Академический Документы
Профессиональный Документы
Культура Документы
Santander – Colombia
kana0123@hotmail.com - fdoteroportilla@gmail.com
Resumen—El desarrollo de la monografía Diseño de una Para la fase 1 y 2 se tomó como referencia la metodología
propuesta de políticas de seguridad de la información basada en MAGERIT V3 (Metodología de Análisis y Gestión De Riesgos
la norma ISO/IEC 27001:2013 para una institución educativa de los Sistemas de Información). Para culminar se realizan
oficial de Bucaramanga, se elaboró por medio de cuatro fases que conclusiones y recomendaciones producto de la monografía
permitieron realizar de forma correcta las políticas de seguridad realizada.
de la información.
En la primera fase se realizó un levantamiento y valoración de los
activos de la institución educativa.
En la segunda fase se identificaron amenazas y vulnerabilidades II. INFORMACIÓN BASICA DEL PROYECTO
que pudiesen afectar a los activos de información previamente
identificados en la fase anterior. A. Planteamiento del Problema
En la tercera fase se seleccionaron los controles de seguridad
indicando el cumplimiento y realizando recomendaciones para su
El mundo tecnológico de hoy brinda día a día evolución, miles
implementación
de servicios y conexiones infinitas donde las cosas interactúan
En la cuarta y última fase se diseña una propuesta de políticas de
seguridad de la información con la intención de proteger los entre sí. Gracias a estos avances los riesgos contra la seguridad
activos y establecer los lineamientos para determinar la conducta de la información aumentan exponencialmente.
esperada de los miembros de la institución educativa.
La compañía Eset dio a conocer que Colombia fue el país de la
Palabras clave—Controles, Integridad, Confidencialidad, región (América Latina) que más detecciones de malware tipo
Disponibilidad, Trazabilidad, Autenticidad, Magerit, Políticas de ransomware tuvo durante el 2018 [1]. Es preocupante y
Seguridad. alarmante la situación en la que se encuentra inmerso el
territorio nacional, quien no ha sabido afrontar la transición de
los delitos a una nueva era digital.
I. INTRODUCCIÓN
Un estudio realizado a colegios y universidades de
Debido a estas cifras y con aras de mitigar los riesgos que de la información se aplicaran los controles propuestos por la
afectan la seguridad de la información, se detecta que la Norma ISO 27001:2013.
institución educativa objeto de estudio no cuenta con políticas
de seguridad de la información, elemento imprescindible que C. Objetivos
permitirá adoptar y al mismo tiempo adaptar a las necesidades
propias, las mejores prácticas en materia de seguridad en la 1) Objetivo General
institución.
Por consiguiente se puede preguntar ¿si el diseño de unas Proponer Políticas de Seguridad de la Información para el
políticas de seguridad de la información basadas en la norma Instituto San José De La Salle, basada en la norma ISO/IEC
ISO 27001:2013 permitirá proteger los activos y establecer los 27001:2013.
lineamientos para determinar la conducta esperada de los
miembros de la institución atreves de funciones y 2) Objetivo Especifico
responsabilidades?
1. Clasificar los activos de la información e identificar sus
B. Justificación amenazas y vulnerabilidades basados en la metodología
MAGERIT, del instituto San José de la Salle.
La dinámica del Cibercrimen y su constante evolución
exponencial, ha propiciado que delincuentes que hasta hace 2. Definir los controles acordes para el Instituto San José De
poco actuaban de manera aislada, sin coordinación, con un La Salle, de acuerdo al anexo A de la norma ISO 27001:2013 y
alcance local, en la actualidad constituyan organizaciones formular recomendaciones de Implementación.
trasnacionales complejas de Cibercrimen.
3. Diseñar políticas de seguridad de la información para el
La diferenciación de roles en las estructuras criminales, el fácil Instituto San José De La Salle, basadas en la norma ISO
acceso al mercado ilegal de tecnología para el Cibercrimen, la 27001:2013.
dificultad del rastreo de actividades ilícitas en la internet, las
transacciones a través de monedas virtuales, el mercado ilegal III. METODOLOGIA
de datos y el crimen como servicio, así como la débil Para dar cumplimento a los objetivos propuestos el proyecto se
armonización de la persecución penal internacional, han realizara en 4 fases garantizando así que los resultados
facilitado este escenario. obtenidos sean consistentes, válidos y comparables. Se
desarrollara una metodóloga de evaluación de riesgos
En el mundo, los ataques cibernéticos incrementan con cualitativa la cual consiste en asignar a los riesgos valores de
métodos cada vez más innovadores. En Colombia, las tipo; bajo, medio y alto.
instituciones de seguridad se están vinculando a la estrategia TI
para aumentar la capacidad del estado y enfrentar las amenazas
informáticas, pues en el momento presenta grandes debilidades, A. Fase 1
pese a que existen iniciativas gubernamentales, privadas y de
la sociedad civil que buscan contrarrestar sus efectos, no Identificar todo el conjunto de activos que están dando soporte
hay una coordinación interinstitucional apropiada. a los procesos y servicios y elaborar un inventario de los
mismos, asignando a cada uno de ellos un responsable.
De acuerdo con el Centro Cibernético de la Policía Nacional, Asimismo, deben quedar reflejadas las dependencias entre los
se ha determinado que ciudades capitales como Bogotá, Cali, activos y los servicios o proceso. Una vez identificados los
Medellín, Barranquilla, Cartagena y Bucaramanga concentran activos, se valorarán en cada una de las dimensiones de
74% del cibercrimen a nivel nacional, por su alto acceso a confidencialidad, integridad y disponibilidad, de acuerdo con la
Internet. En lo corrido de 2018 ya se han registrado más de importancia que tengan para la institución educativa y
12.000 denuncias entre las que se destaca, hurto por medios especialmente para la prestación de los servicios identificados.
informáticos y violación de datos personales [3]. El valor del activo será uno de los parámetros que
intervendrán en el cálculo de los valores de riesgo: cuanto más
Debido a las preocupantes cifras, es estrictamente necesario valor tenga el activo para la institución educativa, mayor riesgo
que el instituto San José de la Salle objeto de estudio, como tendrá.
primera estrategia de cara a afrontar esta evolución y los
nuevos escenarios del cibercrimen adopte políticas de
seguridad de la información. B. Fase 2
Esta propuesta constara de una serie de procesos donde Identificación de amenazas y vulnerabilidades
implementaremos la metodología MAGERIT (Metodología de En el proceso de evaluación de riesgos se determinaran las
Análisis y Gestión de Riesgos de los Sistemas de Información), amenazas y vulnerabilidades que pueden afectar a cada activo
la cual permite la identificación de los activos, amenazas, de información previamente identificado. Para ello se utilizara
riesgos, entre otros. Para el diseño de las políticas de seguridad un catálogo de amenazas en función de la naturaleza de los
activos. En el caso de las amenazas y vulnerabilidades, se
3
valorara su probabilidad y la degradación que provocan sobre Para la institución educativa San José De La Salle es
el activo en cuestión. importante contar con políticas de seguridad de la información
ya que son ellas quienes guiaran el comportamiento personal y
Calculo del riesgo profesional de los empleados y terceros sobre la información
En función de los valores establecidos, se procederá a aplicar obtenida, generada o procesada por la institución, así mismo
las formulas y funciones establecidas por la metodología las políticas permitirán que la entidad trabaje bajo las mejores
MAGERIT para calcular los valores de riesgo. El cálculo del prácticas de seguridad y cumpla con los requisitos legales.
riesgo tendrá en cuenta el valor del activo, la degradación que
provocan sobre los mismos, las amenazas cuando estas tienen
lugar y la probabilidad de ocurrencia de las mismas. REFERENCIAS
Tratamiento de los riesgos [1] DINERO, Colombia, el país con más secuestro de datos en América
Obtenidos los niveles de riesgo, hay que decidir si son Latina, según reporte. Ciberseguridad [en línea], 01 de Diciembre 2018.
aceptables o no, según criterios fijados inicialmente. Si no lo Disponible en Internet: ataques-de-ransomware-en-america-
son, los propietarios del riesgo deberán evaluar cómo se van a latina/265958
[2] AGUIRRE, John. El 67% de los colegios en Latinoamérica han sido
tratar esos riesgos.
víctimas de ataques cibernéticos. LA FM [en línea], 28 de Mayo 2018.
Disponible en internet: https://www.lafm.com.co/tecnologia/el-67-de-
los-colegios-en-latinoamerica-han-sido-victimas-de-ataques-ciberneticos
[3] CENTRO CIBERNETICO POLICIAL, Informe Amenazas del
C. Fase 3 Cibercrimen en colombia 2016-2017 [en línea], Marzo 2017.
Seleccionar los controles de seguridad que permitirán Disponible en internet:
implementar las opciones elegidas previamente para el https://caivirtual.policia.gov.co/sites/default/files/informe_amenazas_de
_cibercrimen_en_colombia_2016_-_2017_1.pdf
tratamiento de riesgos, pudiendo diseñarlos según sea
necesario o identificarlos de alguna fuente. Esta selección de
controles será comparada con los que la norma ISO/IEC 27002 CARLOS ANDRES
(Anexo A de ISO/IEC 27001) contiene, para verificar que no CARDENAS DIAZ, nacido en la
se han pasado por alto controles necesarios.
Ciudad de Bucaramanga, el 26
noviembre de 1989, Ingeniero de
Declaración de Aplicabilidad
sistemas de la Universidad de
Elaboración de una declaración de aplicabilidad, que debe
Investigación y Desarrollo UDI en
incluir:
Los controles que han determinado como necesarios en las el año 2014, actualmente
fases anteriores. finalizando la especialización en
La justificación de las inclusiones y exclusiones de los controles Seguridad Informática en la
del Anexo A de la norma. Universidad de Investigación y
Esta declaración de aplicabilidad permitirá verificar que se han Desarrollo UDI en el año 2019.
considerado todos los controles previstos.
IV. CONCLUSIONES
Esta monografía se realizó teniendo como referencia para la
identificación y clasificación de los activos y la identificación de
amenazas y vulnerabilidades la metodología MAGERIT V3 ya
que ofrece ítem estándares y permite homogeneizar los
resultados de los análisis.