Este proyecto toma de base el proceso que ha desarrollado Amisoft para la gestin de los
proyectos y tiene el nombre de Amisoft Process Framework (APF). El APF se encuentra dividido
en tres actividades: Gestin, Ingeniera y Soporte; las cuales han servido para desarrollar
software de alta calidad pero no estn involucrados en la seguridad de la informacin que la
empresa maneja da a da. Por esta razn fue necesario definir una nueva actividad que tenga
que ver con seguridad de la informacin para poder corregir esta debilidad. El objetivo de esta
tesis es definir y validar los procesos necesarios para la gestin de la seguridad de la
informacin en la empresa Amisoft. Estos procesos en una siguiente etapa sern
implementados para que la seguridad de la informacin pueda ser gestionada y la empresa
alcance la certificacin ISO/IEC 27001:2013.
Todos los objetivos de esta tesis se cumplieron logrando as tener una APF que actualmente
posee los procesos para que la informacin de Amisoft sea manejada de una manera segura.
Con esto se puede empezar la implementacin en un proyecto piloto generando mejoras al
proceso de ser necesario y finalmente se logre la implementacin en toda la empresa.
AGRADECIMIENTOS
Dedico este trabajo a mis padres quienes me han entregado las herramientas para poder llegar
hasta este punto de mi vida. Adems, han sido un aporte fundamental para alcanzar este logro
junto con mi familia y en especial a las personas que ahora ya no estn en este mundo conmigo
pero s que en espritu siempre lo estarn.
As tambin, a mis amigos chilenos que fueron surgiendo en esta aventura lejos de mi pas
quienes fueron una distraccin en momentos de estrs. Pero igual a mis amigos ecuatorianos
que a pesar de la distancia siempre estuvieron dndome el apoyo necesario, ms an a
quienes vinieron y se convirtieron una familia para m.
Por otro lado a Amisoft al mando de Moises y Ren, de quienes recib un excelente trato tanto
como trabajador as como persona. Adems me brindaron la oportunidad para realizar este
trabajo con el objetivo de que tanto la empresa como yo podamos ganar con su realizacin.
Por ltimo pero no menos importante agradezco a Cecilia Bastarrica y Alcides Quispe quienes
fueron el pilar fundamental en el desarrollo de esta tesis, quienes con paciencia me brindaron
su gua y conocimientos para poder haber logrado que este trabajo se realice de la mejor
manera.
ii
Tabla de Contenido
1 Introduccin ..................................................................................................................................... 1
iii
3.2.1
Poltica
de
seguridad
de
la
informacin
...............................................................................................
19
iv
4.2
Validacin
..............................................................................................................................................
54
Bibliografa ........................................................................................................................................... 61
Anexos .................................................................................................................................................... 62
ndice de Tablas
vi
ndice de Figuras
vii
Figura 22 Pruebas ....................................................................................................................... 40
viii
1 Introduccin
En este captulo en la seccin 1.1 se explica el contexto de la empresa Amisoft en la
actualidad, en la seccin 1.2 se explica el problema que se quiere resolver con esta
tesis, la seccin 1.3 explica la solucin que se aplic, la seccin 1.4 muestra los
objetivos que se quiere logar y finalmente, la seccin 1.5 indica la metodologa
aplicada.
1.1 Contexto
1
detallada todos los roles, tareas, y artefactos de entrada y salida, que deben ser
usados en el desarrollo de software de la empresa. Desde su lanzamiento en el ao
2012, es usado para guiar el desarrollo de todos los proyectos de software en los que
participa Amisoft.
Sin lugar a dudas el APF representa un activo muy valioso para la empresa. Ha
contribuido en gran manera para conseguir dos logros muy importantes:
El uso del APF ha dado muy buenos resultados en el desarrollo de los diferentes
proyectos de software de la empresa. Por ejemplo, gracias al uso del APF en estos
ltimos aos Amisoft ha mejorado en estimar sus proyectos. Tenemos un promedio de
un desvo de solamente 10% entre lo planificado y lo realizado. Los ndices de
desempeo Costo-Cronograma establecidos en la empresa, muestran que gracias al
uso de los procesos definidos en el APF, los proyectos se mantienen dentro de los
plazos de tiempo y con los esfuerzos considerados por los jefes de proyecto.
Sin embargo, Amisoft se ha dado cuenta que existen dos problemas que cada vez son
ms relevantes y estn colocando a la empresa en un riesgo muy alto. Amisoft (1) no
2
tiene polticas de seguridad de su informacin (cdigo fuente, bases de datos y
documentacin de sus productos) y (2) no tiene lineamientos claros para reaccionar
frente a situaciones de indisponibilidad de informacin.
Amisoft es cada vez ms consciente de estos problemas, por lo que la alta direccin
de Amisoft ha buscado soluciones concretas para mitigarlos. El presente trabajo busca
abordar estos problemas con el objetivo de proporcionar una solucin que ayude a
mitigarlos dentro de los costos y capacidades que tiene Amisoft.
3
1.3 Solucin
Durante el primer semestre del 2014, en Amisoft analizamos tres distintas soluciones
para mitigar los problemas descritos anteriormente:
De este estndar se implementarn los procesos que cubran las deficiencias que
posee Amisoft en temas de seguridad de la informacin. Para esto se modific el APF
para que se incluyan procesos correspondientes a seguridad de la informacin. As
tambin, el autor de esta propuesta de tesis cumpli el rol de especialista de seguridad
reduciendo los costos debido a encontrarse familiarizado con la forma de trabajar de
Amisoft.
4
1.4 Objetivos
5
Documentos Captulo de ISO 27001:2013
Alcance del SGSI 4.3
Polticas y objetivos de seguridad de la
5.2, 6.2
informacin
Metodologa de evaluacin y tratamiento de
6.1.2
riesgos
Declaracin de aplicabilidad 6.1.3
Plan de tratamiento del riesgo 6.1.3, 6.2
Informe de evaluacin de riesgos 8.2
Definicin de funciones y responsabilidades de
A.7.1.2, A.13.2.4
seguridad
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Poltica de control de acceso A.9.1.1
Procedimientos operativos para gestin de TI A.12.1.1
Principios de ingeniera para sistema seguro A.14.2.5
Procedimiento para gestin de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1
Procedimiento para control de documentos 7.5
Controles para gestin de registros 7.5
Procedimiento para auditora interna 9.2
Procedimiento para medidas correctivas 10.1
Poltica de dispositivos mviles A.6.2.1
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
Poltica de claves
A.9.4.3
6
1.5 Metodologa
La metodologa que se utiliz en este trabajo tuvo tres etapas (ver Figura 1): (1)
Diagnostico, (2) Definicin de procesos, y (3) Verificacin y validacin.
Verificacin
y
Diagnstico Definicin
de
procesos
validacin
En esta primera etapa se evalu el estado actual del APF con respecto a la norma
ISO/IEC 27001:2013. Se determin las reas de proceso de la norma que aplican a la
empresa. Para guiar el diagnostico se utiliz la norma ISO/IEC 27002:2013, la cual
provey una especificacin detallada de los controles de seguridad necesarios para
lograr cumplir con la norma ISO/IEC 27002:2013. El diagnstico generado en esta
etapa permiti tener conocimientos de: (1) aquellos procesos de la norma ISO/IEC
27002:2013 que ya se encuentran definidos en el APF; (2) aquellos procesos de la
norma ISO/IEC 27002:2013 que no se encuentran definidos en el APF; y (3) aquellos
procesos de la norma ISO/IEC 27002:2013 que se encuentran parcialmente definidos
en el APF.
En esta etapa se procedi a adecuar el APF para que cumpla con el estndar ISO/IEC
27001:2013. Esta adecuacin se hizo en funcin al diagnstico obtenido en la etapa
anterior. Se definieron los roles, tareas y artefactos de entrada/salida para cada uno
de los nuevos procesos de seguridad de la informacin que debern aadirse en el
APF. As tambin se realizaron las modificaciones necesarias para aquellos procesos
del APF que se encontraban parcialmente definidos con respecto a la norma ISO/IEC
27001:2013. Como resultado de esta etapa se tuvo una versin nueva del APF que
integra las mejores prcticas de seguridad de la informacin de la ISO/IEC
27001:2013.
Para un ejemplo de la modificacin del APF podemos tomar el proceso que realizaba
el rol de Analista QA (ver Figura 2).
Como se puede ver el analista QA en ese momento deba realizar siete tareas. Con la
actualizacin de la APF este rol tuvo las siguientes modificaciones:
Fue necesario agregar una tarea para que adems de las pruebas de
integracin se realicen las pruebas de seguridad del sistema (Ver Figura 7).
Para garantizar que la nueva versin del APF cumple con la norma ISO/IEC
27001:2013 se realiz una verificacin y una validacin de los procesos de seguridad
de la informacin definidos en la nueva versin del APF. Para la verificacin se utiliz
los checklist de controles de seguridad definidos en la norma ISO/IEC 27002:2013.
Esta verificacin fue realizada por el responsable de esta tesis. La validacin fue
realizada por un auditor externo en ISO/IEC 27001:2013. El auditor externo valid que
los procesos de seguridad de la informacin descritos en la norma ISO/IEC
27001:2013 estn correctamente definidos en la nueva versin del APF.
10
2 Marco Terico
En este captulo se muestran los conceptos bsicos relacionados con el desarrollo de
esta tesis. La seccin 2.1 habla del proceso de desarrollo utilizado en Amisoft. Las
secciones 2.2 y 2.3 se muestra las normas de seguridad ISO que fueron utilizadas
para el desarrollo de esta tesis.
El APF fue diseado tomando como base diferentes modelos de procesos de software
como CMMI [Sei10], OpenUP [Open07] y Tutelkn [Fede09a, Fede09b]. Fue
formalizado durante los aos 2010 y 2011.El proceso de formalizacin fue guiado por
una consultora externa especializada en formalizacin de procesos. Por parte de
Amisoft, en dicho proceso participaron los jefes de proyecto, el coordinador del
Sistema de Gestin de Calidad (SGC), y la gerencia general. El APF fue formalizado
completamente en la herramienta de formalizacin de procesos de software EPF
Composer [Epfc12].
Una vez formalizado el APF, este fue usado en un proyecto de software real de la
empresa (el proyecto de Corte Suprema) para su respectiva validacin.
Posteriormente, todos los empleados de Amisoft fueron capacitados en su uso. Desde
su lanzamiento hasta hoy, ms de veinte proyectos de software han sido desarrollados
usando el APF.
11
Control de Proyecto (PMC), Administracin de Requerimientos (REQM) y
Administracin de acuerdo con proveedores (SAM).
Procesos de ingeniera: estos procesos dan soporte al ciclo de vida de
desarrollo del producto. Abarcan desde la toma de requerimientos hasta
cuando el producto se encuentra totalmente operativo. En esta categora se
encuentran las siguientes reas de proceso: Desarrollo de Requerimientos
(RD), Solucin Tcnica (TS), Pruebas (VER y VAL) e Integracin de producto
(PI).
Procesos de soporte: en esta categora se proporcionan los procesos
necesarios para dar soporte al desarrollo y mantenimiento de los productos.
Son transversales a todas las reas de proceso definidas anteriormente, ya
que stas ocupan los resultados obtenidos por estos procesos. En esta
categora se encuentran las siguientes reas de proceso: Administracin de la
Configuracin (CM), Aseguramiento de Calidad de Procesos y Productos
(PPQA) y Medicin y Anlisis (M&A).
12
Figura 8 Caracterstica esenciales de la informacin [FCSH14]
Para que la informacin de las empresas cumpla con estas caractersticas, la versin
2013 de este estndar presenta una serie de lineamientos que sirven para el
desarrollo de un SGSI. Dichos lineamientos estn descritos en forma detallada en 10
captulos (ver Tabla 2). En los primeros tres captulos se define el alcance que tiene la
normativa para poder certificar, centrndose en los requisitos cubiertos en los
captulos 4 a 10.
Captulo Tema
0 Introduccin
1 Alcance y campo de aplicacin
2 Referencias normativas
3 Trminos y definiciones
4 Contexto de la organizacin
5 Liderazgo
6 Planificacin
7 Apoyo
8 Operacin
9 Evaluacin de desempeo
10 Mejora
13
seguridad de la informacin alineada a los objetivos del negocio y la asignacin de los
recursos necesarios para la implementacin del SGSI.
Las organizaciones de todos los tipos y tamaos (sector pblico y privado, comercial y
sin fines de lucro) recopilan, procesan y transmiten informacin de varias formas
incluidas las electrnicas, fsicas y verbales (es decir, conversaciones y
presentaciones). Los procesos, los sistemas, y el personal involucrado en la
operacin, manipulacin y proteccin de dicha informacin son activos que, al igual
que otros activos comerciales de importancia, resultan valiosos para la organizacin y,
por lo tanto, merecen o requieren proteccin contra diversos peligros.
14
establecer, implementar, monitorear, revisar y mejorar para garantizar que se cumplen
los objetivos comerciales y de seguridad de las organizaciones.
15
3 Diagnstico y Definicin
En este captulo se habla del proceso de desarrollo de la tesis. La seccin 3.1 indica el
proceso utilizado para el diagnstico de Amisoft en cuanto a seguridad de la
informacin. La seccin 3.2 se describen las 8 polticas que fueron definidas en el
desarrollo de la tesis. Por ltimo, el captulo 3.3 detalla los procesos que se
modificaron o aadieron a el APF.
3.1 Diagnstico
Para determinar que controles se deban definir se realiz un anlisis de cada uno de
estos y junto con los miembros del sistema de gestin de la calidad se tom la
decisin en la que se definira o no el control. Para este proceso se realizaron dos
reuniones con un total de cuatro miembros: el representante de la direccin, el jefe de
proyecto de sistema de gestin de la calidad, la analista de calidad y el autor de esta
tesis como jefe de proyecto del sistema de gestin de la seguridad de la informacin.
Los criterios usados para la seleccin de controles son: (1) La manera en que al
implementar un control este ayude a resolver al menos uno de los problemas de
seguridad de Amisoft. (2) Los costos que implican aplicar uno de los controles,
teniendo en cuenta para este punto los costos asociados a cambios fsicos de la
empresa, capacitaciones a los empleados, costo de implementacin del control.
Al finalizar este anlisis se determin que para una primera etapa se deberan definir
los procesos para que se satisfagan 64 controles (ver Figura 9). Dentro de estos
controles se encuentran controles ayudan a con la confidencialidad, integridad y
disponibilidad de la informacin. Con esto Amisoft mejora la manera de reacionar ante
algn tipo de incidente, la seguridad de la informacin que Amisoft posee en sus
activos y mejora su gestin de riesgos. Por otro lado, dentro de los controles que no
fueron seleccionados se encuentran los que tienes que ver con modificaciones fsicas
16
en la empresa, el uso de criptografa y los niveles de confidencialidad de los
documentos. Al no definir estos procesos Amisoft pierde principalmente las
seguridades correspondientes al acceso fsico a los servidores y que el acceso a los
documentos sea realizado por cualquier persona sin importar su cargo dentro de la
empresa. Los controles seleccionados se encuentran descritos en el Anexo A.
Controles a definir
64 50
Definir No
definir
17
Teniendo en cuenta estas directrices despus de llevar a cabo el diagnstico de
situacin actual se obtuvieron los resultados descritos en la Figura 10. La tabla
correspondiente a los 64 controles en la cual se indica a que corresponden es descrita
en el Anexo B.
43
16
Una vez que el APF fue modificada tiene una importante ganancia en lo
correspondiente al acceso a la informacin que Amisoft posee como empresa. As
tambin se implement el control de riesgos con lo que cubren deficiencias que la
empresa tena en esta rea. Otra de las mejoras que se obtuvo corresponde a las
auditorias que implementan una mejora en cuestin de seguridad. La ltima fortaleza
se encuentra en el rea de pruebas a la cual se le asignaron nuevas tareas para
mantener la seguridad. Aunque como se ve se alcanzaron mejoras en algunos
procesos, se mantiene dbil en lo correspondiente a gestin de la seguridad con los
proveedores, seguridad fsica de los servidores y los accesos a documentos a los
cuales puede tener cada perfil de usuario de la empresa.
Al definir los nuevos procesos fue necesario previamente establecer las polticas que
regirn estos procesos. Cada una de estas polticas corresponden a las polticas que
las ISO/IEC 27001:2013 describe en las clusulas de los controles que fueron
determinados anteriormente como los que van a ser definidos en Amisoft. Debido a
18
que cada poltica puede tener reas diferentes a las cuales son aplicables entonces a
una poltica puede tener diferentes procesos involucrados para que esta se cumpla.
Las polticas fueron elaboradas por el autor de esta tesis como parte de la contribucin
a este trabajo y son descritas a continuacin.
Amisoft medir el cumplimiento de todos los objetivos. El grupo del SGSI conformado
por el jefe de proyecto SGSI y dos personas capacitadas en seguridad de la
informacin, es el responsable de definir el mtodo para medir el cumplimiento de los
objetivos; la medicin se realizar al menos una vez al ao y el jefe del SGSI analizar
y evaluar los resultados y los reportar a la gerencia como material para la revisin
por parte de la Direccin.
19
3.2.2 Poltica de uso aceptable
El objetivo de esta poltica es definir reglas claras para el uso de los sistemas y de
otros activos de informacin en Amisoft. En donde:
De acuerdo a esto los activos de informacin solamente pueden ser utilizados a fines
de satisfacer necesidades de negocios con el objetivo de ejecutar tareas vinculadas
con la organizacin. Por esta razn en esta poltica se definen los siguientes puntos
para el uso correcto de activos:
Actividades prohibidas.
Devolucin de activos a la finalizacin de un contrato.
Procedimiento para copias de seguridad.
Proteccin antivirus.
Facultados para el uso de sistemas de informacin.
Responsabilidades sobre la cuenta de usuario.
Responsabilidades sobre la clave.
Uso de Internet.
Supervisin del uso de sistemas de informacin y comunicacin.
Incidentes.
20
3.2.3 Poltica de control de acceso
El objetivo de esta poltica es definir reglas de acceso para los diversos sistemas,
equipos e informacin en base a los requerimientos de negocios y de seguridad.
El principio bsico de esta poltica es que el acceso a todos los sistemas, redes,
servicios e informacin est prohibido salvo que sea expresamente permitido a
usuarios individuales o a grupos de usuarios. Por lo tanto en esta poltica se definen
los perfiles de usuario que tienen Amisoft, junto con los derechos de acceso y los roles
que tienen derechos de acceso de acuerdo a este perfil.
Adems, tambin se define quienes son los usuarios que pueden conceder o eliminar
los derechos de acceso a los sistemas, redes o servicios.
La persona que se lleva dispositivos mviles fuera de las instalaciones debe cumplir
las siguientes reglas:
21
Cuando se utiliza dispositivos mviles en lugares pblicos, el usuario debe
tener la precaucin de que los datos no puedan ser ledos por personas no
autorizadas.
Las actualizaciones de parches y dems configuraciones del sistema son
realizadas por el propietario del dispositivo mvil. En el caso de que la
configuracin sea de mayor complejidad se contar con la ayuda del jefe de
proyecto. Por ltimo en casos de que las personas anteriores no puedan
realizar la configuracin, esta se realizar con ayuda del administrador de la
configuracin de la empresa.
La proteccin contra cdigos maliciosos se instala utilizando el antivirus de la
empresa que se encuentra en el servidor de aplicaciones. Para instalar el
antivirus es necesario dar doble clic sobre el instalador y seguir las
indicaciones del mismo software, una vez que el antivirus se instal
correctamente seleccionamos la opcin de actualizacin automtica. Para
realizar un anlisis del equipo es necesario abrir el antivirus y realizar una
exploracin total del equipo.
La persona que utilice dispositivos mviles fuera de las instalaciones es
responsable de realizar peridicamente copias de seguridad de datos. Para
esto es necesario que el usuario se conecte al SVN con su usuario y
contrasea para subir los cambios de su cdigo al menos una vez a la semana.
Los documentos deben ser subidos al gestor documental de la empresa
Cougar utilizando su usuario y contrasea al menos una vez a la semana. La
informacin que no se sube a los servidores de la empresa ya sean de cdigo
o documental deben ser respaldados en el disco duro de la empresa al menos
una vez al mes.
El intercambio de datos solo puede ser realizado al interior de la empresa
utilizando el correo corporativo o los servidores.
El teletrabajo debe ser autorizado por el jefe del SGSI y deber ser realizado utilizando
la herramienta TeamViewer.
22
3.2.5 Poltica de claves
23
Al firmar la Declaracin de aceptacin de los documentos del SGSI, los
usuarios tambin aceptan la obligacin de mantener sus claves en forma
confidencial, como se establece en este documento.
Cada usuario puede utilizar solamente su propio nombre de usuario asignado
de forma exclusiva.
Cada usuario debe tener la posibilidad de escoger su propia clave, en los
casos corresponda.
Las claves utilizadas para el primer acceso al sistema deben ser exclusivas y
seguras, segn lo establecido precedentemente.
Las claves de primer acceso deben ser comunicadas al usuario de forma
segura, y se debe verificar previamente la identidad del usuario.
La contrasea no debe ser visible en la pantalla durante el inicio de sesin.
Si un usuario ingresa una clave incorrecta tres veces consecutivas, el sistema
debe bloquear la cuenta de usuario en cuestin.
Las claves creadas por el fabricante del software o hardware deben ser
cambiadas durante la instalacin inicial.
Todos los datos y software con licencia almacenado en soportes mviles (por ej., CD,
DVD, unidades USB, tarjetas de memoria, etc., y tambin en papel) y en todos los
equipos que tienen soportes de almacenaje (por ej., computadores, telfonos mviles,
etc.) deben ser borrados, o se debe destruir el soporte, antes de ser eliminados o
reutilizados.
El Jefe del SGSI es el responsable de verificar y borrar datos de los equipos. Los
datos deben ser borrados utilizando la herramienta Eraser, pero si, teniendo en cuenta
la sensibilidad de los datos, el proceso no es suficientemente seguro, entonces los
soportes de almacenaje deben ser destruidos.
24
El Jefe del SGSI es el responsable de borrar datos de los soportes mviles de
almacenaje. Los datos deben ser borrados utilizando la herramienta Eraser, pero si,
teniendo en cuenta la sensibilidad de los datos, el proceso de borrado no es
suficientemente seguro, entonces los soportes de almacenaje deben ser destruidos.
El objetivo de esta poltica es definir cmo se controlan los cambios en los sistemas de
informacin.
El objetivo de esta poltica es garantizar que las copias de seguridad sean creadas de
acuerdo a intervalos definidos y sean verificadas peridicamente.
Se debe crear copias de seguridad para el servidor que contiene las mquinas
virtuales el cual tiene el nombre de Neptuno, as tambin todos los servidores que se
25
encuentran virtualizados en el servidor Neptuno. Los servidores deben ser
respaldados cada da viernes en el disco duro asignado.
En este punto se explicarn los procesos que han sido definidos y los existentes que
han sido modificados. Debido a que no todos los controles que Amisoft determin que
se deberan definir fueron incluidos en el alcance de la tesis, en este punto se tratarn
solo los que hacen referencia a la Tabla 1 del presente documento.
Para entender los nuevos procesos definidos primero es necesario exponer cul es la
situacin actual del mapa de procesos de Amisoft (ver Figura 11). Amisoft cuenta con
seis grupos de procesos:
Gestin de procesos
Gestin de recursos
Relacin con el cliente
Diseo y Desarrollo
Produccin y Prestacin
Planificacin
26
En la Figura 12 se muestra con una marca de color rojo los procesos que fueron
afectados dentro del proceso de definicin de procesos de seguridad de la
informacin. Todos los procesos fueron implementados usando EPF Composer y el
listados de estos se encuentra en el Anexo C.
27
Por esta razn fue necesario definir un proceso para gestin de riesgos de la
seguridad de la informacin que se encargue de su evaluacin y tratamiento (ver
Figura 13).
28
de riesgos y es realizada por el grupo de seguridad de la informacin y el jefe
de seguridad de la informacin.
Revisin de evaluacin y tratamiento de riesgos, debido a que los riesgos
puede evolucionar o cambiar por otros con esto se busca mantener actualizado
y vigente los riesgos a los que se encuentra expuesto Amisoft. La revisin es
realizada por el grupo de seguridad de la informacin y el jefe de seguridad de
la informacin quienes actualizan la lista de riesgos y el cuadro de tratamiento
de riesgos.
Elaborar plan de tratamiento de riesgos, planifica la implementacin de los
controles para los riesgos, el plan se especifica en el plan de tratamiento de
riesgos y es realizado por el jefe de seguridad de la informacin.
Definir declaracin de aplicabilidad, con esta tarea se busca definir qu
controles son adecuados para implementar en Amisoft, cules son los objetivos
de esos controles y cmo se implementan. Tambin tiene como objetivo
aprobar riesgos residuales y aprobar formalmente la implementacin de los
controles mencionados. El artefacto asociado a esta tarea es la declaracin de
aplicabilidad y es ejecutada por el jefe de seguridad de la informacin.
Elaboracin del informe de evaluacin y tratamiento de riegos, documenta el
proceso para obtener los resultados de la evaluacin y tratamiento de riesgos
en el informe sobre evaluacin y tratamiento de riesgos, el cual es realizado
por el jefe de seguridad de la informacin.
29
30
3.3.2 Recursos humanos
El proceso para recursos humanos ya se encuentra definido en el APF por esta razn
solo fue necesario modificarlo para que cumpla con los requerimientos de seguridad.
Dentro de la actividad Seleccionar y contratar nuevo personal se agregaron las tareas:
1) Verificacin de antecedentes, en la cual se realiza una verificacin de las
referencias, el curriculum vitae, calificaciones acadmicas y profesionales por parte del
subgerente de recursos humanos. 2) Definir responsabilidades para la seguridad de la
informacin (ver Figura 14), la cual indica las responsabilidades de empleados y las de
la organizacin sobre la seguridad de la informacin lo que genera el artefacto
Declaracin de aceptacin de documentos del SGSI. As tambin, evita que la
informacin que recibir el nuevo personal de Amisoft no sea divulgada mediante el
artefacto Acuerdo de confidencialidad de la informacin. Estas tareas son ejecutadas
por el subgerente de recursos humanos.
31
32
3.3.3 Responsabilidad de los activos
Este proceso fue definido completamente puesto que en Amisoft no se tiene un control
de los activos. El proceso se encuentra conformado por tres tareas (ver Figura 15):
33
34
La actividad Control de acceso est definida por siete tareas (ver Figura 17):
35
Revocar acceso por mantenimiento, debido a que pueden existir permisos que
no fueron revocados, es necesario que el administrador de la configuracin
elimine estos permisos segn lo estipulado en la poltica de control de acceso.
La actividad Control de claves est formada por tres tareas (ver Figura 18):
36
Realizar cambio de clave, cada empleado de Amisoft debe realizar el cambio
de clave a la que se encuentra generada de acuerdo a la poltica.
Por ltimo, la actividad Eliminacin y destruccin est conformada por dos actividades
(ver Figura 19) que garantizan que la informacin despus de utilizada no puede ser
utilizada por terceros ajenos a la organizacin:
37
38
39
Figura 22 Pruebas
40
3.3.6 Procesos de ingeniera segura del sistema
En las tareas Generar lista preliminar de riesgos y Hacer seguimiento de riesgos del
proyecto ahora se debe evaluar los riesgos correspondientes a la seguridad de la
informacin (ver Figura 23):
Dentro de las actividades relacionadas a las pruebas tambin fue necesario realizar
cambios a ciertas tareas, siendo la primera de ellas el Generar el plan de pruebas.
Esta tarea debe realizar pruebas a requerimientos de seguridad de la especificacin
de requerimientos (ver Figura 24).
41
En Amisoft se tiene un proceso para gestin de incidencias, pero estas incidencias son
las que se producen en el lado del cliente y son resueltas por los programadores o
jefes de proyecto en Amisoft segn el proceso descrito y no tienen injerencia en los
procesos de seguridad de la informacin.
42
Se defini la actividad Respuesta a incidentes la cual est conformada por cuatro
tareas (ver Figura 26) que son descritas a continuacin:
43
44
de tratamiento de riesgo, es necesario realizar una estrategia de recuperacin
para el caso que las actividades hayan quedado indisponibles. El jefe de
seguridad de la informacin lo registra en la estrategia de recuperacin.
Mantenimiento y revisin, las estrategias deben ser probadas por parte del
rea de QA para que se asegure que estas funcionen de manera correcta.
Para esto se generan cuatro tareas (ver Figura 28):
o Generar plan de pruebas de estrategias, se genera el plan de pruebas,
donde se especifican los tipos de prueba que aplican a la estrategia y
los recursos a utilizar. El Jefe del SGSI debe aprobar el plan de pruebas
generado por el analista QA.
o Crear casos de prueba y datos de prueba de estrategias, se registran
los casos de prueba correspondientes en Testlink. Adems, se deben
definir los datos de prueba que se utilizarn en la ejecucin de pruebas
y el resultado esperado. Los datos de pruebas pueden ser generados
por el equipo de trabajo, el equipo de pruebas o proporcionados por el
cliente, lo cual debe quedar establecido en el Plan de Pruebas. Para los
datos de prueba se debe evitar el uso de datos operacionales que
contienen informacin personal identificable o cualquier otro tipo de
informacin confidencial. Si se utiliza informacin personal identificable
o informacin confidencial para fines de prueba, todos los detalles y
contenido sensible se debe proteger mediante su retiro y modificacin.
El analista QA registra las pruebas en Testlink.
o Ejecutar pruebas de estrategias, se ejecutan las acciones y
procedimientos establecidos para cada prueba, aplicando los casos de
prueba definidos y los datos de pruebas generados para tal efecto. La
finalidad es validar la funcionalidad de la aplicacin. Los errores
encontrados son registrados por el analista QA en Mantis y deben ser
corregidos por la persona asignada en cada uno de ellos. Esta tarea se
ejecuta hasta que no existan ms defectos o hasta que el cliente
autorice el paso del producto con los errores debidamente identificados
y a conciencia (caso del producto no conforme).
o Realizar aprobacin QA de estrategia, luego de que el rea de QA
verific que la estrategia cumple con todas las especificaciones, da la
autorizacin para que pueda ser implantada en el manual.
45
46
Figura 28 Mantenimiento y revisin
Seleccionar auditores, el jefe del SGSI propone al equipo auditor que ser
integrado por un auditor lder y un nmero suficiente de auditores segn el
tamao del SGSI a auditar.
Elaboracin del Plan de auditora interna, el Auditor Lder prepara y comunica
el plan de auditora con antelacin mnima de una semana a los involucrados
(auditores y auditados). el plan de auditora, debe asegurar que los auditores
no auditen su propio trabajo, y/o que no auditen el rea donde hayan trabajado
anteriormente en un perodo de seis meses.
Revisin del plan de auditora, el plan de auditora debe ser revisado por los
auditados y formalmente aprobado por el Jefe del SGSI o quien solicite la
auditora. Esta tarea genera el Checklist de auditoria.
Elaboracin de checklist de auditora, el Auditor Lder debe asignar a cada
auditor interno los elementos especficos auditar. Los auditores
elaboran/actualizan los checklist asignados.
Realizacin de la auditora, esta es una actividad que se ejecuta al finalizar las
tareas anteriores y la conforman cinco tareas (ver Figura 30):
o Reunin de apertura, se presenta el equipo de auditores al rea
auditada y se establece la comunicacin oficial. Se revisan los
alcances, objetivos, procedimiento y mtodos de auditora que sern
utilizados. El Auditor Lder informa de los puntos dbiles y las reas de
preocupacin detectadas durante la elaboracin del plan de la auditoria.
Se recibe la retroalimentacin de los problemas y preocupaciones
detectados segn los auditados. El equipo de auditor asegura la
disponibilidad de los recursos para realizar la auditora. Finalmente, se
confirma el cronograma de las reuniones establecidas y el tiempo y
fecha para la reunin final. Los artefactos asociados son: el plan de
auditoria interna, el checklist de auditoria y la minuta de reunin.
47
o Recoleccin de la evidencia, el equipo de auditora interna es
responsable de recopilar, verificar y registrar toda la evidencia objetiva y
registros de seguridad que demuestren la adherencia y cumplimiento de
los requisitos de seguridad enunciado en el manual de seguridad de la
informacin, con el apoyo de los checklist previamente elaborados. el
equipo de auditora se rene de manera constante, segn lo planificado
en el plan de auditora, para compartir hallazgos, homologar criterios,
identificar reas de oportunidad y no conformidades encontradas y
retroalimentar al equipo de auditores internos.
o Anlisis y documentacin de la evidencia recolectada, el equipo de
autora interna debe resumir los datos recolectados en informacin til
para detectar posibles problemas. La informacin recolectada es
analizada para determinar si un problema es crtico, mayor o menor,
analizar sus riesgos y consecuencias e investigar las causas de estos
problemas. El equipo de auditora interna documenta los hallazgos
encontrados en la lista de observaciones y no conformidades,
identificando claramente cules pertenecen a no conformidades y
observaciones, apoyndose en el procedimiento de acciones
correctivas y preventivas.
o Realizar informe de auditora, el Auditor Lder, con el apoyo del equipo
de auditora, elabora el informe de auditora, el cual contiene la
informacin sobre la conduccin de la auditora, los hallazgos
realizados y las conclusiones derivadas. Adems de promover las
acciones preventivas y correctivas. A partir de la fecha de reunin de
cierre, el equipo auditor tiene un plazo de cinco das hbiles, para
confeccionar el informe de la auditora. Dicho informe debe ser
distribuido al Jefe del SGSI y a los auditados.
o Reunin de cierre y retroalimentacin de los auditados, se presentan las
observaciones y no conformidades a los auditados, se explican los
resultados de la auditora. Se aclaran las diferencias aun existentes
entre el equipo auditor y auditado. Se genera la minuta de reunin.
48
Figura 29 Auditoria de seguridad
49
3.3.10 Copias de seguridad
Amisoft no contaba con un proceso definido para realizar las copias de seguridad.
Estas se realizaban solo en casos puntuales y los respaldos se mantenan en el
mismo lugar que el archivo original. Gracias a la Poltica de creacin de copias de
seguridad se define la actividad Copias de seguridad dentro de la Administracin de la
configuracin. Esta actividad comprende las siguientes dos tareas (ver Figura 31) que
reducen el impacto de un riesgo al no tener copias de seguridad de los servidores.
50
con la seguridad de la informacin. Para esto se crea la tarea Identificacin de
requisitos de legislacin, normativos y contractuales (ver Figura 32), esta tarea se
encuentra junto a las dems tareas de auditoria ya que es dentro de este proceso que
se verifica que se cumpla con los requisitos legales. Aqu el analista PPQA, el gerente
de proyectos y la Gerencia General elaboran la Lista de requisitos legales, normativos
y contractuales.
51
4 Verificacin y Validacin
Durante este captulo se detallan los procesos de verificacin y validacin del trabajo
realizado. En la seccin 4.1 se describe el proceso que fue realizado internamente en
Amisoft mientras que la seccin 4.2 explica la validacin con un experto externo y
como se calific a Amisoft en una auditoria real.
4.1 Verificacin
Para explicar este proceso se toma como ejemplo el control 8.1.1 Inventario de
Activos, en la cual la norma indica: Se deberan identificar los activos asociados a la
informacin y las instalaciones de procesamiento de informacin y se debera elaborar
y mantener un inventario de estos activos. Al contrastar el control que indicado por la
normal con nuestro proceso tenemos que la tarea inventario de activos cumple con lo
indicado por el control dado que esta tarea genera un artefacto con el nombre de
Inventario de activos en la cual estn identificados cada uno de los activos de Amisoft.
De esta manera queda comprobado que se cumple con el control.
Mediante esta tcnica se estableci que se satisfacen 41 controles (ver Tabla 3) de los
64 que fueron definidos como aplicables por parte de Amisoft. Los 23 controles
faltantes se encuentran fuera del alcance de este tema de tesis.
ID Control definido
52
A.6.1.2 Segregacin de deberes
A.6.2.2 Teletrabajo
A.7.1.1 Seleccin
53
A.14.2.8 Pruebas de seguridad del sistema
4.2 Validacin
Una vez finalizado el trabajo establecido para este proyecto de tesis fue necesario que
se realice una validacin objetiva por parte de un experto externo a la empresa, quien
es la ingeniera Janeth Calle y ha trabajado tres aos en temas concernientes a
seguridad de la informacin y en especial en la norma ISO, as tambin actualmente
esta finalizando su magister en Seguridad y Peritaje informtico. El experto determin
el grado de adherencia de los procesos definidos en esta tesis con respecto a la
norma ISO/IEC 27001:2013. Al final de la etapa de validacin se obtuvieron las
observaciones presentadas por parte del auditor, las cuales sern tomadas como
mejoras futuras al proceso.
4.2.1 Metodologa
54
2. Revisin del plan de auditora, el plan de auditora realizado en la fase anterior
se revis y aprob por el Jefe del SGSI (al no existir todava formalmente este
cargo en la empresa, este fue tomado por el autor de esta tesis).
3. Reunin de apertura, se revisaron los alcances, objetivos, procedimiento y
mtodos de auditora a utilizarse; se confirma el cronograma de las reuniones
establecidas y el tiempo y fecha para la reunin final.
4. Recoleccin de la evidencia, el Auditor Lder fue responsable de recopilar,
verificar y registrar toda la evidencia objetiva y registros de seguridad que
demostraron la adherencia y cumplimiento de los requisitos de seguridad
enunciados en la Poltica de seguridad de la informacin y contrastados con la
norma ISO/IEC 27001:2013.
5. Anlisis y documentacin de la evidencia recolectada, la informacin
recolectada fue analizada por el Auditor Lder y clasific los hallazgos
encontrados en:
No conformidades, representan faltas parciales o completas de algn
requisito de la norma.
Observaciones, corresponden a sugerencias indicadas por el auditor
para la mejora del SGSI.
6. Realizar informe de auditora, el Auditor Lder elabor el informe de auditora, el
cual contiene la informacin sobre la conduccin de la auditora, los hallazgos
realizados y las conclusiones derivadas. Adems de promover las acciones
correctivas.
7. Reunin de cierre y retroalimentacin, una vez finalizada la auditoria se realiz
la reunin de cierre en la que se presentaron las observaciones y no
conformidades, junto con la explicacin de los resultados de la auditora.
ID Clusula
5.2 Poltica
55
6.2 Objetivos de la seguridad de la informacin y planificacin para lograrlos
7.1 Recursos
7.2 Competencias
7.3 Conocimiento
7.4 Comunicacin
Una vez que finaliz el proceso de validacin, el evaluador externo present el informe
de auditora con las observaciones y no conformidades que son presentados en la
Tabla 5 y Tabla 6 en las que la columna Referencia indica el tem correspondiente a la
norma ISO/IEC 27001:2013 o en el caso de que la referencia tenga una letra A
corresponde a la ISO/IEC 27002:2013. La columna Detalle describe la observacin o
no conformidad encontrada. La Tabla 5 muestra las observaciones, las cuales son
oportunidades de mejora pero que no interferiran en un proceso de certificacin. Por
otro lado en la Tabla 6 se encuentran las no conformidades. Si es que estas no son
corregidas para una prxima auditoria, no se podr lograr la certificacin deseada.
56
Observaciones
Referencia Detalle
No Conformidades
Referencia Detalle
57
procesos resultantes de estos no son adheridos a la norma. Por esta razn una vez
finalizada la validacin por parte del auditor se tomaron los resultados obtenidos, se
realizaron las modificaciones a las polticas para que las observaciones (ver Tabla 7) y
ms importante an las no conformidades (ver Tabla 8) fueran solucionadas.
Observaciones
Referencia Accin correctiva
No Conformidades
Referencia Accin correctiva
58
Conclusiones y Trabajo Futuro
4.3 Conclusiones
De esta manera se puede concluir que se cumpli con el objetivo principal y con los
objetivos secundarios:
59
tareas), mientas que los programadores (quienes son la mayor cantidad de
empleados) realizan la menor cantidad de tareas de seguridad (cinco tareas).
Si bien los objetivos de la tesis se cumplieron a cabalidad, todava existe trabajo que
se debe realizar a futuro para cumplir con una correcta gestin de la seguridad de la
informacin en Amisoft.
Una vez que la APF sea aplicada a toda la empresa el objetivo de esta es conseguir
la certificacin ISO/IEC 27001:2013. Debido a que el rubro de negocio de Amisoft
implica manejar informacin confidencial al tener esta certificacin obtiene una ventaja
ante sus competidores comerciales dando la confianza a sus clientes de que su
informacin se encuentra segura.
En Amisoft se decidi dejar este tem fuera del primer trabajo, pero la recomendacin
por parte del auditor en la fase de validacin fue que este tem se debera tener en
cuenta implementarlo posteriormente. Esto es debido a que los servidores
actualmente se encuentran en lugares que no son ptimos para albergar la
informacin de manera ptima. Si bien Amisoft no cuenta con un lugar solo para los
servidores en este momento, se debe analizar esta situacin teniendo en cuenta el
nivel de crecimiento de la empresa.
60
Bibliografa
[Brit07] British Standards Institution. TickIT Guide, 2007.
[Sei10] Software Engineering Institute. CMMI for Development, Version 1.3, (CMMI-
DEV, V1.3), Technical Report CMU/SEI-2010-TR-033, 2010.
61
Anexos
En la Tabla 9 se listan cada uno de los controles que fueron elegidos para la definicin
por parte de Amisoft. As tambin se indica en el estado que se encontraban cada uno
al momento de realizar la etapa de diagnstico.
62
ID Controles segn la norma ISO/IEC 27001 Estado
63
ID Controles segn la norma ISO/IEC 27001 Estado
A.11.2 Equipos
64
ID Controles segn la norma ISO/IEC 27001 Estado
A.12.3 Respaldo
65
ID Controles segn la norma ISO/IEC 27001 Estado
A.18 Cumplimiento
66
ID Controles segn la norma ISO/IEC 27001 Estado
67
Anexo B Tablas de descripcin de los controles seleccionados
Control Clusula
68
Entrega de acceso a los usuarios Control de acceso
69
informacin negocio
70
Pruebas
71
Anexo C Tareas y artefactos
En la Tabla 13 se muestran las tareas con los roles que las ejecutan y los artefactos
resultantes.
72
administrador de la
configuracin
73
informacin, Subgerente de
RRHH
74
informacin
75
seguridad configuracin
76
administracin de la configuracin
configuracin
77
Anexo D Informe de auditora
Cliente: Amisoft
Alcances
Liderazgo y compromiso
Poltica
Roles organizacionales, responsabilidades y autoridades
Mejora continua
NA NA
78
Poltica de claves
Cronograma
Hora
N Actividad Participantes Fecha Hora Fin Lugar
Inicio
Nombre Cargo
79
N Referencia No Conformidad
OBSERVACIONES
N Referencia Observaciones
3. Todos los documentos Revisar que la fecha de vigencia del documento sea la correcta.
Observaciones al Informe:
80