lovato city gas s.arepository.udistrital.edu.co/bitstream/11349/13419... · a7 seguridad de los...
TRANSCRIPT
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 1 de 25
PROPUESTA DE IMPLEMENTACIÓN DE UN SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA
NORMA ISO 27001:2013 PARA LA EMPRESA LOVATO CITY GAS
S.A.S
Elaborado Por: Revisado Por: Aprobado Por:
Geraldine Alejandra Ortiz Cárdenas
Liz Mayoly Esguerra Cruz Ing. Norberto Novoa Ing. Oswaldo García Martínez
Cargo: Pasantes a cargo del SGSI Cargo: Director y Asesor del trabajo de grado Cargo: Director de proyecto Lovato City Gas S.A.S
LOVATO CITY GAS S.A.S
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 2 de 25
Tabla de Contenido
0. INTRODUCCIÓN 4
1. EVALUACIÓN INICIAL 5
A5 Política de seguridad 6
A6 Organización de la Seguridad de la Información 6
A7 Seguridad de los RRHH 7
A8 Gestión de activos 8
A9 Control de accesos 8
A10 Criptografía 9
A11 Seguridad física y ambiental 9
A12 Seguridad en las operaciones 10
A13 Seguridad en las comunicaciones 11
A14 Adquisición de sistemas, desarrollo y mantenimiento 12
A15 Relación con proveedores 13
A16 Gestión de los incidentes de seguridad 13
A17 Continuidad del negocio 14
A18 Cumplimiento con requerimientos legales y contractuales 14
2. RESULTADOS 15
A5 Política de seguridad. 16
A6 Organización de la seguridad de la información. 16
A7 Seguridad de los RRHH. 17
A8 Gestión de activos. 18
A9 Control de accesos. 18
A10 Criptografía. 19
A11 Seguridad física y ambiental. 19
A12 Seguridad en las operaciones. 20
A13 Seguridad en las Comunicaciones. 21
A14 Adquisición de sistemas, desarrollo y mantenimiento. 22
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 3 de 25
A15 Relación con proveedores. 22
A16 Gestión de los incidentes de seguridad. 23
A17 Continuidad del negocio. 23
A18 Cumplimiento con requerimientos legales y contractuales. 24
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 4 de 25
LISTA DE TABLAS Tabla 1. Parámetros de evaluación.................................................................................... 7 Tabla 2. Entrevista A5 ....................................................................................................... 8 Tabla 3. Entrevista A6 ....................................................................................................... 9 Tabla 4. Entrevista A7 ....................................................................................................... 9 Tabla 5. Entrevista A8 ..................................................................................................... 10 Tabla 6.Entrevista A9 ...................................................................................................... 11 Tabla 7. Entrevista A10.................................................................................................... 11 Tabla 8. Entrevista A11.................................................................................................... 12 Tabla 9. Entrevista A12.................................................................................................... 13 Tabla 10. Entrevista A13 .................................................................................................. 13 Tabla 11. Entrevista A14 .................................................................................................. 14 Tabla 12. Entrevista A15 .................................................................................................. 14 Tabla 13. Entrevista A16 .................................................................................................. 15 Tabla 14. Entrevista A17 .................................................................................................. 15 Tabla 15. Entrevista A18 .................................................................................................. 16
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 5 de 25
LISTA DE FIGURAS Figura 1. Resumen resultados ......................................................................................... 16 Figura 2.Resultado General ............................................................................................. 17 Figura 3. A5 Política de seguridad ................................................................................... 18 Figura 4. A6 Organización de la seguridad de la información .......................................... 18 Figura 5. A7 Seguridad de los RRHH .............................................................................. 19 Figura 6. A8 Gestión de Activos ....................................................................................... 19 Figura 7. A9 Control de Acceso ....................................................................................... 20 Figura 8. A10 Criptografía ................................................................................................ 21 Figura 9. A11 Seguridad física y Ambiental ..................................................................... 21 Figura 10. A12 Seguridad en las Operaciones ................................................................. 22 Figura 11. A13 Seguridad en las Comunicaciones ........................................................... 22 Figura 12. A14 Adquisición de sistemas, desarrollo y mantenimiento .............................. 23 Figura 13. A15 Relación con proveedores ....................................................................... 24 Figura 14. A16 Gestión de los incidentes de Seguridad ................................................... 24 Figura 15. A17 Continuidad del Negocio .......................................................................... 25 Figura 16. A18 Cumplimiento con requerimientos legales y contractuales ....................... 26
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 6 de 25
0. INTRODUCCIÓN
En la actualidad, la cantidad y complejidad de información en las empresas es
considerable, los retos y amenazas a que se enfrentan día a día son
inimaginables, un mal manejo puede causar pérdidas económicas significativas,
lo que hace indispensable proteger y reforzar su activo más valioso “la
Información”, por la cual se requiere crear una disciplina de seguridad que
establezca los riesgos y las debilidades del negocio y es evidente que estas han
sentido la necesidad de demostrar que poseen un SGSI con el fin de asegurar y
controlar sus procesos.
El presente trabajo fue desarrollado en LOVATO CITY GAS S.A.S, de la ciudad
de Bogotá, se le realizo un proceso de diagnóstico, a partir del cual se determinó
que la empresa no posee los mecanismos, ni los procesos idóneos para proteger
su información, teniendo en cuenta esta situación se decidió además de diseñar
e implementar un sistema de información, realizar el levantamiento y análisis
inicial de información con el fin de evaluar el cumplimiento de cada uno de los
dominios descritos por la norma ISO 27001:2013.
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 7 de 25
1. EVALUACIÓN INICIAL
En la implementación del proceso, la alta gerencia comprendió la importancia del
proyecto y la necesidad del apoyo del recurso humano, lo que fue vital para el
inicio del levantamiento de la información para lograr la implementación del SGSI
basado en ISO 27001:2013.
Se realiza un análisis que permite evaluar el entorno de la empresa, liderazgo,
planificación, soporte, operación, evaluación de desempeño y mejoras, que se
convierten en elementos esenciales para actuar según la norma.
La evaluación permite establecer el nivel de cumplimiento de la norma en Lovato
city gas S.A.S. Por lo tanto, las respuestas de la Entrevista se medirán a través
de un rango de cumplimiento establecido entre 1-39 para bajo, 40-69 para Medio
y 70-100 Alto. De acuerdo a la información que se presenta en la siguiente tabla:
Estado de Evaluación
Rango Descripción
BAJO 0-39
No existe y/o se requieren mejoras
sustanciales para establecer o fortalecer la
norma ISO/IEC 27001 versión 2013
MEDIO 40 a 69
Se requiere de atención con el fin de
fortalecer la norma ISO/IEC 27001 versión
2013.
ALTO 70 a 100
Existe y/o es acorde a la norma ISO/IEC
27001 versión 2013, Es importante
fortalecer su autoevaluación y mejora
continua.
Tabla 1. Parámetros de evaluación
Fuente: Autores
A continuación, se presenta la entrevista aplicada en Lovato City Gas S.A.S. a
Alexander Serrano Cubillos, Gerente de la compañía en apoyo con el
representante del área de tecnología de la empresa Ingeniero Oswaldo García
Martínez
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 8 de 25
En la entrevista se evalúan 100 ítems que hacen referencia a los dominios de:
Política de seguridad, Organización de la Seguridad de la Información, Seguridad
de los RRHH, Gestión de activos, Control de accesos, Criptografía, Seguridad
física y ambiental, Seguridad en las operaciones, Seguridad en las
comunicaciones, Adquisición de sistemas, desarrollo y mantenimiento, Relación
con proveedores, Gestión de los incidentes de seguridad, Continuidad del negocio
y Cumplimiento con requerimientos legales y contractuales.
A5. Evaluación de Política de seguridad
COMPONENTE DE SEGURIDAD RANGO
¿Existe una Política de Seguridad en la compañía? 18
En la compañía hay documento(s) de políticas de seguridad del sistema de Información
10
¿La compañía tiene debidamente identificadas y restringidas las
áreas sensibles, por ejemplo, la de redes de datos? 15
¿Posee un profesional experto o un asesor calificado en las políticas,
normas y procedimientos? 42
¿El personal de la compañía ha recibido un entrenamiento o
capacitación de seguridad? 50
¿Hay en la compañía planes, procedimientos y entrenamiento para el manejo de una crisis?
20
Tabla 2. Entrevista A5 Fuente: Autores
A6. Evaluación de Organización de la Seguridad de la Información
COMPONENTE DE SEGURIDAD RANGO
¿Se le han asignado roles y responsabilidades al personal de
acuerdo a sus funciones con el resguardo de la información? 47
¿Existen políticas de seguridad y se han dado a conocer a todo el personal?
52
¿Se realizan evaluaciones periódicamente acerca de la seguridad 95
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 9 de 25
COMPONENTE DE SEGURIDAD RANGO
de la información de cualquier proyecto implementado o a
desarrollar?
Se ha implementado la seguridad de telefonía móvil, restricciones al
ingreso a internet, (encriptación, ¿control y bloqueo de la
información)?
20
¿Existen programas de formación en seguridad para los empleados, clientes y terceros?
18
¿Existe un acuerdo de confidencialidad de la información? 90 Tabla 3. Entrevista A6
Fuente: Autores
A7. Evaluación de Seguridad de los RRHH
COMPONENTE DE SEGURIDAD RANGO
¿Se exponen a los usuarios con claridad los cuidados que tiene con la empresa, en cuanto a la información que van a manejar?
65
Se ha capacitado el personal sobre seguridad de la información sobre las amenazas, riesgos y vulnerabilidades, ¿así como socializar el manual de funciones?
60
¿Se ha dado a conocer los reglamentos de ética profesional? 95
¿La empresa ofrece planes de formación continúa promoviendo el desarrollo de una carrera profesional de sus empleados?
70
Existe, documentación, actas tanto para la entrega y/o recibo de los bienes de la empresa?
19
¿Se realizan inducciones al puesto de trabajo a cada empleado? 64
Se informa a los usuarios internos de la legislación sobre los delitos informáticos y sus las penalidades en caso de fraude, ¿robo o fuga de información, daño o sabotaje informático?
21
Se informa a los usuarios de que no deben, bajo ninguna circunstancia, ¿probar las vulnerabilidades?
17
¿Se realiza un proceso disciplinario en caso de violación de
la seguridad de la información? 10
Tabla 4. Entrevista A7 Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 10 de 25
A8. Evaluación de Gestión de activos
COMPONENTE DE SEGURIDAD RANGO
Hay una persona encargada del Área de Sistemas, que ejecute el
levantamiento total de inventarios de los activos que cuenta la
empresa, clasificado por niveles, manteniendo un inventario de
activos definidos, relación de los riesgos con tipo de activos,
¿mantener registros de personas con sus capacitaciones y realizar
las hojas de vida de cada elemento de cómputo?
68
Se realiza la individualización de los activos físicos y se dejan
soportes de los mismos?
75
Se dispone de una clasificación de la información según la
criticidad de la misma?
19
¿Existe una persona responsable de los activos? 64
¿Esta implementada una política y gestión para el manejo de Activos Fijos?
18
¿Están implementadas las políticas de usuario? 20
Tabla 5. Entrevista A8 Fuente: Autores
A9. Evaluación de Control de accesos
COMPONENTE DE SEGURIDAD RANGO
¿Se ha desarrollado o implementado políticas de control de acceso de la Seguridad informática?
62
¿Están definidas las políticas relacionadas con el uso y manejo de
datos? 54
¿Existen procesos de autorización uso de redes y servicios? 24
¿Existe una persona encargada de la dirección de los
usuarios? 49
¿Existen procedimientos de registro, autorización, verificación
y cancelación de usuarios para sistemas y servicios? 16
¿Se hace uso de password en los equipos y dispositivos de la empresa?
81
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 11 de 25
¿Se controla y protege el acceso a los equipos? 15
¿Existen políticas de mantenimiento y aseo en el escritorio de los
equipos? 47
¿Hay establecidos permisos de acceso a las aplicaciones
informáticas existentes en la empresa? 34
¿Se ha implementado y soportado todo proceso para el retiro o
cambio de ocupación del personal de la empresa? 13
¿Se han implementado políticas de control de acceso a
servicios informáticos? 40
¿Se han implantado políticas para no compartir contraseñas? 17
¿Se han implementado privilegios a los usuarios para que no se asignen más de dos perfiles o permisos de los diferentes sistemas o programas y nunca dejarlo como administrador del equipo?
45
¿Existe un control del routing de las redes? 10
¿Existen procesos para el control de acceso a códigos fuentes de
programas? 25
¿Se han implementado procedimientos de log-on al terminal? 19
¿Se han incorporado políticas de seguridad a la computación
móvil? 21
Tabla 6.Entrevista A9
Fuente: Autores
A10. Evaluación de Criptografía
COMPONENTE DE SEGURIDAD RANGO
¿Se han implementado controles criptoFiguras? 10
¿Se han implementado procedimientos para el uso de llaves
criptográficas?
13
¿Se ha diseñado una política para la protección y tiempo de vida
de las llaves criptográficas?
9
Tabla 7. Entrevista A10
Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 12 de 25
A11. Evaluación de Seguridad física y ambiental
Tabla 8. Entrevista A11
Fuente: Autores
A12. Evaluación de Seguridad en las operaciones
COMPONENTE DE SEGURIDAD RANGO
Todos los procedimientos operativos identificados en la política
de seguridad han de estar documentados
65
Existe algún método para reducir el mal uso accidental o
deliberado de los Sistemas
74
Existe una separación de los entornos de desarrollo y
producción
76
Existen contratistas externos para la gestión de los Sistemas de
Información
23
COMPONENTE DE SEGURIDAD RANGO
Se tienen definidos perímetros, recepción, puertas, alarmas y
separación física
78
Se desarrolla un control al acceso a las instalaciones e
información vital de los sistemas de Información de la
organización
95
Un área segura ha de estar cerrada, aislada y protegida de
eventos naturales
45
En las áreas seguras existen controles adicionales al personal
propio y ajeno
52
La ubicación de los equipos está de tal manera para minimizar
accesos innecesarios
47
Existen protecciones frente a fallos en la alimentación eléctrica 15
Existe seguridad en el cableado frente a daños e intercepciones 18
Se asegura la disponibilidad e integridad de todos los equipos 54
Existe algún tipo de seguridad para los equipos retirados o
ubicados externamente
65
Se incluye la seguridad en equipos móviles 14
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 13 de 25
COMPONENTE DE SEGURIDAD RANGO
Existe un Plan de Capacidad para asegurar la adecuada
capacidad de proceso y de almacenamiento
76
Controles contra software maligno 68
Realizar copias de Backups de la información esencial para el
negocio
87
Existen logs para las actividades realizadas por los operadores y
administradores
49
Existen logs de los fallos detectados 25
Existen rastros de auditoría 22
Hay establecidos controles para realizar la gestión de los medios
informáticos (cintas, discos, removibles, informes impresos)
23
Tabla 9. Entrevista A12
Fuente: Autores
A13. Evaluación de Seguridad en las comunicaciones
COMPONENTE DE SEGURIDAD RANGO
Existe algún control en las redes 12
Existe seguridad de la documentación de los Sistemas 56
Existen acuerdos para intercambio de información y
software
67
Existen medidas de seguridad en el comercio electrónico 24
Se han establecido e implantado medidas para proteger la
confidencialidad e integridad de información publicada
87
Existen medidas de seguridad en las transacciones en
línea
17
Tabla 10. Entrevista A13
Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 14 de 25
A14. Evaluación de Adquisición de sistemas, desarrollo y mantenimiento
COMPONENTE DE SEGURIDAD RANGO
Están establecidas las responsabilidades para controlar los
cambios en equipos
23
Existen criterios de aceptación de nuevos SI, incluyendo
actualizaciones y nuevas versiones
87
Se garantiza que la seguridad está implantada en los Sistemas
de Información
68
Existe seguridad en las aplicaciones 67
Existe seguridad en los ficheros de los sistemas 59
Existe seguridad en los procesos de desarrollo, testing y
soporte 63
Existen controles de seguridad para los resultados de los
sistemas
75
Existe la gestión de los cambios en los SO 21
Se controlan las vulnerabilidades de los equipos 19
Tabla 11. Entrevista A14 Fuente: Autores
A15. Evaluación de Relación con proveedores
COMPONENTE DE SEGURIDAD RANGO
Existe una política de seguridad de la información para las
relaciones con proveedores
15
Existe un acuerdo documentado con cada proveedor que tenga
acceso a la infraestructura de TI
17
Se monitorean las actividades relacionadas a la seguridad con
los proveedores
11
Los acuerdos con proveedores incluyen los requisitos para tratar
los riesgos de la seguridad de la información
14
Tabla 12. Entrevista A15 Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 15 de 25
A16. Evaluación de Gestión de los incidentes de seguridad
COMPONENTE DE SEGURIDAD RANGO
Están establecidas responsabilidades para asegurar una respuesta
rápida, ordenada y efectiva frente a incidentes de seguridad
18
Se comunican los eventos de seguridad 67
Se comunican las debilidades de seguridad 68
Existe definidas las responsabilidades ante un incidente 73
Existe un procedimiento formal de respuesta 75
Existe la gestión de incidentes 19
Tabla 13. Entrevista A16 Fuente: Autores
A17. Evaluación de Continuidad del negocio
Tabla 14. Entrevista A17
Fuente: Autores
A18. Evaluación de Cumplimiento con requerimientos legales y contractuales
COMPONENTE DE SEGURIDAD RANGO
Se tiene en cuenta el cumplimiento con la legislación por parte de
los sistemas 84
Existe el resguardo de la propiedad intelectual 93
Existe el resguardo de los registros de la organización 88
COMPONENTE DE SEGURIDAD RANGO
Existen procesos para la gestión de la continuidad 12
Existe un plan de continuidad del negocio y análisis de impacto 16
Existe un diseño, redacción e implantación de planes de continuidad 11
Existe un marco de planificación para la continuidad del
negocio
16
Existen prueba, mantenimiento y reevaluación de los planes de
continuidad del negocio
14
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 16 de 25
COMPONENTE DE SEGURIDAD RANGO
Existe una revisión de la política de seguridad y de la conformidad
técnica 14
Existen consideraciones sobre las auditorías de los sistemas 17
Tabla 15. Entrevista A18 Fuente: Autores
2. RESULTADOS
Tras el análisis se obtienen los siguientes resultados:
Figura 1. Resumen resultados
Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 17 de 25
Figura 2.Resultado General
Fuente: Autores
A nivel general, se destaca que se requiere una intervención inmediata a nivel de
los dominios relacionados con políticas de seguridad, continuidad del negocio,
criptografía y relación con los proveedores, puesto que son los que tienen mayor
índice de incumplimiento con la norma y afectan la seguridad de la información
que se requiere.
A continuación, se describen los hallazgos por cada dominio evaluado:
A5. Política de seguridad.
Es indispensable que la alta gerencia determine el control en la orientación y
soporte en la seguridad de la información de acuerdo con los requerimientos de
la empresa y con los reglamentos necesarios. En LOVATO CITY GAS S.A.S, por
el análisis realizado en este item a los resultados de la entrevista es claro que hay
falencias por la carencia documental de políticas, procedimientos y controles para
garantizar la seguridad de la información.
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 18 de 25
Figura 3. A5 Política de seguridad
Fuente: Autores
A6. Organización de la seguridad de la información.
De acuerdo a los resultados obtenidos de la entrevista realizada, se evidencia que
es necesario trabajar en definir un marco de referencia de gestión para iniciar y
controlar la implementación y operación de la seguridad de la información dentro
de la organización. En LOVATO CITY GAS S.A.S se ha trabajado en la asignación
de acuerdos de confidencialidad, la alta gerencia, quiere cambiar y mejorar los
temas de seguridad, sin embargo, falta una definición clara de roles y
responsabilidades con respecto a la seguridad.
Figura 4. A6 Organización de la seguridad de la información
Fuente: Autores
A7. Seguridad de los RRHH.
Se hace necesario orientar a los empleados y contratistas para que comprendan
sus responsabilidades y saber si son idóneos en los roles para los que se
consideran. Debido a que se realizó una revisión documental y no existe una
asignación de responsabilidades y roles de seguridad, como se mencionó en el
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 19 de 25
anterior dominio, LOVATO CITY GAS S.A.S tiene deficiencias para proteger los
intereses de la organización, principalmente, en los procesos de cambio o
terminación de empleo y la detección de vulnerabilidades.
Figura 5. A7 Seguridad de los RRHH
Fuente: Autores
A8. Gestión de activos.
Es importante clasificar los activos organizacionales y asignar las
responsabilidades de protección adecuadas garantizando que la información
recibe un nivel apropiado de seguridad, de acuerdo con su importancia para la
empresa. LOVATO CITY GAS S.A.S ha realizado un inventario de activos, pero,
no está totalmente actualizado y hacen falta procedimientos documentados y
comunicados al personal para la clasificación de la información según su
criticidad.
Figura 6. A8 Gestión de Activos
Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 20 de 25
A9. Control de accesos.
En LOVATO CITY GAS S.A.S, se hace uso de contraseñas como medida para
restringir el acceso a sus sistemas y se tiene conocimiento de la necesidad de
desarrollar políticas de control de accesos a sistemas, servicios e información y a
las instalaciones de procesamiento de información que garanticen el acceso de
los usuarios autorizados y gestión de contraseñas, razón por la que se han
tomado medidas basadas en las experiencias vividas, pero, no existe
documentación formal y/o estandarizada.
Figura 7. A9 Control de Acceso
Fuente: Autores
A10. Criptografía.
Con la criptografía se busca asegurar el uso apropiado y eficaz de esta para
proteger la confidencialidad, autenticidad y/o la integridad de la información. Con
el resultado de la entrevista se infiere que en LOVATO CITY GAS S.A.S no
existen procedimientos sobre el uso, protección y tiempo de vida de las llaves
criptográficas. Al igual, que no existen controles criptoFiguras de forma que la
información crítica puede verse expuesta fácilmente a amenazas de seguridad.
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 21 de 25
Figura 8. A10 Criptografía
Fuente: Autores
A11. Seguridad física y ambiental.
En LOVATO CITY GAS S.A.S se han restablecido procedimientos básicos para
prevenir el acceso físico al personal no autorizado, el daño y la interferencia a la
información. No obstante, se recomienda tomar acciones específicas,
documentadas y comunicadas para prevenir la pérdida, daño, robo o compromiso
de activos y la interrupción de las operaciones de la organización.
Figura 9. A11 Seguridad física y Ambiental
Fuente: Autores
A12. Seguridad en las operaciones.
La seguridad en las operaciones tiene como objetivo conseguir operaciones
correctas y seguras de las instalaciones de procesamiento de información.
Contiene controles contra códigos maliciosos, respaldo de la información,
separación de los ambientes de desarrollo, pruebas y operación, registro de
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 22 de 25
eventos. LOVATO CITY GAS S.A.S, tiene un alto índice de cumplimiento parcial
en este dominio. Se detectan problemas principalmente en:
● Implementación de logs para la detección y seguimiento a fallos.
● Ausencia de auditorías internas y/o externas.
● Falta de controles para la gestión de medios informáticos (cintas, discos,
removibles, informes impresos)
Figura 10. A12 Seguridad en las Operaciones
Fuente: Autores
A13 Seguridad en las Comunicaciones.
La necesidad por garantizar la protección de la información en las redes y la
transferencia de información en LOVATO CITY GAS S.A.S se ha orientado en la
implementación de regulaciones para proteger la confidencialidad e integridad de
información publicada y compromisos para intercambio de información y software
con los clientes. Se detectan problemas en cuanto al control de las redes y
transacciones en línea, lo cual facilita la ejecución de ataques que benefician las
vulnerabilidades existentes.
Figura 11. A13 Seguridad en las Comunicaciones
Fuente: Autores
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 23 de 25
A14 Adquisición de sistemas, desarrollo y mantenimiento.
El personal de LOVATO CITY GAS S.A.S ha implementado tareas
correspondientes a los procesos de adquisición de sistemas, desarrollo y
mantenimiento basados en la experiencia adquirida con el trabajo diario. No hay
procedimientos estandarizados. Con los procedimientos establecidos se quiere
garantizar la seguridad de la información durante todo el ciclo de vida de los
sistemas de información, es necesario establecer y cumplir reglas para el
desarrollo de software y de sistemas, con la documentación, supervisión y
seguimiento a las aplicaciones críticas del negocio.
Figura 12. A14 Adquisición de sistemas, desarrollo y mantenimiento
Fuente: Autores
A15 Relación con proveedores.
En LOVATO CITY GAS S.A.S la relación con los proveedores se ha basado en
una confidencialidad asumida pero no se ha establecido un acuerdo formal en el
que se contraten todos los requisitos de seguridad de la información pertinentes
con cada proveedor que pueda tener acceso, procesar, almacenar, comunicar o
suministrar componentes de infraestructura de TI para la información de la
organización. Es imprescindible garantizar la protección de los activos de la
organización que sean accesibles a los proveedores y mantener el nivel acordado
de seguridad de la información y de prestación del servicio organizado con los
acuerdos que corresponden a los proveedores.
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 24 de 25
Figura 13. A15 Relación con proveedores
Fuente: Autores
A16 Gestión de los incidentes de seguridad.
Se basa en asegurar una orientación afín y eficaz para el control de incidentes de
seguridad de la información, incluida la comunicación sobre eventos de seguridad
y debilidades. En LOVATO CITY GAS S.A.S se tienen en cuenta las debilidades
y eventos de seguridad en el grupo de trabajo, pero no se tienen definidas las
responsabilidades y los procedimientos que proporcionen la evaluación de tales
eventos y la toma de las mejores decisiones. No se evidencia una gestión de
incidentes apropiada que contenga la recolección de pruebas y permite disminuir
el impacto de incidentes a través de la experiencia y el conocimiento adquirido.
Figura 14. A16 Gestión de los incidentes de Seguridad
Fuente: Autores
A17. Continuidad del negocio
LOVATO CITY GAS S.A.S debe establecer, documentar, implementar y mantener
procesos, procedimientos y controles para garantizar el nivel de continuidad
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 25 de 25
necesario para la seguridad de la información durante una situación desfavorable
y la carencia de los elementos esenciales para ello se debe planificar,
implementar, verificar, revisar y evaluar la continuidad de la seguridad de la
información.
Figura 15. A17 Continuidad del Negocio
Fuente: Autores
A18. Cumplimiento con requerimientos legales y contractuales.
Para evitar el incumplimiento de las obligaciones legales, estatutarias,
reglamentarias o contractuales relacionadas con la seguridad de la información en
LOVATO CITY GAS S.A.S se ha determinado tomar medidas parciales iniciando
por la custodia de la propiedad intelectual y de los registros de la organización: los
documentos físicos se encuentran bajo llave en zonas seguras y solo pueden ser
accedidos por personal autorizado. Sin embargo, la ausencia de políticas de
seguridad, controles criptoFiguras y conformidades técnicas crean un estado de
incertidumbre con respecto al cumplimiento de políticas y normas de seguridad
incluyendo la privacidad y protección de los datos. Si se encuentra algún
incumplimiento, se sugiere que la persona encargada deberá realizar los siguientes
procedimientos, establecer las causas que han llevado al incumplimiento, evaluar
las medidas que se tienen que tomar para asegurar que no vuelva a suceder el
incumplimiento, determinar e implementar las acciones correctivas necesarias y
revisar las acciones correctivas utilizadas, para saber si están funcionando.
ANEXO A. VALORACIÓN INICIAL
Versión 1.0 Fecha: Marzo 2018 Página: 26 de 25
Figura 16. A18 Cumplimiento con requerimientos legales y contractuales
Fuente: Autores