Sistema de Gestión de Seguridad Informática SGSI

COPERATIVA DE SERVICIOS MÚLTIPLES CENFROCAFE PERU

Establecimiento de Sistema de Gestión de Seguridad de la Información para el acopio de almacén central de CENFROCAFÉ-PERÚ

2012

Caleb Flores Sahuanga Joel Cieza Rivasplata Branny Gonzales Quispe

AV. PAKAMUROS

S/N CUADRA

19 PUEBLO

LIBRE,

JAÉN- CAJAMARCA-PERÚ

Contenido 1.

Definición del alcance ................................................................................................................. 3 1.1.

Compromiso institucional ................................................................................................... 3

1.2.

Límites del SGSI ................................................................................................................... 4

1.2.1.

Localizaciones físicas ................................................................................................... 4

1.2.2.

Sistema de información............................................................................................... 5

1.2.3.

Terceros relacionados con SGSI .................................................................................. 6

1.3.

Diagrama de Elipses ............................................................................................................ 7

2.

Política de Seguridad ................................................................................................................... 8

3.

Metodología de evaluación de riegos ....................................................................................... 10

4.

Inventario de activos ................................................................................................................. 11

5.

Evaluación de amenazas y vulnerabilidades ............................................................................. 12

6.

Análisis y evaluación de riesgos ................................................................................................ 13

7.

Plan de tratamiento del riesgo .................................................................................................. 14

8.

Declaración de Aplicabilidad ..................................................................................................... 24

1. Definición del alcance 1.1.Compromiso institucional La Central Fronteriza del norte de cafetaleros – CENFROCAFÉ con RUC 20438297775, con domicilio legal en Simón Bolívar N° 941 – Jaén, representada por su gerente Ing. Teodomiro Melendres Ojeda, identificado con DNI 27838720. Declara que: Reconociendo nuestro crecimiento empresarial y la alta sensibilidad de nuestros activos nos vemos en la necesidad de implementar un SGSI, por esta razón ratificamos nuestro apoyo y compromiso con IMPROVING, quien actualmente está desarrollando el Establecimiento del Sistema de Gestión de Seguridad de la Información para el acopio de almacén central de nuestra empresa. .

1.2.Límites del SGSI 1.2.1. Localizaciones físicas La corporativa de servicios múltiples CENFROCAFE-PERU, actualmente se encuentra posicionado en el mercado por su alta eficiencia y calidad de café exportable. Es una empresa que se constituyó a base de la organización de caficultores en el nororiente peruano, es una de las empresas más sólidas del mercado local. Está ubicada en San Martín 528 – Jaén – Cajamarca. Esta se divide en su diferentes areas como son: Gerencia, Administración, Área de Producción Agropecuaria , Área de Gestión de la Calidad, Área de Comercialización: almacen central, Contabilidad y Finanzas, Área de Fortalecimiento de Organización y Proyectos.

Logística Comercial

Almacén central

Administración

1.2.2. Sistema de información

TIPO DE INFORMACON INFORMACIÓN

Políticas del registro de nuevo socio

PUBLICA

SENCIBLE

PRIVADA

x

x

Datos del socio

Datos del productos

PROTECCION

si

Datos de la persona

Resultados de la muestra de café Monto de pago Formato de la tarjeta física Formato de la tarjeta digital Políticas de recursos Informe del desabasto de tarjetas

CONFIDENCIAL

si

x

si

x

si

x

si

x

no x

si

x

si

x

no

x

si

ACTIVO

Documento, Gerencia General, Word, Disco duro externo Gerente General, Responsable de tesorería y créditos, sistema, base de datos, Disco duro externo. Tarjeta, sistema, base de datos, Disco duro externo, documento, balanza Documento, Sistema, procesadora Recibo, CISCON Tarjetas Formato de tarjeta digital Documento Documento base de datos del producto y socio, Sistema de acopio, plantilla de registro de café, tarjetas

1.2.3. Terceros relacionados con SGSI CENFROCAFE, tiene un ámbito privado y sus 2600 socios se distribuyen por toda su geografía de Cajamarca. ASAMBLEA GENERAL DE DELEGADOS

CONSEJO DIRECTIVO

Reporte de las ventas y el funcionamiento en general de la empresa

Documentación legal y resultados obtenidos de la anual por campaña

GERENCIA

Documentos administrativos, ventas, etc.

DPTO CONTABLE Sistema Contable

DPTO PRODUCCION

Planificación de proyectos

DPTO ADMINISTRATIVO

Documentos, planillas, etc. MOF

DPTO COMERCIALIZACIÓN

Ventas y registro de acopio exportable entre otros

DPTO PROYECTOS Y FINANZAS

ASESORÍA LEGAL

LOGÍSTICA INTERNA

RIT

Documentación y resultados de los créditos, préstamos, pagos, etc.

Documentos, políticas, etc.

OPERACIONES

LOGÍSTICA EXTERNA Sistema de Acopio

MARKETING Y VENTAS

SERVICIOS Pag. Web Tienda Virtual

1.3.Diagrama de Elipses

2. Política de Seguridad 2.1. Alcance La presente Política de Seguridad de la Información se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente tecnológico del proceso de acopio de café de la empresa CENFROCAFÉ. Debe ser conocida y cumplida por todo el personal del área y los relacionados con el proceso.

2.2. Políticas En esta sección del documento se presenta las políticas de seguridad, como un recurso para mitigar los riesgos a los que el proceso de acopio. Se ve expuesta. Artículo 1°.- Errores de Usuario por falta de capacitación en el Sistema Contable  Cuando se contrate personal nuevo, se debe tomar una evaluación de conocimientos en sistemas contables.  El responsable del sistema contable debe asistir a lo menos a dos capacitaciones al año.  No esta permitido modificar los datos ni eliminarlos sin autorización del Gerente.  Al acceder al sistema solo debe hacerlo desde la oficina no puede ingresar fuera del perímetro de la empresa. Artículo 2°.- Fallas técnicos en el sistema de acopio por falta de mantenimiento  Realizar mantenimientos y gestionar los cambios por cada error que se presente.  Registrar los errores obtenidos para solucionar problemas que se presente en el futuro; además, para tener evidencia de lo ocurrido. Artículo 3°.- Fallas técnicos en el sistema de acopio por falta de manual de usuario  Elaborar un manual de usuario.  Cada vez que se actualice el sistema debe quedar registrado los cambios en una versión nueva del manual de usuario. Artículo 4°.- Errores del informático en la PC de la aplicación del sistema de acopio por falta de conocimiento en seguridad.  Capacitar al personal del área comercialización en cursos de seguridad informática  Realizar evaluaciones cada vez que se contrate personal nuevo.

Artículo 5°.- Robo o pérdida del disco duro externo por mala ubicación del equipo  Establecer normas que prohíban el acceso a personas no autorizas.  El Disco duro debe estar guardado en un gabinete con llave la cual solo la debe tener el jefe del área de informática.  Instalación de cámaras en el lugar donde se guardan los activos de la empresa. Artículo 6°.- Pérdida o robo de la boleta de pago por falta de responsabilidad del personal  El personal responsable debe conocer los lugares donde se guardan las boletas y el acceso solo tendrá el responsable del área.  El lugar donde se almacenan las boletas de ser un lugar adecuado y seguro según lo especifique la alta gerencia.  Establecer normas de acceso para personas externas. Artículo 7°.- Errores de código en el sistema de acopio por falta de mantenimiento  El responsable del sistema de acopio de realizar un cronograma de actividades en las cuales es requisito fundamental designar las fechas del mantenimiento del sistema.

Artículo 8°.- Ingreso no autorizado a la BD del socio por falta de entrenamiento en seguridad  Los responsables de la BD deben capacitarse constantemente en seguridad informática.  En caso de contrato de nuevo personal debe tener como mínimo dos años de experiencia en manejo de BD.  Deben tener certificaciones en seguridad informática o que haya participado en algún seminario o conferencia de seguridad. Artículo 9°.- Accesos no autorizados al Disco duro externo por mala ubicación del equipo  El personal encargado debe llevar un seminario sobre seguridad en activos de información.  se debe dar una inducción al personal nuevo en relación al RIF y políticas de seguridad. Artículo 10°.- Infección de virus en la PC de la aplicación sistema de acopio por antivirus desactualizado  Adquirir licencia de antivirus.  Verificar que el antivirus se esté actualizando correctamente.  Registrar las incidencias por virus.

3. Metodología de evaluación de riegos

Como se puede apreciar en la imagen el proceso de evaluación de riesgos de seguridad de información incluye: el análisis y evaluación del riesgo. El análisis de riesgos: primero que nada es necesario la Identificación de activos de información de las empresas, asimismo, Identificamos los requerimientos legales y comerciales que son relevantes para los activos identificados, Tasación de activos identificados, identificación de amenazas y vulnerabilidades para cada activo identificado, finalmente se hace el cálculo de la posibilidad de que las amenazas y vulnerabilidades ocurran. La evaluación de riesgos contempla: Después del análisis de riesgos se procede a evaluar teniendo en cuenta los siguientes criterios  

Cálculo de riesgos. Identificación del significado del riesgo. Esto se hace definiendo criterios y evaluando los riesgos contra una escala predeterminada.

4. Inventario de activos ACTIVO

Confidencial

Integridad

Disponibilidad

PROMEDIO

Propietario

Descripción

Ubicación

Sistema de acopio

5

5

5

5

Informático

PC de la oficina del almacén central

PC servidor y aplicación sistema de acopio

5

5

5

5

Informático

Almacenero

3

3

3

3

Almacenero

Base de datos del socio

5

5

5

5

Informático

Este sistema está desarrollado en C# y Excel permite registrar los movimientos del producto y los datos del clientes y personal Computadora del almacenero que tiene doble tarea, de servidor, y también soporta la aplicación de sistema. Persona responsable de todos los proceso en el acopio de café del almacén central de CENFROCAFÉ Se encuentra almacenado todos los datos del socio y la recepciones de café que se ha hecho anteriormente además, se almacena los datos del personal que recepcionó el café

Sistema contable

4

3

4

4

Informático

Base de datos del sistema contable

4

5

4

4

Informático

PC para la aplicación del sistema contable

4

4

3

4

Disco duro externo

5

5

4

Formato digital de la guía Guía física

4

4

3

3

Oficina del almacén central Almacén PC de la oficina del almacén central

Aplicación para el desarrollo contable que en el proceso de acopio interviene cuando la persona paga su inscripción para ser socio de la empresa Persona responsable de la administración de la base de datos del sistema.

Oficina de contabilidad

Informático

Computadora que soporta la aplicación y la BD del sistema contable

Ambientes del área contable

5

Administrador

Stands de la oficina de la administración

5

4

Informático, Almacenero

Disco duro de 1 Terabyte donde se almacena toda la información relevante de la empresa es generada por el sistema

4

3

Almacenero

Documento impreso cliente y al socio

que se le da al

Oficina de contabilidad

Sistema de acopio Almacén

5. Evaluación de amenazas y vulnerabilidades ACTIVO ACTIVO

AMENAZA Errores de Código

Sistema de acopio

PC de la aplicación sistema de acopio

Base de datos del socio

Disco duro externo

Sistema contable

Base de datos del sistema contable

PC para la aplicación del sistema contable

Boleta de pago físico

Formato digital de la guía

Almacenero

OCURRENCI A 2

VULNERABILIDAD Falta de mantenimiento Falta de un manual de usuario Falta de políticas de seguridad

Fallos Técnicos

2

Errores de Usuario

2

Código malicioso

3

Fallas en el hardware

2

Uso compartido de usuarios

4

Hackers

1

Falta de fluido eléctrico

1

Personas no autorizadas

2

Fuego

1

Daños por el agua

2

Virus

3

Errores del informático

3

Descuido con los equipos

Errores de configuración

1

Antigüedad de equipos

Robo

3

Falta de entrenamiento en seguridad

Eliminación de Información por virus

1

Ingreso no autorizado

3

Robo de contraseñas

1

Errores de registros a la base de datos

3

Robo

2

Acceso no autorizado

3

Errores de Código

1

Fallos Técnicos

2

Falta de capacitación en el manejo del sistema

Errores de Usuario

2

Falta de políticas en el uso de criptografía

Código malicioso

1

Falta de validación de datos

Fallas en el hardware

2

Uso compartido de usuarios

1

Hackers

1

Falta de mantenimiento del sistema

Caída del fluido eléctrico

1

Interfaces difíciles de entender

Forzar el ingreso probando claves

1

Configuración del Firewall

Eliminación de Información por virus

1

Ingreso no autorizado

2

Robo de contraseñas

1

Errores de registros a la base de datos

2

Virus

3

Fluido Eléctrico

1

Robo de contraseñas

1

Daños por el agua

1

Robo

2

Pérdida o robo

2

Incendio

1

Sistema de acopio

No eliminar acceso al termino del contrato Configuración del Firewall Interfaces difíciles de entender Falta de capacitación en el manejo del sistema Antivirus desactualizado Firewall desactivado Antigüedad del equipo

PC servidor y aplicación sistema de acopio

Falta de mantenimiento Mala ubicación de los equipos Mal cuidado de equipos Falta de regulación en el voltaje

Base de datos del socio

Contraseña sin modificarse Falta de políticas de seguridad Fallas del Sistema Operativo No eliminar acceso al termino del contrato Capacidad insuficiente

Disco duro externo

Sistema contable

Base de datos del sistema contable

Mal ubicación del equipo Descuido con el equipo

Falta de políticas de seguridad No eliminar acceso al termino del contrato

Falta de políticas de seguridad Contraseña sin modificarse Mal manejo de claves (claves débiles) Falta de mantenimiento del sistema Software desactualizado

PC para la aplicación del sistema contable

Mala configuración Firewall desactivado Mala ubicación de los equipos Falta de regulación en el voltaje Mala configuración del antivirus Mala ubicación

Boleta de pago físico

Falta en capacitación en temas de seguridad de activos Mala configuración de la impresora

Errores de impresión

1

Modificación de datos

2

Errores del código al autogenerar el número de la guía Fallas técnicas en la PC

2

Virus

3

Fallas en la red

2

Accidente

1

Falta de políticas de seguridad

Enfermedad o muerte

1

Desmotivación de trabajo

Despido o renuncia

1

2

Formato digital de la guía

Falta de mecanismos para el aseguramiento de la guía Interfaces difíciles de entender Antivirus desactualizado Mantenimiento de los equipos

Mal clima laboral Almacenero

No paguen de acuerdo al mercado laboral Falta de prácticas de valores Constantes viajes

Errores de Código

Sistema de acopio

Fallos Técnicos Virus

PRIORIZACIÓN

VULNERABILIDAD

MEDICIÓN RIESGO

AMENAZA

PROBABILIDAD OCURRENCIA

ACTIVO

IMPACTO AMENAZA

6. Análisis y evaluación de riesgos

Falta de mantenimiento del sistema

4

4

16

1

Falta de mantenimiento

4

4

16

2

Falta de un manual de usuario

4

4

16

3

Antivirus desactualizado

4

4

16

4

PC de la aplicación sistema de acopio

Errores del informático

Falta de conocimiento

4

4

16

5

Base de datos del socio

Ingreso no autorizado

Falta de entrenamiento en seguridad

4

4

16

6

Mal ubicación del equipo

5

3

15

7

Mal ubicación del equipo

4

4

16

8

Falta de capacitación en el manejo del sistema Falta de responsabilidad de los trabajadores

5

4

20

9

4

4

16

10

Disco duro externo Sistema contable Boleta de pago físico

Robo

Acceso no autorizado Errores de Usuario Pérdida o robo

7. Plan de tratamiento del riesgo

Riesgo N

1

Amenaza

Errores de Usuario

Vulnerabilidad

Falta de capacitación en el manejo del sistema

Activo

Sistema contable

Valor

20

Prioridad

Nivel de aceptación

1

Solo se aceptara que una persona tenga una capacitación al año de al menos 2 semanas de prueba en el sistema guiado por el experto.

Estrategia

Reducir

Control

Descripción del control

8.2.2

Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

Riesgo N

Valor Amenaza

2

Fallos Técnicos

Vulnerabilidad

Falta de mantenimiento en el sistema

Prioridad

Activo

Sistema de acopio

16

2

Nivel de aceptación

Se deben realizar al menos un mantenimiento al año del sistema de acopio

Estrategia

Reducir

Control

Descripción del control

10.1.2.

Se deberían controlar los cambios en los sistemas y recursos de tratamiento de información.

6.2.3

Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes

12.5.1

La implementación de cambios se debe controlar mediante el uso de procedimientos formales de control de cambios.

Riesgo N

Valor Amenaza

3

Fallos Técnicos

Vulnerabilidad

Falta de un manual de usuario

Prioridad

Nivel de aceptación

3

Los usuarios deben tener al menos una inducción al año por personal experto; además deberá ser evaluado en relación a la inducción.

Estrategia

Control

Descripción del control

10.1.1

Se deben documentar y mantener los procedimientos de operación, y se deben poner a disposición de todos los usuarios que los necesiten.

Activo

Sistema de acopio

16

Reducir

Riesgo N

Valor Amenaza

4

Errores del informático

Vulnerabilidad

Falta de conocimiento en seguridad informática

Prioridad

Nivel de aceptación

Estrategia

Control

Descripción del control

9.2.4

Los equipos deberían mantenerse adecuadamente para asegurar su continua disponibilidad e integridad.

8.2.1

La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

8.2.2

Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

Activo

PC de la aplicación sistema de acopio

16

4

El encargado debe capacitarse constantemente con un mínimo de tres seminarios por año

Reducir

Riesgo N

Valor Amenaza

5

Robo

Vulnerabilidad

Mal ubicación del equipo

Prioridad

Nivel de aceptación

Estrategia

Control

Descripción del control

7.1.2

El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las oportunidades de accesos no autorizados.

11.4.1.

Los usuarios sólo deberían tener acceso directo a los servicios para los que estén autorizados de una forma específica.

Activo

Disco duro externo

16

5

Definir normas para la ubicación de los equipos informáticos

Reducir

Riesgo N

Valor Amenaza

6

Pérdida o robo

Vulnerabilidad

Falta de responsabilidad de los trabajadores

Prioridad

Nivel de aceptación

Estrategia

Control

Descripción del control

8.2.1

La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

8.1.1

Inclusión de la seguridad en las responsabilidades y funciones laborales

Activo

Boleta de Pago

16

6

Fomentar el orden y la disciplina

Reducir

6.1.3

7.1.1

Deberían definirse claramente las responsabilidades Todos los activos deben ser claramente identificados y se deben elaborar y mantener un inventario de todos los activos importantes.

Riesgo N

7

Valor Amenaza

Vulnerabilidad

Errores de Código

Falta de mantenimiento del sistema

Prioridad

Nivel de aceptación

7

Se deben utilizar 3 mantenimientos al año en el sistema de acopio

Estrategia

Control

Descripción del control

12.2.2.

Se deberían incorporar a los sistemas comprobaciones de validación para detectar cualquier tipo de corrupción de información a través de errores del proceso o por actos deliberados.

Activo

Sistema de acopio

16

Reducir

Riesgo N

Valor Amenaza

8

Ingreso no autorizado

Vulnerabilidad

Activo

Falta de entrenamiento en seguridad

Base de datos del socio

16

Prioridad

Nivel de aceptación

8

el responsable debe participar constantemente en eventos relaciones a la seguridad de información

Estrategia

Reducir

Control

Descripción del control

8.2.2

Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

Riesgo N

Valor Prioridad Amenaza

9

Acceso no autorizado

Vulnerabilidad

Mal ubicación del equipo

Activo

Disco duro externo

16

9

Nivel de aceptación

Realizar auditoria por año

una interna

Estrategia Control

Descripción del control

9.1.2

Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que aseguren el permiso de acceso solo a personal autorizado.

8.2.3

Debe existir un proceso formal disciplinario para empleados que han cometido una apertura en la seguridad.

Reducir

Riesgo N

Valor Prioridad Amenaza

10

Virus

Vulnerabilidad

Activo

Antivirus desactualizado

PC de la aplicación sistema de acopio

16

10

Nivel de aceptación Asegurarse de que la pc esté conectada al internet para la actualización del antivirus.

Estrategia Control

Reducir

Descripción del control

10.4.1

Se debería implantar controles para detectar el software malicioso y prevenirse contra el, junto a procedimientos adecuados para concientizar a los usuarios.

11.7.1

se debería adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática

8. Declaración de Aplicabilidad Objetivos de control

Controles

Aplicabilidad

Justificación

8.2.2

si

Es necesario que el usuario debe estar capacitado en el dominio del sistema de contable, de esa manera evitar errores tales como: ingreso de datos, cálculos, etc.

10.1.1

si

Es necesario que el sistema tengan el manual de usuario

10.1.2

si

Es necesario que el sistema tenga un mantenimiento constante para prevenir o corregir errores

9.2 Seguridad de equipos

9.2.4

si

El responsable de los equipos debe realizar mantenimientos adecuados para mantenerse la integridad de los equipos

8.2. Durante el empleo

8.2.1

si

Si se desea contratar personal nuevo, es necesario contratarlo teniendo en cuenta el perfil que desea la empresa.

8.2. Durante el empleo

8.2.2

si

Es necesario capacitar en las políticas de seguridad para que los errores sean mínimos.

7.1. Responsabilidad sobre los activos

7.1.2

si

11.4. Control de acceso a la red

11.4.1

si

8.2. Durante el empleo

8.2.1

si

8.1. Seguridad antes del empleo

8.1.1

si

7.1. Responsabilidad sobre los activos

7.1.1

si

12.5. Seguridad en los procesos de desarrollo y soporte

12.5.1

si

8.2. Durante el empleo

8.2.2

si

11.4.1.

si

9.1. Áreas seguras

9.1.2

si

8.2. Durante el empleo

8.2.3

si

El personal que labora en la empresa debe cumplir normas establecidas por la empresa sobre la ubicación de los equipos.

12.2.2.

si

Es necesario incorporar a los sistemas comprobaciones de validación para que reducir los errores de código.

8.2. Durante el empleo 10.1. Procedimientos y responsabilidades de Operación

11.1. Requisitos de negocio para el control de accesos

12.2. seguridad de las aplicaciones del sistema

Es necesario implementar este control para proteger los equipos de las amenazas que presenta el entorno. Es necesario establecer la seguridad para los equipos según los roles correspondiente, así se tenga menos posibilidad de que se pierdan o roben los equipos. Si se desea contratar personal nuevo, es necesario contratarlo teniendo en cuenta el perfil que desea la empresa, Para evitar daños a la empresa por falta de valores. Es necesario que todas las políticas de seguridad sobre responsabilidad y disciplina de las personas se cumplan según lo establecido. Se debe elaborar inventarios constantes con el fin de mitigar las pérdidas de los activos de la empresa Es necesario que el mantenimiento del sistema esté bien documentado Es necesario que el usuario debe estar capacitado en el dominio de la BD del socio, de esa manera evitar errores. Es necesario que el personal debe cumplir con su responsabilidad al momento de utilizar los equipos Es necesario implementar controles estrictos sobre las ubicaciones adecuadas de los equipos de la empresa para evitar cualquier amenaza latente en entorno.