Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD SISTEMAS MERCANTILES
CARRERA SISTEMAS
PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TITULO DE
INGENIERO EN SISTEMAS E INFORMÁTICA.
TEMA:
PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA ISO 27002 Y LA
GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO DE TIC DE LA
UNIANDES EXTENSIÓN BABAHOYO.
AUTOR: FIGUEROA LEYTON JOSE LUIS.
TUTOR: Lsi. JORDÁN CORDONES FREDY MAXIMILIANO, MIE
Babahoyo – Ecuador
2019
APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quien redacta, legalmente CERTIFICO QUE: El actual Proyecto de Investigación
elaborado por el señor Figueroa Leyton José Luis, estudiante de la Carrera de Sistema,
Facultad de Sistemas Mercantiles, titulado “PLAN DE SEGURIDAD INFORMÁTICA
BASADO EN LA NORMA ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN
PARA EL DEPARTAMENTO DE TIC DE LA UNIANDES EXTENSIÓN
BABAHOYO”, ha si sido analizado y desempeña con todos los requerimientos
determinados en el procedimiento pertinente de la Universidad Autónoma Regional de Los
Andes UNIANDES, por lo que se certifica su presentación
Babahoyo, Febrero de 2019
Lsi. Fredy M. Jordán Cordonez, MIE
TUTOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Figueroa Leyton José Luis, estudiante de la Carrera de Sistemas, Facultad de Sistemas
Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de
investigación, previo la obtención del título de INGENIERO EN SISTEMAS, son
absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de
mi exclusiva responsabilidad.
Babahoyo, Febrero de 2019
____________________________
Sr. Figueroa Leyton José Luis
CI. 1205018441
AUTOR
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
Yo, Ing. Laura Marlene Ochoa Escobar, Mg en calidad de Lector del Proyecto de
Titulación.
CERTFICO:
Que el presente trabajo de titulación realizado por el estudiante Figueroa Leyton José Luis
sobre el tema: “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA
ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO
DE TIC DE LA UNIANDES EXTENSIÓN BABAHOYO”, ha sido cuidadosamente
revisado por el suscrito, por lo que he podido constatar que cumple con todos los requisitos
de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para
esta clase de trabajos, por lo que autorizo su presentación.
Babahoyo, Febrero de 2019
__________________________________
Ing. Laura Marlene Ochoa Escobar, Mg
LECTORA
DERECHOS DE AUTOR
Yo, Figueroa Leyton José Luis, declaro que conozco y acepto la disposición
constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional
Autónoma de Los Andes, que en su parte pertinente textualmente dice: El
Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre
las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y
consultaría que se realicen en la Universidad o por cuenta de ella.
Babahoyo, Febrero de 2019
____________________________
Sr. Figueroa Leyton José Luis
CI. 1205018441
AUTOR
DEDICATORIA.
Este trabajo lo dedico a Dios por haberme brindado llegar hasta aquí obteniendo sabiduría y
amor por lo que voy a ejercer sobre todo lleno de salud en cada instante para poder lograr
todos mis objetivos puestos como persona y como profesional.
A mis padres y hermanos quienes me apoyaron desde un principio de mi vida en mi
crecimiento como persona los mismos quienes me han guiado lograr una etapa más en mi
vida lo cual estoy muy contento por ello.
A mis profesores por haberme aportado de sus conocimientos adquiridos quienes
compartieron una etapa universitaria.
Figueroa Leyton José Luis.
AGRADECIMIENTO.
En primer lugar, agradezco a Dios por haberme brindado herramientas necesarias para poder
lograr el desarrollo de la tesis lo cual estoy muy satisfecho por alcanzar un meta más lo cual
es el principio de muchas.
En segundo lugar, agradezco a mis padres y hermanos quienes estuvieron siempre
formándome como persona obteniendo su apoyo incondicional y a las demás personas como
profesores y amigos por ser parte de esta etapa universitaria en la cual aportaron mucho en
este proceso
Figueroa Leyton José Luis.
RESUMEN EJECUTIVO.
El presente trabajo investigativo tiene como objetivo desarrollar un plan de seguridad
informática basado en la norma ISO 27002 para el departamento de Tecnologías de la
Información y la Comunicación de la Universidad Regional Autónoma de Los Andes
“UNIANDES” extensión Babahoyo con la finalidad de mejorar la gestión de información.
El departamento de Tecnologías de la Información y la Comunicación de la Universidad
cuenta con una infraestructura tecnológica que satisface las demandas de las diferentes
unidades académicas con que cuenta esta institución, pero carece de vigilancia en
determinados servicios como por ejemplo: no existe un monitoreo de control que dé
cumplimiento a las especificaciones técnicas en cuanto se refiere al acceso a internet y datos,
no posee un control de acceso del personal administrativo a los deferentes equipos
informáticos de la institución, el acceso a los laboratorios de computo carece de seguridad en
las puertas de acceso, no se dispone de un inventario de software, falta de reportes o informes
técnicos de la infraestructura de red. Se realizó una Fundamentación Teórica respecto a la
Gestión de la Información al plan de seguridad informática. Se implementó además el Diseño
Metodológico y Diagnóstico de la investigación y se aplicó una encuesta a estudiantes y
docentes de la Uniandes. Finalmente, se planteó una propuesta el desarrollo de un plan de
seguridad informática basado en la norma ISO 27002.
ABSTRACT
The objective of this research is to develop a computer security plan based on the ISO 27002
standard for the Department of Information and Communication Technologies of the
Uniandes in its Babahoyo brand, with the aim of improving information management. The
Department of Information Technology and Communication of the University, has a
technological infrastructure that satisfy the demands of the different academic units that this
institution has, but lacks surveillance in certain services such as: there is no control that
complies with the technical specifications in terms of access to internet and data, does not
have access control of administrative staff to the different computer equipment of the
institution, the Computer labs does not have a security doors, there is no software inventory,
lack of reports or technical reports of the network infrastructure. It was carried out a
Theoretical Foundation on Information Management and computer security plan. It was used
a Methodological Design and Diagnosis of the research, and there were applied surveys to
students and teachers of the Uniandes. Finally, it was proposed the development of a
computer security plan based on the ISO 27002 standard.
ÍNDICE GENERAL
CARATULA
APROBACION DEL TUTOR
DECLARACIÓN DE AUTENTICIDAD
CERTIFICACION DEL LECTOR
DERECHOS DE AUTOR
DEDICATORIA
AGRADECIMIENTO
RESUMEN EJECUTIVO
ABSTRACT
INTRODUCCIÓN
Actualidad e Importancia .................................................................................... 1
Problema de Investigación ................................................................................. 1
Objetivo General................................................................................................. 3
Objetivos Especificos ......................................................................................... 3
CAPITULO I. FUNDAMENTACIÓN TEÓRICA.
Antecedentes de la Investigación ....................................................................... 4
Actualidad del objeto de estudio de la Investigación ........................................... 5
Software….......................................................................................................... 5
Hardware…. ....................................................................................................... 6
¿Qué es Dato? ................................................................................................... 6
Que es Información ............................................................................................ 7
Importancia de la Información............................................................................. 8
Gestión de la Información………...…………………………………………………....8
Seguridad…. ...................................................................................................... 9
Vulnerabilidades ................................................................................................. 9
Amenazas…………………………..…………………………………………….……10
Confidencialidad……………………………………………………………………....10
Disponibilidad. .................................................................................................. 10
Incidentes de Seguridad ................................................................................... 11
Riesgos ............................................................................................................ 11
Análisis de Riesgos……………………………………………………………...…….12
Seguridad de la Información……………………...…………………………..……...12
Norma ISO 27002………………………..……………………….………………..….13
Plan de Seguridad Informática ………………………………..…………………....15
Los diferentes tipos de Disponibilidad………………………………………..….…..16
Gestión de Seguridad………………..…………………………………………...…..17 CAPITULO II. DISEÑO METODOLOGICO Y DIAGNOSTICO
Tipo de investigación ........................................................................................ 19
Procedimiento para la búsqueda y procesamiento de los datos. ...................... 20
Resultados del diagnóstico de la situación actual. ............................................ 21
Resumen de las principales insuficiencias…. ................................................... 31
CAPITULO III. PROPUESTA DE SOLUCIÓN AL PROBLEMA
Nombre de la propuesta. .................................................................................. 32
Objetivos de la propuesta. ................................................................................ 32
Elementos que conforman la propuesta. .......................................................... 32
Explicación de cómo la propuesta contribuye a solucionar las insuficiencias
identificadas en el diagnóstico………………………………………………….……36
Aplicación práctica total de la propuesta…………………………….……...………71
Acuerdo Confidencial ....................................................................................... 71
Compromiso de la Gerencia con el Plan de Seguridad Informatica..…………….75
Detalle de la Auditoria.………..…………………………………….…………………75
CONCLUSIONES ............................................................................................... 84
RECOMENDACIONES ........................................................................................ 85
BIBLIOGRAFÍA
ANEXOS
ÍNDICE DE TABLAS.
Tabla 1. Población y Muestra………………………………………………..... 20
Tabla 2. Resultados encuesta pregunta 1……………………………………. 21
Tabla 3. Resultados encuesta pregunta 2. …………………………………... 22
Tabla 4. Resultados encuesta pregunta 3. …………………………………... 23
Tabla 5. Resultados encuesta pregunta 4. …………………………………... 24
Tabla 6. Resultados encuesta pregunta 5. …………………………………... 25
Tabla 7. Resultados encuesta pregunta 6. …………………………………... 26
Tabla 8. Resultados encuesta pregunta 7. …………………………………... 27
Tabla 9. Resultados encuesta pregunta 8. …………………………………... 28
Tabla 10. Resultados encuesta pregunta 9. …………………………………... 29
Tabla 11. Resultado encuesta pregunta 10. …………………………………... 30
Tabla 12. Identificación de Activos. …………………………………................ 34
Tabla 13. Valoración de Activos. ………………………………….................... 35
Tabla 14. Identificación de Amenazas, vulnerabilidades……………………... 36
Tabla 15. Identificación de Amenazas, vulnerabilidades……………………... 40
Tabla 16. Probabilidad que ocurra la amenaza……………………………….. 44
Tabla 17. Amenazas y vulnerabilidades y probabilidad de ocurrencia……… 45
Tabla 18. Tabla de evaluación de Riesgo……………………………………… 50
Tabla 19. Tratamiento del Riesgo………………………………………………. 51
Tabla 20.
Tabla 21.
Calcular Riesgo………………………………………………………..
Preparación de la declaración de aplicabilidad…………………….
52
62
ÍNDICE DE GRÁFICOS.
Figura 1. Gráfico estadístico Pregunta 1……………………………….. 21
Figura 2. Gráfico estadístico Pregunta 2. …………………………….. 22
Figura 3. Gráfico estadístico Pregunta 3. …………………………….. 23
Figura 4. Gráfico estadístico Pregunta 4. …………………………….. 24
Figura 5. Gráfico estadístico Pregunta 5. …………………………….. 25
Figura 6. Gráfico estadístico Pregunta 6. …………………………….. 26
Figura 7. Gráfico estadístico Pregunta 7. …………………………….. 27
Figura 8. Gráfico estadístico Pregunta 8. …………………………….. 28
Figura 9. Gráfico estadístico Pregunta 9. …………………………….. 29
Figura 10. Gráfico estadístico Pregunta 10. …………………………….. 30
Figura 11. Resumen Principales Insuficiencias. …………………… 31
1
INTRODUCCIÓN.
Actualidad e Importancia.
Hoy en día la información es un recurso vital para todas las empresas, la buena
administración de esta significa la diferencia entre el éxito o fracaso para todos
los proyectos que se inicien dentro de una empresa que busca el crecimiento y
el éxito, en este sentido las instituciones deben optar por el empleo de
herramientas tecnológicas que gestionen la información.
En la actualidad la ciudad de Babahoyo capital de la provincia de Los Ríos se ha
transformado al desarrollo tanto económico como social, es por ello que gran
cantidad de instituciones públicas y privadas se han asentado es esta ciudad, las
funciones y operaciones de la mayoría de estas instituciones se encuentran
respaldadas en sistemas informáticos, de ahí surge la necesidad imperiosa de
implementar planes de seguridad informática en las empresas para prevenir y
controlar accesos indebidos y perdida de información.
Por todos estos aspectos expuestos nace la importancia de que toda institución
posea un plan de seguridad informático para asegurar una buena gestión de la
información, UNIANDES extensión Babahoyo asumiendo su responsabilidad de
preservar toda la información de sus estudiantes actualiza su infraestructura
tecnológica y por ende la necesidad de establecer lineamientos y normativas
para el correcto uso de estos.
Problema de Investigación.
Las Tecnologías de la Información y Comunicación avanzan rápidamente en el
mundo actual, constituyéndose en un recurso primordial para las instituciones en
el procesamiento de los datos referentes a las áreas administrativas y
financieras, por ende, se debe tomar las medidas de seguridad oportunas para
proteger la integridad física y lógica de estos.
El 98,5% de los riesgos bancarios en América Latina son informáticos, la falta de
seguridad informática es una de las primordiales causas que originan los
2
problemas en el control, gestión y administración de la información dentro de las
instituciones.
Según diario el Telégrafo, en el Ecuador un alto porcentaje de los delitos
informáticos ocurre por descuido de los usuarios, la mayoría corresponde a
apropiación fraudulenta de información por medios electrónicos. Un estudio
elaborado por la Policía Nacional, Interpol, el centro de respuesta a Incidentes
Informáticos de Ecuador (Ecucert), con el soporte de organismos similares de
América Latina, indica que el 85% de los ataques a los sistemas informáticos son
causados por errores de los consumidores, quienes no toman precauciones al
acceder a las redes sociales, utilizar el correo electrónico, y en el uso de usuario
y contraseña.
La Universidad Regional Autónoma de Los Andes “UNIANDES” extensión
Babahoyo, cuenta con una infraestructura tecnológica que satisface las
demandas de las diferentes Unidades con que cuenta esta institución, pero
carece de vigilancia en determinados servicios como, por ejemplo no existe un
monitoreo de control que dé cumplimiento a las especificaciones técnicas en
cuanto se refiere al acceso a internet y datos, no posee un control de acceso del
personal administrativo a los deferentes equipos informáticos de la institución, el
acceso a los laboratorios de computo carece de seguridad en las puertas de
acceso, no se dispone de un inventario de software, falta de reportes o informes
técnicos de la infraestructura de red.
La institución no cuenta con licencias en la mayoría del software antivirus, lo que
provoca que persistentemente haya infecciones por virus en los equipos
informáticos y en la red de comunicación entre ellos, la institución no cuenta con
un plan de respaldo (backup) de información a pesar de que existen servidores
de datos que trabajan los 360 días del año.
Todo esto conlleva a concluir que Uniandes extensión Babahoyo no cuenta con
un plan de seguridad informática acorde con las debilidades descritas
anteriormente, provocando diversos problemas en el acceso indebido a la
información de la institución, accesos físicos a equipos informáticos no
3
autorizados, robo de hardware y materiales, los empleados no conocen las
políticas de seguridad informática con que debería contar la institución, la perdida
de información es inmutable en las diferentes unidades de la institución por no
existir un plan de backup, no existe un control de acceso de los diferentes
recursos de la red de la institución, no existe un control de acceso a los recursos
compartidos de la red esto aprueba que cualquier usuario acceda y modifique
cualquier recurso a su capricho.
Objetivo General.
Desarrollar un plan de seguridad informática basado en la norma ISO 27002 para
mejorar la gestión de información en el departamento de TIC de la Uniandes
extensión Babahoyo.
Objetivos Específicos:
• Fundamentar teóricamente los aspectos referentes a la gestión de la
información y plan de seguridad informática en base a referencias de
autores nacionales e internacionales.
• Diagnosticar el estado actual de la gestión de información en el
departamento de TIC de la Uniandes Babahoyo.
• Elaborar un plan de seguridad informática basada en la norma ISO 27002.
• Validar la propuesta mediante el método del criterio de expertos.
4
CAPITULO I. Fundamentación Teórica.
Antecedentes de la Investigación.
En una investigación preliminar en el repositorio institucional de la Universidad
Autónoma de Los Andes “Uniandes” se ha encontrado algunos trabajos de grado
a nivel de pregrado y postgrado, relacionados al área del conocimiento del
presente trabajo investigativo, así tenemos:
La tesis de grado del Magister Mejía Viteri, José, (2015). “Plan de seguridad
informática del departamento de Tecnologías de la Información y Comunicación
de la Universidad Técnica de Babahoyo para mejorar la gestión en la
confidencialidad e integridad de la información”, en este trabajo se hace énfasis
en la importancia de la seguridad informática hoy en día en las empresas tanto
públicas como privadas.
La tesis de grado del Magister Santacruz Fernández, Ángel. (2013). “Plan de
seguridad informática y los riesgos operativos en el municipio descentralizado de
Quevedo provincia de Los Ríos”, el autor afirma que: La seguridad informática
se va convirtiendo en una necesidad cada vez más latente en las instituciones.
Es sabido que la tecnología optimiza los procesos y acelera los servicios, pero
también ha dado paso a la manifestación de nuevas formas de delito, con la
finalidad de obtener información o desvíos financieros en forma electrónica.
En el mismo repositorio se encontró el trabajo del señor Rigoberto Gonzalo
Ñauta Benavides, (2015). “Plan de seguridad Informática para mejorar la gestión
de la Información en la Sociedad financiera VISIONFUND-FODEMI de la ciudad
de Ibarra”, el objetivo del presente trabajo es realizar una auditoría informática,
basada el estándar ISO-IEC 27002 como norma establecida para implementar
un plan de seguridad informática.
Investigación en varios repositorios digitales de instituciones de educación
superior del país, se localizaron algunos trabajos que aportaran como
antecedente previo al presente trabajo, entre ellos podemos mencionar:
5
El trabajo de investigación del ingeniero Quirumbay Yagual Daniel, (2015).
“Desarrollo del esquema de seguridad, plan de recuperación ante desastres
informáticos y solución para el nivel de exposición de amenazas y
vulnerabilidades aplicada a los servidores y equipos de comunicación del centro
de datos de la municipalidad de la ciudad de Guayaquil”, de la Escuela Superior
politécnica del Litoral. El autor manifiesta que: El Implementar Seguridad
Informática a las infraestructuras tecnológicas concretamente para el Centro de
Procesamiento de Datos se ha convertido en necesarias debido a que si se logra
estimar la frecuencia con la cual se materializan los riesgos o vulnerabilidades,
así como determinar la magnitud de sus posibles consecuencias
considerando las debidas precauciones, 35 podemos de modo preventivo
tomar medidas para reducir su impacto y evitar la paralización de las
organizaciones o empresas.
Actualidad del objeto de estudio de la investigación.
Software
“El Software son los programas de aplicación y los sistemas operativos que
permiten que la computadora pueda desempeñar tareas inteligentes, dirigiendo
a los componentes físicos o hardware con instrucciones y datos a través de
diferentes tipos de programas.” (Milenium, 2019)
Según Enciclopedia de conceptos (2018) “el software está compuesto por un
conjunto de programas que son diseñados para cumplir una determinada función
dentro de un sistema, ya sean estos realizados por parte de los usuarios o por
las mismas corporaciones dedicadas a la informática.” (Enciclopedia de
Conceptos, 2018)
Tipos de software
• Software de Sistema
• Software de Programación
• Software de Aplicación.
6
Hardware
“Se define al hardware como el conjunto de los componentes que conforman
la parte material (física) de una computadora, a diferencia del software que
refiere a los componentes lógicos (intangibles).” (Julian Perez Porto y Maria
Merino, 2008)
Según (Julian Perez Porto y Maria Merino, 2008) argumenta que:
En el caso de la informática y de las computadoras personales, el
hardware permite definir no sólo a los componentes físicos
internos (disco duro, placa madre, microprocesador, circuitos,
cables, etc.), sino también a los periféricos (escáner, impresoras).
El hardware suele distinguirse entre básico (los dispositivos
necesarios para iniciar el funcionamiento de un ordenador)
y complementario (realizan ciertas funciones específicas).
En cuanto a los tipos de hardware, pueden mencionarse a
los periféricos de entrada (permiten ingresar información al
sistema, como el teclado y el mouse), los periféricos de
salida (muestran al usuario el resultado de distintas operaciones
realizadas en la computadora.
¿Qué es Dato?
Según (Patricia Dip, 2009) argumenta que:
Los datos son números, letras o símbolos que describen objetos,
condiciones o situaciones. Son el conjunto básico de hechos
referentes a una persona, cosa o transacción de interés para
distintos objetivos, entre los cuales se encuentra la toma de
decisiones. Desde el punto de vista de la computación, los datos
se representan como pulsaciones o pulsos electrónicos a través de
la combinación de circuitos (denominados señal digital). Pueden
ser:
• Datos Alfabéticos (las letras desde A a la Z).
• Datos Numéricos (por ejemplo del 0 al 9).
7
• Datos Simbólicos o de Caracteres Especiales (por ejemplo %,
$, @, #, etc.).
Según (Enciclopedia de Conceptos, 2018) argumenta que:
Un dato es la representación de una variable que puede ser
cuantitativa o cualitativa, indican un valor que se le asigna a las
cosas. Los datos son información. Los datos describen en
su conjunto nos hablan de hechos empíricos. Un dato por sí solo
no puede demostrar demasiado, siempre se evalúa el conjunto
para poder examinar los resultados. Para examinarlos, primero hay
que organizarlos o tabularlos.
En informática, en programación, un dato es la expresión general
que va a describir aquellas características de la entidad sobre la
que opera. En la estructura de datos, un dato es la más mínima
parte de la información.
Dentro de los archivos también encontramos datos. Estos datos
consisten generalmente en paquetes más pequeños de otros
datos, que son llamados registros. Estos datos están reunidos por
características iguales o similares.
¿Qué es Información?
Según Idalberto Chiavenato, información "es un conjunto de datos con
un significado, o sea, que reduce la incertidumbre o que aumenta el conocimiento
de algo. En verdad, la información es un mensaje con significado en un
determinado contexto, disponible para uso inmediato y que proporciona
orientación a las acciones por el hecho de reducir el margen de incertidumbre
con respecto a nuestras decisiones" (Idalberto, 2006, pág. 110).
Para Ferrell y Hirt, la información "comprende los datos y conocimientos que se
usan en la toma de decisiones" (Ferrell & Geoffrey, 2004, pág. 121)
8
Ambos autores ven a la información como un grupo de datos que tienen un
significado dentro de un contexto, facilitando la toma de decisiones.
Importancia de la Información.
La relación indisoluble que se establece entre la información, el conocimiento, el
pensamiento y el lenguaje se explica a partir de comprender que la información
es la forma de liberar el conocimiento que genera el pensamiento humano. Dicha
liberación se produce mediante el lenguaje oral, escrito, gesticular, etc. Un
sistema de señales y símbolos que se comunican de alguna manera. (Alonso,
1997, pág. 109).
La información "consiste en datos seleccionados y ordenados con un propósito
específico. (Czinkota & Kotabe , 2001, pág. 115)
En todas las épocas la información ha sido considerada como algo vital en la
actividad del hombre. Así como el uso y la generación de la misma siendo uno
de los activos más importantes de cualquier empresa.
Gestión de la información.
“Gestión de Información incluye el planeamiento de la política informativa de toda
la organización, el desarrollo y mantenimiento de sistemas y servicios
integrados, la optimización de los flujos de información y el fortalecimiento de las
tecnologías para satisfacer los requerimientos funcionales de los usuarios”
(Ponjuán Dante, 2011)
La gestión de la información “se puede identificar como la disciplina que se
encargaría de todo lo relacionado con la obtención de la información adecuada,
en la forma correcta, para la persona indicada, al coste adecuado, en el momento
oportuno, en el lugar apropiado y articulando todas estas operaciones para el
desarrollo de una acción correcta” (Pérez-Montoro, 2009).
Ambos autores mencionan que la gestión de la información trata de recopilar e
identificar los datos necesarios para de esta forma poder cumplir y llegar a
satisfacer las distintas necesidades que el usuario o la empresa lo requieran.
9
Seguridad
David A. Baldwin, aborda la conceptualización de la seguridad desde una
perspectiva realista, aplicada al actual contexto de la seguridad internacional,
que requiere resolver los problemas que afectan a los diversos países que
integran la Comunidad Mundial, los que necesariamente requieren comprender
los fundamentos que debiesen sustentar las acciones que cada Estado necesita
adoptar para llegar a soluciones viables y sustentables. (BALDWIN A. , 1997,
pág. 5).
Según Jesús rodea (1994). Seguridad un estado de cualquier sistema
(informático o no) que nos indica que ese sistema está libre de peligro, daño o
riesgo.
Seguridad significa mantener de forma íntegra cualquier información o dato ya
sea usando sistemas de seguridad informática que ayudaran a mantener segura
la información.
Vulnerabilidades.
Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un
sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad,
disponibilidad o confidencialidad de la misma. (Instituto Nacional de
Ciberseguridad, 2017).
Todos los puntos débiles o frágiles que se considera que tiene un programa
determinado y que pueden hacer que aquel sea atacado por virus de diversa
tipología. (Perez Porto & Merino, 2010)
Las vulnerabilidades son estados, características de los sistemas que hacen
posible ser sensibles a las amenazas.
10
Amenazas.
Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar
contra la seguridad de un sistema de información. (Instituto Nacional de
Ciberseguridad, 2017)
Se puede definir como amenaza a todo elemento o acción capaz de atentar
contra la seguridad de la información. (Luan, s.f.)
En cuanto a amenazas se menciona como un acto de aprovecharse de las
vulnerabilidades de cualquier sistema, pudiendo ser este sujeto a fallos debido a
las debilidades que se pudieren presentar.
Confidencialidad.
La información debe estar disponible solamente para aquellos usuarios
autorizados a usarla. (Gehrkea, Pfitzmann, & Kai, 1992).
El término 'confidencial' hace referencia a "Que se hace o se dice en confianza
o con seguridad recíproca entre dos o más personas." (Mifsud, 2012)
Confidencialidad se refiere a la forma en la que el usuario puede ingresar a cierta
información, pasando por un filtro de seguridad la cual asegure que la
información que será mostrada al usuario mediante previa autorización y de una
forma controlada.
Disponibilidad.
En general, el término 'disponibilidad' hace referencia a una cualidad de
'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que
está lista para usarse o utilizarse." (Mifsud, 2012)
En términos de seguridad de la información, la disponibilidad hace referencia a
que la información del sistema debe permanecer accesible a elementos
autorizados. (Mifsud, 2012).
11
La disponibilidad no es más que tener la información de primera mano y al
momento deseado, garantizando también de esta forma el acceso íntegro y
seguro.
Incidentes de seguridad.
Un incidente de seguridad de la información se define como un acceso, intento
de acceso, uso, divulgación, modificación o destrucción no autorizada de
información; un impedimento en la operación normal de las redes, sistemas o
recursos informáticos; o una violación a la Política de Seguridad de la
Información. (Universidad Nacional de Lujan, 2008).
Según la norma ISO 27035, un Incidente de Seguridad de la Información es
indicado por un único o una serie de eventos seguridad de la información
indeseada o inesperada, que tienen una probabilidad significativa de
comprometer las operaciones de negocio y de amenazar la seguridad de la
información. (Organización Internacional de Normalización, ISO., 2011).
Los incidentes a la seguridad no es más que un intento de acceder, modificar,
utilizar de forma no autorizada la información.
Riesgo.
Riesgo se refieren a la probabilidad de ocurrencia de un evento dado. (SURA,
2011).
El riesgo es la probabilidad de que se produzca un incidente de seguridad,
materializándose una amenaza y causando pérdidas o daños. (Instituto Nacional
de Ciberseguridad, 2017)
Se dice que un riesgo es básicamente cuando ocurre cierto evento, cuando
alguna vulnerabilidad fue explotada y sucede un evento el mismo que producirá
algún tipo de daño o impacto.
12
Análisis del Riesgo.
El análisis de riesgos es la herramienta a través de la cual se puede obtener una
visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene
como propósito identificar los principales riesgos a los que una entidad está
expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos
introducidos por el propio personal. (Huerta, 2012)
El análisis de los riesgos determinará cuáles son los factores de riesgo que
potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto,
deben ser gestionados por el emprendedor con especial atención. (Madrid ORG,
s.f.)
El análisis de riesgo es tener en cuenta el alcance del proyecto, así como
también los activos de información, seguidamente identificar las amenazas que
pueden afectar a esos activos y de esta forma mejorar la seguridad y las medidas
para salvaguardar la información.
Seguridad de la información.
La Seguridad de la Información, según ISO27001, se refiere a la
confidencialidad, la integridad y la disponibilidad de la información y los datos
importantes para la organización, independientemente del formato que tengan,
estos pueden ser: Electrónicos, en papel, audio y vídeo, etc. (ISOTools
Excellence, 2015).
La Seguridad de la Información consiste en asegurar que los recursos del
Sistema de Información de una empresa se utilicen de la forma que ha sido
decidido y el acceso de información se encuentra contenida, así como controlar
que la modificación solo sea posible por parte de las personas autorizadas para
tal fin y por supuesto, siempre dentro de los límites de la autorización. (ISO Tools,
2015).
13
La seguridad de la información tiene como fin resguardar los activos de
información, de esta forma no se permite violaciones de seguridad permitiendo
mantener a los datos íntegros, seguros y confiables.
Norma ISO 27002
La ISO 27002 es una norma internacional enfocada a todo tipo de empresas,
la cual permite el aseguramiento, la confidencialidad e integridad, tanto de los
datos como de los procesos que se manejan.
Según (ISOTools, 2017) argumenta que:
La norma ISO 27002 (anteriormente denominada ISO 17799) es
un estándar para la seguridad de la información que ha publicado
la organización internacional de normalización y la comisión
electrotécnica internacional. La versión más reciente de la norma
ISO 27002:2013.
La norma ISO 27002 proporciona diferentes recomendaciones de
las mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables para iniciar,
implementar o mantener sistemas de gestión de la seguridad de la
información. La seguridad de la información se define en el
estándar como “la preservación de la confidencialidad, integridad y
disponibilidad. Para saber más sobre los demás dominios puede
leer La norma ISO 27002 complemento para la ISO 27001.
La norma ISO 27002 se encuentra enfocada a todo tipo de
empresas, independientemente del tamaño, tipo o naturaleza.
La norma ISO 27002 se encuentra organizado en base a los 14
dominios, 35 objetivos de control y 114 controles.
El contenido de las políticas se basa en el contexto en el que opera
una empresa y suele ser considerado en su redacción todos los
fines y objetivos de la empresa, las estrategias adoptadas
para conseguir sus objetivos, la estructura y los
procesos utilizados.
14
La política de alto nivel se encuentra relacionada con un Sistema
de Gestión de Seguridad de la Información que suele estar
apoyada por políticas de bajo nivel, específicas para aspectos
concretos en temáticas como el control de accesos, la clasificación
de la información, la seguridad física y ambiental, utilizar activos,
dispositivos móviles y protección contra los malware.
Según (Gupta, 2005) determina los siguientes controles de seguridad:
• Seguridad Física y ambiental
• Seguridad en las Operativas
• Seguridad en las Telecomunicaciones
• Control de accesos
• Gestión de activos
• Cifrados
• Políticas de seguridad
• Aspectos organizativos
• Seguridad ligada a los recursos humanos
• Relaciones con los Suministradores
• Gestión de Incidentes
• Gestión de la Continuidad de Negocio
• Cumplimiento
• Adquisición, desarrollo y mantenimiento de los sistemas de información
Según (Fernández & Álvarez, 2012) El objetivo principal es:
Servir de guía para el desarrollo de pautas de seguridad internas y
prácticas efectivas de gestión de la seguridad. Por ello, la elección
de los controles permanece sujeta a lo detectado en un análisis de
riesgos previo, y el grado de implementación de cada uno de los
controles se llevará a cabo de acuerdo a los requisitos de seguridad
identificados y a los recursos disponibles de la organización para
alcanzar así un balance razonable entre seguridad y coste.
15
Plan de Seguridad Informática.
Según Kimball (2011): “Un plan de seguridad es de naturaleza estratégica y es
la base del programa de seguridad, y proporciona un marco para el cumplimiento
constante y futuro de puntos de respuesta de seguridad pública” (Kimball, 2011).
Según Valencia (2018): “Un plan de seguridad informática te permite entender
donde puedes tener vulnerabilidades en tus sistemas informáticos, para una vez
detectadas, tomar las medidas necesarias para prevenir esos problemas”
(Valencia, 2018).
Pasos para elaborar un plan de seguridad informática:
• Identificación
• Evaluación de riesgos
• Prioriza Protección
• Tomar las preocupaciones adecuadas
(Martagmx, 2015) Argumenta que: “La seguridad informática tiene técnicas o
herramientas llamados mecanismos que se utilizan para fortalecer la
confidencialidad, la integridad y/o la disponibilidad de un sistema informático”.
Lo que se describe en un plan de seguridad informática es como de definen las
políticas, que medidas y que procedimientos se implementan para garantizar que
tanto la estructura física como la información estén seguras. Es por ello, que los
especialistas de seguridad de las empresas, definen que es muy importante
definir el alcance de seguridad informática, estableciendo prioridades y que
acciones se deben tomar según los recursos informáticos con la que cuente la
organización. Si lugar a dudas tanto la seguridad física y lógica constituyen dos
importantes aspectos del plan de seguridad informática, siendo necesarios para
brindar seguridad a la empresa.
Según (TBS, 2008) argumenta que:
Un programa de seguridad nunca se “termina”, siempre está
en el proceso de iterar a través del ciclo de vida del programa
para todas las áreas que define. Evalúa riesgos, hace planes
para mitigarlos, implementa soluciones, supervisa para
16
asegurarse de que funcionan como se espera y utiliza esa
información como información para su próxima fase de
evaluación. Del mismo modo, el documento del programa de
seguridad tiene incorporado este ciclo de vida, ya que
especifica con qué frecuencia volverá a evaluar los riesgos
que enfrenta y actualizará el programa en consecuencia.
Los diferentes tipos de disponibilidad.
La disponibilidad de la información va mucho más allá de que esta esté ahí
cuando se necesite. La disponibilidad conlleva en poner en marcha mecanismos
de seguridad que garanticen que las personas autorizadas puedan acceder a
esa información de manera rápida y sencilla en cualquier momento y en cualquier
lugar.
Para entender el amplio concepto de la disponibilidad, se tiene que abordar
ciertos conceptos, para tener claro este concepto de vital importancia para la
seguridad de la información.
La accesibilidad, va de la mano con la disponibilidad, porque garantiza que solo
usuarios autorizados a los procesos, servicios o procesos con los que se
disponen en la organización sin riesgo de que este pueda ser alterada.
La prevención, se refiere a desarrollar diferentes mecanismos que eviten un
ataque de negación de servicios, que provoca que terceras personas hagan que
el sistema de accesibilidad puesto en marcha falle. Es por ello que en la
prevención se diseñan diversos protocolos que impidan este tipo de ataques y
además dar solución en caso de que ocurran.
La seguridad, establece que sólo personas autorizadas por la organización
pueden tener acceso a la información, donde se deben utilizar protocolos de
seguridad determinados que depende de las necesidades de la empresa, y que
son necesarios para evitar que el sistema sea vulnerado por intrusos.
17
La disponibilidad informática forma parte en cada proceso que se realiza en la
empresa, es por eso que se deben establecer estrategias para que se garantice
la seguridad de la información para que esta sea de calidad, proceso que debe
ser crucial para cualquier empresa.
En pocas palabras, se puede decir que la disponibilidad de la información trabaja
en que se garantice que solo personas que estén autorizadas puedan acceder a
ella, donde se implementan procesos de seguridad necesarios para evitar un
ataque, puesto que la información es un recurso que muchas empresas deben
empezar a valorar primordialmente.
En general, la disponibilidad de los datos se logra a través de la redundancia
que implica dónde se almacenan los datos y cómo se puede alcanzar. Algunos
proveedores describen la necesidad de tener un centro de datos y
un almacenamiento centrado en lugar de una filosofía y un entorno centrados en
el servidor.
Existen dos tipos de disponibilidad: “la ideal o predecida y la ajustada u
operacional.” (Rouse, Data Availability, s.f.)
Gestión de la seguridad.
El autor Álvaro Gómez, en su obra Enciclopedia de la Seguridad Informática,
define el Sistema de Gestión de la Seguridad de la Información
(SGSI) como: “aquella parte del sistema general de gestión que comprende la
política, la estructura organizativa, los recursos necesarios, los procedimientos y
los procesos necesarios para implantar la gestión de la seguridad de la
información en una organización.” (Gomez, 2011)
Según la ISO, gestión de la seguridad es: garantizar que los riesgos de la
seguridad de la información sean conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías. (ISO 27000.es)
18
Hay que destacar que en la práctica no se garantiza una seguridad al cien por
ciento en la información, ya que resulta muy complejo eliminar todos los riesgos
que existan. Lo que sí se puede hacer es gestionarlos, de esta forma los riesgos
son reducidos al mínimo poniendo en marcha tareas, procedimientos, programas
y políticas que permitan asegurar la información en una organización. (ISO
27000.es)
19
Capitulo II. Diseño metodológico y Diagnóstico.
Para el desarrollo del presente trabajo investigativo, se empleará los siguientes
tipos de investigación:
• Bibliográfica: Este tipo de investigación nos permitirá recopilar la
información existente en libros, revistas e internet, con ello se desarrolla
el marco teórico donde se fundamentará científicamente las siguientes
variables: Plan de seguridad informática y la gestión de información.
• De campo: Esta investigación se lleva a cabo en el departamento de TIC
de la Uniandes Babahoyo en donde se recopila los síntomas de la
problemática. Este proceso investigativo se lo desarrollo llevando a cabo
encuestas y una entrevista a los involucrados en la problemática.
• Aplicada: Este tipo de investigación nos permite fusionar el aspecto
teórico con lo práctico del trabajo de grado.
La investigación de campo sé llevara a cabo utilizando los siguientes métodos:
• Histórico – Lógico: La historicidad de la gestión de información del
departamento de TIC de la Uniandes Babahoyo es muy importante para
el diagnóstico de la problemática.
• Analítico – Sintético: Este par dialectico será útil, el momento de elaborar
el fundamento científico que sustenta la solución del problema.
• Inductivo – Deductivo: En el desarrollo del trabajo investigativo se induce
una solución particular para deducir una solución general a la
problemática.
Población y Muestra.
Se les considera como población a todos los sujetos inmersos en la gestión de
la información en el departamento de TIC de la Uniandes extensión Babahoyo,
y está estará estructurada de la siguiente forma:
20
Tabla 1: Población y muestra. Fuente: Autor del proyecto de investigación.
En nuestro caso la población es pequeña por lo que se trabajara con toda ella.
El plan de recolección de la información para el presente trabajo será el
siguiente: En lo que se refiere a las técnicas que se aplicaran en este proceso
investigativo son: las encuestas que se llevó a cabo al personal administrativo y
directivos.
Los instrumentos investigativos asociados a las técnicas son: los
cuestionarios que se utilizarán para las encuestas orientado a los administrativos
y directivos.
Procesamiento y Análisis de la información recabada mediante las encuestas
aplicadas al personal administrativo y directivos de la Uniandes extensión
Babahoyo es la siguiente:
FUNCIÓN NÚMERO
Administrativos. 20
Directivos. 5
TOTAL 25
21
Pregunta No. 1.
¿Considera usted que en el departamento donde labora existen medidas de
seguridad para el manejo de la información?
RESPUESTA FRECUENCIA PORCENTAJE
Si 4 61%
No 21 39%
Total 25 100%
Tabla 2. Pregunta No 1
Fuente: Autor del Proyecto de Investigación
Figura 1. Gráfico Estadístico Pregunta No 1
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 84% de los encuestados indica que
no existe medidas de seguridad en el departamento que labora y el 16% indica
que sí. Podemos concluir que los encuestados no tienen conocimiento sobre
medidas de seguridad informativa para el manejo de la información en la
institución.
16%
84%
Pregunta No. 1
Si No
22
Pregunta No. 2.
¿Usted tienen conocimiento de la existencia de alguna normativa que determine
el tiempo en que se debe respaldar la información que usted maneja en la
institución?
RESPUESTA FRECUENCIA PORCENTAJE
Si 0 00%
No 25 100%
Total 25 100%
Tabla 3. Pregunta No 2
Fuente: Autor del Proyecto de Investigación
Figura 2. Gráfico Estadístico Pregunta No 2
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 100% de los encuestados
manifiestan que no existe una normativa que indique cada que tiempo se debe
respaldar la información. Podemos concluir que la institución no posee políticas
de seguridad para la gestión de la información.
100%
Pregunta No. 2
Si No
23
Pregunta No. 3.
¿En el departamento que usted labora, el personal que accede a la información
es debidamente autorizado?
RESPUESTA FRECUENCIA PORCENTAJE
Si 5 20%
No 20 80%
Total 25 100%
Tabla 4. Pregunta No 3
Fuente: Autor del Proyecto de Investigación
Figura 3. Gráfico Estadístico Pregunta No 3
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 80% de los encuestados manifiestan
que el acceso a la información no es restringido y el 20% dice que sí. Podemos
concluir que no existe mecanismos que restringa el acceso a la información por
parte del personal que labora en los diferentes departamentos de la institución.
20%
80%
Pregunta No. 3
Si No
24
Pregunta No. 4.
¿Usted algún momento ha proporcionado su clave y contraseña a otra persona
para que acceda algún servicio o información dentro o fuera de la institución?
RESPUESTA FRECUENCIA PORCENTAJE
Si 15 60%
No 10 40%
Total 25 100%
Tabla 5. Pregunta No 4
Fuente: Autor del Proyecto de Investigación
Figura 4. Gráfico Estadístico Pregunta No 4
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
Podemos observar en esta pregunta que el 60% de los encuestados han
facilitado su credencial para que otras personas aun sin pertenecer a la
institución accedan a servicios o a la información, el 40% restante manifiesta que
nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir
que la mayoría del personal no tiene preceptos sobre la seguridad que ellos
deben tener sobre la gestión de la información.
60%
40%
Pregunta No. 4
Si No
25
Pregunta No. 5.
¿Usted tiene conocimiento que su contraseña de acceso debe ser cambiada o
modificada en determinados periodos de tiempo por seguridad?
RESPUESTA FRECUENCIA PORCENTAJE
Si 3 12%
No 22 88%
Total 25 100%
Tabla 6. Pregunta No 5
Fuente: Autor del Proyecto de Investigación
Figura 5. Gráfico Estadístico Pregunta No 5
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
Podemos observar en esta pregunta que el 60% de los encuestados han
facilitado su credencial para que otras personas aun sin pertenecer a la
institución accedan a servicios o a la información, el 40% restante manifiesta que
nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir
que la mayoría del personal no tiene preceptos sobre la seguridad que ellos
deben tener sobre la gestión de la información.
12%
88%
Pregunta No. 5
Si No
26
Pregunta No. 6.
¿En el departamento que usted labora, ejecutan algún procedimiento que
permita detectar y eliminar virus de los diferentes dispositivos de
almacenamiento externos, antes de la utilización en los computadores de la
institución?
RESPUESTA FRECUENCIA PORCENTAJE
Si 7 28%
No 18 72%
Total 25 100%
Tabla 7. Pregunta No 6
Fuente: Autor del Proyecto de Investigación
Figura 6. Gráfico Estadístico Pregunta No 6
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 72% de los encuestados no realizan
un análisis y eliminación de virus a los dispositivos externos antes de su
utilización en las computadoras de la institución, el 28% restante manifiesta que
si ejecutan este procedimiento. Podemos concluir que la mayoría del personal
no tiene el conocimiento sobre medidas a tomar para asegurar la gestión de la
información.
28%
72%
Pregunta No. 6
Si No
27
Pregunta No. 7.
¿Cuál de los siguientes servicios informáticos son los más utilizados en su
departamento para la gestión de la información?
RESPUESTA FRECUENCIA PORCENTAJE
Internet. 11 44%
Correo Electrónico. 6 24%
Redes Sociales. 3 12%
Páginas Web. 4 16%
Aplicaciones
Contables.
1 4%
Total 25 100%
Tabla 8. Pregunta No 7
Fuente: Autor del Proyecto de Investigación
Figura 7. Gráfico Estadístico Pregunta No 7
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que los servicios más utilizados por el
personal encuestado para el desarrollo de sus actividades cotidianas es el
Internet con el 44% y el correo electrónico con un 24%.
44%
24%
12%
16%
4%
Pregunta No. 7
Internet. Correo Electrónico. Redes Sociales.
Páginas Web. Aplicaciones Contables.
28
Pregunta No. 8.
¿En el departamento que usted labora, existe alguna restricción en la navegación
por internet?
RESPUESTA FRECUENCIA PORCENTAJE
Si 1 4%
No 24 96%
Total 25 100%
Tabla 9. Pregunta No 8
Fuente: Autor del Proyecto de Investigación
Figura 8. Gráfico Estadístico Pregunta No 8
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 96% de los encuestados manifiestan
que no existe un control en la navegación por internet dentro de los
departamentos de la institución, el 4% restante manifiesta que alguna vez le
mencionaron que no se debe acceder a algunas páginas web. Podemos concluir
que la navegación en internet es utilizada por todo el personal y no existe alguna
medida de seguridad que restringa el acceso a páginas o direcciones peligrosas.
4%
96%
Pregunta No. 8
Si No
29
Pregunta No. 9.
¿Recuerda usted si algún momento en la ejecución de sus actividades cotidianas
dentro de la institución, ha sufrido de perdida de información o contagio de virus
informáticos?
RESPUESTA FRECUENCIA PORCENTAJE
Si 23 92%
No 2 8%
Total 25 100%
Tabla 10. Pregunta No 9
Fuente: Autor del Proyecto de Investigación
Figura 9. Gráfico Estadístico Pregunta No 9
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que el 92% de los encuestados han
experimentado alguna vez robo de información o contagio con virus informáticos
en el desarrollo de sus actividades dentro de la institución, el 8% restante
manifiesta que no. Podemos concluir que se debe implementar políticas de
seguridad para el manejo de la tecnología informática.
92%
8%
Pregunta No. 9
Si No
30
Pregunta No. 10.
¿Usted está de acuerdo que se debe incorporar un plan de seguridad informático
el cual establezca políticas para el manejo de la Tecnología Informática en los
de gestión de la información?
RESPUESTA FRECUENCIA PORCENTAJE
Si 25 100%
No 0 0%
Total 25 100%
Tabla 11. Pregunta No 10
Fuente: Autor del Proyecto de Investigación
Figura 10. Gráfico Estadístico Pregunta No 10
Fuente: Autor del Proyecto de Investigación
Análisis e Interpretación.
En esta pregunta podemos observar que la totalidad de los encuestados están
de acuerdo que se incorpore un plan de seguridad informático para regularizar
el uso de la tecnología informática y mejorar la gestión de la información en la
institución.
100%
Pregunta No. 10
Si No
31
Resumen de las principales insuficiencias detectadas con la aplicación de los
métodos investigativos.
Figura 11. Resumen Principales Insuficiencias
Fuente: Autor del Proyecto de Investigación
Gestión de información en el departamento
de TIC de la Uniandes extensión Babahoyo
No posee un control de acceso del personal a los
deferentes equipos informáticos.
No existe un monitoreo que
permita controlar el acceso a
internet y datos.
No cuenta con licencias en la mayoría del
software antivirus.
No cuenta con un plan de respaldo
(backup) de información .
No existe un reglamento para el uso de claves y
contraseñas.
32
Capitulo III. Propuesta de solución al problema.
Desarrollo de un Plan de seguridad de la información para el departamento de
TIC de la Uniandes Extensión Babahoyo a través de implementación de
controles de la Norma ISO 27002.
Objetivos:
Objetivo General.
Desarrollar un Plan de Seguridad de la Información con la aplicación de controles
de la Norma ISO 27002.
Objetivos Específicos:
• Determinar el Hardware y software que se utiliza para la gestión de la
información del departamento de TIC de la Unidades Extensión
Babahoyo.
• Realizar el análisis de riesgo de la información basado en la Norma ISO
27002
• Desarrollar el plan de seguridad aplicando los dominios, objetivo y
controles de la Norma ISO 27002.
Elementos que la conforman la propuesta.
Situación previa de la seguridad informática en el caso de estudio.
El departamento de tecnologías de la información y comunicación de la extensión
Babahoyo se encuentran varios dispositivos y software que provee de servicios
a sus empleados, docentes y estudiantes, por eso es indispensable implementar
medidas de seguridad, pero de una forma organizada para asegurar la
información, porque como se demuestra en el diagnostico existe riesgo de
afectar los tres pilares de la seguridad (confidencialidad, integridad y
disponibilidad).
Análisis de Riesgo.
Consiste en realizar los siguientes procedimientos:
• Identificación de los activos
33
• Identificación de requerimientos legales y comerciales
• Valoración de Activos
• Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia
• Análisis de riesgo y su evaluación.
El riesgo se obtiene a través de la Norma 27002 que establece de forma
detallada el procedimiento para poder realizar este análisis al hardware y
software de la infraestructura, demás brinda un listado detallado de amenazas y
vulnerabilidades que través de la observación puede ser aplicada a la
infraestructura.
Criterio de evaluación del riesgo.
Para evaluar el riesgo está determinado por documentación donde existirá la
siguiente información:
• Los criterios con que se evaluara el riesgo.
• Realizar la valoración del riesgo y establecer un plan de tratamiento del
riesgo.
• Identificación de los niveles de riesgo aceptados por las autoridades.
• Definir e implementar las políticas y los procedimientos que incluyan la
implementación de los controles seleccionados. (ISO 27002,2009).
Enfoque para el cálculo del Riesgo
Esta dado por los requisitos de la organización, previamente se define el alcance,
este se debe definir para limitar el plan de seguridad, en caso contrario
podríamos abordar aspectos innecesarios y exceso detalles que complican la
implementación. Porque la disponibilidad, la confidencialidad e integridad deben
estar en equilibrio, esto quiere decir por ejemplo si la información de un equipo
está protegida por muchas contraseñas difíciles de recordar se pierde la
disponibilidad en caso contrario que esta información no posea una clave y sea
accesible por cualquier persona se pierde la confidencialidad. (Mejía José,2014).
Proceso para el cálculo del riesgo.
Este se obtiene siguiendo los siguientes procesos:
34
Identificación de los activos.
Según la norma ISO 27002 tenemos:
Activos Primarios.
Son aquellos que implican procesos del negocio.
Información.
Activos de Soporte. Estos dependen los elementos primarios del alcance, de
todos los tipos: Hardware, software, redes, personal, sitio, estructura de la
organización.
Identificación de los Activos.
En este proceso se realiza un levantamiento de todo el hardware, software y
documentación de la infraestructura seleccionada y se le asigna el área
responsable de su gestión y mantenimiento.
ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN
SWICH REDES Y TELECOMUNICACIONES
TRANSEIVER REDES Y TELECOMUNICACIONES
FIBRA OPTICA REDES Y TELECOMUNICACIONES
ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES
ROUTERS REDES Y TELECOMUNICACIONES
ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES
ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES
CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES
SERVIDOR MANTENIMIENTO Y SOPORTE
EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE
INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE
CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE
DISCOS DUROS DE SERVIDOR MANTENIMIENTO Y SOPORTE
35
UPS MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO WINDOWS SERVER 2008(R2)
MANTENIMIENTO Y SOPORTE
ANTIVIRUS MANTENIMIENTO Y SOPORTE
CORREO ELECTRONICO DESARROLLO
MOODLE DESARROLLO
WEB SITE DESARROLLO
SEGUIMIENTO GRADUADOS DESARROLLO
ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES
TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTE
Tabla 12. Identificación Activos
Fuente: Autor del Proyecto de Investigación
Valoración de los activos.
En esta etapa se toma en cuenta la funcionalidad de cada hardware y software,
es decir cómo afectaría a la totalidad de mi infraestructura si llegase a ocurrir una
amenaza.
La norma ISO 27002 establece varios criterios para la valoración de activos, pero
el seleccionado es el que se detalla a continuación.
PARAMETROS
VALORACION
DEPENDENCIA FUNCIONALIDAD INTEGRIDAD,
CONFIDENCIALIDAD Y DISPONIBILIDAD
1 MUY BAJO
Este activo es independiente de otro, no afecta la infraestructura o servicios.
Este activo tiene funcionalidades muy limitadas.
La difusión, alteración y no disponibilidad de su configuración afecta de forma insignificante a los servicios.
2 BAJO
Existen activos que dependen de este, pero no afecta en gran medida.
Este activo tiene funcionalidades limitadas.
La difusión, alteración y no disponibilidad de su configuración afecta
36
Tabla 13. Valoración de Activos.
Fuente: ISO 27002
Para la valoración de los activos que es el primer proceso para iniciar el análisis
de riesgo se procederá a valorarlo debido a la perdida de uno o varios de los tres
factores que determinan la seguridad de la información como resultado de un
incidente la calificación en este caso será cuantitativa.
Explicación de cómo la propuesta contribuye a solucionar las
insuficiencias identificadas en el diagnóstico.
A través de la identificación de las amenazas y vulnerabilidades que afectan a
la infraestructura tecnología podremos realizar una valoración de riesgo y luego
implementar controles para mitigar ese riesgo.
Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia.
En este proceso es muy importante la participación de todo el personal de TIC
porque se encuentran en contacto diario con la infraestructura, además se debe
realizar inspección física y revisión de documentos como por ejemplo las
licencias de los equipos.
de forma en parte la entrega de servicios.
3 MEDIO
Una mínima cantidad de servicios y demás activo dependen de él.
Este activo tiene funcionalidades avanzadas.
La difusión, alteración y no disponibilidad de su configuración afecta significativamente la entrega de servicios.
4 ALTO
Una gran cantidad de servicios y otros activos se ven afectados por su mala funcionalidad.
Este activo tiene funcionalidades muy avanzadas.
La difusión, alteración y no disponibilidad de su configuración afecta de forma grave la entrega de servicios.
5 CRITICO
Todos los servicios e infraestructura dependen de este activo.
Este activo tiene funcionalidades de última generación.
La difusión, alteración y no disponibilidad de su configuración afecta de forma total entrega de servicios.
37
ACTIVOS DE SOPORTE FUNCIONES CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD PROMEDIO
SWICH
controla conectividades hacia los equipos de los empleados y laboratorios si existe una falla se puede cambiar, pero se pierde el servicio.
3 3 3 3
TRANSEIVER
realiza funciones de recepción de una comunicación, que permite un procesamiento para también realizar la Transmisión de esta información.
2 2 5 3
FIBRA OPTICA
provee la conexión de servicios de internet de los proveedores y hacia las diferentes dependencias de la Universidad.
2 2 5 3
ROUTER INALAMBRICO provee de servicios de internet al campus universitario
3 5 5 5
ROUTERS poseen configuradas las redes de las diferentes dependencias y unidades de la Uniandes
4 5 5 5
ARMARIO RACKEABLE mantiene organizado y estable toda la parte física de la infraestructura tecnológica
3 3 3 3
ORGANIZADORES DE CABLE mantiene organizados los cables identificados a quienes les provee conectividad
1 1 1 1
CABLEADO ESTRUCTURADO provee de conectividad a las estaciones de trabajo y dispositivos
5 3 3 4
38
SERVIDOR
contiene la configuración de los software y servicios de la Universidad y tienen alojada base de datos
4 4 5 4
EQUIPOS DE ESCRITORIO permite acceder a los servicios y acceso a las redes
5 5 4 5
INSTALACION ELECTRICA da energía a todos los equipos de la universidad
2 2 3 3
CENTRAL DE AIRE
mantiene en clima apropiado a los dispositivos de la data center para evitar daños por calentamiento
2 4 3 3
DISCOS DUROS DE SERVIDORES
mantiene la información de la configuración e información de los softwares de la universidad
3 4 5 4
UPS mantiene energía de reserva hasta por seis horas en caso de fallas eléctricas
2 2 5 3
SISTEMA OPERATIVO WINDOWS SERVER
permite ejecutar las aplicaciones y accesos a los equipos de escritorio a estos servicios
5 5 5 5
ANTIVIRUS permite mantener alertas y limpieza de amenazas en los equipos de escritorio
1 3 2 2
CORREO ELECTRONICO permite enviar y recibir correo electrónico
2 2 2 2
WEB SITE espacio de información a la comunidad universitaria hacia el público en general
4 5 4 4
ADMINISTRADOR DE RED persona que este cargo y tiene conocimiento sobre la gestión y configuración de la red
5 4 5 5
39
TECNICO DE SOPORTE
persona que se encarga de dar mantenimiento y soporte a las fallas de la infraestructura tecnológica
5 4 3 4
ACTIVOS DE INFORMACIÓN
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2
documento que otorga el serial para la activación del software del equipo
5 4 4 4
GARANTIAS DE SERVIDORES documento que establece criterios y tiempo de garantía de los equipos
5 4 4 4
GARANTIAS DE ROUTER Y SWICH CISCO
documento que establece criterios y tiempo de garantía de los equipos
5 4 4 4
GARANTIAS DE SWICH HP documento que establece criterios y tiempo de garantía de los equipos
5 4 4 4
Tabla 14. Identificación de Amenazas, vulnerabilidades.
Fuente: Autor del Proyecto de Investigación.
40
Luego de Realizar la valoración del activo se procede a seleccionar de la lista que
proporciona ISO 27002 las amenazas y vulnerabilidades que podrían afectar su correcto
funcionamiento, a continuación, se detalla el listado.
Tipos Ejemplos de
vulnerabilidades Ejemplos de amenazas
Hardware
Mantenimiento insuficiente/instalación fallida de los medios de almacenamiento.
Incumplimiento en el mantenimiento del sistema de información
Falta de esquemas de reemplazo periódico. Susceptibilidad a la humedad, el polvo y la suciedad
Destrucción del equipo o los medios. Polvo, corrosión, congelamiento
Sensibilidad a la radiación electromagnética
Radiación electromagnética
Falta de control de cambio con configuración eficiente
Error en el uso
Susceptibilidad a las variaciones de tensión
Pérdida del suministro de energía
Susceptibilidad a las variaciones de temperatura
Fenómenos meteorológicos
Almacenamiento sin protección Hurto de medios o documentos
Falta de cuidado en la disposición final
Hurto de medios o documentos
Copia no controlada Hurto de medios o documentos
Software
Falta o insuficiencia de la prueba del software
Abuso de los derechos
Defectos bien conocidos en el software
Abuso de los derechos
Falta de "terminación de la sesión" cuando se abandona la estación de trabajo
Abuso de los derechos
Disposición o reutilización de los medios de almacenamiento sin borrado adecuado
Abuso de los derechos
Falta de pruebas de auditoría Abuso de los derechos
Distribución errada de los derechos de acceso
Abuso de los derechos
Software de distribución amplia Corrupción de datos
Utilización de los programas de aplicación a los datos errados en términos de tiempo
Corrupción de datos
Interfase de usuario complicada
Error en el uso
Falta de documentación Error en el uso
Configuración incorrecta de parámetros
Error en el uso
Fechas incorrectas Error en el uso
41
Falta de mecanismos de identificación y autentificación, como la autentificación de usuario
Falsificación de derechos
Software
Tablas de contraseñas sin protección
Falsificación de derechos
Gestión deficiente de las contraseñas
Falsificación de derechos
Habilitación de servicios innecesarios
Procesamiento ilegal de datos
Software nuevo o inmaduro Mal funcionamiento del software
Especificaciones incompletas o no claras para los desarrolladores
Mal funcionamiento del software
Falta de control eficaz del cambio
Mal funcionamiento del software
Descarga y uso no controlados de software
Manipulación con software
Falta de copias de respaldo Manipulación con software
Falta de protección física de las puertas y ventanas de la edificación
Hurto de medios o documentos
Falla en la producción de informes de gestión
Uso no autorizado del equipo
Red
Falta de prueba del envío o la recepción de mensajes
Negación de acciones
Líneas de comunicación sin protección
Escucha subrepticia
Tráfico sensible sin protección Escucha subrepticia
Conexión deficiente de los cables.
Falla del equipo de telecomunicaciones
Punto único de falla Falla del equipo de telecomunicaciones
Falta de identificación y autentificación de emisor y receptor
Falsificación de derechos
Arquitectura insegura de la red Espionaje remoto
Transferencia de contraseñas autorizadas
Espionaje remoto
Gestión inadecuada de la red (capacidad de recuperación del enrutamiento)
Saturación del sistema de información
Conexiones de red pública sin protección
Uso no autorizado del equipo
Personal
Ausencia del personal Incumplimiento en la disponibilidad del personal
Procedimientos inadecuados de contratación
Destrucción de equipos o medios
Entrenamiento insuficiente en seguridad
Error en el uso
Uso incorrecto de software y hardware
Error en el uso
Falta de conciencia acerca de la seguridad
Error en el uso
Falta de mecanismos de monitoreo
Procesamiento ilegal de los datos
Trabajo no supervisado del personal externo o de limpieza
Hurto de medios o documentos
42
Falta de políticas para el uso correcto de los medios de telecomunicaciones y mensajería
Uso no autorizado del equipo
Lugar Uso inadecuado o descuidado del control de acceso físico a las edificaciones y los recintos
Destrucción de equipo o medios
Ubicación en un área susceptible de inundación
Inundación
Red energética inestable Pérdida del suministro de energía
Falta de protección física de las puertas y ventanas de la edificación
Hurto de equipo
Organización
Falta de procedimiento formal para el registro y retiro del registro de usuario
Abuso de los derechos
Falta de proceso formal para la revisión
Abuso de los derechos (supervisión) de los derechos de acceso
Falta o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los clientes y/o terceras partes
Abuso de los derechos
Falta de procedimiento de monitoreo de los recursos de procesamiento información
Abuso de los derechos
Falta de auditorías (supervisiones) regulares
Abuso de los derechos
Falta de procedimientos de identificación y evaluación de riesgos
Abuso de los derechos
Falta de reportes sobre fallas incluidos en los registros de administradores y operador
Abuso de los derechos
Respuesta inadecuada de mantenimiento del servicio
Incumplimiento en el mantenimiento del sistema de información
Falta o insuficiencia en el acuerdo a nivel de servicio
Incumplimiento en el mantenimiento del sistema de información
Falta de procedimiento de control de cambios
Incumplimiento en el mantenimiento del sistema de información
Falta de procedimiento formal para el control de la documentación del SGSI
Corrupción de datos
Falta de procedimiento formal para la supervisión del registro del SGSI
Corrupción de datos
Falta de procedimiento formal para la autorización de la información disponible al público
Datos provenientes de fuentes no confiables
Falta de asignación adecuada de responsabilidades en la seguridad de la información
Negación de acciones
Falta de planes de continuidad Falla del equipo
Falta de políticas sobre el uso del correo electrónico
Error en el uso
43
Falta de procedimientos para la introducción del software en los sistemas operativos
Error en el uso
Falta de registros en las bitácoras*(logs) de administrador y operario.
Error en el uso
Falta de procedimientos para el manejo de información clasificada
Error en el uso
Falta de responsabilidades en la seguridad de la información en la descripción de los cargos
Error en el uso
Falta o insuficiencia en las disposiciones (con respecto a la seguridad de la información) en los contratos con los empleados
Procesamiento ilegal de datos
Falta de política formal sobre la utilización de computadores portátiles
Hurto de equipo
Falta de control de los activos que se encuentran fuera de las instalaciones
Hurto de equipo
Falta o insuficiencia de política sobre limpieza de escritorio y de pantalla
Hurto de medios o documentos
Falta de autorización de los recursos de procesamiento de la información
Hurto de medios o documentos
Falta de mecanismos de monitoreo establecidos para las brechas en la seguridad
Hurto de medios o documentos
Falta de revisiones regulares por parte de la gerencia
Uso no autorizado del equipo
Falta de procedimientos para la presentación de informes sobre las debilidades en la seguridad
Uso no autorizado del equipo
Falta de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales
Uso de software falso o copiado
Tabla 15. Identificación de amenazas, vulnerabilidades
Fuente: ISO 27002
En el siguiente proceso de selección de las amenazas y vulnerabilidades es
importante la participación de todo el personal de TIC para lograr una buena
selección y cálculo de la probabilidad que ocurran, para este proceso debemos
realizar una tabla para el análisis cualitativo de la probabilidad de ocurrencia se
detalla a continuación.
44
Tabla 16 Probabilidad que ocurra la amenaza
Fuente: ISO 27002
En la siguiente se establece las amenazas y vulnerabilidades y probabilidad de
ocurrencia sobre los activos.
PARAMETROS - VALORACION DESCRIPCIÓN
1 BAJO Amenazas cuya probabilidad de explotar vulnerabilidades es muy baja.
2 MEDIO Amenazas que con poca frecuencia explotan vulnerabilidades.
3 ALTO Amenazas que frecuentemente explotan vulnerabilidades.
45
ACTIVOS AMENAZAS VULNERABILIDAD PROBABILIDAD
OCURRA LA AMENZA
FACILIDAD DE EXPLOTACIÓN
SWICH
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
ALTA MEDIA
PERDIDA DE SUMINISTRO DE ENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DE TENSIÓN
MEDIA BAJA
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA MEDIA
TRANSEIVER
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
ALTA MEDIA
PERDIDA DE SUMINISTRO DE ENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DE TENSIÓN
ALTA MEDIA
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
MEDIA BAJA
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA BAJA
FIBRA OPTICA
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
ALTA MEDIA
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA ALTA
ROUTER INALAMBRICO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA MEDIA
ESCUCHA SUBRECEPTIVA LINEAS DE COMUNICACIÓN SIN PROTECCIÓN
ALTA ALTA
46
TRAFICO SENSIBLE SIN PROTECCIÓN
ALTA MEDIA
FALSIFICACIÓN DE DERECHOS FALTA DE IDENTIFICACIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR
ALTA MEDIA
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED
ALTA ALTA
NEGACIÓN DE ACCIONES FALTA DE PRUEBA DEL ENVÍO O LA RECEPCIÓN DE MENSAJES
MEDIA MEDIA
USO NO AUTORIZADO DEL EQUIPO CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN
ALTA MEDIA
ROUTER
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA MEDIA
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA MEDIA
ESCUCHA SUBRECEPTIVA
LINEAS DE COMUNICACIÓN SIN PROTECCIÓN
MEDIA BAJA
TRAFICO SENSIBLE SIN PROTECCIÓN
ALTA ALTA
FALSIFICACIÓN DE DERECHOS FALTA DE IDENTIFICAIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR
MEDIA MEDIA
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED
MEDIA BAJA
NEGACIÓN DE ACCIONES FALTA DE PRUEBA DEL ENVÍO O LA RECEPCIÓN DE MENSAJES
MEDIA MEDIA
USO NO AUTORIZADO DEL EQUIPO CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN
BAJA MEDIA
ARMARIO RACKEABLE
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE BAJA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
BAJA BAJA
ORGANIZADORES DE CABLE
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE BAJA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
BAJA MEDIA
47
CABLEADO ESTRUCTURADO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA ALTA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
BAJA BAJA
SERVIDOR
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
ERROR DE USO
FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION
ALTA ALTA
FALTA DE DOCUMENTACIÓN ALTA ALTA
ABUSO DE DERECHOS
FALTA DE TERMINACION DE LA SESIÓN
BAJA MEDIA
DISPOSICION O REUTILIZACIÓN DE LOS MEDIOS DE ALMACENAMIENTO SIN BORRADO ADECUADO
MEDIA MEDIA
FALTA DE PRUEBAS DE AUDITORIA ALTA ALTA
EQUIPOS DE ESCRITORIO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA ALTA
HURTO DE MEDIOS O DOCUMENTOS
COPIA NO CONTROLADA ALTA ALTA
ALMACENAMIENTO SIN PROTECCIÓN
ALTA ALTA
ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION
MEDIA MEDIA
DISCOS DUROS DE SERVIDORES
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
ALTA MEDIA
HURTO DE MEDIOS O DOCUMENTOS FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
MEDIA BAJA
UPS INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA ALTA
INSTALACION ELECTRICA INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA ALTA
CENTRAL DE AIRE INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA MEDIA
ABUSO DE DERECHOS FALTA DE PRUEBAS DE AUDITORÍA MEDIA MEDIA
48
SISTEMA OPERATIVO WINDOWS SERVER
DISTRIBUCIÓN ERRADA DE LOS DERECHOS DE ACCESO
MEDIA ALTA
ERROR DE USO
FALTA DE DOCUMENTACIÓN DE LOS SERVICIOS
ALTA MEDIA
CONFIGURACIÓN INCORRECTA DE PARAMETROS
BAJA BAJA
FECHAS INCORRECTAS BAJA BAJA
PROCESAMIENTO ILEGAL DE DATOS HABILITACIÓN DE SERVICIOS INNESESARIOS
ALTA MEDIA
FALSIFICACION DE DERECHOS GESTIÓN DEFICIENTE DE CONTRASEÑAS
ALTA ALTA
MANIPULACION CON SOFTWARE FALTA DE COPIAS DE RESPALDO ALTA ALTA
USO NO AUTORIZADO DEL EQUIPO FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN
MEDIA MEDIA
ANTIVIRUS MANIPULACION CON SOFTWARE DESCARGA Y USO NO CONTROLADOS DE SOFTWARE
BAJA BAJA
CORREO ELECTRONICO(SOFTWARE)
ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESION CUANDO SE ABANDONA LA ESTACION DE TRABAJO
MEDIA MEDIA
ADMINISTRADOR DE RED
INCUMPLIMIENTO EN LA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DE SOFTWARE, HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTO ILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO
BAJA BAJA
HURTO DE MEDIOS O DOCUMENTOS TRABAJO NO SUPERVISADO DEL PERSONAL EXTERNO
MEDIA MEDIA
USO NO AUTORIZADO DEL EQUIPO FALTA DE POLITICAS PARA EL USO CORRECTO DE LOS MEDIOS DE COMUNICACIÓN
ALTA ALTA
DESARROLLADOR
INCUMPLIMIENTO EN LA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DE SOFTWARE, HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTO ILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO
BAJA BAJA
HURTO DE MEDIOS O DOCUMENTOS TRABAJO NO SUPERVISADO DEL PERSONAL EXTERNO
MEDIA MEDIA
49
USO NO AUTORIZADO DEL EQUIPO FALTA DE POLITICAS PARA EL USO CORRECTO DE LOS MEDIOS DE COMUNICACIÓN
ALTA ALTA
TECNICO DE SOPORTE
INCUMPLIMIENTO EN LA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DE SOFTWARE, HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTO ILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO
BAJA BAJA
HURTO DE MEDIOS O DOCUMENTOS TRABAJO NO SUPERVISADO DEL PERSONAL EXTERNO
MEDIA MEDIA
USO NO AUTORIZADO DEL EQUIPO FALTA DE POLITICAS PARA EL USO CORRECTO DE LOS MEDIOS DE COMUNICACIÓN
ALTA ALTA
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2
HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE SERVIDORES HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE ROUTER Y SWICH CISCO
HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE SWICH HP HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
MEDIA MEDIA
Tabla 17 Amenazas y vulnerabilidades y probabilidad de ocurrencia.
Fuente: ISO 27002
50
Evaluación del riesgo.
La siguiente actividad es determinar las amenazas para cada activo para habilitar
la evaluación de los niveles de amenazas (probabilidad de ocurrencia) y niveles
de vulnerabilidades ( facilidad de explotación por parte de las amenazas para
causar consecuencias adversas).
Cada respuesta a un interrogante suscita un puntaje. Estos puntajes se
acumulan a través de una base de conocimientos y se compara con los rangos.
Esto identifica los niveles de amenaza en una escala de alto a bajo y los niveles
de vulnerabilidad ( ISO 27 0 02 , 20 0 9) .
Los valores del activo, y los niveles de amenaza y vulnerabilidad, para cada
combinación realizada a cada hardware, software o documento de más activos
identificados se constatan en una matriz para cada combinación realizada y
obtenemos una medida pertinente del riesgo con valores cuantitativos del 1 al 8.
Probabilidad de
ocurrencia - Amenaza
Baja
Media
Alta
Facilidad de explotación
Baja Media Alta Baja Media Alta Baja Media Alta
VALORACIÓN DEL ACTIVO
1 0 1 2 1 2 3 2 3 4
2 1 2 3 2 3 4 3 4 5
3 2 3 4 3 4 5 4 5 6
4 3 4 5 4 5 6 5 6 7
5 4 5 6 5 6 7 6 7 8
Tabla 18 Tabla de Evaluación del Riesgo
Fuente: ISO 27002
Cálculo del riesgo según norma ISO 27002.
En la siguiente tabla se muestra el riesgo para cada amenaza y vulnerabilidad
seleccionada para cada activo.
51
Para identificar de acuerdo con el valor obtenido le asignaremos una marca de
color que en la siguiente tabla se detalla:
Tabla 19 Tratamiento del Riesgo
Fuente: (Mejía J, 2015).
Procedemos a calcular el riesgo y a identificarlo a continuación se detalla los
valores obtenidos.
Valores Nivel de riego Descripción del riesgo y
acciones necesarias
8 ALTO
Requiere fuertes medidas correctivas. Planes de tratamiento implementados en corto tiempo, reportados y controlados con atención directa de alta dirección
6-7 MEDIO ALTO
Requiere vigilancia de alta dirección con planes de tratamiento implementados y reportados a los
gerentes de unidades
4-5 MEDIO
Se requieren acciones correctivas controladas por grupos de manejo de incidentes en periodo de tiempo
razonable
2-3 MEDIO BAJO
Riego aceptable- Administrado por los grupos de incidentes bajo procedimientos normales de
control
0-1 BAJO El propietario del activo lo
administra con procedimientos rutinarios o decide aceptar el riego
52
ACTIVOS AMENAZAS VULNERABILIDAD VALOR ACTIVO
PROBABILIDAD Q OCURRA LA
AMENZA
FACILIDAD DE EXPLOTACIÓN
RIESGO
SWITCH.
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 3 ALTA MEDIA 5
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
3 ALTA MEDIA 5
PERDIDA DE SUMINISTRO DE ENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DE TENSIÓN
3 MEDIA BAJA 3
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
3 MEDIA ALTA 5
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
3 MEDIA MEDIA 4
TRANSEIVER
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 3 MEDIA BAJA 3
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
3 ALTA MEDIA 5
53
PERDIDA DE SUMINISTRO DE ENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DE TENSIÓN
3 ALTA MEDIA 5
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
3 MEDIA BAJA 3
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
3 MEDIA BAJA 3
FIBRA OPTICA
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 3 ALTA MEDIA 5
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
3 ALTA MEDIA 5
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
3 MEDIA ALTA 5
ROUTER INALAMBRICO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 5 ALTA MEDIA 7
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
5 MEDIA ALTA 7
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
5 MEDIA MEDIA 6
ESCUCHA SUBRECEPTIVA LINEAS DE COMUNICACIÓN SIN PROTECCIÓN
5 ALTA ALTA 8
54
TRAFICO SENSIBLE SIN PROTECCIÓN
5 ALTA MEDIA 7
FALSIFICACIÓN DE DERECHOS
FALTA DE IDENTIFICACIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR
5 ALTA MEDIA 7
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED
5 ALTA ALTA 8
NEGACIÓN DE ACCIONES FALTA DE PRUEBA DEL ENVÍO O LA RECEPCIÓN DE MENSAJES
5 MEDIA MEDIA 6
USO NO AUTORIZADO DEL EQUIPO
CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN
5 ALTA MEDIA 7
ROUTER
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 5 MEDIA MEDIA 6
HURTO DE MEDIOS O DOCUMENTOS
ALMACENAMIENTO SIN PROTECCION
5 MEDIA ALTA 7
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
5 MEDIA MEDIA 6
ESCUCHA SUBRECEPTIVA LINEAS DE COMUNICACIÓN SIN PROTECCIÓN
5 MEDIA BAJA 5
55
TRAFICO SENSIBLE SIN PROTECCIÓN
5 ALTA ALTA 8
FALSIFICACIÓN DE DERECHOS
FALTA DE IDENTIFICAIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR
5 MEDIA MEDIA 6
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED
5 MEDIA BAJA 5
NEGACIÓN DE ACCIONES FALTA DE PRUEBA DEL ENVÍO O LA RECEPCIÓN DE MENSAJES
5 MEDIA MEDIA 6
USO NO AUTORIZADO DEL EQUIPO
CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN
5 BAJA MEDIA 5
ARMARIO RACKEABLE
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 2 BAJA BAJA 1
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
2 BAJA BAJA 1
ORGANIZADORES DE CABLE INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 2 BAJA BAJA 1
56
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
2 BAJA MEDIA 2
CABLEADO ESTRUCTURADO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 2 MEDIA ALTA 4
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD
2 BAJA BAJA 1
SERVIDOR
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 5 ALTA MEDIA 7
ERROR DE USO
FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION
5 ALTA ALTA 8
FALTA DE DOCUMENTACIÓN 5 ALTA ALTA 8
ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESIÓN
5 BAJA MEDIA 5
57
DISPOSICION O REUTILIZACIÓN DE LOS MEDIOS DE ALMACENAMIENTO SIN BORRADO ADECUADO
5 MEDIA MEDIA 6
FALTA DE PRUEBAS DE AUDITORIA 5 ALTA ALTA 8
EQUIPOS DE ESCRITORIO
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE 5 ALTA ALTA 8
HURTO DE MEDIOS O DOCUMENTOS
COPIA NO CONTROLADA 5 ALTA ALTA 8
ALMACENAMIENTO SIN PROTECCIÓN
5 ALTA ALTA 8
ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION
5 MEDIA MEDIA 6
DISCOS DUROS DE SERVIDORES
INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
5 ALTA MEDIA 7
HURTO DE MEDIOS O DOCUMENTOS
FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL
5 MEDIA BAJA 5
58
UPS INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA ALTA 5
INSTALACION ELECTRICA INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA ALTA 5
CENTRAL DE AIRE INCUMPLIMIENTO EN EL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA MEDIA 4
SISTEMA OPERATIVO WINDOWS SERVER
ABUSO DE DERECHOS
FALTA DE PRUEBAS DE AUDITORÍA 4 MEDIA MEDIA 5
DISTRIBUCIÓN ERRADA DE LOS DERECHOS DE ACCESO
4 MEDIA ALTA 6
ERROR DE USO
FALTA DE DOCUMENTACIÓN DE LOS SERVICIOS
4 ALTA MEDIA 6
CONFIGURACIÓN INCORRECTA DE PARAMETROS
4 BAJA BAJA 3
FECHAS INCORRECTAS 4 BAJA BAJA 3
59
PROCESAMIENTO ILEGAL DE DATOS
HABILITACIÓN DE SERVICIOS INNESESARIOS
4 ALTA MEDIA 6
FALSIFICACION DE DERECHOS
GESTIÓN DEFICIENTE DE CONTRASEÑAS
4 ALTA ALTA 7
MANIPULACION CON SOFTWARE
FALTA DE COPIAS DE RESPALDO 4 ALTA ALTA 7
USO NO AUTORIZADO DEL EQUIPO
FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN
4 MEDIA MEDIA 5
USO NO AUTORIZADO DEL EQUIPO
FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN
4 MEDIA MEDIA 5
ANTIVIRUS MANIPULACION CON SOFTWARE
DESCARGA Y USO NO CONTROLADOS DE SOFTWARE
2 BAJA BAJA 1
CORREO ELECTRONICO (SOFTWARE)
ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESION CUANDO SE ABANDONA LA ESTACION DE TRABAJO
2 MEDIA MEDIA 2
60
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2
HURTO DE MEDIOS O DOCUMENTOS
FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DE SERVIDORES HURTO DE MEDIOS O DOCUMENTOS
FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DE ROUTER Y SWICH CISCO
HURTO DE MEDIOS O DOCUMENTOS
FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DE SWICH HP HURTO DE MEDIOS O DOCUMENTOS
FALTA DE RESGUARDO DE LA DOCUMENTACIÓN
4 MEDIA MEDIA 5
Tabla 20. Calcular del Riesgo
Fuente: ISO 27002
61
Tratamiento de Riesgo y toma de decisiones Gerencial.
La aceptación de riesgo declarados por el departamento de TIC de la Uniandes
extensión Babahoyo, establece riesgos de niveles “Alto” y “Medio Alto” son no
aceptables y deben tratarse de manera inmediata para los niveles medio y bajo
son aceptados por la Unidad de TI, para disminuir estos niveles de riesgos, se
aplicará los controles de la Norma ISO 27002.
Riesgo Residual.
Es el riesgo que no se puede eliminar por más medidas de seguridad y controles
implementados, siempre existe un riesgo remanente porque no se pueden
eliminar todas las vulnerabilidades de la infraestructura.
El riesgo residual es aceptable para las diferentes amenazas identificadas y se
dispone de un registro de aceptación de este riesgo remanente.
Seleccionar Objetivos de Control y Controles para el Tratamiento de
Riesgos.
Una vez que se determina que controles se realizara la implementación
después de identificar los procesos de riesgo y evaluarlos y con la norma
27002 se seleccionara de acuerdo con el Dominio Objetivo los controles.
Preparación de la declaración de aplicabilidad.
Esta declaración se basa a un proceso de selección de controles que serán
aplicados a los activos y también se especifican los que no.
Esta declaración de aplicabilidad a la extensión que no se omitan los controles.
62
CONTROL ISO 27002 CONTROLES APLICABILIDAD
SI NO
5. POLÍTICA DE SEGURIDAD.
5.1 Política de seguridad de la información.
5.1.1 Documento de política de seguridad de la información. X
5.1.2 Revisión de la política de seguridad de la información. X
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACION.
6.1 Organización interna.
6.1.1 Compromiso de la Dirección con la seguridad de la información. X
6.1.2 Coordinación de la seguridad de la información. X
6.1.3 Asignación de responsabilidades relativas a la seguridad de la información.
X
6.1.4 Proceso de autorización de recursos para el tratamiento de la información
X
6.1.5 Acuerdos de confidencialidad. X
6.1.6 Contacto con las autoridades. X
6.1.7 Contacto con grupos de especial interés. X
6.1.8 Revisión independiente de la seguridad de la información.
6.2 Terceros.
6.2.1 Identificación de los riesgos derivados del acceso de terceros. X
6.2.2 Tratamiento de la seguridad en la relación con los clientes. X
6.2.3 Tratamiento de la seguridad en contratos con terceros. X
7. GESTIÓN DE ACTIVOS.
63
7.1 Responsabilidad sobre los activos.
7.1.1 Inventario de activos. X
7.1.2 Propiedad de los activos. X
7.1.3 Uso aceptable de los activos. X
7.2 Clasificación de la información.
7.2.1 Directrices de clasificación. X
7.2.2 Etiquetado y manipulado de la información. X
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
8.1 Antes del empleo. X
8.1.1 Funciones y responsabilidades. X
8.1.2 Investigación de antecedentes. X
8.1.3 Términos y condiciones de contratación. X
8.2 Durante el empleo. X
8.2.1 Responsabilidades de la Dirección. X
8.2.2 Concienciación, formación y capacitación en seguridad de la información.
X
8.2.3 Proceso disciplinario. X
8.3 Cese del empleo o cambio de puesto de trabajo. X
8.3.1 Responsabilidad del cese o cambio. X
8.3.2 Devolución de activos. X
8.3.3 Retirada de los derechos de acceso. X
64
9. SEGURIDAD FÍSICA Y DEL ENTORNO.
9.1 Áreas seguras. X
9.1.1 Perímetro de seguridad física. X
9.1.2 Controles físicos de entrada. X
9.1.3 Seguridad de oficinas, despachos e instalaciones. X
9.1.4 Protección contra las amenazas externas y de origen ambiental. X
9.1.5 Trabajo en áreas seguras. X
9.1.6 Áreas de acceso público y de carga y descarga.
9.2 Seguridad de los equipos.
9.2.1 Emplazamiento y protección de equipos. X
9.2.2 Instalaciones de suministro. X
9.2.3 Seguridad del cableado. X
9.2.4 Mantenimiento de los equipos. X
9.2.5 Seguridad de los equipos fuera de las instalaciones. X
9.2.6 Reutilización o retirada segura de equipos. X
9.2.7 Retirada de materiales propiedad de la empresa. X
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES.
10.1 Responsabilidades y procedimientos de operación.
10.1.1 Documentación de los procedimientos de operación. X
10.1.2 Gestión de cambios. X
10.1.3 Segregación de tareas. X
10.1.4 Separación de los recursos de desarrollo, prueba y operación. X
10.2 Gestión de la provisión de servicios por terceros. X
65
10.2.1 Provisión de servicios. X
10.2.2 Supervisión y revisión de los servicios prestados por terceros. X
10.2.3 Gestión del cambio en los servicios prestados por terceros. X
10.3 Planificación y aceptación del sistema. X
10.3.1 Gestión de capacidades. X
10.3.2 Aceptación del sistema. X
10.4 Protección contra el código malicioso y descargable.
10.4.1 Controles contra el código malicioso. X
10.4.2 Controles contra el código descargado en el cliente. X
10.5 Copias de seguridad.
10.5.1 Copias de seguridad de la información. X
10.6 Gestión de la seguridad de las redes.
10.6.1 Controles de red. X
10.6.2 Seguridad de los servicios de red. X
10.7 Manipulación de los soportes.
10.7.1 Gestión de soportes extraíbles. X
10.7.2 Retirada de soportes. X
10.7.3 Procedimientos de manipulación de la información. X
10.7.4 Seguridad de la documentación del sistema. X
10.8 Intercambio de información.
10.8.1 Políticas y procedimientos de intercambio de información. X
66
10.8.2 Acuerdos de intercambio. X
10.8.3 Soportes físicos en tránsito. X
10.8.4 Mensajería electrónica. X
10.8.5 Sistemas de información empresariales. X
10.9 Servicios de comercio electrónico.
10.9.1 Comercio electrónico.
10.9.2 Transacciones en línea.
10.9.3 Información públicamente disponible.
10.10 Supervisión.
10.10.1 Registros de auditoría. X
10.10.2 Supervisión del uso del sistema. X
10.10.3 Protección de la información de los registros. X
10.10.4 Registros de administración y operación. X
10.10.5 Registro de fallos. X
10.10.6 Sincronización del reloj. X
11. CONTROL DE ACCESO.
11.1 Requisitos de negocio para el control de acceso.
11.1.1 Política de control de acceso. X
11.2 Gestión de acceso de usuario.
11.2.1 Registro de usuario. X
11.2.2 Gestión de privilegios. X
11.2.3 Gestión de contraseñas de usuario. X
67
11.2.4 Revisión de los derechos de acceso de usuario. X
11.3 Responsabilidades de usuario.
11.3.1 Uso de contraseñas. X
11.3.2 Equipo de usuario desatendido. X
11.3.3 Política de puesto de trabajo despejado y pantalla limpia. X
11.4 Control de acceso a la red.
11.4.1 Política de uso de los servicios en red. X
11.4.2 Autenticación de usuario para conexiones externas. X
11.4.3 Identificación de los equipos en las redes. X
11.4.4 Protección de los puertos de diagnóstico y configuración remotos.
X
11.4.5 Segregación de las redes. X
11.4.6 Control de la conexión a la red. X
11.4.7 Control de encaminamiento (routing) de red. X
11.5 Control de acceso al sistema operativo.
11.5.1 Procedimientos seguros de inicio de sesión. X
11.5.2 Identificación y autenticación de usuario. X
11.5.3 Sistema de gestión de contraseñas. X
11.5.4 Uso de los recursos del sistema. X
11.5.5 Desconexión automática de sesión. X
11.5.6 Limitación del tiempo de conexión. X
11.6 Control de acceso a las aplicaciones y a la información. X
68
11.6.1 Restricción del acceso a la información. X
11.6.2 Aislamiento de sistemas sensibles. X
11.7 Ordenadores portátiles y teletrabajo. X
11.7.1 Ordenadores portátiles y comunicaciones móviles. X
11.7.2 Teletrabajo. X
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACION.
12.1 Requisitos de seguridad de los sistemas de información.
12.1.1 Análisis y especificación de los requisitos de seguridad. X
12.2 Tratamiento correcto de las aplicaciones.
12.2.1 Validación de los datos de entrada. X
12.2.2 Control del procesamiento interno. X
12.2.3 Integridad de los mensajes.
12.2.4 Validación de los datos de salida.
12.3 Controles criptográficos.
12.3.1 Política de uso de los controles criptográficos.
12.3.2 Gestión de claves. X
12.4 Seguridad de los archivos de sistema.
12.4.1 Control del software en explotación. X
12.4.2 Protección de los datos de prueba del sistema. X
12.4.3 Control de acceso al código fuente de los programas. X
12.5 Seguridad en los procesos de desarrollo y soporte.
69
12.5.1 Procedimientos de control de cambios. X
12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el X
Sistema operativo. X
12.5.3 Restricciones a los cambios en los paquetes de software. X
12.5.4 Fugas de información. X
12.5.5 Externalización del desarrollo de software. X
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Control de las vulnerabilidades técnicas. X
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
13.1 Notificación de eventos y puntos débiles de seguridad de la información
13.1.1 Notificación de los eventos de seguridad de la información. x
13.1.2 Notificación de puntos débiles de seguridad. x
13.2 Gestión de incidentes y mejoras de seguridad de la información.
13.2.1 Responsabilidades y procedimientos. x
13.2.2 Aprendizaje de los incidentes de seguridad de la información. x
13.2.3 Recopilación de evidencias. x
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.
14.1 Aspectos de seguridad de la información en la gestión de la
Continuidad del negocio. x
14.1.1 Inclusión de la seguridad de la información en el proceso de x
Gestión de la continuidad del negocio. x
14.1.2 Continuidad del negocio y evaluación de riesgos. x
70
14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información.
x
14.1.4 Marco de referencia para la planificación de la cont. del negocio. X
14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad.
x
15. CUMPLIMIENTO.
15.1 Cumplimiento de los requisitos legales. x
15.1.1 Identificación de la legislación aplicable. x
15.1.2 Derechos de propiedad intelectual (DPI). x
15.1.3 Protección de los documentos de la organización. x
15.1.4 Protección de datos y privacidad de la información de carácter Personal.
x
15.1.5 Prevención del uso indebido de recursos de tratamiento de la información
x
15.1.6 Regulación de los controles criptográficos. x
15.2 Cumplimiento de las políticas y normas de seguridad y Cumplimiento técnico.
x
15.2.1 Cumplimiento de las políticas y normas de seguridad. x
15.2.2 Comprobación del cumplimiento técnico. x
15.3 Consideraciones sobre las auditorías de los sistemas de información.
x
15.3.1 Controles de auditoría de los sistemas de información. x
15.3.2 Protección de las herramientas de auditoría de los sistemas de información.
x
Tabla 21. Preparación de la declaración de aplicabilidad.
Fuente: ISO 27002
71
Desarrollo del plan de seguridad informática al caso de estudio.
El desarrollo del plan de seguridad al Departamento de tecnologías de la
información de la Universidad Regional Autónoma de los Andes se deriva del
análisis del tratamiento del riesgo donde se califica a cada uno de los activos en
base a las amenazas y vulnerabilidades contra el cuadro de aplicabilidad tal
como lo menciona la norma ISO 27001 por tanto todas las políticas de seguridad
se derivan de la norma ISO 27002.
La implementación de este plan de seguridad informática genera las siguientes
documentaciones:
• Acuerdo de Confidencialidad
• Registro de Compromiso de la Dirección con la Seguridad Informática
• Registro de Contacto con Grupos de Intereses
• Registro de Contacto con las Autoridades
• Registro de Revisión Independiente de la Seguridad Informática
• Registro de seguimiento de las Políticas de Seguridad Informática
• Políticas de Seguridad Informática
Aplicación Práctica parcial o total de la propuesta.
Aquí crearemos la política de seguridad y documentación necesaria para
cumplir con cada uno de los Objetivos de control.
Acuerdo de Confidencialidad.
ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE
INFORMACIÓN, QUE CELEBRAN POR UNA PARTE Departamento de TIC
(UNIANDES) QUIEN EN LO SUCESIVO SE DENOMINARÁ “EL RECEPTOR”
REPRESENTADO EN ESTE ACTO POR Nombre de la persona Y POR LA
OTRA, LA EMPRESA _________________________, A QUIEN EN LO
SUCESIVO SE LE DENOMINARÁ “EL DIVULGANTE” REPRESENTADA EN
ESTE ACTO POR _______________________, EN SU CARÁCTER DE
REPRESENTANTE LEGAL, AL TENOR DE LAS DECLARACIONES Y
CLÁUSULAS SIGUIENTES:
72
PRIMERA. - Objeto. El presente Acuerdo se refiere a la información que EL
DIVULGANTE proporcione al RECEPTOR, ya sea de forma oral, gráfica o escrita
y, en estos dos últimos casos, ya esté contenida en cualquier tipo de documento,
para identificar una (las) propuesta(s) de innovación, o en su caso, para
estructurar un(los) proyecto(s) de innovación, que se están desarrollando que
se van a desarrollar.
SEGUNDA. - 1. EL RECEPTOR únicamente utilizará la información facilitada por
EL DIVULGANTE para el fin mencionado en la Estipulación anterior,
comprometiéndose EL RECEPTOR a mantener la más estricta confidencialidad
respecto de dicha información, advirtiendo de dicho deber de confidencialidad y
secreto a sus empleados, asociados y a cualquier persona que, por su relación
con EL RECEPTOR, deba tener acceso a dicha información para el correcto
cumplimiento de las obligaciones del RECEPTOR para con EL DIVULGANTE.
2. EL RECEPTOR o las personas mencionadas en el párrafo anterior no podrán
reproducir, modificar, hacer pública o divulgar a terceros la información objeto
del presente Acuerdo sin previa autorización escrita y expresa del
DIVULGANTE.
3. De igual forma, EL RECEPTOR adoptará respecto de la información objeto de
este Acuerdo las mismas medidas de seguridad que adoptaría normalmente
respecto a la información confidencial de su propia Empresa, evitando en la
medida de lo posible su pérdida, robo o sustracción.
TERCERA. - Sin perjuicio de lo estipulado en el presente Acuerdo, ambas partes
aceptan que la obligación de confidencialidad no se aplicará en los siguientes
casos:
a) Cuando la información se encontrará en el dominio público en el momento
de su suministro al RECEPTOR o, una vez suministrada la información,
ésta acceda al dominio público sin infracción de ninguna de las
Estipulaciones del presente Acuerdo.
73
b) Cuando la información ya estuviera en el conocimiento del RECEPTOR
con anterioridad a la firma del presente Acuerdo y sin obligación de
guardar confidencialidad.
c) Cuando la legislación vigente o un mandato judicial exija su divulgación.
En ese caso, EL RECEPTOR notificará al DIVULGANTE tal eventualidad
y hará todo lo posible por garantizar que se dé un tratamiento confidencial
a la información.
d) En caso de que EL RECEPTOR pueda probar que la información fue
desarrollada o recibida legítimamente de terceros, de forma totalmente
independiente a su relación con EL DIVULGANTE.
CUARTA. - Los derechos de propiedad intelectual de la información objeto de
este Acuerdo pertenecen al DIVULGANTE y el hecho de revelarla al RECEPTOR
para el fin mencionado en la Estipulación Primera no cambiará tal situación.
En caso de que la información resulte revelada o divulgada o utilizada por EL
RECEPTOR de cualquier forma distinta al objeto de este Acuerdo, ya sea de
forma dolosa o por mera negligencia, habrá de indemnizar al DIVULGANTE los
daños y perjuicios ocasionados, sin perjuicio de las acciones civiles o penales
que puedan corresponder a este último.
QUINTA. - Las partes se obligan a devolver cualquier documentación,
antecedentes facilitados en cualquier tipo de soporte y, en su caso, las copias
obtenidas de los mismos, que constituyan información amparada por el deber de
confidencialidad objeto del presente Acuerdo en el supuesto de que cese la
relación entre las partes por cualquier motivo.
SEXTA. - El presente Acuerdo entrará en vigor en el momento de la firma de
este por ambas partes, extendiéndose su vigencia hasta un plazo de 5 años
después de finalizada la relación entre las partes o, en su caso, la prestación del
servicio.
74
SÉPTIMA. - En caso de cualquier conflicto o discrepancia que pueda surgir en
relación con la interpretación y/o cumplimiento del presente Acuerdo, las partes
se someten expresamente a los Juzgados y Tribunales de la Republica, con
renuncia a su fuero propio, aplicándose la legislación vigente.
Y en señal de expresa conformidad y aceptación de los términos recogidos en el
presente Acuerdo, lo firman las partes por duplicado ejemplar y a un solo efecto
en el lugar y fecha al comienzo indicados.
________________________
POR EL RECEPTOR
________________________
POR EL DIVULGANTE
LAS PRESENTES FIRMAS CORRESPONDEN AL ACUERDO DE
CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN EN TRES
FOJAS ÚTILES QUE CELEBRAN, TIC UNIANDES.
Compromiso de la Dirección con la seguridad de la información.
Título: Registro de compromiso de la dirección con la Seguridad Informática
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
INTRODUCCIÓN.
En el presente documento se registra el compromiso que la dirección establece
con el Plan de Seguridad de la Información a implementarse en el área de
Tecnologías de la información y comunicación.
75
COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD
INFORMÁTICA.
El Rector(a) de la Uniandes ha leído y se encuentra consiente cuán importante
es el establecimiento de políticas de seguridad Informática en el área
Tecnologías de la información y comunicación.
Es por esto que el rectorado manifiesta el compromiso y el apoyo activo para
con el proyecto de implementación de políticas de seguridad Informática.
El rectorado puede intervenir en el desarrollo e implementación de las políticas,
incluso puede dar por terminado el desarrollo de la implementación en caso de
considerarlo necesario.
________________________
Director T.I.C.
________________________
Rector(a)
INTRODUCCIÓN. Este documento es un registro de auditoría interna que debe ser realizado
una vez cada seis meses en el departamento de TIC de la Uniandes.
DETALLE DE AUDITORÍA. A continuación, se presentan las novedades encontradas en la auditoría interna.
Seguridad de los equipos.
Protección de equipos y emplazamiento.
Políticas:
Mantenimiento de equipos.
1. La dirección de tecnologías de la información y comunicación establecerá
un cronograma de mantenimientos de los departamentos de la Uniandes
Extensión Babahoyo, donde se establecerá 2 mantenimientos anuales
como mínimo para preservar la vida útil de los equipos.
76
2. Solo el personal autorizado por el departamento de TIC puede realizar las
debidas reparaciones de equipos, para esto los usuarios deben solicitar
la credencial respectiva.
3. Previamente al envió de reparación de un equipo el usuario deberá sacar
el respaldo de toda su información y borrar la información considerada
como sensible para prevenir la perdida involuntaria de la información, para
realizar este proceso podrá solicitar asesoramiento técnico.
Gestión de cambios.
Política:
En la gestión de cambios para el departamento de TIC de la Uniandes Extensión
Babahoyo podrá realizar los empleados tomando en cuenta lo siguiente:
1. Para implementar mejoras en algún servicio se deberá registrar la fecha
del cambio realizado y guardar la fecha antigua de los archivos
modificados.
2. Para realizar algún cambio de debe realizar las notificaciones al personal
que interviene en el cambio y una socialización de la razón del cambio.
Copias de Seguridad.
Copias de seguridad de la información.
Políticas:
Para todo usuario para la seguridad de su información de los equipos podrán
realizar respaldos de la información de dependiendo de la importancia y
frecuencia del cambio y el personal de soporte deberá configurar un directorio
en la unidad D: donde se realizará el respaldo.
Gestión de la seguridad de las redes.
Controles de la Red.
Políticas:
1. Está prohibido instalar o configurar software de escaneo de la red,
cualquier exploración de los recursos en la red serán considerados como
ataques porque estos programas realizan escaneo vulnerabilidades en los
recursos de la red.
77
2. Se deben realizar escaneo de seguridad por parte del departamento de
tecnologías de la información y comunicación, por lo menos una vez
trimestralmente para poder detectar cualquier vulnerabilidad y subsanarla
a través de las siguientes acciones.
• Rechazar conexiones a servicios comprometidos.
• Permitir cierto tipo de tráfico.
• Ocultar información sobre los dispositivos y cuentas de usuarios
internos.
• Para hacer uso de la red inalámbrica se debe registrar los usuarios
que deseen este servicio y presentando el dispositivo que se conectará
a la red inalámbrica, para así registrar su dirección MAC, se deberá
emplear autenticación tipo WPA”
• No se permite la operación ni instalación de ningún punto de acceso
(Access point) conectados a la red cableada sin la debida autorización
del departamento de Tecnologías de la Información.
3. Es totalmente prohibido configurar tarjetas de red en modo promiscuo o
equipos como puntos de acceso, el departamento de TIC al momento de
identificar este tipo de errores inmediatamente procederá a bloquear el
equipo de la red.
Seguridad de los servicios de Red.
1. Se debe incorporar en los servidores tecnologías de protección como
servicios de firewall, encriptación en la autenticación.
2. Antes de poner cualquier servicio en producción en los servidores se debe
realizar un hardening que incluya medidas de seguridad que
salvaguarden la integridad confidencialidad de la información y su alta
disponibilidad.
3. El acceso remoto de realizarán a través de VPN para tener acceso a ala
red privada.
78
Manipulación de los soportes.
Gestión de soportes extraíbles.
Políticas:
1. Se permite el uso de dispositivos extraíbles de los usuarios tomando en
cuenta las siguientes políticas.
2. En ningún caso está permitido almacenar información de carácter
reservado por perdida del dispositivo en caso de necesitar traslado deberá
pedir asesoramiento de cifrado de esa información por parte del
departamento de TIC de la Uniandes.
3. En caso de los empleados dl departamento de TI puede hacer uso de
medios extraíble siempre y cuando exista orden por escrito del director de
TIC y este dispositivo no puede abandonar las instalaciones de la
Uniandes Extensión Babahoyo.
4. En caso de traslado del dispositivo con información se debe realizar la
cadena de custodia con un empleado del departamento de TIC para evitar
fugas de información.
Retirada de los soportes.
Políticas:
1. Al seleccionar una herramienta de borrado, elegir aquella que permita la
obtención de un documento que identifique claramente que el proceso de
borrado se ha realizado, detallando cuándo y cómo ha sido realizado.
2. En el caso de que la destrucción lógica no se realice correctamente por
fallo del dispositivo, este hecho debe documentarse claramente y utilizar
métodos de destrucción física de dicho soporte, asegurando que se
realice de forma respetuosa con el medio ambiente.
Procedimiento de manipulación de la información.
Políticas:
Se debe incorporar a os usuarios software para cifrar la información
especialmente a los departamentos que tienen información crítica incluyendo la
del departamento de TIC.
79
Seguridad en la documentación del sistema.
Políticas:
La información generada por los sistemas informáticos se deberá tratar como
uso restringido, los accesos a esta deberán ser autorizada por el responsable
del área previa consulta al director de TIC, toda esta información estará ubicada
en el data center para asegurar la disponibilidad al personal autorizado.
Supervisión.
Registros de Auditoría.
Políticas:
Para detectar cualquier tipo de actividad anormal en el procesamiento de la
información se deberá mantener registros de transacciones de las actividades y
eventos de seguridad de la información de los usuarios para investigación de
incidentes.
Supervisión del uso de sistemas y servicios.
Políticas:
Se deberá implementar software que permita registrar la información de los
sistemas y servicios que corren en la red y se deberá la siguiente información.
Usuario, fechas detalles de eventos, los registros de intento de acceso a datos u
otro servicio, inicio y cierre de sesión.
Cambios de configuración en los equipos, uso de privilegios aplicaciones y
archivos accedidos por estos.
Control de Acceso.
Política de control de acceso.
Política:
1. Todos los usuarios con acceso a la red para acceder los servicios tendrán
una única autorización de acceso a través de usuario y password.
2. Para recibir las credenciales de acceso a un equipo y servicios el usuario
deberá firmar un acta aceptando las políticas de seguridad establecidas.
3. La contraseña será de una longitud mínima de 10 caracteres deberá tener
por lo menos una mayúscula números letras minúsculas.
80
4. En caso de usuarios temporales se deberá realizar una solicitud y
aprobados por el director o jefe de área y supervisados por el director de
TIC, se deberá establecer fecha inicial y final con horas y minutos de
acceso.
Gestión de acceso a usuarios.
Registro de Usuario
Política:
1. Para realizar el registro de un usuario se lo deberá realizar a través de
una solicitud dirigida al director de TIC donde se indique los nombres y
apellidos y las acciones que va a realizar en el departamento para
establecer servicios que deben ser accedidos por el usuario.
2. Al entregar el usuario y contraseña, se deberá revisar la firma de
compromisos de confidencialidad y notificación de uso adecuado de
recursos.
3. En caso de que culmine una persona su relación laboral con el Uniandes
Extensión Babahoyo se deberá notificar inmediatamente al departamento
de TI para su baja correspondiente de sus credenciales.
Gestión de privilegios.
Política:
1. Los directores o jefes de áreas deben establecer los privilegios asociados
a cada recurso o software y/o aplicación.
2. Se debe realizar o establecer grupos de usuarios para poder asignar roles
en los servicios para la asignación de privilegios a los recursos.
3. Para las cuentas con rol de administrador serán empleadas
exclusivamente para la administración de recursos y tendrán mayor grado
de complejidad sus contraseñas.
4. El responsable de cuentas de administrador será el director del área de
TIC.
81
Gestión de contraseñas de usuario.
Políticas:
1. Los usuarios tienen total responsabilidad sobre las contraseñas de sus
cuentas y deben cumplir el compromiso de confidencialidad, en el primer
acceso a todos los usuarios creados recientemente deberán cambiar sus
contraseñas.
2. Se le obligará a cada usuario al momento de asignación de contraseña un
grado de complejidad que cumpla con las políticas de asignación de
nuevas contraseñas.
3. Estas contraseñas se almacenarán en forma codificada y en sistemas
informáticos protegidos ejemplo: Active Directory de Windows Server.
4. Para el caso de contraseñas de con privilegios de administrador se
asignará una contraseña con mínimo 14 caracteres de longitud entre
letras mayúsculas y minúsculas, números y caracteres especiales.
Responsabilidades de usuario.
Uso de contraseñas.
Políticas:
1. Todos los usuarios deberán mantener sus contraseñas en secreto.
2. El usuario debe solicitar reinicio de contraseña cuando exista una posible
divulgación de esta.
3. Las contraseñas no deben estar registradas en lugares de fáciles
accesos.
4. Cambiar la contraseña cada vez que el sistema los solicite.
5. Se debe notificar por escrito ante el director de TI cada vez que exista un
indicio de robo de contraseña, para realizar el reinicio inmediato.
Equipo de usuario desatendido.
Políticas:
En todos los equipos de cómputo de establecerá contraseñas al activar el
protector de pantalla cuando exista un determinado tiempo de inactividad.
82
Control de acceso a la red
Identificación de los equipos de las redes.
Políticas:
1. Se debe establecer un esquema de identificación de equipos que se
conecte en la red, esto se lo realizará a través de un software que se a
capaz de brindar esos detalles de identificación.
2. Se debe implementar la autenticación de equipos a través de direcciones
Mac, para que cada equipo este identificado en la red y registrar su
actividad.
3. Todos los nodos de la red deben estar dotado con protecciones físicas.
Protección de los puertos de diagnóstico y configuración remotos.
Políticas:
1. La habilitación de los puertos remotos de los equipos de
telecomunicaciones como de los servicios deberá de ser controlados,
para evitar que se los aproveche como medio de acceso no autorizado
queda prohibido la habilitación de servicios telnet ya que no proporciona
cifrado y su servicio es muy sensible a fallos de seguridad.
2. El director de tecnologías de la información generara acuerdos con el
proveedor de internet, para generar un marco de protección para la
comunicación de los sistemas de diagnóstico remoto.
Control de la conexión a la red.
Políticas:
1. Las carpetas o archivos compartidos de la red serán gestionados, para
que solo puedan acceder los usuarios autorizados para esto se solicitará
autorización al director o jefe del área que pertenece el archivo o carpeta
compartida.
2. Para los equipos de escritorio se establecerá horarios de acceso a los
equipos de acuerdo a la jornada laboral si algún empleado desea laborar
por más periodo de tiempo deberá solicitar la correspondiente
autorización de su director o jefe de área.
83
Control de encaminamiento (routing) de red.
Políticas:
1. En las redes y subredes de la Uniandes extensión Babahoyo se instalarán
controles de ruteo para que las conexiones puedan acceder a recursos
autorizados según al segmento de red que pertenece.
2. Los mecanismos de control de accesos a las redes contemplarán
verificación de dirección de origen y destino y listas de control de acceso.
Control de acceso al sistema operativo.
Políticas:
Se establece que luego de 5 intentos de sesión fallidos el usuario será notificado
y su cuenta bloqueada, para volver a tener acceso deberá solicitar reinicio de
clave al departamento de soporte.
84
CONCLUSIONES Y RECOMENDACIONES.
Conclusiones:
• La implementación del plan de seguridad informático permitiría mejorar
la gestión de información en el departamento TIC.
• El personal que labora en la extensión Babahoyo de la Uniandes no
cuenta con políticas de seguridad, frecuentemente comenten muchas
incoherencias de forma inconsciente y estas pueden perjudicar los
activos de la institución y provocar perdida de información.
• La falta de políticas de seguridad ha permitido que personas ajenas a la
institución acedan a los equipos de cómputo y manipulen la información
sin que nadie se de cuenta ni tome medidas adecuadas para
salvaguardar este activo institucional.
• El plan de seguridad informático implementado en el departamento de
TIC de la Uniandes extensión Babahoyo, reducirá los errores, tiempo y
recurso, para una mejor gestión de la información.
• El plan de seguridad informático instituirá lineamientos que abarquen las
siguientes áreas: Seguridad de la Información, optimización de procesos,
plan de auditoria, plan de archivos, plan de respaldo de la información,
etc.
85
Recomendaciones:
• Implementar evaluaciones periódicas al plan de seguridad informática
para aumentar los controles necesarios y así alcanzar una certificación
de seguridad informática.
• Cuanto se implemente el plan de seguridad informática se debe efectuar
en base a los objetivos y lineamiento de la institución, de tal modo que se
logre evaluar en forma correcta los riesgos de seguridad.
• Mantener actualizado la normativa y los controles de seguridad en la
institución de acuerdo con los avances tecnológicos.
• Establecer compromisos entre el personal administrativo para el
acatamiento de los lineamientos establecidos en el plan de seguridad
informático.
• Generar la documentación completa del plan de seguridad informático
propuesto en este trabajo investigativo, para que de esta manera sirva de
base para el personal que ingresa a trabajar en la institución.
BibliografíaAlonso, V. (1997). Lenguaje e Informacion . Ciene Inform.
BALDWIN A. , D. (1997). The concept of security. Review of International
Studies, 23.
Czinkota , M., & Kotabe , M. (2001). Administración de Mercadotecniav.
International Thomson Editores.
Enciclopedia de Conceptos. (2018). Concepto.de. Obtenido de Concepto.de:
https://concepto.de/dato/
Enciclopedia de Conceptos. (2018). Concepto.de. Obtenido de Enciclopedia de
Conceptos: https://concepto.de/software/
Event Tracker. (s.f.). Obtenido de ISO 27002:
https://www.eventtracker.com/capabilities/compliance/iso-27002/
Evera. (2018). Alta Disponibilidad: Qué es y Cómo se logra. Obtenido de
https://everac99.wordpress.com/2008/08/19/alta-disponibilidad-que-es-y-
como-se-logra/
Fernández, L. G., & Álvarez, A. A. (2012). Guía de aplicación de la Norma
UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para
pymes. academia.edu, 18.
Ferrell , O., & Geoffrey, H. (2004). Introducción a los Negocios en un Mundo
Cambiante. McGraw-Hill Interamericana.
Gehrkea, M., Pfitzmann, A., & Kai, R. (1992). Information Technology Security
Evaluation Criteria (ITSEC) - a Contribution to Vulnerability?
semanticscholar.
Gomez, A. (2011). ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA. RA-
MA EDITORIAL.
Gupta, P. (2005). El portal de ISO 27002. Obtenido de El portal de ISO 27002:
http://www.iso27000.es/iso27002.html
Huerta, A. (30 de Marzo de 2012). Security Artwork. Obtenido de Introducción
al análisis de riesgos – Metodologías (I):
https://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-
riesgos-metodologias-i/
Idalberto, C. (2006). Introducción a la Teoría General de la Administración (Vol.
Septima Edicion). McGraw-Hill Interamericana.
Instituto Nacional de Ciberseguridad. (20 de Marzo de 2017). Amenaza vs
Vulnerabilidad. Obtenido de INCIBE.
ISO 27000.es. (s.f.). Sistema de Gestión de la Seguridad de la Informacion.
Obtenido de http://www.iso27000.es/download/doc_sgsi_all.pdf
ISO Tools. (21 de Mayo de 2015). Sistemas de Gestión de Riesgos y
Seguridad. Obtenido de Software ISO Riesgos y Seguridad:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
ISOTools. (3 de Agosto de 2017). ISOTools. Obtenido de ISOTools:
https://www.eventtracker.com/capabilities/compliance/iso-27002/
ISOTools Excellence. (21 de Mayo de 2015). ISO 27001: ¿Qué significa la
Seguridad de la Información? Obtenido de https://www.pmg-
ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/
Julian Perez Porto y Maria Merino. (2008). Definicion.de. Obtenido de
Definicion.de: https://definicion.de/hardware/
Kimball, R. (26 de Enero de 2011). Cyber Security: The Importance of a
Security Plan. Obtenido de
https://kimball.typepad.com/lrkimball/2011/01/cyber-security-the-
importance-of-a-security-plan.html
Luan, U. N. (s.f.). Amenazas a la Seguridad de la Información. Obtenido de
Amenzas: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
Madrid ORG. (s.f.). Análisis y cuantificación del Riesgo. Obtenido de
http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/p
ages/pdf/metodologia/4AnalisisycuantificaciondelRiesgo%28AR%29_es.
Martagmx. (8 de Noviembre de 2015). Diarium. Obtenido de Diarium:
http://diarium.usal.es/martagmx/2015/11/08/introduccion-a-la-seguridad-
informatica/
Mifsud, E. (26 de Marzo de 2012). MONOGRÁFICO: Introducción a la
seguridad informática. Obtenido de Observatorio Tecnologico:
http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1
Milenium. (2019). Milenium. Obtenido de Mileniun:
https://www.informaticamilenium.com.mx/es/temas/que-es-software.html
Organización Internacional de Normalización, ISO. (2011). Norma ISO 27035.
Obtenido de ecnología de la información - Técnicas de seguridad -
Gestión de incidentes de seguridad de la información:
https://www.iso.org/standard/44379.html
Patricia Dip. (1 de Agosto de 2009). Tecnologia e Informatica . Obtenido de
Tecnologia e Informatica:
http://latecnologiavirtual.blogspot.com/2009/08/datos.html
Perez Porto, J., & Merino, M. (2010). Definicion.De. Obtenido de
Vulnerabilidades: https://definicion.de/vulnerabilidad/
Pérez-Montoro, M. (2009). Information Management. Business Informatics,
Bussiness Management, Information Society, TIC.
Ponjuán Dante, G. (2011). La gestión de información y sus modelos
representativos. Valoraciones. Ciencias de la Información, 8.
Rouse, M. (s.f.). Data Availability. Obtenido de Search Storage:
https://searchstorage.techtarget.com/definition/data-availability
Rouse, M. (s.f.). ISO 27002 (International Organization for Standardization
27002). Obtenido de
https://searchcompliance.techtarget.com/definition/ISO-27002-
International-Organization-for-Standardization-27002
SURA, A. d. (2011). Glosario de Terminos. Medellin.
TBS. (2008). Every company needs to have a security program. Obtenido de
https://www.appliedtrust.com/resources/security/every-company-needs-
to-have-a-security-program
Universidad Nacional de Lujan. (2008). Reporte de Incidente de Seguridad de
la Informacion. Obtenido de UNLU:
http://www.unlu.edu.ar/doc/seginfo/Como_reportar_un_incidente_de_SI.
Valencia, E. d. (21 de Marzo de 2018). VIU. Obtenido de VIU:
https://www.universidadviu.com/crear-plan-seguridad-informatica-
facilmente/
ANEXOS.
Data center deUNIANDES.
Extintores en el Centro de Cómputo.
Alarma contra incendios
Cámaras de seguridad en el interior del Data Center y en el exterior.
Rack de Backbone de fibra y Enlace de Radio provisto de armario con puerta conllave.
.
Rack del Laboratorio 1
Rack del Laboratorio 3
Rack de Sala Docentes 1
Oficinas de Soporte TI destinada para actividades, como: Soporte, Desarrollo.
Aulas Virtuales de la UNIANDES.
UTM FORTINET.
Controles Fortinet sobre Ancho de Banda.
Configuración de las Vlan y Segmentos de red en Fortinet