Sistema de Gestión de Seguridad Informática SGSI
Descripción
COPERATIVA DE SERVICIOS MÚLTIPLES CENFROCAFE PERU
Establecimiento de Sistema de Gestión de Seguridad de la Información para el acopio de almacén central de CENFROCAFÉ-PERÚ
2012
Caleb Flores Sahuanga Joel Cieza Rivasplata Branny Gonzales Quispe
AV. PAKAMUROS
S/N CUADRA
19 PUEBLO
LIBRE,
JAÉN- CAJAMARCA-PERÚ
Contenido 1.
Definición del alcance ................................................................................................................. 3 1.1.
Compromiso institucional ................................................................................................... 3
1.2.
Límites del SGSI ................................................................................................................... 4
1.2.1.
Localizaciones físicas ................................................................................................... 4
1.2.2.
Sistema de información............................................................................................... 5
1.2.3.
Terceros relacionados con SGSI .................................................................................. 6
1.3.
Diagrama de Elipses ............................................................................................................ 7
2.
Política de Seguridad ................................................................................................................... 8
3.
Metodología de evaluación de riegos ....................................................................................... 10
4.
Inventario de activos ................................................................................................................. 11
5.
Evaluación de amenazas y vulnerabilidades ............................................................................. 12
6.
Análisis y evaluación de riesgos ................................................................................................ 13
7.
Plan de tratamiento del riesgo .................................................................................................. 14
8.
Declaración de Aplicabilidad ..................................................................................................... 24
1. Definición del alcance 1.1.Compromiso institucional La Central Fronteriza del norte de cafetaleros – CENFROCAFÉ con RUC 20438297775, con domicilio legal en Simón Bolívar N° 941 – Jaén, representada por su gerente Ing. Teodomiro Melendres Ojeda, identificado con DNI 27838720. Declara que: Reconociendo nuestro crecimiento empresarial y la alta sensibilidad de nuestros activos nos vemos en la necesidad de implementar un SGSI, por esta razón ratificamos nuestro apoyo y compromiso con IMPROVING, quien actualmente está desarrollando el Establecimiento del Sistema de Gestión de Seguridad de la Información para el acopio de almacén central de nuestra empresa. .
1.2.Límites del SGSI 1.2.1. Localizaciones físicas La corporativa de servicios múltiples CENFROCAFE-PERU, actualmente se encuentra posicionado en el mercado por su alta eficiencia y calidad de café exportable. Es una empresa que se constituyó a base de la organización de caficultores en el nororiente peruano, es una de las empresas más sólidas del mercado local. Está ubicada en San Martín 528 – Jaén – Cajamarca. Esta se divide en su diferentes areas como son: Gerencia, Administración, Área de Producción Agropecuaria , Área de Gestión de la Calidad, Área de Comercialización: almacen central, Contabilidad y Finanzas, Área de Fortalecimiento de Organización y Proyectos.
Logística Comercial
Almacén central
Administración
1.2.2. Sistema de información
TIPO DE INFORMACON INFORMACIÓN
Políticas del registro de nuevo socio
PUBLICA
SENCIBLE
PRIVADA
x
x
Datos del socio
Datos del productos
PROTECCION
si
Datos de la persona
Resultados de la muestra de café Monto de pago Formato de la tarjeta física Formato de la tarjeta digital Políticas de recursos Informe del desabasto de tarjetas
CONFIDENCIAL
si
x
si
x
si
x
si
x
no x
si
x
si
x
no
x
si
ACTIVO
Documento, Gerencia General, Word, Disco duro externo Gerente General, Responsable de tesorería y créditos, sistema, base de datos, Disco duro externo. Tarjeta, sistema, base de datos, Disco duro externo, documento, balanza Documento, Sistema, procesadora Recibo, CISCON Tarjetas Formato de tarjeta digital Documento Documento base de datos del producto y socio, Sistema de acopio, plantilla de registro de café, tarjetas
1.2.3. Terceros relacionados con SGSI CENFROCAFE, tiene un ámbito privado y sus 2600 socios se distribuyen por toda su geografía de Cajamarca. ASAMBLEA GENERAL DE DELEGADOS
CONSEJO DIRECTIVO
Reporte de las ventas y el funcionamiento en general de la empresa
Documentación legal y resultados obtenidos de la anual por campaña
GERENCIA
Documentos administrativos, ventas, etc.
DPTO CONTABLE Sistema Contable
DPTO PRODUCCION
Planificación de proyectos
DPTO ADMINISTRATIVO
Documentos, planillas, etc. MOF
DPTO COMERCIALIZACIÓN
Ventas y registro de acopio exportable entre otros
DPTO PROYECTOS Y FINANZAS
ASESORÍA LEGAL
LOGÍSTICA INTERNA
RIT
Documentación y resultados de los créditos, préstamos, pagos, etc.
Documentos, políticas, etc.
OPERACIONES
LOGÍSTICA EXTERNA Sistema de Acopio
MARKETING Y VENTAS
SERVICIOS Pag. Web Tienda Virtual
1.3.Diagrama de Elipses
2. Política de Seguridad 2.1. Alcance La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico del proceso de acopio de café de la empresa CENFROCAFÉ. Debe ser conocida y cumplida por todo el personal del área y los relacionados con el proceso.
2.2. Políticas En esta sección del documento se presenta las políticas de seguridad, como un recurso para mitigar los riesgos a los que el proceso de acopio. Se ve expuesta. Artículo 1°.- Errores de Usuario por falta de capacitación en el Sistema Contable Cuando se contrate personal nuevo, se debe tomar una evaluación de conocimientos en sistemas contables. El responsable del sistema contable debe asistir a lo menos a dos capacitaciones al año. No esta permitido modificar los datos ni eliminarlos sin autorización del Gerente. Al acceder al sistema solo debe hacerlo desde la oficina no puede ingresar fuera del perímetro de la empresa. Artículo 2°.- Fallas técnicos en el sistema de acopio por falta de mantenimiento Realizar mantenimientos y gestionar los cambios por cada error que se presente. Registrar los errores obtenidos para solucionar problemas que se presente en el futuro; además, para tener evidencia de lo ocurrido. Artículo 3°.- Fallas técnicos en el sistema de acopio por falta de manual de usuario Elaborar un manual de usuario. Cada vez que se actualice el sistema debe quedar registrado los cambios en una versión nueva del manual de usuario. Artículo 4°.- Errores del informático en la PC de la aplicación del sistema de acopio por falta de conocimiento en seguridad. Capacitar al personal del área comercialización en cursos de seguridad informática Realizar evaluaciones cada vez que se contrate personal nuevo.
Artículo 5°.- Robo o pérdida del disco duro externo por mala ubicación del equipo Establecer normas que prohíban el acceso a personas no autorizas. El Disco duro debe estar guardado en un gabinete con llave la cual solo la debe tener el jefe del área de informática. Instalación de cámaras en el lugar donde se guardan los activos de la empresa. Artículo 6°.- Pérdida o robo de la boleta de pago por falta de responsabilidad del personal El personal responsable debe conocer los lugares donde se guardan las boletas y el acceso solo tendrá el responsable del área. El lugar donde se almacenan las boletas de ser un lugar adecuado y seguro según lo especifique la alta gerencia. Establecer normas de acceso para personas externas. Artículo 7°.- Errores de código en el sistema de acopio por falta de mantenimiento El responsable del sistema de acopio de realizar un cronograma de actividades en las cuales es requisito fundamental designar las fechas del mantenimiento del sistema.
Artículo 8°.- Ingreso no autorizado a la BD del socio por falta de entrenamiento en seguridad Los responsables de la BD deben capacitarse constantemente en seguridad informática. En caso de contrato de nuevo personal debe tener como mínimo dos años de experiencia en manejo de BD. Deben tener certificaciones en seguridad informática o que haya participado en algún seminario o conferencia de seguridad. Artículo 9°.- Accesos no autorizados al Disco duro externo por mala ubicación del equipo El personal encargado debe llevar un seminario sobre seguridad en activos de información. se debe dar una inducción al personal nuevo en relación al RIF y políticas de seguridad. Artículo 10°.- Infección de virus en la PC de la aplicación sistema de acopio por antivirus desactualizado Adquirir licencia de antivirus. Verificar que el antivirus se esté actualizando correctamente. Registrar las incidencias por virus.
3. Metodología de evaluación de riegos
Como se puede apreciar en la imagen el proceso de evaluación de riesgos de seguridad de información incluye: el análisis y evaluación del riesgo. El análisis de riesgos: primero que nada es necesario la Identificación de activos de información de las empresas, asimismo, Identificamos los requerimientos legales y comerciales que son relevantes para los activos identificados, Tasación de activos identificados, identificación de amenazas y vulnerabilidades para cada activo identificado, finalmente se hace el cálculo de la posibilidad de que las amenazas y vulnerabilidades ocurran. La evaluación de riesgos contempla: Después del análisis de riesgos se procede a evaluar teniendo en cuenta los siguientes criterios
Cálculo de riesgos. Identificación del significado del riesgo. Esto se hace definiendo criterios y evaluando los riesgos contra una escala predeterminada.
4. Inventario de activos ACTIVO
Confidencial
Integridad
Disponibilidad
PROMEDIO
Propietario
Descripción
Ubicación
Sistema de acopio
5
5
5
5
Informático
PC de la oficina del almacén central
PC servidor y aplicación sistema de acopio
5
5
5
5
Informático
Almacenero
3
3
3
3
Almacenero
Base de datos del socio
5
5
5
5
Informático
Este sistema está desarrollado en C# y Excel permite registrar los movimientos del producto y los datos del clientes y personal Computadora del almacenero que tiene doble tarea, de servidor, y también soporta la aplicación de sistema. Persona responsable de todos los proceso en el acopio de café del almacén central de CENFROCAFÉ Se encuentra almacenado todos los datos del socio y la recepciones de café que se ha hecho anteriormente además, se almacena los datos del personal que recepcionó el café
Sistema contable
4
3
4
4
Informático
Base de datos del sistema contable
4
5
4
4
Informático
PC para la aplicación del sistema contable
4
4
3
4
Disco duro externo
5
5
4
Formato digital de la guía Guía física
4
4
3
3
Oficina del almacén central Almacén PC de la oficina del almacén central
Aplicación para el desarrollo contable que en el proceso de acopio interviene cuando la persona paga su inscripción para ser socio de la empresa Persona responsable de la administración de la base de datos del sistema.
Oficina de contabilidad
Informático
Computadora que soporta la aplicación y la BD del sistema contable
Ambientes del área contable
5
Administrador
Stands de la oficina de la administración
5
4
Informático, Almacenero
Disco duro de 1 Terabyte donde se almacena toda la información relevante de la empresa es generada por el sistema
4
3
Almacenero
Documento impreso cliente y al socio
que se le da al
Oficina de contabilidad
Sistema de acopio Almacén
5. Evaluación de amenazas y vulnerabilidades ACTIVO ACTIVO
AMENAZA Errores de Código
Sistema de acopio
PC de la aplicación sistema de acopio
Base de datos del socio
Disco duro externo
Sistema contable
Base de datos del sistema contable
PC para la aplicación del sistema contable
Boleta de pago físico
Formato digital de la guía
Almacenero
OCURRENCI A 2
VULNERABILIDAD Falta de mantenimiento Falta de un manual de usuario Falta de políticas de seguridad
Fallos Técnicos
2
Errores de Usuario
2
Código malicioso
3
Fallas en el hardware
2
Uso compartido de usuarios
4
Hackers
1
Falta de fluido eléctrico
1
Personas no autorizadas
2
Fuego
1
Daños por el agua
2
Virus
3
Errores del informático
3
Descuido con los equipos
Errores de configuración
1
Antigüedad de equipos
Robo
3
Falta de entrenamiento en seguridad
Eliminación de Información por virus
1
Ingreso no autorizado
3
Robo de contraseñas
1
Errores de registros a la base de datos
3
Robo
2
Acceso no autorizado
3
Errores de Código
1
Fallos Técnicos
2
Falta de capacitación en el manejo del sistema
Errores de Usuario
2
Falta de políticas en el uso de criptografía
Código malicioso
1
Falta de validación de datos
Fallas en el hardware
2
Uso compartido de usuarios
1
Hackers
1
Falta de mantenimiento del sistema
Caída del fluido eléctrico
1
Interfaces difíciles de entender
Forzar el ingreso probando claves
1
Configuración del Firewall
Eliminación de Información por virus
1
Ingreso no autorizado
2
Robo de contraseñas
1
Errores de registros a la base de datos
2
Virus
3
Fluido Eléctrico
1
Robo de contraseñas
1
Daños por el agua
1
Robo
2
Pérdida o robo
2
Incendio
1
Sistema de acopio
No eliminar acceso al termino del contrato Configuración del Firewall Interfaces difíciles de entender Falta de capacitación en el manejo del sistema Antivirus desactualizado Firewall desactivado Antigüedad del equipo
PC servidor y aplicación sistema de acopio
Falta de mantenimiento Mala ubicación de los equipos Mal cuidado de equipos Falta de regulación en el voltaje
Base de datos del socio
Contraseña sin modificarse Falta de políticas de seguridad Fallas del Sistema Operativo No eliminar acceso al termino del contrato Capacidad insuficiente
Disco duro externo
Sistema contable
Base de datos del sistema contable
Mal ubicación del equipo Descuido con el equipo
Falta de políticas de seguridad No eliminar acceso al termino del contrato
Falta de políticas de seguridad Contraseña sin modificarse Mal manejo de claves (claves débiles) Falta de mantenimiento del sistema Software desactualizado
PC para la aplicación del sistema contable
Mala configuración Firewall desactivado Mala ubicación de los equipos Falta de regulación en el voltaje Mala configuración del antivirus Mala ubicación
Boleta de pago físico
Falta en capacitación en temas de seguridad de activos Mala configuración de la impresora
Errores de impresión
1
Modificación de datos
2
Errores del código al autogenerar el número de la guía Fallas técnicas en la PC
2
Virus
3
Fallas en la red
2
Accidente
1
Falta de políticas de seguridad
Enfermedad o muerte
1
Desmotivación de trabajo
Despido o renuncia
1
2
Formato digital de la guía
Falta de mecanismos para el aseguramiento de la guía Interfaces difíciles de entender Antivirus desactualizado Mantenimiento de los equipos
Mal clima laboral Almacenero
No paguen de acuerdo al mercado laboral Falta de prácticas de valores Constantes viajes
Errores de Código
Sistema de acopio
Fallos Técnicos Virus
PRIORIZACIÓN
VULNERABILIDAD
MEDICIÓN RIESGO
AMENAZA
PROBABILIDAD OCURRENCIA
ACTIVO
IMPACTO AMENAZA
6. Análisis y evaluación de riesgos
Falta de mantenimiento del sistema
4
4
16
1
Falta de mantenimiento
4
4
16
2
Falta de un manual de usuario
4
4
16
3
Antivirus desactualizado
4
4
16
4
PC de la aplicación sistema de acopio
Errores del informático
Falta de conocimiento
4
4
16
5
Base de datos del socio
Ingreso no autorizado
Falta de entrenamiento en seguridad
4
4
16
6
Mal ubicación del equipo
5
3
15
7
Mal ubicación del equipo
4
4
16
8
Falta de capacitación en el manejo del sistema Falta de responsabilidad de los trabajadores
5
4
20
9
4
4
16
10
Disco duro externo Sistema contable Boleta de pago físico
Robo
Acceso no autorizado Errores de Usuario Pérdida o robo
7. Plan de tratamiento del riesgo
Riesgo N
1
Amenaza
Errores de Usuario
Vulnerabilidad
Falta de capacitación en el manejo del sistema
Activo
Sistema contable
Valor
20
Prioridad
Nivel de aceptación
1
Solo se aceptara que una persona tenga una capacitación al año de al menos 2 semanas de prueba en el sistema guiado por el experto.
Estrategia
Reducir
Control
Descripción del control
8.2.2
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
Riesgo N
Valor Amenaza
2
Fallos Técnicos
Vulnerabilidad
Falta de mantenimiento en el sistema
Prioridad
Activo
Sistema de acopio
16
2
Nivel de aceptación
Se deben realizar al menos un mantenimiento al año del sistema de acopio
Estrategia
Reducir
Control
Descripción del control
10.1.2.
Se deberían controlar los cambios en los sistemas y recursos de tratamiento de información.
6.2.3
Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes
12.5.1
La implementación de cambios se debe controlar mediante el uso de procedimientos formales de control de cambios.
Riesgo N
Valor Amenaza
3
Fallos Técnicos
Vulnerabilidad
Falta de un manual de usuario
Prioridad
Nivel de aceptación
3
Los usuarios deben tener al menos una inducción al año por personal experto; además deberá ser evaluado en relación a la inducción.
Estrategia
Control
Descripción del control
10.1.1
Se deben documentar y mantener los procedimientos de operación, y se deben poner a disposición de todos los usuarios que los necesiten.
Activo
Sistema de acopio
16
Reducir
Riesgo N
Valor Amenaza
4
Errores del informático
Vulnerabilidad
Falta de conocimiento en seguridad informática
Prioridad
Nivel de aceptación
Estrategia
Control
Descripción del control
9.2.4
Los equipos deberían mantenerse adecuadamente para asegurar su continua disponibilidad e integridad.
8.2.1
La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.
8.2.2
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
Activo
PC de la aplicación sistema de acopio
16
4
El encargado debe capacitarse constantemente con un mínimo de tres seminarios por año
Reducir
Riesgo N
Valor Amenaza
5
Robo
Vulnerabilidad
Mal ubicación del equipo
Prioridad
Nivel de aceptación
Estrategia
Control
Descripción del control
7.1.2
El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las oportunidades de accesos no autorizados.
11.4.1.
Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.
Activo
Disco duro externo
16
5
Definir normas para la ubicación de los equipos informáticos
Reducir
Riesgo N
Valor Amenaza
6
Pérdida o robo
Vulnerabilidad
Falta de responsabilidad de los trabajadores
Prioridad
Nivel de aceptación
Estrategia
Control
Descripción del control
8.2.1
La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.
8.1.1
Inclusión de la seguridad en las responsabilidades y funciones laborales
Activo
Boleta de Pago
16
6
Fomentar el orden y la disciplina
Reducir
6.1.3
7.1.1
Deberían definirse claramente las responsabilidades Todos los activos deben ser claramente identificados y se deben elaborar y mantener un inventario de todos los activos importantes.
Riesgo N
7
Valor Amenaza
Vulnerabilidad
Errores de Código
Falta de mantenimiento del sistema
Prioridad
Nivel de aceptación
7
Se deben utilizar 3 mantenimientos al año en el sistema de acopio
Estrategia
Control
Descripción del control
12.2.2.
Se deberían incorporar a los sistemas comprobaciones de validación para detectar cualquier tipo de corrupción de información a través de errores del proceso o por actos deliberados.
Activo
Sistema de acopio
16
Reducir
Riesgo N
Valor Amenaza
8
Ingreso no autorizado
Vulnerabilidad
Activo
Falta de entrenamiento en seguridad
Base de datos del socio
16
Prioridad
Nivel de aceptación
8
el responsable debe participar constantemente en eventos relaciones a la seguridad de información
Estrategia
Reducir
Control
Descripción del control
8.2.2
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
Riesgo N
Valor Prioridad Amenaza
9
Acceso no autorizado
Vulnerabilidad
Mal ubicación del equipo
Activo
Disco duro externo
16
9
Nivel de aceptación
Realizar auditoria por año
una interna
Estrategia Control
Descripción del control
9.1.2
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo a personal autorizado.
8.2.3
Debe existir un proceso formal disciplinario para empleados que han cometido una apertura en la seguridad.
Reducir
Riesgo N
Valor Prioridad Amenaza
10
Virus
Vulnerabilidad
Activo
Antivirus desactualizado
PC de la aplicación sistema de acopio
16
10
Nivel de aceptación Asegurarse de que la pc esté conectada al internet para la actualización del antivirus.
Estrategia Control
Reducir
Descripción del control
10.4.1
Se debería implantar controles para detectar el software malicioso y prevenirse contra el, junto a procedimientos adecuados para concientizar a los usuarios.
11.7.1
se debería adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática
8. Declaración de Aplicabilidad Objetivos de control
Controles
Aplicabilidad
Justificación
8.2.2
si
Es necesario que el usuario debe estar capacitado en el dominio del sistema de contable, de esa manera evitar errores tales como: ingreso de datos, cálculos, etc.
10.1.1
si
Es necesario que el sistema tengan el manual de usuario
10.1.2
si
Es necesario que el sistema tenga un mantenimiento constante para prevenir o corregir errores
9.2 Seguridad de equipos
9.2.4
si
El responsable de los equipos debe realizar mantenimientos adecuados para mantenerse la integridad de los equipos
8.2. Durante el empleo
8.2.1
si
Si se desea contratar personal nuevo, es necesario contratarlo teniendo en cuenta el perfil que desea la empresa.
8.2. Durante el empleo
8.2.2
si
Es necesario capacitar en las políticas de seguridad para que los errores sean mínimos.
7.1. Responsabilidad sobre los activos
7.1.2
si
11.4. Control de acceso a la red
11.4.1
si
8.2. Durante el empleo
8.2.1
si
8.1. Seguridad antes del empleo
8.1.1
si
7.1. Responsabilidad sobre los activos
7.1.1
si
12.5. Seguridad en los procesos de desarrollo y soporte
12.5.1
si
8.2. Durante el empleo
8.2.2
si
11.4.1.
si
9.1. Áreas seguras
9.1.2
si
8.2. Durante el empleo
8.2.3
si
El personal que labora en la empresa debe cumplir normas establecidas por la empresa sobre la ubicación de los equipos.
12.2.2.
si
Es necesario incorporar a los sistemas comprobaciones de validación para que reducir los errores de código.
8.2. Durante el empleo 10.1. Procedimientos y responsabilidades de Operación
11.1. Requisitos de negocio para el control de accesos
12.2. seguridad de las aplicaciones del sistema
Es necesario implementar este control para proteger los equipos de las amenazas que presenta el entorno. Es necesario establecer la seguridad para los equipos según los roles correspondiente, así se tenga menos posibilidad de que se pierdan o roben los equipos. Si se desea contratar personal nuevo, es necesario contratarlo teniendo en cuenta el perfil que desea la empresa, Para evitar daños a la empresa por falta de valores. Es necesario que todas las políticas de seguridad sobre responsabilidad y disciplina de las personas se cumplan según lo establecido. Se debe elaborar inventarios constantes con el fin de mitigar las pérdidas de los activos de la empresa Es necesario que el mantenimiento del sistema esté bien documentado Es necesario que el usuario debe estar capacitado en el dominio de la BD del socio, de esa manera evitar errores. Es necesario que el personal debe cumplir con su responsabilidad al momento de utilizar los equipos Es necesario implementar controles estrictos sobre las ubicaciones adecuadas de los equipos de la empresa para evitar cualquier amenaza latente en entorno.
Lihat lebih banyak...
Comentarios