NEXT-SOLUCIONES E.I.R.L es una empresa de informática y
telecomunicaciones que se ha especializado en la venta de equipos de cómputo, venta de equipos de seguridad y videovigilancia, redes cableadas y redes inalámbricas, y soporte técnico que tienen como objetivo principal equilibrar los requerimientos concurrentes de calidad, efectividad, tiempo y costes; adaptando las especificaciones, los planes y enfoque a las diversas inquietudes y expectativas de los clientes.
Actualmente no existe un control adecuado que asegure la
confidencialidad, proteja la integridad de la información en su totalidad y que garantice la disponibilidad, así como la precisión durante el tratamiento de la información, razón por la cual no se cuenta con la correcta protección de los datos de clientes, empleados, socios comerciales y la sociedad en general.
El trabajo se enfoca en el aseguramiento de los controles adecuados
sobre la confidencialidad, integridad y disponibilidad de la información, a través del establecimiento de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001, de forma que se garantice un tratamiento adecuado de los problemas de seguridad de la información teniendo en cuenta el PHVA (planificar, hacer, verificar y actuar).
1.1 ALCANCES Y LIMITACIONES
En este proyecto se pretende analizar la situación actual de la
empresa NEXT-SOLUCIONES EIRL para establecer un sistema de gestión de seguridad de la información, implementando la ISO 27001, se recomendó definir de manera sistemática el alcance del proyecto, en las áreas de CONTROL DE ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.
a) Control de activos: Para este punto se sugiere realizar un
inventario de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una parte designada de la empresa. Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la situación actual de la empresa, se realizará un análisis de gap. b) Seguridad de los recursos humanos: Se tiene como objetivo asegurar que los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y son aptos para ejercer las funciones para las cuales están siendo considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las instalaciones.
El director de proyectos contará con la documentación necesaria
para el establecimiento del SGSI.
Se establece generar los siguientes entregables:
- Documento que contiene el SGSI.
- Manual del diseño del SGSI - Preservar los activos de la empresa - Disminuir el impacto de los riesgos potenciales sin necesidad de grandes cambios. - Planificación e implantación de ciertos controles basados en un cuidadoso análisis de riesgo. - Permitir obtener una visión global del estado de los sistemas de información. - Tomar mejores decisiones estratégicas. - Crear un plan de diseño, implementación, y mantenimiento de una serie de procesos que permitan gestionar de manera eficiente la información, para asegurar la integridad, confidencialidad y disponibilidad de la información.
El proyecto estará limitado por los siguientes factores:
- Disponibilidad de tiempo del director de proyectos e
implementadores de la organización. - Veracidad e integridad del campo de acción de la organización e inventario de todos los datos críticos.
4. CAPÍTULO IV. SELECCIÓN DE SALVAGUARDAS
Luego de estimar los riesgos, se buscan medidas de protección o
conocidas como salvaguardas que consisten en tratar las posibles amenazas del sistema y reducir el riesgo total del mismo. Pueden ser procedimientos, como la documentación y gestión de incidentes, políticas de personal, soluciones técnicas; o medidas de seguridad física de las instalaciones. Por otro lado se establece la política de seguridad, con el fin de establecer las reglas básicas, para garantizar la confidencialidad, integridad y disponibilidad de la información, así como los controles recomendados, monitoreo y asignación de responsabilidades, teniendo en cuenta la matriz RASCI.
1.1 ESTRATEGIAS PARA TRATAMIENTO EL RIESGO
Una vez evaluados todos los riesgos posibles, es momento de buscar
un tratamiento de los mismos. Evidentemente, todos los riesgos no tienen el mismo nivel de gravedad. Por esta razón, y dado que sería demasiado costoso buscar un tratamiento para todos y cada uno de ellos, nos centraremos en los más importantes, es decir, aquellos que se definen como “riesgos inaceptables”.
-Implementar los controles de seguridad de la norma ISO 27001.
-Transferir el riesgo, esto podría ser, por ejemplo, cuando contratamos una póliza de seguro y transferimos el riesgo a la compañía de seguros que nos la ha vendido. -Evitar el riesgo, esto se puede conseguir paralizando aquella actividad que supone demasiado nivel de riesgo o haciéndola de una manera diferente. Cuando la pérdida puede ser demasiado grande, es necesario aplicar principios de diseño, técnicas y procedimientos para limitar el alcance del ataque, reduciendo así el potencial de pérdida. -Aceptar el riesgo en cuestión, esta opción sería para aquellos casos en lo que el coste de eliminar el riesgo es mayor que el daño que causará. -Cuando existe una vulnerabilidad (defecto, debilidad) es necesario implementar técnicas que garanticen la reducción de la probabilidad de que la vulnerabilidad sea explotada. 1.1. TÉCNICAS PARA EL TRATAMIENTO DEL RIESGO
De acuerdo a las prioridades de la organización y el nivel de riesgo
detectado se definen diferentes técnicas como parte del tratamiento del riesgo:
Al tratar el riesgo se toman medidas para reducirlo, y también para
establecer la forma de soportar las pérdidas que genera. Por lo tanto existen 6 medidas de tratamiento las cuales 3 son de control del riesgo y las otras 3 de financiación del riesgo. En las primeras 3 podremos encontrar: evitar, prevenir o proteger; y en las segundas están: aceptar, retener o transferir. EVITAR: Para evitar un riesgo se parte del principio de que su probabilidad es alta y representa un alto peligro para la organización, porque podría traer consecuencias muy graves en caso de la ocurrencia del siniestro, algunas formas de evitar un riesgo es no emprendiendo un nuevo proyecto evaluado como no viable, eliminando la actividad que genera un riesgo o sustituyéndola por otra que no sea tan peligrosa o que no produzca tantas perdidas, como la suspensión de alguna línea de producción, negocio, mercado objetivo, canal de distribución o medio de transporte. PREVENIR: Cuando hablamos de la medida de prevenir estamos hablando de establecer anticipadamente políticas, normas, controles y procedimientos que lleven a que el evento generador del riesgo no ocurra o disminuya su probabilidad de ocurrencia, existen muchas formas de prevención , pero las más utilizadas son: -Inspecciones y pruebas de seguridad, Entrenamiento, Inversión en información, Diversificación, Disminución del nivel de exposición, Mantenimiento preventivo PROTEGER: Al hablar de proteger estamos pensando en medidas que actúan, en el momento de presentarse el riesgo, sobre el recurso amenazado, por ejemplo los equipos de protección, como los cascos o las gafas, disminuyen el impacto del riesgo de accidente sobre los obreros de una construcción. Las medidas de protección de mayor aplicación son: • Sistemas automáticos de protección. • Equipo de protección personal. • Plan de emergencia. • Plan de contingencia. ACEPTAR: significa asumir un riesgo y las consecuencias que este atraiga en el momento que se presente. Los riesgos se aceptan cuando la frecuencia es baja e impacto leve, y no pones en peligro la estabilidad de la organización. RETENER: Estos se retienen cuando en forma planeada se crea un fondo entre otras cosas para responder ante las posibles pérdidas causadas por su ocurrencia. TRANSFERIR: El transferir un riesgo se da cuando se traspasa el riesgo a otra compañía, ya sea por medio de un contrato de outsourcing, o una póliza de seguro.
1.1.1. Asignación de Responsabilidades
Con base en los controles proporcionados por la norma ISO 27001
y el diseño de una matriz RASCI se intenta que todos los miembros de NEXT-SOLUCIONES EIRL comprendan claramente sus roles y responsabilidades correspondientes a la seguridad de la información
Dirección ejecutiva, encargado de la coordinación y
verificación de las actividades del SGSI, así como de la correcta administración de los recursos de la organización, en el momento asumido por el Director de Proyectos. Jefe de RRHH, encargado del manejo de toda la documentación enviada y/o recibida, así como de las relaciones con los proveedores y/o clientes, incluyendo las quejas y/o reclamos de los mismos, en el momento asumido por gestión humana. Jefe de adquisiciones, encargado de la gestión de activos, salvaguardando el estado completo de los mismos y manteniendo el inventario actualizado, así como la adquisición y devolución de los mismos, en el momento asumido por gestión humana, director comercial y director de proyectos. Jefe de Finanzas, encargado de la disposición de los medios y el registro de los hechos económicos, para la generación de informes ante la gerencia, en el momento asumido por gestión humana. Delegado de gestión de las instalaciones, encargado de la seguridad física y del entorno, así como de la implementación de técnicas para el correcto control de trabajo en áreas seguras. Jefe de TI, encargado de la correcta administración y funcionamiento de los recursos informáticos de la organización, así como el correcto uso de los mismos, en el momento asumido por el líder de proyectos (soporte). Jefe de NEXT-SOLUCIONES, encargado de las políticas de desarrollo seguro y el correcto aseguramiento de la confidencialidad, disponibilidad e integridad de la información, en lo que respecta a las aplicaciones y ambientes de desarrollo, en el momento asumido por los coordinadores de proyectos.