DISEÑO DE UN PLAN ESTRATÉGICO DE SEGURIDAD DE INFORMACIÓN EN UNA EMPRESA DEL SECTOR COMERCIAL
AUTOR AUTORES ES:: María Gabriela Hernández Pinto1, Bertha Alice Naranjo Sánchez2. •
•
1
Auditor en Control de %ari'ab(her)hot%ail.co%.
Geti!n
2""#$
e%ail&
2
*ire *irecto ctora ra de +ei, i, n'e n'enie niera ra en Co%Co%-ut utac aci!n i!n,, cu cuela ela Su-erio Su-eriorr Polit/c Polit/cnica nica del 0itoral, 0itoral, 1, 1, Pot'r Pot'rado ado cuad cuador or,, cu cuela ela de Pot Pot'r 'rad ado o de Ad%in d%ini itr trac aci!n i!n de %-r %-re ea a SPA, 13. Pro4eora de la SP50 dede 13, e%ail& anaranjo2"6)ubbi.co%.
RESUMEN l -reente trabajo a(udará a la or'anizacione co%erciale a tener una concienciaci!n -er%anente de %antener e'ura u in4or%aci!n de a%en a%enaz aza a 7ue 7ue -ued -ueden en cau cauar ar la 7uieb 7uiebra ra de una una e%-r e%-re ea, a, %ed %edian iante el die die8o 8o de un -la -lan etra trat/ t/'i 'ico co de e'u e'urida ridad d de in4or%aci!n 7ue contribu(a a di%inuir lo rie'o a lo 7ue etá e9-ueta la in4or%aci!n. n el -ri% -ri%er er ca-í ca-ítu tulo lo e da a cono conoce cerr la i%-o i%-ort rtan anci cia, a, :alor alor ( :ulnerabilidade de la in4or%aci!n -ara 4or%arno un criterio del -or 7u/ e neceario %antenerla e'ura de todo incidente de e'uridad. n el e'undo ca-ítulo e dearrollará el %arco te!rico del -lan etrat/ etrat/'ic 'ico o de e'urid e'uridad ad de in4or%a in4or%aci! ci!n n detac detacand ando o lo -ao -ao a e'uir e'uir -ara u elabor elaboraci! aci!n. n. n el tercer tercer ca-ítulo ca-ítulo e realiza realiza una bre: bre:e e dec decriri-ci! ci!n n de la la nor% nor%a a ( etá etánd ndar are e inte interna rnacio cional nale e a-licable -ara el dearrollo de ete te%a. n el cuarto ca-ítulo e lle: lle:a a a la -rác -rácti tica ca el obje objeti ti:o :o de ete ete -ro( -ro(ec ecto to %edi %edian ante te una una e:aluaci!n de la e'uridad en una e%-rea co%ercial de nuetro %edio. ;inal%ente en la 7uinta (
ABSTRACT
+he -reent =or> =ill hel- the co%%ercial or'anization to ha:e a -er%anent a=arene to %aintain ure it in4or%ation o4 threat that can caue the ban>ru-tc( o4 a co%-an(, b( %ean o4 the dei'n o4 a trate'ic -lan o4 in4or%ation ecurit( a4e that contribute to di%inih the ri> to =hich thi e9-oed the in4or%ation. n the 4irt cha-ter i 'i:en to >no= the i%-ortance, :alue and :ulnerabilitie o4 the in4or%ation to 4or% u a criterion o4 =h( i it necear( to >ee- it ure o4 an( incident o4 ecurit(. n the econd cha-ter it =ill be de:elo-ed the theoretical a-ect o4 the -lan trate'ic o4 ecurit( e%-haizin' the te- to 4ollo= 4or it elaboration. n the third cha-ter there i a brie4 decri-tion o4 the international nor% and tandard a--licable 4or the de:elo-%ent o4 thi to-ic. n the 4ourth cha-ter i ta>en to the -ractice the objecti:e o4 thi -roject b( %ean o4 an e:aluation o4 the ecurit( in a co%%ercial co%-an( o4 our %ean. ;inall( in the 4i4th and lat cha-ter i 'i:en to >no= the concluion and reco%%endation o4 the inecuritie 4ound durin' the acco%-lih%ent o4 thi -roject.
INTRODUCCIÓN Actual%ente la tecnolo'ía in4or%ática e 4unda%ental -ara la u-eraci!n ( dearrollo de un -aí. 0a in4or%aci!n 7ue en ella e %aneja e coniderada un acti:o cada :ez %á :alioo, la cual -uede hacer 7ue una or'anizaci!n triun4e o 7uiebre$ e -or eo 7ue debe%o %antenerla e'ura. 0a %a(oría de la e%-rea deconocen la %a'nitud del -roble%a con el 7ue e en4rentan, coniderando la e'uridad in4or%ática co%o al'o ecundario ( -retando -oca atenci!n a lo rie'o 7ue en la actualidad e9iten, co%o lo on& la a%enaza interna, una de ella lo errore hu%ano ( la a%enaza e9terna dentro de la cuale -ode%o no%brar a lo :iru. ta 4alta de in:eri!n tanto en ca-ital hu%ano co%o econ!%ico %u( neceario -ara -re:enir -rinci-al%ente el da8o o -/rdida de la in4or%aci!n -roduce 7ue la in4or%aci!n no ea con4iable ni inte'ra ( %ucho %eno di-onible -ara la e%-rea ori'inando aí en %ucho de lo cao la -aralizaci!n de u acti:idade dejando co%o reultado una -/rdida cuantioa de tie%-o de -roducci!n ( dinero 4actore i%-ortante -ara el dearrollo de una or'anizaci!n. Para contrarretar eto e4ecto de la 4alta de e'uridad in4or%ática e -reenta ete trabajo 7ue conite en die8ar un -lan etrat/'ico de e'uridad de in4or%aci!n, 7ue deberá e'uir la or'anizaci!n en un corto, %ediano ( lar'o -lazo.
te -lan e co%-le%enta con e:aluacione de e'uridad ( un -ertinente análii de rie'o 7ue %e -er%iti! die8ar -olítica de e'uridad in4or%ática co%o un alcance concreto del -lan etrat/'ico de e'uridad in4or%ática
Importancia ! "a S!#$ria ! In%ormaci&n 0a in4or%aci!n e la an're de toda la or'anizacione ( in ella la e%-rea dejaría de 4uncionar, -rinci-al%ente i habla%o de e%-rea alta%ente auto%atizada -or lo 7ue u e'uridad i'ue iendo un -unto -endiente ( -or tanto el 4actor %á deter%inante -or el cual 4racaan. %u( i%-ortante er conciente de 7ue -or %á 7ue nuetra e%-rea a nuetro criterio ea la %á e'ura, con el incre%ento del uo de nue:a tecnolo'ía -ara %anejar la in4or%aci!n no he%o abierto a un %a(or n<%ero ( ti-o de a%enaza. -or eo 7ue en el a%biente co%-etiti:o de ho(, e neceario 7ue la entidade ae'uren la con4idencialidad, inte'ridad ( di-onibilidad de la in4or%aci!n :ital cor-orati:a. Por lo tanto la e'uridad in4or%ática debe er dada -or una colaboraci!n entre lo encar'ado de la e'uridad de la in4or%aci!n, 7ue deben di-oner de la %edida al alcance de u %ano, ( lo uuario, 7ue deben er conciente de lo rie'o 7ue i%-lican deter%inado uo de lo ite%a ( de lo recuro 7ue conu%en cada :ez 7ue le -aa al'
Pr!'!ntaci&n !" Pro("!ma
te trabajo buca i%-lantar un %odelo de e'uridad orientado al cu%-li%iento de nor%a, -rocedi%iento ( etándare in4or%ático con el objeti:o de crear una cultura de e'uridad en la or'anizaci!n,
%ejorando la e'uridade e9itente re7uerida -ara al:a'uarda de la inte'ridad de lo recuro in4or%ático.
la
CONTENIDO Para el dearrollo de eta in:eti'aci!n e 4unda%ental conocer cierto t/r%ino 7ue erán uado -ara u dearrollo.
D!%inicion!': Factor!' ! ri!'#o')* Mani4etacione o caracterítica %edible u ober:able de un -roceo 7ue indican la -reencia de rie'o o tienden a au%entar la e9-oici!n, -ueden er interna o e9terna a la entidad.
Impacto)* la %edici!n ( :aloraci!n del da8o 7ue -odría -roducir a la e%-rea un incidente de e'uridad. 0a :aloraci!n 'lobal e obtendrá u%ando el cote de re-oici!n de lo da8o tan'ible ( la eti%aci!n, ie%-re ubjeti:a, de lo da8o intan'ible.
Ri!'#o.? Pro9i%idad o -oibilidad de un da8o, -eli'ro, etc. Cada uno de lo i%-re:ito, hecho dea4ortunado, etc., 7ue -uede cubrir un e'uro.
S!#$ria)* Cualidad o etado de e'uro. Garantía o conjunto de 'arantía 7ue e da a al'uien obre el cu%-li%iento de al'o. Se dice ta%bi/n de todo a7uello objeto, di-oiti:o, %edida, etc., 7ue contribu(en a hacer %á e'uro el 4unciona%iento o el uo de una coa& cierre de e'uridad, cintur!n de e'uridad.
S!#$ria %+'ica)* Conite en la a-licaci!n de barrera 4íica ( -rocedi%iento de control, co%o %edida de -re:enci!n ante a%enaza a lo recuro e in4or%aci!n con4idencial 7ue -uedan interru%-ir -rocea%iento de in4or%aci!n.
S!#$ria "ica)* Conite en la a-licaci!n de barrera ( -rocedi%iento -ara %antener la e'uridad en el uo de o4t=are, la -rotecci!n de lo dato, -roceo ( -ro'ra%a, aí co%o la del acceo ordenado ( autorizado de lo uuario a la in4or%aci!n.
S!#$ria ! "a' r!!')* la ca-acidad de la rede -ara reitir, con un deter%inado ni:el de con4ianza, todo lo accidente o accione %alintencionada, 7ue -on'an en -eli'ro la di-onibilidad, autenticidad, inte'ridad ( con4idencialidad de lo dato al%acenado o tran%itido ( de lo corre-ondiente er:icio 7ue dicha rede o4recen o hacen acceible ( 7ue on tan cotoo co%o lo ata7ue intencionado.
S!#$ria !n "o' r!c$r'o' ,$mano')* Conite en lo controle 7ue e deben tener con re-ecto a la elecci!n, contrataci!n, ca-acitaci!n ( de-ido del e%-leado.
S!#$ria In%orm-tica)* Son t/cnica dearrollada -ara -rote'er lo e7ui-o in4or%ático indi:iduale ( conectado en una red 4rente a da8o accidentale o intencionado.
.$"n!ra(i"ia)*
Cual7uier debilidad en lo Site%a de n4or%aci!n 7ue -ueda -er%itir a la a%enaza cauarle da8o ( -roducir -/rdida.
PASOS PARA LA ELABORACIÓN DE UN PLAN DE SEGURIDAD INFORM/TICA @n -lan etrat/'ico de e'uridad in4or%ática etá baado en un conjunto de -olítica de e'uridad elaborada -re:io a una e:aluaci!n de lo rie'o 7ue indicará el ni:el de e'uridad en el 7ue e encuentre la e%-rea. ta -olítica deben er elaborada coniderando la caracterítica del ne'ocio, la or'anizaci!n, u ubicaci!n, u acti:o ( tecnolo'ía 7ue -oee la e%-rea.
0 E1a"$aci&n ! "o' ri!'#o' Con la e:aluaci!n de lo rie'o -odre%o identi4icar la caua de lo rie'o -otenciale a lo 7ue etá e9-ueta la or'anizaci!n ( cuanti4icarlo -ara 7ue la 'erencia -ueda tener in4or%aci!n u4iciente al re-ecto ( o-tar -or el die8o e i%-lantaci!n de lo controle corre-ondiente a 4in de %ini%izar lo e4ecto de la caua de lo rie'o, en lo di4erente -unto de análii. 0o -ao -ara realizar una :aloraci!n de rie'o e detallan a continuaci!n& 1. denti4icar lo rie'o 2. *eter%inaci!n de lo controle e9itente . Análii de lo rie'o
0)0I!nti%icar "o' ri!'#o' n ete -ao e identi4ican lo 4actore 7ue introducen una a%enaza -ara la or'anizaci!n. 9iten %ucha 4or%a -ara identi4icar lo rie'o -ero -ara ete análii utilizare%o lo cuetionario elaborado -ara cada 4in co%o on e:aluar la e'uridad 4íica, l!'ica, rede ( recuro hu%ano$ lo %i%o erán re-ondido -or lo %ie%bro del área de ite%a ( recuro hu%ano.
@na :ez identi4icado lo 4actore de rie'o, con la a(uda de lo inte'rante de la área ante %encionada e -rocede a la -onderaci!n de lo %i%o dando a cada uno de ello u :alor de i%-ortancia ( deter%inando aí lo de %a(or rele:ancia.
0)2D!t!rminaci&n ! "o' contro"!' !3i't!nt!' *e-u/ de identi4icar la caua de lo rie'o 7ue a4ectan a la or'anizaci!n, e deter%inará 7ue rie'o el área de ite%a tiene bajo control ( cuale no, -ara aí deter%inar la %edida a to%ar obre eto.
0)4An-"i'i' ! ri!'#o' @na :ez 7ue e ha(an identi4icado lo rie'o, el -ao i'uiente e analizarlo -ara deter%inar u i%-acto, to%ando aí la -oible alternati:a de oluci!n.
0)4)0 .a"oraci&n !" ri!'#o' tando (a identi4icado lo rie'o, debe%o -roceder a :alorarlo %ediante una ecala co%o la 7ue e -reenta a continuaci!n. •
•
•
ie'o alto& Son toda la e9-oicione a -/rdida en la cuale la %a'nitud alcanza la bancarrota. ie'o %edio& Serán e9-oicione a -/rdida 7ue no alcanzan la bancarrota, -ero re7uieren una acci!n de la or'anizaci!n -ara continuar la o-eracione. ie'o bajo& 9-oicione a -/rdida 7ue no cauan un 'ran i%-acto 4inanciero.
0)4)2 Cr!ar "a matri5 ! ri!'#o' @na :ez 7ue le he%o dado un criterio de i%-ortancia a cada 4actor de rie'o -rocede%o a con4rontarlo con lo acti:o in4or%ático %ediante la elaboraci!n de una %atriz, en la cual :alora%o cada acti:o de acuerdo a cada 4actor de rie'o i'uiendo la ecala de rie'o Alto, Medio ( Bajo$ -ara 4inalizar ( obtener un -eo o rie'o e:aluado de un recuro -rocede%o a realizar la i'uiente o-eraci!n& -or cada acti:o realiza%o una u%atoria de cada uno de lo reultado obtenido de %ulti-licar la :aloraci!n del acti:o con re-ecto a cada 4actor de rie'o -or la -onderaci!n de cada 4actor de rie'o. aí deter%inare%o e'
2 Po"+tica' ! '!#$ria
0a -olítica de e'uridad in4or%ática erán 4ijada %ediante %ecani%o ( -rocedi%iento 7ue deberá ado-tar la e%-rea -ara al:a'uardar u ite%a ( la in4or%aci!n 7ue eto contienen. *eberán er elaborada a %edida -ara caracterítica -ro-ia de la or'anizaci!n.
aí
reco'er
la
0a -olítica en u contenido incluirán& Duti4icaci!n. Generalidade, dentro de ete -unto e incluirá& objeti:o, alcance, re-onabilidad, %edida a to%ar en cao de incu%-li%iento de la -olítica. tructura de la -olítica.? Se'uridad 4íica, e'uridad l!'ica, e'uridad en rede ( e'uridad en lo recuro hu%ano. • •
•
Para die8ar la -olítica no baa%o en la nor%a ( etándare de e'uridad in4or%ática co%o on C5B+ e S5 133.
4 P"an ! '!#$ria in%orm-tica te -lan erá elaborado -or la or'anizaci!n baándoe en la -olítica 7ue e crearon a raíz del análii de rie'o 7ue han ido 4unda%entada en la nor%a (Eo etándare de e'uridad (a %encionado. te -lan debe er realizado to%ando en cuenta la acti:idade 7ue -odrá lle:ar a cabo la or'anizaci!n en un corto, %ediano ( lar'o -lazo -ara concientizar a lo recuro hu%ano e i%-lantar %edida en cuanto a e'uridad.
CONCLUSIONES 1. 0a herra%ienta de tecnolo'ía on ine'ura en la %edida 7ue u utilizaci!n no ea la %á adecuada en la or'anizaci!n, con:irti/ndoe aí en objeto de a%enaza. 2. Ho( en día en toda e%-rea e9ite una neceidad %á 4recuente de utilizar e7ue%a de e'uridad 4uerte, 7ue -er%itan una %a(or con4iabilidad de la in4or%aci!n utilizada -ara la to%a de deciione. . 0a inco%-reni!n de la Gerencia 7ue conlle:a a la 4alta de a-o(o econ!%ico a la 'eti!n de in4or%ática -ara i%-lantar %edida de e'uridad, -ro:oca 7ue la entidad ten'a una %a(or e9-oici!n a lo rie'o. . 0a e'uridad de la in4or%aci!n e una re-onabilidad co%-artida de todo lo ni:ele de la or'anizaci!n, 7ue re7uiere
del a-o(o de todo ello -ero debe etar diri'ida -or un -lan ( debe contar con una adecuada coordinaci!n. F. l a:ance de la tecnolo'ía ( del conoci%iento de lo ere hu%ano (a ean uada con buena o %ala intenci!n, :uel:en %á :ulnerable a la in4or%aci!n e9-oni/ndola a di:era a%enaza tanto interna co%o e9terna ( :ol:i/ndola -oco con4iable. #. Con ete trabajo e deea 4o%entar una cultura de e'uridad en todo a7uello 7ue lo conulten ( deeen -onerlo en -ráctica.
REFERENCIAS 1. M. Hernández, *ie8o de un -lan etrat/'ico de e'uridad de in4or%aci!n en una e%-rea del ector co%ercial I+ei, ntituto de Ciencia Mate%ática, cuela Su-erior Polit/cnica del 0itoral, 2""#J. 2. cheni7ue García Do/ Antonio, Auditoria en n4or%ática I2da dici!n, Mc. Gra= Hill, 2""1J, --. 1?21. . 0audon Kenneth C. ( 0audon Dane P, Ad%initraci!n de lo Site%a de n4or%aci!n, 5r'anizaci!n ( +ecnolo'ía Ira dici!n, M/9ico, Prentice Hall Hi-anoa%ericana S.A., 1J, --. 3"2?3"#. . 0ucena 0!-ez Manuel Do/, Cri-to'ra4ía ( Se'uridad en Co%-utadora I2da dici!n, @ni:eridad de Daen, 1J, --. "? 16. F. Norton Peter, ntroducci!n a la Co%-utaci!n I1ra dici!n, M/9ico, Mc Gra= HillJ, --. F"?F. #. Si%on Gar4in>el ( S-a44ord Gene, Se'uridad ( Co%ercio en el Leb IM/9ico, Mc. Gra= Hill, 1J, --. 6?1. 3. Si%on Gar ;in>el, ( S-a44ord Gene, Se'uridad Práctica en @N e nternet I2da dici!n, Mc. Gra= Hill, 1J, --.#"?##.