UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/6508/1/PIUAMIE007-201… · PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL ... son absolutamente

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL

PROYECTO DE INVESTIGACIÓN PREVIA LA OBTENCIÓN DEL GRADO

ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL

TEMA:

“PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001

PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE

PASTAZA”

AUTOR: AGUILAR CARRIÓN MANUEL RODRIGO

ASESORES: ING. FERNÁNDEZ VILLACRÉS GUSTAVO EDUARDO, MSC.

ING. MARTÍNEZ CAMPAÑA CARLOS EDUARDO, MSC

AMBATO – ECUADOR

2017

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quienes suscriben, legalmente CERTIFICAN QUE: El presente trabajo de titulación

realizado por el Señor Manuel Rodrigo Aguilar Carrión, estudiante del programa de

Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, con el tema

“PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001

PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE

PASTAZA” ha sido prolijamente revisado, y cumple con todos los requisitos

establecidos en la normativa pertinente de la Universidad Regional Autónoma de los

Andes – UNIANDES, por lo que aprueba su presentación.

Ambato, Junio de 2017

Ing. Gustavo Eduardo Fernández V., Msc.

TUTOR

Ing. Carlos Eduardo Martínez C., Msc.

TUTOR

DECLARACIÓN DE AUTENTICIDAD

Yo, Manuel Rodrigo Aguilar Carrión, estudiante del programa de Maestría en

Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos los

resultados obtenidos en el presente trabajo de investigación, previo a la obtención del

grado académico de MAGISTER EN INFORMÁTICA EMPRESARIAL, son

absolutamente originales, auténticos y personales; a excepción de las citas, por lo que

son de mi exclusiva responsabilidad.

Ambato, marzo de 2017

Ing. Manuel Rodrigo Aguilar Carrión

CI: 1600148991

AUTOR

DERECHOS DE AUTOR

Yo, AGUILAR CARRIÓN MANUEL RODRIGO, declaro que conozco y acepto la

disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional

Autónoma de los Andes, que en su parte pertinente textualmente dice: El Patrimonio

de la UNIANDES, está constituido por: La propiedad intelectual sobre la

Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría

que se realice en la Universidad o por cuenta de ella.

Ambato, Junio del 2017

Ing. Manuel Rodrigo Aguilar Carrión

CI: 1600148991

AUTOR

DEDICATORIA

A Dios, por darme la oportunidad de vivir y por estar conmigo en cada paso que doy,

por fortalecer mi corazón e iluminar mi mente y por haber puesto en mi camino a

aquellas personas que han sido mi soporte y compañía durante todo el periodo de

estudio.

A mi esposa Amparito, a mi hija Daniela Lizeth por darme aliento y soportarme largos

días fuera de casa, y demostrarme que siempre han creído en mí, porque siempre me

apoyaron para continuar en esta nueva tarea.

A todos aquellos familiares y amigos que siempre estuvieron a mí lado durante estos

dos años de estudio

Rodrigo.

RESUMEN

La información que forma parte de un gobierno seccional, se la considera el activo

más valioso para su correcto desempeño dentro de la política pública y su relación con

los conciudadanos en este nuevo siglo, porque ésta será elemento fundamental en el

cumplimiento de sus objetivos, es por ello que, resguardar todo tipo de Información de

cualquier posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos,

puede significar un respaldo para el normal desarrollo de sus actividades.

Sin embargo, pese a la falta de conocimiento sobre cómo protegerla adecuadamente,

o debido a la complejidad de las normas internacionales que indican los

procedimientos para lograr un adecuado nivel de protección, muchas organizaciones,

en especial el sector de los Gobiernos Locales, no logra alcanzar este objetivo. Por lo

tanto, este estudio propone una forma de aplicar la seguridad de la información para la

gestión de riesgo informático aplicable al entorno de pequeñas y medianas empresas

como a los gobiernos seccionales del Ecuador. Para el efecto, se utilizó la herramienta

proporcionada por Microsoft denominada Herramienta de Evaluación de Seguridad de

Microsoft (MSAT).

Esta herramienta es internacionalmente utilizada en la gestión del riesgo de la

información, concomitante a los parámetros de referencia de la norma: ISO 27001,

27002 y 27005, con los informes resultantes de esta herramienta, se generó el Plan de

Seguridad de la Información, que deberá ser aplicado para mejorar los controles

internos del Gobierno Seccional en lo relacionado a seguridad informática.

Palabras clave: riesgos, gestión, Seguridad de la Información, Seguridad Informática.

ABSTRACT

Information which takes part in sectional governments has been considered as an

essential asset on due diligence from public politics since it has got a close relationship

with citizen actions of this new century due to the fact that the mentioned information

can be safeguarded. Unfortunately, data misusage, data alteration, and information

loss cause problems when gathering data.

Despite, the lack of knowledge on protecting information as well as applying

international regulations in terms of achieving proper levels of accomplishment, many

organizations such as public institutions (Gobiernos Locales) have not reached their

objectives. Therefore, the objective of this research is to apply information safeguard

on computing risk management at small and medium-sized enterprises (Gobiernos

Seccionales del Ecuador). It is important to mention that Microsoft safety assessment

(MSAT) was used as a tool in the current research.

In Addition, this tool is used on information risk management processes; it has also a

relationship with ISO 27001, 27002 and 27005. Consequently, an Information

Safeguard Plan was created in order to improve internal environments at Gobiernos

Seccionales.

Key Words: Risks, management, information safeguard, computer security.

ÍNDICE GENERAL

PORTADA

APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN

DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTOR

DEDICATORIA

RESUMEN

ABSTRACT

ÍNDICE GENERAL

ÍNDICE DE TABLAS.

ÍNDICE DE FIGURAS.

Antecedentes

Introducción .................................................................................................................. 1

Antecedentes de la Investigación ................................................................................. 1

Situación Problémica .................................................................................................... 1

Problema científico ....................................................................................................... 3

Delimitación del problema. ............................................................................................ 3

Objeto de investigación. ................................................................................................ 3

Campo de acción. ......................................................................................................... 3

Identificación de la Línea de Investigación. ................................................................... 3

Objetivo ........................................................................................................................ 3

General ......................................................................................................................... 3

Específicos ................................................................................................................... 4

Idea a Defender ............................................................................................................ 4

Justificación del tema .................................................................................................... 4

CAPITULO I. ................................................................................................................. 6

MARCO TEÓRICO ....................................................................................................... 6

1.1 Origen y evolución de la Seguridad Informática. ................................................ 6

1.1.1. Importancia de la Seguridad Informática ..................................................... 7

1.1.2. Los Principios de la Seguridad Informática .................................................. 7

1.1.2.1. Confidencialidad .................................................................................. 8

1.1.2.2. Autenticación ....................................................................................... 8

1.1.2.3. Integridad ............................................................................................. 8

1.1.2.4. Disponibilidad ....................................................................................... 8

1.1.3. Áreas que se debe proteger. ....................................................................... 9

1.1.4. Política De Seguridad Informática ............................................................. 10

1.1.4.1. Elementos de una Política de Seguridad Informática ......................... 10

1.1.5. Plan de Seguridad Informática .................................................................. 12

1.1.6. Amenaza a la seguridad de la Información. ............................................... 12

1.1.6.1. Tipos de Amenazas. .......................................................................... 12

1.1.7. Sistema de Gestión de la Seguridad de la Información. ............................ 13

1.1.8. Estándares de la Gestión de la Seguridad de la Información. ................... 14

1.1.8.1. Normas ISO ....................................................................................... 14

1.1.8.2. Organización ISO ............................................................................... 14

1.1.8.3. Serie ISO 27000 ................................................................................ 14

1.1.8.4. Evolución de la norma ISO 27000 ...................................................... 15

1.1.8.5. Estándar de Seguridad ISO 27001 ..................................................... 17

1.1.9. Seguridad de la información ...................................................................... 17

1.1.9.1. Necesita seguridad de la información ................................................. 18

1.1.10. Políticas de seguridad. .............................................................................. 18

1.1.11. Seguridad de la información. ..................................................................... 19

1.1.11.1. Amenazas a la Información ................................................................ 20

1.1.12. Activos. ..................................................................................................... 21

1.1.13. Utilización adecuada de los activos ........................................................... 22

1.1.14. Seguridad de los activos. .......................................................................... 23

1.1.15. Clasificación de seguridad ........................................................................ 23

1.1.15.1. Amenazas Físicas. ............................................................................... 24

1.1.15.2. Amenazas Lógicas: .............................................................................. 24

1.1.15.3. Amenazas provocadas por las personas. ............................................ 25

1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad

Informática. ............................................................................................................. 26

1.1.16.1 Plan.................................................................................................... 27

1.1.16.2 Desarrollar ......................................................................................... 27

1.1.16.3 Check/Evaluación .............................................................................. 27

1.1.16.4 El Apalancamiento/Set/Ley ................................................................ 27

1.1.17 La norma ISO EIC 27005. ......................................................................... 28

1.1.18 Objeto Y Campo De Aplicación ................................................................. 28

1.1.19 Términos Y Definiciones ........................................................................... 28

1.1.20 Estructura De Esta Norma ........................................................................ 30

1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática. ........ 32

1.3 Valoración crítica. ............................................................................................. 32

1.4 Conclusiones parciales del capítulo. ................................................................ 33

CAPITULO II ............................................................................................................... 34

MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA .................... 34

2.1 Caracterización del sector. ................................................................................. 34

2.1.1 GAD Cantonal de Pastaza. .......................................................................... 34

2.1.1.1 Organigrama Estructural .................................................................... 34

2.1.1.2 Políticas Generales de Acción............................................................ 35

2.1.1.3 Objetivos Estratégicos ....................................................................... 36

2.1.1.4 MISIÓN .............................................................................................. 37

2.1.1.5 VISIÓN ............................................................................................... 37

2.2 Descripción del Procedimiento Metodológico. .................................................. 38

2.2.1 Modalidad de Investigación ....................................................................... 38

2.2.1.1 Cualitativa ................................................................................................ 38

2.2.1.2 Cuantitativa. ....................................................................................... 38

2.2.2 Tipos de Investigación. .............................................................................. 39

2.2.2.1 Investigación Bibliográfica .................................................................. 39

2.2.2.2 Investigación de Campo ..................................................................... 39

2.2.3 Métodos de Investigación .......................................................................... 39

2.2.3.1 Método Inductivo/Deductivo ............................................................... 39

2.2.4 Técnicas de Investigación ......................................................................... 39

2.2.4.1 La Entrevista. ..................................................................................... 39

2.2.4.2 La Encuesta ....................................................................................... 39

2.2.4.3 Observación ....................................................................................... 40

2.2.5 Instrumentos de Investigación. .................................................................. 40

2.2.6 Población y Muestra. ................................................................................. 40

2.2.6.1 Población. .......................................................................................... 40

2.2.6.2 Muestra. ............................................................................................. 41

2.2.7 Análisis e Interpretación de Resultados. ................................................... 42

2.2.8 Análisis de la entrevista al Ing. Adrián Pacheco Director del departamento

de TIC´s………… .................................................................................................... 52

2.3 Propuesta del investigador ............................................................................... 53

2.4 Conclusiones parciales del capítulo. ................................................................ 53

CAPITULO III. ............................................................................................................. 54

MARCO PROPOSITIVO ............................................................................................. 54

3.1 Tema ................................................................................................................ 54

3.1.1 Objetivos de la Propuesta. ........................................................................ 54

3.1.1.1 Objetivo General. ............................................................................... 54

3.1.1.2 Objetivos Específicos. ........................................................................ 54

3.1.1.3 Descripción de la Propuesta .............................................................. 54

3.2 Dominios de la norma ISO 27001. .................................................................... 55

3.3 Análisis de la Situación Actual .......................................................................... 56

3.3.1 Análisis FODA de la Institución. ................................................................ 56

3.3.2 Evaluación de la Situación Actual.............................................................. 58

3.3.3 Evaluación general .................................................................................... 59

3.3.4 Perfil de riesgos para la empresa vs Índice de defensa en profundidad

Informe resumido ................................................................................................. 59

3.3.4.1 Madurez de la seguridad .................................................................... 59

3.3.5 Iniciativas de seguridad ............................................................................. 62

3.4 PDCA Ciclo Miding ........................................................................................... 63

3.4.1 Alcance del SGSI: ..................................................................................... 63

3.4.2 Políticas Generales ................................................................................... 64

3.4.3 Metodología para evaluación de riesgos ................................................... 65

3.4.4 Identificación y evaluación de activos. ....................................................... 65

3.4.4.1 Identificación de activos informáticos .............................................. 65

3.4.5 Identificación de amenazas a los activos de información. ......................... 76

3.4.6 Ponderación del Impacto de materializarse la amenaza. ........................... 78

3.4.6.1 Tasación de la probabilidad de que la amenaza explote la

vulnerabilidad. .................................................................................................... 81

3.4.7 Análisis y Evaluación del Riesgo .............................................................. 81

3.4.7.1 Opciones para el tratamiento del riesgo ............................................. 85

3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza ................. 100

3.5 Conclusiones parciales del capítulo. .............................................................. 112

CONCLUSIONES GENERALES............................................................................... 113

RECOMENDACIONES ............................................................................................. 113

REFERENCIAS BIBLIOGRÁFICAS. ......................................................................... 114

ÍNDICE DE TABLAS.

Tabla 1 Población de la Investigación. ................................................................... 40

Tabla 2 Encuesta a Empleados. ............................................................................ 42










Tabla 12 Matriz del análisis FODA ........................................................................... 57

Tabla 13 Iniciativas de seguridad ............................................................................. 62

Tabla 14 Servidor Administrativo. ............................................................................ 66

Tabla 15 Servidor de Sistema de Información Geográfica. ...................................... 67

Tabla 16 Servidor web.......................................................................................... 68

Tabla 17 Detalle servidor de archivos. .................................................................. 69

Tabla 18 Equipos en las Diferentes Oficinas y Departamentos ............................ 70

Tabla 19 Tiempo de vida de los equipos .............................................................. 71

Tabla 20 Equipos Conectados y fuera de Red. .................................................... 72

Tabla 21 Caracteristica de Procesadores ............................................................. 73

Tabla 22 Equipos en res y fuera de red ................................................................ 74

Tabla 23. Ponderación para valorar los activos ..................................................... 75

Tabla 24. Tasación de activos ............................................................................. 75

Tabla 25 Amenazas de los activos ....................................................................... 77

Tabla 26 Ponderación del impacto en caso de materializarse la amenaza ...... 78

Tabla 27 Vulnerabilidades encontradas ................................................................ 79

Tabla 28 Probabilidad de que explote una amenaza ............................................ 81

Tabla 29 Calificación del riesgo. ........................................................................... 82

Tabla 30 Mapeo de controles seleccionados ........................................................... 86

ÍNDICE DE FIGURAS.

Figura 1 Familia de la serie 27000 ....................................................................... 15

Figura 2 Objetivos de la Norma ISO 27001 ........................................................... 17

Figura 3 Ciclo de vida de los documentos. ............................................................ 19

Figura 4 Ataques contra la seguridad de la información .......................................... 20

Figura 5 Modelo PHVA aplicado a los procesos del SGSI ..................................... 26

Figura 6 Proceso de gestión del riesgo en la seguridad de la información .............. 31

Figura 7 Orgánico Estructural ................................................................................. 34

Figura 8 Encuesta a empleados .............................................................................. 42

Figura 9 Encuesta a empleados .............................................................................. 43

Figura 10 Encuesta a empleados. ......................................................................... 44

Figura 11 Encuesta a empleados .......................................................................... 45







Figura 18 Distribución de defensa de riesgos ........................................................ 59

Figura 19 Tarjeta de puntuación de la evaluación de riesgos herramienta MSAT .. 61

Figura 20 PDCA Proceso Miding. .......................................................................... 63

Figura 21 Tiempo de vida de los equipos. ............................................................. 71

Figura 22 Equipos en res y fuera de red ................................................................ 72

Figura 23 Equipos en res y fuera de red ................................................................ 73

Figura 24 Utilización de Sistemas Operativos. ....................................................... 74

1

Introducción

Antecedentes de la Investigación

En una investigación preliminar, llevada a cabo en el repositorio de Uniandes se ha

encontrado el trabajo de titulación a nivel de grado del Sr. Rigoberto Gonzalo Ñauta

Benavides presentada en el año 2015 en Uniandes Ibarra con el tema “Plan de

seguridad Informática para mejorar la gestión de la Información en la Sociedad

financiera VISIONFUND-FODEMI de la ciudad de Ibarra” en la cual se hace énfasis en

la importancia de la seguridad para prevenir cualquier daño accidental o intencionado,

como también estar preparados para una auditoría informática, considerando el

estándar ISO-IEC 27002 como norma establecida para implementar un plan de

seguridad informática.

Investigando en los repositorios digitales de varias universidades del país, se ha

encontrado la tesis de la Sta. Verónica Chamorro Alvarado, presentada en enero del

2013, en la Escuela Politécnica Nacional con el tema “Plan de seguridad de la

información basada en el estándar ISO 13335 aplicada a un caso de estudio”, este

plan está orientado a brindar seguridad a la información de una empresa mediana de

desarrollo de software.

Revisando la información de repositorios de universidades de otros países se ha

encontrado la tesis para obtener el grado de Magister de la Sta. Ing. Arelys Altagracia

López M. presentada en junio del 2011 en la UNIVERSIDAD CENTROCCIDENTAL

LISANDRO ALVARADO” de Barquisimeto, Venezuela con el tema “Diseño de un Plan

de Gestión de Seguridad de la Información, caso: Dirección de Informática de la

Alcaldía del Municipio Jiménez del Estado Lara”, en el cual se puntualiza la

importancia de diseñar un Plan de Gestión de Seguridad de la Información dentro del

marco de la norma ISO/IEC 27000, conllevando a la confidencialidad, accesibilidad y

seguridad de la información.

Situación Problémica

La época actual, está caracterizada por la celeridad de las acciones y

consecuentemente los usuarios externos o internos de cualquier empresa sea de

bienes o servicios, publica o privada esperan esa forma de actuar, es decir que para

2

todo cliente la rapidez en la atención es un sinónimo de buen servicio. Para lo cual, las

empresas e instituciones públicas deben contar con instrumentos que mejoran la

gestión dentro de la institución, permitiendo dar solución inmediata a una situación

emergente presentada.

El cantón Pastaza se halla ubicado en la zona central de la región oriental del país, en

la cual se encuentra el Gobierno Autónomo Descentralizado Cantonal de Pastaza que

ofrece servicios públicos a la ciudadanía de la cabecera cantonal y parroquias

aledañas, el cual tienen la predisposición de mejorar el nivel de vida de los

conciudadanos según lo estipula el Suma Kausay.

En varias de las visitas realizadas a la Institución, se han podido apreciar algunas

dificultades relacionadas con el área Informática como, por ejemplo:

• La conectividad a los diferentes dispositivos Wireless se saturan con prontitud

debido a la cantidad de conexiones que utilizan los usuarios internos con los

diferentes dispositivos.

• La Institución ha aplicado limitadas normas inherentes a la seguridad informática,

esto nos determina que poco se hace por implementar políticas que permitan

proteger los datos y la información.

• Los equipos informáticos de la institución están siendo utilizados por los diferentes

departamentos sin el debido control de los funcionarios de las TIC´s.

• No cuenta con planes de contingencia para eventuales problemas surgidos de las

situaciones climatológicas, las cuales afectan directamente a los equipos

tecnológicos.

• En diferentes ocasiones se ha suspendidos los servicios de atención al público

debido al corte de energía eléctrica.

• Las políticas de seguridad implementadas por el departamento de TIC´s no se

rigen a ningún estándar.

• No existe seguridad en el área determinada para los servidores ni en los puestos

de trabajo.

3

De todo lo mencionado anteriormente se puede deducir que, la institución tiene un

problema relacionado con el área tecnológica en lo que tiene que ver con la seguridad

de la información y activos que se utilizan y almacenan en la institución, la cual incide

directamente en el servicio brindado a la ciudadanía y en el aprovechamiento

adecuado de estos recursos.

Problema científico

¿Cómo proteger los activos y la información del GAD cantonal de Pastaza?

Delimitación del problema.

El presente trabajo de investigación se lo realizó en Puyo provincia de Pastaza, en el

GAD cantonal de Pastaza con la información obtenida del año 2016-2017.

Objeto de investigación.

Procesos Informáticos.

Campo de acción.

Seguridad Informática

Identificación de la Línea de Investigación.

Tecnologías de Información y Comunicaciones.

Objetivo

General

Realizar un plan de seguridad Informática Basado en estándar ISO-IEC 27001 para

proteger la información y activos del GAD Cantonal de Pastaza.

4

Específicos

• Fundamentar científicamente el plan de seguridad informática, sus herramientas y

la protección de activos e información.

• Diagnosticar la situación actual del área informática del GAD Cantonal de Pastaza

para conocer sus fortalezas y debilidades.

• Delinear un plan de seguridad que permitan mejorar la seguridad de activos e

información del GAD cantonal de Pastaza.

Idea a Defender

Con el diseño de un plan de seguridad informática se incentivará al mejoramiento de la

seguridad de activos e información del GAD cantonal de Pastaza.

Justificación del tema

La seguridad informática ha tomado gran importancia a nivel mundial, su impulso se

debe a la necesidad de proteger la información y los activos de las empresas

instaurando políticas precisas y claras para establecer los requisitos de seguridad que

se deben mantener, desplegando un conjunto de normas que sinteticen como se

gestionara la protección del negocio.

El continuo adelanto y desarrollo de las tecnologías de información y comunicación,

que han venido a la par con los ataques cibernéticos en las organizaciones, ponen de

manifiesto la necesidad de adoptar políticas que permitan resguardas a las empresas

e instituciones ante las amenazas a los activos informáticos y especialmente a su

información.

A nivel mundial, nacional o local nadie escapa de esta problemática ya que

continuamente se ha vulnerado la seguridad de los usuarios que utilizan los sistemas

informáticos, las tarjetas de crédito o cajeros automáticos clonando sus datos y

causando perjuicio económico a él y a las empresas financieras; además utilizando

algunos softwares malintencionados se pueden hackear las redes e infringir en la

confidencialidad de la información.

5

Tomando en consideración estos elementos, se hace imprescindible diseñar un

sistema de seguridad Informática que permita salvaguardar los recursos informáticos

del GAD Cantonal de Pastaza, ayudando de esta manera a la organización a cumplir

sus objetivos y garantizar la confidencialidad, integridad y disponibilidad de la

información.

El presente trabajo de investigación tiene como objetivo principal brindar al GAD

Cantonal de Pastaza directrices y políticas de seguridad que pueden ser

implementadas por el Departamento de Gestión de las Tics tanto a los activos como a

la información, logrando con ello proteger de manera adecuada el activo más preciado

del Gobierno Local y se podrá cumplir con las premisas de la seguridad informática

como son: disponibilidad, confiabilidad e integridad de la información para poder

brindar un mejor servicio a los usuarios internos y externos del cantón y demás

organismos que lo requieran.

6

CAPITULO I.

MARCO TEÓRICO

1.1 Origen y evolución de la Seguridad Informática.

La seguridad informática toma vigencia desde el aparecimiento de las redes de

comunicaciones, en principio como una forma de tener confidencialidad e integridad de

la información que se transmite en las redes. En el año 1972 comienza a aparecer de

repente en las pantallas de las computadoras IBM 360 un mensaje: “I’m a creeper…

catch me if you can” (Soy una enredadera. ¡Atrápame si puedes!), al principio dejo

desconcertadas a las personas que trabajaban y se lo llego a considerar como el

primer programa introducido ilegalmente en los equipos, este hecho se le atribuye a

Robert Thomas Morris y posteriormente se lo conoció como virus informático; este

mítico virus dio origen lógicamente al primer programa antivirus llamado “Reaper”

(segadora) (Maldonado, 2006) , con el cual se logró erradicar el código de los equipos

informáticos.

En las últimas décadas, con el avance vertiginoso de las tecnologías de la información

y la comunicación, ha aumentado considerablemente la inseguridad de la información,

donde las empresas públicas y privadas invierten grandes cantidades de dinero en

investigaciones de seguridad para proteger la razón de ser, que es su información.

“Todas las empresas grandes y pequeñas realizan una inversión en seguridad. Según

la última encuesta del CSI/FBI realizada en EE.UU. sobre seguridad y crimen

informático correspondiente al año 2003, el 99% de las empresas utilizan antivirus y el

98% también cortafuegos. Por tanto, todas son conscientes de amenazas frente a las

que hay que protegerse” (Alvares & Perez, 2004).

“El objetivo de la seguridad informática será mantener la Integridad, Disponibilidad,

Privacidad (sus aspectos fundamentales), Control y Autenticidad de la información

manejada por computadora” (Aldegani, 2004).

La seguridad Informática no solo debe encargarse de los posibles fallos

desaprensivos, sino que también debe tener en cuenta los errores que se pudieran

generar por el mal funcionamiento del hardware, así como prevenir acciones

involuntarias que puedan afectar la seguridad de la información que se encuentre

7

contenida en los sistemas. La seguridad informática también ha pasado de utilizarse

para preservar los datos clasificados del gobierno en cuestiones militares a tener una

aplicación de dimensiones inimaginables y crecientes que incluyen transacciones

financieras, acuerdos contractuales, información personal, archivos médicos, negocios

por internet y más. (Areito, 2008)

1.1.1. Importancia de la Seguridad Informática

“La Seguridad Informática es un concepto de Seguridad que nació en la época en la

que no existían las redes de banda ancha, los teléfonos móviles o los servicios de

internet como las redes sociales o las tiendas virtuales. Es por ello que la Seguridad

Informática suele hacer un especial énfasis en proteger los sistemas, es decir, los

ordenadores, las redes y el resto de infraestructuras de nuestra organización. La

Seguridad Informática es un concepto fundamentalmente técnico” (Nando, Seguridad

en Sistemas de Seguridad, 2010).

Según la Norma UNE-ISO/IEC 27001, “Un Sistema de Gestión de Seguridad de la

Información (SGSI), es una parte del sistema de gestión general, basada en un

enfoque de riesgo empresarial, que se establece para crear, implementar, operar,

supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa

que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el

control sobre lo que sucede en los sistemas de información y sobre la propia

información que se maneja en la organización. Nos permitirá conocer mejor nuestra

organización, cómo funciona y qué podemos hacer para que la situación mejore”.

Si a la seguridad Informática la miramos desde esta óptica, comprenderemos la gran

importancia que tiene dentro de cualquier empresa, sea esta pública o privada, porque

a través de ella podemos resguardar lo más preciado y vulnerable que es su

información.

1.1.2. Los Principios de la Seguridad Informática

Una organización debe entender a la Seguridad Informática como un proceso y no

como un producto que se pueda “comprar” o “instalar”. Se trata, por lo tanto, de un

ciclo iterativo, en el que se incluyen actividades como la valoración de riesgos,

prevención, detección y respuesta ante incidentes de seguridad.

8

Para poder alcanzar las actividades descritas en el apartado anterior, dentro del

proceso de gestión de la seguridad informática es necesario contemplar una serie de

servicios o funciones de seguridad de la información:

1.1.2.1. Confidencialidad

Se trata de la cualidad que debe poseer un documento o archivo para que este sólo se

entienda de manera comprensible o sea leído por la persona o sistema que esté

autorizado.

De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y

sólo si puede ser comprendido por la persona o entidad a quien va dirigida o esté

autorizada. En el caso de un mensaje esto evita que exista una intercepción de éste y

que pueda ser leído por una persona no autorizada (Costas Santos, 2014)

1.1.2.2. Autenticación

La autenticación es la situación en la cual se puede verificar que un documento ha

sido elaborado (o pertenece) a quien el documento dice. Aplicado a la verificación de

la identidad de un usuario, la autenticación se produce cuando el usuario puede

aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a

partir de ese momento se considera un usuario autorizado. La autenticación en los

sistemas informáticos habitualmente se realiza mediante un usuario o login y una

contraseña o pasword (Costas Santos, 2014).

1.1.2.3. Integridad

La Integridad de la Información es la característica que hace posible garantizar su

exactitud y confiabilidad, velando por que su contenido permanezca inalterado a

menos que sea modificado por personal autorizado, de modo autorizado y mediante

procesos autorizados. A su vez, es de suma importancia que esta modificación sea

registrada para posteriores controles o auditorias (Nando, 2010).

1.1.2.4. Disponibilidad

La definiremos como la capacidad de garantizar que tanto el sistema como los datos

van a estar disponibles al usuario en todo momento.

9

Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa

encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo

consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible

para sus usuarios (Ruano, Saiz Herrero, Fernández Álvarez, & Fernández Aranda,

2010).

1.1.3. Áreas que se debe proteger.

Las principales áreas que se deben proteger según las necesidades son las

siguientes:

• Política de Seguridad de la Información.

• Organización de la Seguridad de la Información.

• Gestión de Activos de Información.

• Seguridad de los Recursos Humanos.

• Seguridad Física y Ambiental.

• Gestión de las Comunicaciones y Operaciones.

• Control de Accesos.

• Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

• Gestión de Incidentes en la Seguridad de la Información.

• Gestión de Continuidad del Negocio.

• Marco Legal, y Buenas Prácticas. (ISO 27000)

10

1.1.4. Política De Seguridad Informática

Son una forma de comunicación con el personal, ya que las mismas constituyen un

canal formal de actuación, en relación con los recursos y servicios informáticos de la

organización. Estas a su vez establecen las reglas y procedimientos que regulan la

forma en que una organización previene, protege y maneja los riesgos de diferentes

datos, sin importar el origen de estos (Arrieta, 2011).

1.1.4.1. Elementos de una Política de Seguridad Informática

Entre los elementos de las políticas de seguridad se puede enumerar los siguientes:

a. Alcance y ámbito de la Política de Seguridad: En este punto se debe detallar si

la política es global, para toda la empresa, o si está delimitada para determinados

departamentos o personas.

b. Responsabilidades y Organización de la Seguridad de la Información: Se

establecerá una estructura de responsables para la toma de decisiones respecto a

inversiones, seguimiento y aseguramiento del cumplimiento de lo recogido en las

políticas. Así mismo, puede establecerse la composición de un Comité para la

toma de decisiones conjuntas en materia de seguridad.

c. Control de la información: Se indicarán las pautas para asegurar el buen uso de

la información. Una buena práctica puede ser establecer una guía de clasificación

de la información en función de su contenido y/o grado de confidencialidad. A cada

nivel (por ejemplo: información de uso interno, confidencial, reservada), se le

dotarán de diferentes medidas de seguridad en cada una de sus fases de

tratamiento (creación, distribución, eliminación…)

d. Seguridad del personal: Se especificarán las medidas de seguridad a tomar en

relación al personal de la organización desde su incorporación en la que deberían

firmarse acuerdos y cláusulas de confidencialidad, uso de los sistemas, etc,

pasando por su permanencia en la empresa, en la que deberá establecerse un

programa de formación y concienciación en Seguridad de la Información hasta la

finalización de la relación laboral donde se detallarán las medidas para asegurar la

devolución del equipamiento (móviles, portátiles, entre otros) que hayan sido

11

cedidos al empleado para su desarrollo de actividades en la empresa y la

eliminación de autorizaciones de acceso.

e. Seguridad física: Hablar de seguridad informática no es solo hablar de un hacker

o de un PC que ha perdido los datos, debemos de tomar medidas para asegurar

que, físicamente, nuestros equipos de procesamiento de datos están protegidos

contra fuego, inundación o robo.

f. Seguridad en las comunicaciones: Se trata de un apartado meramente técnico y

orientado al equipamiento informático, en el deberá recogerse los mecanismos

para el control de código malicioso (por ejemplo, los PCs deberán contar con un

antivirus actualizado), la estrategia a seguir para la gestión de copias de seguridad

o el uso que los empleados pueden hacer de Internet o del correo electrónico

corporativo.

g. Control de los accesos a los sistemas de información: Este punto debiera

especificar cómo debe ser la política de asignación de privilegios y gestión de

usuarios orientado a evitar el acceso no autorizado a los sistemas y activos de

información. No todos los empleados deben tener acceso a toda la información y,

este es el punto, en el que debe especificarse cuál es el principio en el que se

basará la asignación de privilegios. Un ejemplo es establecer los mismos en base

al principio de “necesidad de conocer”, es decir, nadie debe tener acceso a aquello

que no deba conocer para ejecutar su actividad.

h. Mantenimiento de las aplicaciones: Deberá recoger cómo será la estrategia para

mantener las aplicaciones, como se asegurará que los PCs son actualizados, con

qué periodicidad, entre otros.

i. Continuidad del negocio: ¿Ha pensado alguna vez en qué pasaría si su oficina

saliese ardiendo? A menudo, no somos conscientes de las amenazas que nos

rodean hasta que nos damos cuenta…y desgraciadamente, suele ser demasiado

tarde. En la política de seguridad deben recogerse qué medidas deben tomarse

para asegurar que un “accidente” no paraliza nuestro negocio. Es muy importante

tener en cuenta que la política de seguridad es una “declaración de principios” y,

por lo tanto, es la guía sobre la que se cimentarán los principios para asegurar la

Seguridad de la Información de nuestras organizaciones. (Forum, s/f)

12

1.1.5. Plan de Seguridad Informática

Para el autor (García, 2011), es el manual elemental que determina los principios

organizativos y funcionales de la actividad de Seguridad Informática en una

organización y captara abiertamente las políticas de seguridad y las responsabilidades

de cada uno de los involucrados en el proceso informático, así como las medidas y

procedimientos que permitan prevenir, detectar y responder a las amenazas que

gravitan sobre el mismo, al ser una política de seguridad esta debe guiar en las

decisiones que se toman en relación con la seguridad informática, también se necesita

la disposición de todos los miembros de la empresa para lograr una visión conjunta de

lo que se considera relevante.

1.1.6. Amenaza a la seguridad de la Información.

Se puede definir como amenaza a todo elemento o acción capaz de atentar contra

la seguridad de la información. Las amenazas surgen a partir de la existencia de

vulnerabilidades, es decir que una amenaza sólo puede existir si existe

una vulnerabilidad que pueda ser aprovechada, e independientemente de que se

comprometa o no la seguridad de un sistema de información.

Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas

de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso

de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado

en los últimos años el aumento de amenazas intencionales (Universidad Nacional de

Luján, s/f).

1.1.6.1. Tipos de Amenazas.

Las amenazas a un sistema informático pueden provenir desde un hacker

remoto que entra en nuestro sistema con un troyano, pasando por un programa

descargado gratuito que nos ayuda a gestionar nuestras fotos, pero que supone

una puerta trasera a nuestro sistema permitiendo la entrada a espías, hasta

la entrada no deseada al sistema mediante una contraseña de bajo nivel de

seguridad. Se pueden clasificar por tanto en amenazas provocadas por:

• Personas.

13

• Amenazas lógicas.

• Amenazas físicas (Costas Santos, 2014).

Personas. No podernos engañarnos: la mayoría de ataques a nuestro sistema van a

provenir en última instancia de personas que, intencionada o inintencionadamente,

pueden causarnos enormes pérdidas. Generalmente se tratará de piratas que intentan

conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) de

los riesgos lógicos de los que hablaremos a continuación, especialmente agujeros del

software

Amenazas lógicas. Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de

programas que de una forma u otra pueden dañar a nuestro sistema, creados de

forma intencionada para ello (software malicioso, también conocido como malware) o

simplemente por error (bugs o agujeros).

Amenazas físicas. Algunas de las amenazas físicas que pueden afectar a la

seguridad y por tanto al funcionamiento de los sistemas son: Robos, sabotajes,

destrucción de sistemas. Cortes, subidas y bajadas bruscas de suministro eléctrico.

Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas

extremas que afecten al comportamiento normal de los componentes informáticos.

Las catástrofes (naturales o artificiales). Son la amenaza menos probable contra

los entornos habituales: simplemente por su ubicación geográfica. Un subgrupo de las

catástrofes es el denominado de riesgos poco probables. Como ejemplos de

catástrofes hablaremos de terremotos, inundaciones, incendios, humo o atentados de

baja magnitud (más comunes de lo que podamos pensar); obviamente los riesgos

poco probables los trataremos como algo anecdótico. (Costas Santos, 2014)

1.1.7. Sistema de Gestión de la Seguridad de la Información.

Un Sistema de Gestión de la Seguridad de la Información implementa los procesos

que permiten que una Organización ejecute un servicio o producto de manera

confiable y en conformidad con unas especificaciones internacionales

14

1.1.8. Estándares de la Gestión de la Seguridad de la Información.

1.1.8.1. Normas ISO

Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestión de

calidad y seguridad que estaban apareciendo en distintos países y organizaciones del

mundo.

Los organismos de normalización de cada país producen normas que resultan del

consenso entre representantes del estado y de la industria. De la misma manera las

normas ISO surgen del consenso entre representantes de los distintos países

integrados a la I.S.O.

Existen grandes familias de normas ISO: Las de la familia 9000, las de la familia 14000

y las de la familia 27000 además de otras complementarias (ISO 8402; ISO 10011).

1.1.8.2. Organización ISO

Existe la organización ISO, que significa International Organization for Standardization

(Organización Internacional para la Estandarización), constituye una organización no

gubernamental organizada como una Federación Mundial de Organismos Nacionales

de Normalización, creada en 1947, con sede en Ginebra (Suiza). Reúne las entidades

máximas de normalización de cada país.

1.1.8.3. Serie ISO 27000

La ISO 27000 es realmente una serie de estándares desarrollados, por ISO

(International Organization for Standardization) e IEC (International Electrotechnical

Commission) En este apartado se resumen las distintas normas que componen la

serie ISO 27000 y se indica cómo puede una organización implantar un sistema de

gestión de seguridad de la información (SGSI) basado en ISO 27001. Los rangos de

numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.

Esta ISO Contiene términos y definiciones que se emplean en toda la serie 27000. La

aplicación de cualquier estándar necesita de un vocabulario claramente definido, que

evite distintas interpretaciones de conceptos técnicos y de gestión, que proporcionan

15

un marco de gestión de la seguridad de la información utilizable por cualquier tipo de

organización, pública o privada, grande o pequeña.

1.1.8.4. Evolución de la norma ISO 27000

Según el grafico siguiente, se puede definir cada una de las normas según el objetivo

que enfoca de la siguiente manera:

Figura 1 Familia de la serie 27000

Fuente: (Ocampo & Gaviria, 2014)

ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de

Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de

resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para

que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. La ISO

27001:2005 proporciona un modelo sólido para implementar los principios y

lineamientos de un SGSI.

ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y

controles recomendables en cuanto a Seguridad de la Información. Contiene 39

objetivos de control y 133 controles, agrupados en 11 dominios.

ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo

PDCA y de los requerimientos de sus diferentes fases.

16

ISO 27004: Especifica las métricas y las técnicas de medida aplicables para

determinar la eficacia de un SGSI y de los controles relacionados.

ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la

información. Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de

la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de

organizaciones que tienen la intención de gestionar los riesgos que puedan

comprometer la organización de la seguridad de la información.

ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y

certificación de Sistemas de Gestión de Seguridad de la Información. Es decir, ayuda a

interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a

entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí

misma.

ISO 27007: Consiste en una guía de auditoría de un SGSI.

ISO 27011: Consiste en una guía de gestión de seguridad de la información específica

para Telecomunicaciones.

ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías

de la información y comunicaciones.

ISO 27032: Consiste en una guía relativa a la ciberseguridad.

ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes,

arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento

de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento

de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad

en redes.

ISO 27034: Consiste en una guía de seguridad en aplicaciones.

ISO 27799: Es un estándar de gestión de seguridad de la información en el sector

salud. (Iriarte Ahon, s/f)

17

1.1.8.5. Estándar de Seguridad ISO 27001

La norma ISO 27001 le brinda a la Organización los objetivos de control, de los cuales

surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la

protección de la información más sensible y las aplicaciones más críticas para cada

área de negocio establecidos (Descalzo, 2014)

Figura 2 Objetivos de la Norma ISO 27001

Fuente: (Descalzo, 2014)

1.1.9. Seguridad de la información

La información es un activo vital que, como otros activos comerciales importantes, es

esencial para el negocio de una organización y en consecuencia necesita ser

protegido adecuadamente. En el curso de los años la globalización ha originado que la

información fluya más rápido de tal manera que para ello debe haber interconectividad

entre las organizaciones a grandes distancias.

La seguridad de la información es la protección de la información de un rango amplio

de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo

comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.

La seguridad de la información se logra implementando un adecuado conjunto de

controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales

y funciones de software y hardware. Se necesitan establecer, implementar, monitorear,

revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan

los objetivos de seguridad y comerciales específicos.

18

1.1.9.1. Necesita seguridad de la información

Definir, lograr, mantener y mejorar la seguridad de la información puede ser esencial

para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal

e imagen comercial. Las organizaciones y sus sistemas y redes de información

enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude

por computadora, espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de

daño como código malicioso, pirateo computarizado o negación de ataques de servicio

se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas.

La seguridad de la información es importante tanto para negocios del sector público

como privado, y para proteger las infraestructuras críticas. En ambos sectores, la

seguridad de la información funcionará como un facilitador; para evitar o reducir los

riesgos relevantes.

Existen tres fuentes principales de requerimientos de seguridad:

• Una fuente se deriva de evaluar los riesgos para la organización, tomando en

cuenta la estrategia general y los objetivos de la organización. A través de la

evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la

vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.

• Otra fuente son los requerimientos legales, reguladores, estatutarios y

contractuales que tienen que satisfacer una organización, sus socios comerciales,

contratistas y proveedores de servicio; y su ambiente socio-cultural.

• Otra fuente es el conjunto particular de principios, objetivos y requerimientos

comerciales para el procesamiento de la información que una organización ha

desarrollado para sostener sus operaciones.

(Universidad de EL Salvador, 2009)

1.1.10. Políticas de seguridad.

Su principal objetivo es recoger las directrices que debe seguir la seguridad de la

información de acuerdo a las necesidades de la organización y a la legislación vigente.

Además, debe establecer las pautas de actuación en el caso de incidentes y definir las

responsabilidades.

El documento debe delimitar qué se tiene que proteger, de quién y por qué. Debe

19

explicar qué es lo que está permitido y qué no; determinar los límites del

comportamiento aceptable y cuál es la respuesta si estos se sobrepasan; e identificar

los riesgos a los que está sometida la organización. (INTECO, s/f)

1.1.11. Seguridad de la información.

En la Seguridad de la Información el objetivo de la protección son los datos mismos y

trata de evitar su perdida y modificación no autorizado. La protección debe garantizar

en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin

embargo, existen más requisitos como por ejemplo la autenticidad entre otros.

El motivo o el motor para implementar medidas de protección, que responden a la

Seguridad de la Información, es el propio interés de la institución o persona que

maneja los datos, porque la pérdida o modificación de los datos, le puede causar un

daño material o inmaterial (Erb, 2009).

“La información es la sangre de todas las organizaciones y puede existir en muchas

formas. Puede ser impresa o escrita en papel, almacenada electrónicamente,

transmitida por correo electrónico, mostrada en películas o hablada en una

conversación. En el ambiente de negocio competitivo de hoy, tal información está

constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas,

externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al

almacenar, transmitir y recuperar la información, hemos abierto un gran número y tipo

creciente de amenazas” (Nando, 2010)

Figura 3 Ciclo de vida de los documentos.

Fuente: (Frayssinet Delgado, s/f)

20

1.1.11.1. Amenazas a la Información.

La disciplina de la seguridad informática no dista mucho de la seguridad tradicional. De

igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo digital

también existen: alguien puede substraer dinero de cuentas de Internet, se puede

robar documentación importante a través de la red o se puede tirar abajo un servidor

Web de comercio electrónico. En suma, existen múltiples delitos dentro del mundo

digital, todos ellos ligados a la información que se aloja en sistemas o que se transmite

por las redes de comunicaciones.

Las amenazas a la información en una red pueden caracterizarse modelando el

sistema como un flujo de información desde una fuente, como por ejemplo un archivo

o una región de la memoria principal, a un destino, como por ejemplo otro archivo o un

usuario. (Alvares & Perez, 2004)

Figura 4 Ataques contra la seguridad de la información

Fuente: (Alvares & Perez, 2004)

La definición de cada uno de los ataques se los determina como:

a Flujo normal: La información sigue el curso sin ninguna dificultad.

b Interrupción de la información: Los atacantes también pueden alterar la

disponibilidad de los datos alojados en los sistemas o los que viajan por las redes de

comunicaciones. Por tanto, la seguridad informática se ocupará de ser la garante de

que la información esté disponible para todo aquel que la necesite y durante todo el

tiempo que sea necesario. Ejemplos de este tipo de ataque son la destrucción de un

21

elemento hardware, como un disco duro, el corte de una línea de comunicación o la

caída del servidor Web de comercio electrónico.

c Intercepción de información: Los sistemas informáticos albergan a menudo

información sensible, que sólo debería ser accedida por un grupo autorizado de

personas. Si alguien ajeno a este grupo accede a dichos datos se estará incurriendo

en un ataque contra la confidencialidad de la información. Como ejemplos se pueden

citar el pinchar una línea para hacerse con datos que circulen por la red, la copia ilícita

de ficheros o programas secretos o privados o incluso la lectura de las cabeceras de

paquetes para desvelar la identidad de uno o más de los usuarios implicados en una

comunicación observada ilegalmente.

d Modificación de información: La alteración de información dentro de los sistemas

o mientras viaja por redes de comunicaciones representa un ataque contra la

integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos,

manipular un programa para que funcione de forma diferente o modificar el contenido

de mensajes que están siendo transferidos por la red.

e Creación de información: Si se inyecta información nueva que antes no existía

dentro de un sistema se está atentando contra la seguridad del mismo. Por ejemplo, la

creación de una cuenta inexistente en un banco de Internet o la adición de registros a

una base de datos.

(Alvares & Perez, 2004)

1.1.12. Activos.

Los activos dentro de la seguridad informática son todos los bienes que tiene o posee

una institución o empresa y se los puede agrupar de acuerdo a su grupo o

característica común.

Sabemos que existen un gran número de activos dentro del área de seguridad

informática, entre los que podemos incluir:

• Activos de información: son archivos, bases de datos, documentación del sistema,

manuales de usuarios, material de formación, procedimientos, planes de

continuidad, configuración de soporte, etc.

22

• Activos de software: software de aplicación, software del sistema, herramientas y

programas de desarrollo, etc.

• Activos físicos: equipo de cálculo, equipo de comunicación, etc.

• Servicios: servicios de cálculo y comunicaciones, generales, etc.

• Personas

• Activos intangibles: reputación, imagen de la organización, etc.

(ISOTools Excellence, 2015)

1.1.13. Utilización adecuada de los activos

Para la utilización adecuada de los activos se debe tomar en cuenta lo que manifiesta

(ISOTools Excellence, 2015)

Se debe identificar una regla general, que sea aceptable, para que los activos

asociados a las instalaciones del procesamiento de la información sean identificados,

documentados e implantados.

Todos los trabajadores, internos o externos, y las terceras personas implicadas tienen

que seguir ciertas reglas para utilizar de forma aceptable la información y los activos

que se encuentran asociados a las instalaciones del procesamiento de información, en

las que se incluyen:

• Las reglas mediante correo electrónico y la utilización de internet.

• Guías de uso de aparatos móviles, especialmente fuera de las instalaciones de la

organización.

Todas las reglas específicas o guías, establecidas por la norma ISO-27001, tienen que

estar provistas por parte gerencia de una forma relevante. Los trabajadores,

contratistas y clientes que utilizan o tienen acceso a los activos de la empresa tienen

que encontrarse al tanto de los límites que existen para utilizar la información de la

empresa y de todos los activos que se asocian con las instalaciones de procesamiento

de información y recursos. Ellos tienen que ser los responsables de utilización de

cualquier recurso del procesamiento de información y de cualquier otra utilización

parecida bajo su responsabilidad.

23

Aunque la responsabilidad debe mantenerse en el propietario asignado al activo de

información, el o las personas encargadas de monitorear los activos son los

corresponsables en vigilar dichos activos.

1.1.14. Seguridad de los activos.

Los Elementos de información son todos los componentes que contienen, mantienen o

guardan información. Dependiendo de la literatura, también son llamados Activos o

Recursos.

Son estos los Activos de una institución que tenemos que proteger, para evitar su

perdida, modificación o el uso inadecuado de su contenido, para impedir daños para

nuestra institución y las personas presentes en la información.

Generalmente se distingue y dividen en tres grupos.

• Datos e Información: son los datos e informaciones en sí mismo

• Sistemas e Infraestructura: son los componentes donde se mantienen o guardan

los datos e informaciones

• Personal: son todos los individuos que manejan o tienen acceso a los datos e

informaciones y son los activos más difíciles de proteger, porque son móviles,

pueden cambiar su afiliación y son impredecibles. (Erb, 2009).

1.1.15. Clasificación de seguridad

Se pueden hacer diversas clasificaciones de la seguridad informática en función de

distintos criterios.

Según el activo a proteger, es decir, todos los recursos del sistema de información

necesarios para el correcto funcionamiento de la actividad de la empresa,

distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de

actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el

percance, de tal manera que se eviten los daños en el sistema, o después del

percance, minimizando los efectos ocasionados por el mismo (Ruano, Saiz Herrero,

Fernández Álvarez, & Fernández Aranda, 2010).

Análisis de Amenazas: Los activos están expuestos a amenazas y estas pueden

afectar a los distintos aspectos de la seguridad. A nivel metodológico, se analizará qué

24

amenazas pueden afectar a qué activos. Una vez estudiado, estimar cuán vulnerable

es el activo a la materialización de la amenaza indicando cuán perjudicado resultaría el

valor del activo, así como la frecuencia estimada de la misma, cuán probable o

improbable es que se materialice la amenaza.

1.1.15.1. Amenazas Físicas.

Las amenazas físicas y ambientales afectan a las instalaciones y/o el hardware

contenido en ellas, y suponen el primer nivel de seguridad a proteger para garantizar

la disponibilidad de los sistemas y estos pueden ser:

• Robos, sabotajes, destrucción de sistemas. Cortes, subidas y bajadas bruscas de

suministro eléctrico.

• Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas

extremas.

• Catástrofes (naturales o artificiales) terremotos, inundaciones, incendios, humo o

atentados de baja magnitud, entre otros.

1.1.15.2. Amenazas Lógicas:

Una amenaza lógica es software o código que de una forma u otra pueden afectar o

dañar a nuestro sistema, creados de forma intencionada para ello, o simplemente por

error (bugs o agujeros). Entre otros encontramos:

Herramientas de seguridad: existen herramientas para detectar y solucionar fallos

en los sistemas, pero se pueden utilizar para detectar esos mismos fallos y

aprovecharlos para atacarlos. Rogueware o falsos programas de seguridad: también

denominados Rogue, FakeAVs, Badware, Scareware, son falsos antivirus o

antiespías.

Puertas traseras o backdoors: los programadores insertan “atajos” de acceso o

administración, en ocasiones con poco nivel de seguridad.

Virus: secuencia de código que se inserta en un fichero ejecutable (denominado

huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace. Los

códigos maliciosos dentro de este grupo se los conoce como malware.

25

Gusano o Worm: programa capaz de ejecutarse y propagarse por sí mismo a

través de redes, normalmente mediante correo electrónico basura o spam.

Troyanos o Caballos de Troya: aplicaciones con instrucciones escondidas de forma

que éste parezca realizar las tareas que un usuario espera de él, pero que realmente

ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el

conocimiento del usuario.

Programas conejo o bacterias: programas que no hacen nada útil, simplemente se

dedican a reproducirse hasta que el número de copias acaba con los recursos del

sistema (memoria, procesador, disco...), produciendo una negación de servicio.

Canales cubiertos: canales de comunicación que permiten a un proceso transferir

información de forma que viole la política de seguridad del sistema; un proceso

transmite información a otros que no están autorizados a leer dicha información.

(Costas Santos, 2014).

1.1.15.3. Amenazas provocadas por las personas.

La mayoría de ataques a nuestro sistema provienen de personas que,

intencionadamente o no, pueden causarnos enormes pérdidas. Generalmente se

tratará de piratas informáticos, ciberdelincuentes, hackers o crackers, que intentan

conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades

del software. Se dividen en dos grandes grupos:

Los atacantes pasivos que fisgonean el sistema, pero no lo modifican o destruyen, y

los activos que dañan el objetivo atacado, o lo modifican en su favor.

Atacantes internos: el propio personal puede producir un ataque intencionado,

nadie mejor conoce los sistemas y sus debilidades, o un accidente causados por un

error o por desconocimiento de las normas básicas de seguridad. Por otro lado ex-

empleados o personas descontentas con la organización pueden aprovechar

debilidades que conocen o incluso realizar chantajes.

Atacantes externos: comúnmente denominados y englobados en el término Hacker,

experto o gurú en aspectos técnicos relacionados con la informática. Personas que les

26

apasionan el conocimiento, descubrir o aprender nuevas cosas y entender el

funcionamiento de éstas. Suele distinguirse entre aquellos cuyas acciones son de

carácter constructivo, informativo o solo intrusivo, o que además lo son de tipo

destructivo, catalogados respectivamente de hackers y crackers, o white hat y black

hat. Recientemente ha aparecido el término, más neutro, grey hat (sombrero gris) que

ocasionalmente traspasan los límites entre ambas categorías. Otros términos y

categorías son:

Pirata informático, ciberdelincuente o delincuente informático: dedicadas a

realizar actos delictivos y perseguidos legalmente: como la copia y distribución de

software, música o películas de forma ilegal, fraudes bancarios o estafas económicas.

Newbie: Hacker novato. Wannaber: Les interesa el tema de hacking pero que por

estar empezando no son reconocidos por la élite.

Lammer o Script-Kiddies: Pretenden hacer hacking sin tener conocimientos de

informática. Sólo se dedican a buscar y descargar programas de hacking para luego

ejecutarlos.

Luser (looser + user): Es un término utilizado por hackers para referirse a los

usuarios comunes, de manera despectiva y como burla.

1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad

Informática.

La metodología PDCA, Planificación – Ejecución – Evaluación – Actuación (en

inglés, PDCA, de Plan-Do-Check-Act) es una secuencia cíclica de actuaciones que se

hacen a lo largo del ciclo de vida de un servicio o producto para planificar su calidad,

en particular en la mejora continua (Métodoss, s/f).

Figura 5 Modelo PHVA aplicado a los procesos del SGSI

Fuente: (INTECO, s/f)

27

Al PDCA se lo puede describir de la siguiente manera:

1.1.16.1 Plan

Establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo

con los proyectados (objetivos o metas). Para determinar el resultado de la confianza,

la integridad y exactitud de la especificación es también una parte de la mejora

almacenada cuando puede comenzar a pequeña escala para probar los posibles

efectos.

1.1.16.2 Desarrollar

Implementar el plan, ejecutar el proceso, hacer el producto. Recopilar datos para el

mapeo y análisis de los próximos pasos “salida” y “set”. Por lo que este paso genera

mucho cuidado porque no puede ser la causa raíz.

1.1.16.3 Check/Evaluación

Los resultados del estudio (medidos y recopilados en el paso anterior “Reproducir”) y

compararlo con los resultados esperados (objetivos establecidos en el “plan” paso)

para determinar cualquier diferencia.

Búsqueda de desviaciones sobre todo en la aplicación del plan y también mira la

adecuación y el alcance del plan permite la ejecución de la etapa siguiente, es decir,

“ACT”.

Gráficos de datos pueden hacer esto mucho más fácil ver tendencias a lo largo de

varios ciclos PDCA y así convertir los datos recogidos en información. La información

es lo que necesita para el siguiente paso “Ajuste”.

1.1.16.4 El Apalancamiento/Set/Ley

Tomar acciones correctivas sobre las diferencias entre los datos reales y previstos.

Analizar las diferencias para determinar sus causas. Determinar dónde para aplicar los

cambios que incluyen la mejora del proceso o producto.

28

Cuando un pase a través de estos cuatro pasos no da lugar a la necesidad de alguna

mejora, el método al que se aplica PDCA puede ser refinado con mayor detalle en la

siguiente iteración del ciclo, o la atención debe ser colocado en una forma diferente en

cualquier etapa del proceso. (Métodoss, s/f)

1.1.17 La norma ISO EIC 27005.

Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la

información en una organización, dando soporte particular a los requisitos de un

sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma

ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica

para la gestión del riesgo en la seguridad de la información. Corresponde a la

organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo

del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se

puede utilizar una variedad de metodologías existentes bajo la estructura descrita en

esta norma para implementar los requisitos de un sistema de gestión de seguridad de

la información.

1.1.18 Objeto Y Campo De Aplicación

Esta norma brinda soporte a los conceptos generales que se especifican en la norma

ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la

seguridad de la información con base en el enfoque de gestión del riesgo.

El conocimiento de los conceptos, modelos, procesos y terminologías que se

describen en la norma ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total

comprensión de esta norma.

Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas

comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden

gestionar los riesgos que podrían comprometer la seguridad de la información de la

organización.

(Osorio, 2013)

1.1.19 Términos Y Definiciones

Para los propósitos de este documento, se aplican los términos y definiciones de las

normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:

29

Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.

Riesgo en la seguridad de la información. Potencial de que una amenaza

determinada explote las vulnerabilidades de los activos o grupos de activos causando

así daño a la organización.

NOTA Se mide en términos de una combinación de la probabilidad de que suceda un

evento y sus consecuencias.

Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar

acción para retirarse de dicha situación.

Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo

entre la persona que toma la decisión y otras partes interesadas.

Estimación del riesgo. Proceso para asignar valores a la probabilidad y las

consecuencias de un riesgo










consecuencias de un riesgo.

Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia

de un riesgo.

(Osorio, 2013)

30

1.1.20 Estructura De Esta Norma

Esta norma contiene la descripción de los procesos para la gestión del riesgo en la

seguridad de la información y sus actividades.

La gestión del riesgo en la seguridad de la información debería ser un proceso

continuo. Tal proceso debería establecer el contexto, evaluar los riesgos, tratar los

riesgos utilizando un plan de tratamiento para implementar las recomendaciones y

decisiones. La gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las

posibles consecuencias, antes de decidir lo que se debería hacer y cuando hacerlo,

con el fin de reducir el riesgo hasta un nivel aceptable.

La gestión del riesgo en la seguridad de la información debería contribuir a:

• la identificación de los riesgos;

• La evaluación de los riesgos en términos de sus consecuencias para el negocio y

la probabilidad de su ocurrencia;

• La comunicación y entendimiento de la probabilidad y las consecuencias de estos

riesgos;

• El establecimiento del orden de prioridad para el tratamiento de los riesgos;

• La priorización de las acciones para reducir la ocurrencia de los riesgos;

• La participación de los interesados cuando se toman las decisiones sobre gestión

del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo;

• La eficacia del monitoreo del tratamiento del riesgo;

• El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de

riesgos;

• La captura de información para mejorar el enfoque de la gestión de riesgos;

• La educación de los directores y del personal acerca de los riesgos y las acciones

que se toman para mitigarlos.

31

Figura 6 Proceso de gestión del riesgo en la seguridad de la información

Fuente: Proyecto de norma técnica colombiana.

Como se observa en el gráfico N° 6 el proceso de gestión del riesgo en la seguridad

de la información puede ser iterativo para las actividades de valoración del riesgo y/o

de tratamiento del riesgo. Un enfoque iterativo para realizar la valoración del riesgo

puede incrementar la profundidad y el detalle de la valoración en cada iteración. El

enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el

esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos

altos se valoren de manera correcta.

La norma ISO/IEC 27001 especifica que los controles implementados dentro del

alcance, los límites y el contexto de SGSI se deben basar en el riesgo. La aplicación

de un proceso de gestión del riesgo en la seguridad de la información puede satisfacer

este requisito. Existen muchos enfoques mediante los cuales se puede implementar

exitosamente el proceso en una organización. La organización debería utilizar

cualquier enfoque que se ajuste mejor a sus circunstancias para cada aplicación

específica del proceso.

32

1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática.

La seguridad informática es el área de las tecnologías de Información y comunicación

que se encarga de la protección de la infraestructura y equipos tecnológicos y

fundamentalmente la información como el activo más importante de las empresas o

instituciones públicas o privadas. Para ello existen una serie de estándares, normas,

métodos, reglas, herramientas con el afán de contrarrestar o minimizar los posibles

riesgos a la infraestructura tecnológica o a la información.

La seguridad informática es la disciplina que se encarga de analizar y diseñar las

normas, procedimientos, métodos y técnicas encaminadas a lograr que los activos e

información se mantengan seguros y confiables.

En importante determinar que la seguridad informática no es un producto, es un

proceso que se va desarrollando de acuerdo a las necesidades y características de las

empresas o instituciones en las que se van implementando, teniendo como objetivo

principal precautelar lo más importante que tiene una institución o empresa que es su

información.

1.3 Valoración crítica.

Una vez realizada la investigación bibliográfica correspondiente del Marco Teórico, en

lo referente a seguridad informática, las amenazas, las vulnerabilidades, los tipos de

ataques y a lo que se comprometen diariamente los activos informáticos de cualquier

organización, es imprescindible la implementación de un Sistema de Gestión de

Seguridad Informática (SGSI), teniendo en cuenta para ello los lineamientos

establecidos en los estándares y normativas internacionales cuya valides está

sustentada rigurosamente por los organismos y organizaciones creadas para el efecto.

Desde este enfoque, la aplicación de las normas ISO 27000 y específicamente la

norma ISO-IEC 27001 permite desarrollar un plan de Gestión de la Seguridad

Informática tomando en cuenta los factores de amenazas lógicos, físicas y de usuarios

internos y externos con la implementación de controles que están especificados en las

políticas de seguridad, porque la información está considerada el activo más valioso

de toda organización.

33

1.4 Conclusiones parciales del capítulo.

• A través del marco teórico como elemento fundamental de ampliar los

conocimientos de las temáticas que tiene el objeto de investigación, permite tener

una perspectiva más extensa y poder enfocarse de mejor manera para dar una

solución más adecuada a los impases suscitados.

• El proceso de la seguridad informática debe ser considerado como imprescindible

en la gestión de las empresas, ya que de este depende la confidencialidad,

integridad y disponibilidad de los datos.

• Es importante considerar tanto la seguridad lógica como física para prever a través

de gestión de riesgos y vulnerabilidad de los activos la recuperación inmediata

mitigando los daños que se puedan producir en los mismos.

• Permite conocer los posibles riesgos que están expuestos los activos y la

información, para establecer planes de recuperación y mitigación con los cuales la

empresa continuara en el tiempo.

34

CAPITULO II

MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA.

2.1 Caracterización del sector.

2.1.1 GAD Cantonal de Pastaza.

El presente trabajo de investigación se realizó en la Provincia de Pastaza, Cantón

Pastaza, Parroquia Puyo, en el Gobierno Autónomo descentralizado del Cantón

Pastaza (GAD-CP), haciendo de este estudio el punto de partida donde se determina

la necesidad de diseñar un plan de Seguridad Informática basado en la Norma IEC-

ISO 27001 para mitigar y contrarrestar cualquier acto en contra de la información y los

activos de la institución, sea este realizado intencionalmente o no en forma interna o

externa.

2.1.1.1 Organigrama Estructural

El GAD Cantonal de Pastaza cuenta con el siguiente Organigrama Estructural.

Figura 7 Orgánico Estructural

Fuente: GADM Pastaza

35

2.1.1.2 Políticas Generales de Acción

El GAD Cantonal de Pastaza desarrollará las siguientes políticas de acción durante el

presente ejercicio financiero 2017:

• Actualización y expedición de los catastros de contribuyentes de los tributos y

rentas municipales que determina la ley.

• Alcanzar el mayor rendimiento de las fuentes de financiamiento, procurar a la vez el

ordenamiento racional y lógico del costo municipal.

• Procurar el ordenamiento urbanístico del cantón, mejorar e incrementar los

servicios públicos de la comunidad, a la vez que mantener en buen estado los

existentes.

• Revisar y actualizar lo que corresponde a la Legislación Tributaria Municipal.

• Continuar en forma permanente y vigilada la actualización computarizada de los

diferentes sistemas, especialmente en lo que se refiere al predial urbano a base de

las inscripciones y los permisos de demolición y/o construcción de edificaciones.

• Propender a mejorar el sistema económico - administrativo del Cabildo para

fortificar las finanzas y alcanzar una eficiente racionalización administrativa.

• Organización actualizada de los registros tributarios que estará bajo la supervisión y

responsabilidad de la Sección de Rentas.

• Puesta en marcha de los procesos de recuperación de cartera vencida efectivizar el

cobro de los títulos pendientes, actividades que se desarrollarán con la supervisión

del director Financiero y bajo la responsabilidad de la Tesorería Municipal.

• Se continuará con la legalización de la tenencia de la tierra a favor de los actuales

posesionarios en las zonas periféricas urbanas cumpliendo de esta manera de

contenido social y creando a la vez potenciales fuentes de tributación.

36

• Ampliación de los formularios, corrección de procedimientos administrativos e

incorporación de las diferentes áreas que todavía no están computarizadas a fin de

brindar un servicio más eficiente a la colectividad.

2.1.1.3 Objetivos Estratégicos

Los Objetivos y las funciones de la Entidad están en concordancia a la Ley Orgánica

de Régimen Municipal y de las disposiciones constantes en el Presupuesto Municipal,

aprobadas por la Entidad y las metas propuestas en los planes de trabajo,

programadas por el Pleno del Concejo, previo el visto bueno del ejecutivo principal,

siendo entre otras las siguientes:

• Planificar, programar, coordinar, ejecutar y evaluar de manera participativa el

desarrollo cantonal y formular los correspondientes planes de ordenamiento

territorial, articulando con la planificación nacional, regional, provincial y parroquial,

en el marco de la plurinacionalidad y respeto a la diversidad, con el fin de promover

el desarrollo integral sostenible del cantón Pastaza.

• Implementar el Plan de Desarrollo y Ordenamiento Territorial, tendientes a

fortalecer, equilibrar y cualificar los servicios municipales, para garantizar el uso

sostenible de los recursos naturales y el buen vivir.

• Contribuir al fortalecimiento del desarrollo social sostenible del Cantón, para

mejorar la calidad de vida de la población, promoviendo el desarrollo de sus

capacidades, a través de una participación ciudadana.

• Fomentar e impulsar la conservación integral del medio ambiente del cantón

Pastaza, mediante la ejecución de un sistema de gestión ambiental continuo y

dinámico, que permita potenciar la biodiversidad amazónica.

• Potenciar al cantón Pastaza, como destino turístico atractivo, diferenciado y de

calidad, mediante estrategias inspiradas en la sostenibilidad capaces de reconciliar

la rentabilidad económica con la conservación del patrimonio cultural, natural e

histórico.

• Gestionar la cooperación Internacional, para coadyuvar al progreso del Cantón

Pastaza.

37

• Emprender en actividades de evaluación a las actividades y tareas cumplidas por

los servidores de las diferentes dependencias de la Institución en procura del

mejoramiento de los servicios reclamados por los contribuyentes.

• Ejecutar obras de infraestructura en beneficio de la colectividad especialmente, las

relacionadas con la dotación del sistema de Agua Potable y Alcantarillado,

Mejoramiento Vial Urbano, Regeneración Urbana, Construcción y Mantenimiento de

calles, plazas, avenidas y demás espacios públicos.

Para el eficiente cumplimiento de los objetivos propuestos por el Concejo, ha adoptado

como política de acción, la presupuestación pragmática de sus recursos a fin de

utilizarlos con estricta sujeción a sus disponibilidades y en el concerniente a la

elaboración de los programas que beneficien en forma directa a la colectividad,

mediante la ejecución de las obras. Para lograr los objetivos propuestos la Ilustre

Municipalidad adoptará la política de acción sucesiva, establecidos las prioridades

planificadas por los respectivos departamentos municipales, para lo que creemos

oportuno seguir activando aún más nuestras propias recaudaciones ya que contamos

con los medios tecnológicos, y humanos necesarios.

2.1.1.4 MISIÓN

Formular políticas y administrar procesos que promuevan el buen vivir, mediante un

esquema de gestión pública, con la participación ciudadana, el fortalecimiento del

espacio público, el desarrollo integral, equitativo y sostenible del área urbana y rural,

por medio de la articulación y coordinación política, priorizando siempre la parte

humana.

2.1.1.5 VISIÓN

Ser reconocida como una Institución eficiente, con un equipo humano capacitado,

modelo de gestión participativo, honesto y solidario, que provee a la población

servicios de calidad; generando oportunidades de desarrollo y bienestar, donde todos

trabajemos y vivamos con dignidad.

38

2.1.1.6 Objetivo

Transformar al cantón en un espacio geográfico desarrollado en todos los aspectos,

con la finalidad de que sus habitantes podamos vivir y trabajar con dignidad, bajo el

principio de honestidad y solidaridad, comprometidos con todas las organizaciones,

nacionalidades, instituciones y ciudadanía en general.

1. Incrementar la cobertura y calidad de los servicios municipales en el cantón Pastaza

2. Incrementar el desarrollo sustentable del territorio cantonal

3. Incrementar la transparencia de la gestión municipal

4. Incrementar la eficiencia operacional en la municipalidad

5. Incrementar el desarrollo del talento humano en la municipalidad

6. Incrementar la efectividad de la gestión financiera en la municipalidad.

2.2 Descripción del Procedimiento Metodológico.

2.2.1 Modalidad de Investigación.

2.2.1.1 Cualitativa

Para lograr un mayor conocimiento acerca del Objeto de Investigación y su Campo de

Acción, se utilizó la modalidad cualitativa, en donde a través de la realización de una

entrevista al Director de Departamento de las TIC´s y al Oficial de Seguridad

Informática se pudo conocer la gestión de las políticas aplicadas en torno a la

Seguridad Informática aplicadas a los Activos e Información del Gobierno Autónomo

Descentralizado del Cantón Pastaza.

2.2.1.2 Cuantitativa.

Se aplicó la investigación cuantitativa para lograr a través de las encuestas conocer el

estado del objeto de investigación y poder proyectarse de acuerdo al análisis de los

datos numéricos, cuál es su situación y contrastar con la información lograda en la

entrevista i detectar cuales son los puntos más débiles en cuanto al campo de acción.

39

2.2.2 Tipos de Investigación.

2.2.2.1 Investigación Bibliográfica

Este tipo de investigación permitió conocer y profundizar diferentes enfoques, teorías,

conceptualizaciones de diversos autores sobre una cuestión determinada, basándose

en información de la WEB, libros y otros documentos que fueron necesarios en este

proceso y que constituyeron base fundamental de la información primaria.

2.2.2.2 Investigación de Campo

La investigación de campo permitió recolectar la información necesaria en el mismo

lugar de los hechos, donde se circunscribe el objeto de investigación que es el GAD

Municipal Pastaza, para conocer y tener la información de primera mano acerca de la

Gestión de Seguridad Informática en la Institución.

2.2.3 Métodos de Investigación

2.2.3.1 Método Inductivo/Deductivo

El método Inductivo/Deductivo se aplicó porque a través de la base de conceptos y

definiciones del marco teórico, permitió conocer más a profundidad el impacto positivo

que podría tener al pasar de la parte teórica a la práctica en la gestión de la seguridad

de la Información y los Activos del GAD Cantonal de Pastaza.

2.2.4 Técnicas de Investigación

2.2.4.1 La Entrevista.

Para el presente trabajo de investigación, fue necesario e imprescindible realizar la

entrevista como técnica fundamental para la obtención de información de primera

mano, la cual fue aplicada al Director del Departamento de las TIC´s y al Oficial

encargado de Seguridad Informática del GAD Cantonal de Pastaza.

2.2.4.2 La Encuesta

Con el afán de recabar información que refleje la situación actual de los Procesos de

Seguridad Informática en el GAD Cantonal de Pastaza, y con la finalidad de realizar un

40

diagnóstico inicial de la problemática, se optó por aplicar la técnica de la encuesta al

personal que labora con la información sensible de la institución, dichos cuestionarios,

permitieron la recolección de datos en forma dinámica y específica, permitiendo

encausar los distintos problemas presentados en Gestión de Seguridad Informática.

2.2.4.3 Observación

Permitió verificar directamente en el sitio, la forma en la que se desarrolla el trabajo en

relación a la Gestión de Seguridad Informática.

2.2.5 Instrumentos de Investigación.

Los instrumentos utilizados en la investigación son:

a) Hoja de ítems de la encuesta.

b) Guía de entrevista.

c) Guía de observación.

2.2.6 Población y Muestra.

2.2.6.1 Población.

La población con la cual cuenta la institución se presenta en la siguiente tabla.

Tabla 1 Población de la Investigación.

Población y muestra Cantidad

Director del Departamento de las TIC´s 1

Oficial encargado de Seguridad 1

Personal que utiliza Equipos Tecnológicos 152

TOTAL 154

41

2.2.6.2 Muestra.

Para la realización de la investigación se calculó la muestra la misma que servirá para

la realización de la encuesta, para lo cual no se ha tomado en cuenta a los

funcionarios del Departamento delas TIC´s, porque a ellos se les aplico una entrevista.

𝑚 =𝑃

(𝑃 − 1) ∗ 𝑒2 + 1

E = 0,05

𝑚 =152

(152 − 1) ∗ 0,052 + 1

m = 110

42

2.2.7 Análisis e Interpretación de Resultados.

1. ¿La estructura tecnológica del GAD municipal de Pastaza mantiene una

seguridad informática?

Tabla 2 Encuesta a Empleados.

Respuestas Resultados

Frecuencia Porcentaje

Si 38 34,55%

No 42 38,18%

No sé 30 27,27%

Total 110 100,00%

Figura 8 Encuesta a empleados

Interpretación

El 34,55 % de empleados de la Institución afirma que la estructura del GAD municipal

de Pastaza mantiene una seguridad informática, el 38,18 % asevera que no existe

mientras que el 27,27 % no da ninguna información.

34,55%

38,18%

27,27%

Si

No

No sé

43

2. ¿conoce usted si existen políticas de seguridad en el área informática.




Si 41 37,27%

No 34 30,91%

No sé 35 31,82%

Total 110 100,00%


Interpretación

El 37,27% de Empleados encuestados afirma que existen políticas de seguridad en el

área informática, el 30,91% lo niega mientras que el 31,82% desconoce su existencia.

37,27%

30,91%

31,82%

Si

No

No sé

44

3. Se dispone de una adecuada disponibilidad de la información en el momento

que se requiera.




Siempre. 83 75,45%

A veces 27 24,55%

Nunca. 0 0,00%

Total 110 100,00%

Figura 10 Encuesta a empleados.

Interpretación

El 75,45% de los encuestados aseguran que cuentan de una adecuada disponibilidad

de la información en el momento que se requiera mientras el 24,55% asegura que el

acceso solo lo tienen esporádicamente.

75,45%

24,55%0,00%

Siempre.

A veces

Nunca.

45

4. ¿Se permite el acceso a la información sólo a personas debidamente

autorizadas?




Siempre. 23 20,91%

A veces 36 32,73%

Nunca. 51 46,36%

Total 110 100,00%


Interpretación

El 20,91% asegura que se permite el acceso a la información sólo a personas

debidamente autorizadas, el 32,73% afirma que frecuentemente se permite mientras

que el 46,36% certifica que no existe restricciones.

20,91%

32,73%

46,36%Siempre.

A veces

Nunca.

46

5. ¿El GAD Cantonal de Pastaza cuenta y actualiza el inventario de activos

donde existen los responsables de su custodia?




Siempre. 63 57,27%

A veces 47 42,73%

Nunca. 0 0,00%

Total 110 100,00%


Interpretación

El 57,27% de los encuestados aseguran que perennemente el GAD Cantonal de

Pastaza cuenta y actualiza el inventario de activos donde existen los responsables de

su custodia, mientras que el 42,73% afirma que esto se da ocasionalmente.

57,27%

42,73%

0,00%

Siempre.

A veces

Nunca.

47

6. ¿Usuarios y trabajadores de área respetan los reglamentos y políticas

estipuladas dentro del departamento TIC´s?




Siempre. 48 43,64%

A veces 62 56,36%

Nunca. 0 0,00%

Total 110 100,00%


Interpretación

El 43,64% asegura que siempre los usuarios y trabajadores de área respetan los

reglamentos y políticas estipuladas dentro del departamento TIC´s mientras que el

56,36% atestigua que solo se da ocasionalmente.

43,64%

56,36%

0,00%

Siempre.

A veces

Nunca.

48

7. ¿Se han instalado equipos que protejan la información y los dispositivos en

caso de variación de voltaje como: Reguladores de voltaje, supresores de

picos, UPS, generador de energía?




Siempre. 78 70,91%

A veces 26 23,64%

Nunca. 6 5,45%

Total 110 100,00%


Interpretación

El 70,91% de encuestados afirman que se han instalado equipos que protejan la

información y los dispositivos en caso de variación de voltaje como: Reguladores de

voltaje, supresores de picos, UPS, generador de energía, el 23,64% aseguran que a

veces, mientras que el 5,45% asevera que no.

70,91%

23,64%

5,45%

Siempre.

A veces

Nunca.

49

8. ¿Se mantiene programas y procedimientos de detección e inmunización de

virus en copias no autorizadas o datos procesados en otros equipos?




Siempre. 49 44,55%

A veces 61 55,45%

Nunca. 0 0,00%

Total 110 100,00%


Interpretación:

El 44,55% de los encuestados afirman que se mantiene programas y procedimientos

de detección e inmunización de virus en copias no autorizadas o datos procesados en

otros equipos, mientras que el 55,45% afirma que se da ocasionalmente.

44,55%

55,45%

0,00%

Siempre.

A veces

Nunca.

50

9. ¿Existen restricciones cuando se navega por Internet?




Siempre. 46 41,82%

A veces 41 37,27%

Nunca. 23 20,91%

Total 110 99,99%


Interpretación

El 41,82% de los encuestados afirman que existen restricciones cuando se navega por

Internet, el 37,27% afirma que existe ocasionalmente, mientras que el 20,91% niega la

existencia de restricciones.

41,82%

37,27%

20,91%

Siempre.

A veces

Nunca.

51

10. ¿En algún momento dentro de sus actividades que realiza en la institución,

ha sufrido perdida, deterioro, infección de virus o robo de su información?




Siempre. 37 33,64%

A veces 48 43,64%

Nunca. 25 22,72%

Total 110 100,00%


Interpretación:

El 33,64% de los encuestados aseguran que en algún momento dentro de sus

actividades que realiza en la institución, ha sufrido perdida, deterioro, infección de

virus o robo de su información, el 43,64% asevera que ocurre ocasionalmente,

mientras que el 22,73% nunca ha tenido este problema.

33,64%

43,64%

22,73%

Siempre.

A veces

Nunca.

52

2.2.8 Análisis de la entrevista al Ing. Adrián Pacheco Director del departamento

de TIC´s

1. ¿El gobierno local tiene un plan de seguridad informática donde todos los

empleados lo conocen y lo cumplen adecuadamente?

La institución cuenta con un manual de trabajo del área de informática (TIC´s) el cual

no abarca todo lo relacionado a la seguridad informática, sino más bien el

cumplimiento de ciertas disposiciones legales que se debe cumplir porque lo demanda

la legislación actual.

2. ¿El antivirus de las máquinas es un software centralizado, actualizado y

gestionado a menudo?

Se mantiene un antivirus centralizado que se actualiza y protege la información que se

encuentra en los servidores y otro en los diferentes puestos de trabajo el cual se lo

gestiona y actualiza en un periodo aproximado de 2 semanas.

3. ¿La seguridad en los pasword de los usuarios cumple requisitos

mínimos (¿combinación de mayúsculas, minúsculas, símbolos?)?

Se establece los pasword que cumplan con lo establecido en combinación con lo

anteriormente determinados.

4. ¿Se realiza una auditoría de seguridad de forma regular?

No se realiza regularmente, sino en forma esporádica cuando se tiene indicios de

algún problema o dificultad para poder solucionarla y continuar con el trabajo

establecido en cada departamento.

5. ¿Los datos de la institución están cubiertos por una copia de seguridad

robusta y administrada regularmente?

Se extrae las copias de seguridad regularmente según lo establecido en el manual y

se las guarda en el lugar dedicado para el efecto donde solo ingresa el personal que

labora en el departamento de las TIC´s, pero no todos tienen acceso a esa

información.

53

6. ¿Se conciencia a los usuarios de la institución del riesgo que entraña el uso

de sus propios dispositivos (BYOD), o se les da una formación para que

tengan un mínimo de conocimientos?

El gobierno Autónomo no permite que los trabajadores realicen sus trabajos en sus

propios dispositivos, sino que la institución les provee de los recursos tecnológicos

para que realicen sus tareas en el mismo lugar de trabajo, y no realizarlo desde otro

lugar distinto al asignado.

2.3 Propuesta del investigador

De acuerdo a los resultados obtenidos en las técnicas de recolección de datos como

son las encuestas y entrevistas con las personas involucradas en el departamento de

TIC´s, es necesario contar con un Plan de Seguridad Informática que permita proteger

el activo más importante de la institución que es su información, como también los

bienes informáticos del GAD Cantonal de Pastaza.

El plan de Seguridad Informática que se pretende desarrollar se lo debe realizar de

acuerdo a lo que estipula la norma ISO 27001:2013 para lo cual se debe documentar y

formalizar todo el proceso.


• En el GAD Cantonal de Pastaza no existe una cultura organizacional, por lo que no

se ha indicado a cada usuario que responsabilidad tienen cuando se ejecuta una

acción, y las consecuencias por no precautelas los equipos custodiados y la

información que manejan en cada uno de ellos.

• Al no contar con políticas se cometen muchas anomalías de forma inconsciente,

las que pueden perjudicar a los activos y la información que se maneja o genera.

• El desconocimiento de las políticas de seguridad que existen en la institución, ha

permitido que personas ajenas a esas dependencias ingresen a los equipos y

manipulen alguna información o prueben memorias extraíbles infectando muchas

veces a los equipos y comprometiendo la información.

54

CAPITULO III.

MARCO PROPOSITIVO

3.1 Tema

Plan de Seguridad Informático basado en estándar ISO-IEC 27001 para proteger la

Información y Activos del GAD Cantonal de Pastaza

3.1.1 Objetivos de la Propuesta.

3.1.1.1 Objetivo General.

Realizar un plan de seguridad Informática Basado en estándar ISO-IEC 27001 para

proteger la información y activos del GAD Cantonal de Pastaza.

3.1.1.2 Objetivos Específicos.

• Preparar políticas de seguridad basado en la norma IEC/ISO 27001 para el GAD

Cantonal de Pastaza.

• Desarrollar una matriz que permita determinar la gestión de riesgo

• Elaborar el plan de seguridad informática para activos e información.

3.1.1.3 Descripción de la Propuesta

La presente propuesta está orientada al desarrollo de un plan de seguridad informática

que permita la integridad, confidencialidad y alta disponibilidad de la información

basada en el parámetro de la norma ISO 27001.

La información al ser un recurso que, como el resto de los activos, tiene valor para la

empresa y por consiguiente debe ser debidamente protegida, garantizando la

continuidad de los sistemas de información, minimizando los riesgos de daño y

contribuyendo de esta manera, a una mejor gestión del GAD Cantonal de Pastaza.

55

Para que estos principios sean positivos, resulta necesaria la implementación de una

Política de Seguridad de la Información que forme parte de la cultura organizacional de

GAD Cantonal de Pastaza, lo que implica que se debe contar con el compromiso de

todos los funcionarios involucrados de una manera u otra en las TIC´s, para contribuir

en la difusión, consolidación y cumplimiento de esta normativa.

3.2 Dominios de la norma ISO 27001.

La norma ISO-27001, tiene como objetivo la salvaguardia de la información de una

organización impidiendo que ésta se pierda, proporcionando la certeza a las mismas

de la continuidad de los servicios prestados en situaciones de riesgo.

Los objetivos contemplados en la norma ISO 27001 de los dominios de la información

a valuar se muestran de forma resumida a continuación:

• El dominio de la Política de Seguridad para facilitar a las organizaciones, conforme

a los requisitos legales e institucionales, la gestión de la seguridad en la

información.

• El dominio en la Organización de la Seguridad de la Información a través de un

marco relacionado que ayuda a la misma a implantar y controlar la seguridad de la

información en la entidad.

• El dominio en la Gestión de Activos para la seguridad de los mismos en la entidad.

• El dominio de la Seguridad física para la salvaguarda de la información y las

instalaciones de la entidad a través por ejemplo de controles de llegada.

• El dominio de la Gestión de las comunicaciones y operaciones mediante la

creación de una serie de procedimientos que garanticen la seguridad de la

información.

• El dominio del Control de Llegada para asegurar los sistemas de información.

• El dominio en la consecución, desarrollo y sostenimiento de los sistemas de

información.

56

• El dominio en la Gestión de accidentes en la seguridad de la información mediante

la mejora constante y progresiva de la gestión de seguridad.

• El dominio de la Gestión de la Continuidad del Negocio con la finalidad de asegurar

el encadenamiento operativo del negocio.

1. El dominio en el Cumplimiento de los requisitos legales aplicables.

3.3 Análisis de la Situación Actual

El GAD Cantonal de Pastaza, objeto de este proyecto está dedicado a ofrecer

servicios a los ciudadanos del cantón, por ello se debe considerar que, en la

actualidad las amenazas más importantes contra de la información, la encontramos

dentro de la misma institución donde se labora, ya sea por accesos indebidos o no

autorizados a los sistemas realizados principalmente por los empleados de la misma

institución.

Se debe tener en cuenta además los ataques de virus informáticos que son

ocasionados intencionalmente o por desconocidos de los mismos empleados al

ingresar memorias extraíbles o al instalar posibles softwares que les permitirán

mejorar el rendimiento de los equipos.

En las diferentes conversaciones mantenidas con algunos de los miembros de la

organización, se sienten preocupados más por los agentes internos que por los

externos factor por el cual es necesario realizar el estudio y dar respuesta satisfactoria

a estos interrogantes.

3.3.1 Análisis FODA de la Institución.

Se realizó el análisis FODA al GAD Cantonal de Pastaza, con el objetivo de visualizar

su situación actual, la cual permitió diagnosticar el aspecto informático institucional,

con el propósito de tomar decisiones, concernientes a la propuesta.

Las fortalezas y debilidades se obtuvieron, realizando un análisis interno en la

empresa con las personas involucradas en el área informática. Para el análisis de

oportunidades y las amenazas se consideraron los posibles agentes externos que

57

puedan influenciar en ésta, tratando de puntualizar las de mayor relevancia para que el

resultado sea el más idóneo.

Tabla 12 Matriz del análisis FODA

Fortalezas Debilidades

• Equipos informáticos en buen

estado.

• Cobertura del internet en todas las

dependencias.

• Ancho de banda adecuado a sus

necesidades.

• Ambiente laboral adecuado.

• Predisposición de las autoridades

en dar mayor presupuesto.

• Predisposición del área informática

en aplicar políticas de seguridad.

• Falta de políticas de Seguridad

Informática.

• No existe controles de seguridad

de acceso.

• Falta seguridad en el centro de

servidores.

• Escaso personal para dar soporte y

monitoreo.

• Libre acceso a equipos e

información.

• Los procesos con que cuenta la

institución no son documentados

Oportunidades Amenazas

• Implementación del estándar ISO

27001.

• Implemento de nuevas tecnologías.

• Mejorar la capacitación de los

involucrados en las TIC´s.

• Existencia en el mercado de

herramientas para la mejora de la

seguridad.

• Desastres naturales como

terremoto.

• Inestabilidad y cortes de la energía

eléctrica.

• Incendios.

• Incremento de delitos informáticos.

58

3.3.2 Evaluación de la Situación Actual.

Para la realización de la evaluación de la situación actual se utilizo la herramienta

Microsoft Security Assessment Tool (MSAT). Esta herramienta está diseñada para

ayudar a las organizaciones a evaluar los puntos débiles de su entorno de seguridad

de TI. Presenta un listado de cuestiones ordenadas por prioridad, así como orientación

específica para minimizar esos riesgos. MSAT permite fortalecer la seguridad de su

entorno informático y de su negocio de manera fácil y efectiva.

El objetivo de la herramienta es cubrir la mayor cantidad posible de áreas de riesgo del

entorno empresarial y no mide la efectividad de las medidas de seguridad empleadas,

sino que proporciona una guía preliminar sobre la cual desarrollar la línea a seguir en

áreas específicas que requieren una mayor atención. Está diseñada para ayudar a

identificar y abordar los riesgos de seguridad en un entorno tecnológico determinado.

Su evaluación se basa en los siguientes parámetros.

• Índice de defensa de profundidad (DiDi): (Defense-in-Depth Index) Medida de

las defensas de seguridad utilizadas en el personal, los procesos y la

tecnología para contribuir a reducir los riesgos identificados en una empresa.

Tiene una puntuación de 0 a 100. Una puntuación más alta significa un entorno

donde han tomado más medidas para implementar estrategias de defensa.

• Perfil de riesgos para la empresa (BRP): El BRP mide el riesgo asociado a la

forma en que el cliente está llevando a cabo sus negocios o interactuando con

otras empresas o clientes. Se centra principalmente en riesgos técnicos u

operativos. Si el resultado obtenido en el BRP es alto, indica que el cliente está

realizando operaciones en un entorno de alto riesgo, tiene una competencia muy

fuerte o bien sus sistemas, herramientas o procesos están siendo amenazados

directa e indirectamente. BRP ayuda a identificar esos riesgos y ofrece unos

valores de referencia sobre los que comparar los resultados obtenidos por el

Defense-in-Depth Index (DiDI).

• AoAs: Áreas de análisis que son la infraestructura, las aplicaciones,

operaciones, y la gente.

59

3.3.3 Evaluación general

En el análisis realizado, la figura 18, está dividido en áreas, donde se muestran las

diferencias en el resultado de la defensa en profundidad. La barra azul muestra el

nivel de riesgo al que está expuesto El GAD Cantonal de Pastaza y la medida

violeta muestra el nivel de controles que se han incluido considerando defensa en

profundidad.

Es mejor contar con una calificación de DiDI del mismo nivel que otra de BRP para la

misma categoría. Un desequilibrio, ya sea dentro de una categoría o entre categorías,

en cualquier dirección, puede indicar la necesidad de volver a alinear sus inversiones

de TI.

3.3.4 Perfil de riesgos para la empresa vs Índice de defensa en profundidad

Informe resumido

Figura 18 Distribución de defensa de riesgos

3.3.4.1 Madurez de la seguridad

La madurez de la seguridad incluye los controles (tanto físicos como técnicos), la

competencia técnica de los recursos informáticos, las directivas, los procesos y las

prácticas sostenibles. La madurez de la seguridad se puede medir únicamente a

través de la capacidad de la empresa para utilizar de forma eficaz las herramientas

60

disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de

muchas disciplinas. Debe establecerse una línea de partida de la madurez de la

seguridad y usarse para definir las áreas en las que centrar los programas de

seguridad de la empresa. No todas las empresas deben esforzarse por alcanzar el

nivel óptimo, pero todas deben evaluar en qué punto se encuentran y determinar el

lugar que deberían ocupar en vista de los riesgos comerciales a los que se enfrentan.

Por ejemplo, puede que una empresa con un entorno de bajo riesgo no necesite nunca

subir encima del límite superior del nivel básico o el límite inferior del nivel estándar.

Las empresas con un entorno de alto riesgo probablemente entren de lleno en el nivel

optimizado. Los resultados del perfil de riesgos para la empresa le permiten hacer un

balance de los riesgos.

Madurez de la seguridad. Una medida de las prácticas de una empresa con respecto

a las mejores prácticas de la industria para la seguridad sostenible. Todas las

empresas deben esforzarse en alinear su nivel de madurez y estrategia de seguridad

asociada, en relación a los riesgos que conlleva su actividad comercial:

Básica. Algunas medidas eficaces de seguridad utilizadas como primer escudo

protector; respuesta de operaciones e incidentes aún muy reactiva

Estándar. Capas múltiples de defensa utilizadas para respaldar una estrategia

definida

Optimizada. Protección efectiva de los asuntos de forma correcta y garantía de la

utilización del mantenimiento de las mejores prácticas recomendadas

Leyenda:

Cumple las mejores prácticas Necesita mejorar Carencias severas

61

Figura 19 Tarjeta de puntuación de la evaluación de riesgos herramienta MSAT

62

Como se puede observar en la tarjeta de puntuación, en la sección Aplicaciones,

debemos poner atención en los puntos relacionados a la implementación y uso de

aplicaciones, equilibrio de cargas, aplicación y recuperación de datos, fabricante de

software independiente, desarrollo intermitente, vulnerabilidades entre otros.

La tabla N° 13 presenta las áreas que no cumplen las mejores prácticas

recomendadas y deben dirigirse a aumentar la seguridad del entorno del GAD

Cantonal de Pastaza.

3.3.5 Iniciativas de seguridad

Las siguientes áreas no cumplen las mejores prácticas recomendadas y deben

dirigirse a aumentar la seguridad de su entorno. Las secciones Detalles de la

evaluación y Lista de acciones recomendadas de este informe incluyen más detalles,

como resultados, mejores prácticas y recomendaciones.

Tabla 13 Iniciativas de seguridad

Prioridad alta Prioridad intermedia Prioridad baja

• Inalámbrico

• Segmentación

• Usuarios de acceso

remoto

• Seguridad física

• Creación segura

• Evaluaciones de

seguridad

• Validación de datos de

entrada

• Usuarios

administrativos

• Reglas y filtros de

cortafuegos

• Antivirus

• Host de gestión-

Servidores

• Host de gestión -

Dispositivos de red

• Protocolos y servicios

• Copias de seguridad

• Antivirus - Equipos de

escritorio

Fuente: Evaluación realizada utilizando la herramienta MSAT

63

3.4 PDCA Ciclo Miding

Para establecer y planificar un Sistema de Gestión de la Seguridad de la Información

en base al estándar de la ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en

los sistemas de gestión de la calidad.

Figura 20 PDCA Proceso Miding.

Fuente: (Frayssinet, s/f)

3.4.1 Alcance del SGSI:

El Plan de Gestión de Seguridad de la Información del GAD Cantonal de Pastaza

abarca todas las áreas, procesos, servicios e información vital para garantizar la

disponibilidad de los servicios que la Municipalidad presta, tanto a nivel interno como a

nivel externo; asegurando la confidencialidad, integridad y disponibilidad de los

servicios y los sistemas de información existentes.

Por ello, se hará énfasis en aquellos activos que, por su valor en relación a la

disponibilidad de los sistemas de información y los servicios puedan ser susceptibles a

64

sufrir riesgos de seguridad, y a su vez puedan comprometer el objetivo general de la

Municipalidad.

• Activos de Información (Dirección de Informática). Bases de datos, documentos

del sistema, manuales de usuario, procedimientos documentados, información

archivada en medios digitales o impresos.

• Documentos legales (Síndico). Contratos con proveedores, contratistas,

Empleados, Obreros relacionados con los procesos críticos.

• Activos de Software (Dirección de Informática). De aplicación, del sistema

operativo, nuevos desarrollos que puedan exponer información crítica de la

Institución.

• Activos de Hardware (Dirección de Informática). Servidores de aplicación, de

base de datos, web, de respaldo, PC.

3.4.2 Políticas Generales

a) Garantizar la disponibilidad de los Sistemas de Información administrativos.

b) Garantizar el funcionamiento de estos sistemas y así apoyarlos con las actividades

de Soporte Técnico.

c) Minimizar el hurto de partes y piezas de los equipos de computación que se utilizan

para el manejo de los sistemas de información administrativos y financieros.

d) Asegurar que los contribuyentes y público en general, tengan acceso a los

servicios que se prestan dentro del GAD Cantonal.

e) Asegurar la confidencialidad, integridad y la disponibilidad, de la información para

garantizar los servicios que presta el GAD Cantonal.

65

f) Garantizar que la información que la Alcaldía maneja o que está contenida en los

equipos de computación, sólo sea accedida por sus propietarios o por personal

autorizado.

g) Asegurar que el desarrollo de software esté dentro de los parámetros de calidad

utilizando para ello los estándares necesarios.

3.4.3 Metodología para evaluación de riesgos

Existen numerosas metodologías estandarizadas para la evaluación de riesgos y la

organización puede optar por una de ellas, aplicar una combinación de varias o crear

la suya propia. ISO 27001 no impone ninguna metodología para que cada

organización pueda aplicar la que estime más oportuno y funcional según el esfuerzo

de análisis y recursos que pueda aplicar (ISO27000.ES, n.d.).

3.4.4 Identificación y evaluación de activos.

Se debe realizar un inventario antes del diseño de la política, porque es necesario

identificar y evaluar, aspectos fundamentales con los cuales opera la institución, para

lo cual, se analizarán los activos y la información.

De conformidad a la norma 27005 se debe realizar las siguientes fases:

3.4.4.1 Identificación de activos informáticos

El inventario de activos informático fue proporcionado por el departamento de

TIC´s del GAD Cantonal de Pastaza, mismo que se describen a continuación.

66

Detalle técnico de los servidores.

Tabla 14 Servidor Administrativo.

Datos Generales

Fecha de la

compra 1/6/2005 Fecha actual 18/02/2011

Tiempo de Trabajo

17 días 8 meses 5 años

Departamento SERVIDORE

S Usado para

SERVIDOR ADMINISTRATIVO

N° Personas que la usan

1

Nombre del

Equipo SERVERAD

M Dominio de

trabajo Responsable

del PC Ing. Cristian

Riofrio

Hardware del Equipo

Tipo PC Escritorio Procesador 2 INTEL XEON 3,0

GHZ Memoria 4GB

Estado M Estado M Estado M

MainBoard Intel CD-Rom/DVD-

Rom CD-Rom

Unidades Adicionales


Disco Duro 4 DD SCI 320 GB

Mouse Genius Parlantes

Estado M Estado M Estado

Teclado HP Tarjeta

Adicional Marca/Armada HP

Estado M Estado

Monitor SAMSUNG Impresora Nombre PC ANTV

Estado M Estado

Software Instalado

Sistema

Operativo Win Server 2003 Stad

Sistema Cliente/Servido

r Ofimática M. Office 2007

Estado B Estado Estado M

Antivirus K Utilitarios Drivers del PC

S/N

Estado M Estado Estado

Otros Otros Otros


Soporte

Respaldos de

Información

Uso de Flash, CD o DVD

SI IP 172.18.x.xx

Observaciones.-

CPU 008-01-01-

0143 1500

MONITOR 008-02-01-

0143 50

IMPRESORA

Estado: M = Muy bueno B = Bueno R =

Regular X = Malo Observación 1= Espacio/cables 2= Software 3=

Hardware Combinar #

AntiVirus: K = Kaspersky M = Malwarebytes

CC = Ccleaner

Información recopilada el:

Fuente GAD Municipal de Pastaza.

67

Tabla 15 Servidor de Sistema de Información Geográfica.

Datos Generales

Fecha de la


Tiempo de Trabajo



S Usado para SERVIDOR GIS


1

Nombre del

Equipo SERVERGIS

Dominio de trabajo

Responsable del PC

Ing. Cristian Riofrio

Hardware del Equipo

Tipo PC Escritorio Procesador 2 INTEL XEON

3,0 GHZ Memoria 4GB



Rom CD-Rom



Disco Duro 4 DD SCI 320

GB Mouse Genius Parlantes


Teclado HP Tarjeta


Estado M Estado

Monitor Impresora Nombre PC ANTV

Estado M Estado

Software Instalado

Sistema


Sistema Cliente/Servidor

Ofimática M. Office 2007



S/N


Otros Otros Otros


Soporte

Respaldos de

Información


SI IP 172.18.x.xx

Observaciones.-

CPU 008-01-01-

0144 1500

MONITOR

IMPRESORA


Regular X = Malo Observación 1= Espacio/cables 2= Software

3= Hardware Combinar #


CC = Ccleaner



68

Tabla 16 Servidor web

Datos Generales

Fecha de la


Tiempo de Trabajo



S Usado para

SERVIDOR WEB


1

Nombre del

Equipo SERVERGIS

Dominio de trabajo

Responsable del PC

Ing. Cristian Riofrio

Hardware del Equipo

Tipo PC Escritorio Procesador INTEL XEON

3,0 GHZ Memoria 4GB



Rom CD-Rom






Teclado HP Tarjeta


Estado M Estado

Monitor Impresora Nombre PC ANTV

Estado M Estado

Software Instalado

Sistema






S/N


Otros Otros Otros


Soporte

Respaldos de

Información


SI IP 172.18.x.xx

Observaciones.-

CPU 008-01-01-

0145 1500

MONITOR

IMPRESORA


Regular X = Malo Observación 1= Espacio/cables 2= Software

3= Hardware Combinar #


CC = Ccleaner



69

Tabla 17 Detalle servidor de archivos.

Fecha de la compra

1/6/2005 Fecha actual 18/02/2011 Tiempo de

Trabajo 17 días 8 meses

5 años

Departamento SERVIDORES Usado para SERVIDOR DE

ARCHIVOS N° Personas que

la usan 1

Nombre del Equipo

SERVERFILES Dominio de

trabajo Responsable del

PC Ing. Cristian

Riofrio

Tipo PC Escritorio Procesador INTEL P III 3,0

GHZ Memoria 1GB



Rom CD-Rom






Teclado HP Tarjeta Adicional Marca/Armada HP

Estado M Estado

Monitor Impresora Nombre PC

Estado M Estado

Sistema Operativo Win Server 2003 Stad





S/N


Otros Otros Otros


Respaldos de Información

Uso de Flash, CD

o DVD SI IP 172.18.x.xx

CPU 008-01-01-0146 600

MONITOR 50

IMPRESORA

Estado: M = Muy bueno B = Bueno R = Regular X = Malo

Observación 1= Espacio/cables 2= Software 3= Hardware Combinar #

AntiVirus: K = Kaspersky M = Malwarebytes CC = Ccleaner



70

Tabla 18 Equipos en las Diferentes Oficinas y Departamentos

Departamentos PC-

Escritorio PC-Portátil

Impresoras Copiadora Scanner

Plotter Proyector TOTAL,

PC

Administrativo 6 1 2 7

Secretaría General 3 2 3

Proveeduría 4 2 4

Personal 2 1 2

Jurídico 8 2 8

Obras Públicas 14 5 14

Turismo 5 1 2 6

Desarrollo Local 7 1 4 1 8

Recaudación 5 5 5

Tesorería 3 2 3

Rentas 3 1 3

Sistemas 2 3 2 2 5

Avalúos y Catastros 19 2 1 19

Planificación 24 2 3 1 1 26

Financiero 10 7 10

Auditoria Interna 2 1 2

Proyecto AGIP 2 1 2

Alcaldía 1 1 1 2

Antivirus 1 1

Compras Publicas 4 1 4

Registro de la Propiedad 12 2

12

Seguridad Ciudadana 2 1

2

SERVIDORES 4 4

TOTAL 143 8 45 2 4 152


71

Comparación de equipos

Tabla 19 Tiempo de vida de los equipos

Comparación de Equipos Cantidad

Menor a un año 25

1 año 21

2 años 34

3 años 18

5 años 49

6 años 2

7 años 2

9 años 1

TOTAL 152

Fuente GAD Cantonal de Pastaza.

Figura 21 Tiempo de vida de los equipos.


05

101520253035404550

Menor aun año

1 año 2 años 3 años 5 años 6 años 7 años 9 años

2521

34

18

49

2 2 1

Comparación de Equipos

72

Equipos conectados y fuera de red

Tabla 20 Equipos Conectados y fuera de Red.

Red Cantidad

En Red 146

Fuera de Red 6

TOTAL 152


Figura 22 Equipos en res y fuera de red


0

20

40

60

80

100

120

140

160

En Red Fuera de Red

146

6

Equipos en Red y Fuerea de Red

73

Característica del Hardware (Procesadores)

Tabla 21 Caracteristica de Procesadores

PROCESADORES TOTAL

Core I7 4

Core I3 8

Intel Core 2 Quad 2

Intel Core 2 Duo 42

Intel Dual Core 12

Intel Centrino 7

Intel P4 75

Intel P3 2

TOTALES 152


Figura 23 Equipos en res y fuera de red


48

2

42

12 7

75

2

PROCESADORES

74

Sistemas Operativos

Tabla 22 Equipos en res y fuera de red

SISTEMAS OPERATIVOS TOTAL

Win XP SP2 77

WIN XP SP3 57

Win 7 32 bits 2

Win 7 64 bits 12

Win Server 2003 Stad 4

TOTALES 152


Figura 24 Utilización de Sistemas Operativos.


Definir el enfoque de Evaluación de riesgo

Una vez identificados todos los activos de información comprendidos en el alcance y

siguiendo las pautas del estándar ISO 27001:2013 en su sección 4.2.1, donde se

establece que el análisis y evaluación de riesgo se debe efectuar de forma disciplinada

y sistemática, para determinar cuáles de los activos que deben ser protegidos para

mitigar su riesgo, así como también determinar cuál es el riesgo residual (riesgo con el

cual la institución está decidida a convivir), los pasos a seguir en la aplicación son:

WIN XPSP3

Win 7 32bits

Win 7 64bits

Win Server2003 Stad

57

2

124

SISTEMAS OPERATIVOSSISTEMAS OPERATIVOS TOTAL

75

Ponderación de la criticidad de activos.

La ponderación de activos es una etapa en la que se debe determinar en términos

cualitativos la criticidad de los distintos activos. Esta ponderación se realizó en

términos de “alto, medio o bajo” donde se asigna un valor cuantitativo a cada valor

cualitativo, como se muestra en la Tabla 23.

Tabla 23. Ponderación para valorar los activos

Ponderación Calificación

Alto 3

Medio 2

Bajo 1

Tasación de activos

La valoración se la realiza respecto a la confidencialidad, integridad y

disponibilidad de la información, ya que estos son los ejes en los que se basa la

seguridad de la información. La Tabla 24 contiene la tasación del inventario de

activos de información levantados; el valor de tasación es el promedio de los

campos “Criterios de Tasación”.

Tabla 24. Tasación de activos

Activos

Criterios de tasación

Tasación

Confidencialidad Integridad Disponibilidad

Servidor 2 3 3 2,67

Computadores 2 3 3 2,67

Teléfonos 1 1 1 1,00

Impresoras 1 1 2 1,33

Sistema Financiero 3 3 3 3,00

76

Sistema Catastral 3 3 3 3,00

Sistema de Planificación 3 3 3 3,00

Información Financiera 3 3 3 3,00

Correo electrónico 3 2 2 2,33

Sistema operativo 2 3 2 2,33

Información institucional 3 3 3 3,00

Desarrollo de software 2 2 1 1,66

Administrativo 2 2 2 2,00

Departamental 1 1 2 1,33

3.4.5 Identificación de amenazas a los activos de información.

Una amenaza es cualquier causa que pueda infligir daño a un sistema u

organización. Las amenazas pueden clasificarse como:

• Naturales

• Tecnológicas

• Fallas Humanas intencionales

• Fallas Humanas no intencionales

Junto con el Director del Departamento de las TICps del GAD Cantonal de

Pastaza, se determinó que los activos cuya valoración resultó ser mayor de dos

(2), serán los que sirven para identificar las amenazas. En la Tabla 25, se muestra

el listado de las amenazas que están sujetos los activos.

77

Tabla 25 Amenazas de los activos

Activos Amenazas

Servidor

• Interrupción de la red

• Código malicioso (virus, troyano, entre otros)

• Falla o daño del equipo

• Acceso físico no autorizado

• Falla de suministro de energía

Computadores

• Interrupción de la red

• Código malicioso (virus, troyano, entre otros)

• Falla o daño del equipo

• Acceso físico no autorizado

• Falla de suministro de energía

Sistema financiero

• Interrupción del servicio

• Modificación, eliminación, hurto de datos por usuario no autorizado

Sistema Catastral

• Interrupción del servicio

• Perdida de información.

• Modificación, eliminación, hurto de datos por usuario no autorizado

Sistema de Planificación

• Pérdida de información

• Corrupción de la información

• Hurto de la información

Información financiera




Correo electrónico • Imposibilidad de descargar o enviar mensaje

• Acceso no autorizado a este servicio.

Sistema operativo • Código malicioso (virus, troyano, malware, entre

otros)

Información institucional




78

Desarrollo de software

• No establecido con los estándares de calidad.

• Sin los requisitos no funcionales bien determinados.

• Sin establecimiento de autoría de desarrollo.

Administrativo




Departamental




3.4.6 Ponderación del Impacto de materializarse la amenaza.

La ponderación se la realizó conjuntamente con el personal del Departamento de

las TIC´s, tomando en cuenta el impacto financiero e institucional. Dicha

ponderación se encuentra listada en la Tabla 26.

Tabla 26 Ponderación del impacto en caso de materializarse la amenaza


Alto 3

Medio 2

Bajo 1

Identificación de vulnerabilidades

La vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un

atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y

consistencia del sistema y/o de sus datos o aplicaciones. Se puede decir que la

vulnerabilidad en sí mismo no causa daño, es simplemente una condición o

conjunto de condiciones que pueden permitir que una amenaza se concrete

afectando o dañando los sistemas e información

La Tabla 27, lista las distintas vulnerabilidades que se evidencian en los activos de

GAD Cantonal de Pastaza.

79

Tabla 27 Vulnerabilidades encontradas

Activos Amenazas Vulnerabilidades

Servidor

Interrupción de la red Cableado estructurado defectuoso

Código malicioso (virus,

troyano, entre otros)

Poco control de actualizaciones de

antivirus licenciados

Falla o daño del equipo Poco mantenimiento

Acceso físico no autorizado Control de acceso inadecuado

Falla de suministro de

energía

Inexistencia de sistema de

alimentación alterno de energía.

Computadores

Interrupción de la red Cableado estructurado defectuoso



Poco control de actualizaciones de

antivirus licenciados

Falla o daño del equipo Poco mantenimiento

Acceso físico no autorizado Control de acceso inadecuado


energía

Inexistencia de sistema de

alimentación alterno de energía

Sistema

financiero

Interrupción del servicio Control de acceso inadecuado

Modificación, eliminación,

hurto de datos por usuario

no autorizado

Control de acceso inadecuado

Sistema

Catastral

Interrupción del servicio Control de acceso inadecuado

Perdida de información Ausencia de políticas de respaldo

Modificación, eliminación,

hurto de datos por usuario Control de acceso inadecuado

80

no autorizado

Sistema de

planificación.

Pérdida de información Ausencia de políticas de respaldo

Corrupción de la información No existe antivirus licenciado

Hurto de la información Control de acceso inadecuado

Información

financiera




Guías de envío

Pérdida de la guía Ausencia de políticas de respaldo

Corrupción del documento No existe antivirus licenciado

Correo

electrónico

Imposibilidad de descargar o

enviar mensaje No existe antivirus licenciado

Corrupción de archivo No existe antivirus licenciado

Sistema

operativo



No se controla la actualización de

los antivirus licenciados

Información

institucional




Desarrollo de

Software

No establecido con los

estándares de calidad

No se toma en cuenta los

estándares de calidad

Sin los requisitos no

funcionales bien definidos No hay análisis adecuado.

Sin establecimiento de

auditoria de desarrollo. No hay una auditoria de desarrollo

81

Administrativo




Departamental

Perdida de la información. Ausencia de políticas de respaldo


Hurto de la información. Control de acceso inadecuado.

3.4.6.1 Tasación de la probabilidad de que la amenaza explote la

vulnerabilidad.

La calificación que se muestra en la Tabla 28, los cuales son términos cuantitativos

del 1 al 3, que nos indican que tan probable es que una amenaza se concrete con

una o varias de las vulnerabilidades encontradas.

Tabla 28 Probabilidad de que explote una amenaza


Alto 3

Medio 2

Bajo 1

Posterior a establecer y listar las amenazas y vulnerabilidades, la norma ISO/IEC

27005 recomienda hacer una calificación del riesgo y al mismo tiempo valorar

cualitativamente la amenaza para analizar posteriormente los controles a

implementar.

3.4.7 Análisis y Evaluación del Riesgo

La Tabla 29 muestra la calificación del riesgo, haciendo un análisis entre las

amenazas y las vulnerabilidades encontradas, esta calificación del riesgo se la

realiza haciendo una multiplicación de la probabilidad por el impacto (PxI).

82

Tabla 29 Calificación del riesgo.

Activos Amenazas Vulnerabilidades

Probabilidad

amenaza

concrete

vulnerabilidad

Impacto de

materializarse

la amenaza

Calificación

del riesgo

PxI

Servidor

Interrupción de la red

Cableado

estructurado

defectuoso

2 2 4



No existe

antivirus

licenciado

2 3 6

Falla o daño del equipo Poco

mantenimiento 1 2 2

Acceso físico no

autorizado

Control de

acceso

inadecuado

1 2 2


energía

Inexistencia de

sistema de

alimentación

alterno

1 3 3

Computadores

Interrupción de la red

Cableado

estructurado

defectuoso

1 2 2



No existe

antivirus

licenciado

2 3 6

Falla o daño del equipo Poco

mantenimiento 1 2 2

Acceso físico no

autorizado

Control de

acceso

inadecuado

1 2 2


energía

Inexistencia de

sistema de

1 3 3

83

alimentación

alterno

Sistema

financiero

Interrupción del servicio

Control de

acceso

inadecuado

2 2 4

Modificación,

eliminación, hurto de

datos por usuario no

autorizado

Control de

acceso

inadecuado

2 2 4

Sistema

Catastral

Interrupción del servicio

Control de

acceso

inadecuado

2 2 4

Modificación,

eliminación, hurto de

datos por usuario no

autorizado

Control de

acceso

inadecuado

2 2 4

Información de

Planificación

Pérdida de información

Ausencia de

políticas de

respaldo

2 3 6

Corrupción de la

información

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Hurto de la información

Control de

acceso

inadecuado

2 2 4

Información

financiera


Ausencia de

políticas de

respaldo

2 2 4

Corrupción de la

información

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Hurto de la información Control de 2 2 4

84

acceso

inadecuado

Correo

electrónico

Imposibilidad de

descargar o enviar

mensaje

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Corrupción de archivo

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Sistema

operativo



No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Información

institucional


Ausencia de

políticas de

respaldo

2 2 4

Corrupción de la

información

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Hurto de la información

Control de

acceso

inadecuado

2 2 4

Desarrollo de

software

No establecido con los

estándares de calidad.

No se toma en

cuenta los

estándares de

calidad

2 2 4

Sin los requisitos no

funcionales bien

determinados

No hay análisis

adecuado. 3 2 6

Sin establecimiento de

autoría de desarrollo

No hay una

auditoria de

2 2 4

85

desarrollo

Administrativo

Pérdida de información Ausencia de

políticas de

respaldo

2 2 4

Corrupción de la

información

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Hurto de la información Control de

acceso

inadecuado

2 2 4

Departamental

Pérdida de información Ausencia de

políticas de

respaldo

2 2 4

Corrupción de la

información

No existe

actualización

periódica del

antivirus

licenciado

2 3 6

Hurto de la información Control de

acceso

inadecuado

2 2 4

3.4.7.1 Opciones para el tratamiento del riesgo

Seleccionar los objetivos de control para el tratamiento de los riesgos.

Luego de identificar, estimar y cuantificar los riesgos, se deben determinar los

objetivos específicos de control y, con relación a ellos, establecer los procedimientos

de control más convenientes, para enfrentarlos de la manera más eficaz.

En la cláusula 4.2.1 (g) de la norma plantea de manera muy precisa que se deben

seleccionar objetivos de control y controles apropiados del estándar ISO 27001:2013:

(a) Aplicar controles apropiados. (b) Aceptar riesgos consistente y objetivamente. (c)

86

Evitar los riesgos. (d) Transferir los riesgos, y la selección se debe justificar sobre la

base de las conclusiones del análisis y evaluación de los riesgos.

En general, aquellos riesgos cuyo coste esté estimado como de baja frecuencia, se

puede asumir el riesgo y tratarlo más tarde. Por el contrario, los que se estiman de alta

frecuencia o costo ALTA es donde se debe tomar medidas. De las opciones

propuestas por la norma se decidió tomar las 2 primeras, por lo que en este caso

serán controlados o asumidos. En consecuencia, se deben proponer controles para

gestionar los riesgos calificados como tasación ALTA. Estos controles se toman de la

ISO/IEC 27002:20013; sin embargo, la norma aclara que los controles propuestos no

son exclusivos y podrían adoptarse otros tipos de controles.

Tabla 30 Mapeo de controles seleccionados

Referencia Control Aplicación

5. POLÍTICAS DE SEGURIDAD

5.1. Directrices de la

Dirección en

seguridad de la

información.

5.1.1. Conjunto de

políticas para la seguridad

de la información.

Definir un conjunto de políticas para la

seguridad de la información, aprobada

por el Departamento, publicada y

comunicada a los empleados y partes

interesadas del GAD Cantonal de

Pastaza.

5.1.2 Revisión de las

políticas para la seguridad

de la información

Realizar acciones preventivas y

correctivas cada vez que se evidencie un

hallazgo

Realizar revisiones periódicas de las

políticas de seguridad

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 Organización

interna.

6.1.1 Asignación de

responsabilidades para la

seguridad de la

información.

Definir y asignar al personal las

responsabilidades de la seguridad de la

información

Documentar y definir los procesos de

asignación y seguridad

6.1.2 Segregación de

tareas.

Garantizar las actividades de seguridad

siguiendo la política de seguridad

87

6.1.3 Contacto con las

autoridades.

Se debe mantener contactos apropiados

con las autoridades pertinentes para

conseguir el apoyo institucional

6.1.4 Contacto con

grupos de interés

especial.

Se deben mantener controles apropiados

con grupos de interés especial u otros

foros y asociaciones profesionales

especializadas en seguridad

6.1.5 Seguridad de la

información en la gestión

de proyectos.

Autorización por la Dirección del

Departamento de TIC´s

Procedimientos documentados para

contactar con los involucrados en los

proyectos

6.2 Dispositivos para

movilidad y

teletrabajo.

6.2.1 Política de uso de

dispositivos para

movilidad.

Adoptar una política y unas medidas de

seguridad de soporte, para gestionar los

riesgos introducidos por el uso de

dispositivos móviles.

6.2.2 Teletrabajo Contar con los privilegios de acceso

remoto

7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.

7.1 Antes de la

contratación.

7.1.1 Investigación de

antecedentes

Documentar el historial de vida y trabajo

de los involucrados dentro del

departamento de TIC´s

7.1.2 Términos y

condiciones de

contratación.

Los acuerdos contractuales con

empleados y contratistas deben

establecer sus responsabilidades y las de

la organización en cuanto a seguridad de

la información.

7.2 Durante la

contratación.

7.2.1 Responsabilidades

de gestión.

Exigir a todos los empleados y

contratistas la aplicación de la seguridad

de la información de acuerdo con las

políticas y procedimientos establecidos de

la organización.

7.2.2 Concienciación,

educación y capacitación

Capacitación al personal relacionado al

departamento en temas de seguridad de

88

en seguridad de la

información

la información.

Establecer procesos de formación y

concientización, diseñado para presentar

las políticas de seguridad de la

organización

7.2.3 Proceso disciplinario

Se debe contar con un proceso formal y

comunicado para emprender acciones

contra empleados que hayan cometido

una violación a la seguridad de la

información.

7.3 Cese o cambio

de puesto de trabajo.

7.3.1 Cese o cambio de

puesto de trabajo.

Documento de confidencialidad de la

información firmado por el ocupante del

puesto.

8. GESTIÓN DE ACTIVOS.

8.1 Responsabilidad

sobre los activos.

8.1.1 Inventario de

activos.

Mantener un inventario de activos

actualizado semestralmente.

8.1.2 Propiedad de los

activos.

Identificar el propietario de los activos y el

custodio y documentarlo.

Clasificar los activos por niveles

8.1.3 Uso aceptable de

los activos.

Informar al personal sobre el uso de los

activos

8.1.4 Devolución de

activos.

Todos los empleados y usuarios de

partes externas deben devolver todos los

activos de la organización que se

encuentren a su cargo, al terminar su

empleo, contrato o acuerdo.

Procedimiento que garantice la

transferencia de información al finalizar su

contratación.

8.2 Clasificación de

la información.

8.2.1 Directrices de

clasificación.

Emitir directrices sobre cómo se clasifican

los activos informáticos

89

8.2.2 Etiquetado y

manipulado de la

información.

Desarrollar e implementar un conjunto

apropiado de procedimientos para el

etiquetado de la información, de acuerdo

con el esquema de clasificación de

información adoptado por la organización

8.2.3 Manipulación de

activos.

Generar manuales de configuración de

los activos informáticos

8.3 Manejo de los

soportes de

almacenamiento.

8.3.1 Gestión de soportes

extraíbles.

Responsabilizar a los custodios de la

confidencialidad de los activos de

información

8.3.2 Eliminación de

soportes.

Analizar e identificar los departamentos

que no necesitan soporte de

almacenamiento.

8.3.3 Soportes físicos en

tránsito.

Se deben implementar procedimientos

para la gestión de medios de soporte

removibles, de acuerdo con el esquema

de clasificación adoptado por la

organización.

9. CONTROL DE ACCESOS.

9.1 Requisitos de

negocio para el

control de accesos.

9.1.1 Política de control

de accesos.

Establecer, documentar y revisar una

política de control de acceso con base en

los requisitos del negocio y de seguridad

de la información.

9.1.2 Control de acceso a

las redes y servicios

asociados.

Solo se debe permitir acceso de los

usuarios a la red y a los servicios de red

para los que hayan sido autorizados

específicamente.

9.2 Gestión de

acceso de usuario.

9.2.1 Gestión de

altas/bajas en el registro

de usuarios.

implementar un proceso formal de

registro y de cancelación del registro para

posibilitar la asignación de los derechos

de acceso

9.2.2 Gestión de los

derechos de acceso

asignados a usuarios.

Documentar el derecho de acceso

asignado a los usuarios

90

9.2.3 Gestión de los

derechos de acceso con

privilegios especiales.

Establecer para cada tipo de activo los

privilegios otorgados de acuerdo a la

evaluación de riesgos asociada.

9.2.4 Gestión de

información confidencial

de autenticación de

usuarios.

Mantener un registro del acceso e

identificación de usuarios actualizándolo

periódicamente.

9.2.5 Revisión de los

derechos de acceso de

los usuarios.

Los dueños de los activos deben revisar

los derechos de acceso de los usuarios a

intervalos regulares.

9.2.6 Retirada o

adaptación de los

derechos de acceso

De acuerdo a las políticas, retirar o

adaptar los derechos de acceso y

documentar los mismos.

9.3

Responsabilidades

del usuario.

9.3.1 Uso de información

confidencial para la

autenticación.

Definir políticas de seguridad para

usuarios de los equipos.

Las contraseñas predeterminadas se

cambian inmediatamente después de la

instalación de los sistemas o del software

Las contraseñas temporales se

suministran de forma segura a los

usuarios

9.4 Control de

acceso a sistemas y

aplicaciones.

9.4.1 Restricción del

acceso a la información.

Garantizar que los datos de salida de los

sistemas de aplicación que manejan

información sensible solo contengan la

información pertinente para el uso de la

salida y que se envía únicamente a

terminales o sitios autorizados.

9.4.2 Procedimientos

seguros de inicio de

sesión.

Cuando lo requiere la política de control

de acceso, el acceso a sistemas y

aplicaciones se debe controlar mediante

un proceso de conexión segura.

9.4.3 Gestión de

contraseñas de usuario.

Autorizar a un funcionario la gestión de

contraseñas de usuarios, lo cual se lo

realice documentadamente.

91

9.4.4 Uso de

herramientas de

administración de

sistemas.

Restringir y controlar estrechamente el

uso de programas utilitarios que podrían

tener capacidad de anular el sistema y los

controles de las aplicaciones.

9.4.5 Control de acceso al

código fuente de los

programas

Previa autorización documentada se

podrá acceder al código fuente de los

programas.

10. CIFRADO.

10.1 Controles

criptográficos.

10.1.1 Política de uso de

los controles

criptográficos.

Se debe desarrollar e implementar una

política sobre el uso de controles

criptográficos para protección de

información.

10.1.2 Gestión de claves.

Se debe desarrollar e implementar una

política sobre el uso, protección y tiempo

de vida de claves criptográficas, durante

todo su ciclo de vida.

11. SEGURIDAD FÍSICA Y AMBIENTAL.

11.1 Áreas seguras.

11.1.1 Perímetro de

seguridad física.

Controlar el acceso autorizado a los

perímetros y locales de los equipos.

11.1.2 Controles físicos

de entrada.

Definir controles físicos, técnicos y

organizacionales para cada activo

11.1.3 Seguridad de

oficinas, despachos y

recursos.

Establecer el reglamento y las normas

sobre las actividades y procesos

informáticos

11.1.4 Protección contra

las amenazas externas y

ambientales.

Definir un plan de respuesta para cada

tipo de efecto que pudiera causar

amenaza externa

Suministrar equipos apropiados contra las

amenazas ambientales

11.1.5 El trabajo en áreas

seguras.

Se deben diseñar y aplicar

procedimientos para trabajo en áreas

seguras

11.1.6 Áreas de acceso Se deben controlar los puntos de acceso

92

público, carga y descarga. tales como áreas de despacho y de carga

y otros puntos en donde pueden entrar

personas no autorizadas, y si es posible,

aislarlos de las instalaciones de

procesamiento de información para evitar

el acceso no autorizado.

11.2 Seguridad de

los equipos.

11.2.1 Emplazamiento y

protección de equipos.

Los equipos deben estar ubicados y

protegidos para reducir los riesgos de

amenazas y peligros ambientales y las

posibilidades de acceso no autorizado

11.2.2 Instalaciones de

suministro.

Los equipos se deben proteger de fallas

de potencia y otras interrupciones

causadas por fallas en los servicios

públicos de soporte

11.2.3 Seguridad del

cableado.

11.2.4 Mantenimiento de

los equipos.

Los equipos se deben mantener

correctamente para asegurar su

disponibilidad e integridad continuas.

11.2.5 Salida de activos

fuera de las

dependencias de la

empresa.

Los equipos, información o software no se

deben retirar de su sitio sin autorización

previa

11.2.6 Seguridad de los

equipos y activos fuera de

las instalaciones.

Se deben aplicar medidas de seguridad a

los activos que se encuentran fuera de los

predios de la organización, teniendo en

cuenta los diferentes riesgos de trabajar

fuera de dichos predios.

11.2.7 Reutilización o

retirada segura de

dispositivos de

almacenamiento.

Se deben verificar todos los elementos de

equipos que contengan medios de

almacenamiento para asegurar que

cualquier dato confidencial o software con

licencia haya sido retirado o sobre escrito

en forma segura antes de su disposición

o reúso.

11.2.8 Equipo informático Los usuarios deben asegurarse de que el

93

de usuario desatendido. equipo sin supervisión tenga la protección

apropiada.

11.2.9 Política de puesto

de trabajo despejado y

bloqueo de pantalla.

Se debe adoptar una política de escritorio

limpio para los papeles y medios de

almacenamiento removibles, y una

política de pantalla limpia para las

instalaciones de procesamiento de

información.

12. SEGURIDAD OPERATIVA.

12.1Responsabilidad

es y procedimientos

de operación.

12.1.1 Documentación de

procedimientos de

operación.

Los procedimientos operativos se deben

documentar y poner a disposición de

todos los usuarios que los necesitan.

12.1.2 Gestión de

cambios.

12.1.3 Gestión de

capacidades.

12.1.4 Separación de

entornos de desarrollo,

prueba y producción.

Se deben separar los ambientes de

desarrollo, ensayo y operativos, para

reducir los riesgos de acceso o cambios

no autorizados al ambiente operacional.

12.2 Protección

contra código

malicioso.

12.2.1 Controles contra el

código malicioso.

Se deben implementar controles de

detección, de prevención y de

recuperación, combinarlos con la toma de

conciencia apropiada de los usuarios,

para proteger contra códigos maliciosos.

12.3 Copias de

seguridad.

12.3.1 Copias de

seguridad de la

información.

Hacer copias de respaldo de la

información, software e imágenes de los

sistemas y ponerlas a prueba

regularmente de acuerdo con una política

de copias de respaldo acordadas.

12.4 Registro de

actividad y

supervisión.

12.4.1 Registro y gestión

de eventos de actividad.

Monitorear los cambios de configuración

en los sistemas

12.4.2 Protección de los

registros de información.

Las instalaciones y la información de

registro se deben proteger contra

94

alteración y acceso no autorizado.

12.4.3 Registros de

actividad del

administrador y operador

del sistema.

Las actividades del administrador y del

operador del sistema se deben registrar y

los registros se deben proteger y revisar

con regularidad.

12.4.4 Sincronización de

relojes.

Los relojes de todos los sistemas de

procesamiento de información pertinentes

dentro de una organización o ámbito de

seguridad se deben sincronizar con una

única fuente de referencia de tiempo

12.5 Control del

software en

explotación.

12.5.1 Instalación del

software en sistemas en

producción.

Comprobar el licenciamiento antes de la

instalación de software en sistemas de

producción.

12.6 Gestión de la

vulnerabilidad

técnica.

12.6.1 Gestión de las

vulnerabilidades técnicas.

Establecer un cuadro de control o cuadro

de mando que evidencie los riesgos

asociados a la organización.

12.6.2 Restricciones en la

instalación de software.

Instalación de corta fuego y asignación de

privilegios a cada usuario conforme a su

perfil o cargo.

12.7Consideraciones

de las auditorías de

los sistemas de

información.

12.7.1 Controles de

auditoría de los sistemas

de información.

Realizar trimestralmente una auditoría

interna por los procesos de seguridad que

se han implementado.

13. SEGURIDAD EN LAS TELECOMUNICACIONES.

13.1 Gestión de la

seguridad en las

redes.

13.1.1 Controles de red.

13.1.2 Mecanismos de

seguridad asociados a

servicios en red.

13.1.3 Segregación de

redes.

13.2 Intercambio de

información con

partes externas.

13.2.1 Políticas y

procedimientos de

intercambio de

información.

Se debe contar con políticas,

procedimientos y controles de

transferencia formales para proteger la

transferencia de información, mediante el

95

uso de todo tipo de instalaciones de

comunicaciones.

13.2.2 Acuerdos de

intercambio.

Los acuerdos deben tratar la

transferencia segura de información del

negocio entre la organización y las partes

externas.

13.2.3 Mensajería

electrónica.

Se debe proteger apropiadamente la

información incluida en los mensajes

electrónicos

13.2.4 Acuerdos de

confidencialidad y

secreto.

Se deben identificar, revisar regularmente

y documentar los requisitos para los

acuerdos de confidencialidad o no

divulgación que reflejen las necesidades

de la organización para la protección de

la información.

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

DE INFORMACIÓN.

14.1 Requisitos de

seguridad de los

sistemas de

información.

14.1.1 Análisis y

especificación de los

requisitos de seguridad.

Verificar las amenazas, riesgos y

vulnerabilidades asociados a la

organización

Establecer una propuesta para disminuir

el riesgo.

14.1.2 Seguridad de las

comunicaciones en

servicios accesibles por

redes públicas.

14.1.3 Protección de las

transacciones por redes

telemáticas.

14.2 Seguridad en

los procesos de

desarrollo y soporte.

14.2.1 Política de

desarrollo seguro de

software.

Establecer políticas para el desarrollo

seguro de software a través de los

estándares de calidad.

14.2.2 Procedimientos de

control de cambios en los

Los cambios a los sistemas dentro del

ciclo de vida de desarrollo de software y

96

sistemas. de sistemas a los desarrollos dentro de la

organización.

14.2.3 Revisión técnica

de las aplicaciones tras

efectuar cambios en el

sistema operativo.

Cuando se cambian las plataformas de

operación, se deben revisar las

aplicaciones críticas del negocio, y poner

a prueba para asegurar que no haya

impacto adverso en las operaciones o

seguridad organizacionales.

14.2.4 Restricciones a los

cambios en los paquetes

de software.

Controlar documentadamente el cambio

en los paquetes de software.

14.2.5 Uso de principios

de ingeniería en

protección de sistemas.

Se deben establecer, documentar y

mantener principios para la organización

de sistemas seguros, y aplicarlos a

cualquier trabajo de implementación de

sistemas de información

14.2.6 Seguridad en

entornos de desarrollo.

Establecer y proteger adecuadamente los

ambientes de desarrollo seguros para las

tareas de desarrollo e integración de

sistemas que comprendan todo el ciclo de

vida de desarrollo de sistemas.

14.2.7 Externalización del

desarrollo de software.

Supervisar y hacer seguimiento de la

actividad de desarrollo de sistemas

subcontratados

14.2.8 Pruebas de

funcionalidad durante el

desarrollo de los

sistemas.

Durante el desarrollo se deben llevar a

cabo ensayos de funcionalidad de la

seguridad

14.2.9 Pruebas de

aceptación.

Para los sistemas de información nuevos,

actualizaciones y nuevas versiones se

deben establecer programas de ensayo y

criterios relacionados.

14.3 Datos de

prueba.


datos utilizados en

pruebas

Los datos de ensayo se deben

seleccionar, proteger y controlar

cuidadosamente manteniendo la

97

confidencialidad.

15. RELACIONES CON SUMINISTRADORES.

15.1 Seguridad de la

información en las

relaciones con

suministradores.

15.1.1 Política de

seguridad de la

información para

suministradores.

15.1.2 Tratamiento del

riesgo dentro de acuerdos

de suministradores.

15.1.3 Cadena de

suministro en tecnologías

de la información y

comunicaciones.

15.2 Gestión de la

prestación del

servicio por

suministradores.

15.2.1 Supervisión y

revisión de los servicios

prestados por terceros.

Las organizaciones deben hacer

seguimiento, revisar y auditar con

regularidad la prestación de servicios de

los proveedores.

15.2.2 Gestión de

cambios en los servicios

prestados por terceros

Se deben gestionar los cambios en el

suministro de servicios por parte de los

proveedores, incluido el mantenimiento y

la mejora de las políticas, procedimientos

y controles de seguridad de la

información existentes, teniendo en

cuenta la criticidad de la información,

sistemas y procesos del negocio

involucrados y la reevaluación de los

riesgos.

16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

16.1 Gestión de

incidentes de

seguridad de la

información y

mejoras.

16.1.1 Responsabilidades

y procedimientos.

Se deben establecer las

responsabilidades y procedimientos de

gestión para asegurar una respuesta

rápida, eficaz y ordenada a los incidentes

de seguridad de la información.

16.1.2 Notificación de los

eventos de seguridad de

Los eventos de seguridad de la

información se deben informar a través de

98

la información. los canales de gestión apropiados tan

pronto como sea posible.

16.1.3 Notificación de

puntos débiles de la

seguridad.

Se debe exigir a todos los empleados y

contratistas que usan los servicios y

sistemas de información de la

organización, que se observen e informen

cualquier debilidad de seguridad de la

información observada o sospechada en

los sistemas o servicios.

16.1.4 Valoración de

eventos de seguridad de

la información y toma de

decisiones.

Los eventos de seguridad de la

información se deben evaluar y se debe

decidir si se van a clasificar como

incidentes de seguridad de la información.

16.1.5 Respuesta a los

incidentes de seguridad.

Se debe dar respuesta a los incidentes de

seguridad de la información de acuerdo

con procedimientos documentados.

16.1.6 Aprendizaje de los

incidentes de seguridad

de la información.

El conocimiento adquirido al analizar y

resolver incidentes de seguridad de la

información se debe usar para reducir la

posibilidad o el impacto de incidentes

futuros.

Evaluar los incidentes de seguridad.

16.1.7 Recopilación de

evidencias

La organización debe definir y aplicar

procedimientos para la identificación,

recolección, adquisición y preservación

de información que pueda servir como

evidencia

17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE

LA CONTINUIDAD DEL NEGOCIO.

17.1 Continuidad de

la seguridad de la

información.

17.1.1 Planificación de la

continuidad de la

seguridad de la

información.

Se debe determinar los requisitos para la

seguridad de la información y la

continuidad de la gestión de seguridad de

la información en situaciones adversas,

por ejemplo, durante una crisis o

desastres.

99

17.1.2 Implantación de la

continuidad de la

seguridad de la

información.

La organización debe establecer,

documentar, implementar y mantener

procesos, procedimientos y controles

para asegurar el nivel de continuidad

requerido para la seguridad de la

información durante una situación

adversa.

17.1.3 Verificación,

revisión y evaluación de

la continuidad de la

seguridad

de la información.

La organización debe verificar a intervalos

regulares los controles de continuidad de

la seguridad de la información

implementados con el fin de asegurar que

los válidos y eficaces durante situaciones

adversas.

17.2 Redundancias.

17.2.1 Disponibilidad de

instalaciones para el

procesamiento de la

información

Las instalaciones de procesamiento de

información se deben implementar con

redundancia suficiente para cumplir los

requisitos de disponibilidad.

18. CUMPLIMIENTO.

18.1 Cumplimiento

de los requisitos

legales y

contractuales.

18.1.1 Identificación de la

legislación aplicable.

Se deben identificar, documentar y

mantener actualizados explícitamente

todos los requisitos legislativos

estatutarios, de reglamentación y

contractuales pertinentes, y el enfoque de

la organización para cada sistema de

información y para la organización

18.1.2 Derechos de

propiedad intelectual

(DPI).

Implementar procedimientos apropiados

para asegurar el cumplimiento de los

requisitos legislativos, de reglamentación

y contractuales relacionados con los

derechos de propiedad intelectual y el uso

de productos de software licenciados.


registros de la

organización.

Los registros se deben proteger contra

pérdida, destrucción, falsificación, acceso

no autorizado y liberación no autorizada,

de acuerdo con los requisitos legislativos,

de reglamentación, contractuales y de

100

negocio.

18.1.4 Protección de

datos y privacidad de la

información personal.

Establecer el documento de seguridad de

conformidad con la legislación de

protección de datos personales.

18.1.5 Regulación de los

controles criptográficos.

18.2 Revisiones de

la seguridad de la

información.

18.2.1 Revisión

independiente de la

seguridad de la

información.

El enfoque de la organización para la

gestión de la seguridad de la información

y su implementación (es decir, los

objetivos de control, los controles, la

políticas, los procesos y los

procedimientos para seguridad de la

información se deben revisar

independientemente a intervalos

planificados o cuando ocurran cambios

significativos.

18.2.2 Cumplimiento de

las políticas y normas de

seguridad.

El Director debe revisar con regularidad el

cumplimiento del procesamiento y

procedimientos de información dentro de

su área de responsabilidad, con las

políticas y normas de seguridad

apropiadas y cualquier otro requisito de

seguridad.

18.2.3 Comprobación del

cumplimiento.

3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza

1.- Antecedentes.

Este documento es la síntesis del estudio que se realizó previamente para determinar

los parámetros básicos que se deben tomar en cuenta en la elaboración del Plan de

seguridad Informática.

101

2.- Objetivo.

Elaborar un Plan de seguridad informática basado en el estándar ISO 27001 para el

GAD Cantonal de Pastaza, y fomentar la cultura de la seguridad informática en los

empleados del Gobierno Cantonal.

3.- Alcance

El Plan de Seguridad Informática debe mitigar y controlar los Riesgos de Seguridad y

Privacidad de la Información como también proveer los mecanismos necesarios para

identificar, analizar, evaluar y tratar de manera adecuada los riesgos asociados a los

activos e información del GAD Cantonal de Pastaza.

Ámbito de aplicación

El presente plan de seguridad es aplicable en el GAD Cantonal de Pastaza

Requisitos de calidad aplicable

Este Plan de Seguridad da cumplimiento a los lineamientos establecidos en la Norma

ISO/IEC 27001-2013

Definiciones

Los siguientes términos y definiciones que se encuentran en el presente documento

están Basados en la Norma ISO 27000.





NOTA Se mide en términos de una combinación de la probabilidad de que suceda un

evento y sus consecuencias.



102




consecuencias de un riesgo.

NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del

término "proceso" para la estimación del riesgo.

NOTA 2 En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del

término "probabilidad" para la estimación del riesgo.

Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los

elementos de riesgo.

Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las

consecuencias negativas, o ambas, asociadas con un riesgo.

Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo

particular.

NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se

consideran las consecuencias negativas (pérdidas) para la retención del riesgo.

Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia

de un riesgo.

NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se

consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.

Autenticidad: Propiedad de que una entidad es lo que afirma ser.

Confiabilidad de la Información: Garantiza que la fuente de la información generada

sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y

funciones.

103

Confidencialidad: Propiedad de la información de no ponerse a disposición o ser

revelada a individuos, entidades o procesos no autorizados

Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo

requiera una entidad autorizada.

Declaración de aplicabilidad: Documento que enumera los controles aplicados por el

SGSI de la organización tras el resultado de los procesos de evaluación y tratamiento

de riesgos y su justificación, así como la justificación de las exclusiones de controles

del anexo A de la norma técnica ISO 27001:2013.

Sistema de Gestión de la Seguridad de la Información SGSI: Conjunto de

elementos interrelacionados o interactuantes (estructura organizativa, políticas,

planificación de actividades, responsabilidades, procesos, procedimientos y recursos)

que utiliza una organización para establecer una política y unos objetivos de seguridad

de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del

riesgo y de mejora continua.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o

más amenazas.

4.- Políticas de Seguridad.

Generalidades

La seguridad informática ha tomado gran importancia, debido a las cambiantes

condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de

interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para

mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual

lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de

información. Estos riesgos que se enfrentan han llevado a que se desarrolle un

documento de directrices que orientan en el uso adecuado de las tecnológicas y

brindar recomendaciones para obtener el mayor provecho, de esta forma evitar el uso

indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes,

servicios y operaciones del GAD Cantonal de Pastaza.

104

En este sentido, las políticas de seguridad informática definidas partiendo desde el

análisis de los riesgos a los que se encuentra el GAD Cantonal de Pastaza, surgen

como una herramienta organizacional para concienciar a los colaboradores de la

organización sobre la importancia y sensibilidad de la información y servicios críticos

que permiten al gobierno local crecer y mantenerse competitivo. Ante esta situación,

se proponen políticas de seguridad que requiere un alto compromiso con la

organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y

constancia para renovar y actualizar dicha política en función del dinámico ambiente

que rodea a la institución.

Objetivos

Desarrollar un Plan de seguridad informática para organizar, dirigir y controlar las

actividades y garantizar la integridad física de los recursos informáticos, así como

resguardar los activos de información del GAD Cantonal de Pastaza.

Comprometer al personal del Gobierno Local a cumplir con el proceso de seguridad,

agilizando la aplicación de los controles con entusiasmo tomando en cuenta los

parámetros establecidos en el documento.

Alcance de las políticas

Este documento de políticas de seguridad está elaborado de acuerdo al análisis de

riesgos y de vulnerabilidades en las dependencias del GAD Cantonal de Pastaza, por

consiguiente, el alcance de estas políticas, se encuentra sujeto a la institución.

1.- De equipos

Instalación de equipos de computación

1 Todo equipo de computación ya sean laptop, computador de escritorio o servidor

que esté conectado a la red interna debe sujetarse a las normas y procedimientos

de instalación que debe generar el departamento de infraestructura.

1.1 El Director de las TIC´s en coordinación con el departamento de Activo Fijo deberá

tener un registro de todos los equipos de computación y de comunicación.

105

1.2 El equipo que sea de propósito específico y tenga una misión crítica asignada,

requiere estar ubicado en un área que cumpla con todos los requerimientos de:

seguridad física, condiciones ambientales, alimentación eléctrica, y acceso por el

personal de TIC´s.

1.3 La protección física de los equipos corresponde a la persona asignada, y le

corresponde notificar al departamento técnico cualquier anomalía o cambio de

ubicación.

Mantenimiento de equipos de computación

1.4 Le corresponde al departamento técnico la realización del mantenimiento

preventivo y correctivo de los equipos, la instalación, verificación de la seguridad

física y el acondicionamiento requerido. Para tal fin se deben emitir normas y

procedimientos respectivos.

1.5 Los responsables del departamento técnico de TIC´s no están autorizados a dar

mantenimiento preventivo y correctivo a equipos que no pertenezcan a la

institución.

1.6 El personal técnico tiene la obligatoriedad de acudir al llamado de algún

departamento cuando se produzca un inconveniente sea este físico o lógico.

Reubicación de equipos.

1.7 La reubicación de equipos informáticos se realizará de acuerdo a las normas y

procedimientos que el departamento técnico de las TIC´s emita para ello.

Notificando de equipos inventariados.

1.8 La reubicación de un equipo de computación se podrá realizar bajo la autorización

del responsable del departamento técnico de las TIC´s, con los medios necesarios

para la instalación del equipo y reportar inmediatamente para la actualización en el

departamento de Activos.

106

2 Control de Acceso:

Acceso a Áreas Críticas

2.1 El acceso del personal se llevará a cabo de acuerdo a las normas y

procedimientos que dicta la Dirección de las TIC´s.

2.2 En relación con la política de seguridad de la institución y debido a la naturaleza

de estas áreas se llevará un registro permanente del acceso y salida de personal,

sin excepción alguna.

2.3 El Director del departamento de las TIC´s, deberá gestionar los recursos

necesarios para proveer de la infraestructura de seguridad requerida con base en

los requerimientos específicos de cada área.

2.4 En situaciones de emergencia, el acceso a las áreas de servicio crítico estará

sujeto a las que especifiquen las autoridades superiores de la institución.

Control de Acceso al equipo de computación

2.5 Todos y cada uno de los equipos son asignados a un responsable, por lo que es

de su competencia preservarlos y hacer buen uso de los mismos.

2.6 En las áreas donde se tienen equipos de propósito general cuya misión es crítica

estarán sujetas a los requerimientos que la Dirección emita.

2.7 Los accesos a las áreas críticas deberán ser clasificados de acuerdo a las normas

que dicte la Dirección de común acuerdo con el Comité de Seguridad.

Control de acceso remoto

2.8 La Dirección es la responsable de proporcionar el servicio de acceso remoto y las

normas de acceso a los recursos informáticos disponibles.

2.9 Para dar acceso a los servidores a terceros, la Dirección deberá dar a conocer el

tiempo e indicar la finalidad del uso al analista correspondiente.

107

2.10 El usuario de los servicios de la red, deberá sujetarse al reglamento de uso y

en concordancia con los lineamientos generales del uso de Internet.

Acceso a los Sistemas de la Institución.

2.11 Tendrán acceso a los sistemas de la institución, solo el personal autorizado y

éste dependerá del perfil que tenga definido.

2.12 El manejo de información institucional que se considere de uso restringido

deberá ser cifrada con el objeto de garantizar su integridad.

2.13 La instalación y uso de los sistemas de información se rigen por el reglamento

de uso de la organización y por las normas y procedimientos establecidos por la

Dirección del departamento de las TIC´s.

2.14 Los servidores de bases de datos son dedicados, porque lo que se prohíbe el

acceso a personal no autorizado.

2.15 El control de acceso a cada sistema de información será determinado por la

unidad responsable de generar y procesar los datos involucrados.

2.16 La Dirección determinará un procedimiento formal de alta y baja de usuarios

con objeto de habilitar la asignación de derechos de acceso.

2.19. La asignación y uso de derechos de acceso con privilegios especiales debería

ser restringido y monitoreado.

2.20 La asignación de información confidencial para la autenticación debería ser

controlada mediante un proceso de gestión controlado.

2.21 Los propietarios de los activos deberían revisar con regularidad los derechos

de acceso de los usuarios.

2.22 Se debe quitar los derechos de acceso para todos los empleados, contratistas

o usuarios de terceros a la información y a las instalaciones del procesamiento de

información a la finalización del empleo, contrato o acuerdo, o ser revisados en

caso de cambio.

108

2.23 Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar

contraseñas de calidad combinando caracteres en mayúsculas, minúsculas

numéricos y especiales permitidos.

La utilización de contraseñas complejas es un elemento fundamental del índice de

defensa en profundidad. Las contraseñas complejas deben tener de 8 a 14

caracteres e incluir caracteres alfanuméricos y especiales. Debe establecer una

longitud mínima, un historial, un límite a la duración y una caducidad para reforzar

la defensa. Generalmente, la caducidad de las contraseñas debe configurarse de

esta forma:

• Duración máxima de 90 días

• Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión

• Un historial de 8 contraseñas (mínimo de 8 días)

Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas

siguientes:

• Bloqueo después de entre 7 y 10 intentos de registro fallidos para las cuentas

administrativas y de acceso remoto

• Bloqueo después de 10 intentos de registro fallidos para las cuentas de usuario

estándar

• Requerir la intervención de un administrador para desbloquear las cuentas de

acceso remoto y de administrador, y para reactivar automáticamente las

cuentas de usuarios estándar al cabo de 5 minutos.

2.24 El uso de utilitarios (software) que puedan ser capaces de anular o evitar

controles en aplicaciones y sistemas deberán estar restringidos y estrechamente

controlados.

2.25 Se debe restringir el acceso al código fuente de las aplicaciones software,

permitiendo solo a personal autorizado para el efecto.

109

Web

2.26 La sección de Analista de Desarrollo de Software, es responsable de instalar y

administrar los servidores web, es decir, sólo se permiten servidores de páginas

autorizadas.

2.27 El departamento de TIC´s deberá emitir las normas y requerimientos para la

instalación de servidores de páginas locales, base de datos, uso de la intranet

institucional, así como las especificaciones para que el acceso a estos sea seguro.

2.28 Al personal responsable de los servidores web, corresponde la verificación de

respaldo, actualización y protección adecuada.

2.29 Toda la programación involucrada en la tecnología web deberá estar de

acuerdo con las normas y procedimientos que la Dirección emita de conformidad a

los estándares existentes.

2.30 La información que aparezca en la página web de la institución deberá ser

aprobado por la Dirección, respetando la ley de propiedad intelectual y normativas

existentes.

2.31 En cuanto a la seguridad, protección y diseño de las páginas web, deberá

considerarse las especificaciones establecidas por la Dirección de las TIC´s.

2.32 La Dirección de TIC´s tiene la facultad de llevar a cabo la revisión periódica de

los accesos a los servicios de información y conservar información del tráfico.

3 Software.

Adquisición del software

3.20 En concordancia con la política de la institución, el comité de seguridad y la

Dirección de TIC´s, son los organismos oficiales para establecer los mecanismos

de adquisición de los sistemas informáticos y los informes pasaran a las instancias

correspondientes.

3.21 La Dirección promoverá y propiciará que la adquisición de software de dominio

público provenga de sitios oficiales y seguros.

110

3.22 Corresponde a la Dirección emitir las normas para el tipo de licenciamiento,

cobertura, transferibilidad, certificación y vigencia de software.

Instalación del software

3.23 El Comité de Seguridad Informática debe emitir las normas y procedimientos

para la instalación y supervisión del software básico para cualquier tipo de equipo.

3.24 En los equipos informáticos y telecomunicaciones, únicamente se permitirá la

instalación de software con licenciamiento apropiada y acorde a la propiedad

intelectual.

3.25 El departamento técnico es el responsable de brindar asesoría y supervisión

para la instalación de software informático, así mismo el departamento de redes

para el software de telecomunicaciones.

3.26 Cualquier software que la Dirección considere que pone en riesgo los activos

informáticos de la institución no está permitido su utilización.

3.27 Para proteger la integridad, disponibilidad y confidencialidad de los sistemas

informáticos, es necesario que todos los equipos involucrados dispongan de

software de seguridad como son antivirus, vacunas, privilegios de acceso, parches

de seguridad, y otros que se apliquen para proteger su vulnerabilidad.

Actualización del software

3.28 La obtención y actualización de software para equipo de computación se

llevará a cabo de acuerdo al cronograma que anualmente sea propuesto por la

Dirección de las TIC´s.

3.29 Concierne al departamento de TIC´s solicitar la adquisición y autorizar la

actualización del software.

3.30 Las actualizaciones del software de uso común se llevarán a cabo de acuerdo

al plan de actualización desarrollado por la Dirección.

111

Auditoría de software instalado

3.31 La Dirección encaminará la conformación de un grupo especializado en

auditoría de sistemas de computación y sistemas de información.

3.32 Recaerá en al grupo especializado de auditoria, dictar las normas,

procedimientos y calendarizar los procesos de control establecidos.

Software propiedad de la institución

3.33 Todos los programas desarrollados o comprados por la institución son

propiedad de la institución y mantendrán los derechos que la ley de propiedad

intelectual les confiera.

3.34 La Dirección en coordinación con el departamento técnico deberá tener un

registro de todos los paquetes de programación propiedad de la institución.

3.35 Es necesidad prioritaria de todos los usuarios que manejen información masiva,

mantener el respaldo correspondiente de la misma ya que se considera como un

activo de la institución que debe preservarse.

3.36 La información, base de datos, datos generados por el personal y los recursos

informáticos de la institución, deben ser resguardados con ética profesional.

3.37 Corresponde al departamento de TIC´s promover y difundir los mecanismos de

respaldo y resguardo de los datos y de los sistemas.

3.38 El departamento técnico administrará los diferentes tipos de licencia de

software y vigilará su vigencia en concordancia con la política informática.

Uso de Software en la Institución

3.39 Todo software que requiera ser instalado para trabajar sobre la red deberá ser

evaluado por el departamento técnico.

112

3.40 Los softwares de propiedad de la institución, deberán ser usado

exclusivamente para asuntos relacionados con las actividades para los que fueron

adquiridos.

4 Supervisión y Evaluación

4.20 Las auditorías de las actividades donde se involucren aspectos de seguridad

lógica y física deberán realizarse periódicamente y convendrá sujetarse al

calendario que establezca la Dirección o el grupo especializado de seguridad.

4.21 Los sistemas considerados críticos, deberán estar bajo monitoreo permanente.

Generales

1 Cada uno de los departamentos del GAD Cantonal, deberán emitir los planes de

contingencia que correspondan a las actividades críticas que realicen.

2 Debido al carácter confidencial de la información, el personal del departamento de

las TIC´s deberá conducirse de acuerdo a los códigos de ética profesional, normas

y procedimientos establecidos.

Para la puesta en ejecución de esta planificación, es necesario contar con los recursos

necesarios, para lo cual la Dirección Administrativa esta presta a colaborar, y asignar

para el nuevo periodo fiscal los recursos necesarios y la reorganización del

departamento de las TIC´s según el nuevo organigrama funcional realizado por el

director del departamento asignando las tareas necesarias para el efecto.


Para poder cumplir con los requerimientos se ha contado con la norma ISO/IEC

27001:2013 que facilita controles que son implementados a nivel técnico, este

estándar facilita el trabajo de la implementación del SGSI dentro de la organización.

La propuesta puede servir como base para que la organización continúe en las tareas

específicas de la seguridad informática, con el fin que, a mediano plazo se pueda

acceder a la certificación ISO/IEC 27001:2013.

113

CONCLUSIONES GENERALES.

Las amenazas están latentes, todo sistema de información es vulnerable y la

probabilidad de riesgo es inminente dependiendo de su contexto. Sin embargo,

pueden presentarse situaciones no controladas o inesperadas; dejando en claro que el

riesgo no puede ser mitigado en su totalidad, pero si puede ser controlado.

Las normas ISO influyen directamente en cada una de las etapas que contempla la

metodología aplicada. Las ISO 27001 y 27002 comprenden las mejores prácticas para

establecer un ciclo de gestión de seguridad de la información, mientras que el aporte

indiscutible sobre la gestión de riesgos está dado por las normas ISO 27005, todos de

la familia ISO 27000.

Ecuador aún no tiene la legislación clara en lo referente a la confidencialidad de la

información, sin embargo, son aspectos importantes y que han sido considerados en la

aplicación de esta metodología

RECOMENDACIONES

Implementar el Sistema de Seguridad Informática en el GAD Cantonal, en base a los

objetivos y lineamientos de la institución, permitiendo de esta manera evaluar de forma

correcta los riesgos de seguridad.

Revisar periódicamente las respectivas obligaciones contractuales entre los

empleados y la institución con el objetivo de identificar los riesgos; de la misma forma

debe evaluarse detenidamente cualquier cláusula estándar que abarque limitaciones

de responsabilidad.

Mantener actualizado la normativa y los controles de seguridad de acuerdo a los

objetivos y lineamiento de la institución y a los avances tecnológicos.

REFERENCIAS BIBLIOGRÁFICAS.

Aguirre, J. (2006). Libro Electrónico de Seguridad Informática y Criptografía Versión

4.1. Madrid.

Aldegani, G. (2004). Seguridad Informática. Madrid.

Alvares, G., & Perez, P. (2004). Seguridad Informática para empresas y particulares.

Madrid - Espania: McGRAW-HILL.

Areito, J. (2008). Seguridad de la información. Barcelona: Paraninfo.

Arrieta, A. (2011). CVS. Obtenido de

http://www.cvs.gov.co/jupgrade/images/stories/docs/Alertas/Politicas_de_Segur

idad_Informatica_CVS_2011-.pdf

Costas Santos, J. (2014). Seguridad Informática. Madrid: RA-MA, S.A.

Descalzo, F. (3 de Mayo de 2014). Slideshare. Obtenido de

https://es.slideshare.net/fabiandescalzo/270012013-seguridad-orientada-al-

negocio

Erb, M. (Agosto de 2009). Gestión de Riesgo en la Seguridad Informática. Obtenido de

https://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccio

n/

Forum, I. (s/f). protege tu informacion. Obtenido de

http://www.protegetuinformacion.com/docs/7/autonomos_1_politica_seguridad.

pdf

Frayssinet Delgado, M. (s/f). docplayer. Obtenido de http://docplayer.es/4468178-

Taller-de-implementacion-de-la-norma-iso-27001-ing-maurice-frayssinet-

delgado-mfrayssinet-pcm-gob-pe-www-ongei-gob-pe.html

Frayssinet, M. (s/f). Slideshare. Obtenido de https://www.slideshare.net/zerobar/si-

semana11-iso27001v011

García, A. (2011). Sistemas Informaticos y Redes. Madrid-Esoaña: Paraninfo.

INTECO. (s/f). Implantación de un SGSI en la Empresa. España.

Iriarte Ahon, E. (s/f). ISO 27000.es. Obtenido de http://www.iso27000.es/iso27000.html

ISOTools Excellence. (6 de Mayo de 2015). Blog especializado en Sistemas de

Gestión. Obtenido de http://www.pmg-ssi.com/2015/05/como-clasificar-los-

activos-de-seguridad-en-un-sgsi/

Maldonado, C. (15 de Mayo de 2006). carlosmaldonado73. Obtenido de

http://carlosmaldonado73.blogspot.com/

Métodoss. (s/f). Metodoss. Obtenido de http://metodoss.com/metodologia-pdca-ciclo-

shewhart-deming/

Nando, A. (2010). Seguridad en Sistemas de Información. Venezuela.

Nando, A. (junio de 2010). Seguridad en Sistemas de Seguridad. Obtenido de

https://norbertomn.files.wordpress.com/2014/02/curso-seguridad-en-sistemas-

de-informacion.pdf

Ocampo, S., & Gaviria, J. (29 de Marzo de 2014). Slideshare. Obtenido de

https://es.slideshare.net/georgepereira01/ntc-isoiec-27001-jorge-h-gaviria-y-

shernndra-ocampo

Osorio, G. (08 de Febrero de 2013). Scribd. Obtenido de

https://es.scribd.com/doc/124454177/ISO-27005-espanol

Ramió Aguirre, J. (2003). Curso de Seguridad Informatoica y Criptografía. Madrid:

Universidad Politécnica de Madrid.

Ruano, C. S., Saiz Herrero, A. B., Fernández Álvarez, E., & Fernández Aranda, L.

(2010). Seguridad Informática. Madrid - España: Mc Graw Hill.

Universidad de EL Salvador. (2009). Norma ISO 27000. El Salvador.

Universidad Nacional de Luján. (s/f). seguridadinformatica. Obtenido de

http://www.seguridadinformatica.unlu.edu.ar/?q=node/7

Documents

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS …dspace.uniandes.edu.ec/bitstream/123456789/6508/1/PIUAMIE007-201… · PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL ... son absolutamente