UNIVERSIDAD DON BOSCO VICERRECTORÍA DE ESTUDIOS DE POSTGRADO TRABAJO DE GRADUACIÓN Diagnóstico de la Seguridad Informática en El Salvador: un enfoque práctico. PARA OPTAR AL GRADO DE: Maestro de Seguridad y Gestión de Riesgos Informáticos ASESOR: MASTER LEONARDO CASTILLO PRESENTADO POR: MAYRA ESTELA AQUINO GUEVARA AG070091 NELSON CHACÓN REYES CR920149 YUBINY MOISÉS VILLALTA GONZÁLEZ VG070038 OCTUBRE DE 2017 Antiguo Cuscatlán, La Libertad, EL SALVADOR, CENTROAMERICA AGRADECIMIENTOS: Quiero Agradecer a mi familia mi esposa, mi hijos que supieron apoyarme en todo este proyecto de vida, con mucho amor les agradezco por ser la inspiración para superarme constantemente y me quedo sin palabras para agradecer su apoyo y comprensión el cual ha sido incondicional. A mi madre, mis hermanos por toda su ayuda, guía y ejemplo por lo cual es ahora posible este logro académico y personal, de igual forma agradezco a mi demás familia que de alguna u otra forma fueron un apoyo constante. Finalmente a mis compañeros de equipo Yubiny, y Mayra les agradezco su amistad y por todo lo aprendido, finalmente se culmina esta aventura. Nelson Chacón Reyes AGRADECIMIENTOS A mi madre por haberme forjado como la persona que soy en la actualidad; cada logro adquirido, incluido este, no hubiera sido posible sin su apoyo incondicional. A mis compañeros de tesis por todo el trabajo y esfuerzo dado para alcanzar esta meta. Gracias. Mayra Estela Aquino Guevara AGRADECIMIENTOS Quiero agradecer a: Dios por haber permitido llegar a este punto de mi vida logrando conseguir la finalización de esta carrera. Mí muy querida madre, primeramente por haberme dado la vida, por ser una razón para seguir adelante cada día, por todo el apoyo y el trabajo realizado desde que yo estaba muy pequeño. También por sus invaluables consejos, los cuales me ayudaron a seguir adelante en cada etapa de este camino. Hermanos, los cuales siempre apoyaron y creyeron en todo el esfuerzo que realizaba en mis estudios. Mis amigos, que me apoyaron en todo este tiempo, que me aconsejaron y me ayudaron de una u otra forma. Compañeros de tesis y grandes amigos, Nelson Chacón y Mayra Aquino por su apoyo, sus conocimientos compartidos y su amistad. Y finalmente a todas aquellas personas que de una u forma aportaron para hacer posible este logro. Yubiny Moisés Villalta González INDICE ÍNDICE DE ILUSTRACIONES ........................................................................................................ 3 INTRODUCCIÓN ............................................................................................................................. 4 OBJETIVOS ...................................................................................................................................... 7 OBJETIVO GENERAL ................................................................................................................. 7 OBJETIVOS ESPECÍFICOS ......................................................................................................... 7 ESTADO DEL ARTE ........................................................................................................................ 8 MARCOS DE REFERENCIA ....................................................................................................... 8 COBIT ....................................................................................................................................... 9 SERIE ISO/IEC 27000 ............................................................................................................. 12 O-ISM3 .................................................................................................................................... 19 COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) ........................................... 22 INCIDENTES DE SEGURIDAD ................................................................................................ 25 CONTEXTO LEGAL .................................................................................................................. 33 CONTEXTO ACADÉMICO ....................................................................................................... 37 CRITERIO DE EVALUACIÓN .................................................................................................. 37 PROPUESTA METODOLÓGICA .............................................................................................. 43 LIMITACIONES ............................................................................................................................. 44 ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS ........................................................ 45 ÁREAS DE MEJORA IDENTIFICADAS ...................................................................................... 56 OFERTA ACADÉMICA ORIENTADA A PROFESIONALES EN EL AREA .......................... 60 CONCLUSIONES ........................................................................................................................... 69 REFERENCIAS BIBLIOGRÁFICAS ............................................................................................. 70 GLOSARIO ..................................................................................................................................... 70 ANEXOS ......................................................................................................................................... 73 ANEXO 1..................................................................................................................................... 73 ENCUESTA ................................................................................................................................. 73 OFERTAS ACADÉMICAS AL 31 DE DICIEMBRE 2015 ........................................................ 77 3 ÍNDICE DE ILUSTRACIONES Ilustración 1 Marcos de referencia ..................................................................................................... 8 Ilustración 2 - Evolución de Cobit ..................................................................................................... 10 Ilustración 3 Principios, Políticas y Marcos de COBIT ....................................................................... 11 Ilustración 4 Historia de ISO 27001 .................................................................................................. 13 Ilustración 5 Ciclo PDCA ................................................................................................................... 16 Ilustración 6 Estructura de un estándar ISM3 .................................................................................. 21 Ilustración 7 Componentes del Estudio COSO I ................................................................................ 23 Ilustración 8 Implementación de controles ...................................................................................... 25 Ilustración 9 Implementación de controles ESET 2015 .................................................................... 26 Ilustración 10 Implementación de controles ESET 2016 .................................................................. 26 Ilustración 11 Prácticas de Gestión en las empresas de Latinoamérica ESET 2014 .......................... 27 Ilustración 12 Porcentaje de empresas encuestadas ESET 2015 ...................................................... 27 Ilustración 13 Prácticas de Gestión en las empresas Latino América ............................................... 28 Ilustración 14 Incidentes en el año 2016 (ESET) ............................................................................... 29 Ilustración 15 Incidentes en empresas de Latinoamérca 2015 (ESET) .............................................. 29 Ilustración 16 Incidentes en el año 2016 (ESET) ............................................................................... 29 Ilustración 17 Ataques cibernéticos realizados a entidades de El Salvador...................................... 30 Ilustración 18 Incidentes de malware por país en 2017 (ESET) ........................................................ 31 Ilustración 19 Origen de incidentes de seguridad en Latinoamérica ................................................ 32 Ilustración 20 Carreras con contenido SI, impartidas por universidades de El Salvador .................. 40 Ilustración 21 Materias con contenido SI por Tipo de Carrera ......................................................... 41 Ilustración 22 Carreras de Grado impartidas por universidades de El Salvador ............................... 42 Tabla 1 - Matriz de referencia legal .................................................................................................. 36 Tabla 2 - Estándares y buenas prácticas para la SI ........................................................................... 43 Tabla 3 - Técnicas y herramientas para realizar auditorías de informática ...................................... 59 4 INTRODUCCIÓN El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar, ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales. El constante cambio de la tecnología a nivel mundial, la acelerada globalización de la economía, la acentuada dependencia que incorpora el alto volumen de información, y los sistemas que la proveen. Ha creado nuevas vulnerabilidades, nuevas amenazas, y los riesgos asociados a estos sistemas también han evolucionado. Esto trae consigo nuevos retos para los profesionales actuales y para los que están en formación, desde el proceso de planificación, estrategias, y despliegue de las nuevas tecnologías deben preparar los mecanismos de seguridad apropiados para proteger los nuevos activos asociados a la empresa. Hablar de la seguridad absoluto es una utopía, la inversión en un sistema completamente seguro, es hablar de una inversión con tendencia al infinito. Y es que la seguridad se ha buscado desde los inicios de la empresa, de hecho nos tenemos que remontar a los inicios de la gestión de la empresa, la seguridad moderna se originó con la revolución industrial para combatir los delitos y movimientos laborales, tan comunes en aquella época. Finalmente, el teórico y pionero del Management, Henry Fayol en 1919 identifica la Seguridad como una de las funciones empresariales, luego de la técnica, comercial, financiera, contable y directiva. Al definir el objetivo de la Seguridad Fayol (Fayol, 1916) dice: “…salvaguardar propiedades y personas contra el robo, fuego, inundación contrarrestar huelgas y felonías, y de forma amplia todos los disturbios sociales que puedan poner en peligro el progreso e incluso la vida del negocio. Es, generalmente hablando, todas las medidas para conferir la requerida paz y tranquilidad (Peace of Mind) al personal”. Las medidas de seguridad a las que se refiere Fayol, sólo se restringían a los exclusivamente físicos de la instalación, ya que el mayor activo era justamente ese: los equipos, ni siquiera el empleado. Con la aparición de los “cerebros electrónicos”, esta mentalidad se mantuvo, porque ¿quién sería capaz de entender estos complicados aparatos como para poner en peligro la integridad de los datos por ellos utilizados?, nace entonces la seguridad informática. Sin embargo podemos identificar dos planos en la seguridad informática, el plano técnico y el plano legal, ya que no podemos separarlos, pues uno se cimienta en el otro. La seguridad, 5 desde el punto de vista legislativo, está en manos de los políticos, a quienes les toca decidir sobre su importancia, los delitos en que se pueden incurrir, y el respectivo castigo, si correspondiera. Este proceso ha conseguido importantes logros en las áreas de prevención del crimen, terrorismo y riesgo más que en el pensamiento general sobre seguridad. En cambio desde el punto de vista estratégico, la seguridad está en manos de la dirección de las organizaciones y, en última instancia, en cada uno de nosotros y en nuestro grado de concientización respecto a la importancia de la información y el conocimiento en este nuevo milenio. Tratar de definir el concepto de seguridad es “borroso” para muchos profesionales o su definición se maneja con cierto grado de incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa consecuencia de que la función de seguridad puede ser frecuentemente etiquetada como inadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante reclamos basados en ambigüedades de conceptos y definiciones. De aquí la importancia de fijar marcos de referencia para tales conceptos, diferentes organizaciones alrededor del mundo han tratado de crear definiciones o estándares esperando que las empresas y profesionales los adopten como ciertos y sean implementados a lo largo y ancho del mundo. El “libro naranja” (Departamento de Defensa Estados unidos de América, 1984) el cual es creado por el departamento de defensa de los Estados Unidos, en la década de los ochenta, Se definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento. A Partir de este instante el concepto de seguridad informática empieza a tomar relevancia, sin existir de manera formal. Muchos de los siguientes marcos de referencia han tomado como base el “Libro Naranja” y sus conceptos han ido evolucionando con el correr de los años. Paralelamente las normas ISO empezaron a evolucionar, desde la norma ISO/IEC 17799, hasta la actual norma 27001:2013, las cuales dictan los elementos a tomar en cuenta, para 6 asegurar la información en las empresas, donde se referencian los diferentes ámbitos de la empresa y los cuidados que se deben tener en cuenta. Los profesionales salvadoreños deben de adoptar el modelo que según sus recursos le permitan, ya que si bien cierto la dirección de la empresa demanda de la seguridad no otorga los recursos necesarios para la óptima protección de los activos. A través de este trabajo hemos indagado cuales son los recursos más comunes que utilizan los profesionales para llevar a cabo su tarea. De ahí que el primer elemento que las empresas optan por adquirir para la seguridad son los antivirus, ya sea de licencia libre o de licencia de paga, asumiendo que este elemento mágico podrá proteger toda la infraestructura y activos de información de la empresa. Dentro del mismo proceso de protección las empresas optan por colocar un segundo elemento, y este es el firewall, una caja de pandora que si no es bien configurada solo formara parte de la estética del datacenter y para satisfacer un requerimiento, y muchas veces como un placebo de la seguridad informática. Como se verá en el desarrollo de esta investigación dichos elementos solo son una pequeña pieza del complejo rompecabezas de la seguridad, desde los marcos de referencia y buenas prácticas, hasta las normas ISO cada uno aporta desde su propia perspectiva los diferentes elementos que se deben cubrir para minimizar el impacto de las diferentes amenazas que se logren identificar dentro del proceso de evaluación de riesgos a los que se deben someter todos los activos de información. Se ha evaluado el estado actual de la seguridad informática en El Salvador, a través de la perspectiva de los que están a cargo, de los responsables directos en las empresas. 7 OBJETIVOS OBJETIVO GENERAL Conocer el estado actual de la seguridad informática en El Salvador, a través de la evaluación de tres puntos de vista, el técnico, legal y educativo. OBJETIVOS ESPECÍFICOS 1. Conocer los diferentes elementos que el personal técnico utiliza para enfrentar el reto de la seguridad informática en la empresa salvadoreña. 2. Evaluar el estado actual del marco jurídico salvadoreño en torno a la seguridad informática. 3. Conocer la oferta educativa formal utilizada por las universidades salvadoreñas, la cual es utilizada para la formación de los profesionales en carreras afines a las tecnologías de información. 4. Proponer un currículo orientada a la formación de profesionales especializados en la seguridad de la información. 8 ESTADO DEL ARTE MARCOS DE REFERENCIA El tratar de implementar el concepto de SI (Seguridad Informática) en la empresa con lleva una serie de dudas, pues existen muchos marcos de referencia para la gestión de las TI (Tecnologías de la información), dichos marcos de referencia han sido escrito por diferentes entidades en momentos históricos diferentes, y bajo premisas propias de la sociedad para la cual fueron diseñados. De ahí es que muy pocos profesionales de TI pueden o se atreven a dar una receta sobre cómo llevar a cabo la implementación de un sistema seguro, dado que no existe tal concepto. Al momento de pensar en implementar un marco de referencia único para asegurar los activos de información caemos en el error de pensar que es la solución, antes de empezar es necesario evaluar cada uno de ellos, y adoptar los elementos que sean aplicables al negocio. Con el pasar del tiempo hemos visto que todos los marcos de referencia han ido evolucionando, y cambiando su enfoque de la tecnología hacia el negocio, es decir antes los expertos se basaban en proteger los elementos físicos, sin embargo con el correr de los años han establecido que los activos más importantes dentro de la organización no son los objetos en si (hardware) sino que la información y los procesos que la generan y administran cobran importancia y es adonde se hay que voltear la mirada. Existen tantos marcos de referencia como puntos de vista, dentro de los más significativos o con relevancia a las TI podemos mencionar: Ilustración 1 Marcos de referencia Gobernanza Corporativa Gobernanza de IT y Servicios Gobernanza de la Seguridad - ISMS Privacidad, Regulaciones, Requerimientos, RA y KR •COSO •COBIT 5 •ITIL •ISO/IEC 27000 •NIST •ISM | CSC •SOX, PCI •Leyes •Normativas (Gobierno) 9 Sin embargo, de los arriba mencionados solo unos cuantos abordan la temática de seguridad desde el punto de vista de esta investigación, por lo que nos detendremos a examinar COBIT, e ISO 27000 dado que a nuestro juicio toman en cuenta los siguientes ejes: ● Dirigir: Alinear la gestión de TI al negocio ● Crear: Asegurar la creación de valor ● Proteger: Administrar los riesgos ● Actuar: Administrar el uso de los recursos ● Monitorear: Administrar el desempeño. COBIT Introducción Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control Objectives for Information and related Technology) es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión. Orígenes Este marco nace en la década de los noventa, con el objetivo de proveer a la empresa un mecanismo de control, a lo largo de su evolución incorpora nuevos elementos asociados a la tecnología consolidándose en la versión 4 como un marco orientado a la tecnología con énfasis en el negocio, incorpora elementos de evaluación de riegos como un valor agregado a la empresa. Sin embargo es hasta en la versión 5 donde se presenta como un marco de Gobierno Corporativo de TI, que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización, enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio. 10 Ilustración 2 - Evolución de Cobit Objetivos El objetivo principal de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores". Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información. Componentes A partir de su versión 4 incorpora marcos de referencia asociados a la seguridad, tales como: • Val IT es un marco de referencia de gobierno que incluye principios rectores generalmente aceptados y procesos de soporte relativos a la evaluación y selección de inversiones de negocios de TI • Risk IT es un marco de referencia normativo basado en un conjunto de principios rectores para una gestión efectiva de riesgos de TI. • BMIS (Business Model for Information Security) una aproximación holística y orientada al negocio para la administración de la seguridad informática • ITAF (IT Assurance Framework) un marco para el diseño, la ejecución y reporte de auditorías de TI y de tareas de evaluación de cumplimiento. Todo el conjunto de facilitadores que COBIT provee, hace que sea un marco de trabajo muy completo, puesto que cubre casi en su totalidad los ámbitos de la empresa, permitiendo crear un sistema muy 11 seguro, ya que la seguridad de los activos de información no solo radica en el área de tecnología, COBIT trata crear una filosofía de empresa basada en: ● Cultura, Ética y Comportamiento ● Estructura Organizacional ● Información ● Principios Políticas ● Habilidades y Competencias ● Capacidad de brindar Servicios ● Procesos Cuando todos estos elementos trabajan en armonía, podemos decir que es posible crear un sistema seguro. Ilustración 3 Principios, Políticas y Marcos de COBIT Fuente: COBIT ® 5, © 2012 ISACA ® Todos los Derechos Reservados 1. Principios, Políticas y Marcos 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 5. Información 6. Servicios, Infraestructura y Aplicaciones 7. Personas, Habilidades y Competencias RECURSOS 12 Beneficios COBIT 5 ayuda a empresas de todos los tamaños a:  Optimizar los servicios el coste de las TI y la tecnología  Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas  Gestión de nuevas tecnologías de información Los 5 Principios de COBIT 5  Satisfacer las necesidades de las Partes Interesadas.  Cubrir la Compañía de Forma Integral.  Aplicar un solo Marco Integrado.  Habilitar un Enfoque Holístico.  Separar el Gobierno de la Administración. SERIE ISO/IEC 27000 Introducción Las normas de la familia ISO 27,000 busca definir los requerimientos para un sistema de gestión de la seguridad de la información (SGSI), garantizando la selección de controles de seguridad que aseguren la información de las organizaciones. Origen Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como: ● BS 5750. Publicada en 1979. Origen de ISO 9001. ● BS 7750. Publicada en 1992. Origen de ISO 14001. ● BS 8800. Publicada en 1996. Origen de OHSAS 18001. La norma BS 7799 de BSI apareció por primera vez en 1995, con objeto de proporcionar a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que estableció los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente. 13 Ilustración 4 Historia de ISO 27001 Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido, así como el año de publicación formal de la revisión. En marzo de 2006, posteriormente a la publicación de ISO 27001:2005, BSI publicó la BS 7799- 3:2006, centrada en la gestión del riesgo de los sistemas de información. Asimismo, ISO ha continuado, y continúa aún, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie. Los objetivos principales son: ● Identificar, evaluar y gestionar los riesgos de la organización. ● Realizar evaluaciones constantes acerca del rendimiento de los controles e identificación de las mejoras a los mismos. ● Documentar los procedimientos, políticas y controles de seguridad. ● Distribución de responsabilidades dentro de las personas encargadas del aseguramiento de la información ● Revisión y mejora continua del SGSI ● Uso de indicadores para la medición de efectividad de los controles de seguridad y del SGSI 14 Series 27000 ● ISO/IEC 27000: 1 de mayo de 2009. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000. Sin traducción. ● ISO/IEC 27001: 15 de octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Sin traducir. Actualmente, este estándar se encuentra en periodo de revisión en el subcomité ISO SC27, con fecha prevista de publicación en 2012. ● ISO/IEC 27002: Del año 2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. ● ISO/IEC 27003: 01 de febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. ● ISO/IEC 27004: 7 de diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. Sin traducir. ● ISO/IEC 27005: 4 de junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001. Sin traducir todavía. ● ISO/IEC 27006: 1 de marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía en España, pero traducida en México (NMX-I-041/06-NYCE). ● ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. ● ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ● ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter- sectoriales. ● ISO/IEC 27011: 15 de diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Sin traducción. ● ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de requisitos y directrices de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración. ● ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1. ● ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información. 15 ● ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros. ● ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con aspectos económicos en las organizaciones. ● ISO/IEC 27031: 01 de marzo de 2011. Describe los conceptos y principios de la tecnología de información y comunicación (TIC) ● ISO/IEC 27032: Publicación prevista en 2011. Guía relativa a la ciberseguridad. ● ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales (10 de diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (prevista 2011); 27033-3, escenarios de redes de referencia (3 de Diciembre de 2010); 27033- 4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad (prevista 2012); 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista 2012); 27033-6, convergencia IP (prevista 2012); 27033-7, redes inalámbricas (prevista 2012). ● ISO/IEC 27034: Publicación prevista desde 2011-12. Varias guías de seguridad para aplicaciones informáticas. ● ISO/IEC 27035: Publicación prevista en 2011. Guía de gestión de incidentes de seguridad de la información. ● ISO/IEC 27036: Publicación prevista en 2012. Guía de seguridad de outsourcing (externalización de servicios). ● ISO/IEC 27037: Publicación prevista en 2012. Guía de identificación, recopilación y preservación de evidencias digitales. ● ISO/IEC 27038: Publicación prevista en 2013. Guía de especificación para la redacción digital. ● ISO/IEC 27039: Publicación prevista en 2013. Guía para la selección, despliegue y operativa de sistemas de detección de intrusos. ● ISO/IEC 27040: Publicación prevista en 2013. Guía para la seguridad en medios de almacenamiento. ● ISO 27799: 12 de junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002. Beneficios ● Establecimiento de una metodología de gestión de la seguridad clara y estructurada. ● Reducción del riesgo de pérdida, robo o corrupción de información. ● Los clientes tienen acceso a la información a través medidas de seguridad. ● Los riesgos y sus controles son continuamente revisados. ● Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. ● Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. ● Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, ● OHSAS 18001L). ● Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. 16 ● Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. ● Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. ● Confianza y reglas claras para las personas de la organización. ● Reducción de costes y mejora de los procesos y servicio. ● Aumento de la motivación y satisfacción del personal. ● Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías Implementación El ciclo PDCA como modelo para implantación de SGSI, permanece en una constante revaluación, por cuanto funciona, bajo la filosofía del mejoramiento continuo; en seguridad sería la revaluación de las medidas de prevención, corrección y evaluación, manteniendo un constante ciclo que por sus características no podría terminar. A continuación se detalla cada uno de los pasos del modelo Deming como metodología apropiada los SGSI. Ilustración 5 Ciclo PDCA 17 Planear En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y la normativa ISO/IEC 17799:2005, la cual se pretende implantar para evaluación y certificación. Así mismo en la etapa de planeación se organizan fases relevantes como son: ● Establecer el compromiso con los directivos de la empresa para el inicio, proceso y ejecución. ● Fase de análisis de información de la organización, En esta fase se comprueba cuáles son los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social. ● Fase de evaluación del riesgo; En esta fase se evalúa los riesgos, se tratan y se seleccionan los controles a implementar. Hacer En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo Verificar Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI. Actuar Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante. Puntos clave en la implementación. Fundamentales ● Compromiso y apoyo de la Dirección de la organización. ● Definición clara de un alcance apropiado. ● Calidad y seguridad de la información y auditoria informática ● Concienciación y formación del personal. ● Evaluación de riesgos exhaustiva y adecuada a la organización. ● Compromiso de mejora continua. ● Establecimiento de políticas y normas. ● Organización y comunicación. ● Integración del SGSI en la organización. 18 Factores de éxito ● La concienciación del empleado por la seguridad. Principal objetivo a conseguir. ● Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora. ● Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). ● La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. ● La seguridad no es un producto, es un proceso. ● La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. ● La seguridad debe ser inherente a los procesos de información y del negocio. Riesgos ● Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. ● Temor ante el cambio: resistencia de las personas. ● Discrepancias en los comités de dirección. ● Delegación de todas las responsabilidades en departamentos técnicos. ● No asumir que la seguridad de la información es inherente a los procesos de negocio. ● Planes de formación y concienciación inadecuados. ● Calendario de revisiones que no se puedan cumplir. ● Definición poco clara del alcance. ● Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. ● Falta de comunicación de los progresos al personal de la organización. 19 O-ISM3 Introducción (Information Security Management Maturity Model, que se pronuncia ISM), es un estándar de abierto para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). (estandares-y- buenas-practicas.wikispaces.com, s.f.) Objetivos ISM3 está diseñado con todo tipo de organización en mente. Y sus objetivos principales son: • Proporcionar una herramienta para la creación de SGSI que están completamente alineados con la misión de negocio y las necesidades de cumplimiento. • Ser aplicable a cualquier organización independientemente de su tamaño, el contexto y los recursos, • Permitir a las organizaciones de priorizar y optimizar su inversión en seguridad de la información. • Permitir la mejora continua del SGSI utilizando métricas. • Permitir la externalización de métricas, verificando de los procesos de seguridad. (OpenGroup, 2011) Componentes El O-ISM3 se centra en los siguientes componentes: Proceso - El proceso es la unidad más pequeña, atómica de la norma. ISM3 se centra alrededor del concepto del proceso. Los procesos tienen capacidades y se gestionan mediante las prácticas de gestión. Capacidad - Las métricas de un proceso permiten a sus prácticas de gestión y ponen de manifiesto su capacidad. Desde el punto de vista de un auditor, las medidas de un proceso de determinar su capacidad. Madurez – Los procesos ISM3 juntos y funcionando a una capacidad suficiente determinan la madurez de gestión de seguridad de la información de una organización o simplemente madurez. La madurez y los niveles de capacidad se pueden utilizar como base para el 20 desarrollo de un sistema de certificación, lo que sería de especial valor para las autoridades de certificación (auditores). Beneficios Implementación El modelo de implementación propuesto es identificar los procesos claves en cada etapa del negocio, luego identificar los objetivos que queremos asegurar, o agregar controles de seguridad, así como los incidentes identificados en cada área de negocio. Los objetivos prioritarios de seguridad determinan lo que significa la disponibilidad para el negocio. Ejemplos de ello son la copia de seguridad y la identificación de puntos únicos de fallo. Los recursos se asignan de acuerdo a la prioridad de los servicios protegidos, interfaces y canales. En un sistema de información de varios niveles, la prioridad de los servicios de cara al usuario se propaga a los servicios de nivel inferior que dependen. Objetivos prioritarios de seguridad determinan lo que significa la disponibilidad para el negocio. Ejemplos de ello son la copia de seguridad y la identificación de puntos únicos de fallo. Los recursos se asignan de acuerdo a la prioridad de los servicios protegidos, interfaces y canales. En un sistema de información de varios niveles, la prioridad de los servicios de cara al usuario se propaga a los servicios de nivel inferior que dependen. Objetivos durabilidad de seguridad se refieren a la integridad término genérico e incluyen la retención planificada y destrucción de información de acuerdo con los objetivos políticos y de negocios. Objetivos de durabilidad son garantizados con las técnicas de eliminación segura, y el archivado. Objetivos de Calidad de la información, también se relacionan con la integridad y precisión incluyen, relevancia (como la información es actualizada), integridad y consistencia de los repositorios. Los objetivos de calidad de información por lo general se basan en técnicas de control de calidad, pero también pueden incluir el control de acceso, la rendición de cuentas, autorización y técnicas de auditoría también. La calidad de la información de un repositorio es una medida de su aptitud en el cumplimiento de los objetivos de seguridad. Objetivos de Control de Acceso, asegurar que los requisitos de negocio para la confidencialidad de la información protegida (por ejemplo, secretos, información personal, con licencia, derechos de autor, patentados, y la información de marca registrada) queda claramente entendido por el negocio. El control de acceso requiere la identificación y gestión de usuarios autorizados, y por lo general incluye la inscripción, la administración de funciones, la segregación, la rendición de cuentas, autorización y técnicas de extracción para su ejecución y control. Objetivos de Seguridad Técnica cubren la arquitectura subyacente de los sistemas de información, y son un paso alejado de impacto directo en el negocio. objetivos de seguridad técnicas incluyen típicamente objetivos operacionales para el centro de datos de seguridad, la fiabilidad, la energía , así como el dominio gestionados de TI , incluyendo parches de software y la actualización, los procesos de mantenimiento y gestión de la vulnerabilidad y la resistencia a ceder y mal uso. Objetivos de 21 seguridad técnica por lo general dependen de la infraestructura del centro de datos, tecnologías tales como cortafuegos, antivirus, detección y prevención de intrusiones, y procesos tales como la gestión de parches y configuración segura. Si no se cumplen los objetivos de seguridad técnicas pone todos los demás (de negocios y la seguridad) objetivos en riesgo, pero no crea necesariamente un fracaso objetivo de negocio en sí. Ilustración 6 Estructura de un estándar ISM3 22 COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) Introducción Define el control interno como un proceso, ejecutado por la junta de directores, la administración principal y otro personal de la entidad, diseñado para proveer seguridad razonable en relación con el logro de los objetivos de la organización. Objetivos Este marco busca cumplir con tres tipos de objetivo: ● Operacionales ● Reporte ● Cumplimiento El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión, los cuales son: Orígenes En 1985 se formó la Comisión Nacional para Emisión de Informes Fraudulentos, conocida como la Treadway Commission, a fin de identificar las causas de la proliferación actual de emisión de informes fraudulentos. En 1987 la Treadway Commission solicitó realizar un estudio para desarrollar una definición común del control interno y marco conceptual. En 1988, el Comité de Organizaciones Patrocinantes de la Comisión Treadway, conocido como COSO, seleccionó a Coopers & Lybrand para estudiar el control interno. En septiembre de 1992 se publicó el informe del Marco Conceptual integrado de Control Interno (Estudio COSO I). Existen en la actualidad dos versiones del Informe COSO. La versión del 1992 y la versión del 2004, y la versión 2013 publicada recientemente. (Díaz, 2010) Objetivos El Informe COSO tiene dos objetivos fundamentales:  Encontrar una definición clara del Control Interno: Para que pueda ser utilizada por todos los interesados en el tema.  Proponer un modelo ideal o de referencia del Control Interno: Para que las empresas y las demás organizaciones puedan evaluar la calidad de sus propios sistemas de Control Interno. Todo esto es aplicado al Control Interno de una organización: El control interno comprende el plan de organización, el conjunto de métodos y procedimientos que aseguren que los activos estén debidamente protegidos, que los registros contables son fidedignos y que la actividad de la empresa se desarrolla eficazmente, según las directrices marcadas por la administración. 23 Componentes Ilustración 7 Componentes del Estudio COSO I Ambiente de control Marca el comportamiento en una organización. Tiene influencia directa en el nivel de concientización del personal respecto al control. Evaluación de riesgos Mecanismos para identificar y evaluar riesgos para alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados con el cambio. Actividades de control Acciones, Normas y Procedimientos que tiende a asegurar que se cumplan las directrices y políticas de la Dirección para afrontar los riesgos identificados. Información y comunicación Sistemas que permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones. Supervisión Evalúa la calidad del control interno en el tiempo. Es importante para determinar si éste está operando en la forma esperada y si es necesario hacer modificaciones. 24 Beneficios  Define las normas de conducta y actuación, funcionando como conductor del establecimiento del Sistema de Control Interno.  Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los objetivos, provee feedback del funcionamiento del negocio.  Establece las formas de actuación en todos los niveles de la organización, través de la fijación de objetivos claros y medibles, y de actividades de control.  Otorga una seguridad razonable sobre la adecuada administración de los riesgos del negocio.  Y el establecimiento de mecanismos de monitoreo formales para la resolución de desviaciones al funcionamiento del sistema de control interno. 25 INCIDENTES DE SEGURIDAD En El Salvador no existe ninguna entidad gubernamental o privada que se dedique a documentar los incidentes relacionados a la SI. Así mismo las empresas son celosas al hablar de cómo realizan o implementan sus controles, más adelante veremos que en nuestra investigación fue uno de los principales obstáculos el obtener información de las empresas seleccionadas. Hay estudios a lo largo y ancho de Latinoamérica donde empresas comercializadoras de productos para la SI, donde los datos son tomados de sus clientes, ya que sus sistemas recogen información de incidentes y estas son gestionadas por los fabricantes. ESET en su informe del 2014, 2015, 2016 nos muestran las tendencias en Latinoamérica sobre como las empresas administran sus sistemas de SI, a través de la incorporación de controles. (ESET, 2014,2015,2016) Ilustración 8 Implementación de controles Como podemos observar en los últimos 3 años las tendencias siguen igual, el control con mayor tendencia es el Antivirus, y el de menor proporción es el factor de doble autenticación. 26 Ilustración 9 Implementación de controles ESET 2015 Ilustración 10 Implementación de controles ESET 2016 Sin embargo, como hemos mencionado anteriormente estos son elementos placebos de la SI, ya que, si las empresas no cuentan con los ejes de gestión empresarial, como la estrategia, capacitación de los empleados, análisis de riesgos, toda esta inversión solo da la sensación de seguridad. 27 ESET en el informe anual de Seguridad en Latinoamérica de los años 2014, 2015,2016 nos muestra la tendencia de como las empresas incorporan mejores prácticas a su gestión de la seguridad. Ilustración 11 Prácticas de Gestión en las empresas de Latinoamérica ESET 2014 Ilustración 12 Porcentaje de empresas encuestadas ESET 2015 28 Ilustración 13 Prácticas de Gestión en las empresas Latino América Las políticas de seguridad se ha mantenido los tres años, siendo la mejor practica utilizada por todas las empresas, en el año 2016 ESET nos muestra un comparativo por tipo de empresa, sin embargo es al comparar con los incidentes de seguridad reportados, no resulta congruente, lo que nos da la razón en que todas las medidas de seguridad resultan nulas ni dejamos de lado a la educación del usuario final, quien al final es quien es el responsable del éxito o fracaso de los esfuerzos de las empresas en temas de seguridad. 29 Ilustración 14 Incidentes en el año 2016 (ESET) Ilustración 15 Incidentes en empresas de Latinoamérca 2015 (ESET) Ilustración 16 Incidentes en el año 2016 (ESET) Durante el año 2016, el cual se reporta en el informe ESET 2017, los vectores de ataque se ven modificados, sin embargo, la infección de malware sigue siendo el de mayor incidencia, los números de ninguno podrían ser ciertos, o simplemente que las empresas nunca se dieron cuenta que habían sido atacados. 30 Si comparamos estos números con los reportados por Zone-H.org sitio donde los cibercriminales reportan sus acciones, El Salvador no ha sido excluido de esos ataques durante los últimos años. Ilustración 17 Ataques cibernéticos realizados a entidades de El Salvador Ilustración 18 Ataques cibernéticos realizados a entidades de El Salvador 155 125 183 138 181 89 0 20 40 60 80 100 120 140 160 180 200 2015 2014 2013 2012 2011 2010 31 Ilustración 18 Incidentes de malware por país en 2017 (ESET) Estas estadísticas solo nos sirven para saber que Latinoamérica y específicamente El Salvador no estamos ajenos a los incidentes relacionados con la SI. Lo interesante de estos números es saber cuánto es el costo asociado a estos incidentes, estos costos pueden ser estimados en diferentes entornos: ● Financieros ● Reputación ● Perdida de información ● Reproceso La consultora PwC, que reveló que hasta mayo de 2014 los incidentes de seguridad registrados en el mundo fueron 42.8 millones, el equivalente a 117.339 ataques por día. Estos se están volviendo más costosos para las organizaciones, ya que se ha estimado un costo de 2.7 mil dólares por incidente, lo que representa un aumento del 34% respecto a 2013. (PwC, 2015) Otro punto interesante que presenta el informe de PwC, es el origen de estos incidentes, ya que tanto la ISO como COBIT plantean que el tema de gobernanza debe tomar relevancia. 32 Ilustración 19 Origen de incidentes de seguridad en Latinoamérica Los acuerdos de confidencialidad, entre empleados y patronos, contratistas, proveedores se vuelve fundamental en el tema de la gestión de incidentes. Por esta razón, es necesario fortalecer los controles sobre lo que se encuentra puertas hacia adentro y representa el capital más importante: los colaboradores. La implementación de medidas de seguridad tradicionales es satisfactoria en la región, pero no se realizan actividades suficientes para prevenir incidentes relacionados con trabajadores, que son el principal origen de problemas según el reporte de PwC, como vimos anteriormente. 33 CONTEXTO LEGAL La ISO 27001, hace referencia a los marcos legales o jurídicos en su apartado A18, los cuales se deben identificar para garantizar el acceso, administración y resguardo de la información. COBIT 5 también hace referencia al cumplimiento de las regulaciones externas. Esto nos lleva a analizar el marco jurídico en general puesto que actualmente no existe una ley específica que regule lo relativo al resguardo de información empresarial de los incidentes que puedan ocurrir al utilizar equipo tecnológico. Recientemente el 4 de febrero del 2016 fue aprobada la LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, la cual aunque tipifica muchos de los delitos ya reconocidos en el código penal, deja muchos huecos, los cuales pueden ser utilizados en contra del profesional en informática, ya actualmente ninguna de las carreras que imparten en las universidades incluye una materia del marco legal aplicado a la profesión, por lo que sin normativas propias en las empresas, los profesionales quedan sujetos a ser tratados como delincuentes, sin saberlo. Ya que los dos marcos de referencia que estamos tomando como referencia, mencionan el cumplimiento de los marcos regulatorios asociados a las empresas, sin embargo las empresas no tienen un mecanismo de protección ante incidentes de perdida de información por parte de terceros, la presión del mercado por incorporar nuevas formas de hacer negocio, reducir costos utilizando tecnologías de virtualización, gestión en la nube, outsourcing hace que las empresas se expongan más a vulnerabilidades, amenazas y riesgos. El tráfico de información personal, empresarial, industrial; donde se comercializan bases de datos de diferentes orígenes y contenido, lo cual pone en riesgo la intimidad personal que protege el artículo 2, inciso segundo de la Constitución que señala: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”; de ahí que esos datos sean una expresión de la intimidad de las personas, y que el ejercicio de este derecho consista en controlar el uso o tratamiento de los mismos para impedir un perjuicio en su persona, y en su familia y esto pasa por preservar intacto su ámbito de protección jurídico. Tenemos que mencionar que, si bien La Constitución protege el derecho a la intimidad y al honor, y que la información sobre personas y sus bienes se considera una extensión de este derecho, en nuestro país no hay una norma constitucional específica que permita a una persona acceder al registro de la información que sobre ella exista en un banco de datos, y que le permita a su vez, solicitar su corrección si le causa algún perjuicio. Este mecanismo tendría que llamarse “habeas data” y lo tienen regulado otros países de Latinoamérica como Panamá, Perú, Venezuela, México, etc. Es decir que la protección de nuestros datos debería considerarse un derecho autónomo y por el momento no es así. Bajo este punto de vista dejamos toda nuestra información en manos de profesionales que si bien cierto están en la obligación de protegerla, también son vulnerabilidades y amenazas a nuestra intimidad, sin tener herramientas legales de exigir a las empresas que garanticen los tres ejes de la seguridad CIA (Confidentiality, Integrity, Availability).. 34 La Comisión Interamericana de Derechos Humanos, que es un organismo de derechos humanos con características cuasi-jurisdiccionales, en el que se presentan las denuncias por violaciones a derechos humanos contenidos en la Convención Interamericana de Derechos Humanos, y que da sus resoluciones para que los estados parte puedan restablecer amigablemente los derechos violados, ha dicho en un informe sobre Terrorismo y Derechos Humanos de octubre de 2002 , que el Habeas Data es el instrumento “más importante para frenar la divulgación de datos sensibles o erróneos que puedan afectar la reputación, la intimidad u otros derechos humanos de enorme importancia. Tal es el caso del derecho de las víctimas de graves violaciones de derechos humanos a obtener información vinculada al comportamiento del gobierno, y determinar y exigir las correspondientes responsabilidades.” Además, ha considerado que el acceso a la información personal debe estar expreso en las legislaciones internas, y cualquier restricción a su ejercicio debe cumplir los requisitos de estricta legalidad, fin legítimo y necesidad, antes mencionados. Es decir que: tenemos que reconocer inicialmente la importancia de este derecho para garantizar el control de la información personal en otras áreas de la vida social, laboral, familiar, empresaria, y crear posteriormente mecanismos legales que regulen, actualicen o destruyan la información que pudiera causar perjuicio y menoscabar otros derechos como la privacidad, el honor, la identidad personal, los bienes y la rendición de cuentas en la reunión de información. Sin embargo, aunque no tenemos una ley de HABEAS DATA, si contamos con otros instrumentos: Con el objetivo de normar el funcionamiento de las empresas que a través del tratamiento automatizado de datos hacen referencia exclusiva al comportamiento crediticio de las personas en el país, y evitar la creación de riesgos indebidos, no permitidos por la ley ya que causan perjuicio en muy variadas formas; se aprobó la iniciativa de ley que promovía la necesidad de proteger el derecho de los ciudadanos respecto a sus créditos y con esa finalidad se aprobó una ley general que regula los servicios de información sobre el historial de crédito de las personas, la LEY DE REGULACIÓN DE LOS SERVICIOS DE INFORMACIÓN SOBRE EL HISTORIAL DE CRÉDITO DE LAS PERSONAS, una norma de derecho bancario, que afecta las instituciones financieras y en donde la entidad reguladora es la Superintendencia del Sistema Financiero. Puntualmente es un cuerpo normativo que contiene disposiciones tendientes a garantizar los derechos de los consumidores en el tema de la confiabilidad y buen manejo de datos, relativos a su historial crediticio. Aisladamente y en otra área tenemos la Ley de Protección al Consumidor que contiene algunos elementos que obligan a los poseedores de la información a la protección de la misma con pena de multas, si no se cumple con sus disposiciones. Actualmente podemos decir, que dentro del ambiente empresarial, no es tan cierto que el responsable directo de acatar todas las normas y regulaciones sean los gerentes, directores o jefes de área, sino que podemos afirmar que es posible determinar la responsabilidad directa o indirecta del personal técnico esté o no a cargo de administrar las regulaciones, ya sea por comisión o por omisión, y así lo expresa la ley de delitos informáticos en su artículo 7, donde claramente menciona “Si el delito previsto en el presente artículo se cometiere de forma culposa, por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, será sancionado con prisión de uno a tres años.”; es decir si nuestros profesionales desconocen las leyes, o no están preparados técnicamente y 35 su conducta profesional implica un hecho punibles, son ellos los responsables directos no así la altas esferas de la gestión de tecnología empresarial. El código civil en su artículo 8 nos pone en una situación en la cual no podemos disculparnos sobre lo que la ley o leyes nos mandan a hacer, al decir “No podrá alegarse ignorancia de la ley por ninguna persona”, sin embargo debido que dentro de nuestra formación profesional, se omite todo estudio de ley, llegamos a ejercer la profesión sin conocer a fondo nuestras obligaciones, así mismo nuestros patronos no tienen un marco legal asociado al negocio el cual nos ayude a conocer cuáles de esas leyes aplicarán a la gestión. La información debe ser protegida en sus diferentes estados, ya sea en reposo o en movimiento y deberán establecerse políticas y procesos que nos permitan validar que cumplimos con el marco legal que nos afecta tal como lo indica la ISO27001 a lo largo de sus apartados. Solamente esto generará la seguridad jurídica y la credibilidad necesaria en la gestión. Todos los procesos desde el ingreso de datos y transformación de estos en información, deben ser evaluados, verificados y auditados de manera periódica, colocando las trazas correspondientes que permitan reconstruirla en caso de pérdida total o parcial. Ya que en caso de ser requerido deberemos presentar pruebas que contamos con los procesos adecuados, así como lo demanda la ley. El Código Procesal Civil introduce un concepto muy importante dentro del proceso de la seguridad de la información en su artículo 397: “Los recursos de almacenamiento de datos o de información podrán ser propuestos como medio de prueba. Para este fin, se aportarán las cintas, discos u otros medios en los que esté contenido el material probatorio; cuando la otra parte lo pidiera, se llevarán a la sede judicial los soportes en que se encuentren almacenados los datos o la información. Si el traslado no fuere posible, el juez acudirá al lugar en el que la información se encuentre, previa cita de partes”. Esto abre el paso a la evidencia digital, si alguno de los procesos establecidos falla ya sea de manera accidental o provocada, esta podrá ser evaluada por un perito., pues tanto en materia civil como en materia penal, pueden ser propuestos como medios de prueba aquellos que estén vinculados a soportes digitales siempre y cuando se cumplan con las disposiciones requeridas por la ley y el juez, en el caso concreto. Esto nos lleva a otro elemento asociado a nuestra área de tecnología y es la computación forense, la cual se encarga de proveer dicha evidencia y la cual deberá de manipularse con sumo cuidado; cumpliendo con la cadena de custodie que garantice su autenticidad. La ISO/IEC 27037:2012 es el marco de referencia el cual nos indica como procesar y proteger dicha referencia, administrativamente, pero no será la única al verse requeridos y llamados en un procedimiento. Ahora bien, analicemos lo pertinente en cuanto a la ley especial contra actos de terrorismo, a texto: “DELITO INFORMATICO Art. 12.- Será sancionado con pena de prisión de diez a quince años, el que para facilitarla comisión de cualquiera de los delitos previstos en esta Ley: a) Utilizare equipos, medios, programas, redes informáticas o cualquier otra aplicación informática para interceptar, interferir, desviar, alterar, dañar, inutilizar o destruir datos, información, documentos electrónicos, soportes informáticos, programas o sistemas de información y de comunicaciones o telemáticos, de servicios públicos, sociales, administrativos, de emergencia de seguridad nacional, de entidades 36 nacionales, internacionales o de otro país; b) Creare, distribuyere, comerciare o tuviere en su poder programas capaces de producir los efectos a que se refiere el literal a), de este artículo.” Por lo que es una ley que está protegiendo la paz pública, más allá del ámbito nacional, aunque su ámbito de aplicación sea nuestro país; y sobre todo, que no es una ley que proteja los datos o los soportes que lo contienen, sino claramente, la utilización de los mismos para desequilibrar socialmente. En general los marcos legales no deben limitarse al entorno del negocio, sino a todos aquellos aspectos que pueden generar un acto ilegal, y por ende deben ser considerados dentro de la política general de seguridad de la información, los procesos internos, controles y auditorias. Esto dio como origen a la siguiente matriz que deberá ser valorada por cada profesional y empresa al momento de la elaboración de la política. Ley Articulo Obligación Constitución de la republica 2 Proteger Integridad Física y Moral, Honor, Intimidad personal y familiar Código Penal 172 Evitar el uso de medios electrónicos para pornografía infantil Código Penal 173 Evitar la difusión electrónica de pornografía Código Penal 184 Violación de comunicaciones privadas Código Penal 185 violación agravada de equipo informático Código Penal 208 Fraude con el uso de tarjetas electrónicas (banda magnética, RFID) Código Penal 216 Estafa por manipulación informática Código Penal 222 Daños por manipulación informática Ley infracciones aduaneras 24 hackeo, manipule de información de la dirección general de aduana Ley especial contra actos de terrorismo 12 Delitos utilizando medios informáticos, redes, programas y equipos ley especial contra los delitos informáticos y conexos Marco legal para tratar delitos utilizando tecnologías de la información y comunicaciones. Tabla 1 - Matriz de referencia legal 37 CONTEXTO ACADÉMICO Hemos hecho una revisión de los marcos de referencia asociados a la SI, el marco legal asociado a las actividades de los profesionales de TI y como afectan a las empresas su incumplimiento, los incidentes asociados a SI que como vemos están íntimamente ligados a la parte interna de las empresas. Lo que nos lleva a realizar la siguiente pregunta, ¿Están nuestros profesionales preparados para enfrentar los riesgos de la SI?, las universidades de El Salvador tienen un papel relevante pues en ellas recae el preparar a los gestores de la seguridad donde deberán aprender a establecer políticas, controles y el manejo de los incidentes. CRITERIO DE EVALUACIÓN Se analizaron los pensum de pregrados pertenecientes a carreras afines a la informática de [25] instituciones de educación superior, Tomando los siguientes criterios: Los factores determinantes para poder indicar si una materia contempla contenidos de relevancia acerca de “Seguridad Informática”, es que dicha materia se enfoque en las siguientes áreas: ● Políticas de seguridad ● Estándares de seguridad y buenas prácticas ● Análisis de riesgos informáticos Como parte de nuestro criterio evaluativo basado en política de seguridad de la información, utilizamos los dominios del Anexo “A” de ISO 27000:2013. Los cuales son los siguientes: 1. Política de seguridad 2. Organización de la información 3. Seguridad en recursos humanos 4. Gestión de activos 5. Control de acceso 6. Criptografía 7. Seguridad física y ambiental 8. Seguridad en las operaciones 9. Transferencia de información 10. Adquisición, desarrollo y mantenimiento de los sistemas de información 11. Relación con proveedores 38 12. Gestión de los incidentes de seguridad 13. Gestión de la continuidad del negocio 14. Cumplimiento con requerimientos legales y contractuales Cada uno de los dominios hace referencia a implementación de controles que pueden ser prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. Debido a que cada dominio tiene como principal objetivo garantizar el cumplimiento de la seguridad tanto a nivel de la información, activos de la empresa, recursos humanos y continuidad del negocio. Evaluamos cada contenido ofertado por las universidades en base a dichos dominios. Gestión de vulnerabilidades En dicha gestión se trabaja bajo el objetivo de prevenir amenazas y tratar las ya identificadas y hasta explotadas. Por lo que se tomaron como referencia los siguientes controles: 1. Priorización de los sistemas. 2. Priorización de las vulnerabilidades. 3. Definición de roles y responsabilidades respecto a la gestión de vulnerabilidades. 4. Identificación, para cada software y tecnología, de fuentes relevantes de información sobre identificación de vulnerabilidades Análisis de riesgos Para evaluar el análisis de riesgos contra la oferta académica, hacemos uso de la ISO 27001, la cual nos menciona una serie de pasos que podemos realizar. 1. Identificación de los activos. 2. Identificación de las amenazas para la confidencialidad, disponibilidad e integridad de los activos. 3. Identificación de las vulnerabilidades que puede ser explotadas por las amenazas. 4. Evaluación de los posibles impactos de las amenazas. 5. Evaluación de la probabilidad de ocurrencia. 6. Evaluación del riesgo. 39 Dando como resultado que las carreras que ofrecen las universidades nacionales incluyen apenas un 4.6% de materias asociadas de alguna manera con la SI, enfocándose solamente y de manera superficial en temas de auditoria, dejando de lado temas de igual o mayor importancia como la prevención, y la administración de la SI. Solo se conoce una carrera a nivel de postgrado que prepara a los profesionales en los temas de la gestión de la Seguridad de la Información. Se evaluaron 24 planes de estudio para grados de Licenciatura, Ingeniería y Maestría, ya que dichos profesionales serán los encargados de administrar los activos de información de las empresas a niveles operativos, jefaturas y gerencias, encontrando que en su mayoría las carreras solo ofrecen apenas entre el 1% al 5% de materias con algún contenido asociado a la SI, vale la pena aclarar que en algunas ocasiones dicho contenido se refiere únicamente al tema de auditoria de sistemas y gobierno corporativo de TI, por lo que no se enfocan a profundidad en temas de prevención, Gestión de Riesgos, Gestión de la Seguridad de la Información y Gobierno Corporativo de TI. Cantidad Materias con contenido SI 46 Materias sin contenido SI 958 40 Ilustración 20 Carreras con contenido SI, impartidas por universidades de El Salvador Debido a que la gran mayoría de personas que desempeñan un rol de administrador, gerente o miembro del equipo de informática en las empresas, poseen un grado de ingeniero o licenciado en el área, podemos ver que se alrededor de un 3.5% de materias con contenido SI del total de materias en los planes de estudio de estudio. Tipo de Carrera Cantidad de Materias con SI Ingeniería 19 Licenciatura 14 Maestría 13 41 Ilustración 21 Materias con contenido SI por Tipo de Carrera 42 Los planes de estudios analizados se encuentran distribuidos de la siguiente manera: Tipo de Carrera Cantidad de Registros Ingeniería 12 Licenciatura 9 Maestría 3 Ilustración 22 Carreras de Grado impartidas por universidades de El Salvador 43 PROPUESTA METODOLÓGICA El presente trabajo de investigación utilizo metodología bibliográfica / documental para la base teórica y una encuesta para la investigación de campo. Se identificaron tres ejes para el desarrollo de la investigación bibliográfica: 1. Opciones de marcos de referencia a implementar en El Salvador 2. Marco Legal que proteja a la empresa de delitos informáticos 3. Formación académica de los profesionales a cargo de la seguridad Informática Marcos de referencia Se agruparon según su uso, y se asoció un responsable a cada uno, identificar cuáles de ellos aborda los ejes principales de la empresa. ● Dirigir: Alinear la gestión de TI al negocio ● Crear: Asegurar la creación de valor ● Proteger: Administrar los riesgos ● Actuar: Administrar el uso de los recursos ● Monitorear: Administrar el desempeño. Seguridad informática Seguridad de la información Estándares y buenas prácticas Orange Book OWASP NIST SP 800 ISO 27000 ISM3 COBIT 5 COSO Responsables Departamento de IT Desarrolladores Administradores de BD Junta directiva Mesa de ayuda Departamento de IT Tabla 2 - Estándares y buenas prácticas para la SI De los que a nuestro parecer los estándares que cubren las áreas de empresa son COBIT y la familia ISO27000, para los efectos de este trabajo se tomó como base los controles ofertados por la ISO 27001. Para investigar dichos controles se elaboró una encuesta (ver anexo 1) con la cual se recolecto datos de las empresas salvadoreñas, donde se entrevistó a los profesionales a cargo de la gestión del departamento de TI. Se utilizó el área del gran San Salvador como área geográfica de investigación, el universo de empresas fue tomado de las grandes y medianas según el directorio de la dirección general de estadísticas y censos de El Salvador, correspondiente al año 2011, la cual registra 790 empresas con personal mayor a 50, el cual se considera nuestro universo, y se tomara una muestra 25% equivalente a 197.5 empresas, la cual redondearemos a 200 como muestra total, utilizando el sistema aleatorio sistemático, nuestra muestra quedara formada de la siguiente manera Muestra= universo 44 Tamaño muestra Muestra = 790 = 3.95 por redondeo 4. 200 Se tomará un elemento de la lista en intervalos de 4 hasta obtener la muestra total, se contactó a las empresas seleccionadas y se les envió un formulario digital anónimo para su llenado, las cuales serán tabuladas para obtener los resultados de la encuesta. La encuesta ha sido formulada en base los controles gestionados en la ISO/IEC 27001:2013, donde se evaluó el avance en la implementación de dichos controles. También nos permitió conocer cuáles de estos han sido implementados o están en proceso de implementación en el tema de la seguridad de la información. La encuesta también nos dio información sobre el nivel académico de los encargados que las empresas han designado para llevar este rol, de esta manera podremos evaluar la relación del grado de educación, el rol que desempeña y lo controles implementados por el responsable del departamento. LIMITACIONES El estudio presento una serie de limitaciones, la principal es que los encargados de la seguridad de las empresas no fueron autorizados a revelar el estado actual de la misma. En su mayoría de acuerdo a lo que revelan los resultados, las empresas no cuentan con el personal calificado y/o no existe un área especializada de la administración de la seguridad dentro de las empresas. Los resultados no arrojan un total de respuestas iguales, asumimos que fueron dejadas sin completar, sin embargo, no quisimos dejar de lado los resultados de dichas encuestas. 45 ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS Se realizó una encuesta con 30 tópicos a evaluar, basados en los controles propuestos en la IS0/IEC 27000 versión 2005, con el objetivo de conocer el estado actual de la seguridad informática en El Salvador, los encuestados respondieron de manera anónima solamente identificando al sector que se estaba evaluando. Se trató de balancear la cantidad de encuestados sin embargo como se menciona en las limitaciones, algunos de los encuestados fueron denegados por parte de su gerencia superior. Revisemos los resultados obtenidos en cada uno de los ítems evaluados: Ítem 1 Sector empresarial Número Pregunta Respuesta Código cantidad 1 ¿A qué sector pertenece la empresa donde Ud. labora? Micro 1 20 Mediana 2 36 Gobierno 3 27 Grande 4 54 Como podemos observar la gran empresa fue la que mayor apertura tuvo al contestar nuestra encuesta, así como la mediana, sin embargo, el sector gobierno y la micro empresa, no contesto o limito a informar que no habían sido autorizados a revelar dicha información. Ítem 2 sector geográfico empresarial Número Pregunta Respuesta Código cantidad 2 cual departamento S.S. 1 108 La libertad 2 23 Cuscatlán 3 1 La paz 4 3 Santa Ana 5 1 San Miguel 6 1 Se obtuvieron respuesta de seis de los departamentos de El Salvador, debido a la concentración de empresas, como se esperaba el gran San Salvador fue donde se concentró el mayor porcentaje de resultados, siendo La Libertad el segundo departamento con más empresas. 46 Ítem 3 grado académico del responsable de la seguridad Número Pregunta Respuesta Código cantidad 3 grado académico ingeniero 1 60 licenciado 2 62 técnico 3 2 maestro 4 9 bachiller 5 4 De las 137 respuestas obtenidas el 89% de los encuestados poseen un grado académico universitario, el cual le permite tomar mejores decisiones sobre el manejo y controles aplicados a la seguridad informática, el restante 11% presenta un grado académico de técnico o inferior, el cual no es el adecuado para dicha tarea. Ítem 4 Puesto dentro de la empresa Número Pregunta Respuesta Código cantidad 4 puesto dentro de la empresa jefe informática 1 18 encargado informática 2 37 gerente informática 3 22 programador 4 35 analista de seguridad 5 20 no menciona 6 5 El 56% de los encuestados poseen un cargo de jefatura o superior dentro de la empresa, el 44% posee un cargo sin poder de toma de decisión lo que complica la administración de la seguridad empresarial, debido que ante un incidente de seguridad, tomara más tiempo lograr un apoyo gerencial. Ítem 5 Marco de referencia utilizado dentro de la empresa Número Pregunta Respuesta Código cantidad 5 marco referencia ISO 27001 1 33 COBIT 2 31 ITIL 3 42 NO SABE/NINGUNO 4 61 47 Sobre el marco de referencia utilizado como modelo dentro de sus empresas, el 20% menciona que tiene como modelo la ISO27000, el 19% utiliza COBIT, el 25% utiliza ITIL como gestión de la seguridad, y el 37% no sabe o no utiliza. Vale la pena mencionar que ITIL no contempla elementos de seguridad per se, incorpora elementos de gobernanza, y servicio al cliente. Ítem 6 Política de seguridad autorizada en la empresa Número Pregunta Respuesta Código cantidad 6 política de seguridad autorizada PARCIAL 1 38 AMPLIA 2 42 ESCAZA 3 23 NO EXISTE/NO SABE 4 34 La ISO 27000 contempla que debe existir una política de seguridad de la información, completamente implementada y respaldada por la alta gerencia, ante esta pregunta el personal encuestado respondió lo siguiente: El 28% la tiene parcialmente implementada, el 31% ampliamente implementada, 17% escasamente y el 25% no sabe o no existe ninguna política asociada a la seguridad de la información. Ítem 7 Política de seguridad es revisada periódicamente Número Pregunta Respuesta Código cantidad 7 se revisa de manera periódica PARCIAL 1 34 AMPLIA 2 35 ESCAZA 3 30 NO EXISTE/NO SABE 4 38 Dentro del apartado 5.2 de la ISO 27000, se hace referencia a que la política de seguridad de ser mejorada continuamente, para eso se incluye el control A.5.1.2, el cual indica que dicha política de ser revisada en intervalos de tiempo ajustables a la organización para garantizar su efectividad y aplicabilidad. Según nuestros resultados solo el 26% de los encuestados tiene un proceso claro de revisión de dicha política. 48 Ítem 8 Activos de Información Número Pregunta Respuesta Código cantidad 8 cuenta con inventario de activos informáticos PARCIAL 1 29 AMPLIA 2 37 ESCAZA 3 37 NO EXISTE/NO SABE 4 34 Tanto COBIT como la ISO 2700, hacen énfasis en la protección de los activos de información basados en el manejo de riesgos, para poder realizar una buena gestión de dichos el inventario de dichos activos es vital, ya que sin él no se podrá evaluar de forma eficiente y real los riesgos asociados a estos y al negocio. De los encuestados solo el 27% contestaron que cuentan con dicho inventario de activos de información. Ítem 9 Evaluación de riesgos de los Activos de Información Número Pregunta Respuesta Código cantidad 9 cuenta con evaluación de riesgos PARCIAL 1 35 AMPLIA 2 28 ESCAZA 3 39 NO EXISTE/NO SABE 4 35 Una vez elaborado el inventario de activos, es necesario aplicarle el respectivo tratamiento de riesgos, el cual cómo podemos observar, solo el 20% le aplican dicho control, es curioso que en el apartado anterior tenemos una diferencia del 7% con respecto a los que ya tienen su inventario. Tal como lo explica el apartado 8 la gestión de incidentes es mandataria y no solo una vez, sino de forma regular, caso contrario no podemos garantizar la confiabilidad de los activos de información. Ítem 10 Documentación de incidentes Número Pregunta Respuesta Código cantidad 10 cuenta con bitácora de eventos PARCIAL 1 32 AMPLIA 2 35 ESCAZA 3 27 NO EXISTE/NO SABE 4 43 49 La ISO 27000 plantea en sus controles, específicamente en el A.16, la importancia sobre el manejo de incidentes, basados en la premisa “no puedo mejorar algo que no puedo medir”, la gestión de incidentes es vital para el ciclo de vida de la gestión de la seguridad, todos los incidentes deben ser documentados para su revisión posterior. Sin embargo, podemos observar que solo un 26% de los encuestados asegura tener un control de los incidentes. Ítem 11 Revisión de incidentes Número Pregunta Respuesta Código cantidad 11 revisión periódica PARCIAL 1 30 AMPLIA 2 31 ESCAZA 3 36 NO EXISTE/NO SABE 4 40 Al igual que explicamos en el ítem anterior, el objetivo de documentar los incidentes, es poder analizarlos, corregirlo y minimizar su aparición en eventos futuros, sin embargo vemos una reducción del total de encuestados que documentan, pero no revisan dichos incidentes, pues vemos una disminución de 3%, dando un total de 23% de usuarios que gestión completamente los incidentes. Ítem 12 Comité de seguridad Número Pregunta Respuesta Código cantidad 12 comité de seguridad PARCIAL 1 15 AMPLIA 2 32 ESCAZA 3 28 NO EXISTE/NO SABE 4 62 Es importante mencionar que el conjunto de estrategias tomadas por la empresa para la gestionar la seguridad debe ser en consenso por las diferentes áreas de negocio, es decir que la existencia de un comité de seguridad supone un colegiado de las diferentes áreas de la empresa. Sin embargo es común que dicha tarea sea asignada de forma directa a TI, de ahí que se les realiza la siguiente pregunta a los encuestados, “¿Cuenta con un comité de seguridad debidamente autorizado por la alta gerencia?”, a lo cual respondieron que solo un 23% cuentan con dicho comité, de lo que podemos inferir que el 77% restante lo maneja de alguna manera el área de TI. 50 Ítem 13 Marco legal regulatorio Número Pregunta Respuesta Código cantidad 13 verificación de marco legal PARCIAL 1 19 AMPLIA 2 37 ESCAZA 3 26 NO EXISTE/NO SABE 4 55 En su apartado 4.1 la ISO 27000 no indica que debemos conocer la empresa y su entorno, eso incluye la parte legal de la misma, ya que gran parte de la política de seguridad debe ir encaminada a proteger los activos de información que la ley le demanda. De ahí la importancia que los gestores de la seguridad de la información y el personal de TI estén consientes sobre lo que la ley les demanda resguardar. De los encuestados solo el 27% responde conocer el marco legal de sus empresas. Ítem 14 Presupuesto asignado a mejorar la seguridad de la información Número Pregunta Respuesta Código cantidad 14 se cuenta con presupuesto PARCIAL 1 17 AMPLIA 2 32 ESCAZA 3 38 NO EXISTE/NO SABE 4 50 La buena gestión de la seguridad de la información supone un presupuesto asignado a ella y no a TI como se suele pensar, es decir del presupuesto de TI se asigna una porción para la seguridad, lo cual no debe de ser, de los encuestados el 23% menciona tener un presupuesto especializado para la gestión de la seguridad de la información, lo que nos lleva a pensar que el 77% restante debe tomar del presupuesto de TI para realizar o completar tareas asociadas a la misma. Ítem 15 Plan de capacitación para los empleados Número Pregunta Respuesta Código cantidad 15 se cuenta con plan de capacitación Parcial 1 20 Amplia 2 19 Escasa 3 37 No existe/no sabe 4 60 51 Al hablar de seguridad, la educación de los usuarios es primordial, un usuario informado es un usuario seguro, la ISO 27000 nos sugiere en el control A.7.2.2 que todos los empleados deberán tener un proceso de concientización y educación durante todo su tiempo de empleo. Según los datos colectados apenas el 14% tienen un plan de capacitación entorno a la seguridad de la información. El 86% no tiene un plan formal de entrenamiento para sus empleados. Ítem 16 Registro de capacitaciones de los empleados Número Pregunta Respuesta Código cantidad 16 registro de capacitaciones Parcial 1 13 Amplia 2 20 Escasa 3 38 No existe/no sabe 4 65 Los controles son para poder identificar que las políticas son en esencia ejecutadas de acuerdo a lo acordado, los registros de las capacitaciones sobre la seguridad de la información son muy importantes, pues en caso de un incidente podremos determinar si fue por falta de conocimiento, descuido o negligencia. Del total de encuestados solo el 15% dicen poseer registros de las capacitaciones recibidas. Ítem 17 Plan de Auditoria Interna a sistemas informáticos Número Pregunta Respuesta Código cantidad 17 cuenta con plan de auditoria interna Parcial 1 15 Amplia 2 45 Escasa 3 30 No existe/no sabe 4 46 La auditoría interna, es un mecanismo importante para el bien estar de todos los procesos y sistemas del negocio, al no poseer una auditoria interna no podremos saber si se cumplen las políticas y los procesos establecidos por la alta dirección, de los encuestados solo el 33% contesto que cuentan con un programa de auditoria formal, lo cual es preocupante dado que el entorno evaluado va desde empresas de gobierno y empresa privada. 52 Ítem 18 Cronogramas Auditorías Internas a sistemas informáticos Número Pregunta Respuesta Código cantidad 18 cronograma de auditorias Parcial 1 14 Amplia 2 37 Escasa 3 26 No existe/no sabe 4 59 La correcta planificación de las auditorias es algo importante para el negocio, dado que si no se planifican, pueden causar interrupciones en los servicios críticos, la ISO 27001 en el control A.12.7.1 recomienda que deben ser planificados adecuadamente, de los encuestados solo 27% responden que sus auditorías son programadas. Eso nos deja un 5% del total de encuestados que si poseen un programa de auditorías, pero no son programadas con el personal a ser auditados. Ítem 19 Las partes interesadas conocen el cronograma de auditorías Internas a sistemas informáticos Número Pregunta Respuesta Código cantidad 19 plan divulgación de cronograma Parcial 1 13 Amplia 2 27 Escasa 3 24 No existe/no sabe 4 72 De acuerdo con los encuestados solo el 20% respondieron que existe un plan de divulgación para los cronogramas de auditoria, es decir las áreas auditadas se les informa cuando serán realizadas, como vemos en esta secuencia de preguntas del 33% que afirmaron tener auditorías, solo el 20% se les informa por anticipado cuando y que áreas serán auditadas. Ítem 20 Los hallazgos de las auditorías Internas son revisados por las partes interesadas Número Pregunta Respuesta Código cantidad 20 plan revisión hallazgos auditoria Parcial 1 16 Amplia 2 32 Escasa 3 26 No existe/no sabe 4 62 53 Los hallazgos de las auditorias deben ser divulgados a las partes interesadas, con el objetivo que las correcciones pertinentes son realizadas adecuadamente. De los 137 encuestados solo el 24% realizan un proceso de divulgación a las partes interesadas. Ítem 21 La gerencia de TI es informada sobre los hallazgos encontrados por la auditoria. 21 gerencia informada sobre resultados de auditoria PARCIAL 1 19 AMPLIA 2 47 ESCAZA 3 13 NO EXISTE/NO SABE 4 58 Sobre la divulgación de los resultados de las auditorias, podemos ver que solo apenas un 34% de los encuestados informan que, a la gerencia sobre los resultados asociados a TI, es importante que para un proceso de mejora, todas las partes interesadas conozcan de los resultados. Ítem 22 La gerencia de TI autoriza el plan de mejoras asociadas a los resultados de la auditoria. 22 gerencia autoriza plan de mejoras PARCIAL 1 16 AMPLIA 2 40 ESCAZA 3 18 NO EXISTE/NO SABE 4 63 La gerencia de TI debe revisar y autorizar los planes de mejora asociados a las revisiones de auditoria, ya que esto forma parte del gobierno de TI, ninguna acción deberá ser realizada sin el conocimiento de la gerencia de TI. Sin embargo, de los 137 encuestados solo el 29% asegura tener conocimiento de los cambios realizados debido a auditorias. Ítem 23 La gerencia de TI revisa el avance de las mejoras a intervalos adecuados. 23 gerencia revisa intervalos PARCIAL 1 23 AMPLIA 2 32 ESCAZA 3 21 54 NO EXISTE/NO SABE 4 61 La importancia que la gerencia de TI designe a un elemento del equipo para la revisión constante de los cambios autorizados es crítico, ya que eso demuestra la gobernabilidad de los procesos de TI, sin embargo, solo un 23% responde que hay un proceso de revisión a intervalos adecuados a los cambios planificados. Ítem 24 La gerencia de TI documenta las revisiones de auditoria y sus mejoras. 24 se documenta revisiones hecha por la gerencia PARCIAL 1 15 AMPLIA 2 35 ESCAZA 3 24 NO EXISTE/NO SABE 4 63 Todos los procesos de TI deben estar documentados, eso incluye las revisiones realizadas sobre los informes de TI, ya sea en aceptación, para presentar controles de descarga, etc. De los 137 encuestados solo 26% afirma documentar todos los procesos de revisión. Ítem 25 La empresa cuenta con plan de revisión de los riesgos asociados al negocio. 25 Se cuenta con un plan de revisión al tratamiento de riesgos PARCIAL 1 17 AMPLIA 2 31 ESCAZA 3 33 NO EXISTE/NO SABE 4 56 Los controles asociados a mitigar, prevenir o trasladar el riesgo son documentados mediante un plan de revisión, el cual permita validar que tan efectivos son dichos controles. Del total de encuestados solo Ítem 26 La gerencia de TI prioriza las inconformidades encontradas en la auditoria. 26 Se priorizan las inconformidades y se elabora un plan de acción para su cumplimiento. PARCIAL 1 20 AMPLIA 2 24 ESCAZA 3 32 NO EXISTE/NO SABE 4 61 55 Ítem 27 La gerencia de TI documenta el plan de acción para subsanar las inconformidades encontradas en la auditoria. 27 Se documenta las diferentes acciones realizadas para subsanar las inconformidades encontradas en las auditorias PARCIAL 1 20 AMPLIA 2 30 ESCAZA 3 24 NO EXISTE/NO SABE 4 63 Ítem 28 La gerencia de TI documenta los riesgos asociados a los cambios sufridos por las acciones realizadas. 28 se documentan los riesgos asociados a cambios significativos PARCIAL 1 21 AMPLIA 2 30 ESCAZA 3 29 NO EXISTE/NO SABE 4 57 Ítem 29 Se establecen controles preventivos asociados a los riesgos identificados. 29 Se establecen medidas preventivas asociadas a los riesgos identificado PARCIAL 1 26 AMPLIA 2 30 ESCAZA 3 27 NO EXISTE/NO SABE 4 54 Ítem 30 Se documentan todas las acciones, los planes asociados a las mejoras de la seguridad. 30 Se documenta el plan de acción, y las actividades realizadas PARCIAL 1 16 AMPLIA 2 38 ESCAZA 3 29 NO EXISTE/NO SABE 4 54 56 ÁREAS DE MEJORA IDENTIFICADAS Después de haber realizado un estudio acerca de la seguridad de la información en las empresas de la zona central de El Salvador, se ha logrado identificar las diferentes áreas de mejora: marco referencia ISO 27001 1 33 COBIT 2 31 ITIL 3 42 NO SABE/NINGUNO 4 61 % sin Marco de referencia = 61/167 = 45% Podemos ver que existe un 45% de las empresas encuestadas que no tienen un marco de referencia que no saben si poseen dicho marcho o no cuentan alguno de los mencionados en la gráfica. La aplicación de estos marcos de referencia debe ser evaluada con respecto a la criticidad de la información gestionada, modelo de negocios y procesos. El objetivo con esto en encontrar una solución óptima con relación al factor técnico y económico. Bajo un enfoque costo – beneficio, las empresas deben hacerse las siguientes preguntas: ¿De cuánto dispongo en tiempo, recursos y presupuesto? ¿Qué riesgos afronto en la actualidad? ¿Cuál es el impacto al sufrir un desastre? ¿Cuáles han sido los resultados de los incidentes que se han dado con anterioridad? Gestión de política de seguridad La implementación de una política de seguridad debe ser el resultado de un análisis de los riesgos que afronta la organización en si con respecto al tratamiento de su información, uso de recursos de tecnología y continuidad del negocio. Política de seguridad autorizada PARCIAL 1 38 AMPLIA 2 42 ESCAZA 3 23 NO EXISTE/NO SABE 4 34 %sin Política de autorizada = 34/137 = 25% 57 Si a este porcentaje le agregamos los que están parcial o escaza el porcentaje va más allá del 50% del total de encuestados. Estos son algunos de los puntos a tomar en cuenta dentro de la política de seguridad: - Herramientas para el control de acceso a zonas de alto riesgo para la seguridad de la información - Normalización de los procesos de gestión de la información - Aplicación de modelos redundantes y descentralización de los medios. - Hacer conciencia de la importancia del uso de una política de seguridad - Tener un proceso del qué y cómo hacer ante un incidente - Tener un directorio para comunicarse con las personas encargadas de dichos procesos o áreas. Gestión de activos de información y gestión de riesgos El mismo fenómeno se encuentran en la encuesta en cuanto a la gestión de los activos de información y la gestión de riesgos de los mismo, entre los que no tienen ningún control y los que tienen escaza gestión sobrepasan el 50%. cuenta con inventario de activos informáticos PARCIAL 1 29 AMPLIA 2 37 ESCAZA 3 37 NO EXISTE/NO SABE 4 34 cuenta con evaluación de riesgos PARCIAL 1 35 AMPLIA 2 28 ESCAZA 3 39 NO EXISTE/NO SABE 4 35 Es muy importante hacer conciencia en las empresas de hoy en día sobre el riesgo con el que se corre al manejar activos de información, y que no solamente se le puede llamar seguridad a las barreras físicas que se ponen para asegurar las zonas de resguardo de la información. Sino también el uso de procesos de resguardo de dicha información. Es importante tomar en cuenta los siguientes puntos, para el resguardo de la información. - Gestionar permisos de accesos a sistemas de archivos y programas, con el objetivo de no permitir la lectura o escritura de los mismos. - Normalizar los procesos y datos de entrada. - Garantizar la integridad de la información dentro de los canales de transmisión. - Garantizar redundancia en los canales de transmisión de los datos. Teniendo en cuenta haber cubierto todas aquellas amenazas con relación a codificación de programas y almacenamiento de la información, se debe hacer una evaluación ante aquellos incidentes que no se contemplan como técnicas, sino humanas o naturales. Algunas técnicas para afrontar estos riesgos son los siguientes: - Cifrar el contenido entre los canales de transmisión de datos. 58 - Monitoreo de los recursos y el tráfico en la red. - Soluciones de firewall o protección ante intrusos. Capacitación y preparación del personal La poca o nula capacitación o presupuesto asociado a preparar a los profesionales encargados de la gestión de los activos de la información es preocupante, ya que, según la nueva ley de delitos informáticos y conexos, en su artículo 7 Inciso 2 “Si el delito previsto en el presente artículo se cometiere de forma culposa, por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, será sancionado con prisión de uno a tres años.” (Salvador, 2016) se cuenta con plan de capacitación PARCIAL 1 20 AMPLIA 2 20 ESCAZA 3 37 NO EXISTE/NO SABE 4 60 registro de capacitaciones PARCIAL 1 13 AMPLIA 2 21 ESCAZA 3 38 NO EXISTE/NO SABE 4 65 Debido al avance exponencial de la tecnología y los riesgos que se tienen con el uso de la misma, existe un grado de posibilidad de ser víctima de dicho riesgo. Con la propagación del internet ahora se cuenta con un acceso a la información mucho más rápido y privilegios a la misma, a tal grado que se puede ser víctima de un ataque de una vulnerabilidad detectada recientemente. Vulnerabilidades que pueden permitir el acceso a nuestra red a un atacante, modificación de la información, desestabilización de los servicios brindados por tecnología y destrucción en su totalidad de los activos de información. Es por ello que se recomienda, la capacitación continua de las personas que se encargan de gestionar la tecnología y los operadores que tienen contacto con la información o recursos de tecnología de alguna forma. Se ha identificado la falta de importancia en la preparación del personal con el uso de tecnologías que se usan en las organizaciones. Es importante mencionar que en la aplicación de un SGSI, es responsabilidad de la dirección la formación y capacitación del personal. Auditoría de sistemas Se ha identificado que existe un nivel muy bajo de aplicación en el área de auditoría de sistemas, en la muestra de empresas encuestadas. Las auditorías de sistemas se pueden realizar bajo un enfoque general o en un área específica. La auditoría general tiende a tener mayor calidad por el simple hecho que abarca más áreas, y estas en conjunto pueden presentar informes más completos. En cambio, las auditorías a un área específica se pueden realizar en un tiempo mucho menor, pero solo se ven los puntos que tratan en dicha área. 59 Las auditorías de informáticas pueden trabajar en base a técnicas y herramientas, en la siguiente tabla se muestran algunos de los puntos que se deben conoce