tipo tecnológico, como lo es la
seguridad de sus bases de datos, la administración de direcciones de envío, la
zonificación del correo y la gestión de la información en los procesos de
telemercadeo, sino que se debe complementar con la capacitación de los
empleados de la compañía, al igual que la contratación de personal calificado,
infundiendo un alto grado de pertenencia por la institución, que debe ser
conformado por valores éticos y profesionales.
1.7.1.1. Vulnerabilidad Informática
Vulnerabilidad
Posibles comportamientos y características que se pueden convertir en una
potencial amenaza, por lo cual es necesario actuar ante la presencia de una
amenaza o daño. Se es vulnerable a cualquier evento, ya sea de manera
interna o externa, pero si se aplica de manera correcta los controles
establecidos es posible reducir considerablemente que estas se materialicen.
Los tipos de vulnerabilidades más frecuentes en empresas de mensajería son:
a. Vulnerabilidad del hardware.
Hace referencia a las probabilidades de que se presente alguna falla ya sea por
deterioro o por causas externas que afecten al hardware, como por ejemplo
catástrofes naturales, incendios, inundaciones, o incluso la mala manipulación.
b. Vulnerabilidad del software
Son puntos débiles que se encuentran en el sistema, los cuales se pueden
materializar y convertir en potenciales amenazas que afectan el correcto
funcionamiento de los aplicativos, pueden provocar eliminación o modificación
de la información, ya sea por la manipulación del código fuente o por brechas
que permitan la alteración y correcta operación lógica del software.
8
Adicional se pueden presentar vulnerabilidades externas al factor informático,
afectándolo de manera directa o indirecta, convirtiéndose en un punto de valor
importante a la hora de evaluar falencias dentro de una compañía.
c. Vulnerabilidad humana
Las vulnerabilidades de tipo humano radican en la falta de conocimiento sobre
la manipulación, tratamiento y manejo de los procesos para la protección de los
datos, acceso completo a la parametrización de aplicativos, permitiendo que
cualquier rol que se desempeñe en la compañía, tenga el mismo nivel de
seguridad lo cual no es conveniente.
d. Vulnerabilidad natural
Este tipo de vulnerabilidades están relacionadas con los factores que se
pueden presentar en el medio ambiente o algún desastre natural, los cuales
pueden ocasionar daños irremediables, tanto en infraestructura como en los
activos físicos de la compañía.
La evolución de las vulnerabilidades se puede convertir en amenazas, a las
que se les debe poner mayor atención puesto que son efectos inminentes a un
riesgo potencial.
1.7.1.2. Amenazas Informáticas
Es la posibilidad de que algún tipo de evento se pueda presentar en cualquier
instante de tiempo, en el cual existe un daño material o inmaterial, sobre los
sistemas de información
Las amenazas a los sistemas de información están presentes cada vez que se
interactúa con los mismos, por lo tanto, los tipos de amenazas según el efecto
causado en el sistema a tener en cuenta son los siguientes:
● Intercepción: Es cuando un hacker o grupo de personas, logran ingresar
a los sistemas de información sin
autorización para escuchar, visualizar y copiar archivos
confidenciales de las empresas, organizaciones y/o Pymes.
9
● Modificación: Es cuando un hacker o grupo de personas, han logrado
ingresar al sistema de información y además pueden modificar los
archivos y/o líneas de código del software para ocasionar pérdida de
información, mal funcionamiento de los equipos de cómputo o programar
cambios en los contenidos de las bases de datos.
● Interrupción: La interrupción se da cuando los sistemas de información son
saturados por medio de inyección SQL, código malicioso, virus, troyanos,
gusanos y todas las aplicaciones que pueden ocasionar entorpecimiento
en el sistema de información para un mal funcionamiento.
● Generación: La generación de amenazas se da cuando se añade
información en las bases de datos, registros y programas
confidenciales, ocasionando daños internos y externos en los equipos de
cómputo y prestación del servicio, ya que introduce mensajes no
autorizados en cada uno de los comandos, registros y datos requeridos
para un buen funcionamiento.
● Amenazas Involuntarias: Las amenazas involuntarias son aquellas
que se producen por desconocimiento sobre las medidas de seguridad
mínimas que se deben tener al manipular
cualquier tipo de información, asimismo los casos más comunes
se encuentran en la eliminación de archivos básicos del sistema sin darse
cuenta, dejar la contraseña de
acceso en lugares visibles o simplemente no bloquean el equipo cuando
salen de la oficina o se desplazan a otro lugar por alguna razón.
● Amenazas Naturales o Físicas: Las amenazas naturales son aquellas
que se producen por los efectos naturales y cambios ambientales en el
entorno, ocasionando un desastre tales como el polvo, las inundaciones,
terremotos, etc.
● Amenazas Intencionadas: Las amenazas intencionadas son aquellas en
la cual un grupo de hackers o una sola persona quiere conocer,
modificar, eliminar y/o robar información para sus fines personales.
10
1.7.1.3. Riesgos Informáticos
Los riesgos informáticos son problemas inminentes, que pueden afectar los
sistemas de información, aplicativos y hardware de la compañía, si no se tienen
medidas adecuadas para el manejo de datos a nivel de su seguridad, las
vulnerabilidades y amenazas pueden llegar a convertirse en cualquier momento
en riesgos.
● Riesgos de integridad: Son aquellos que afectan directamente la
parametrización y el funcionamiento lógico de los aplicativos de la
entidad, los cuales pueden alterar la información almacenada en la nube
o en servidores situados en la compañía.
● Riesgos de relación: Ejecutar e implementar de manera asertiva la toma
de decisiones con base al comportamiento de la información, para evitar
gastos innecesarios o movimientos en la operación que no requieran
tanto esfuerzo.
● Riesgos de acceso: Son aquellos que, por una mala parametrización en
sus sistemas de seguridad pueden permitir que algún hacker o usuario
sin permisos autorizados, pueda acceder a los datos y afectar la
integridad y confidencialidad de la información
● Riesgos de utilidad: Estos riesgos se presentan cuando no se tiene en
cuenta un plan de contingencia adecuado a nivel de bases de datos,
aplicaciones e infraestructura, o cuando se salvaguardan los backups en
el mismo edificio de operaciones.
● Riesgo de infraestructura: Son aquellos en los cuales no se cuenta con
un soporte estructural que se adapte a las necesidades técnicas y
tecnológicas de la compañía a la hora de enfrentar alguna eventualidad
a nivel estructural o en sus sistemas de información.
11
1.7.1.4. Seguridad de la información
La Seguridad de la Información consiste en asegurar que los recursos del
Sistema de Información de una empresa se utilicen de la forma que ha sido
decidido y el acceso de información se encuentra contenida, así como controlar
que la modificación sólo sea posible por parte de las personas autorizadas para
tal fin y por supuesto, siempre dentro de los límites de la autorización.
Los objetivos de la seguridad informática: Los activos de información son los
elementos que la Seguridad de la Información debe proteger.
Por lo que son tres elementos lo que forman los activos:
Información: es el objeto de mayor valor para la empresa.
Equipos: suelen ser software, hardware y la propia organización.
Usuarios: son las personas que usan la tecnología de la organización.
Realizar correctamente la Gestión de la Seguridad de la Información quiere
establecer y mantener los programas, los controles y las políticas de seguridad
que tienen la obligación de conservar la confidencialidad, la integridad y la
disponibilidad de la información de una empresa.
Confidencialidad: es la propiedad de prevenir que se divulgue la información a
personas o sistemas no autorizados.
Integridad: es la propiedad que busca proteger que se modifiquen los datos
libres de forma no autorizada.
Disponibilidad: es una característica, cualidad o condición de la información
que se encuentra a disposición de quien tiene que acceder a esta, bien sean
personas, procesos o aplicaciones.
1.7.1.5. SGSI
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a
establecer políticas y procedimientos en relación a los objetivos de negocio de
la organización.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una
12
sistemática definida, documentada y conocida por todos, que se revisa y
mejora constantemente.
Control de la documentación
Para los documentos generados se debe establecer, documentar, implantar y
mantener un procedimiento que defina las acciones de gestión necesarias
para:
• Aprobar documentos apropiados antes de su emisión.
• Revisar y actualizar documentos cuando sea necesario y renovar su validez.
• Garantizar el estado actual de revisión de los documentos.
• Mantener legibles y fácilmente identificables.
• Garantizar que los documentos permanecen disponibles para aquellas
personas que los necesiten y que son transmitidos, almacenados.
• Garantizar que la distribución de documentos está controlada.
• Prevenir la utilización de documentos obsoletos.
De tal manera se pueden establecer controles de seguridad en cada
componente importante entre los que se predominan los activos informáticos
tangibles e intangibles.
Activos intangibles: Son los bienes inmateriales:
● Habilidades y motivación a los empleados
● Bases de datos
● Herramientas tecnológicas
● Procesos operativos
Activos tangibles: Son los bienes perceptibles a la vista del ser humano,
como:
● Mobiliario
● Infraestructura
● Elementos de trabajo
● Equipos informáticos
● Cableado de red
13
1.7.2. MARCO CONCEPTUAL
● Activo de información: aquello que es de alta validez y que contiene
información vital de la empresa que debe ser protegida.
● Amenaza Informática: Vulnerabilidades que se pueden presentar en un
sistema de información, donde una mala configuración y un mal
funcionamiento del sistema de control pueden denegar o no detectar las
causas potenciales que pueden afectar la infraestructura.
● Gestión de Incidentes: Conjunto de procesos con el fin de gestionar cada
uno de los incidentes hallados, para recuperar el sistema y minimizar el
impacto negativo en las empresas.
● Normas: Conjunto de elementos constituidos por reglas y pautas con el fin de
ser ajustadas a un protocolo o procedimiento establecido por las
organizaciones.
● Política Organizacional: Es la orientación o directriz que debe ser
divulgada, entendida y acatada por todos los miembros de la organización,
en ella se contemplan las normas y responsabilidades de cada área de la
organización.
● Control: Medida que modifica el riesgo.
● Control Preventivo: aquellos que actúan para eliminar las causas del riesgo
para prevenir su ocurrencia o materialización.
● Control Correctivo: Aquellos que permiten el restablecimiento de actividad,
después de ser detectado un evento no deseable; también la modificación de
las acciones que propiciaron su ocurrencia.
● Mejora continua: Acción permanente realizada, con el fin de aumentar la
capacidad para cumplir los requisitos y optimizar el desempeño.
14
1.7.3. MARCO LEGAL
El uso de herramientas tecnológicas donde exista un intercambio de
información constante permite tener como base la Ley de TIC que garantiza el
acceso, uso y apropiación de las tecnologías de la información y las
comunicaciones, preservando la seguridad de la información y la protección del
usuario en la red.
Como sustento jurídico del marco de referencia se cuenta con las siguientes
referencias legales
Circular 05 del 9 de octubre de 2001 - “Derechos de autor sobre los
programas de computador, su licenciamiento y sanciones derivadas del
uso no autorizado”.
Con el propósito de orientar tanto a los titulares de derechos como a los
usuarios de los diferentes tipos de licencias que sobre un programa de
computador pueden existir en el mercado, y las disposiciones legales que con
respecto a un uso ilegitimo se encuentran vigentes, la Unidad Administrativa
Especial Dirección Nacional de Derecho de Autor, entidad adscrita al Ministerio
del Interior, se permite ilustrar a los programadores, usuarios y productores de
este tipo de obras
Ley 1369 de 2009 - por medio de la cual se establece el régimen de los
servicios postales y se dictan otras disposiciones.
ARTÍCULO 1º. Ámbito de aplicación, objeto y alcance. La presente ley señala
el régimen general de prestación de los servicios postales y lo pertinente, a las
entidades encargadas de la regulación de estos servicios, que son un servicio
público en los términos del artículo 365 de la Constitución Política. Su
prestación estará sometida a la regulación, vigilancia y control del Estado, con
sujeción a los principios de calidad, eficiencia y universalidad, entendida esta
última, como el acceso progresivo a la población en todo el territorio nacional.
Los Servicios Postales están bajo la titularidad del Estado, el cual, para su
prestación, podrá habilitar a empresas públicas y privadas en los términos de
esta ley.
15
Resolución No. 3038 DE 2011 - “Por la cual se expide el Régimen de
Protección de los Derechos de los Usuarios de los Servicios Postales”
Que en virtud de lo dispuesto en el artículo 1° de la Ley 1369 de 2009, por
medio de la cual se establece el régimen de los servicios postales, esta clase
de servicios son considerados como servicios públicos en los términos del
artículo 365 de la Constitución Política y su prestación está sometida a los
principios de calidad, eficiencia y universalidad.
De esta resolución se tiene en cuenta los siguientes artículos:
● Capítulo III Definiciones, Artículo 3.
● Capítulo II Normas relativas a la ejecución del contrato de Servicios
postales, Articulo 9, Articulo 11.
Ley 1273 de 2009.
Los tres principios fundamentales de la seguridad son la confidencialidad, la
integridad y la disponibilidad, por lo tanto para preservar estos principios el 5 de
enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273
“Por medio del cual se modifica el Código Penal y se crea un nuevo bien
jurídico tutelado, denominado “De la Protección de la información y de los
datos” , que pretende proteger la información, los datos y la preservación
integral de los sistemas que utilicen tecnologías de la información y las
comunicaciones.
De esta ley se tiene en cuenta los siguientes artículos los cuales se relacionan
directamente con el manejo de la información:
● Acceso abusivo a un sistema informático.
● Obstaculización ilegítima de sistema informático o red de
telecomunicación.
● Interceptación de datos informáticos.
● Daño informático.
● Uso de software malicioso.
16
● Violación a datos personales.
● Suplantación de sitios web para capturar datos personales.
● Circunstancias de agravación punitiva.
Esta ley es esencial para tener un apoyo legal para la protección de la
información ya sea de personas u organizaciones, lo cual es proclive a
amenazas constantes, definiendo y regulando las penas y multas en caso de
que esta ley y sus artículos sean violados.
Constitución Política de Colombia Ley estatutaria No. 1581 del 17 de
octubre de 2012 - “Por la cual se dictan disposiciones generales para la
protección de datos personales”.
La presente ley tiene por objeto desarrollar el derecho constitucional que tienen
todas las personas a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bases de datos o archivos, y los demás
derechos, libertades y garantías constitucionales a que se refiere el artículo 15
de la Constitución Política; así como el derecho a la información consagrado en
el artículo 20 de la misma.
La serie ISO 27000.
La ISO 27000 es un conjunto de estándares desarrollados que explican cómo
implementar un SGSI en una organización.
Se persigue 3 objetivos:
1. Preservar la confidencialidad de los datos de la empresa
2. Conservar la integridad de estos datos
3. Hacer que la información protegida se encuentre disponible
Las normas que se aplicarán en el proyecto son las siguientes:
ISO 27001: La norma es certificable y contiene los requisitos para la
implantación del Sistema de Gestión de Seguridad de la Información.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de
17
control y controles recomendables en la seguridad de la información.
ISO 27005: Establece las directrices para la Gestión del riesgo en la seguridad
de la información.
ISO 27034: Es una guía de seguridad en aplicaciones.
1.8. ESTADO DEL ARTE
Para mostrar la viabilidad del diseño de un sistema de gestión de seguridad de
información, se realizó una revisión de los siguientes proyectos a nivel nacional
e internacional, con el fin de identificar el éxito de la aplicación del SGSI e
identificar los avances y hallazgos encontrados.
Certificación en la Norma ISO/IEC 27001 y la implantación de un SGSI por
parte de la empresa BSI. de España para la empresa Thames Security
Shredding
Thames Security Shredding (TSS) presta un servicio seguro y eficaz de
recopilación y destrucción de documentos confidenciales. La certificación
ISO/IEC 27001 ofrece a la empresa una ventaja competitiva a la hora de
cumplir los requisitos contractuales, ya que demuestra su compromiso con la
gestión de la Seguridad de la Información gracias al uso de las mejores
prácticas a nivel internacional. También brinda a TSS un factor diferenciador
importante en el mercado, lo que le ha supuesto aumentar su nivel de
actividad. [1]
INFORME FINAL –MODELO DE SEGURIDAD DE LA INFORMACIÓN –
SISTEMA SANSI – SGSI -MODELO DE SEGURIDAD DE LA INFORMACIÓN
PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
En este documento se planteó una estructura institucional para establecer un
modelo de seguridad de la información para el programa de Gobierno en Línea
del Ministerio de las Tecnologías de la Información y las Comunicaciones
MINTIC respaldado por los instrumentos normativos que le permitan tener vida
y ser aplicado por las diferentes entidades públicas y privadas, incluyendo los
proveedores que pertenezcan a la cadena de prestación de servicios de
Gobierno en Línea. [3]
18
El modelo de seguridad se poyo en un Sistema Administrativo Nacional de
Seguridad de la Información –SANSI, para que sus diferentes componentes,
realicen tareas y actividades relacionadas con el ciclo de vida propuesto para el
modelo, incentiven su implementación y mejora continua cuando sea adoptado
por las entidades destinatarias.
Diseño de un sistema de gestión de seguridad de la información para una
entidad financiera.
En febrero de 2015 fue presentado en la facultad de especialización del
Institución Universitaria Politécnico Gran-colombiano, el trabajo de grado es de
Carlos Alberto Guzmán Silva como requisito para optar por la Especialización
en seguridad de la información. El proyecto presenta el diseño de un SGSI que
permite gestionar la seguridad de los activos de información que interviene en
diferentes procesos financieros, además sirve como guía para evidenciar la
manera de afrontar las diferentes etapas de un SGSI, las técnicas utilizadas
para la identificación de vulnerabilidades y riesgos, y la manera de definir
controles a los diferentes hallazgos.
Implantación De Un SGSI en la empresa, Realizado por INTECO (Instituto
Nacional de Tecnologías de la Comunicación) Del Gobierno de España.
Estudio de la implantación de sistemas de Gestión de la seguridad y la
información en empresas españolas utilizando la Norma Iso 27000 e ISO 2700,
para lo cual realiza un análisis de las empresas detectando sus principales
falencias y realizando sugerencias de cómo se puede implantar el SGSI en una
organización acorde a sus necesidades, todo esto con la finalidad de
certificarse en la misma. [1]
IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE
GRACIA, ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001
Fue presentado como proyecto de grado en el año 2010, para optar por el título
de Ingeniería de Sistemas para la Fundación Universitaria Konrad Lorenz, por
los estudiantes Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez
19
Lozano, Leidy Johanna Ortiz, Gustavo Adolfo Erazo Pérez. Es una
investigación que tiene la finalidad de implementar un SGSI en la Comunidad
Nuestra Señora de Gracia. Este sistema se basa en las directrices indicadas en
la norma ISO/IEC 27001, y en el marco del mismo se generó un análisis de
gap3, que permitió evidenciar un nivel de brechas significativo en la
mencionada Comunidad, con base en el cual se establecieron políticas y
controles de mejoramiento de los procesos de seguridad de la información y se
definieron las declaraciones de aplicabilidad que fortalecieron todo el análisis
de riesgos efectuado
1.9. METODOLOGÍA
Ciclo PHVA
El ciclo PHVA es un componente importante, el cual proporciona la solución de
los problemas de manera sistémica, mejorando los procesos que se manejan,
manteniendo o mejorando la calidad sin reducir los costos, conservando la
eficacia y efectividad en una organización. El principal aporte del ciclo PHVA es
generar un funcionamiento mutuo entre diversos sectores de una organización
los cuales trabajan de manera conjunta y sincronizada en la obtención de una
meta y en beneficio de sus clientes, facilitando de esta forma la participación
activa de los empleados en los procesos de evolución de la compañía.
Para los sistemas de gestión de la información el ciclo PHVA es un modelo
dinámico que puede que interviene en cada uno de los procesos presentes en
una organización, para de esta forma trabajar en conjunto. Está inherente en
las fases de planeación, implementación, control y mejora continua, desde el
proceso de creación del producto final como en los procesos alternativos que
tenga el sistema de gestión de calidad. [2]
PHVA es una de los principales recursos con los que puede contar una
organización para el constante mejoramiento de la calidad, el cual se
fundamenta en la ejecución de cuatro pasos que se deben llevar a cabo
consecutivamente, descritos a continuación:
20
1. Planear: Consiste en el desarrollo de objetivos, establecer los planes de
implementación y la forma de trabajos para conseguir resultados acordes a
las necesidades del cliente y las políticas de la organización.
En este primer paso se debe planificar la gestión de calidad, permitiendo
fortalecer la política de calidad, la definición y cumplimiento de los objetivos
de calidad, la asignación de los recursos que se enfoquen en dar prioridad a
la competitividad de la organización en el medio.
2. Hacer: Se enfoca en el desarrollo de las actividades planeadas previamente
para los procesos, partiendo del punto de tener una total claridad sobre la
importancia de estar enfocados hacia las necesidades del cliente y cumplir
sus expectativas, la asignación de tareas y roles con niveles de autoridad, la
gestión de los documentos y los registros, la gestión efectiva de las
comunicaciones internas y externas, y el control sobre las variables críticas
relacionadas con las características críticas de la calidad de productos y
procesos.
3. Verificar: Consiste en revisar y comparar los resultados obtenidos con los
que se esperaban, analizando las causas por las cuales no se logró el
objetivo trazado. Se realiza una constante auditoría a los procesos y
productos siempre teniendo en cuenta los objetivos, políticas del producto
final. Se realiza una comparación del resultado final contra lo que se
esperaba, considerando el monitoreo y la medición, la auditoría sobre los
procesos del SGC, el control de las no conformidades, el control de las
mediciones y el seguimiento al cumplimiento de los objetivos.
4. Actuar: Se enfoca en erradicar los obstáculos que hacen que el rendimiento
sea insatisfactorio y generar rendimiento óptimo en los procesos, así como
volver a planificar acciones sobre resultados indeseables todavía existentes.
Para la ejecución del Hacer relacionado con el ciclo PHVA se ve necesario
implementar Magerit V3 como metodología de Análisis y Gestión de
Riesgos para los Sistemas de Información, puesto que ofrece la posibilidad
21
de aplicar un método sistemático que permite analizar los riesgos derivados
del uso de tecnologías de la información en la compañía y de esta forma
llegar a implementar medidas de control más adecuadas que permitan
mitigar esos riesgos presentes en el ambiente.
Puntualmente MAGERIT se basa en analizar el impacto que puede tener para
la empresa la violación de la seguridad, buscando identificar las amenazas que
pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser
utilizadas por estas amenazas, logrando así tener una identificación clara de
las medidas preventivas y correctivas más apropiadas
MAGERIT
Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior
de Administración Electrónica ha elaborado y promueve como respuesta a la
percepción de la Administración y la sociedad depende de forma creciente de
las tecnologías de la información para la consecución de sus objetivos de
servicio. La razón de ser de Magerit está implica la generalización del uso de
los medios electrónicos, informáticos y telemáticos recursos de gran
importancia en una sociedad. El análisis de riesgos se ha consolidado como
paso necesario para la gestión de la seguridad.
Tener pleno conocimiento de los riesgos a los que pueden estar sometidos los
sistemas de información con los que se trabaja es esencial para poder tener
una correcta administración y por este motivo existen gran cantidad de
documentación para la realización del análisis y gestión de riesgos,
aproximaciones metódicas y herramientas de soporte.
Se puede realizar un análisis desde diferentes puntos a los riesgos que pueden
llegar a soportar un sistema TIC. Todos buscan establecer un nivel de riesgo
para saber qué tan vulnerables pueden llegar a estar los recursos tecnológicos
en la compañía.
El gran reto de todas estas aproximaciones es la complejidad del problema al
22
que se enfrentan; complejidad en el sentido de que hay muchos elementos que
considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es
por ello que en Magerit se persigue una aproximación metódica que no deje
lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Magerit busca los siguientes objetivos:
De Manera Directa:
1. Concientizar a los responsables de los sistemas de información de la
existencia de riesgos en los procesos y de la necesidad de atacarlos
para evitar pérdidas.
2. Ofrecer un método sistemático para analizar el nivel de riesgo al que se
puede estar sometido
3. Ayudar a crear y planificar medidas que permitan tener los riesgos que
se puedan presentar bajo control.
De manera Indirecta:
Preparar a la organización dado el caso que se presenten procesos de
evaluación, certificación, auditoría y acreditación.
A su vez se ha buscado dar sentido a la gestión documental que permite
recoger los hallazgos y las conclusiones de un proyecto de análisis y gestión de
riesgos como él se puede llegar a implementar en las empresas de mensajería.
Teniendo en cuenta las actividades de análisis y gestión de riesgos:
● Modelo de valor: Caracterización del valor que representan los activos
para la Organización, así como de las dependencias entre los diferentes
activos.
● Mapa de riesgos: Relación de las amenazas a que están expuestos los
activos. Declaración de aplicabilidad. Para un conjunto de salvaguardas,
se indica sin son de aplicación en el sistema de información bajo estudio
o si, por el contrario, carecen de sentido.
● Evaluación de salvaguardas: Evaluación de la eficacia de las
salvaguardas existentes en relación al riesgo que afrontan. Estado de
23
riesgo: Caracterización de los activos por su riesgo residual; es decir,
por lo que puede pasar tomando en consideración las salvaguardas
desplegadas.
● Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que
aparecen como oportunas para reducir los riesgos sobre el sistema. Es
decir, recoge las vulnerabilidades del sistema, entendidas como puntos
débilmente protegidos por los que las amenazas podrían materializarse.
● Cumplimiento de normatividad: Satisfacción de unos requisitos.
Declaración de que se ajusta y es conforme a la normativa
correspondiente.
Plan de seguridad: Conjunto de proyectos de seguridad que permiten
materializar las decisiones de tratamiento de riesgos.
● Análisis de Vulnerabilidades, Amenazas y riesgos a nivel informático.
24
1.10. ALCANCES Y DELIMITACIONES
1.10.1. ALCANCE
El alcance del presente proyecto incluye el diseño de un Sistema de gestión de
Seguridad de la Información enfocado a las empresas dedicadas a la
mensajería en el país, siendo Apoyo Logístico en Mensajería la empresa
Modelo y en la cual se propondrá tener una planeación inicial de la aplicación
del proyecto en la compañía.
1.10.2. DELIMITACIONES
1.10.2.1. Técnica
no se tiene en cuenta la fase de implementación, mantenimiento y la mejora.
Pero se entregará toda la documentación para la puesta en marcha del SGSI.
1.10.2.2. Tiempo
Se tiene una proyección de tiempo de (7) meses a partir del mes de mayo del
2017.
1.10.2.3. Geográfica
El proyecto se realizará en las instalaciones de Apoyo Logístico en Mensajería
y la universidad Distrital Francisco José de Caldas en la ciudad de Bogotá.
1.11. FACTIBILIDAD
1.11.1. FACTIBILIDAD TÉCNICA
El presente proyecto requiere experiencia y conocimientos adquiridos durante
el proceso de formación profesional como ingeniero en telemática y las tutorías
acordadas entre el jurado del proyecto, docente tutor y los estudiantes del
proyecto de grado: SGSI, Normas ISO/IEC 27000, metodología Magerit y ciclo
PHVA.
Los recursos técnicos implementados en el proyecto son los siguientes:
25
HARDWARE:
● Portátil HP envy 14 Notebook pc
● Procesador Intel Core i5 a 1.70 GHZ
● Memoria RAM Mínima de 4 Gb
● Disco Duro de 500 Gb
● Tarjeta de red LAN Gigabit
SOFTWARE
● Dominios de Internet y alojamiento WEB.
● Servidor de aplicaciones Apache Tomcat
● Paquete de Herramientas Office 2016
1.11.2. FACTIBILIDAD DE OPERACIONES
El recurso humano con el que se cuenta para el desarrollo de este proyecto es
el siguiente:
Estudiantes de la Universidad distrital en Ingeniería en telemática.
● Ana Luisa Villamil Martin
● Francisco Leonardo Miranda Rodríguez
Director del Proyecto
● Miguel Ángel Leguizamón Páez
Representante de Apoyo logístico en mensajería ALM
● José Antonio Montañez Orbes
26
1.11.3. FACTIBILIDAD ECONÓMICA
Para el presupuesto planeado a utilizar, se realizó una cuantificación de los recursos técnicos y de recurso humano necesarios para el desarrollo de la futura implementación. Teniendo claridad de estos recursos se podrá realizar el análisis costo-beneficio del SGSI, de esta forma determinar si es factible el desarrollo del proyecto. A continuación, se describe los costos del recurso necesario para el desarrollo del Sistema de Gestión de Seguridad en la Información:
RECURSOS MATERIALES
DETALLE CANTIDAD VALOR INDIVIDUAL TOTAL
Computadores 2 $1.000.000 $2.000.000
Impresora 1 $800.000 $800.000
Papelería y medios digitales $100.000
Transporte $2.000 $250.000
Sala de Reunión para 5 personas 1 cada 15
días
Total Recursos Materiales $2.000.000 $3.150.000
RECURSOS HUMANOS
DETALLE CANTIDAD VALOR INDIVIDUAL TOTAL
Coordinadores 1
Docentes de medio tiempo 1
Consultorías externas 3 $400.000 $1.200.000
Practicantes 2
Asesorías 5 $144.000 $7.200.000
Total Recursos Humanos $544.000 $8.400.000
Total General $2.544.000 $11.550.000
Tabla 1. Factibilidad Económica
Fuente: autores
27
1.12. CRONOGRAMA
Figura 01. Cronograma
28
2. ANÁLISIS DE LA SITUACIÓN ACTUAL
Se tomará como caso estudio para el análisis de la situación actual a la
empresa APOYO LOGISTICO EN MENSAJERIA (ALM), entidad dedicada al
manejo integral en servicios de mensajería express y distribución personalizada
de productos. Opera en el mercado colombiano desde el año 2009
ALM es una compañía integral en servicios de mensajería express y
distribución personalizada de productos; ofreciendo una gestión documental y
ejecución logística con altos estándares de calidad, que satisfacen los
requerimientos de información, tiempo y recursos para sus clientes.
Cuenta con licencia del Ministerio de las Comunicaciones y Tecnologías de la
Información No 002701, para la prestación de los Servicios de Mensajería
Express a nivel Urbano y Nacional.
MISION
Brindar servicios con altos índices de calidad y productividad a nuestros
clientes ofreciendo un apoyo logístico personalizado, con soluciones reales,
rápidas, efectivas, económicas y confiables; soportado en un equipo humano
emprendedor, calificado, eficiente y comprometido.
VISION
Queremos posicionarnos como la empresa líder en procesos informáticos que
garantiza a sus clientes la totalidad de la información, soluciones y efectividad
de sus envíos para Colombia y el Mundo.
POLITICAS DE CALIDAD
Controlar el proceso logístico de todos los envíos logrando que los clientes
conozcan plenamente el desarrollo del proceso, brindando tranquilidad y
satisfacción, con estándares de calidad, minimizando tiempos, costos y
valiéndonos de recursos como el talento humano, la productividad, seguridad y
ética siendo una compañía competitiva y en crecimiento.
29
OBJETIVO PRINCIPAL
Nuestro objeto social principal, es la prestación de servicios postales,
incluyendo la Recepción, Clasificación y Entrega de envíos de correspondencia
y otros objetos postales y demás actividades inherentes a la Mensajería
Express.
Contamos con tecnología de punta, aplicada a cada uno de nuestros procesos,
logrando de ésta forma el control total de la operación, llevando a su vez el
registro y reporte de los diferentes eventos que se llevan a cabo dentro de los
mismos, permitiendo que nuestros clientes puedan a través de la página Web,
consultar la trazabilidad y estado de cada uno de sus envíos.
Adicionalmente, disponemos del recurso humano con el perfil necesario y con
la capacitación requerida, para el óptimo desarrollo de sus funciones, así como
la infraestructura locativa, administrativa y operativa, que nos permite
garantizar el óptimo manejo de sus envíos, con la eficiencia, celeridad y
seguridad requerida.
2.1. Aspecto Comercial
Las empresas de mensajería en el país centran principalmente su labor en la
gestión logística de correspondencia personal como por ejemplo cartas,
facturas de servicios públicos, tarjetas de crédito de entidades financieras, tales
como Bancolombia y Banco de Bogotá, publicidad para empresas como Villa
Romana, Renault, entre otras y últimamente el manejo de bases de datos con
gran cantidad de información, con la cual se realizan campañas de
telemercadeo por medio de oficinas de Call Center.
2.2. Manejo de la Seguridad
El manejo de la seguridad a nivel tecnológico presenta varios puntos en los
cuales el nivel de ataques informáticos es alto, todo esto debido a que no se
cuenta con la aplicación de un sistema que apoye el manejo y debida gestión
de los riesgos, encontrando que en muchos casos la infraestructura no se
30
encuentra adaptada para mitigar esas falencias. Existen diferentes tipos de
riesgos en las empresas de mensajería, por lo cual se va a tener en cuenta las
principales fallas para de esta forma aplicar un tratamiento adecuado.
Un aspecto importante en el manejo de la seguridad de la información es
generar conciencia, sentido de pertenencia por la empresa y el conocimiento
de las políticas de seguridad por parte de los funcionarios, ya que no se le
presta la debida importancia a la protección de la información.
Empresas como Apoyo Logístico En Mensajería requieren gestionar la
seguridad de sus activos con la finalidad de que estos sean accesibles sólo por
personal autorizado, manejando roles y controles de acceso. La empresa no
cuenta con una metodología para la identificación y clasificación de sus activos
de información ni para la valoración y tratamiento de riesgos de seguridad, lo
que implica, que no cuenta con una visión global del estado de su seguridad.
2.3. Diagnóstico de la situación actual
Dado el análisis previo del nivel de seguridad en la compañía y la identificación
de amenazas que pueden afectar a los activos, se puede evidenciar de la
siguiente forma:
PROBLEMA FACTOR
No se cuenta con políticas enfocadas a la seguridad de la información y que vayan de la mano con un enfoque del negocio
•Áreas como la gerencia y el departamento de IT de las empresas no han definido unas políticas de seguridad. • No se encuentran distribuidas ni debidamente asignadas las funciones encargadas de la gestión de seguridad informática y seguridad de la información.
No se tiene implementado un modelo para la gestión de riesgos presentes en la compañía.
•No hay una cuantificación exacta de los riesgos de seguridad de los activos de la información.
31
PROBLEMA FACTOR
•Como no se tiene un análisis global de la situación de seguridad de la empresa, no se tiene presente las vulnerabilidades presentes. •No se ha realizado una clasificación de los activos para determinar los controles adecuados.
Falta de Cultura de seguridad de la información
● Falta de entendimiento del nivel de compromiso y toma de conciencia de la importancia de la seguridad de los activos por parte de los empleados.
● No se aplican prácticas de mejoramiento constante de las políticas de seguridad.
● No Se tiene sentido de pertenencia por la compañía.
No se encuentra con la infraestructura adecuada
● Existen falencias en la corriente eléctrica de las instalaciones
● No se cuenta con el debido aislamiento del cableado de datos /eléctrico
● La seguridad de ingreso al data center es nula
Seguridad acceso a la información en los repositorios físicos, y en la nube
● No se cuenta con una política de privilegios para los usuarios que manejan la base de datos
● El cifrado de contraseñas que se usa es muy simple
● La mayoría de equipos no tienen configurada la contraseña de acceso.
● Los backups se encuentran en un lugar de fácil acceso para cualquier personal
Tabla 2. Diagnóstico de la situación actual
Fuente: autores
32
3. IDENTIFICACIÓN DE ACTIVOS
La norma ISO27001 dice que todos los activos de información deben ser identificados
de una forma clara y se tiene que realizar y mantener un inventario en el que
aparezcan todos los activos de información importantes.
Una empresa tiene que tener identificados todos sus activos y documentados en
función de su importancia. El inventario de activos tiene que incluir toda la información
que resulte necesaria con el fin de recuperarse ante un desastre, en que se incluya el
tipo de activo, el formato, la ubicación, la información de respaldo. El inventario de
activos no puede ser duplicado sin necesidad, pero debe estar completamente seguro
de que el contenido se encuentra alineado a otros inventarios.
Los responsables de los activos y la clasificación de la información tienen que ser
aceptada y documentada para cada uno de los activos de información. Basados en la
importancia del activo para mejorar su valor dentro del negocio y clasificarlos según la
seguridad que necesiten, se debe realizar una clasificación según los niveles de
protección necesarios en función de la importancia de cada activo.
3.1. Identificación De Los Activos Presentes En Las Empresas De
Mensajería
Los activos se definen como los recursos más importantes para que la
compañía mantenga su curso y manejo de la información, todo esto de la mano
de una correcta administración y valoración de los mismos, lo cual permitirá
cumplir los objetivos, misión y visión de una empresa.
El principal activo de toda compañía es su información, puesto que de ella
depende el “Core del negocio”, para el correcto manejo de la misma, se pueden
identificar activos que ayuden a la gestión de la información.
Para Apoyo Logístico en Mensajería (ALM), se identificaron los siguientes
activos:
● Recurso humano: Mensajeros, analistas de datos, ingenieros, gestión
humana, área operativa, servicio al cliente, call center, área financiera,
gerencias y presidencia.
33
● Data Center y equipos de cómputo: Servidores, computadores de
escritorio, computadores portátiles, scanner, lectores de códigos de
barras, periféricos.
● Equipos de comunicaciones y flujo de información: Telefonía IP,
telefonía análoga, switches, routers, access point, y dispositivos
inalámbricos.
● Infraestructura: Cableado estructurado para redes eléctricas y datos
● Software y aplicativos: Todo lo relacionado con sistemas operativos,
software dedicado, motores de bases de datos, aplicativos de desarrollo
de software, pagina web y aplicativo local.
Teniendo en cuenta que la información es el activo más importante de la
compañía, se debe realizar una clasificación detallada, que depende del
tratamiento y la utilidad que se le dé a la misma, dentro de las empresas de
logística en mensajería. Que se puede describir de la siguiente manera:
● Información comercial: Datos de cada cliente, distribuidor y proveedor.
● Banco de datos para realizar las campañas de telemercadeo.
● Bases de datos relacionados con la correspondencia, distribución y tipo
de producto.
● Información relacionada con los datos personales de los empleados.
● Documentación referente a los manuales de uso y configuración de
activos.
● Documentación referente a los manuales de procesos internos de la
compañía.
34
● Documentación respectiva el desarrollo de software dedicado de uso
exclusivo en la compañía (manuales de implementación, instalación,
manejo del software y código fuente)
● Información financiera
Para el buen manejo de dicha información es necesario realizar un tratamiento
a los datos, teniendo en cuenta su nivel de confidencialidad. Para lo cual se
debe tener en cuenta:
● Valor monetario de la información
● Utilidad
● Usabilidad
● Confidencialidad
3.2. Análisis de Activos de Apoyo Logístico en Mensajería
Información y Bases de Datos:
Teniendo en cuenta que la información es el activo más importante, ya que
dependiendo del flujo y el tratamiento que se le dé a la misma, que pueden
influir toma de decisiones definiendo estrategias a nivel comercial las cuales
pueden elevar los niveles de productividad, esta información se puede clasificar
de la siguiente forma.
- Información de recurso humano: relacionada con los empleados de la
compañía.
- Información financiera: hace referencia a los datos bancarios, estados
de cuenta, bienes de la compañía, escrituras, contratos y escalas
salariales de los empleados. Información que debe ser tratada con la
mayor confidencialidad.
- Información de Clientes: es la relacionada con los contratos y
condiciones de servicio acordadas entre ALM y sus clientes, dentro de
muchos de estos contratos se manejan otro tipo de bases de datos.
35
- Información suministrada por los clientes en la que se encuentran
nombres y direcciones de envío a los clientes, así como números
de teléfono y correo electrónico para hacer campañas de
telemercadeo.
- Información de proveedores: estas bases de datos no tienen un nivel
de confidencialidad estricto.
- Información técnica de las bases de datos.
3.3. Servicios ofrecidos por ALM
Los servicios que ofrece una compañía permiten generar ingresos y utilidades,
dándole una correcta gestión, permiten a ALM ser un miembro activo a nivel
competitivo en el mercado de la Logística en Colombia.
● Servicios Especiales
● Mensajería Masiva
● Radicación Y Retorno De Documentos, Con Agendamiento De Cita
● Entrega Personalizada Con Agendamiento De Cita
● Servicios Internacionales
● Contact Center
● Servicios De Impresión
● Centro De Apoyo Externo (Counter In House)
● Notificación Judicial
3.4. Aplicativos Utilizados en ALM
Los aplicativos que se utilizan son de los activos más importantes en la
compañía porque permiten el flujo de la información y el tratamiento de la
misma dentro de la compañía importante para los procesos corporativos.
ALM PORTAL: Aplicativo web orientado al trabajo de cargue de envíos,
zonificación, planillas de mensajeros y consulta de guías de envíos. El
aplicativo está disponible para la sede principal y las sedes secundarias
(nodos).
ZEBRA: Aplicativo conectado a scanner para el cargue de las guías de envío,
que son constancia de entrega de los sobres o paquetes.
36
NOVASOFT: Aplicativo financiero licenciado, utilizado para administrar la base
de clientes, facturas, nomina, y la contabilidad en general.
MICROSOFT OFFICE: Paquete de office licenciado, enfocado en aplicativos de
ofimática, hojas de cálculo y procesador de texto.
SOFTPHONE: Software utilizado para realizar las llamadas de campañas en el
Call Center.
RECURSOS DE INTRANET
RECURSOS HUMANOS: Aplicación de red local en la cual se
almacenaban los datos de los empleados y asignaban un código, el cual
se imprime en el carnet y permite registrar la hora de entrada y salida a
las oficinas.
CALL CENTER: Aplicación de red local encargada de proporcionar el
listado de números telefónicos a los cuales se debía llamar, creación y
configuración de campañas con el diálogo respectivo a relatar durante la
llamada.
SOFTWARE OPERATIVO:
Es el software técnico, encargado de la gestión lógica de la información.
SQL Server: Es un sistema de manejo de bases de datos del modelo
relacional, Puede ser configurado para utilizar varias instancias en el mismo
servidor físico, la primera instalación lleva generalmente el nombre del servidor.
MySql: Es un sistema de gestión de bases de datos relacional desarrollado
bajo licencia dual que tradicionalmente se considera uno de los cuatro
componentes de la pila de desarrollo LAMP y WAMP.
Apache: es un servidor web HTTP de código abierto, para plataformas Unix
(BSD, GNU/Linux, etc.), Microsoft Windows, Macintosh y otras, que implementa
el protocolo HTTP/1.12 y la noción de sitio virtual.
37
ASTERIX: Servicio encargado de la gestión y administración de extensiones
internas, llamadas locales, nacionales, registro y grabación de llamadas,
reportes de seguimiento a las campañas de call center.
Suministros e Infraestructura: Los suministros son parte esencial en la parte
operativa de la compañía, ya que permite a los empleados la realización de sus
labores diarios.
● Servidor de Bases de Datos.
● Servidor de gestión de llamadas
● Servidor de Aplicativos Web.
● Impresoras láser.
● Fotocopiadoras multifuncionales.
● Scanner.
● Computadoras.
● Switches.
● Lectores de códigos de barras.
● Red de área local (LAN).
● Firewall.
● UPs y sistemas de relevo de energía
● Periféricos (Cámaras).
3.5. Valoración De Activos
Si no se tiene una verificación de la importancia de los activos en empresas de
mensajería, el concepto de valor de los mismos se estaría dejando a un lado lo
cual es importante para definir el tratamiento que se les debe dar.
Realizando un análisis de los principales criterios a tener en cuenta a la hora de
realizar una valoración de los activos en las empresas de mensajería para su
protección de los diversos tipos de amenazas a los que puedan estar
expuestos.
38
Dependiendo de la importancia de los activos en la compañía los activos llegan
a tener una valoración distinta, dado que el uso que se le dé a al mismo
también define su valor
Para esta fase se sugiere a empresas de mensajería en este caso ALM
implementen Metodología Magerit ya que define dos tipos de valoraciones,
cualitativa y cuantitativa.
Cualitativa: para este caso se calcula el valor del activo por medio de una
escala en la cual se valora el mismo con base al impacto que pueda causar en
la empresa en el caso de que falte o se dañe.
Cuantitativa: este se relaciona más a la cantidad numérica del tipo de activo.
paralelo a este análisis de valoración se tienen en cuenta características y
atributos que le dan importancia a un activo, para de esta forma realizar un
análisis de las consecuencias en caso que se materialice una amenaza.
Teniendo en cuenta estos criterios se sugiere que las empresas de mensajería
en general y para este caso en Apoyo Logístico en Mensajería, tengan en
cuenta los siguientes factores para realizar la valoración de los activos:
● Disponibilidad: Disposición de los servicios a ser usados cuando sea
necesario. La carencia de disponibilidad supone una interrupción del
servicio. La disponibilidad afecta directamente a la productividad de las
organizaciones.
● Integridad: Mantenimiento de las características de completitud y
corrección de los datos. Contra la integridad, la información puede
aparecer manipulada, corrupta o incompleta. La integridad afecta
directamente al correcto desempeño de las funciones de una
Organización.
39
● Confidencialidad: Que la información llegue solamente a las personas
autorizadas. Contra la confidencialidad o secreto pueden darse fugas y
filtraciones de información, así como accesos no autorizados. La
confidencialidad es una propiedad de difícil recuperación, pudiendo
minar la confianza de los demás en la organización que no es diligente
en el mantenimiento del secreto, y pudiendo suponer el incumplimiento
de leyes y compromisos contractuales relativos a la custodia de los
datos.
Para la empresa ALM se sugiere una escala de valoración, de fácil
entendimiento, usando un rango de 0 a 10.
ESCALA VALOR CRITERIO
10 Muy Alto Daño muy grave a la organización.
7-9 Alto Daño grave a la organización
4-6 Medio Daño importante a la organización.
1-3 Bajo Daño menor a la organización.
0 Ninguno Irrelevante a efectos prácticos.
Tabla 3. Escala de valoración
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de
Análisis y Gestión de Riesgos de los Sistemas de Información - Libro II - Catálogo de
Elementos. Madrid, España, octubre de 2012. Edita Ministerio de Hacienda y Administraciones
Públicas
40
La siguiente mostrará la forma en que se puede realizar una clasificación de
criterios dependiendo del área en el cual ese activo es parte principal de la
operación en las empresas de mensajería.
Identificador Nombre
olm Operaciones
Si Seguridad
lpo Obligaciones Legales
cei Intereses Comerciales o económicos
da Interrupción del Servicio
lg Pérdida de Confianza (reputación)
lbl Información Clasificada
Adm Administración y gestión
Pi Información de carácter personal
Disp Disponibilidad
crm Persecución de delitos
rto Tiempo de Recuperación del servicio
Tabla 4. Listado de tipo de activo
Fuente: autores
41
Luego de tener una escala de valoración y unos criterios que permiten clasificar
el área que puede afectar en la operación, se define de cada tipo de activo los
posibles tipos de riesgo clasificados en la escala de valoración sugerido por la
metodología MAGERIT.
NIVEL CRITERIO
10
si
si Probablemente sea causa de un incidente
excepcionalmente serio de seguridad o dificulte la
investigación de incidentes excepcionalmente serios
olm olm Probablemente cause un daño excepcionalmente serio
a la eficacia o seguridad de la misión operativa o logística
lbl lbl Secreto
9
lpo lro probablemente cause un incumplimiento
excepcionalmente grave de una ley o regulación
si si probablemente sea causa de un serio incidente de
seguridad o dificulte la investigación de incidentes serios
cei cei.a de enorme interés para la competencia
cei cei.c causa de pérdidas económicas excepcionalmente
elevadas
cei cei.d causa de muy significativas ganancias o ventajas para
individuos u organizaciones
cei
cei.e constituye un incumplimiento excepcionalmente grave
de las obligaciones contractuales relativas a la seguridad de
la información proporcionada por terceros
da
da Probablemente cause una interrupción excepcionalmente
seria de las actividades propias de la Organización con un
serio impacto en otras organizaciones
da da2 Probablemente tenga un serio impacto en otras
organizaciones
olm olm Probablemente cause un daño serio a la eficacia o
seguridad de la misión operativa o logística
42
NIVEL CRITERIO
adm adm probablemente impediría seriamente la operación
efectiva de la Organización, pudiendo llegar a su cierre
lg
lg.a Probablemente causaría una publicidad negativa
generalizada por afectar de forma excepcionalmente grave
a las relaciones a las relaciones con otras organizaciones
lbl lbl Reservado
8 crm
crm Impida la investigación de delitos graves o facilite su
comisión
lbl lbl Confidencial
7
lpo lro probablemente cause un incumplimiento grave de una
ley o regulación
si si probablemente sea causa de un grave incidente de
seguridad o dificulte la investigación de incidentes graves
cei cei.b de elevado valor comercial
cei cei.d proporciona ganancias o ventajas desmedidas a
individuos u organizaciones
cei
cei.e constituye un serio incumplimiento de obligaciones
contractuales relativas a la seguridad de la información
proporcionada por terceros
da
da Probablemente cause una interrupción seria de las
actividades propias de la Organización con un impacto
significativo en otras organizaciones
olm olm Probablemente perjudique la eficacia o seguridad de la
misión operativa o logística
adm adm probablemente impediría la operación efectiva de la
Organización
alg
lg.a Probablemente causaría una publicidad negativa
generalizada por afectar gravemente a las relaciones con
otras organizaciones
rto rto RTO < 4 horas
43
NIVEL CRITERIO
6
pi pi1 probablemente afecte gravemente a un grupo de
individuos
pi pi2 probablemente quebrante seriamente la ley o algún
reglamento de protección de información personal
lbl lbl Difusión limitada
5
plo lro probablemente sea causa de incumplimiento de una ley
o regulación
da
da Probablemente cause la interrupción de actividades
propias de la Organización con impacto en otras
organizaciones
olm olm Probablemente merme la eficacia o seguridad de la
misión operativa o logística más allá del ámbito local
adm adm probablemente impediría la operación efectiva de más
de una parte de la Organización
lg
lg.a Probablemente sea causa una cierta publicidad
negativa por afectar negativamente a las relaciones con
otras organizaciones
4
pi pi1 probablemente afecte a un grupo de individuos
crm crm Dificulte la investigación o facilite la comisión de delitos
rto rto 4 horas < RTO < 1 día
lbl lbl Difusión limitada
3
pi pi1 probablemente afecte a un individuo
lpo lro probablemente sea causa de incumplimiento leve o
técnico de una ley o regulación
cei cei.b de cierto valor comercial
cei
cei.e constituye un incumplimiento leve de obligaciones
contractuales para mantener la seguridad de la información
proporcionada por terceros
da da Probablemente cause la interrupción de actividades
44
NIVEL CRITERIO
propias de la Organización
olm olm Probablemente merme la eficacia o seguridad de la
misión operativa o logística (alcance local)
adm olm Probablemente merme la eficacia o seguridad de la
misión operativa o logística (alcance local)
lg lg Probablemente afecte negativamente a las relaciones
internas de la Organización
2
cei cei.b de bajo valor comercial
lg lg Probablemente cause una pérdida menor de la confianza
dentro de la Organización
lbl lbl Sin clasificar
1
lpo lro pudiera causar el incumplimiento leve o técnico de una
ley o regulación
si si pudiera causar una merma en la seguridad o dificultar la
investigación de un incidente
cei cei.b de pequeño valor comercial
da da Pudiera causar la interrupción de actividades propias de
la Organización
olm olm Pudiera mermar la eficacia o seguridad de la misión
operativa o logística (alcance local)
adm adm pudiera impedir la operación efectiva de una parte de la
Organización.
lg lg Pudiera causar una pérdida menor de la confianza dentro
de la Organización
rto rto 1 día < RTO < 5 días
Tabla 5. Relación de escalas y valoraciones con base a las necesidades generales de empresas de
mensajería.
Fuente: autores
45
Teniendo identificados los activos de ALM, se puede realizar una valoración de
los mismos, los activos con mayor valoración son pilares importantes de la
empresa y hacen parte del enfoque de negocio, distribuidos de la siguiente
forma.
ACTIVO Disponibilidad Integridad Confidencialidad
Valor Criterio Valor Criterio Valor Criterio
Alm portal 9 [da] 7 [olm],[cei.a]
8 [lbl]
Zebra 10 [da] 8 [olm],[cei.a]
9 [lbl]
Novasoft 11 [da] 9 [olm],[cei.a]
10 [lbl]
Microsoft office 9 [adm] 7 [olm] 8 [lbl]
Softphone 9 [adm] 7 [olm] 8 [lbl]
Recursos de intranet
9 [adm] 7 [olm] 8 [lbl]
Sql server 7 [da],[si] 6 [pi.b] 8 [lbl]
MySql 7 [da],[si] 6 [pi.b] 8 [lbl]
Apache 7 [da],[si] 6 [pi.b] 8 [lbl]
Asterix 9 [da],[olm]
9 [si] 8 [lbl]
Servidor de Bases de Datos.
9 [da],[olm]
9 [si] 8 [lbl]
Servidor de gestión de llamadas
9 [da],[olm]
9 [si] 8 [lbl]
Servidor de Aplicativos Web.
9 [da],[olm]
9 [si] 8 [lbl]
Impresoras láser. 3 [da] 2 [pi.a] 3 [olm]
Fotocopiadoras multifuncionales.
3 [da] 2 [pi.a] 3 [olm]
Scanner. 3 [da] 2 [pi.a] 3 [olm]
46
ACTIVO Disponibilidad Integridad Confidencialidad
Valor Criterio Valor Criterio Valor Criterio
Computadoras. 9 [adm],[da]
4 [pi.a] 5 [da.a],[pi.a]
Switches. 7 [adm] 7 [si] 7 [lg.b]
Lectores de códigos de barras.
3 [da] 2 [pi.a] 3 [olm]
Red de área local (LAN).
9 [da] 7 [olm] 8 [lbl]
Firewall. 9 [adm] 7 [olm] 8 [lbl]
UPs y sistemas de relevo de energía
9 [adm],[da]
4 [pi.a] 5 [da.a],[pi.a]
Periféricos (Cámaras).
9 [adm],[da]
4 [pi.a] 5 [da.a],[pi.a]
Tabla 6. Relación de escalas
Fuente: autores
3.5.1. Identificación e importancia de las Vulnerabilidades
Después de tener una identificación de todos los activos, se debe determinar
las falencias y debilidades que tiene los mismos y que llegarían a ser
materializados y convertirse en amenazas. para esto se debe realizar una
clasificación de la frecuencia con la que pueden ocurrir estos eventos, para de
esta forma darles un correcto tratamiento y tomar medidas correctivas en el
menor tiempo posible.
PROBABILIDAD FRECUENCIA VALOR
Muy Frecuente (MF) Diario Critico
Frecuente (F) Semanal / Mensual Alto
Frecuencia Normal (FN)
Anual Medio
Poco Frecuente (PF)
Relativo / no se tiene evidencia de un comportamiento
dependiendo de la época
Bajo
Tabla 7. Evaluación de vulnerabilidades
Fuente: autores
47
Por otro lado, las vulnerabilidades se les debe dar valor y su respectiva
priorización, por lo que se debe hacer una descripción puntual de los criterios y
la frecuencia con la que pueden ocurrir, se sugiere realizar una reunión con los
principales
departamentos de la compañía en este caso ALM (Apoyo Logístico en
Mensajería), de esto modo se puede clasificar las vulnerabilidades para las
empresas de mensajería de la siguiente forma:
3.5.1.1. Infraestructura.
En esta área se puede ver afectada la operación debido a falencias que se
pueden encontrar en las edificaciones de la empresa, puntos de acceso y
puntos eléctricos.
Vulnerabilidad Probabilidad de ocurrencia -
Valoración
Caída repentina de
corriente
PF - Bajo
Falla en las cámaras de
seguridad
FN - Medio
Fallas en cerrajería y
puertas con llave
PF - Bajo
Rupturas en canaletas
de datos y corriente
F - Frecuente
Inundaciones PF - Bajo
Controles de Acceso a
instalaciones
FN - Medio
Tabla 8. Relación de escalas
Fuente: autores
48
3.5.1.2. Financiera
Vulnerabilidades en el análisis hecho por el área financiera, donde se ve
principalmente que estas vulnerabilidades pueden llegar a materializarse.
Vulnerabilidad Probabilidad de ocurrencia -
Valoración
Error en pago de
salarios
F - Frecuente
Fallas en aplicativos F - Frecuente
Caída del internet al
momento de los pagos
FN - Medio
Tabla 9. Vulnerabilidades en el análisis hecho por el área financiera
Fuente: autores
49
3.5.1.3. Prestación en el Servicio
Durante la operación se podían presentar frecuentemente problemas en todas
las áreas de la compañía.
Vulnerabilidad Probabilidad de ocurrencia - Valoración
No se lleva un control del versionamiento de
los aplicativos
PF - Bajo
No se tienen protocolos para las
contraseñas (Caracteres especiales,
Mayúsculas, números)
F – Alto
No todos los equipos cuentan con Software de protección contra
Malware y virus
FN - Medio
Solicitud de Cambio periódico de contraseñas
FN - Medio
interface de los aplicativos no es
intuitiva y presenta problemas de acceso
PF - Bajo
Presenta caídas del servicio, por problemas
de red
FN - Medio
No se tiene controles por medio de roles para los aplicativos
F – Alto
Incompatibilidad de los equipos de cómputo con los aplicativos de
la entidad
PF - Bajo
Tabla 10. Prestación en el Servicio
Fuente: autores
50
3.5.1.4. Operación A nivel de la entrega de la correspondencia.
Uno de los principales puntos a atender por parte de ALM es el manejo de uno
de los activos principales es el manejo de la correspondencia.
Vulnerabilidad Probabilidad de ocurrencia - Valoración
Los sobres no tiene la dirección de destino
FN - Medio
La etiqueta es débil y se cae
F – Alto
No se lleva un registro de la ruta que debe cumplir el
mensajero
FN - Medio
Se presentan perdidas de correspondencia durante la
ruta del mensajero
FN - Medio
Algunos mensajeros no registran sus actividades
diarias
PF - Bajo
No se zonifica de manera correcta la correspondencia
lo cual puede generar demoras en la entrega y prestación del servicio
FN - Medio
Entrega de correspondencia en direcciones erradas
F – Alto
Tabla 11. Operación A nivel de la entrega de la correspondencia
Fuente: autores
51
3.5.1.5. Equipos Informáticos
Todas las vulnerabilidades relacionadas con los equipos tecnológicos de la
empresa.
Vulnerabilidad Probabilidad de ocurrencia -
Valoración
Protección y
aseguramiento de equipos
FN - Medio
no Desastres Naturales PF - Bajo
Dotación de Extintores en
caso de incendio en cuarto
de comunicaciones
PF - Bajo
Capacidad para sostener
la operación a nivel
tecnológico
FN - Medio
Controles de acceso y
puertas de seguridad a
cuartos de
comunicaciones
PF - Bajo
Abastecimiento del
adecuado del suministro
de corriente eléctrica
FN - Medio
Ataques terroristas PF - Bajo
Tabla 12. Equipos Informáticos
Fuente: autores
52
3.5.1.6. Comunicaciones
Relacionado Con las Comunicaciones de la compañía y la transferencia de
datos
Vulnerabilidad Probabilidad de ocurrencia -
Valoración
Falta de separación de las redes
eléctricas y redes de
comunicaciones
PF - Bajo
Fallos en cámaras de seguridad y no
se tiene cobertura total, presentando
puntos ciegos en la visión de video
FN - Medio
Transferencia de Datos de manera
inadecuada
MF - Alto
No se cuenta con una capacidad de
red a nivel de infraestructura y
lógico, que subsane las necesidades
de la compañía
FN - Medio
Protección inadecuada de la
información en la red
FN - Medio
Administración errónea de la red PF - Bajo
Tabla 13. Comunicaciones
Fuente: autores
53
3.5.1.7. Manejo De personal
En esta tabla se relacionan todas las vulnerabilidades encontradas en las
reuniones en las que se trató el manejo del personal y de los mismos
empleados en el manejo de la información.
Vulnerabilidad Probabilidad de ocurrencia -
Valoración
No se tiene capacitación adecuada al
personal
F - Alto
No se cuenta con la cantidad de
personal necesario para la operación
FN - Medio
Falta de Sentido de pertenencia por el
personal
FN - Medio
No se cuenta con un control
adecuado, ni filtros para la elección
de personal durante el proceso de
contratación
PF - Bajo
No se cuenta con políticas de
seguridad, ni manuales de
procedimiento
F - Alto
Falta de cumplimiento de las normas
o manuales de convivencia de la
compañía
FN - Medio
Conflictos entre empleados PF - Bajo
Suplantación de identidad FN - Medio
Falta de conciencia de la seguridad
que se debe tener con los datos
F - Alto
Tabla 14. Manejo De personal
Fuente: autores
54
3.5.1.8. Caracterización y valoración de las amenazas
Para esta fase se determina hasta qué punto el activo puede llegar a verse tan
afectado hasta el punto de degradarse, por lo cual se debe determinar en cifras
el valor que pierde un activo en caso de que se presenta una amenaza para el
análisis de riesgos de las empresas de mensajería y teniendo en cuenta la
metodología MAGERIT se sugiere apoyarse de los siguientes cuadros los
cuales permitirán tener claridad sobre la frecuencia en la que ocurren y la
degradación en la cual se puede ver afectado un activo.
- Degradación de las amenazas
VALOR CRITERIO ABREVIACIÓN
100 % Degradación MUY ALTA del activo MA
80 % Degradación ALTA considerable del activo A
50 % Degradación MEDIANA del activo M
10 % Degradación BAJA del activo B
1 % Degradación MUY BAJA del activo MB
Tabla 15. Degradación de Amenazas
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid, España, octubre de 2012. Edita
Ministerio de Hacienda y Administraciones Públicas
55
- Frecuencia de las Amenazas
VALOR FRECUENCIA ABREVIACIÓN CRITERIO
4 Muy Frecuente MF Diario
3 Frecuente F Mensualmente
2 Normal FN Una vez al año
1 Poco Frecuente PF Cada Varios
Años
Tabla 16. Frecuencia de Amenazas.
Fuente: Amutio, M. A. G., Candau J. & Mañas J. A. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información - Libro II - Catálogo de Elementos. Madrid, España, octubre de 2012. Edita
Ministerio de Hacienda y Administraciones Públicas
3.6. Identificación y valoración de las amenazas
● TIPO: Infraestructura
○ AM.1 Fuego: Se consideró de muy alto impacto, debido a que si
se materializa la amenaza afectaría de manera considerable las
instalaciones de la compañía y todos los activos que se
encuentren dentro de ella.
○ AM.2 Daños por Inundaciones: La degradación se consideró
como alta en disponibilidad y de poca frecuencia ya que las
instalaciones no sufren de afectaciones en sus tejados, ni
filtraciones o humedad.
○ AM.3 Desastres Naturales: Se puede llegar a presentar y la
disponibilidad de las instalaciones tendría un deterioro muy alto
ya que se puede presentar interrupción total o parcial en el
servicio.
○ AM.4 Daños estructurales: Se considera que afecta la
disponibilidad en un nivel Muy Alto porque las zonas comunes de
la compañía son lugares de trabajo.
56
AMENAZA FRECUENCIA DEGRADACION
AM.1 Fuego PF MA
AM.2 Daños Por Inundaciones PF MA
AM.3 Desastres Naturales PF MA
AM.4 Daños Estructurales FN MA
Tabla 17. Amenazas de Infraestructura
● TIPO: Financiera
○ AM.5 Pérdida de recibos de pago: Se considera que no tiene
gran afectación en los activos del área, pero se presenta de
manera frecuente, de esta forma recibos de pago que están
perdidos pueden ser vistos por personas sin la autorización
debida.
○ AM.6 Robo de cuentas bancarias: Se considera poco frecuente,
pero al momento de llegar a materializar la amenaza la afectación
del activo puede llegar a ser alta.
○ AM.7 Pérdida de dispositivos de pago: Activos como los micro
puntos son de suficiente importancia debido a que sin estos no se
puede realizar los pagos principalmente de nómina y
proveedores, dado el caso de que fallara o se perdiera el
dispositivo su degradación puede ser considerada alta, pero la
frecuencia de ocurrencia puede ser regular.
57
AMENAZA FRECUENCIA DEGRADACION
AM.5 Pérdida de recibos de
pago MF MB
AM.6 Robo de cuentas
bancarias PF MA
AM.7 Pérdida de dispositivos
de pago PF A
Tabla 18. Amenazas Financieras
Fuente: autores
● TIPO: Prestación del servicio
○ AM.8 Pérdida de los Tiquetes de clasificación de los sobres: la
frecuencia en la que se puede presentar casos como estos es
recurrente de manera regular, pero puede generar una
degradación alta de la correspondencia.
○ AM.9 Destrucción de información: Dado el caso de llegarse a
presentar esta amenaza se puede ver afectado de manera
considerable la Disponibilidad y la Confidencialidad, ya que según
la legislación colombiana se debe proteger la información de los
usuarios.
○ AM.10 Alteración de la correspondencia: Si se presente puede
afectar de manera considerable la información, pero se ha
mitigado de manera correcta esa amenaza.
58
AMENAZA FRECUENCIA DEGRADACION
AM.8 Pérdida de los Tiquetes de
clasificación de los sobres F A
AM.9 Destrucción de información PF MA
AM.10 Alteración de la
correspondencia FN M
Tabla 19. Amenazas de Prestación en el Servicio
Fuente: autores
● TIPO: Operación de mensajería
○ AM.11 Robo de la correspondencia a los mensajeros: Se pueden
llegar a presentar casos de manera mensual en que el mensajero
es asaltado y la correspondencia es robada, su nivel de
afectación en los activos es alta ya que la compañía debe tener la
responsabilidad legal de asegurar la integridad de la
correspondencia. F- A
○ AM.12 Entrega errada de la correspondencia certificada como
tarjetas de crédito: La amenaza puede llegar a ser frecuente, pero
se puede llegar a tener un correcto manejo de la gravedad dado
el caso que se materialice la amenaza F-M
AMENAZA FRECUENCIA DEGRADACION
AM.11 Robo de la
correspondencia a los
mensajeros
F A
AM.12 Entrega errada de la
correspondencia certificada
como tarjetas de crédito
F M
Tabla 20. Amenazas Operación de mensajería
Fuente: autores
59
● TIPO: Equipos Informáticos
○ AM.13 Errores de mantenimiento / actualización de equipos
(SOFTWARE): La disponibilidad por errores de mantenimiento o
actualización de equipos (software) es valorada como de una
afectación alta, ya que se puede presentar problemas debido a
que los tiempos de entrega son cortos por lo que la actualización
puede ser errónea.
○ AM.14 Acceso no Autorizado: La confidencialidad para este ítem
dentro del equipamiento informático es alto debido a que no se
tienen implementados normas estrictas de seguridad para el
acceso a los centros de datos.
○ AM.15 Manipulación de los equipos: Se considera que el grado de
degradación que se puede llegar a experimentar es alto en la
dimensión de confidencialidad especialmente en los equipos de
cómputo porque no se han tomado medidas de seguridad que
concienticen a los usuarios en el uso exclusivo del personal
contratado en la empresa y del uso de contraseñas
parametrizadas. Pudiendo dar pie a accesos no autorizados a
información y a extracción de partes hardware de los equipos
○ AM.16 Desastres Naturales (Incendios/ terremotos/
inundaciones): Se consideró de muy alto impacto en todas las
dimensiones (disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad) porque al llegarse a presentar un
desastre natural, se perdería todo el equipamiento informático
que es el soporte de los demás activos de información.
60
AMENAZA FRECUENCIA DEGRADACION
AM.13 Errores de mantenimiento /
actualización de equipos (SOFTWARE) FN A
AM.14 Acceso no Autorizado FN A
AM.15 Manipulación de los equipos FN A
AM.16 Desastres Naturales
(Incendios/terremotos/inundaciones) PF MA
Tabla 21. Amenazas en Equipos Informáticos
Fuente: autores
● TIPO: Comunicaciones
○ AM.17 Desastres Naturales: Al igual que en los recursos
informáticos, al materializarse la amenaza, presentaría una
paralización total del servicio generando grandes pérdidas.
○ AM.18 Falla en el cableado o configuración lógica de la red: en
caso de materializarse la falla afectaría de manera considerable la
disponibilidad del servicio, puede ser generado por daños por uso
y tiempo o por una mala instalación e implementación de la red
cableada.
○ AM.19 Alteración en la parametrización de la red: El nivel de
riesgo de esta amenaza puede ser tratada como errores de
administración. FN-A
○ AM.20 Fallo general en las comunicaciones: Este activo se puede
clasificar como de gran afectación y su disponibilidad se puede
ver seriamente afectada, ya que los servicios de internet ayudan
al correcto transporte de la información en ALM.
61
AMENAZA FRECUENCIA DEGRADACION
AM.17 Desastres Naturales PF MA
AM.18 Falla en el cableado o configuración
lógica de la red PN MA
AM.19 Alteración en la parametrización de la
red PF A
AM.20 Fallo general en las comunicaciones PF A
Tabla 22. Amenazas en Comunicaciones
Fuente: autores
● TIPO: Personal
○ AM.21 Alteración de la información: Se puede materializar la
amenaza de con consentimiento o sin consentimiento, presente
por la falta de conocimiento del flujo de la información de la
compañía, todo esto se puede presentar defectos en las
capacitaciones a los empleados, problemas de comunicación de
los empleados. Las capacitaciones a los nuevos empleados
nunca se han realizado de manera organizada, por los que
algunas fallas pueden ser inminentes.
○ AM.22 Fallas como organización: esta amenaza se materializa en
el caso de que no se cuenta con el personal idóneo y suficiente
para la implementación del sistema de gestión de seguridad de la
información.
AMENAZA FRECUENCIA DEGRADACION
AM.21 Alteración de la información FN A
AM.22 Fallas como organización FN A
Tabla 23. Amenazas en el Personal
Fuente: autores
62
3.7. Riesgos
en consenso con Apoyo logístico en mensajería se realizó análisis de los
riesgos presentes en la compañía teniendo en cuenta las consecuencias que
podrían presentarse. Para lo cual se debió dar a entender que es un riesgo y
qué activos se pueden ver involucrados, los aspectos que pueden componer un
riesgo son:
● Las consecuencias a que este pueda llevar, determinar su nivel de
impacto.
● Las posibilidades de que suceda
● La composición de las posibilidades y ocurrencia, lo que se define como
análisis de riesgos.
Magnitud Del Riesgo
Para determinar la magnitud de los riesgos que se presenten se puede
entender de la siguiente forma:
Magnitud = Impacto X Probabilidad
De esta manera se define la magnitud como la probabilidad de que un riesgo
se materialice y el impacto.
Matriz De Priorización
Se debe establecer una matriz de priorización para de esta forma identificar su
ubicación en la misma, lo cual se puede esquematizar de la siguiente forma.
Probabilidad: Frecuencia en que se presenta el riesgo.
ALTA: Es muy factible que el riesgo se presente
MEDIA: Es factible que el riesgo se presente
BAJA: Es muy poco factible que el riesgo se presente
63
Impacto: La manera en la que el riesgo puede afectar los resultados del
proceso.
ALTO: afecta en alto grado la disponibilidad.
MEDIO: afecta en grado medio la disponibilidad.
BAJO: afecta en grado bajo la disponibilidad.
Se debe Crear una matriz de priorización para clasificar los riesgos de acuerdo
a su magnitud.
Magnitud A: Nivel Alto de riesgo.
Magnitud B: Nivel Medio de riesgo.
Magnitud C: Nivel Bajo de riesgo.
Probabilidad
ALTA B A A
MEDIA B B A
BAJA C B B
BAJA MEDIA ALTA
Impacto
Tabla 31. Matriz de priorización
Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernández Tomado de
https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/
64
Con base en la información anterior se realiza una estimación sobre los tipos
de riesgos que se pueden encontrar.
COD RIESGO PROBABILIDAD IMPACTO MAGNITUD
R-001 Caída repentina de
corriente
Baja Medio B
R-002 Falla en las cámaras
de seguridad
Baja Medio B
R-003 Fallas en cerrajería y
puertas con llave
Media Alto A
R-004 Rupturas en canaletas
de datos y corriente
Baja Medio B
R-005 Controles de Acceso a
instalaciones
Media Alto A
R-006 Caída del internet al
momento de los pagos
Media Alto A
R-007 Fallas en los equipos
de comunicaciones
Media Alto A
R-008 Inundaciones Baja Alto B
R-009 Terremotos Baja Alto B
R-010 Incendios Baja Alto B
R-011 Ataques terroristas Baja Alto B
65
COD RIESGO PROBABILIDAD IMPACTO MAGNITUD
R-012 Fallo en el firewall Media Alto A
R-013 Presenta caídas del
servicio, por problemas
de red
Media Medio B
R-014 Ataque por virus
informático
Media Alto A
R-015 Caída del servicio de
telefonía por parte del
proveedor
Baja Medio B
R-016 Robo de
Correspondencia
Baja Alto B
R-017 Acceso no autorizado a
equipos de uso
confidencial
Baja Alto B
R-018 Se presentan pérdidas
de correspondencia
durante la ruta del
mensajero
Baja Medio B
R-019 Robo de equipos de
computo
Baja Medio B
R-020 Caída de la operación
de call center
Baja Bajo C
R-021 Suplantación de
identidad
Baja Medio B
R-022 Saturación en la red Media Alto A
66
COD RIESGO PROBABILIDAD IMPACTO MAGNITUD
R-023 Mala administración de
la información y su
acceso al público
Media Alto A
Tabla 32. Consenso de riesgos.
Fuente: autores
En la tabla anterior se realiza un análisis de la información sobre los riesgos
que se pueden presentar, basados en estos criterios se procederá a pasar a la
etapa de evaluación, donde se le dará una prioridad y clasificación.
3.8. Evaluación De riesgos
Con base en los resultados de los análisis de riesgos, se puede determinar
cuáles deben tratarse y la prioridad que se es debe dar. Muchos de los riesgos
consultados con Apoyo Logístico en mensajería se pretende dar atención de
manera oportuna y sin generar pérdidas o interrupciones en la operación.
Riesgos con Magnitud alta (A), sin controles efectivos, requieren acciones
preventivas inmediatas
Riesgos con Magnitud alta (A) y media (B) con controles no efectivos,
requieren acciones de preventivas
Magnitud alta (A) y media (B) con controles efectivos, pero no
documentados, requieren acciones preventivas
Riesgos con priorización baja (C) o alta (A) y media (B) que tienen controles
documentados y efectivos, Requieren seguimiento
Tabla 33. Criterios de evaluación de riesgo.
Fuente: Matriz de priorización. 26 de septiembre de 2012. Carlos Hernández. Tomado de
https://prezi.com/mwpwfj2wn628/matriz-de-priorizacion/
67
En la siguiente tabla se relacionan los riesgos y el cómo se debe tratar al igual
que la prioridad de cada Ítem.
COD RIESGO Tratamiento OBSERVACIONES
R-
001
Caída repentina de
corriente
NO
R-
002
Falla en las cámaras de
seguridad
SI
R-
003
Fallas en cerrajería y
puertas con llave
SI
R-
004
Rupturas en canaletas
de datos y corriente
SI
R-
005
Controles de Acceso a
instalaciones
SI
R-
006
Caída del internet al
momento de los pagos
SI
R-
007
Fallas en los equipos de
comunicaciones
SI
R-
008
Inundaciones NO
R-
009
Terremotos SI
R-
010
Incendios SI
R-
011
Ataques terroristas SI
68
COD RIESGO Tratamiento OBSERVACIONES
R-
012
Fallo en el firewall SI Se sugiere realizar
documentos
reportando cada
caso que se
presente
R-
013
Presenta caídas del
servicio, por problemas
de red
SI
R-
014
Ataque por virus
informático
SI
R-
015
Caída del servicio de
telefonía por parte del
proveedor
NO
R-
016
Robo de
Correspondencia
SI Se sugiere realizar
documentos
reportando cada
caso que se
presente
R-
017
Acceso no autorizado a
equipos de uso
confidencial
SI
R-
018
Se presentan perdidas
de correspondencia
durante la ruta del
mensajero
SI Se sugiere realizar
documentos
reportando cada
caso que se
presente
R-
019
Robo de equipos de
computo
SI
R-
020
Caída de la operación de
call center
SI
69
COD RIESGO Tratamiento OBSERVACIONES
R-
021
Suplantación de
identidad
NO Se sugiere realizar
documentos
reportando cada
caso que se
presente y tomar
medidas
disciplinarias dado
el caso.
R-
022
Saturación en la red SI
R-
023
Mala administración de
la información y su
acceso al público
SI
Tabla 34. Vulnerabilidades Prestación en el Servicio
Fuente: autores
3.9. Tratamiento de los riesgos
Se debe generar un proceso en el cual se implementen metodologías y
políticas organizativas adecuadas para evitar, minimizar y controlar los riesgos
que se identificaron anteriormente, con el fin de reducir lo máximo posible o en
el mejor de los casos eliminarlos de tal forma que empresas de mensajería
puedan asumir los niveles de riesgo presentados.
Posterior a este análisis y teniendo en cuenta los riesgos presentes en las
empresas de mensajería, se realiza un estudio con la parte gerencial
determinada el tratamiento que se le deben dar a los activos para mitigar el
riesgo.
3.9.1. Selección De Controles
La selección de los controles se realizó teniendo en cuenta que puedan ser
asumidos y tratados por las empresas de mensajería en este caso para Apoyo
Logístico en Mensajería, para esta selección se tiene en cuenta criterio tales
como costo, mantenimiento del control, disponibilidad y el riesgo al cual se le
dará tratamiento.
70
Se sugiere realizar revisiones periódicas a los controles para de esta forma
verificar si cumplen y subsanan los requerimientos como en un principio se fijó.
Los siguientes son los controles sugeridos para su implementación.
3.9.1.1. Barracuda Spam Firewall 300
Figura 02. Firewall Barracuda
fuente: https://www.barracuda.com/products/emailsecuritygateway/
Barracuda Spam Firewall gestiona todo el tráfico de entrada y salida para
proteger a las organizaciones frente a amenazas originadas por correos
electrónicos y fugas de datos. Como solución de gestión de correo electrónico
completa, las organizaciones pueden cifrar los mensajes y aprovechar la nube
para poner el correo electrónico en cola si los servidores de correo dejan de
estar disponibles.
Barracuda Spam Firewall se ofrece sin costes por usuario o por función y
también está disponible como virtual appliance.
a) Protección contra spam
Barracuda Spam Firewall aprovecha Barracuda Central para identificar correo
electrónico de spammers conocidos y determinar si los dominios incorporados
en el correo electrónico dirigen a dominios de spam o malware conocidos.
Aprovecha muchas de las mismas técnicas líderes del sector que se
encuentran en Barracuda Spam Firewall, que protegen contra los intentos de
incorporar texto dentro de las imágenes con la intención de ocultar contenido a
los filtros de spam tradicionales.
71
b) Protección contra virus
Puesto que los ataques de virus cada vez son más sofisticados y complejos, la
infraestructura de correo electrónico requiere protección antivirus avanzada. El
potencial para la destrucción y la liberación de información o la alteración de
una red afecta gravemente a la productividad y puede conllevar pérdidas
económicas.
Barracuda Spam Firewall escanea el correo electrónico y los archivos entrantes
utilizando tres potentes capas de tecnología de escaneo de virus. También
descomprime los archivos para ofrecer una protección completa. Mediante
Energize Updates, se actualizan potentes definiciones de virus
automáticamente para mantener la protección más actualizada contra virus
transmitidos por correo electrónico.
c) Protección contra ataques de denegación de servicio (DoS)
No todos los ataques están orientados a conseguir que los usuarios envíen su
número de tarjeta de crédito, que hagan clic en un enlace malicioso o a
implantar un virus. A menudo, el objetivo del ataque está orientado a inhabilitar
una red o reducir su eficacia. Como servicio basado en la nube, Barracuda
Spam Firewall permite detener a los spammers antes de que sobrecarguen un
servidor de correo electrónico.
72
3.9.1.2. Lector de tarjetas OMNIKEY® 5427CK de HID Global
Figura 03. Lector de tarjetas OMNIKEY® 5427CK
fuente: https://www.hidglobal.mx/products/readers/omnikey/5427
Este dispositivo se implementará con la finalidad de realizar el control de
acceso a los empleados a las diversas áreas de la compañía y tener un control
del horario, con el cual el área financiera y de recursos humanos pueden
controlar la hora de llegada de los empleados.
Combina un diseño moderno y compacto que funciona en prácticamente
cualquier PC, abriendo nuevas oportunidades de mercado para los
integradores de sistemas. Independientemente del sistema operativo, el lector
incluye CCID e interfaz Keyboard Wedge y se utiliza normalmente para la
impresión segura de aplicaciones de autenticación y acceso a sistemas de
control, además de iniciar sesión en el ordenador usando las credenciales de
los empleados existentes. El lector es compatible, dentro de un solo dispositivo,
con tecnologías de baja y alta frecuencia, y proporciona a las organizaciones
una ruta de migración sin interrupciones y posibilitar entornos tecnológicos de
credenciales mixtas.
73
3.9.1.3. Tarjetas de acceso iCLASS - Credenciales - 200x
Figura 04. Tarjeta de acceso iClass 200x
fuente: https://www.hidglobal.mx/products/cards-and-credentials/iclass/200x
Tarjetas de acceso las cuales permitirán que los empleados y visitantes tengan
un control de acceso a las instalaciones, tener control y auditoría de que
privilegios de acceso a la compañía. La tecnología de tarjeta inteligente
iCLASS® se ha diseñado específicamente para hacer el control de acceso más
potente, más versátil y más seguro. La tecnología iCLASS 13,56 MHz de
lectura/escritura tarjetas inteligentes sin contacto ofrece una mayor versatilidad
en aplicaciones tales como control de acceso, seguridad en el inicio de sesión
a la red, ventas sin efectivo, tiempo y asistencia, gestión de eventos y la
identificación biométrica.
La tecnología de tarjeta inteligente iCLASS® garantiza una elevada seguridad
con autenticación mutua entre la tarjeta inteligente y el lector, codificación de
datos y llaves diversificadas de 64 bits para lectura/escritura de tarjetas
inteligentes sin contacto. Los archivos separados de forma segura permiten
múltiples aplicaciones y soportan el crecimiento futuro.
74
3.9.1.4. Circuito cerrado de televisión (Cámaras de Seguridad y DVR)
Figura 05. Circuito cerrado de Televisión.
fuente: http://www.contelecltda.com/wp/wp-content/uploads/2015/11/P_CCTV_1.jpg
Consiste en un sistema de video vigilancia visual diseñada con el objeto de
supervisar varios ambientes y actividades. Cabe anotar que está tecnología
hoy en día es muy utilizada en gran parte de establecimientos comerciales y
empresas y ha ayudado en la resolución de casos de robos o actividades
delincuenciales.
El Circuito cerrado de Televisión, se caracteriza por tener todos sus
componentes enlazados y ofrecer una información privilegiada para un número
limitado de espectadores, quienes supervisarán y vigilarán una determinada
área específica.
Cabe anotar que un Circuito Cerrado de Televisión puede estar compuesto por
simplemente un sistema de cámaras de vigilancia, conectadas a uno o más
monitores y/o televisores, los cuales tendrán como objeto reproducir las
imágenes capturadas por las cámaras y un DVR que tendrá la función de
grabar todas las imágenes.
75
Ventajas del Circuito Cerrado de Televisión
Un servicio de Instalación de Circuito Cerrado de Televisión trae consigo una
serie de ventajas que harán de su empresa, oficina u edificio un lugar mucho
más seguro:
● Video y vigilancia en múltiples puntos en tiempo real.
● Recuperación de evidencias en caso de hechos ilícitos.
● Controlar y supervisar operaciones críticas.
● Reducción de costos de vigilancia a largo plazo
3.9.1.5. Extintores
Figura 06. Extintor
fuente: http://www.girofoc.com/wp-content/uploads/Zoom_0014_MCL_8114-684x1024.jpg
Apoyo logístico en mensajería desea adaptar un plan de contingencia en caso
de presentarse una conflagración por fuego en las instalaciones. Dependiendo
del tipo adecuado de extintor y el uso que se le dé en el tiempo oportuno se
puede detener un incendio en el menor tiempo posible.
Los extintores son elementos portátiles destinados a la lucha contra fuegos
incipientes, o principios de incendios, los cuales pueden ser dominados y
extinguidos en forma breve.
76
De acuerdo al agente extintor los extintores se dividen en los siguientes tipos:
- A base de agua
- A base de espuma
- A base de dióxido de carbono
- A base de polvos
- A base de compuestos halogenados
- A base de compuestos reemplazantes de los halógenos
3.9.1.6. Eset Endpoint Antivirus
Figura 07. Antivirus Eset
fuente:https://co.tienda.eset-la.com/pub/media/catalog/product/cache/75eed2686e01eb22cb4050b2f40ddf97/e/i/eis_800x800.png
Ofrece las siguientes prestaciones las cuales se adaptan a las necesidades de
Apoyo Logístico en Mensajería.
77
Funciones principales
● Bloqueo de Exploits – Bloquea los ataques diseñados específicamente
para evadir la detección antivirus. Detiene amenazas dirigidas y te
protege ante ataques en navegadores Web, lectores de PDF y otros
programas, inclusive software basado en Java.
● Exploración Avanzada de Memoria – Mejora la detección de códigos
maliciosos persistentes que utilizan varias capas de cifrado para ocultar
su actividad.
● Compilación más Rápida y Liviana – La exploración es más rápida
gracias a las actualizaciones pequeñas y a la exploración basada en la
nube de ESET.
● Anti–Phishing – Realiza transacciones en línea de manera segura y evita
que sitios fraudulentos obtengan tu información personal.
● Social Media Scanner – El análisis de redes sociales te permite explorar
toda la información que se publica en tu muro, y en el de tus contactos,
en busca de links que puedan contener algún tipo de amenaza para tu
sistema.
● Modo de juego – El modo de juego es una característica para los
jugadores, que requieren utilizar el software en forma ininterrumpida, no
desean que las ventanas emergentes los molesten y quieren minimizar
el uso de la CPU. El modo de juego también se puede usar como modo
para pasar presentaciones, cuando una presentación no se puede
interrumpir por la actividad del programa antivirus.
● Control avanzado de medios removibles – Te permite definir qué tipos
de dispositivos pueden ser utilizados o no dentro del equipo, podrás
crear reglas para unidades USB, CD o Fireware entre otros. Además, al
momento de conectar uno de estos dispositivos podrás explorarlos en
busca de amenazas.
● Tecnología de Autodefensa – ESET NOD32 Antivirus incluye una
tecnología integrada para prevenir que los programas maliciosos lo
corrompan o deshabiliten, por lo tanto, podrás estar tranquilo de que tu
computadora permanecerá siempre protegida.
78
3.9.1.7. Control de acceso y privilegio de usuarios mediante
Protocolo LDAP
Un directorio es un conjunto de objetos con atributos organizados en una
manera lógica y jerárquica. El ejemplo más común es el directorio telefónico,
que consiste en una serie de nombres (personas u organizaciones) que están
ordenados alfabéticamente, con cada nombre teniendo una dirección y un
número de teléfono adjuntos. Para entender mejor, es un libro o carpeta, en la
cual se escriben nombres de personas, teléfonos y direcciones, y se ordena
alfabéticamente.
Un árbol de directorio LDAP a veces refleja varios límites políticos, geográficos
u organizacionales, dependiendo del modelo elegido. Los despliegues actuales
de LDAP tienden a usar nombres de Sistema de Nombres de Dominio (DNS
por sus siglas en inglés) para estructurar los niveles más altos de la jerarquía.
Conforme se desciende en el directorio pueden aparecer entradas que
representan personas, unidades organizacionales, impresoras, documentos,
grupos de personas o cualquier cosa que representa una entrada dada en el
árbol (o múltiples entradas).
Habitualmente, almacena la información de autenticación (usuario y
contraseña) y es utilizado para autenticarse, aunque es posible almacenar otra
información (datos de contacto del usuario, ubicación de diversos recursos de
la red, permisos, certificados, etc.). A manera de síntesis, LDAP es un
protocolo de acceso unificado a un conjunto de información sobre una red.
79
3.9.1.8. Sistema de Administración de Contraseñas
El sistema de administración de contraseñas sugerirá el uso de contraseñas
individuales para determinar responsabilidades, permitir que los usuarios
seleccionen y cambien sus propias contraseñas e incluir un procedimiento de
confirmación para contemplar los errores de ingreso, obligar a los usuarios a
cambiar las contraseñas provisorias en su primer procedimiento de
identificación, en los casos en que ellos seleccionen sus contraseñas, evitar
mostrar las contraseñas en pantalla, cuando son ingresadas, almacenar en
forma separada los archivos de contraseñas y los datos de sistemas de
aplicación, almacenar las contraseñas utilizando un algoritmo de cifrado.
80
4. POLÍTICAS DE SEGURIDAD
Las políticas que se mencionan a continuación son el producto de las reuniones realizadas junto con las áreas operativas de Apoyo Logístico en mensajería y recoge políticas que pueden ser también aplicadas a otras compañías enfocadas a la Logística y correspondencia.
4.1. Política de Seguridad en la Información
Área: Departamento de Sistemas Personas Involucradas: Jefe departamento de sistemas, gerentes de proyecto, empleados en el edificio. Descripción:
1. Cada dos días se realizarán copias de seguridad (Backup) de las bases de datos: Telemercadeo, Clientes, BD_Cargue, BD_Phone. Cada copia de seguridad será programada como la ejecución de un script el cual se ejecutará por medio de una tarea automática en las horas de la noche.
2. Se pide a los usuarios que cada vez que dejen su equipo sólo bloquearlo y se programa en todos los equipos un bloqueo por tiempo de inactividad de 2 minutos, con el fin de evitar accesos no autorizados.
3. Se deshabilitan puertos tales como USB, Medios Magnéticos y unidades CD/DVD, en caso que se presente la necesidad se debe hacer la solicitud al área de Informática.
4. Se realiza la configuración en el directorio activo para que cada usuario cambie su clave cada 2 meses, para que su cambio sea exitoso el sistema de directorio activo exige poner una letra mayúscula, números y al menos un carácter especial, adicional la longitud de mínima de 6 caracteres.
4.2. Política de Mantenimiento de equipos de Computo
Área: Departamento de Sistemas Personas Involucradas: Jefe departamento de sistemas, gerentes de proyecto, empleados en el edificio. Descripción:
1. El departamento de sistemas tendrá asignada la tarea de realizar la programación de mantenimiento preventivo y correctivo de los equipos durante todo el año, verificación de actualizaciones, escaneo de en busca de virus en los equipos, limpieza de archivos temporales, y planes de mejora a nivel de hardware.
2. En caso de presentarse daños en equipos y aun se tenga garantía, el departamento se encargará de la gestión del proceso de reclamación al proveedor de dicho equipo.
3. Los jefes de área podrán solicitar mantenimiento preventivo y correctivo de ser necesario justificando al departamento de tecnología los motivos de la solicitud.
81
4. Los jefes de área tendrán la obligación de hacer cumplir las normativas de uso de equipos establecido por la compañía y regulado por el departamento de sistemas.
5. Corresponde al departamento de sistemas dar a conocer a los empleados, los servicios de mantenimiento básico y el manejo de garantías.
4.3. Política de Acceso a los equipos locales
Área: Todos Los departamentos Personas Involucradas: Jefe departamento de sistemas, gerentes de proyecto, empleados en general. Descripción:
1. Todos los usuarios son responsables del uso de los equipos asignados. 2. Las áreas donde se tiene equipo de propósito con necesidades
específicas cuya funcionalidad es importante en el departamento se regirá a las políticas emitidas por el Departamento de Sistemas.
3. Dada la naturaleza insegura de los sistemas operativos y su conectividad en la red, el área de infraestructura tiene la facultad de acceder a cualquier equipo de cómputo que no estén bajo su supervisión.
4. Al momento de entregar un equipo nuevo al departamento se le dará claridad que el departamento de sistemas tiene la facultad de acceder al equipo dado el caso en el que se presente la necesidad.
4.4. Política de acceso a la red corporativa.
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas
Descripción: 1. El Departamento de sistemas es responsable de proporcionar el acceso
a la red local a los empleados de la compañía. 2. El departamento de sistemas es el responsable de hacer pública las
políticas para el uso de la red y de procurar su cumplimiento. 3. El acceso a equipos especializados de cómputo (servidores,
enrutadores, bases de datos, access point y enrutadores, etc.) vinculados en la red local son administrados por el departamento de sistemas.
4. Todos los equipos de terceros o ajenos a la empresa, deben solicitar acceso al departamento de sistemas y acogerse a las políticas de seguridad de Apoyo Logístico en Mensajería.
82
4.5. Política de Instalación de aplicativos.
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas, empleados
Descripción: 1. Es responsabilidad del Departamento de sistemas dar a conocer a los
empleados de la organización la normatividad y procedimientos a realizar en caso de instalarse aplicativos, software, parches de actualización para cualquier equipo.
2. Sólo se permitirá la instalación de software licenciado y debidamente evaluado por el Departamento de sistemas.
3. El departamento de sistemas es responsable de brindar asesoría y acompañamiento del nuevo software.
4. Para proteger la integridad de sistemas informáticos y de telecomunicaciones, es de vital importancia que los equipos cuenten con software de seguridad (antivirus y políticas de acceso).
5. Cualquier anomalía que se presente después de la instalación de un nuevo aplicativo, debe informarse de manera inmediata al Departamento de sistemas.
4.6. Política de Auditoría de Software
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas, Gerentes de Área
Descripción: 1. Corresponderá al grupo especializado dictar las normas, procedimientos
y calendarios de auditoría. 2. El área de infraestructura es el responsable de realizar revisiones
periódicas para asegurar que sólo programación con licencia esté instalada en las computadoras de la institución.
3. El área de infraestructura propiciará la conformación de un grupo especializado en auditoría de sistemas de cómputo y sistemas de información.
4.7. Política aplicada al software Desarrollado por la compañía
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas, gerentes de Área
Descripción: 1. Todos los desarrollos a nivel de software e informática, código fuente y
configuraciones locales son propiedad de la Empresa y estará protegida bajo los derechos de propiedad intelectual de la Legislación Colombiana.
2. Todos los aplicativos y sistemas informáticos desarrollados para Apoyo Logístico en Mensajería serán propiedad de la misma respetando la propiedad intelectual del mismo.
3. La información almacenada en las bases de datos, debe contar con un plan de respaldos y generar copias de seguridad con regularidad para
83
evitar pérdidas que se puedan presentar por amenazas encontradas en el desarrollo del SGSI.
4. El Departamento de Sistemas tendrá la responsabilidad de tramitar las patentes y derechos de creación de software propiedad de la compañía.
5. Es obligación de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la compañía que debe preservarse.
6. El Departamento de sistemas tendrá como obligación manejar un registro de todos los parches, paquetes de actualización y ajustes de propiedad de Apoyo Logístico en Mensajería.
7. La gestión de licencias de los aplicativos de la compañía, así como su distribución y control será supervisado por el departamento de sistemas.
4.8. Política de Acceso a Áreas restringidas
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas
Descripción: 1. El acceso a zonas restringidas de la compañía se determinará de
acuerdo a la funcionalidad de la misma, así como de la normatividad presente para tal fin.
2. Se debe llevar un registro permanente del ingreso de personal a estas zonas, teniendo en cuenta horario de acceso y motivo por el cual se ingresa. Todos estos controles son sin excepción para todos los empleados.
3. En situaciones de emergencia, el acceso a estas zonas estará determinado por el gerente general de la compañía y en caso de no estar, el siguiente a cargo es el que deberá tomar la decisión.
4.9. Política Para traslado de equipo a otra área
Área: Departamento de Sistemas. Personas Involucradas: Jefe departamento de sistemas
Descripción: 1. El traslado del equipo se realizará teniendo en cuenta la normatividad
establecida por el Departamento de Sistemas de la compañía. 2. El traslado del equipo se realizará justificando previamente al área el
motivo del traslado y bajo la responsabilidad del usuario final. 3. Dado que el equipo sea trasladado y que el propietario del mismo
cambie, debe ser notificada el área de esta modificación.
84
4.10. Planes De Mejoramiento
Los planes de mejoramiento permiten modificar políticas que se encuentran vigentes y requieren de ajustes que se pueden llegar a necesitar y que se evidenciaron durante la aplicación del SGSI en las empresas de mensajería.
Prevención: Apoyo Logístico en mensajería debe buscar principalmente la
prevención, por lo cual se sugiere realizar procesos de verificación periódicos en donde se revisen los procedimientos para manejo de bases de datos, bancos de información y pruebas que se presenten.
La infraestructura de la compañía debe contar con mecanismos y dispositivos que permitan prevenir y mitigar riesgos tales como incendios, robos, inundaciones. Para lo cual se sugiere tener sensores de incendios, Cámaras de seguridad y canales de evacuación de aguas lluvias.
Realizar mantenimiento correctivo y preventivo, rigiéndose al calendario planificado al inicio de año.
Revisar de manera periódica los LOG relacionados con las tareas programadas encargadas de los respaldos de las bases de datos, Verificando tiempo de ejecución de la tarea, principales problemas que se puedan encontrar.
Se sugiere realizar copias de seguridad físicas de las bases de datos cada 8 días, de tal forma que se puedan almacenar en una bóveda previamente acordada con un banco.
Revisar periódicamente las actualizaciones que puedan estar próximas a llegar y verificar la compatibilidad que puedan tener con los equipos de la compañía.
DISUASIÓN:
Realizar una recolección de las principales incidencias presentadas en casos de robos, pérdidas de correspondencia, caídas de la red y fallas en los servidores, así como páginas web con contenido perjudicial para la compañía para tomar medidas preventivas de ser necesario.
MONITORIZACIÓN:
monitorear de manera constante el flujo de la información y los principales canales de tráfico por los cuales los datos transitan, con el fin de determinar los comportamientos de los usuarios en la red.
RECUPERACIÓN:
Tener métodos y alternativas que permitan tener recuperación oportuna de bases de datos, suministro de corriente (UPS) y fallas por parte del proveedor de internet y telefonía local.
85
CONCIENTIZACIÓN:
Generar campañas de concientización por parte de los departamentos encargados de la gestión de los activos e infraestructura, con la finalidad de prevenir la materialización de amenazas que puedan llegar a presentarse a nivel de usuarios.
Dar a conocer con total claridad y entendimiento las políticas de seguridad establecidas por la compañía.
4.11. Planes De Acción Para Hacer Cumplir Y Verificar Las Políticas
Del Sgsi
Procedimiento en caso de presentarse incumplimiento de políticas de la empresa. Se busca de esta forma la manera de Aplicar sanciones por incumplimiento de normas descritas en las políticas de la compañía. Tipos de incumplimiento de la norma que acarrearía sanciones:
Modificación no autorizada de la información. Suplantación de la identidad. Acceso no autorizado a las bases de datos de la
compañía. Manipulación tanto de hardware como de software de los
equipos de cómputo.
Procedimiento en caso de presentarse medidas correctivas y de sanción: Las sanciones pueden ser desde una llamada de atención o informar al
usuario hasta la suspensión temporal de sus actividades dependiendo de la gravedad de la falta.
Corresponde al Departamento de sistemas realiza la evaluación sobre las medidas sancionatorias que se aplicaran.
Actualización de los procesos vigentes para sancionar a los usuarios en caso de incumplir normativas establecidas por el SGSI. De llegar a ser necesario se deje evaluar la posibilidad de realizar ajustes sobre los procedimientos sancionatorios y de ser necesario adjuntar evidencia sobre las faltas que se puedan cometer.
86
5. MÓDULO WEB
Se entrega un módulo web en el cual se da la posibilidad de mostrar la gestión de estadísticas mensuales sobre los tipos de incidencias que se presentan en la compañía, consulta de documentos para la gestión de políticas de seguridad del SGSI.
Pantalla Inicio
En esta pantalla se observan 5 botones de descarga, de los cuales se puede
descargar formatos correspondientes a:
Formato selección de proveedores
Formato de consentimiento informado para proveedores
Formato requisición de personal
Formato programa de inducción
Formato préstamo de equipos de computo
Figura 09. Pantalla Inicio
87
Pantalla SGSI
En esta pantalla se presenta una breve descripción del SGSI para entidades de
logística en mensajería.
Figura 10. Pantalla SGSI
Pantalla Informes
En la pantalla informes se ven algunos consejos para tener en cuenta para la
seguridad de la información, así mismo se podrá descargar un informe que
reflejan las estadísticas de incidencias presentadas durante el mes.
Figura 11. Pantalla Informes
88
6. CONCLUSIONES
La identificación de los activos de las empresas de mensajería, permiten
determinar el nivel de valoración en la empresa, y de esta manera ver el
impacto en caso de presentarse una ausencia o daño del mismo, teniendo en
cuenta la disponibilidad, integridad y confidencialidad
Los controles y políticas que se sugieren en el presente documento, fueron el
resultado del levantamiento de la información en la etapa de identificación de
activos, y de esta forma desarrollar acciones para mitigar, prevenir o tratar un
riesgo, garantizando óptimas condiciones de servicio y mejorando
notablemente el manejo de la información en la compañía.
Se desarrolló un módulo web el cual permite consultar las políticas SGSI de la
compañía y la descarga de documentos para solicitudes básicas en la
compañía, así como un reporte mensual de las incidencias reportadas para la
consulta por parte de la gerencia
89
7. BIBLIOGRAFIA
[1] Bsigroup.com, (2017) Casos prácticos del sistema de gestión ISO/IEC 2700
1: Seguridad de la Información| BSI Group, Recuperado de https://www.bsigrou
p.com/es-ES/Seguridad-de-la-Informacion-ISOIEC-27001/Casos-practicos-
relacionados-con-la-norma-ISOIEC-27001/
[2] Área De Investigación Y Planeación, MODELO DE SEGURIDAD DE LA INF
ORMACIÓN PARA LA ESTRATEGIA DE
GOBIERNO EN LÍNEA, Recuperado de http://programa.gobiernoenlinea.gov.co
/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
[3] Ministerio de las Tecnologías de la Información y las Comunicaciones (MIN
TIC), (2015) Sistemas de Gestión de la Seguridad de la Información (SGSI), Re
cuperado de http://www.mintic.gov.co/gestionti/615/w3-article-5482.html
[4] Guzmán Silva Carlos Alberto, (2015), DISEÑO DE UN SISTEMA DE GESTI
ON DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIE
RA DE SEGUNDO PISO Recuperado de http://repository.poligran.edu.co/bitstr
eam/10823/746/1/Proyecto%20de%20Grado%20SGSI%20-%20IGM-
%20CarlosGuzman%20(FINAL).pdf
[5] Instituto Nacional De Ciberseguridad De España (2015), Implantación de un
SGSI en la empresa, Recuperado de https://www.incibe.es/extfrontinteco/img/F
ile/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
[6] Díaz, Andrés Fabián, (2012), IMPLEMENTACION DE UN SISTEMA DE GE
STIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN LA COMUNIDAD
NUESTRA SEÑORA DE GRACIA, ALINEADO TECNOLÓGICAMENTE CON L
A NORMA ISO 27001, Recuperado de http://www.konradlorenz.edu.co/images/
stories/articulos/SGSI.pdf
[7] El portal de ISO 27001 en español (2005), Recuperado de http://www.iso27
000.es/sgsi.html
[8] ISO 27000.es (2005), Recuperado de http://www.iso27000.es/download/doc
_sgsi_all.pdf
[9] Manual del Sistema de Gestión de Seguridad de la Información, LEASING S
eguros Bolívar, Recuperado de http://pegasus.javeriana.edu.co/~CIS0830IS12/
90
documents/Anexo%20K%20MG-
05%20Manual%20del%20Sistema%20de%20Gestion%20de%20Seguridad%2
0de%20la%20Informacion.pdf
[10] PROPUESTA DE UN PLAN DE GESTIÓN DE RIESGOS DE TECNOLOGÍ
A APLICADO EN LA ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL, Re
cuperado de http://www.dit.upm.es/~posgrado/doc/TFM/TFMs2014-
2015/TFM_Maria_Fernanda_Molina_Miranda_2015.pdf
[11] Magerit-versión 3.0 Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información, Libro I-Método, Recuperado de https://www.ccn-
cert.cni.es/publico/heramienta/pilar5/magerit
[12] El Abedul, LEY 1369 DE 2009, Recuperado de https://colombiatic.mintic.go
v.co/602/articles-621_doc_norma.pdf
[13] LEY 1369 DE 2009, Recuperado de https://www.mintic.gov.co/portal/604/a
rticles-3708_documento.pdf
[14] Ley 1369 de 2009 Nivel Nacional, Recuperado de http://www.alcaldiabogot
a.gov.co/sisjur/normas/Norma1.jsp?i=38901
[15] Normatividad Postal Colombiana, Recuperado de http://www.mcsa.com.co/
site/cultura-postal/normatividad-postal-colombiana/
[16] RESOLUCIÓN No. 3038 DE 2011, Recuperado de http://www.mcsa.com.c
o/site/assets/media/NPC-Resolucion-3038-de-2011-calidad-del-servicio.pdf
[17] Decreto Número 1317 De 2013, Recuperado de http://www.mcsa.com.co/si
te/assets/media/NPC-Decreto-1377-Ley-1581-Habeas-Data.pdf
[18] Decreto 1377 Ley 1581 Habeas Data, Recuperado de http://www.alcaldiab
ogota.gov.co/sisjur/normas/Norma1.jsp?i=49981
[19] Circular 05, Derechos de autor, Recuperado de http://derechodeautor.gov.
co/documents/10181/287765/Circular+05+de+2001/901e0c4b-9885-4eca-990d-
0f25b93d4170
[20] MAGERIT versión 3 (idioma español): Metodología de Análisis y Gestión d
e Riesgos de los Sistemas de Información.Edita: © Ministerio de Hacienda y Ad
ministraciones Públicas, octubre 2012, Recuperado de https://administracionele
ctronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.h
tml#.WbW7WsgjHDc