Políticas de Seguridad de La Información ISO 27002

UNIVERSIDAD NACIONAL DEL CALLAO FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS

“POLÍTICAS Y ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA ISO/IEC 27002:2013” SISTEMAS DE INFORMACION GERENCIAL PROFESOR

: Dr. Ing. ARADIEL CASTAÑEDA, HILARIO

GRUPO

: Nº02

AUTOR:

: leon Matias

TRABAJO Nº

: Exposición de capítulos 5 y 6 de ISO/IEC 27002:2013

CICLO

: 2017 – B

FECHA

: Bellavista, 9 de Octubre del 2017

ÍNDICE Índice ........................................................................................................................................ II TABLA DE CONTENIDOS ........................................................................................................... III INTRODUCCIÓN........................................................................................................................ IV OBJETIVOS ................................................................................................................................. V Capítulo I: Políticas de Seguridad de la Información ................................................................ 1 1.1.

Directrices de gestión de la seguridad de la información ......................................... 1

1.1.1.

Políticas para la Seguridad de la información ................................................... 1

1.1.2.

Revisión de las políticas de la seguridad de la información .............................. 3

1.2.

Caso Práctico ............................................................................................................. 4

1.2.1.

Estableciendo políticas de seguridad aplicando norma ISO 27002 .................. 5

1.2.2.

Resultados ......................................................................................................... 7

1.2.3.

Discusión de los resultados ............................................................................... 8

Capítulo II: OrganizaciÓn de la seguridad de la información .................................................. 10 2.1.

Organización interna ............................................................................................... 10

2.1.1.

Roles y responsabilidades en seguridad de la información ............................ 10

2.1.2.

Segregación de tareas ..................................................................................... 12

2.1.3.

Contacto con las autoridades.......................................................................... 12

2.1.4.

Contacto con grupos de interés especial ........................................................ 13

2.1.5.

Seguridad de la información en la gestión de proyectos ................................ 14

2.2.

Los dispositivos móviles y el teletrabajo................................................................. 15

2.2.1.

Política de dispositivos móviles ...................................................................... 15

2.2.2.

Teletrabajo ...................................................................................................... 18

2.3.

Caso Práctico ........................................................................................................... 20

2.3.1.

Evaluación de la Organización de la Seguridad de la Información ................. 21

2.3.2. Propuestas para la organización de la seguridad de la información para el Plan de Seguridad Informático........................................................................................ 22 2.3.3.

Resultado ........................................................................................................ 26

CONCLUSIÓN........................................................................................................................... 30 Bibliografía .............................................................................................................................. 31

II

TABLA DE CONTENIDOS Gráfico 1. 1: Estadística del Riesgo en la Empresa ........................................ 8 Tabla 2. 1: Cantidad de Ventas por Teleoperador ........................................ 27 Tabla 2. 2: Cantidad de Llamadas perdidas por falla en la red Informática .. 28 Tabla 2. 3: Cantidad de quejas por falla en la red informática ...................... 29

III

INTRODUCCIÓN Actualmente las organizaciones dependen mucho de la información y los datos que esta mantenga como resultado de sus procesos internos y externos. Una gran cantidad de empresas, en su mayoría MYPEs, establecen sus propias reglas o normas para otorgarle seguridad a toda la información almacenada, así como también a la manera en que se manejan todos los dispositivos informáticos. La norma ISO/IEC 27002:2013 es un estándar para la seguridad de la información publicada por la Organización Internacional de Normalización y la Comisión Electrónica Internacional. Esta norma brinda recomendaciones para las mejores prácticas en la gestión de la seguridad de la información a todas las personas o empresas interesadas en desarrollar, implementar o mantener sistemas de gestión de la seguridad de la información. Este trabajo se centra en la explicación de los capítulos cinco y seis de la norma que hablan de las ‘Políticas de la Seguridad de la Información’ y de la ‘Organización de Seguridad de la Información’, respectivamente. Estos capítulos son explicados concretamente con las recomendaciones de la norma y utilizando como casos prácticos, tesis desarrolladas que se basan en este estándar para buscar la solución o mejora de la seguridad de información en diferentes empresas del Perú.

IV

OBJETIVOS  Conocer las definiciones de controles de seguridad; las de Políticas de seguridad de la información y de la Organización de la seguridad de la información de la Norma ISO/IEC 27002.  Identificar

los

requisitos

que

se

necesitan

para

la

implementación de políticas de seguridad.  Analizar casos prácticos en el que se apliquen las políticas y organización de seguridad de la información.  Comprender la importancia de aplicar los controles de seguridad en las organizaciones.

V

CAPÍTULO I: POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 1.1.

Directrices de gestión de la seguridad de la información

En este capítulo de la norma, se busca ofrecer instrucción para orientar y controlar las políticas de la seguridad de la información en base a los requisitos del negocio, a las leyes y a las normas pertinentes a este rubro. 1.1.1. Políticas para la Seguridad de la información Una organización debe establecer claramente su enfoque que tendrá al momento de gestionar la seguridad de la información. Para eso deberá definir un conjunto de políticas al máximo nivel, que sea aprobado por la Dirección de la organización y posteriormente publicado y comunicado a los empleados y partes externas de la organización. Estas políticas a desarrollar deben tener en cuenta los requisitos creados por: 

La estrategia de negocio.



La normativa, legislación y contratos



El entorno actual y las amenazas que existan para la seguridad de la información

También se indica que estas políticas deben declaraciones relativas a: a) La definición de la seguridad de la información, sus objetivos y principios, para orientar en todas las actividades concernientes a este rubro. b) La asignación de responsabilidades generales y especificas en materia de gestión de la seguridad de la información para los roles definidos. c) Los procesos para el tratamiento de desviaciones y excepciones.

1

De igual manera, la política debería apoyarse en políticas de temas en específico donde se profundice la implantación de controles bien estructurados para poder atender las necesidades de determinados grupos dentro de la organización o para cubrir diversos temas. Ejemplos de estas políticas temáticas que dan soporte a la gestión de seguridad de la información son: a) Control de Acceso b) Clasificación de la información y su manejo c) Seguridad física y ambiental d) Temas orientados a usuarios finales como: i.

Uso adecuado de activos

ii.

Puesto de trabajo despejado y pantalla limpia

iii.

Transferencia de información

iv.

Dispositivos móviles y teletrabajo

v.

Restricciones de instalación y uso de software

e) Copias de respaldo f) Transferencia de Información g) Protección ante el software malicioso h) Gestión de vulnerabilidades i) Controles criptográficos j) Seguridad de las comunicaciones k) Privacidad y protección de la información identificativa de personas l) Relaciones con proveedores Estas políticas que se vayan a implementar deben ser comunicadas a los empleados y terceras partes relevantes de una manera entendible, apropiada y accesible al lector al que van dirigidas.

2

El grado de necesidad de políticas internas de seguridad de la información va a depender del tipo de organización a la cual sea implementada. Estas políticas internas son especialmente necesarias en organizaciones grandes y de gran complejidad en las que los que solicitan y aprueban los niveles esperados de control, son otros profesionales diferentes a los que se encargan de implantar estas políticas, así como también en casos donde una política se debe implementar para varias personas o a funciones diferentes de la organización. Todas estas políticas deben ser documentadas en un solo documento, o también en varios documentos pero que tengan relación entre si. Este documento debería llamarse ‘’Políticas de la Seguridad de la Información’’, pero las organizaciones también suelen usar nombres como: ‘normas’, ‘directivas’ o ‘reglas’. Si se distribuye con el exterior de la organización alguna de estas políticas, hay que tener cuidado que no se esté compartiendo información confidencial de la organización. 1.1.2. Revisión de las políticas de la seguridad de la información Las políticas de seguridad de la información deben ser revisadas cada cierto tiempo planificado o cuando se produzcan cambios significativos, con el fin de que estas mantengan su competencia, adecuación y eficacia. Cada política debe tener un propietario encargado de su desarrollo, revisión y evaluación, asignado por la Dirección. Cada vez que se realice una revisión, se debe incluir que la política evalúe las oportunidades de mejora que presente, y se debe enfocar en que esta política de una adecuada respuesta a los cambios en el entorno de la organización, así

3

como en las circunstancias del negocio, las condiciones legales reglamentarias o contractuales, o el entorno técnico. Se debe tener en cuenta las revisiones de la Dirección, ya que esta es la que otorga la aprobación a la política revisada. (Asociación Española de Normalización y Certificación (AENOR), 2015) 1.2. Caso Práctico Se tiene la siguiente tesis; “Diseño de una red de datos para el Policlínico Señor de los Milagros, usando metodología Top Down Network Design y aplicando estándares ISO/IEC 27002” de Guevara Pérez, Obed y Miranda Zelada, Arnold; de la Universidad Privada Antenor Orrego. Actualmente el Policlínico Señor de Los Milagros no cuenta con una red de computadores en la que no se comparten recursos de hardware (impresoras) y software, esto genera demora en la impresión de documentos debido a que todo el laboratorio solo cuenta con una sola impresora. Dado el siguiente problema se plantea hacer una red de datos con la metodología Diseñar una red de datos usando metodología Top Down Network Desing y aplicando estándares ISO/IEC 27002. Para dar seguridad de información a la empresa se requiere implementar un Estándar de seguridad mediante la Norma ISO 27002. A continuación, se especificarán los detalles de la implementación de la política de seguridad de la información, para definir las políticas necesita de otros controles de información, como por ejemplo; el gestión de activos y control de acceso.

4

1.2.1. Estableciendo políticas de seguridad aplicando norma ISO 27002 Teniendo en cuenta que el Policlínico no cuenta con estándares de seguridad se está considerando el objetivo cuatro de la presente tesis es establecer políticas de seguridad ISO/IEC 27002. Se ha considerado implementar los controles que aseguren la reducción de los riesgos a un nivel aceptable. Hay muchas formas de gestionar los riesgos y este documento proporcionará ejemplos de enfoques habituales. Sin embargo, hay que reconocer que ciertos controles no son aplicables para todos los sistemas o entornos de información y pueden no ser de aplicación en todas las organizaciones. Los controles que se consideran esenciales para esta empresa desde un punto de vista legislativo comprenden: 

La protección de los datos de carácter personal y la intimidad de las personas.



La salvaguarda de los registros de la organización



Los derechos de la propiedad intelectual.

Los controles que se consideran comunes para la mejor práctica habitual para conseguir la seguridad de la información comprenden: 

La documentación de la política de seguridad de la información.



La asignación de responsabilidades de seguridad, estas las dará la gerencia.



La información y capacitación para la seguridad de la información del personal que se encargara de supervisar la red.



El riesgo de las incidencias de seguridad.



La gestión de la continuidad del negocio.

Estos controles pueden aplicarse a la mayoría de las organizaciones y los entornos. 5

Para poder establecer las políticas de seguridad se tienen en la responsabilidad sobre los activos y la clasificación de la información, así como, políticas de control de acceso, que son las siguientes: Responsabilidad sobre los activos y clasificación de información 

Todos los activos de información del policlínico tienen un propietario (médico).



Cada propietario clasificará la información dentro de uno de los niveles sensitivos que dependen de obligaciones legales, costos, políticas institucionales y necesidades de la empresa.



El propietario es responsable por la protección de esta información.



La seguridad de los mismos tiene que estar de acuerdo al nivel de sensibilidad.

Para mantener la seguridad de la información del Policlínico se ha considerado clasificar la información considerando cuatro niveles. El más bajo (Pública) es el menos sensitivo y el más alto (Secreta) es para los procesos o datos más importantes. Cada nivel es un súper conjunto del nivel previo. Política de control de acceso  Todos los trabajadores deben ser autenticados.  Se permite el acceso al sistema como administrador privilegiado solo vía consola o desde las estaciones que se defina.  Se debe de controlar el acceso de los usuarios a todos los objetos en el sistema (archivos, impresoras, dispositivos, base de datos, comandos, aplicaciones, etc.).  Identificar la información de acuerdo con la clasificación de sensibilidad previamente definida.

6

 El sistema debe proveer un control de acceso obligatorio.  Sólo el administrador debe tener la capacidad de conectarse a los recursos del sistema en modo privilegiado para realizar tareas administrativas.  Las cuentas de usuarios deben existir sólo para el personal autorizado.  Los usuarios y grupos deben ser administrados por el administrador de la base o su delegado, pero no por los usuarios en sí.  Los usuarios deberán ser informados de acciones que violan la seguridad. 1.2.2. Resultados Al aplicar el dominio 7 de la Norma ISO 27002 nos ha dado como resultado apoyar en políticas de responsabilidad para un mejor manejo de los Activos del Policlínico. La certificación ISO se aplicó una guía de levantamiento de información de riesgo el cual nos dio como resultado una mejora del 16% en el diseño e implementación de la Red ante una crisis encontrada en 21%. (véase en la figura Nº 1.1, en la página 8)

7

GRÁFICO 1. 1: ESTADÍSTICA DEL RIESGO EN LA EMPRESA

Fuente: Tesis (Guevara Perez & Miranda Zelada, 2014)

1.2.3. Discusión de los resultados En este capítulo se presenta la discusión de los resultados obtenidos en la investigación. 

Al aplicar los dominios de control 5 y 11 de la ISO 27002, se ha recopilado la información de los Activos y funciones de la empresa dando como resultado el apoyo a definir políticas de seguridad, con la descripción de las acciones que se deben realiza para salvaguardar la integridad de los trabajadores y clientes en el policlínico.



Mediante una encuesta tomada de la ISO 27002, nos ha permitido poyar en la gestión de proteger datos de los pacientes del Policlínico, teniendo como resultado, el cumplimiento de la Ley Nro. Nº 29733, Ley de Protección de Datos Personales 8

DECRETO SUPREMO Nº 003-2013-JUS artículo 2 numeral 6 de la Constitución Política del Perú. 

Por medio de una encuesta se pudo ver que la norma ISO, nos ha permitido unificar los trabajos de los doctores con otras áreas del policlínico, lo que se establece una sistemática de trabajo y se deja de lado la improvisación, lo cual se espera reducir el 86% lo cual se toma al buscar la información de los pacientes. (Guevara Perez & Miranda Zelada, 2014)

9

CAPÍTULO II: ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 2.1. Organización interna En este apartado se buscará establecer un marco de gestión para el inicio y control de la implementación y operabilidad de la seguridad de la información dentro de la organización. 2.1.1. Roles y responsabilidades en seguridad de la información Se deben definir y asignar todas las responsabilidades pertenecientes a la seguridad de la información. Estas responsabilidades deben ser asignadas de acuerdo con las políticas de seguridad de la información establecidas en el capítulo anterior. Las responsabilidades deben ser definidas para las siguientes actividades: 

Para la protección de activos individuales



Para poder llevar a cabo los procesos de seguridad específicos.



Para las actividades de gestión de riesgos de seguridad de la información



Para la aceptación de riesgos residuales

Estas responsabilidades deben completarse con una guía de más detallada para ubicaciones e instalaciones de tratamiento de información específicas. Debe haber responsabilidades locales para la protección de activos y para llevar a cabo procesos de seguridad específicos. Aquellos individuos a los que se les han asignado responsabilidades de seguridad pueden delegar estas tareas de seguridad en otras personas. Sin embargo, los primeros mantienen la responsabilidad y deberían

10

comprobar que todas las tareas delegadas han sido correctamente realizadas. Las áreas a las que los individuos tienen asignadas responsabilidades deberían quedar establecidas, en particular en relación con los siguientes aspectos: a) Deberían identificarse y definirse los activos y los procesos de seguridad de la información. b) Debería asignarse una entidad responsable para cada activo o proceso de seguridad de la información y deberían documentarse los detalles de dicha responsabilidad. c) Deberían definirse y documentarse los niveles de autorización. d) Para que una responsabilidad sea eficazmente realizada, los individuos designados deberían ser competentes en el área y mantenerse actualizados en sus desarrollos. e) Deberían identificarse y documentarse los aspectos de coordinación y supervisión de seguridad de la información relativos a las relaciones con los proveedores. En muchas organizaciones se nombra un responsable de seguridad de la información para asumir la responsabilidad general del desarrollo e implantación de la seguridad de la información y para dar soporte a la identificación de los controles. Sin embargo, la responsabilidad de la provisión e implantación de los controles a menudo permanece en directivos a título individual. Una práctica común es nombrar un propietario para cada activo quien se hace responsable de la protección en el día a día.

11

2.1.2. Segregación de tareas Las funciones y áreas de responsabilidad deberían dividirse para reducir la posibilidad de que se produzcan modificaciones no autorizadas o usos indebidos de los activos de la organización. La segregación de tareas es un método para reducir el riesgo de uso incorrecto de los activos de una organización, ya sea accidental o intencionado. Se debería cuidar que una persona por sí sola no pueda acceder, modificar o utilizar los activos sin autorización o sin que se detecte. Se debería considerar la complicidad en el diseño de los controles. Las organizaciones pequeñas pueden considerar que la segregación de tareas es difícil de conseguir, pero el principio debería aplicarse en la medida en que sea posible y practicable. Cuando la segregación sea difícil, se deberían considerar otros controles como la monitorización de las actividades, las pistas de auditoría y la supervisión por la Dirección. 2.1.3. Contacto con las autoridades Se deben mantener contactos adecuados con las autoridades pertinentes, de

esta

forma,

las

organizaciones

deberían

tener

implantados

procedimientos que especifiquen cuándo y con qué autoridades se debería contactar, y la manera adecuada de cómo y cuándo se debería informar de los incidentes de seguridad de la información (por ejemplo, si se sospecha que se puede haber infringido la ley). Las organizaciones que sufran un ataque a través de Internet pueden necesitar de las autoridades para emprender alguna acción contra la fuente del ataque. El mantenimiento de estos contactos puede ser un requisito para dar soporte a la gestión de los incidentes de seguridad de la información o a la continuidad del negocio y a los planes de contingencia. Los contactos con

12

las autoridades encargadas de vigilar el cumplimiento de la legislación son también útiles para anticiparse y prepararse para los cambios que vendrán en nuevas reglamentaciones y que la organización tendrá que cumplir. Los contactos con otras autoridades incluyen: 

Las empresas de servicios públicos.



Las de suministro eléctrico



Los servicios de emergencias, de seguridad y salud como el cuerpo de bomberos (en relación con la continuidad del negocio)



Proveedores de servicios de telecomunicación (en relación con la disponibilidad y enrutamiento del servicio)



Compañías de suministro de agua (en relación con las instalaciones de refrigeración para los equipos).

2.1.4. Contacto con grupos de interés especial Se deben mantener los contactos apropiados con grupos de interés especial y asociaciones profesionales especializados en seguridad, donde se pueden establecer acuerdos de intercambio de información para mejorar la cooperación y coordinación en los asuntos de seguridad. Tales acuerdos deberían identificar los requisitos para proteger la información confidencial. Esta participación como miembro en grupos de interés especial o foros debería ser considerado como medio para: a) Mejorar el conocimiento sobre las mejores prácticas y mantenerse actualizado sobre información relevante de seguridad. b) Asegurar un conocimiento del entorno de seguridad de la información, actual y completo. c) Recibir avisos tempranos de alertas, asesoramiento y parches correspondientes a los ataques y las vulnerabilidades.

13

d) Obtener acceso a asesoramiento especializado en seguridad de la información. e) Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades. f) Proporcionar adecuados puntos de enlace relacionados con incidentes de seguridad de la información 2.1.5. Seguridad de la información en la gestión de proyectos La seguridad de la información debería tratarse dentro de la gestión de proyectos, independientemente de la naturaleza del proyecto. Esta debería integrarse en el método o métodos de gestión de proyectos de la organización para asegurar que los riesgos de seguridad de la información se identifican y se contemplan en el marco de un proyecto. Esto se aplica en general a cualquier proyecto, independientemente de su carácter. Los métodos de gestión de proyectos en uso deberían exigir que: a) Los objetivos de seguridad de la información estén incluidos en los objetivos del proyecto. b) Se realice una evaluación de riesgos de seguridad de la información en una fase temprana del proyecto para identificar los controles necesarios. c) La seguridad de la información es parte de todas las fases de la metodología aplicada en el proyecto. Deberían contemplarse y revisarse con regularidad las implicaciones de seguridad de la información en todos los proyectos. Las responsabilidades de seguridad de la información deberían estar definidas y asignadas a los roles específicos señalados en los métodos de gestión de proyectos.

14

2.2. Los dispositivos móviles y el teletrabajo Se debe garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles. 2.2.1. Política de dispositivos móviles Se debería adoptar una política y unas medidas de seguridad adecuadas para la protección contra los riesgos de la utilización de dispositivos móviles, por otro lado, se debería tener un cuidado especial para asegurar que no se comprometa la información del negocio, al igual que trabajar con dispositivos móviles en entornos desprotegidos. La política de dispositivos móviles debería considerar: a) El registro de dispositivos móviles. b) Los requisitos para la protección física. c) Las restricciones de instalación de software. d) Los requisitos para las versiones de software de dispositivos móviles y para la aplicación de los parches y actualizaciones del software. e) Las restricciones de conexión a servicios de información; f) Los controles de acceso. g) Las técnicas criptográficas. h) La protección ante el software malicioso (malware 1). i) La inhabilitación, el borrado y bloqueo remotos. j) Las copias de respaldo. k) La utilización de servicios y aplicaciones web.

Malware es la abreviatura de “Malicious software”, término que engloba a todo tipo de programa o código informático malicioso cuya función es dañar un sistema o causar un mal funcionamiento. 1

15

Se debería tener cuidado con el uso de dispositivos móviles en zonas públicas, salas de reunión y otras áreas desprotegidas fuera de las instalaciones de la organización. También se debería implantar algún tipo de protección para evitar el acceso no autorizado o la revelación de la información almacenada y procesada por estos dispositivos, por ejemplo: 

Utilizando técnicas criptográficas.



Imponiendo el uso de protocolos secretos de identificación y autenticación.

Los dispositivos móviles también deberían estar físicamente protegidos contra el robo, o cuando se extravían en algún lugar. Se debería establecer un procedimiento específico, que tuviera en cuenta, los requisitos legales, los requisitos de los seguros y otros requisitos de seguridad de la organización, para los casos de robo o pérdida de los dispositivos móviles. Para aquello equipos que contengan información importante o crítica para el negocio, se debería bloquear físicamente, o utilizar cierres especiales para proteger el equipo. Se debería proporcionar formación al personal que utiliza dispositivos móviles para aumentar su concienciación respecto a los riesgos adicionales de esta forma de trabajo y de los controles que se deberían implantar. Cuando la política de dispositivos móviles permita el uso de dispositivos móviles personales o privados, las políticas deberían considerar también: a) La separación del uso de los dispositivos con fines privados respecto a los del negocio, incluyendo el uso de software para permitir dicha separación y proteger los datos de negocio en un dispositivo personal o privado.

16

b) Proporcionar acceso a la información de la organización sólo después de que los usuarios han firmado un acuerdo de usuario final que incluya el reconocimiento de sus obligaciones (protección física, actualización de software, etc.), con renuncia a la propiedad de los datos de negocio, permitiendo la limpieza remota de los datos por la organización en caso de robo o pérdida del dispositivo o cuando ya no estén autorizados a utilizar el servicio. Esta política debería tener en cuenta la legislación de privacidad. Las conexiones de dispositivos móviles a redes inalámbricas son similares a otros tipos de conexión a redes, pero tienen diferencias importantes que deberían tenerse en cuenta cuando se identifican los controles. Las diferencias típicas son: a) Algunos protocolos de seguridad inalámbrica son inmaduros y tienen debilidades b) De la información almacenada en dispositivos móviles puede que no se haga una copia de respaldo debido a la limitación del ancho de banda o porque el equipo móvil puede no estar conectado en el momento en que se programan las copias de seguridad. Los dispositivos móviles, en general, comparten funciones comunes con los dispositivos de uso fijo como, por ejemplo, redes compartidas, acceso a Internet, correo electrónico y gestión de archivos. Los controles de seguridad de la información para los dispositivos móviles consisten, en general, en aquellos adoptados para los dispositivos de uso fijo y aquellos que hacen frente a las amenazas planteadas por su uso fuera de los locales de la organización.

17

2.2.2. Teletrabajo El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluyendo entornos de trabajo no tradicionales tales como aquellos denominados "trabajo a distancia”. Se debería implementar una política y unas medidas de seguridad adecuadas para proteger la información accedida, tratada o almacenada en emplazamientos de teletrabajo. Las organizaciones que autorizan actividades de teletrabajo deberían instrumentar una política que defina las condiciones y restricciones para el uso del teletrabajo. Cuando se considere aplicable y permitido por la ley se deberían considerar los siguientes aspectos: a) La existencia de seguridad física en el lugar de teletrabajo, teniendo en cuenta la seguridad física del edificio y del entorno local b) El entorno físico de teletrabajo propuesto c) Los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organización, la sensibilidad de la información a la que se va a acceder y transmitir a través del enlace de comunicación, así como la sensibilidad del sistema interno d) La facilitación de un acceso al escritorio virtual que prevenga el tratamiento y almacenamiento de información en equipos de uso personal o privado e) La amenaza de un intento de acceso no autorizado a la información o a los recursos por parte de otras personas del mismo emplazamiento, por ejemplo, familia y amigos f) El uso de redes domésticas y los requisitos o restricciones en la configuración de los servicios de la red inalámbrica

18

g) Las políticas y procedimientos para prevenir las disputas relativas a los derechos de propiedad intelectual de lo desarrollado por el propietario del equipo de manera privada h) El acceso a la parte privada del propietario del equipo (para comprobar la seguridad de la máquina o durante una investigación), que puede estar impedido por la legislación i) Acuerdos de licencia de software que pueden hacer que las organizaciones puedan ser responsables de licenciar software cliente en los puestos de trabajo propiedad privada de empleados, contratistas o terceros j) Los requisitos de protección frente a software malicioso (malware) y de cortafuegos. Las directrices y disposiciones por considerar deberían incluir: a) La provisión del equipo adecuado y del mobiliario de almacenamiento para las actividades de teletrabajo, donde no se permita el uso de equipos privados que no estén bajo el control de la organización. b) Una definición del trabajo permitido, las horas de trabajo, la clasificación de la información que puede manejarse y los sistemas y servicios internos a los que el teletrabajador está autorizado a acceder. c) La provisión de los equipos de comunicación adecuados, incluyendo los métodos para asegurar el acceso remoto. d) La seguridad física. e) Las reglas y directrices para el acceso de la familia y los accesos de los visitantes al equipo y a la información. f) La provisión de soporte y mantenimiento de hardware y software. g) La provisión de seguros. 19

h) Los procedimientos para las copias de respaldo y para la continuidad del negocio. i) Auditoría y monitorización de la seguridad. j) La revocación de la autorización y de los derechos de acceso, y la devolución del equipo cuando se terminan las actividades de teletrabajo.

(Asociación

Española

de

Normalización

y

Certificación (AENOR), 2015) 2.3. Caso Práctico Como caso práctico para este capítulo, se va a utilizar una tesis realizada por la ingeniera de Sistemas e Informática, Angulo Castillo, Alexa Madelyn, tesis presentada en la Universidad Nacional del Santa en Chimbote. Esta tesis lleva como título ‘’Plan de seguridad informático para mejorar la calidad en el servicio del call center de la empresa TELSAT PERÚ SAC" y que tiene por objetivo proponer un Plan de Seguridad Informático basado en el Estándar Internacional ISO/lEC 27002, para mejorar la calidad en el Servicio del call center de la empresa Telsat Perú SAC. En este capítulo nos enfocaremos en las decisiones que toma el tesista con el objetivo planteado, en el apartado de organización de la seguridad de la información. Telsat es una empresa privada que ha desarrollado una amplia gama de soluciones diseñadas para empresas de distintos rubros y características, ofreciendo diversos servicios como:

• Venta e instalación de equipos para enlaces inalámbricos. • Instalación de Internet Inalámbrico Residencial de Banda Ancha. • Instalación de Sistema de Televigilancia por internet. • Venta de línea telefónica a través de su call center, el cual presta servicio para terceros en Estados Unidos (Latinos en EE.UU).

20

El problema principal de la empresa es que está perdiendo ventas y empleados por la insatisfacción con la red informática y por la falta de controles de seguridad que protejan la integridad, confidencialidad y disponibilidad de los datos que en ella se transmiten. Por lo tanto, la empresa tiene una red informática que no cumple las normas o estándares internacionales de seguridad haciendo que esté vulnerable a ataques, intromisiones de personas no autorizadas, desastres naturales, desastres informáticos, etc. Esto ha ocasionado la pérdida de clientes y recursos para la empresa. Telsat Perú SAC con la finalidad de mejorar el servicio que brinda en su call center está dispuesta a seguir un plan de seguridad Informático. 2.3.1. Evaluación de la Organización de la Seguridad de la Información Para hacer un diagnóstico de la empresa en cuanto a Seguridad informática se ha tomado como ayuda la realización del cuestionario· de diagnóstico basado en la norma ISO/lEC 27002. En el tema de Organización de la Seguridad de la Información se encontraron 2 problemas a los que se le dio recomendaciones. Problema N° 1 La empresa no cuenta con un comité informático que permita coordinar y debatir los asuntos relacionados a ella, como promover el uso de nuevas tecnologías; adquirir nuevos equipos informáticos, implementar sistemas de información, etc., es decir velar por el desarrollo informático en la empresa. Sólo cuenta con un personal encargado del centro de cómputo que a su vez es el que ejecuta funciones de soporte y mantenimiento de los equipos. Recomendación: Se debe establecer la conformación de un comité informático para velar por el desarrollo informático de la empresa; que se encargue del manejo 21

de datos, organización, planificación de políticas de seguridad, respaldo de datos, recuperación de datos a la hora de desastres, asimismo promover el uso de nuevas tecnologías; adquirir nuevos equipos informáticos, implementar sistemas de información etc. Dicho comité deberá también estar integrado por un usuario el cual determinará los requerimientos de la información. Problema N° 2 No existe un Plan Operativo Informático sobre las actividades que se van a desarrollar (relacionadas con computadoras, aplicativos, proyectos, redes, etc.) Recomendación: Se deberá asignar a una persona que conforma el comité informático para que se encargue de la administración de seguridad de la información, y ponga de conocimiento de ello a todo el personal de la empresa, además deberá controlar la protección de los activos informáticos de la empresa tanto físicos (instalaciones, hardware) como lógicos (software, datos). 2.3.2. Propuestas para la organización de la seguridad de la información para el Plan de Seguridad Informático Posteriormente en la formulación del Plan de Seguridad Informático, se brindaron un grupo de soluciones para que la empresa pueda mejorar en el tema indicado. Comité de Seguridad de la Información Se propone la creación de este comité integrado por representantes de áreas sustantivas de la empresa destinado a garantizar la seguridad de la información, la cual estará conformado por las siguientes personas:

22

• Gerente • Un representante del área de informática • Un representante del área usuaria Las funciones del Comité serán: a) Elaborar, documentar, actualizar y proponer a la máxima autoridad de la empresa para su aprobación, las políticas y procedimientos relativos a la seguridad de la información. b) Monitorear el cumplimiento de la política de seguridad de la empresa. c) Monitorear cambios significativos en los riesgos que afectan a los recursos de la información de la empresa frente a posibles amenazas, sean internas o externas. d) Coordinar el análisis de riesgos, planes de contingencia y planes de continuidad. e) Supervisión y control de los cambios significativos en la exposición de los activos de información a las amenazas principales, así como el monitoreo de los incidentes, relativos a la seguridad, que se produzcan en el ámbito de la empresa. f) Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios. g) Coordinar el proceso de administración de la continuidad de las operaciones de los sistemas de tratamiento de información de la empresa frente a interrupciones imprevistas. h) Aprobación de las iniciativas principales para mejorar la seguridad de la información.

23

Asignación de responsabilidades en materia de seguridad de la información. La empresa deberá contar con un "Responsable de Seguridad Informática", quien tendrá a cargo la supervisión de todos los aspectos inherentes a seguridad informática tratados en la presente Política. Además, será quien difunda la importancia de la Seguridad de la información entre todo el personal de la empresa. El Comité de Seguridad de la Información propondrá a la autoridad que corresponda para su aprobación, la definición y asignación de las responsabilidades que surjan de los procesos de seguridad que se detallan a continuación, indicando en cada caso el/los responsable/s del cumplimiento de los aspectos de esta política aplicables a cada caso: a) Seguridad del Personal b) Seguridad Física y Ambiental c) Seguridad en las Comunicaciones y las Operaciones. d) Control de Accesos e) Seguridad en el Desarrollo y Mantenimiento de Sistemas f) Planificación de la Continuidad Operativa Así mismo, el Comité de Seguridad de la Información propondrá la autoridad que corresponda para su aprobación, la definición y asignación de las responsabilidades de los propietarios de la información que se definan, quienes serán los responsables de las unidades organizativas a cargo y en poner en conocimiento la importancia respecto a la seguridad de la información. Cabe aclarar que, si bien los propietarios pueden delegar la administración de sus funciones a personal idóneo a su cargo, conservarán ·la responsabilidad del cumplimiento de las mismas.

24

La delegación de la administración por parte de los propietarios de la información será documentada por los mismos y proporcionada al responsable de seguridad informática. PROPIETARIO DE INFORMACIÓN: Los propietarios de información son el Gerente y Jefes de áreas, las cuales son responsables de la información que se genera y se utiliza en las operaciones de su respectiva oficina. Las áreas de la empresa deben ser conscientes de los riesgos de tal forma que sea posible tomar decisiones para disminuir los mismos. Asesoramiento Especializado en Materia de Seguridad de la información. El responsable de seguridad informática será el encargado de coordinar los conocimientos y las experiencias disponibles en el tema de seguridad informática, a fin de brindar ayuda en la toma de decisiones en esta materia. Éste podrá obtener asesoramiento de otros organismos especializados en temas relativos a la seguridad informática como la Oficina Nacional de Gobierno Electrónico e Informático (ONGEI). Seguridad Frente al Acceso por Parte de Terceros Cuando exista la necesidad de otorgar información de la empresa a terceras partes, el responsable de seguridad informática y el propietario de la información, llevarán a cabo y documentarán una evaluación de riesgos para identificar los requerimientos de controles específicos, teniendo en cuenta, entre otros aspectos:

• El tipo de acceso requerido (físico/lógico y a qué recurso). • Los motivos para los cuales se solicita el acceso. • El valor de la información. • Los controles empleados por la tercera parte.

25

• La incidencia de este acceso en la seguridad de la información de la empresa. En ningún caso se otorgará acceso a terceros a la información, a las instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdo que defina las condiciones para la conexión o el acceso. Plan Operativo informático La empresa contará con un Plan Operativo Informático, en el cual se definen las actividades y proyectos a realizar durante un año, de acuerdo a las metas y objetivos de la empresa. 2.3.3. Resultado La tesis se basó en tres problemas principales de la empresa: Las bajas ventas, las llamadas perdidas y las quejas hacia la empresa. Luego de aplicado todo el Plan de Seguridad de la Información, se obtuvieron los siguientes resultados:

26

TABLA 2. 1: CANTIDAD DE VENTAS POR TELEOPERADOR

Fuente: Tesis (Angulo Castillo, 2014)

27

TABLA 2. 2: CANTIDAD DE LLAMADAS PERDIDAS POR FALLA EN LA RED INFORMÁTICA

Fuente: Tesis (Angulo Castillo, 2014)

28

TABLA 2. 3: CANTIDAD DE QUEJAS POR FALLA EN LA RED INFORMÁTICA

Fuente: Tesis (Angulo Castillo, 2014)

Por el resultado de los tres indicadores de evaluación, se pudo determinar que la implementación de un Plan de Seguridad Informático mejoró la calidad en el servicio del call center de la empresa TELSAT PERÚ SAC. (Angulo Castillo, 2014)

29

CONCLUSIÓN En el capítulo de Políticas de Seguridad de la Información, podemos ver que necesita recopilar de otros controles para establecer y comprender las normas que se ejecutaran, los usuarios que forman parte de la organización están incluidos en ella, por ello la Organización de la Seguridad de la Información es tan importante para asignar un conjunto de responsabilidades de acuerdo con las políticas. Luego de estudiar esta parte que conforma la ISO/IEC 27002, y analizar a partir de los casos prácticos, concluimos que son aspectos generales que la mayoría de organizaciones toman en cuenta para la protección del activo con mayor valor, que es la información. Sin embargo, sabemos que implementar estas normas suele ser caro y algunas veces presentan dificultan por el nuevo cambio que se desarrolla, pero también sabemos que más costoso resultaría las consecuencias de la falta de seguridad en un sistema de información. El resultado de implementar esta ISO no es asegurar por completo la información, de lo contrario no hubiera tantos fraudes. Pero aplicar las políticas de seguridad minimizar los riesgos que puede sufrir la información, por otro lado, es una guía de cómo trabajar con las tecnologías de la información.

30

BIBLIOGRAFÍA Angulo Castillo, A. M. (2014). PLAN DE SEGURIDAD INFORMATICO PARA MEJORAR LA CALIDAD EN EL SERVICIO DEL CALL CENTER DE LA EMPRESA TELSAT PERÚ SAC. Chimbote. Asociación Española de Normalización y Certificación (AENOR). (2015). UNE-ISO/IEC 27002. Madrid: AENOR. Guevara Perez, O., & Miranda Zelada, A. A. (2014). DISEÑO DE UNA RED DE DATOS PARA EL POLICLINICO SEÑOR DE LOS MILAGROS S.R.L. USANDO METODOLOGÍA TOP DOWN NETWORK DESIGN Y APLICANDO ESTÁNDARES ISO/IEC 27002. Trujillo.

31