Servicios en Seguridad de Ia información
Seguridad de la información
La seguridad de la información es un componente crítico de la estrategia de negocio de cualquier
organización. Nuestros servicios de seguridad de la información le permiten identificar los riesgos
asociados a la información dentro de su organización, definir políticas y procedimientos de
acuerdo a los requerimientos de su negocio, identificar las herramientas de tecnología que apoyen
las políticas y controles e implementar un plan de concientización y entrenamiento a los usuarios
de acuerdo a los roles dentro de la organización. La seguridad de la información debe ser un
proceso integral, que garantice protección tanto de los aspectos físicos, lógicos e involucre el factor
humano. En otras palabras un manejo unificado en contra de las amenazas.
Para el desarrollo de los servicios de seguridad utilizamos estándares y recomendaciones de las
mejores prácticas tales como: ISO 27001. Tambien con la idea de hacer el servicio de seguridad
de la informacion mas tangible se incluye instalado y configurado de acuerdo a las politicas de
seguridad un UTM, IPS, CFS TZ-150 Sonicwall.
Descargar Brochure TZ-150 Sonicwall
Evaluación de Riesgos
La evaluación de riesgos identifica las amenazas, vulnerabilidades, y riesgos de la información
sobre la plataforma tecnológica de una organización, con el fin de generar un plan de
implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios
de disponibilidad, confidencialidad e integridad de la información.
La evaluación cubre los siguientes aspectos:
 | Evaluación con respecto a la norma ISO 27001 (Gap Analysis) | |
| Administración de la seguridad de la información. | |
| Pruebas de penetración (Qualys) | |
| Redes de Comunicaciones. | |
| Telefonía. | |
| Bases de Datos. | |
| Sistemas Operativos (Herramienta Qualys) | |
| Aplicaciones.(Recomendaciones sobre desarrollos seguros) | |
| Metodología de desarrollo | |
| Cumplimiento ISO 17799-27001 (Dominios ISO 27001) | |
| Lista de verificación. | |
| Firewalls. |
 | GFI Languard Scanner: Análisis de vulnerabilidades en Windows y Linux pdf | |
| Descargar: Metodologia analisis de riesgo pdf | |
| Mejores Practicas de Seguridad PPT | |
| Metodología analisis de vulnerabilidades |
El número de redes inalámbricas aumenta cada día por los beneficios que proveen a las
su implementación.
El servicio de Auditoria de redes inalámbricas, identifica las vulnerabilidades con los riesgos
correspondientes y define un plan de acción de los controles para mitigar dichos riesgos.
Auditoría de Seguridad ISO 27001, CIRCULAR 052 Y PCI
El servicio de Auditoria o preauditoría de seguridad evalúa el sistema de información identifica
vulnerabilidades y practicas no recomendadas.
Los entregables del servicio incluyen un reporte con las vulnerabilidades, riesgos encontrados y
las acciones para reducirlos. Este servicio verifica el cumplimiento de acuerdo a lo definido en ISO
27001, CIRCULAR 052 Y PCI y sirve de apoyo en la obtención de la certificación ofrecida por
Icontec o PCI.
El consorcio PCI fue formado by American Express, Discover Financial Services, JCB, MasterCard
Worldwide y Visa International en Sept. 7, 2006. PCI DSS quiere decir Payment Card Industry Data
Security Standard y busca proteger la información de los usuarios y luchar contra la suplantación y
otros fraudes que se producen en Internet sobre las transacciones electrónicas.
Documento: Auditoría PCI
Por otra parte, el servicio de Auditoria de la seguridad Circular 052 identifica los controles sobre los
cuales no se tiene cumplimiento al momento de la realización de la auditoría. Se busca en este
proceso identificar de manera concisa y veraz si se está cumpliendo con el modelo de seguridad
alineado directamente con los controles establecidos por la circular 052. Una vez realizado este
estudio, es decir, la identificación de los controles sin soporte, se debe generar entonces un
reporte de cumplimiento para que se tomen las medidas correctivas adecuadas de acuerdo a un
plan de acción definido y aprobado por las directivas
 | Documento: Auditoría Circular 052 | |
| Documento: Herramienta de Auditoría PCI | |
| Documento: Cuestionario infraestructura | |
| Declaracion de aplicabilidad |
Definición de Políticas, Procedimientos y Estándares de Seguridad de la
Se entiende por política, las reglas generales de comportamiento definidas para la interacción
entre los usuarios y los activos informáticos. Las políticas son independientes de los ambientes
propios de la entidad y representan la base de un modelo de seguridad.
Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y
procedimientos deben estar hechos a la medida, según los requerimientos específicos de cada
organización. Para la definición de las políticas y procedimientos se realiza un proceso de
validación en conjunto con la organización con el fin de generar políticas y procedimientos que se
ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia
el análisis de riesgo realizado, los controles del ISO 1 7799/ISO 27001.
Las políticas cubrirán los siguientes temas:
| Seguridad en la Organización: |
- o Roles y Responsabilidades de Seguridad de la Información
o Políticas para la conexión con terceros.
| Clasificación de la Información: |
- o Importancia de la información según la organización.
| Seguridad en el recurso Humano: |
- o Responsabilidades de seguridad de la información para los diferentes cargos.
o Entrenamiento a empleados en seguridad de la información como parte de su proceso
| Seguridad Física: |
- o Seguridad ambiental
o Control de Acceso físico.
| Administración de las operaciones de cómputo y comunicaciones. |
- o Políticas sobre el uso del correo electrónico
o Políticas sobre el uso de Internet.
o Políticas sobre el uso de recursos.
| Control de Acceso. | |
| Desarrollo y mantenimiento de Sistemas. | |
| Continuidad de Negocio. | |
| Conformidad con leyes civiles, legales y contractuales. |
Las políticas constan de:
- Audiencia
- Introducción
- Definiciones
- Objetivo
- Enunciado de la Política
- Políticas y Procedimientos relacionados
- Roles y responsabilidades
- Violaciones a la política
El servicio le ofrece a su organización los siguientes beneficios:
| Definición de las políticas de seguridad de acuerdo a los objetivos y requerimientos de su | |
| negocio. |
| Estandarización de todos los sistemas de cómputo y comunicaciones dentro de su red. | |
| Information Security Policies Made Easy por el experto en seguridad Consultor Charles | |
| Cresson Wood, CISA, CISSP, La Versión 10 incluye una colección de 1360+ Políticas de seguridad usadas por el 70% de los Fortune 100. |
Definición de Procedimientos de Seguridad
Los procedimientos son la descripción detallada de la manera como se implanta una política. El
procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.
Los procedimientos a definir son los siguientes:
| Administración de cuentas de usuario. | |
| Manejo de Incidentes | |
| Manejo de Virus | |
| Administración de cuentas privilegiadas. | |
| Procedimiento de Control de Cambios. | |
| Procedimiento de Acceso al edificio. | |
| Procedimiento de acceso al centro de Cómputo. | |
| Procedimiento de respaldo |
Definición de estándares de seguridad
Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar
Algunos de los principales estándares a definir son:
| Longitudes de contraseñas | |
| Histórico de contraseñas | |
| Eventos a registrar en logs | |
| Estándares de seguridad en Switches | |
| Estándares de seguridad Routers | |
| VPN | |
| Sistemas Operativos | |
| DESCARGAR: Estándares de seguridad Firewall |
Diseño de Arquitectura de Seguridad.
La arquitectura de seguridad, debe ser el resultado de un proceso que considere las diferentes
realizada durante el proceso anteriormente descrito. Utilizando esta información la arquitectura de seguridad debe
definir los elementos tanto de software como de hardware, que integrados adecuadamente permitan realizar el
proceso de mitigación de posibles impactos sobre la infraestructura de información. En otras palabras la
arquitectura de seguridad debe considerar la utilización de los siguientes elementos:
| Control de Acceso Biométricos. | |
| IPS. | |
| Monitoreo Ambiental. | |
| Detección de Intrusos Fisicos. | |
| Manejo de Ancho de Banda. | |
| VPN | |
| Firewall: Arquitectura Sonicwall. | |
| Unified Threat Management UTM | |
| Algoritmos de Seguridad. | |
| Seguridad en la red. | |
| DESCARGAR: Seguridad en el acceso remoto. |
INDICE DOCUMENTO DE POLITICAS ISO 27001
1 INTRODUCCIÓN 7
2 ALCANCE DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 7
3 PROPÓSITOS DE LA POLÍTICAS 8
4 ROLES Y RESPONSABILIDADES 8
5 VIOLACIONES A LA POLÍTICA 8
6 REVISIÓN DE LA POLÍTICA 8
7 TÉRMINOS Y DEFINICIONES UTILIZADOS EN ESTE DOCUMENTO 8
8 DOMINIOS DE ISO 27001 10
9 POLÍTICAS 11
9.1 Política de Seguridad 11
9.2 Organización de la seguridad de la información 12
9.2.1 Organización Interna 12
9.2.1.1 Compromiso de la gerencia con la Seguridad de la Información 12
9.2.1.1.1 Funciones del Comité de Seguridad de la información 12
9.2.1.2 Coordinación de la Seguridad de la Información 13
9.2.1.3 Asignación de responsabilidades para la Seguridad de la Información 13
9.2.1.3.1 Oficial de Seguridad 14
9.2.1.3.2 Comité de seguridad 14
9.2.1.3.3 Dueños de la Información 14
9.2.1.3.4 La gerencia 14
9.2.1.3.5 Empleados 14
9.2.1.3.6 Contratistas, proveedores y terceros 14
9.2.1.3.7 Administradores de los sistemas 15
9.2.1.4 Autorización para nuevos servicios de procesamiento de la Información 15
9.2.1.5 Acuerdos de confidencialidad 16
9.2.1.6 Contactos con las autoridades 16
9.2.1.7 Contactos con grupos de interés 16
9.2.1.8 Revisión independiente de la Seguridad de la Información. 16
9.3 Gestión de los activos de información 17
9.3.1 Responsabilidad por los activos 17
9.3.1.1 Inventario de Activos 17
9.3.1.2 Propiedad de los activos 18
9.3.1.3 Uso aceptable de los activos 19
9.3.1.3.1 Escritorios libres en horas no laborales 19
9.3.1.3.2 Escritorios libres en horas habituales de trabajo 19
9.3.1.3.3 Manejo de Información en horario laboral 19
9.3.1.3.4 Áreas Desatendidas 19
9.3.1.3.5 Almacenamiento de Información sensitiva o confidencial 19
9.3.1.3.6 Apagado y bloqueo de Estaciones de Trabajo 19
9.4 Seguridad del Recurso Humano 20
9.4.1 Antes de la contratación laboral 20
9.4.1.1 Roles y responsabilidades 20
9.4.1.2 Selección 20
9.4.1.3 Términos laborales 20
9.4.2 Durante la vigencia de la contratación laboral 20
9.4.2.1 Responsabilidades de la gerencia 21
9.4.2.2 Entrenamiento, educación y formación 21
9.4.2.3 Proceso disciplinario 23
9.4.3 Terminación o cambio de la contratación laboral 23
9.4.3.1 Responsabilidades en la terminación 23
9.4.3.2 Devolución de activos 24
9.4.3.3 Retiro de los derechos de acceso 24
9.5 Seguridad Física y Ambiental 24
9.5.1 Áreas seguras 24
9.5.1.1 Perímetro de seguridad física 24
9.5.1.2 Controles de seguridad física 25
9.5.1.3 Seguridad de oficinas, recintos e instalaciones 25
9.5.1.4 Protección contra amenazas externas y ambientales 25
9.5.1.5 Trabajo en áreas seguras 26
9.5.1.6 Áreas de carga, despacho y acceso público 26
9.5.2 Seguridad de los equipos 26
9.5.2.1 Ubicación y protección de los equipos 27
9.5.3 Almacenamiento de cintas de respaldo 27
9.5.3.1 Servicios de suministros 27
9.5.3.2 Seguridad del cableado 27
9.5.3.3 Mantenimiento de los equipos 28
9.5.3.4 Seguridad de los equipos fuera de las instalaciones 28
9.5.3.5 Seguridad en la reutilización o eliminación de equipos 28
9.5.3.6 Retiro de activos 29
9.6 Gestión de comunicaciones y operaciones 30
9.6.1 Procedimientos operacionales y responsabilidades 30
9.6.1.1 Documentación de los procedimientos operativos 30
9.6.1.2 Gestión del Cambio 30
9.6.1.3 Distribución de funciones 30
9.6.1.4 Separación de ambientes 31
9.6.2 Planificación y aceptación del sistema 31
9.6.2.1 Gestión de la capacidad 31
9.6.2.2 Aceptación del sistema 31
9.6.3 Protección contra código malicioso o móvil 31
9.6.3.1 Controles contra código Malicioso 31
9.6.3.2 Controles contra códigos móviles 32
9.6.4 Respaldo 32
9.6.4.1 Respaldo de la información 32
9.6.5 Gestión de la seguridad en las redes 33
9.6.5.1 Controles de las redes 33
9.6.5.2 Seguridad de los servicios de red 33
9.6.6 Manejo de los medios 34
9.6.6.1 Gestión de los medios removibles 35
9.6.6.2 Eliminación de medios 35
9.6.6.3 Procedimiento para el manejo de la información 35
9.6.6.4 Seguridad de la documentación del sistema 35
9.6.7 Intercambio de la información 35
9.6.7.1 Políticas y procedimientos para el intercambio de información 36
9.6.7.2 Acuerdos para el intercambio 36
9.6.7.3 Mensajería electrónica 36
9.6.8 Monitoreo 36
9.6.8.1 Registro de auditorias 36
9.6.8.2 Monitoreo del uso del sistema 37
9.6.8.3 Protección de la información de los registros 37
9.6.8.4 Registros del administrador y operador 37
9.6.8.5 Registros de falla 37
9.6.8.6 Sincronización de relojes 37
9.7 Control de Acceso 38
9.7.1 Requisitos del negocio para el control de acceso 38
9.7.1.1 Política de control de acceso 38
9.7.2 Gestión de acceso de los usuarios 38
9.7.2.1 Registro de usuarios 38
9.7.2.2 Gestión de privilegios 38
9.7.2.3 Gestión de contraseñas para usuarios 38
9.7.2.4 Revisión de los derechos de acceso de los usuarios 39
9.7.3 Responsabilidades de los usuarios 39
9.7.3.1 Uso de contraseñas 39
9.7.3.2 Equipo de usuario desatendido 39
9.7.3.3 Política de escritorio despejado y pantalla despejada 39
9.7.4 Control de acceso a las redes 40
9.7.4.1 Política de uso de los servicios de red 40
9.7.4.2 Autenticación de usuarios para conexiones externas. 41
9.7.4.3 Identificación de los equipos en las redes 41
9.7.4.4 Protección de los puertos de configuración y diagnóstico remoto 41
9.7.4.5 Separación en las redes 42
9.7.4.6 Control de conexión a las redes 42
9.7.5 Control de acceso al sistema operativo 42
9.7.5.1 Procedimiento de ingresos seguros 42
9.7.5.2 Identificación y autenticación de usuarios 42
9.7.5.3 Sistemas de Gestión de contraseñas. 43
9.7.5.4 Uso de las utilidades del sistema. 43
9.7.5.5 Tiempo de inactividad de la sesión 43
9.7.6 Control de acceso a las aplicaciones y a la información. 44
9.7.6.1 Restricción de acceso a la información 44
9.7.6.2 Aislamiento de sistemas sensibles 44
9.7.7 Computación móvil y trabajo remoto 44
9.7.7.1 Computación y comunicaciones móviles 44
9.7.7.2 Trabajo remoto 44
9.8 Adquisición, desarrollo y mantenimiento de sistemas de información. 45
9.8.1 Requisitos de seguridad de los sistemas de información 45
9.8.1.1 Análisis y especificaciones de los requisitos de seguridad. 45
9.8.2 Procesamiento correcto de las aplicaciones 45
9.8.2.1 Validación de los datos de entrada 45
9.8.2.2 Control de procesamiento interno 46
9.8.2.3 Integridad del mensaje 46
9.8.2.4 Validación de los datos de salida 46
9.8.3 Controles criptográficos 46
9.8.3.1 Política sobre el uso de los controles criptográficos 46
9.8.4 Seguridad de los archivos del sistema 46
9.8.4.1 Control de software operativo 46
9.8.4.2 Protección de los datos de pruebas del sistema 47
9.8.4.3 Control de acceso al código fuente de los programas 47
9.8.5 Seguridad en los procesos de desarrollo y soporte 47
9.8.5.1 Procedimientos de control de cambios 47
9.8.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema
9.8.5.3 Restricción en los cambios a los paquetes de software 47
9.8.5.4 Fuga de información 48
9.8.5.5 Desarrollo de software contratado externamente 48
9.8.6 Gestión de la vulnerabilidad técnica 48
9.8.6.1 Control de vulnerabilidades técnicas 48
9.9 Gestión de los incidentes de la seguridad de la información 48
9.9.1 Reporte sobre los eventos y las debilidades de la seguridad de la información 48
9.9.1.1 Reporte sobre los eventos de la seguridad de la información 49
9.9.1.2 Reporte sobre las debilidades de la seguridad de la información 49
9.9.2 Gestión de los incidentes y las mejoras en la seguridad de la información 49
9.9.2.1 Responsabilidades y procedimientos. 49
9.9.2.2 Aprendizaje debido a los incidentes de seguridad de la Información 49
9.9.2.3 Recolección de evidencia 49
Dominios de ISO 27001
Política de seguridad: Constituye el presente documento, y es donde se estipulan las políticas con
respecto a la seguridad de la información siguiendo los lineamientos dados por ISO 27001/17799.
Organización de la seguridad: Gestionar la seguridad de la información dentro de X. (Roles,
compromisos, autorizaciones, acuerdos, manejo con terceros)
Gestión de activos: Se relaciona con el mantenimiento y protección apropiados de todos los
activos de información.
Seguridad del Recurso Humano: Este dominio busca asegurar que empleados, contratistas y
terceros entiendan sus responsabilidades y sean adecuados para los roles a desempeñar
minimizando los riesgos relacionados con personal.
Seguridad Física y del entorno: Busca prevenir accesos físicos no autorizados (perímetro), daños
o interferencias a las instalaciones y a su información.
Gestión de comunicaciones y operaciones: Se busca asegurar la correcta y segura operación de
las áreas de procesamiento de información (actividades operativas y concernientes a la plataforma
tecnológica).
Control de acceso: Se realiza el control físico o lógico de los accesos a los activos de la
información, incluyendo por ejemplo acceso físico a los sistemas operativos o aplicaciones.
Adquisición, desarrollo y mantenimiento de sistemas de información: Asegurar la inclusión de
todos los controles de seguridad en los sistemas de información nuevos o en funcionamiento
(infraestructura, aplicaciones, servicios, etc.). También regula la adquisición de software para la
organización y los contratos de soporte y mantenimiento asociados a ellos.
Gestión de incidentes de seguridad: Permitir que los eventos de seguridad de la información y las
debilidades asociadas con los sistemas de información, sean comunicados de tal manera que se
tome una acción correctiva adecuada y en el momento indicado.
Gestión de la continuidad del negocio: Enfocado en reaccionar en contra de interrupciones a las
actividades de la función misional y en proteger los procesos críticos contra fallas mayores en los
sistemas de información o desastres, y por otro lado, asegurar que se recuperen a tiempo.
Cumplimiento: Busca prevenir el incumplimiento total o parcial de las leyes, estatutos,
regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad.
 |  |  |  |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| |
 |
| Preocupado por su Información... SISTESEG le puede ayudar |
| Su empresa cuenta con un Sistema de Gestión de la Seguridad SISTESEG. |
| La información es un activo. Lo ayudamos a protegerlo... |