análisis de la seguridad informática mediante el uso de un
Post on 23-Jul-2022
2 Views
Preview:
TRANSCRIPT
Análisis de la seguridad informática mediante el uso de un aplicativo web a la empresa
municipal de servicios públicos de arauca emserpa e.i.c.e., e.s.p. en el departamento de
Arauca.
Marcos Armando Umoa Sanchez
Andres Mauricio Carrillo Moreno
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA DE SISTEMAS
PROGRAMA DE INGENIERÍA DE SISTEMAS
ARAUCA - ARAUCA.
2015
2
ANÁLISIS DE LA SEGURIDAD INFORMÁTICA MEDIANTE EL USO DE UN
APLICATIVO WEB A LA EMPRESA MUNICIPAL DE SERVICIOS PÚBLICOS DE
ARAUCA EMSERPA E.I.C.E., E.S.P. EN EL DEPARTAMENTO DE ARAUCA.
MARCOS ARMANDO UMOA SANCHEZ
ANDRES MAURICIO CARRILLO MORENO
Seminario de perfeccionamiento para optar al título de ingeniero de sistemas
Director:
CARLOS EDUARDO PUENTES FIGUEROA
Ingeniero en telecomunicaciones, especialista en servicios telemáticos y telecomunicaciones
UNIVERSIDAD COOPERATIVA DE COLOMBIA
FACULTAD DE INGENIERÍA DE SISTEMAS
PROGRAMA DE INGENIERÍA DE SISTEMAS
ARAUCA, ARAUCA.
2015
3
Dedicatorias
MARCOS ARMANDO UMOA SANCHEZ:
Dedicado especialmente a Dios por guiar siempre
mí camino, a mis padres Marcos A. Umoa, a mi
madre Rosario Sánchez, a mi esposa Ángela
Avellaneda, a mi hijo, a mis Hermanos, sobrinos y
demas familiares.
ANDRES MAURICIO CARRILLO:
El cumplimiento de ésta meta la debo a un sin
número de personas que apoyan mis sueños y me
acompañan día a día. Agradezco infinitamente a
mi Dios por derramar sobre mí su sabiduría,
conocimiento y cuidado constante. Gracias a mis
padres quienes son esos ángeles que Dios puso en
mi camino. Gracias a mis hermanos, sobrinos,
profesores y amigos. Y un especial
agradecimiento a mi compañera de vida, Marcela,
y a nuestro pequeño retoño.
4
Agradecimientos
En primera instancia queremos agradecer al arquitecto del universo por guiar siempre nuestros
pasos por el camino del bien, a nuestros padres quienes siempre fueron, son y serán un apoyo
incondicional en nuestras vidas por sus excelentes consejos y siempre esa voz de aliento para
no desfallecer en este arduo y duro camino, a nuestras esposas mujeres incondicionales y de
ejemplar actuaciones por su paciencia y dedicación, a nuestros hermanos por tender siempre
esa mano amiga en los momentos difíciles y siempre brindando una palabra de optimismo, a
nuestros docentes por ese compromiso, dedicación y aportando siempre lo mejor en nuestro
paso por la universidad y siendo siempre esa guía para tomar las mejores decisiones, a
nuestros familiares y amigos que de una forma u otra tienen su aporte para lograr esta meta.
5
Tabla de contenido
Pág.
Resumen……………………………………………………………………………….. 11
Abstract………………………………………………………………………………… 12
Introducción……………………………………………………………………………. 13
Capítulo 1: Proyecto de grado………………………………………………………….. 14
1.1 Planteamiento del problema………………………………………………………... 15
1.1.1 Descripción del problema………………………………………………………… 15
1.1.2 Formulación del problema………………………………………………………... 16
1.2 Justificación………………………………………………………………………... 16
1.3 Objetivos…………………………………………………………………………… 17
1.3.1 Objetivo general………………………………………………………………….. 17
1.3.2 Objetivos específicos…………………………………………………………….. 17
1.4 Metodología………………………………………………………………………... 18
1.4.1 Tipos de investigación……………………………………………………………. 20
1.4.2 Población…………………………………………………………………………. 21
1.4.3 Muestra…………………………………………………………………………... 21
1.4.4 Instrumento de recolección de la información…………………………………… 22
Capítulo 2: Marco Referencial…………………………………………………………. 23
2.1 Marco legal…………………………………………………………………………. 24
2.2 Marco conceptual…………………………………………………………………... 25
2.3Marco Teórico……………………………………………………………………… 26
2.4 Marco contextual…………………………………………………………………… 42
2.4.1 Misión……………………………………………………………………………. 42
2.4.2 Visión…………………………………………………………………………….. 43
2.4.3 Valores corporativos……………………………………………………………... 43
2.4.4 Estructura organizacional………………………………………………………… 46
Capítulo 3: Análisis de Riesgos en el área de TI en Emserpa E.I.C.E., E.S.P………….. 47
3.1 Identificación y clasificación de los activos……………………………………….. 48
3.2 Determinación de activos críticos………………………………………………….. 50
3.3 Salvaguardas existentes en los activos críticos…………………………………….. 52
6
3.4 Vulnerabilidades y amenazas de los activos críticos………………………………... 53
3.5 Determinación del riesgo…………………………………………………………….. 53
Capítulo 4: Requerimientos del software………………………………………………… 57
4.1 Conceptos preliminares……………………………………………………………… 58
4.1.1 Propósitos…………………………………………………………………………... 58
4.1.2 Ámbito……………………………………………………………………………... 58
4.1.3 Definiciones, acrónimos y abreviaturas……………………………………………. 59
4.1.5 Visión global……………………………………………………………………...... 60
4.2 Descripción general…………………………………………………………………... 60
4.2.1 Perspectiva del producto…………………………………………………………… 60
4.2.2 Funciones del producto…………………………………………………………...... 60
4.2.3 Características del usuario…………………………………………………………. 63
4.2.4 Restricciones……………………………………………………………………...... 64
4.2.5 Supuestos y dependencias………………………………………………………...... 64
4.3 Requisitos específicos……………………………………………………………....... 64
4.3.1 Requerimientos funcionales………………………………………………………... 64
4.3.2 Requerimientos de interfaces externas…………………………………………....... 70
4.3.2.1 Interfaces de usuarios…………………………………………………………….. 70
4.3.2.2 Interfaces de hardware…………………………………………………………… 70
4.3.2.3 Interfaces de software……………………………………………………………. 70
4.3.2.4 Interfaces de comunicaciones……………………………………………………. 71
4.3.3 Requerimientos de eficiencia………………………………………………………. 71
4.3.4 Obligaciones del diseño……………………………………………………………. 71
4.3.4.1 Estándares cumplidos…………………………………………………………….. 71
4.3.4.2 Limitaciones del hardware……………………………………………………...... 71
4.3.5 Atributos…………………………………………………………………………… 72
4.3.5.1 Seguridad………………………………………………………………………… 72
4.3.5.2 Facilidades de mantenimiento…………………………………………………… 72
4.3.5.3 Portabilidad………………………………………………………………………. 72
Capítulo 5: Análisis y diseño del modelado……………………………………………… 73
5.1 UML………………………………………………………………………………….. 74
7
5.2 Diagrama de clases…………………………………………………………………… 74
5.3 Diagrama de clases de uso…………………………………………………………… 76
5.3.1 Actores……………………………………………………………………………... 76
5.3.2 Casos de uso del usuario…………………………………………………………… 77
5.3.3 Casos de uso del usuario registrado……………………………………………….. 77
5.3.4 Casos de uso del administrador……………………………………………………. 78
5.3.5 Casos de uso del auditor…………………………………………………………… 78
5.3.6 Casos de uso del gerente…………………………………………………………… 79
5.4 Diseño de la base de datos…………………………………………………………… 79
5.4.1 Tabla de auditoría………………………………………………………………...... 80
5.4.2 Tabla de dominios...………………………………………………………………... 80
5.4.3 Tabla de objetivos………………………………………………………………...... 81
5.4.4 Tabla de controles………………………………………………………………...... 81
5.4.5 Tabla de usuario……………………………………………………………………. 82
5.4.6 Tabla de tipo de usuario……………………………………………………………. 82
5.4.7 Diagrama de bases de datos………………………………………………………... 83
5.5 Interfaces visuales……………………………………………………………………. 83
5.5.1 Iniciar sesión……………………………………………………………………...... 84
5.5.2 Página de inicio…………………………………………………………………...... 85
5.5.3 Modulo de configuración…………………………………………………………... 86
5.5.4 Modulo de información……………………………………………………………. 86
5.5.5 Modulo de editor de usuario……………………………………………………….. 87
5.5.6 Modulo de crear usuario…………………………………………………………… 87
5.5.7 Modulo de iniciar auditoría………………………………………………………… 88
5.5.8 Modulo de auditorías realizadas…………………………………………………… 89
5.5.9 Modulo de comparar……………………………………………………………...... 90
Capítulo 6: Evaluación de cumplimiento de los controles de la norma ISO/IEC
27002:2013 en Emserpa E.I.C.E., E.S.P…………………………………………….........
92
6.1 Diseño del checklist en base a la norma ISO/IEC 27002:2013……………………… 93
6.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC………………… 93
6.3 Presentación de resultados…………………………………………………………… 96
8
7 Conclusiones…………………………………………………………………………… 99
8 Recomendaciones……………………………………………………………………… 100
9 Cronograma de actividades………..…………………………………………………… 101
10 Revisión bibliográfica…………..…………………………………………………… 103
11 Bibliografía…………………………………………………………………………… 105
Lista de Tablas
Tabla 1: Normativa ISO/IEC 27000……………………………………………………... 40
Tabla 2: Clasificación de los activos…………………………………………………...... 49
Tabla 3: Abreviaturas……………………………………………………………………. 50
Tabla 4: Dimensión de Valoración………………………………………………………. 51
Tabla 5: Escala de Valoración…………………………………………………………… 51
Tabla 6: Valoración de activos con escala 1-5…………………………………………… 52
Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos…………………………. 53
Tabla 8: Matriz de riesgos……………………………………………………………....... 54
Tabla 9: Análisis de riesgos……………………………………………………………… 55
Tabla 10: Usuarios no registrados……………………………………………………...... 65
Tabla 11: Rol de administrador………………………………………………………...... 65
Tabla 12: Rol de auditor…………………………………………………………………. 66
Tabla 13: Rol de gerente…………………………………………………………………. 71
Tabla 14: Tabla de auditoría……………………………………………………………... 80
Tabla 15: Tabla de dominios…………………………………………………………...... 81
Tabla 16: Tabla de objetivos…………………………………………………………….. 81
Tabla 17: Tabla de controles…………………………………………………………….. 82
Tabla 18: Tabla de usuarios……………………………………………………………… 82
Tabla 19: Tabla de tipos de usuario……………………………………………………… 83
Tabla 20: Niveles de madurez ISO/IEC 21827:2008……………………………………. 95
Tabla 21: Valoración de controles……………………………………………………...... 96
Tabla 22: Evaluación de controles……………………………………………………...... 97
9
Listas de figuras
Figura 1: Ciclo PDCA…………………………………………………………………….
29
Figura 2: Fases del análisis de riesgo…………………………………………………….. 34
Figura 3: Fases de la metodología DRA…………………………………………………. 37
Figura 4: Organigrama Emserpa E.I.C.E., E.S.P………………………………………… 46
Figura 5: Prototipo de interfaz del usuario……………………………………………….. 70
Figura 6: Diagrama de clases…………………………………………………………...... 75
Figura 7: Actores…………………………………………………………………………. 77
Figura 8: Casos de uso del usuario……………………………………………………….. 77
Figura 9: Casos de uso del usuario Registrado…………………………………………... 78
Figura 10: Casos de uso del administrador………………………………………………. 78
Figura 11: Casos de uso del auditor……………………………………………………… 79
Figura 12: Casos de uso del gerente……………………………………………………… 80
Figura 13: Diagrama bases de datos……………………………………………………... 83
Figura 14: Interfaz iniciar sesión………………………………………………………… 84
Figura 15: Interfaz página de inicio……………………………………………………… 85
Figura 16: Interfaz módulo de configuración……………………………………………. 86
Figura 17: Interfaz módulo de información……………………………………………… 86
Figura 18: Interfaz módulo de editar usuario…………………………………………….. 87
Figura 19 Interfaz módulo de crear usuario……………………………………………… 88
Figura 20 Interfaz módulo de iniciar auditorías………………………………………….. 88
Figura 21 Interfaz módulo de iniciar auditorías …………………………………………. 89
Figura 22 Interfaz módulo de auditorías realizadas……………………………………… 89
Figura 23 Interfaz módulo de auditorías realizadas……………………………………… 90
Figura 24 Interfaz módulo de comparar………………………………………………….. 91
Figura 24 Interfaz módulo de comparar………………………………………………….. 91
10
Anexos
Anexos 1: Formato caracterización de los activos de información.……………………... 108
Anexos 2: Checklist para la identificación del riesgo de los activos de información……. 109
Anexos 3: Formato de identificación de amenazas y vulnerabilidades………………...... 112
Anexos 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013………. 115
11
Resumen
Actualmente la Empresa municipal de servicios públicos de Arauca Emserpa
E.I.C.E.,E.S.P., quien maneja un flujo muy relevante de información y siendo esta una entidad
del estado no cuenta con una Herramienta que realice el análisis en las auditorías referente a la
seguridad informática exponiendo así su activo más valioso como lo es la información.
Para la empresa municipal de servicios públicos de Arauca EMSERPA E.I.C.E., E.S.P., la
información que maneja es un activo vital para el éxito y la continuidad de sus
procedimientos, por ello la importancia de hacer un análisis en la información que allí se
maneja y que mejor manera que haciendo uso de la tecnología.
Por lo anterior y teniendo en cuenta la opción de grado para optar el título de ingeniero de
sistemas de la universidad cooperativa de Colombia el seminario de perfeccionamiento se
planteó como finalidad analizar la seguridad informática en la empresa municipal de servicios
públicos de Arauca EMSERPA E.I.C.E.,E.S.P., mediante una herramienta que simplifique los
resultados obtenidos
Por ello con la ejecución de este proyecto se desea el desarrollo de una herramienta que
proporcione el análisis y diagnóstico mediante el estándar de calidad ISO 27002:2013 y de
igual forma mostrar mediante una aplicación web (utilizando lenguaje de programación PHP y
un gestor de base de datos MySql) los resultados de dicho análisis ya que podrán hacer las
evaluaciones cada vez que lo requieran, de un modo más eficiente y oportuno.
De esta forma la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,
E.S.P., dará un paso gigante en cuanto al uso de la tecnología ya que será una herramienta de
fácil manejo pero que proporcionara unos resultados muy valiosos que serán de gran apoyo
para la toma de decisiones en la entidad municipal y de esta forma corregir errores, evitarlos y
blindarlos en un futuro.
12
Abstract
At present the municipal public services enterprise of Arauca Emserpa E.I.C.E., E.S.P.,
who handles a very important flow of information and this being an entity of the state does not
have a tool to perform the analysis on the audits relating to the computers security thus
exposing its most valuable asset as is the information.
For the municipal public services Enterprise of Arauca EMSERPA E.I.C.E.,E.S.P., The
information handling is a vital asset for the success and continuity of its procedures, therefore
the importance of making an analysis in the information that is handled there and what better
way to do it that doing use of the technology.
Due to all those reasons above and taking it into account as a graduation option aim for the
degree of systems engineer of the Cooperative university of Colombia. The seminary of
perfection proposed itself as a goal to analyze the computers security of the municipal public
services Enterprise of Arauca EMSERPA E.I.C.E., E.S.P., by using a tool that simplifies the
obtained results.
Therefore the execution of this project desires the development of a tool that provides the
analysis and diagnostic through the ISO 27002:2013 standard quality and likewise show
through a web application (Using PHP programming language and the database manager
MySql), the results of this analysis, since it can make assessments whenever it required as a
more efficient and timely way.
Thus the municipal public services Enterprise of Arauca Emserpa E.I.C.E., E.S.P., will give
a step towards in terms of using the technology because it will be an easy management tool
and it will give a very valuables results that will be a great support for the decisions making in
the municipal entity and thus prevent, correct and shield mistakes in the future.
13
Introducción
Por estos tiempos la información se establece como un activo de suma importancia para
funcionalidad en las empresas, por ello cada día existen personas mal intencionadas quienes
sin la autorización previa intentan acceder a los datos que se encuentran en los ordenadores
ocasionando como posible consecuencia la inevitable perdida de la información, siendo esto
un habitado frecuente ocasionado una crisis en el normal desarrollo de las actividades si las
copias de seguridad no se encuentran al día.
Teniendo en cuenta la importancia de salvaguardar su activo más valioso como lo es la
información, las empresas implementan un sistema de gestión de la seguridad de la
información (SGSI), el cual constituye unos procedimientos adecuados de controles de
seguridad fundados en una evaluación de los riesgos y en un posterior cálculo de la eficacia
de los mismos, buscando así minimizarlos y controlarlos de una manera documentada
ofreciendo una mejora continua disminuyendo las vulnerabilidades y acrecentando el valor de
los activos en las empresas.
Esto hace que la seguridad informática para las empresas entendiéndola como un conjunto
de normas y procedimientos que garantice la disponibilidad, integridad y la confidencialidad
se vuelve indispensable su implementación.
De esta manera se hace necesario para las empresas las auditorías en la seguridad de la
información ya que ello permite la identificación de los riesgos, las vulnerabilidades y posibles
amenazas, dando paso a los responsables de las áreas de TI herramientas suficientes para la
toma de decisiones.
En este documento queda plasmado lo realizado en el análisis de la seguridad informática
caso de estudio: empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P.,
dando como valor agregado un aplicativo web que muestre los resultados de la evaluación de
una manera eficiente y oportuna bajo el estándar de calidad ISO 27002:2013, dando así un uso
responsable de las herramientas que nos ofrecen las tecnologías.
14
Capítulo
1
Proyecto de Grado
15
Introducción
En este capítulo se dará a conocer las diferentes características del proyecto realizado como
seminario de perfeccionamiento y que tuvo como desarrollo el Análisis de la seguridad
informática mediante el uso de un aplicativo web a la Empresa municipal de servicios públicos
de Arauca EMSERPA E.I.C.E., E.S.P. en el departamento de Arauca.
1.1. Planteamiento del problema
1.1.1 Descripción del problema.
La empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., maneja un
flujo muy alto e importante de información y a la fecha no cuenta con una herramienta que
brinde un análisis en la seguridad de la información de manera eficiente y oportuna para la
posterior toma de decisiones.
Por lo anterior se hace necesario que la empresa municipal de servicios públicos de Arauca
Emserpa E.I.C.E., E.S.P., empiece a darle un mejor tratamiento e importancia al flujo de la
información ya que la seguridad de la misma implementa procesos dentro de las entidades
para lograr una circulación de activos o datos y la vez hace que aparezcan vulnerabilidades
que ponen en riesgo toda la información que contiene sus bases de datos.
Por ende la seguridad de la información lo hace ver como un conjunto de políticas de
administración de la misma enfocada al diseño e implementación, para gestionar
eficientemente la accesibilidad de la información y como todo proceso de gestión debe seguir
siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la
organización así como los externos del entorno. Teniendo en cuenta que la información ha
sido y seguirá siendo el activo más valioso para una empresa y/o entidad por lo cual se debe
proteger siendo esta una tarea continua y de vital importancia que debe adaptase y estar a la
vanguardia de la tecnología.
16
Para la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., la
seguridad de la información, tiene una importancia considerable y consiste en la preservación
de su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad así como de los
sistemas implicados en su tratamiento.
Para ello la Confidencialidad de la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados y donde la integridad resalta la exactitud y
completitud de la información y sus métodos de proceso, haciendo de la disponibilidad un
acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de
los individuos, entidades o procesos autorizados cuando lo requieran.
En las visitas realizadas al área de TI, arrojo como resultado la ausencia de análisis en la
seguridad de la información sin poder identificar sus riesgos al que están expuestos sus
activos. Por ello la imperante necesidad de implementar una herramienta que me permita
analizar la información resultante en la seguridad de la información para la posterior toma de
decisiones.
1.1.2 Formulación del problema.
¿De qué forma la auditoría en la seguridad informática basada en el estándar ISO
27001:2013, contribuye al manejo eficiente de la información de la Empresa municipal de
Servicios Públicos de Arauca EMSERPA E.I.C.E.,E.S.P.?
1.2 Justificación
Para la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.E.S.P., la
seguridad de la información es de una importancia muy significativa por ello la necesidad de
utilizar una herramienta que analice de manera eficiente y oportuna los resultados de las
auditorías para brindar a quien corresponda una alternativa viable y segura para cualquier
toma de decisión.
Debido a que el flujo de la información en la Empresa municipal de Servicios públicos de
Arauca Emserpa E.I.C.E., E.S.P., tiene un valor representativo y el no uso de auditorías
periódicas en el campo de la TI, implican un atraso tecnológico considerable y peor aún,
exponiendo así a uno de los activos más importantes, relevante y significativo de la entidad
pública: la información.
17
Con la realización del aplicativo web, permitirá conocer de manera oportuna los resultados
de las auditarías y de esta manera aportar al crecimiento tecnológico en la empresa municipal
de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., culturizando al uso adecuado de las
misma y haciendo referencia a la directiva presidencial Nro. 04 del 3 de abril del 2012 en el
cual manifiesta la eficiencia administrativa y lineamientos de la política cero papel en la
administración púbica.
1.3 Objetivos
1.3.1 Objetivo general.
Analizar la seguridad informática de la Empresa Municipal de Servicios Públicos de
Arauca bajo el estándar ISO 27002:2013 mediante la Generación de un aplicativo web
establecido en relación a la metodología Magerit y DRA.
1.3.2 Objetivos específicos.
• Caracterizar los dominios de control del área de TI de la empresa municipal de
servicios público de Arauca EMSERPA E.I.C.E., E.S.P., mediante el uso de la
metodología Magerit para establecer los riesgos que existen en la seguridad de la
información y así mismo emplear la metodología DRA para generar los requerimientos
necesarios del aplicativo Web.
• Analizar mediante el uso de la metodología Magerit el SGSI en relación a la
información recopilada en el área de TI de la empresa municipal de servicios públicos
de Arauca EMSERPA E.I.C.E., E.S.P.
• Diseñar el modelado de datos y procesos que permita darle un direccionamiento
y una finalidad al aplicativo web, por medio del documento de los requerimientos
necesarios.
• Generar un aplicativo web que permita el análisis de seguridad de la
información del área de TI en la empresa municipal de servicios públicos de Arauca
18
EMSERPA E.I.C.E., E.S.P., basado en el estándar ISO 27002:2013, a través de la
metodología DRA y la plataforma PHP y el gestor de bases de datos MySql.
• Evaluar los riesgos identificados en el análisis de seguridad de la información
del área de TI en la empresa municipal de servicios públicos de Arauca EMSERPA
E.I.C.E., E.S.P., a través del aplicativo web.
1.4 Metodología
La metodología a utilizar para el desarrollo del proyecto es la metodología Magerit
elaborada por el Consejo Superior de Administración Electrónica de España y el modelo SSE-
CMM (Systems Security Engineering – Capability Maturity Model) ya que es un método
formal para investigar los riesgos que soportan los sistemas de información, y para
recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso
de las tecnologías de la información, que supone unos beneficios evidentes para los
ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza.
Para dar cumplimiento al desarrollo del proyecto haremos uso de los instrumentos para la
recopilación de la información como lo es el Checklist, u hojas de verificación ya que son
formatos creados para realizar actividades repetitivas, controlar el cumplimiento de una lista
de requisitos o recolectar datos ordenadamente y de forma sistemática.
El desarrollo de esta esta metodología contempla las siguientes fases:
➢ Fase 1: definir el alcance. El primer paso a la hora de llevar a cabo el análisis
de riesgos es establecer el alcance del estudio. Vamos a considerar que este análisis de
riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el
análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado
las áreas estratégicas sobre las que mejorar la seguridad.
19
➢ Fase 2: Identificar los activos. Una vez definido el alcance, debemos
identificar los activos más importantes que guardan relación con el departamento,
proceso, o sistema objeto del estudio.
➢ Fase 3: Identificar amenazas. Habiendo identificado los principales activos, el
siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal
y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos
hacer un esfuerzo en mantener un enfoque práctico y aplicado.
➢ Fase 4: Identificar vulnerabilidades y salvaguardas. La siguiente fase
consiste en estudiar las características de nuestros activos para identificar puntos
débiles o vulnerabilidades.
➢ Fase 5: Evaluar el riesgo. Disponemos de los siguientes elementos
(inventarios de activos, conjunto de amenazas a las que están expuestas los activos,
conjunto de vulnerabilidades asociadas a cada activo, conjunto de medidas de
seguridad implantadas).
Metodología para el desarrollo del software
El Desarrollo Rápido de Aplicaciones o RAD (Rapid Application Development) es un
proceso de desarrollo de software, el método comprende el desarrollo iterativo, la construcción
de prototipos y el uso de utilidades CASE.
El DRA es un modelo de proceso del desarrollo del software lineal secuencial que enfatiza
un ciclo de desarrollo extremadamente corto. DRA es una adaptación a "Alta velocidad" en el
que se logra el desarrollo rápido utilizando un enfoque de construcción basado en
componentes. Si se comprenden bien los requisitos y se limita el ámbito del proyecto, el
proceso DRA permite al equipo de desarrollo crear un "sistema completamente funcional"
dentro de periodos cortos de tiempo.
Cuando se utiliza principalmente para aplicaciones de sistemas de información, el enfoque
DRA comprende las siguientes fases:
➢ Modelado de Gestión: el flujo de información entre las funciones de gestión se
modela de forma que responda a las siguientes preguntas: ¿Que información conduce
el proceso de gestión? ¿Que información se genera? ¿Quién la genera? ¿A dónde va la
información? ¿Quién la procesa?
20
➢ Modelado de Datos: el flujo de información definido como parte de la fase de
modelado de gestión se refina como un conjunto de objetos de datos necesarios para
apoyar la empresa. Se definen las características (llamadas atributos) de cada uno de
los objetos y las relaciones entre estos objetos.
➢ Modelado de Proceso: los objetos de datos definidos en la fase de modelado
de datos quedan transformados para lograr el flujo de información necesario para
implementar una función de gestión. Las descripciones del proceso se crean para
añadir, modificar, suprimir, o recuperar un objeto de datos.
➢ Generación de Aplicaciones: El DRA asume la utilización de técnicas de
cuarta generación. En lugar de crear software con lenguajes de programación de
tercera generación, el proceso DRA trabaja para volver a utilizar componentes de
programas ya existentes (cuando es posible) o a crear componentes reutilizables
(cuando sea necesario). En todos los casos se utilizan herramientas automáticas para
facilitar la construcción del software.
➢ Pruebas de Entrega: Como el proceso DRA enfatiza la reutilización, ya se han
comprobado muchos de los componentes de los programas. Esto reduce tiempo de
pruebas. Sin embargo, se deben probar todos los componentes nuevos y se deben
ejercitar todas las interfaces a fondo.
1.4.1 Tipos de Investigación.
Para la ejecución de este proyecto utilizaremos una investigación cuantitativa y cualitativa.
La primera de ellas permitirá medir la cantidad y nivel de efectiva de cada uno de los controles
que se han de generar para compararlos con los ya existentes y de esta manera hacer una
proyección a un período futuro. Por otra parte, con la investigación cualitativa se podrá
analizar e interpretando los datos mediante la observación del entorno y entrevistas hechas a
las personas que interactúan directamente con el sistema.
21
1.4.2 Población.
El área de las tecnologías y comunicaciones de la empresa está constituida por 2 personas,
uno como trabajador oficial (planta) y el otro de libre nombramiento.
Ingeniero Ricardo Estupiñan Jefe de información y tecnología
Técnico Edgar Angarita Aux. De sistemas
1.4.3 Muestra.
La selección de la muestra se toma de una parte de la población del área de TI para la
recopilación de la información. La parte seleccionada será:
Ingeniero Ricardo Estupiñan Jefe de información y tecnología
Z2NPQ
n=
e2(N-1) + Z2PQ
(1.96)2*(5)*(0.5)*(0.5)
n= =
4,87
(0.08)2*(5-1)+ (1.96)2*(0.5)*(0.5)
En donde:
N= población
n= tamaño de la muestra
Z= grado de confianza: 1.96
P= probabilidad de éxito: 0.5
Q= probabilidad de fracaso: 0.5
e= error: 0.08
22
1.4.4 Instrumentos de Recolección de la Información.
Se denomina Check-List a la lista de comprobación que se utiliza para servir de guía y
recordar los puntos que deben ser inspeccionados en función de los conocimientos que se
tienen sobre las características y riesgos de las instalaciones. Viene a ser un cuestionario
de preguntas en el que se responderá SI o NO, concretamente es una lista de comprobación de
determinadas condiciones de trabajo compuesta por varios ítems que pueden contener una o
varias preguntas según sea el caso.
El check-list debe referirse básicamente a cuatro aspectos distintos de la prevención de
riesgos laborales:
➢ Al agente material: instalaciones, máquinas, herramientas, sustancias
peligrosas, suelos, paredes, objetos
➢ Al entorno ambiental: orden y limpieza, ruido, iluminación, temperatura,
condiciones higrométricas, corrientes de aire.
➢ A las características personales de los trabajadores: conocimientos, aptitudes,
actitudes, grado de adiestramiento, comportamiento.
➢ A la empresa u organización: gestión de la prevención, formación, métodos y
procedimientos, sistema de comunicaciones.
Cada supervisor encargado de la prevención que deba realizar una inspección de seguridad
debe elaborar y adaptar los check-list a las circunstancias de cada momento según
corresponda, deben de ser lo más claros e inteligibles que sea posible.
A ser posible un ítem o cuestión debe contener una sola pregunta que haga referencia a un
solo elemento y no a varios. Así, una pregunta como ¿Son seguras las máquinas? es
improcedente ya que una respuesta positiva indicaría que lo son todas, cosa bastante
improbable, sin embargo una respuesta negativa tampoco sería correcta. Una pregunta correcta
sería ¿Es segura la Maquina 2R? Si lo es no hay que hacerse más preguntas respecto a ella,
pero si la respuesta es negativa, no será suficiente con esto, habrá que hacerse
más preguntas como ¿Tiene el marcado CE?, ¿Se compró antes del año 1997?, y
otras preguntas para determinar la causa de su inseguridad, a fin de tener toda la información
posible relacionada a ese equipo.
23
Capítulo
2
Marco Referencial
24
Introducción
Este capítulo explica las reglamentaciones legales de la constitución política de Colombia,
los conceptos de las metodologías a emplear en el proyecto y varios datos relevantes de la
empresa. Todo esto, para llevar al lector a comprender los significados de las palabras más
importantes que vamos a emplear en el desarrollo del proyecto.
2.1. Marco legal
Este capítulo presentara las reglamentaciones que rigen la integridad de los datos y la
protección de la información.
La constitución Política de Colombia, en el capítulo de los derechos fundamentales, nos
expresa “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen
nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos
de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y
circulación de datos se respetarán la libertad y demás garantías consagradas en la
Constitución. La correspondencia y demás formas de comunicación privada son inviolables.
Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las
formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de
inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de
contabilidad y demás documentos privados, en los terminos que señale la ley”.
La Ley 1581 de 2012, dicta las disposiciones generales para la protección de datos
personales, en el artículo 4: Principios para el Tratamiento de datos personales; Esta ley busca
aplicar de manera armónica e integral algunos principios para tratar los datos personales. El
uso de los datos personales debe tener una finalidad específica y así mismo, contar con el
25
consentimiento de las personas involucradas. Los datos no se pueden alterar, se debe mantener
una calidad y veracidad, por lo tanto no se puede utilizar datos parciales, incompletos o
parciales. La persona que manipula estos datos debe tener permisos y garantizar la
transparencia. Además, se deben tomar medidas técnicas para suministrar seguridad a los
datos que se están manipulando y restringir las personas que pueden tener accesos a estos.
Directiva Presidencial 4 De 2012, dicta eficiencia administrativa y lineamientos de la
política cero papel en la administración pública. Dentro de las estrategias principales para la
implementación de esta política, se encuentra la denominada “Cero Papel” que consiste en la
sustitución de los flujos documentales en papel por soportes y medios electrónicos,
sustentados en la utilización de Tecnologías de la Información y las Telecomunicaciones. Esta
estrategia, además de los impactos en favor del ambiente, tiene por objeto incrementar la
eficiencia administrativa.
2.2. Marco conceptual
El ILACIF, define la auditoría como: “Es el examen objetivo, sistemático y profesional de
las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que
contenga comentarios, conclusiones y recomendaciones”. ((ILACIF)., 1981)
ISO 27001 es una norma internacional emitida por la Organización Internacional de
Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre
completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada
en base a la norma británica BS 7799-2. (Leal, 2015)
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del
mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad
de la información en una organización. También permite que una empresa sea certificada; esto
26
significa que una entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con la norma ISO
27001.(Leal, 2015)
2.3. Marco Teórico
Datos
La mayoría de los autores asumen que el investigador desempeña un papel activo respecto a
los datos: el dato es el resultado de un proceso de elaboración es decir, el dato hay que
construirlo. (Flores, 1994)
Aplicaciones
El software que se utiliza para la gestión de la información. (Poveda, 2013)
Personal
En esta categoría se encuentra tanto la plantilla propia de la organización, como el personal
subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una
manera u otra a los activos de información de la organización.(Poveda, 2013)
Tecnología
Los equipos utilizados para gestionar la información y las comunicaciones (servidores,
PCs, teléfonos, impresoras, routers, cableado, etc.) (Poveda, 2013)
Instalaciones
Lugares en los que se alojan los sistemas de información (oficinas, edificios, vehículos,
etc.) (Poveda, 2013)
Equipamiento auxiliar
En este tipo entrarían a formar parte todos aquellos activos que dan soporte a los sistemas
de información y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de
destrucción de datos, equipos de climatización, etc.) (Poveda, 2013)
27
PHP
(Acrónimo recursivo de PHP: Hypertext Preprocessor) es un lenguaje de código abierto
muy popular especialmente adecuado para el desarrollo web y que puede ser incrustado en
HTML.(GroupPHP, 2001)
MySQL
Es un gestor de base de datos sencillo de usar e increíblemente rápido. También es uno de
los motores de base de datos más usados en Internet, la principal razón de esto es que es gratis
para aplicaciones no comerciales. (WebEstilo, 2009)
CSS
Hojas de Estilo en Cascada (CSS) es un lenguaje de estilo de hojas usado para describir la
presentación de las páginas web. CSS permite la separación del contenido del documento de la
presentación del documento (disposición, colores, fuentes, entre otras). (Luján Mora &
Aragonés Ferrero, 2012)
Amenaza.
Las amenazas son eventos que pueden causar alteraciones a la información de la
organización ocasionándole pérdidas materiales, económicas, de información, y de prestigio.
Las amenazas se consideran como exteriores a cualquier sistema, es posible establecer
medidas para protegerse de las amenazas, pero prácticamente imposible controlarlas y menos
aún eliminarlas.(Barrientos, 2011)
Vulnerabilidad
Una vulnerabilidad informática es un elemento de un sistema informático que puede ser
aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí
mismos sin tratarse de un ataque intencionado. A las vulnerabilidades se les consideran un
28
elemento interno del sistema, por lo que es tarea de los administradores y usuarios el
detectarlos, valorarlos y reducirlos. (Barrientos, 2011)
Virus
Este tipo de código malicioso tiene como principal característica la capacidad de duplicarse
a sí mismo usando recursos del sistema infectado, propagando su infección
rápidamente.(Barrientos, 2011)
Antivirus.
El software antivirus es un programa de computación que detecta, previene y toma medidas
para desarmar o eliminar programas de software malintencionados, como virus y gusanos.
Para ayudar a evitar los virus más recientes, debe actualizar el software antivirus con
regularidad. Puede configurar la mayoría de los programas de software antivirus para que se
actualicen automáticamente. (Microsoft, 2012)
Backup.
La palabra "Backup" significa subir respaldo, siendo común el uso de este término dentro
del ámbito informático. El respaldo de información es la copia de los datos importantes de un
dispositivo primario en uno o varios dispositivos secundarios, ello para que en caso de que el
primer dispositivo sufra una avería electromecánica o un error en su estructura lógica.
(Informaticamoderna, 2008)
Ciclo PDCA.
El Ciclo de mejora continua PDCA está constituido por cuatro actividades: “Plan”, “Do”,
“Check”, “Act”, o en su versión española, Planificar, Desarrollar, Chequear y Ajustar/Actuar,
que forman un ciclo que se repite de forma continua. El Ciclo de mejora continua PDCA se
utiliza para llevar a cabo la mejora continua y lograr de una forma sistemática y estructurada la
resolución de problemas. Se comporta como un instrumento que resulta ser la base de todo
desarrollo de los procesos. Nos sirve para al abordaje de cualquier reflexión estratégica de
29
nuestra organización, pudiendo convertirse en el esqueleto del modelo de gestión que vayamos
a utilizar.
El ciclo PDCA o Deming, no es ni más ni menos que aplicar la lógica y hacer las cosas de
forma ordenada y correcta. Su uso no se limita exclusivamente a la implantación de la mejora
continua, sino que se puede utilizar, lógicamente, en una gran variedad de situaciones y
actividades. (Rodriguez, 2015)
Figura 1: Ciclo PDCA
Fuente: Elaborado por los autores del documento
30
El ciclo PDCA cuenta con 4 fases, que son las siguientes:
Planificar (Plan): En esta primera fase cabe preguntarse cuáles son los objetivos que se
quieren alcanzar y la elección de los métodos adecuados para lograrlos. Conocer previamente
la situación de la organización mediante la recopilación de todos los datos e información
necesaria será fundamental para establecer los objetivos. La planificación debe incluir el
estudio de causas y los correspondientes efectos para prevenir los fallos potenciales y los
problemas de la situación sometida a estudio, aportando soluciones y medidas correctivas.
(Rodriguez, 2015)
Hacer (Do): Consiste en llevar a cabo el trabajo y las acciones correctivas planeadas en la
fase anterior. Corresponde a esta fase la formación y educación de las personas y empleados
para que adquieran un adiestramiento en las actividades y actitudes que han de llevar a cabo.
Es importante comenzar el trabajo de manera experimental, para, una vez que se haya
comprobado su eficacia en la fase siguiente, formalizar la acción de mejora en la última etapa.
(Rodriguez, 2015)
Verificar (Check): Es el momento de verificar y controlar los efectos y resultados que
surjan de aplicar las mejoras planificadas. Se ha de comprobar si los objetivos marcados se
han logrado o, si no es así, planificar de nuevo para tratar de superarlos. En resumen, se trata
de: Diagnosticar a partir de los resultados o Volver a la etapa planificar si no se han obtenido
los resultados deseados. (Rodriguez, 2015)
Actuar (Act): Una vez que se comprueba que las acciones emprendidas dan el resultado
apetecido, es necesario realizar su normalización mediante una documentación adecuada,
describiendo lo aprendido, cómo se ha llevado a cabo, etc. Se trata, al fin y al cabo, de
formalizar el cambio o acción de mejora de forma generalizada, introduciéndolo en los
procesos o actividades. (Rodriguez, 2015)
Confidencialidad.
Requiere que la información sea accesible únicamente por las entidades autorizadas. De
esta manera, se dice que un documento (o archivo o mensaje) es confidencial si y sólo si puede
31
ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de
un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una
persona no autorizada. (Garcia, 2013)
Controles.
El proceso para determinar lo que se está llevando a cabo, valorización y, si es necesario,
aplicando medidas correctivas, de manera que la ejecución se desarrolle de acuerdo con lo
planeado. (Terry, 2000)
Cuarto de telecomunicaciones.
Es un espacio dentro de una organización donde se proporciona todos los equipos de
hardware, que se van a utilizar. Por ejemplo los servidores, los rack, switch y demás
componentes.
Disponibilidad.
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y
utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la
información pueda ser recuperada en el momento en que se necesite, evitando su pérdida o
bloqueo.(Garcia, 2013)
Hardware.
En el lenguaje informático, el Hardware, está integrado por los elementos físicos y
tangibles de una computadora, tanto los que están a la vista (teclado, impresora, monitor,
mouse, scanner, entre otros.) como los que se encuentran dentro del gabinete (disco rígido,
memoria, microprocesador, entre otros.). (Andres, 2007)
Información.
Es un conjunto de datos con un significado, o sea, que reduce la incertidumbre o que
aumenta el conocimiento de algo. En verdad, la información es un mensaje con significado en
un determinado contexto, disponible para uso inmediato y que proporciona orientación a las
32
acciones por el hecho de reducir el margen de incertidumbre con respecto a nuestras
decisiones. (Idalberto, 2006)
Integridad.
Es la cualidad de un mensaje, comunicación o archivo, que permite comprobar que no se ha
producido manipulación alguna en el original, es decir, que no ha sido alterado. (Garcia, 2013)
Mantenimiento correctivo.
Este es el que hacemos cuando algo falla, una vez que se diagnostica el problema se busca
una manera de solucionarlo. Me gusta comparar los problemas de los ordenadores con los de
salud de la gente, si tienes una falla de hardware te mandan al cirujano, te arreglan las piezas
malas y si no hay remedio, pues al cementerio, tal vez algunos órganos funcionen y puedan ser
donados a otras PCs. (González, 2014)
Mantenimiento preventivo.
Es todo aquello que hacemos con el propósito de mantener nuestro ordenador funcionando
de la manera más satisfactoria posible. Para esto hay que hacer una que otra prueba de vez en
cuando, mientras más sistemáticos seamos más indoloro es el proceso. Todo con el objetivo de
evitar la mayor cantidad de problemas, o de mitigar el daño en caso de una falla. (González,
2014)
Mitología MAGERIT
La Metodología Magerit, es un método formal para investigar los riesgos que soportan los
Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse
para controlar estos riesgos. El análisis y gestión de los riesgos es un aspecto clave del Real
Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al
principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos
33
mínimos para la protección adecuada de la información. (Ministerio de Hacienda y
Administraciones Públicas de España, 2012)
Magerit es un instrumento para facilitar la implantación y aplicación del Esquema Nacional
de Seguridad proporcionando los principios básicos y requisitos mínimos para la protección
adecuada de la información.
Objetivos:
Magerit, nos presenta los siguientes objetivos, clasificados en directos e indirectos.
Directos:
✓ Concienciar a los responsables de las organizaciones de información de la existencia de
riesgos y de la necesidad de gestionarlos
✓ Ofrecer un método sistemático para analizar los riesgos derivados del uso de
tecnologías de la información y comunicaciones (TIC)
✓ Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo
control
Indirectos:
✓ Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso
También se ha buscado la uniformidad de los informes que recogen los hallazgos y las
conclusiones de las actividades de análisis y gestión de riesgos
34
ANALISIS DE RIESGOS
En materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los
trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la
seguridad de la información. Si consideramos que las herramientas tecnológicas y la
información que manejamos son de gran valor para nuestra organización debemos empezar a
pensar en poner en práctica un Plan Director de Seguridad. Este plan se puede simplificar
como la definición y priorización de un conjunto de proyectos en materia de seguridad de la
información dirigido a reducir los riesgos a los que está expuesta la organización hasta unos
niveles aceptables a partir de un análisis de la situación inicial.
Para realizar un análisis de riesgos se deben seguir las siguientes fases, de las cuales para el
proyecto utilizaremos las primeras 5 fases:
Figura 1: Fases del Análisis de riesgos.
Fuente: Fuente especificada no válida.
35
Fase 1: Definir Alcance
El primer paso a la hora de llevar a cabo el análisis de riesgos es establecer el alcance del
estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de
Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance
del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad.
Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos,
procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento
Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o
análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.
En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los
servicios y sistemas del Departamento Informática”.
Fase 2: Identificar Activos
Una vez definido el alcance, debemos identificar los activos más importantes que guardan
relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla
Fase 3. Identificar / seleccionar las amenazas
Habiendo identificado los principales activos, el siguiente paso consiste en identificar las
amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es
amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y
aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la
destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor,
la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de
plantearnos el riesgo de que el CPD sea destruido por un meteorito.
36
Fase 4. Identificar vulnerabilidades y salvaguardas
La siguiente fase consiste en estudiar las características de nuestros activos para identificar
puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser
identificar un conjunto de ordenadores o servidores cuyos sistemas antivirus no están
actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte
del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para
reflejar las vulnerabilidades identificadas.
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos:
Inventario de activos.
✓ Conjunto de amenazas a las que está expuesta cada activo.
✓ Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
✓ Conjunto de medidas de seguridad implantadas
METODOLOGIA DRA
El desarrollo rápido de aplicaciones o RAD (acrónimo en inglés de rapid application
development) es un proceso de desarrollo de software, desarrollado inicialmente por James
Martin en1980. El método comprende el desarrollo interactivo, la construcción de prototipos y
el uso de utilidades CASE (Computer Aided Software Engineering). Tradicionalmente, el
desarrollo rápido de aplicaciones tiende a englobar también la usabilidad, utilidad y la rapidez
de ejecución.
Esta metodología ha tomado gran auge debido a la necesidad que tienen las instituciones de
crear aplicaciones funcionales en un plazo de tiempo corto. RAD es un ciclo de desarrollo
diseñado para crear aplicaciones de computadoras de alta calidad de las que acontecen en
corporaciones grandes. (Carrillo & Oliva, 2011)
37
La metodología DRA consta de 5 fases para su desarrollo:
Modelado de gestión
El flujo de información entre las funciones de gestión se modela de forma que responda a
las siguientes preguntas: ¿Qué información conduce el proceso de gestión? ¿Qué información
se genera? ¿Quién la genera? ¿A dónde va la información? ¿Quién la procesa?
Figura 3: Fases de la Metodología DRA
Fuente: (Carrillo & Oliva, 2011)
38
Modelado de datos
El flujo de información definido como parte de la fase de modelado de gestión se refina
como un conjunto de objetos de datos necesarios para apoyar la empresa. Se definen las
características (llamadas atributos) de cada uno de los objetos y las relaciones entre estos
objetos.
Modelado de proceso
Los objetos de datos definidos en la fase de modelado de datos quedan transformados para
lograr el flujo de información necesario para implementar una función de gestión. Las
descripciones del proceso se crean para añadir, modificar, suprimir, o recuperar un objeto de
datos. Es la comunicación entre los objetos.
Generación de aplicaciones
El DRA asume la utilización de técnicas de cuarta generación. En lugar de crear software
con lenguajes de programación de tercera generación, el proceso DRA trabaja para volver a
utilizar componentes de programas ya existentes (cuando es posible) o a crear componentes
reutilizables (cuando sea necesario). En todos los casos se utilizan herramientas automáticas
para facilitar la construcción del software.
Pruebas de entrega
Como el proceso DRA enfatiza la reutilización, ya se han comprobado muchos de los
componentes de los programas. Esto reduce tiempo de pruebas. Sin embargo, se deben probar
todos los componentes nuevos y se deben ejercitar todas las interfaces a fondo.
39
Por qué usar DRA
✓ Malas razones
Prevenir presupuestos rebasados (RAD necesita un equipo disciplinado en manejo de
costos).
Prevenir incumplimiento de fechas (RAD necesita un equipo disciplinado en manejo de
tiempo).
✓ Buenas razones
Convergir tempranamente en un diseño aceptable para el cliente y posible para los
desarrolladores.
Limitar la exposición del proyecto a las fuerzas de cambio.
Ahorrar tiempo de desarrollo, posiblemente a expensas de dinero o de calidad del producto.
Ventajas de DRA
✓ Comprar puede ahorrar dinero en comparación con construir.
✓ Los entregables pueden ser fácilmente trasladados a otra plataforma.
✓ El desarrollo se realiza a un nivel de abstracción mayor.
✓ Visibilidad temprana.
✓ Mayor flexibilidad.
✓ Menor codificación manual.
✓ Mayor involucramiento de los usuarios.
✓ Posiblemente menos fallas.
✓ Posiblemente menor costo.
✓ Ciclos de desarrollo más pequeños.
✓ Interfaz gráfica estándar.
40
Norma ISO/IEC 27000
Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier
tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014).
A continuación se incorpora una relación con la serie de normas ISO 27000 y una
descripción de las más significativas:
Tabla 1: Normativa ISO/IEC 27000.
Normativa ISO/IEC 27000.
ITEM NORMA
ISO/IEC
DESCRIPCIÓN
1
ISO 27000
Esta Norma Internacional proporciona una visión general
de los sistemas de gestión de seguridad de la información, y
los términos y definiciones de uso común en la familia de
normas de SGSI. Esta norma es aplicable a todo tipo y
tamaño de organización (por ejemplo, empresas comerciales,
agencias gubernamentales, organizaciones sin ánimo de
lucro). (International Organization for
Standardization/International Electrotechnical Commission,
2014)
2
ISO 27001
Especifica los requisitos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar los sistemas
de gestión de seguridad de la información (SGSI) formalizado
dentro del contexto de los riesgos globales de negocio de la
organización. Especifica los requisitos para la aplicación de
los controles de seguridad de la información adaptados a las
necesidades de las organizaciones o partes de las mismas.
(International Organization for Standardization/International
Electrotechnical Commission, 2014)
3
ISO 27002
Proporciona una lista de objetivos de control comúnmente
aceptados y las mejores prácticas para ser utilizadas como una
guía de implementación en la selección y la aplicación de
controles para lograr la seguridad de la información.
(International Organization for Standardization/International
Electrotechnical Commission, 2014)
Proporciona una guía práctica de implementación y
proporciona más información para establecer, implementar,
41
4 ISO 27003 operar, monitorear, revisar, mantener y mejorar un SGSI
según ISO / IEC 27001. (International Organization for
Standardization/International Electrotechnical Commission,
2014)
5
ISO 27004
Proporciona orientación y asesoramiento sobre el
desarrollo y uso de las mediciones con el fin de evaluar la
eficacia del SGSI, los objetivos de control y controles
utilizados para implementar y administrar la seguridad de la
información, tal como se especifica en la norma ISO / IEC
27001. (International Organization for
Standardization/International Electrotechnical Commission,
2014)
6
ISO 27005
Proporciona directrices para la gestión de riesgos de
seguridad de la información. El método descrito en esta
norma es compatible con los conceptos generales
especificados en la norma ISO / IEC 27001. (International
Organization for Standardization/International
Electrotechnical Commission, 2014)
7
ISO 27006
Especifica los requisitos y proporciona una guía para los
organismos que realizan la auditoría y la certificación del
SGSI según ISO / IEC 27001. Ésta norma está destinada
principalmente para apoyar la acreditación de organismos de
certificación que ofrecen certificación SGSI según ISO / IEC
27001. (International Organization for
Standardization/International Electrotechnical Commission,
2014)
8
ISO 27007
Proporciona orientación sobre la realización de auditorías
de SGSI, así como orientación sobre la competencia de los
auditores de sistemas de gestión de seguridad de la
información. (International Organization for
Standardization/International Electrotechnical Commission,
2014)
Fuente: Elaborado por los autores del documento.
42
Políticas de seguridad.
Las políticas de seguridad informática tienen por objeto establecer las medidas de índole
técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de
información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas
que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los
usuarios de cómputo de las empresas. (Benitez, 2013)
2.4. Marco contextual
Actualmente la Empresa municipal de servicios públicos de Arauca Emserpa
E.I.C.E.,E.S.P., ubicada en la carrera 24 entre calle 18 y 19 en el edificio CAM, bloque #3 y
Mediante Acuerdo Municipal No. 023 del 08 de diciembre de 1993, se modificó el Acuerdo
026 de 1988, dándole a EMSERPA la administración de los servicios de Aseo Público. Con la
transformación de la Empresa se separaron los servicios públicos no domiciliarios que
administraba (Plaza de Mercado, Matadero y Cementerio); buscando siempre la eficiencia y la
eficacia en la prestación de los servicios. La filosofía de la Ley, expresa el nacimiento de
nuevas empresas, sanas financiera y administrativamente; sin embargo esta empresa no ha
podido proyectar su gestión, toda vez que asumió los pasivos comerciales y laborales del
anterior ente administrativo. (EMSERPA, Empresa Municipal de Servicios Publicos de
Arauca, EMSERPA, 2015)
2.4.1. Misión.
Somos una Empresa Industrial y Comercial del Estado del orden Municipal, responsable
de la prestación de los servicios de Acueducto, Alcantarillado y Aseo en el área urbana del
Municipio de Arauca, contribuyendo al bienestar de la comunidad, con personal idóneo,
sostenibilidad ambiental y mejora continua de los procesos. (EMSERPA, Misión y Visión -
Emserpa E.I.C.E. E.S.P., 2015)
43
2.4.2. Visión.
En el año 2024 EMSERPA E.I.C.E. E.S.P. será una empresa líder en la prestación de los
servicios públicos de acueducto, alcantarillado y aseo en el Departamento de Arauca, con
compromiso, calidad, transparencia y responsabilidad social, contribuyendo a mejorar la
calidad de vida de la comunidad. (EMSERPA, Misión y Visión - Emserpa E.I.C.E. E.S.P.,
2015)
2.4.3. Valores Corporativos.
(EMSERPA, Valores corporativos y comportamientos esperados, 2015). Define los
siguientes valores corporativos:
Responsabilidad
En la empresa prevemos y corregimos las consecuencias negativas de nuestras actuaciones y
omisiones como individuos y como organización, de modo que contribuyamos a un clima
laboral óptimo en la Entidad y a la toma adecuada de decisiones en el ejercicio de la función
fiscalizadora.
Celeridad
Las actuaciones de los servidores públicos de la empresa, estarán enmarcadas en la agilidad
del desarrollo de sus funciones y tareas.
Transparencia
Comunicamos ampliamente los resultados de nuestra gestión y estamos dispuestos al libre
examen por parte de la comunidad y de las entidades de control, para lo cual entregamos la
información solicitada de manera veraz y oportuna. Nuestras actuaciones y comportamiento
deben ser públicos en cabeza de los principios y valores que rigen el comportamiento humano.
44
Ética
Se refiere al proceder digno y honorable, establecido por nuestras propias convicciones,
materializado en nuestras acciones con equidad, justicia y rectitud.
Cumplimiento
Sentimos honor de trabajar en la empresa, donde nos consideramos socios operacionales y
estamos decididos a retribuirle con el máximo de nuestras capacidades.
Compromiso
Reconocemos y hacemos propias las orientaciones, propósitos, proyectos y logros
institucionales, con el fin de garantizar el cumplimiento de nuestra razón de ser, propiciando el
mejoramiento continuo. Alto sentido de pertenencia con la empresa y con los clientes que son
la razón de ser de la empresa.
Servicio
En la filosofía de nuestra organización, la excelencia es el elemento fundamental en la
relación con el cliente. Como servidores públicos promovemos el control social como
complemento importante de la labor que prestamos, e internamente impulsamos el trabajo en
equipo y la distribución colectiva de las responsabilidades para prestar un servicio con alto
contenido social.
Respeto
En nuestra convivencia prevalece el aceptar la diversidad de pensamiento e ideas, buscando
un clima de armonía. El trato a los demás es amable y digno; escuchamos y consideramos las
sugerencias de nuestros servidores públicos y de la comunidad, con el fin de fortalecer la
prestación del servicio.
Comunicación
Es entendida como un elemento fundamental de las relaciones entre trabajadores y los
equipos de trabajo, para desempeñar nuestra labor y fortalecer la integración. Tenemos reserva
45
sobre la información que por mandato legal no puede ser divulgada, y discreción en el
tratamiento de los asuntos internos de la entidad.
Moralidad
El comportamiento se ceñirá a los preceptos que reglan la moral del individuo, como
elemento fundamental en sus actuaciones. Utilizamos los recursos exclusivamente para el
cumplimiento de nuestra gestión y brindamos garantía a la comunidad frente a la protección de
los bienes públicos, mediante el ejercicio de una eficiente prestación de los servicios que
atendemos.
Productividad
Se busca aplicar al máximo los principios universales de eficiencia y eficacia, alcanzando un
alto nivel de rendimiento. Así mismo, valoramos y exaltamos los logros alcanzados por
nuestros servidores y los motivamos para el mejoramiento continuo.
2.4.4. Estructura organizacional.
Figura 4: Organigrama EMSERPA E.S.P. E.I.C.E.
Fuente: (EMSERPA, Organigrama General Emserpa E.I.C.E E.S.P, 2015)
47
Capitulo
3
Análisis de Riesgos
en el Área de TI de
Emserpa E.I.C.E.,
E.S.P.
48
Introducción
En este capítulo se dará a conocer el desarrollo de análisis de riesgo a la empresa objeto de
estudio: Empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., del
departamento de Arauca, donde hacemos uso de la metodología de Magerit con referencia al
análisis de riesgo.
Se debe dejar claridad que en este capítulo por tratarse de una empresa de calidad estatal
quien maneja un tipo de información de uso confidencial no será divulgado ni se dará a
conocer.
Para la realización de este capítulo se tuvo en cuenta la identificación de los activos que
maneja la empresa e incluyendo los más críticos, esto con mira de poder identificar sus
amenazas, sus salvaguardas y la posterior y la posterior evaluación de sus riesgos.
3.1. Identificación y clasificación de los activos
Para poder dar paso a la identificación de los activos que tuvo que realizar una serie de
visitas al personal que opera el área de la TI de la empresa municipal de servicios públicos de
Arauca Emserpa E.I.C.E.,E.S.P., quienes siempre mostraron su disposición para llevar a cabo
la realización de los checklist.
Para llevar a cabo la identificación de los activos se contó con la herramienta que ofrece
Magerit como guía para el análisis y gestión de riesgos de los sistemas de información.
Donde Magerit en sus libros expresa lo siguiente:
Libro I: Método. Aquí hace referencia al análisis de gestión de riesgo. (Análisis de los
riesgos y tratamiento de los riesgos), identificación de los activos y los más relevantes,
49
características (código, nombre, tipo, unidad responsable, unidad que lo explota, persona
responsable, ubicación y cantidad), lo anterior se refleja en el Anexo 1: formato de
caracterización de los activos de información y Anexo 2: checklist para la identificación del
riesgo de los activo de información.
Libro II: Catalogo de elementos. En esta trata de los tipos de activos, su valoración, sus
criterios, sus amenazas y sus salvaguardas.
El resultado de la clasificación de los activos se presenta a continuación:
Tabla 2:
Clasificación de los activos.
IT
EM
TIPO DE ACTIVO ACTIVO
1 Datos y/o información Datos de los usuarios.
2 Software Herramienta a utilizar para el
desarrollo de las actividades (sistema).
3
Equipamiento Informático
(Hardware)
Servidor de aplicaciones, UPS, Pc’s,
Servidor de Base de Datos,
Fotocopiadoras, Servidor de Intranet,
Firewall, Portátiles, Servidor Proxy,
Switch, Router, Servidor de archivo,
Impresoras.
4 Redes de Comunicaciones Red telefónica, Red Inalámbrica,
Internet,
Red de datos, Intranet.
5 Equipamiento Auxiliar Fibra Óptica, Aire Acondicionado
6 Instalaciones Cuarto de Telecomunicaciones, Cuarto
de UPS
7 Personal Responsables del área de TI
Fuente: Elaborado por los autores del documento.
50
3.2. Determinación de activos críticos
Posterior a la clasificación se da paso a darle valor teniendo en cuenta sus dimensiones de
valoración establecidas por el (Ministerio de hacienda) como “las características o atributos
que hacen valioso un activo y se utilizan para valorar las consecuencias de la materialización
de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del
perjuicio para la organización si el activo se ve dañado en dicha dimensión.”.
En el libro II de Magerit: catálogos de elementos, hace referencia a la disponibilidad,
confidencialidad, autenticidad y trazabilidad para dar significado al activo de la empresa.
A continuación de se mostrara los términos utilizados y la valoración de activos críticos
teniendo en cuenta las respuestas dadas por la persona responsable del área de TI de la
empresa caso de estudio.
Tabla 3:
Abreviaturas
ÍT
EM
ABREVIATU
RA
DEFINICIÓN
1 C Confidencialidad
2 I Integridad
3 D disponibilidad 4 A Autenticidad
5 T Trazabilidad
Fuente: Elaborado por los autores del documento.
51
Tabla 4: d Valoración.
Dimensiones de Valoración.
ÍT
EM
DIMENSIONES DE
VALORACIÓN
DESCRIPCIÓN
1 Disponibilidad ¿Qué grado de importancia para la empresa
tendría que el activo no estuviera disponible?
2 Integridad ¿Qué importancia tendría para la empresa
que los datos fueran modificados fuera de
control?
3
Confidencialidad
¿Qué importancia representaría para la
empresa a que personas ajenas obtengan datos
de la misma?
4
Autenticidad
¿Qué importancia representaría para la
empresa que quien tenga acceso al servicio no
sea quien se cree?
5
Trazabilidad
¿Qué importancia representaría para la
empresa que no quedara constancia del uso del
servicio?
Fuente: Elaborado por los autores del documento.
Tabla 5: Valoración.
Escala de Valoración.
VALOR DESCRIPCIÓN
1 Daño Muy bajo
2 Daño Bajo
3 Daño Medio
4 Daño alto
5 Daño muy alto
Fuente: Elaborado por los autores del documento.
52
Tabla 6: activos.
Valoración de activos con escala 1 - 5
ÍTEM ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN
C I D A T
1 Servidor de Intranet 5 5 5 5 5
2 Servidor de base de datos 5 5 5 5 5
3 Red de datos 5 5 5 5 5
4 Servidor Proxy 5 5 5 5 5
Fuente: Elaborado por los autores del documento.
La información anterior refleja los activos críticos identificados ya se son considerados
como factores fundamentales para la funcionalidad de la empresa caso de estudio.
3.3. Salvaguardas existentes en los activos críticos
En visitas realizadas al área de TI de la empresa caso de estudio y de información
suministrada por el personal encargado de la misma, se pudieron identificar las siguientes
salvaguardas:
Backup
Se tiene como procedimiento establecido las copias de seguridad como factor fundamental
para salvaguardar la información
Mantenimiento de Hardware.
Se tiene como prioridad los cronogramas de mantenimiento de los equipo para el óptimo
funcionamiento.
53
3.4. Vulnerabilidades y amenazas a los activos críticos
Mediante checklist aplicado al jefe del área de TI en la empresa caso de estudio, se
pudieron identificar las amenazas y vulnerabilidades con respecto con los activos críticos
identificados. Ver formato de amenazas y vulnerabilidades. Anexos 3: formato de
identificación de amenazas y vulnerabilidades
En la tabla que se muestra a continuación se relaciona las vulnerabilidades y amenazas de
los activo críticos en la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,
E.S.P.
Tabla 7: y Amenazas de los Activos Críticos.
Vulnerabilidades y Amenazas de los Activos Críticos.
IT
EM
ACTIVOS VULNERABILIDADE
S
AMENAZAS
1 Servidor de Intranet Humedad Deterioro del gabinete
Cortocircuito
2 Servidor de base de datos Fallo del sistema
eléctrico
Perdida de la
información
Incendio
3
Red de datos
Manipulación de la red
Interrupción en las
actividades
Perdida de la
información
4 Servidor Proxy Ataques internos Manipulación de la
información
Fuente: Elaborado por los autores del documento.
3.5. Determinación del riesgo
Para poder identificar el valor de riesgo de los activos críticos de la empresa municipal de
servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., se tomó como ejemplo la siguiente
54
matriz de riesgo con una escala de 1 – 4, donde se determina la probabilidad de explotación de
una vulnerabilidad y la probabilidad de ocurrencia de una amenaza:
Tabla 8: de riesgos.
Matriz de riesgos.
Análisis de Riesgos
Riesgo = Amenaza x Vulnerabilidad
Pro
bab
ilid
ad d
e
Explo
taci
ón
(Vuln
erab
ilid
ad)
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
Probabilidad de Ocurrencia
(Amenaza)
Valores
Alto Riesgo (12 -
16)
1 = Insignificante
2 = Baja
3 = Mediana
4 = Alta
Medio Riesgo (8 -
9)
Bajo Riesgo (1 -6)
Fuente: (Erb, 2011)
La tabla que se presenta a continuación establece probabilidad de explotación de las
vulnerabilidades (PE) y la probabilidad de ocurrencia de las amenazas (PO) y la
determinación del nivel de riesgo al que están expuestos los activos críticos de la empresa y
55
además para este ejercicio se contó con la participación activa del jefe del área de TI de la
empresa caso de estudio.
Se aclara que por condiciones de confidencialidad con la empresa caso de estudio no se
dará a conocer todo lo evidenciado en los resultados.
Tabla 9:
Análisis de riesgos.
Í
TEM
ACT
IVO
VULNERABIL
IDAD
PROBABIL
IDAD DE
EXPLOTACIÓ
N (PE)
AMEN
AZA
PROBABIL
IDAD DE
OCURRENCI
A (PO)
NIV
EL DE
RIESG
O
1 Serv
idor de
Intranet
Humedad
Deterior
o del
gabinete
Cortocir
cuito
2 Serv
idor de
base de
datos
Fallo del
sistema eléctrico
Perdida
de la
informació
n
Incendio
3
Red
de
datos
Manipulación
de la red
Interrup
ción en las
actividades
Perdida
de la
informació
n
4 Serv
idor
Proxy
Ataques
internos
Manipul
ación de la
informació
n
Fuente: Elaborado por los autores del documento.
56
Por último, se representó mediante un gráfico el porcentaje por cada uno de los niveles de
riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel de riesgo
se encontraban los activos de información de la empresa en ese momento.
Gráfica 1: Porcentaje de riesgo.
Fuente: Elaborado por los autores del documento.
40%
40%
20%
Porcentaje de Riesgo de los activos de información de Emserpa E.S.P
Bajo Medio Alto
57
Capitulo
4
Requerimientos de
Software
58
Introducción
En este capítulo expondremos las características de la aplicación desde un ámbito técnico,
explicando cada uno de los módulos y sus funciones, los diferentes roles que tienen los
usuarios según sus perfiles dentro de la empresa. También se presentara un prototipo de la
interfaz gráfica que tendrán los usuarios de la aplicación. Estos requerimientos de software son
las bases fundamentales para el buen funcionamiento de un sistema.
4.1. Conceptos preliminares
4.1.1 Propósito
El propósito fundamental de los requerimientos de software es definir cuáles son los
componentes que tendrá la aplicación que se desarrollara y cuáles son las funciones de los
usuarios.
4.1.2 Ámbito
La página web está orientada al desarrollo de las auditorías en seguridad de la información
basadas en la norma ISO 27002:2013 para la Empresa municipal de servicios públicos de
Arauca EMSERPA E.I.C.E.,E.S.P., que con la mano de la tecnología pueden ser más
eficientes a la hora de evaluar la empresa. Esta aplicación solo tendrá conexión privada
(intranet), puesto que los datos alojados en las bases de datos son de uso confidencial de la
empresa.
59
4.1.3 Definiciones, acrónimos y abreviaturas
Sitio Web
Conjunto de archivos electrónicos y páginas web referentes a un tema en particular que
incluye una página inicial de bienvenida, con un nombre de dominio y dirección en Internet
específicos. (Perez, 2013)
Interfaz
Parte del programa informático que permite el flujo de información entre varias
aplicaciones o entre el propio programa y el usuario.(Perez, 2013)
Intranet
Parte privada de la aplicación donde sólo tendrán acceso a la información los usuarios que
estén registrados.(Perez, 2013)
Servidor Web
Se trata de un programa que implementa el protocolo HTTP (HyperText TransferProtocol).
Este protocolo está diseñado para transferir lo que llamamos hipertextos, páginas web o
páginas HTML: textos complejos con enlaces, figuras, formularios, botones y objetos
incrustados como animaciones o reproductores de música.(Perez, 2013)
Navegador
Permite al usuario recuperar y visualizar páginas web a través de Internet.(Perez, 2013)
Responsive
El diseño web responsivo o adaptativo es una técnica de diseño web que busca la correcta
visualización de una misma página en distintos dispositivos. Desde ordenadores de escritorio a
tabletas y móviles.(fiebre, s.f.)
60
4.1.4 Visión global
A continuación se explicara la descripción general de la aplicación con sus funciones, sus
características, las interacciones de los usuarios, las restricciones y los modulados usados. De
igual forma se expondrá la información detallada de los requerimientos de software.
4.2 Descripción general
4.2.1 Perspectiva del producto
La página web ofrece la elaboración de las auditorías mediante las normas ISO y de esta
forma mostrar la información de las auditorías realizadas en la empresa y así mismo poder
compararlas para realizar las mejoras pertinentes para que la empresa se pueda certificar.
4.2.2 Funciones del producto
A continuación mostraremos las funciones que tiene la aplicación dependiendo los roles
que tienen los usuarios.
Usuario Anónimo
Autenticación: Aquí se muestra un diseño simple para que usuario pueda ingresar sus datos
personales y acceder a la aplicación.
Usuario registrado
Cerrar sesión: Al estar en la aplicación, el usuario encontrara un módulo con el cual puede
cerrar sesión y volver a la página de autenticación.
61
Rol de Administrador
Módulo Configuración (Para todos los usuarios): Este módulo es para la configuración
de la cuenta, donde el usuario puede observar su nombre, el tipo de la cuenta y la cedula. Aquí
mismo puede cambiar su contraseña (la cual se le da por defecto) y cambiar su imagen de
perfil.
Módulo de Información (Para todos los usuarios): Este módulo expone la información
más relevante de la página, se puede observar la norma ISO 27000, los criterios de evaluación
de las auditorías y la imagen con dominios, objetivos de control y los controles que tiene la
norma.
Módulo de Editar Usuarios: Este módulo ofrece al administrador observar los usuarios
que están en la base de datos, con su respectiva información. Además puede eliminarlos si es
necesario.
Módulo de Crear Usuarios: Este módulo permite al administrador crear usuarios en las
bases de datos, con su respectiva información; nombre, cedula, contraseña y el tipo de usuario
que será este usuario el cual puede ser, administrador, gerente o auditor.
Rol de Auditor
Módulo Configuración (Para todos los usuarios): Este módulo es para la configuración
de la cuenta, donde el usuario puede observar su nombre, el tipo de la cuenta y la cedula. Aquí
mismo puede cambiar su contraseña (la cual se le da por defecto) y cambiar su imagen de
perfil.
Módulo de Información (Para todos los usuarios): Este módulo expone la información
más relevante de la página, se puede observar la norma ISO 27000, los criterios de evaluación
de las auditorías y la imagen con dominios, objetivos de control y los controles que tiene la
norma.
62
Módulo de Realizar Auditoría: El auditor es el único que posee los permisos para acceder
a la realización de auditorías. El módulo ofrece la creación de una nueva auditoría donde se
llena la información de la auditoría como su nombre, año y un consecutivo. Luego permite
escoger la auditoría y ejecutar la evaluación de esta. Se muestran los dominios de control, los
objetivos de control y los controles que se deben evaluar. Cada control se puede evaluar
mediante los criterios explicados en la información general, y además escribir alguna
observación, si es necesario.
Módulo de Auditorías Realizadas: Este módulo enlista las auditorías que se han
realizado, con su respectiva información. Y asimismo se pueden mirar los resultados de la
evaluación por cada una, en un menú despegable, se escoge la auditoría que se quiera observar
y se mostrara la información.
Módulo de Comparación: Este módulo ofrece la capacidad de comparar dos auditorías,
donde observamos sus dominios y objetivos de control evaluados y también de manera
gráfica, evaluadas por los dominios. Nos muestra dos menús despegables donde escogemos las
dos auditorías a evaluar.
Rol de Gerente
Módulo Configuración (Para todos los usuarios): Este módulo es para la configuración
de la cuenta, donde el usuario puede observar su nombre, el tipo de la cuenta y la cedula. Aquí
mismo puede cambiar su contraseña (la cual se le da por defecto) y cambiar su imagen de
perfil.
Módulo de Información (Para todos los usuarios): Este módulo expone la información
más relevante de la página, se puede observar la norma ISO 27000, los criterios de evaluación
de las auditorías y la imagen con dominios, objetivos de control y los controles que tiene la
norma.
63
Módulo de Auditorías Realizadas: Este módulo enlista las auditorías que se han
realizado, con su respectiva información. Y asimismo se pueden mirar los resultados de la
evaluación por cada una, en un menú despegable, se escoge la auditoría que se quiera observar
y se mostrara la información.
Módulo de Comparación: Este módulo ofrece la capacidad de comparar dos auditorías,
donde observamos sus dominios y objetivos de control evaluados y también de manera
gráfica, evaluadas por los dominios. Nos muestra dos menús despegables donde escogemos las
dos auditorías a evaluar.
4.2.3 Características del usuario
En la aplicación se pueden mostrar los tipos de usuarios, los usuarios no registrados y los
registrados. Y en el grupo de los registrados tenemos tres tipos de roles de usuarios.
Usuarios no Registrados
Estos usuarios no tienen acceso a ningún módulo de la página, puesto que la información
expuesta en la aplicación es solo para uso de los usuarios implicados en las áreas involucradas.
Usuarios Registrados
Estos usuarios son los únicos que tienen acceso a la intranet de la aplicación. Los usuarios
registrados se diferencian en tres tipos de roles y cada uno tiene unas funciones específicas
según para interactuar.
Rol de Administrador: El administrador de la aplicación tiene acceso a los módulos de
configuración de la cuenta, información, editar usuarios que estén registrados en la aplicación
y crear usuarios.
64
Rol de Auditor: El auditor tendrá acceso a los módulos configuración de la cuenta,
información, tiene la autoridad para realizar auditorías, observar las auditorías y compararlas.
Rol de Gerente: El gerente como todos los usuarios tendrá acceso a la configuración de la
cuenta y a la información, y asimismo a observar las auditorías realizadas por parte de los
auditores y comparar estas mismas.
4.2.4 Restricciones
Como es una aplicación web, se requiere el uso de un ordenador con un navegador y una
conexión a internet.
4.2.5 Supuestos y dependencias
La página web trabaja sobre cualquier hardware o software presentando un soporte
multiplataforma. La única dependencia que podemos tener es que el ordenador donde se esté
trabajando debe soportar los comandos de PHP y MySQl.
Al ser una aplicación desarrollada bajo los lineamientos de responsivo se puede ejecutar
desde cualquier dispositivo móvil como ordenadores, móviles o tabletas y que en cualquiera
de estos dispositivos la aplicación mostrara sus mismos parámetros.
4.3 Requisitos específicos
4.3.1 Requerimientos funcionales
A continuación se describen los módulos que ofrece la página web, clasificadas según los
roles de los usuarios
65
Usuarios no registrados
Esta es la única función que pueden ejecutar los usuarios que no se han registrado en la
aplicación.
Tabla 10:
Usuarios no registrados
Apartado Descripción
Título Autenticación
Propósito Acceder a la intranet de la aplicación
Entrada Cedula del usuario y contraseña
Proceso Comprobación del usuario en la base de datos
Salida Redireccionamiento al usuario a la página principal
de la aplicación o un mensaje de error en los datos
Fuente: Elaborado por los autores del documento.
Rol de Administrador
El administrador de la aplicación tiene acceso a los módulos de configuración de la cuenta,
información, editar usuarios que estén registrados en la aplicación y crear usuarios.
Tabla 11:
Rol de Administrador
Apartado Descripción
Título Módulo de Configuración
Propósito Configurar la cuenta
Entrada Datos a modificar
Proceso El usuario puede modificar su contraseña y su foto
de perfil
Salida La foto de perfil y contraseña nueva
Apartado Descripción
Título Módulo de Información
Propósito Informar sobre la norma ISO
66
Entrada -
Proceso Observar la información con respecto a la norma
ISO y los criterios de evaluación de las auditorías
Salida -
Apartado Descripción
Título Módulo de Editar Usuarios
Propósito Editar los usuarios existentes
Entrada Datos a modificar
Proceso Editar la información de los usuarios que están
registrados o eliminarlos de la base de datos
Salida Usuarios modificados
Apartado Descripción
Título Módulo de Crear Usuarios
Propósito Crear nuevos usuarios
Entrada Datos de usuario nuevo
Proceso Crear a un usuario nuevo mediante sus datos
personales, el nombre, la cedula, contraseña y el tipo
de usuario
Salida Usuario creado
Fuente: Elaborado por los autores del documento.
Rol de Auditor: El auditor tendrá acceso a los módulos configuración de la cuenta,
información, tiene la autoridad para realizar auditorías, observar las auditorías y compararlas.
Tabla 12:
Rol de Auditor
Apartado Descripción
Título Módulo de Configuración
Propósito Configurar la cuenta
67
Entrada Datos a modificar
Proceso El usuario puede modificar su contraseña y su foto
de perfil
Salida La foto de perfil y contraseña nueva
Apartado Descripción
Título Módulo de Información
Propósito Informar sobre la norma ISO
Entrada -
Proceso Observar la información con respecto a la norma
ISO y los criterios de evaluación de las auditorías
Salida -
Apartado Descripción
Título Módulo de Iniciar Auditorías
Propósito Evaluar una auditoría
Entrada Datos de la auditoría
Proceso En primera instancia se puede generar una auditoría
con sus datos respectivos o escoger una auditoría ya
creada. Luego vamos a evaluarla mediantes los
controles y una observación si es necesario
Salida Auditoría creada o evaluada
Apartado Descripción
Título Módulo de Auditorías Realizadas
Propósito Enlistar las auditorías realizadas
Entrada -
Proceso Las auditorías que se han creado o evaluado se
enlistan y nos muestra los resultados. Además se
pueden eliminar las auditorías
Salida -
Apartado Descripción
Título Módulo de Comparación
68
Propósito Comparar dos auditorías
Entrada -
Proceso Permite enlistar dos auditorías y comparar sus
resultados. Asimismo podemos mirar una gráfica
que explica los resultados
Salida -
Fuente: Elaborado por los autores del documento.
Rol de Gerente: El gerente como todos los usuarios tendrá acceso a la configuración de la
cuenta y a la información, y asimismo a observar las auditorías realizadas por parte de los
auditores y comparar estas mismas.
Tabla 13:
Rol de Gerente
Apartado Descripción
Título Módulo de Configuración
Propósito Configurar la cuenta
Entrada Datos a modificar
Proceso El usuario puede modificar su contraseña y su foto
de perfil
Salida La foto de perfil y contraseña nueva
Apartado Descripción
Título Módulo de Información
Propósito Informar sobre la norma ISO
Entrada -
Proceso Observar la información con respecto a la norma
ISO y los criterios de evaluación de las auditorías
Salida -
69
Apartado Descripción
Título Módulo de Auditorías Realizadas
Propósito Enlistar las auditorías realizadas
Entrada -
Proceso Las auditorías que se han creado o evaluado se
enlistan y nos muestra los resultados. Además se
pueden eliminar las auditorías
Salida -
Apartado Descripción
Título Módulo de Comparación
Propósito Comparar dos auditorías
Entrada -
Proceso Permite enlistar dos auditorías y comparar sus
resultados. Asimismo podemos mirar una gráfica
que explica los resultados
Salida -
Fuente: Elaborado por los autores del documento.
70
4.3.2 Requerimientos de interfaces externos
4.3.2.1 Interfaces de usuario
La interfaz de usuario se muestra en la siguiente grafica (figura 5), en las cuales se
especifican los diferentes módulos que expondrá la aplicación.
Figura 5: Prototipo de interfaz de usuario
Fuente: Elaborado por los autores del documento.
4.3.2.2 Interfaces de hardware
Al tratarse de una aplicación web, se puede ejecutar en cualquier sistema operativo.
4.3.2.3 Interfaces de software
La aplicación funcionara con un navegador actual y una conexión de internet.
71
4.3.2.4 Interfaces de comunicaciones
La comunicación se realiza mediante el protocolo de HTTP mediante las conexiones de
TCP/IP.
4.3.3 Requerimientos de eficiencia
Mediante la metodología empleada en el desarrollo de la aplicación web, este portal tiene
un rendimiento excelente, independientemente del software o hardware que se esté utilizando
a la hora de ejecutar la aplicación. Uno de los inconvenientes que podría tener la aplicación
estaría ligada al servicio de internet del usuario que esté usando en el momento. Al ser una
aplicación con intranet no tendrá problemas con el tráfico en la red.
Un aspecto importante que podemos mencionar es que al ser responsivo, la aplicación no
tendrá problemas al ejecutarse en cualquier ordenador o dispositivo móvil, ya que la
aplicación es adaptable a cualquier resolución.
4.3.4 Obligaciones del diseño
4.3.4.1 Estándares cumplidos
Se procuró cumplir con todos los estándares actuales a la hora de crear aplicaciones
móviles, creando un sitio seguro, desde la parte de autenticación para que ninguna persona,
pueda ingresar a los módulos de la aplicación. El idioma elegido para la aplicación ha sido el
español.
4.3.4.2 Limitaciones de hardware
Como antes lo mencionamos, el hardware utilizado no impedirá que cumpla sus funciones
la aplicación. El servidor permanecerá las 24 horas del día conectado y será el host quien
atienda las peticiones de lectura y escritura.
72
4.3.5 Atributos
4.3.5.1 Seguridad
La seguridad es importante para la aplicación, ya que estará trabajando con información
privada de la empresa, por lo tanto tiene los controles necesarios para que ninguna persona
acceda de manera anónima a los módulos de la aplicación o hasta las bases de datos. Para cada
uno de estos módulos se hará las respectivas verificaciones de que un usuario tenga una sesión
activa. De este modo, protegemos la información alojada en las bases de datos.
4.3.5.2 Facilidades de mantenimiento
El mantenimiento lo puede realizar el administrador de la página, ya que tiene permisos que
permiten tener esas funciones. Sin embargo, a la hora de implementar nuevos módulos o
mejoras en la aplicación deberá contactarse con el desarrollador web.
4.3.5.3 Portabilidad
La aplicación ha sido diseñada con tecnología libre, por lo tanto soportara cualquier
plataforma y sistema operativo.
73
Capitulo
5
Análisis y diseño
Del modelado de
procesos y datos
74
Introducción
Este capítulo expone los análisis que se realizaron para el diseño del modelado de procesos y
de los datos, desde los diagramas de clases o los casos de uso. Los casos de uso, representan la
forma en la cual, los usuarios interactúan en la aplicación, cuales son sus permisos y sus
restricciones. De igual forma, se explica el proceso que se llevó a cabo para la realización de
la base de datos mediante la herramienta MySQl y las tablas con los atributos. Por último se
presentan las interfaces graficas que tiene la aplicación y una breve explicación de cada una de
ellas.
5.1 UML
Para realizar un análisis de una aplicación utilizamos los estándares de la UML (Unified
Modeling Language o Lenguaje Unificado de Modelado en español). Esta norma nos presenta
la forma correcta de formalizar los esquemas relativos al software. En pocas palabras, UML es
una sucesión de normas y estándares de nos explican cómo se debe presentar el modelado de
datos y procesos.
UML es una herramienta propia de personas que tienen conocimientos relativamente
avanzados de programación y es frecuentemente usada por analistas funcionales y analistas-
programadores. (Programar, s.f.)
5.2 Diagramas de Clases
El diagrama de clases nos permite visualizar las relaciones entre las clases, y el
funcionamiento de una aplicación. Un diagrama de clases está compuesto por clases (atributos,
métodos y visualización) y por relaciones (herencia, composición, agregación y uso),
permitiendo un mejor entendimiento de las funciones que están tienen. A continuación
expondremos las clases que hacen parte de la aplicación.
75
Auditoría: Este es el pilar fundamental de la aplicación, puesto que son las evaluaciones
que se le realizan a la empresa que hemos utilizado como objeto de estudio.
Dominios: Los dominios son los procesos que una empresa debe cumplir, según los
estándares de la norma ISO 27002:2013 y los realiza por medio de unos objetivos de control.
Objetivos: Esta clase aloja los objetivos de control que tienen las auditorías en seguridad
de la información. Los objetivos tienen un nombre y una calificación dependiendo los valores
que se dan en los controles.
Controles: Los controles son los criterios a evaluar, siguiendo los lineamientos del modelo
de madurez de capacidad.
Usuario: son las personas que estarán cumpliendo las funciones de acuerdo a los roles que
les implanten en la empresa.
Tipo de usuarios: Esta clase hace referencia a los distintos roles que tendrán los usuarios
para el uso de la aplicación. Los roles utilizados para la aplicación serán los del administrador,
el auditor y el gerente o presidente de la empresa.
Figura 6: Diagrama de clases
Fuente: Elaborado por los autores del documento.
76
5.3 Diagrama de casos de uso
Los diagramas muestran las diferentes funcionalidades que tendrán los actores en la
aplicación, la relación que existen y por ende las acciones que podrán ejecutar. Los estándares
y normas de la UML exponen una manera sencilla de comprender los actores o usuarios que
están involucrados en la aplicación. En los diagramas de caso de uso existen tres elementos,
como lo son:
Actores: Los actores se pueden denominar como los usuarios, los cuales pueden ser una
persona o un conjunto personas. Los actores representan un rol, en el cual pueden tener
permisos para ejecutar los diferentes módulos del sistema.
Casos de uso: Los casos de uso es una descripción de las actividades que se deben seguir
para ejecutar algún proceso en el sistema. También son definidas como la secuencia de
interacciones que se desarrollara entre el sistema y los actores.
Comunicación entre actores y casos de uso: Los actores pueden ejecutar una cantidad de
casos de uso, por lo tanto, decimos que existe una comunicación entre ellos.
5.3.1 Actores
Figura 7: Actores
Fuente: Elaborado por los autores del documento.
77
Los usuarios son todas aquellas personas que tienen acceso a la aplicación, sin necesidad de
autenticarse. Los usuarios registrados son los actores que mencionamos en la ilustración, como
lo son el administrador, el auditor o los auditores y el gerente, todos estos pueden ingresar a la
intranet por medio de su autenticación con su cedula y contraseña.
5.3.2 Casos de uso del usuario
Figura 8: Casos de uso del usuario
Fuente: Elaborado por los autores del documento.
Como este usuario o actor el cual denominaremos como anónimo, no se ha identificado,
solo posee esta función, ya que según las políticas de seguridad de la aplicación ningún
usuario anónimo puede visualizar los módulos que se ofrecen.
5.3.3 Casos de uso del usuario registrado
Figura 9: Casos de uso del usuario registrado
Fuente: Elaborado por los autores del documento.
78
Este tipo de usuario solo puede ejecutar la función de cerrar sesión, ya que es la única
acción que tienen en común con los demás usuarios.
5.3.4 Casos de uso del administrador
Figura 10: Casos de uso del administrador
Fuente: Elaborado por los autores del documento.
Este tipo de usuario representa al administrador de la aplicación. Los módulos que podrá
ejecutar serán los de configuración de la cuenta, información, editar usuarios que están la base
de datos y crear usuarios nuevos.
5.3.5 Casos de uso del auditor
Figura 11: Casos de uso del auditor
Fuente: Elaborado por los autores del documento.
79
Este tipo de usuario representa al auditor de la aplicación. Aparte de los módulos de
configuración de la cuenta e información, este actor puede iniciar auditorías y evaluarlas.
Asimismo puede revisar las auditorías que se han realizado y comparar dos auditorías.
5.3.6 Casos de uso del gerente
Figura 12: Casos de uso del gerente
Fuente: Elaborado por los autores del documento.
Este tipo de usuario representa al gerente de la empresa. Este actor tiene permiso para
ejecutar los módulos de configurar la cuenta, información, revisar las auditorías realizadas y
compararlas.
5.4 Diseño de la base de datos
Para el diseño de la base de datos se utilizó MySQl ya que es la herramienta número uno en
las páginas web y al ser código libre se pueden hacer ajustes para obtener un funcionamiento
máximo.
80
5.4.1 Tabla de Auditoría
Tabla 14:
Tabla de auditoría
Fuente: Elaborado por los autores del documento.
Esta tabla guarda las auditorías realizas lo cual lo convierte en el pilar fundamental de la
aplicación, puesto que son las evaluaciones que se le realizan a la empresa que hemos
utilizado como objeto de estudio.
5.4.2 Tabla de Dominios
Tabla 15:
Tabla de Dominios
Fuente: Elaborado por los autores del documento.
En esta tabla están alojados los dominios que hacen parte de la auditoría según el estándar
ISO 27002:2013
81
5.4.3 Tabla de Objetivos
Tabla 16:
Tabla de Objetivos
Fuente: Elaborado por los autores del documento.
Esta tabla aloja los objetivos de control que tienen las auditorías en seguridad de la
información. Los objetivos tienen un nombre y una calificación dependiendo los valores que
se dan en los controles.
5.4.4 Tabla de Controles
Tabla 17:
Tabla de Controles
Fuente: Elaborado por los autores del documento.
Esta tabla contiene los controles los cuales son los criterios a evaluar, siguiendo los
lineamientos del modelo de madurez de capacidad.
82
5.4.5 Tabla de Usuario
Tabla 18:
Tabla de Usuario
Fuente: Elaborado por los autores del documento.
Esta tabla guarda las personas que estarán cumpliendo las funciones de acuerdo a los roles
que les implanten en la empresa.
5.4.6 Tabla de Tipo de Usuario
Tabla 19:
Tabla de Tipo de Usuario
Fuente: Elaborado por los autores del documento.
Esta tabla hace referencia a los distintos roles que tendrán los usuarios para el uso de la
aplicación. Los roles utilizados para la aplicación serán los del administrador, el auditor y el
gerente o presidente de la empresa.
83
5.4.7 Diagrama de base de datos
Figura 13: Diagrama bases de datos
Fuente: Elaborado por los autores del documento.
5.5 Interfaces visuales
A continuación se presentan las interfaces visuales de cada uno de los módulos del sistema
utilizados en la aplicación.
84
5.5.1 Iniciar Sesión
Figura 14: Interfaz Iniciar Sesión
Fuente: Elaborado por los autores del documento.
El módulo de iniciar sesión, contiene los campos en un formulario, donde los usuarios
deberán ingresar su cedula y su contraseña para su autenticación.
85
5.5.2 Página de Inicio
Figura 15: Interfaz Página de Inicio
Fuente: Elaborado por los autores del documento.
Esta es la página principal, donde observaremos todos los módulos que contiene la
aplicación.
86
5.5.3 Modulo de Configuración
Figura 16: Interfaz Modulo de Configuración
Fuente: Elaborado por los autores del documento.
Este módulo permite a los usuarios a editar sus datos personales como la contraseña y la
foto de perfil.
5.5.4 Modulo de información
Figura 17: Interfaz Modulo de Información
Fuente: Elaborado por los autores del documento.
87
Este módulo ofrece una serie de información que es vital para la página. La norma ISO
27000, sus ventajas, la imagen de la norma y los criterios de evaluación.
5.5.5 Modulo de Editar Usuarios
Figura 18: Interfaz Modulo de Editar Usuarios
Fuente: Elaborado por los autores del documento.
Este módulo permite al administrador de la aplicación, observar los usuarios registrados en
la base de datos y poder eliminarlos.
5.5.6 Modulo de Crear Usuarios
Figura 19: Interfaz Modulo de Crear Usuarios
Fuente: Elaborado por los autores del documento.
88
Este módulo permite al administrador de la aplicación, crear nuevos usuarios con los datos
de correspondientes, como lo son, nombre, cedula, contraseña y el tipo de usuario.
5.5.7 Modulo de Iniciar Auditorías
Figura 20: Interfaz Modulo de Iniciar Auditorías
Fuente: Elaborado por los autores del documento.
Figura 21: Interfaz Modulo de Iniciar Auditorías
Fuente: Elaborado por los autores del documento.
89
Este módulo permite al auditor a generar una nueva auditoría con los campos de nombre,
año y un consecutivo. Aparte puede escoger una auditoría creada y evaluarla según los
estándares de la norma ISO 27002:2013.
5.5.8 Modulo de Auditorías Realizadas
Figura 22: Interfaz Modulo de Auditorías Realizadas
Fuente: Elaborado por los autores del documento.
Figura 23: Interfaz Modulo de Iniciar Auditorías
Fuente: Elaborado por los autores del documento.
90
Este módulo permite observar las auditorías que se han realizado y sus respectivos datos,
aparte mirar la evaluación de las mismas.
5.5.9 Modulo de Comparar
Figura 24: Interfaz Modulo de Comparar
Fuente: Elaborado por los autores del documento.
91
Figura 25: Interfaz Modulo de Comparar
Fuente: Elaborado por los autores del documento.
Este módulo permite comparar dos auditorías realizadas. Escogen las dos auditorías y
miran las evaluaciones de cada una de ellas, además una gráfica que está dividida por
dominios.
92
Capitulo
6
Evaluación de
Cumplimiento de los
controles de la Norma
ISO/IEC 27002:2013
en EMSERPA
E.I.C.E., E.S.P.
93
Introducción
En este capítulo se da a conocer la forma en que se desarrolló la evaluación con base a los
controles seleccionados de la Norma ISO/IEC 27002:2013, para evaluar la seguridad de la
información en la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,
E.S.P.
6.1 Diseño del checklist en base a la Norma ISO/IEC 27002:2013
Teniendo en cuenta que la Norma ISO/IEC 27002:2013 maneja 14 dominios, 35 0bjetivos
de control y 114 controles fue necesario identificar los dominios, los objetivos de control y los
controles que se ajustara a la necesidad de la empresa caso de estudio: Emserpa E.I.C.E.,
E.S.P., quedando de la siguiente forma:
Dominios: 8
Objetivos de control: 17
Controles: 55
Lo anteriormente mencionado se evidencia en los diseños de los formatos para los checklist
que se encuentran Anexo 4: Herramienta de evaluación en base a la norma IOS/IEC
27002:2013 entrevista que fue aplicada al jefe del área de TI de la empresa caso de estudio.
6.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013
Para el desarrollo de esta evaluación se tuvo en cuenta las respuestas dadas por el jefe del
área de TI de la empresa caso de estudio con respecto a los 8 dominios, 17 objetivos de control
y los 55 controles mediante a la utilización del checklist
94
Tabla 20: Niveles de Madurez.
Niveles de Madurez ISO/IEC 21827:2008.
NIVELES DE MADUREZ ISO/IEC 21827:2008
IT
EM
CRITERIO PORCENT
AJE
DESCRIPCIÓN
1
No realizado
0%
No hay controles de seguridad de la
información establecidos.
2
Realizado
informalmente
20%
Existen procedimientos para llevar a
cabo ciertas acciones en determinado
momento. Estas prácticas no se adoptaron
formalmente y/o no se les hizo
seguimiento y/o no se informaron
adecuadamente.
3
Planificado
40%
Los controles de seguridad de la
información establecidos son planificados,
implementados y repetibles.
4
Bien definido
60%
Los controles de seguridad de la
información además de planificados son
documentados, aprobados e
implementados en toda la organización.
5
Cuantitativamente
controlado
80%
Los controles de seguridad de la
información están sujetos a verificación
para establecer su nivel de efectividad.
6
Mejora continua
100%
Los controles de seguridad de la
información definidos son periódicamente
revisados y actualizados. Estos reflejan
una mejora al momento de evaluar el
impacto.
Fuente: Elaborado por los autores del documento.
Cabe aclarar que en la norma ISO/IEC 21827:2008 se maneja una escala de 0-5
respectivamente para cada criterio, para este ejercicio se maneja un porcentaje de 0% a 100%.
95
Tabla 21: Valoración de Controles.
Valoración de Controles.
Fuente: Elaborado por los autores del documento.
Bajo: controles con más bajo nivel de cumplimiento (críticos).
Medio: controles que se han desarrollado pero que no se documentan.
Alto: controles que son planificados y documentados.
Por cuestiones de mantener la confidencialidad de la empresa objeto de estudio, solo se
mostrara:
Dominio: 1
Objetivos de control: 1
Controles: 2
VALORACIÓN DE CONTROLES
ITE
M
PORCENTAJE ESCALA
1 0% - 30% Bajo
2 31% - 70% Medio
3 71% - 100% Alto
96
Tabla 22: controles.
Evaluación de controles.
NORMA PUNTOS A EVALUAR CUMPLIMIENTO
5. POLITICAS DE SEGURIDAD 20%
5.1. Directrices de la Dirección en seguridad de la
información 20%
5.1.1.Conjunto de
políticas para la seguridad de
la información
Las políticas actuales son del
año 2008, por ende se
encuentran desactualizadas
Realizado
informalmente
20
%
5.1.2 Revisión de las
políticas para la seguridad de
la información
Las políticas de seguridad
son modificadas pero no existe
un conducto regular.
Realizado
informalmente
20
%
Fuente: Elaborado por los autores del documento.
6.3Presentación de resultados
A continuación se mostraran las grafica de los niveles de cumplimiento de los dominios, los
objetivos de control y los controles, aclarando que la información no es la real teniendo en
cuenta la confidencialidad de la información.
97
Grafica 2: Cumplimiento por dominios
Fuente: Elaborado por los autores del documento.
Grafica 3: Cumplimiento por objetivos de control
Fuente: Elaborado por el autor del documento.
98
Grafica 4: Madurez de los controles
Fuente: Elaborado por el autor del documento.
99
7 Conclusiones
En el desarrollo del proyecto llegamos a varias conclusiones:
Dentro del desarrollo del proyecto se evidenciaron falencias entre otras tales como la falta
de control en el acceso a una zona que no está restringida como lo es el cuarto de
comunicaciones, donde se expone en alto riesgo el normal desarrollo y funcionamiento de las
actividades, quedando así vulnerable el activo más valioso como lo es la información y
exponiendo a la manipulación de los equipos computo por personal no autorizado.
Se identificó que la empresa actualmente cuenta con políticas de seguridad desactualizadas,
ya que la última modificación fue en el año 2009, lo cual genera un alto riesgo de
vulnerabilidad de los datos. Solamente los programas tienen políticas de seguridad
implementados y que se usan mensualmente para proteger la información alojada en las bases
de datos.
Mediante los diagnósticos realizados a la empresa Municipal de servicios públicos de
Arauca Emserpa E.I.C.E., E.S.P., se evidencio que no cuentan con las políticas para la
evaluación y seguimiento de las auditorías en seguridad de la información y con el desarrollo
de la aplicación ayudaría a la empresa a un mejoramiento continuo en lo que respecta a la
norma ISO 27002:2013.
Además se usó MAGERIT, la cual es una metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración Electrónica de España ya que esta
herramienta facilita dentro de sus fases el alcance, la identificación de activos, la
identificación de amenazas, las vulnerabilidades y sus salvaguardas y la posterior evaluación
del riesgo, dejando a un lado el tratamiento del riesgo ya que no estaba contemplado en
nuestros objetivos.
De igual manera, se utilizó la metodología DRA, quien fue la que nos permitió el desarrollo
de la aplicación web, mediante sus fases. En primera instancia, se realizó un documento de los
100
requerimientos de software, con la ayuda del área de sistemas de la empresa. Se diseñaron los
respectivos casos de uso mediante los estándares de UML, los cuales sirvieron de guía para la
generación de la aplicación.
Posteriormente se desarrolló el modelado de procesos y datos, con los cuales obtuvimos
como resultado, la generación de la bases de datos y seguidamente la elaboración del diseño
de la aplicación web, mediante HTML y PHP, donde se dedicó el tiempo necesario para que la
aplicación tuviera una interfaz gráfica limpia y sencilla.
8. Recomendaciones
Dar a conocer a los empleaos de la empresa municipal de servicio públicos de Arauca
Emserpa E.I.C.E., E.S.P., las políticas de seguridad de la información ya que ello le será de
gran importancia para el manejo adecuado de aquellas herramientas tecnológicas que son
usadas para el normal desarrollo de sus actividades.
Capacitar de manera periódica a los responsables del manejo de los activos de información
para que la misma cuente con la confidencialidad para que el flujo de información no pueda
estar disponible a personas no autorizada, de la misma forma su integridad debe garantizar que
la información que allí se maneja sea modificada por el personal autorizado y su
disponibilidad debe responder a que los usuarios autorizados gocen del acceso a la
información en el momento y de forma requerida.
La documentación por roles asignados debe ser fundamental e indispensable por parte de la
entidad ya que garantiza que se puedan hacer autorías periódicas y así mismo establecer
procedimientos para la revisión de acceso a los sistemas de información por parte de los
usuarios.
101
Establecer e identificar como áreas restringidas el acceso al cuarto de comunicaciones,
oficinas y despacho para evitar ataques como interrupción (ataque a la disponibilidad),
intersección (ataque a la confidencialidad), modificación (ataque a la integridad) y por último
la fabricación (ataque a la autenticidad).
Socializar a los empleados el plan de emergencia que maneja la entidad para la continuidad
del negocio y así mismo diseñar un cronograma que permita la verificación, revisión y
evaluación de la prolongación de la información.
9. Cronograma de actividades
Actividades S Semana 1 Semana 2 Semana 3 Semana 4
D 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7
CARACTERIZAR LOS
DOMINIOS
Planificar las actividades a
desarrollar
Examinar el estado actual
del área de TI de la
empresa
Identificar los activos y a
que amenazas están
expuestos
Identificar las
vulnerabilidades
Elaborar el instrumento,
con el cual recolectaremos
la información a necesitar.
Aplicar el instrumento
realizado, para recolectar la
102
información necesaria.
ANALIZAR EL SGSI
Analizar la información
arrojada por el
instrumento.
DISEÑAR EL MODELADO
DE DATOS Y PROCESOS
Identificar las funciones del
sistema, los actores y casos
de uso
Describir todos los casos de
uso
Diseñar la arquitectura del
aplicativo web
Moldeamiento de la base
de datos basándose en los
casos de uso
GENERAR EL APLICATIVO
WEB
Elaborar del código HTML
Construcción de los
módulos de administración
Pruebas a la aplicación web
EVALUAR LOS RIESGOS
Estimación del valor de los
activos de riesgo
Valoración del riesgo de los
activos
Fuente: Elaborado por el autor del documento.
103
10. Revisión Bibliográfica
TITULO: MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro I
AUTORES:
AÑO: Madrid octubre de 2012
APORTE: Método, nos ilustra sobre acerca de los métodos de análisis de riesgos, formalización
de actividades y listas de control.
Fuente:
TITULO: MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro II
AUTORES:
AÑO: Octubre de 2012
APORTE: Catálogo de Elementos, indica los tipos de activos (datos, claves, software), amenazas
y salvaguardas.
Fuente:
TITULO: MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro III
AUTORES:
AÑO: Octubre de 2012
APORTE: Guía de Técnicas, técnicas específicas (modelos cualitativos, cuantitativos), análisis
mediante tablas, técnicas generales (graficas, diagramas) y sesiones de trabajo
(entrevistas, reuniones)
Fuente:
104
TITULO: PHP y MySQL: tecnologías para el desarrollo de aplicaciones web
AUTORES: Cobo Ángel, Gómez Patricia, Pérez Daniel
AÑO: 2007
APORTE: Nos explica la utilización del lenguaje de programación PHP y la forma adecuada de
cómo crear bases de datos con el gestor MySql desde un punto de vista técnico.
Fuente: Base de Datos UCC
TITULO: Gestión de datos: bases de datos y sistemas gestores de bases de datos
AUTORES: Rodríguez González, María Elena
AÑO: 2013
APORTE: Nos muestra la forma de crear bases de datos, partiendo desde los casos de uso, los
objetivos y la seguridad que estos deben tener.
Fuente: Base de Datos UCC
TITULO: El Gran Libro de HTML5, CSS3 y Javascript
AUTORES: Juan Diego Gauchat
AÑO: 2012
APORTE: Expone la forma de utilizar el html5, el css3 y javascript, de una manera que conjunta,
para la realización de la maquetación de la aplicación web.
Fuente: Books Google
Fuente: Elaborado por el autor del documento.
105
11. Referencias bibliográficas
(ILACIF)., I. L. (1981). MANUAL LATINOAMERICANO DE AUDITORÍA PROFESIONAL EN EL SECTOR
PUBLICO. Bogota: EDITORIAL DINTEL LTDA.
Andres, D. (26 de 06 de 2007). Full Blog. Obtenido de
http://infocem1.fullblog.com.ar/hardware_conceptos_basicos_111182899399.html
Barrientos, J. L. (03 de 11 de 2011). Laboratorio de redes y seguridad. Obtenido de
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html
Benitez, M. (2013). Gestion Integral. Obtenido de http://www.gestionintegral.com.co/wp-
content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf
Carrillo, M., & Oliva, K. (2011). Metodologia RAD. Obtenido de http://metodologiarad.weebly.com/
EMSERPA. (2015). Empresa Municipal de Servicios Publicos de Arauca, EMSERPA. Obtenido de
http://www.emserpa.gov.co/
EMSERPA. (2015). Misión y Visión - Emserpa E.I.C.E. E.S.P. Obtenido de
http://www.emserpa.gov.co/sitio/index.php/institucional/mision-vision
EMSERPA. (2015). Organigrama General Emserpa E.I.C.E E.S.P. Obtenido de
http://www.emserpa.gov.co/sitio/index.php/institucional/organigrama-general-emserpa
EMSERPA. (2015). Valores corporativos y comportamientos esperados. Obtenido de
http://www.emserpa.gov.co/sitio/index.php/institucional/valores-corporativos
Erb, M. (27 de 09 de 2011). Recuperado el 18 de 02 de 2015, de
https://protejete.wordpress.com/gdr_principal/matriz_riesgo/
fiebre, 4. d. (s.f.). 40 de fiebre. Obtenido de http://www.40defiebre.com/que-es/diseno-responsive/
Flores, J. (1994). Analisis de datos cualitativos. Aplicacion a la investigación. Barcelona: PPU.
Garcia, M. (08 de 01 de 2013). Futuros Administradores Informaticos - Blog. Obtenido de http://asir2-
luisvives.blogspot.com.co/2013/01/fiabilidad-confidencialidad-integridad.html
González, G. (10 de 02 de 2014). HiperTextual. Obtenido de
http://hipertextual.com/archivo/2014/02/mantenimiento-preventivo-correctivo-pc/
GroupPHP. (2001). PHP. Obtenido de http://php.net/
Idalberto, C. (2006). Introducción a la Teoría General de la Administración. En Introducción a la Teoría
General de la Administración (pág. 110). McGraw-Hill Interamericana.
106
Informaticamoderna. (2008). Informática Moderna. Obtenido de
http://www.informaticamoderna.com/Backup.htm
International Organization for Standardization/International Electrotechnical Commission. (15 de 01
de 2014). International Standard ISO/IEC 27000. Obtenido de
http://k504.org/attachments/article/819/ISO_27000_2014.pdf
ISO27000. (21 de 10 de 2014). EL PORTAL DE ISO 27000. Recuperado el 21 de 10 de 2014, de
http://www.iso27000.es/iso27000.html
Leal, R. (2015). advisera. Obtenido de http://advisera.com/27001academy/es/que-es-iso-27001/
Luján Mora, S., & Aragonés Ferrero, J. (2012). desarrollo web. Obtenido de
http://desarrolloweb.dlsi.ua.es/cursos/2012/nuevos-estandares-desarrollo-sitios-
web/conceptos-basicos-css
Microsoft. (2012). Centro de seguridad y protección. Obtenido de https://www.microsoft.com/es-
xl/security/resources/antivirus-whatis.aspx
Ministerio de Hacienda y Administraciones Públicas de España. (2012). Magerit – versión 3.0.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid:
Ministerio de Hacienda y Administraciones Públicas.
Perez, V. (24 de 09 de 2013). Riu Net. Obtenido de Conjunto de archivos electrónicos y páginas web
referentes a un tema en particular que
Poveda, J. M. (17 de 07 de 2013). world vision capacitacion. Obtenido de
http://www.worldvisioncapacitacion.cl/wp-
content/uploads/cursos_adjuntos/f52e0bd4c6c2c203413952826f916237.pdf
Programar, A. a. (s.f.). Obtenido de
http://aprenderaprogramar.com/index.php?option=com_content&view=article&id=688:ique
-es-y-para-que-sirve-uml-versiones-de-uml-lenguaje-unificado-de-modelado-tipos-de-
diagramas-uml&catid=46:lenguajes-y-entornos&Itemid=163
Rodriguez, T. (25 de 10 de 2015). Instituto Navarro de Administración Pública. Obtenido de
www.cfnavarra.es/INAP
Terry, G. R. (2000). Administracion y Control de Oficinas. Compaia Editorial Continental.
WebEstilo. (2009). Obtenido de http://www.webestilo.com/mysql/intro.phtml
107
Anexos
108
Anexo 1: Formato caracterización de los activos de información.
CARACTERIZACIÓN E IDENTIFICACIÓN DE LOS ACTIVOS
EMPRESA CARGO
FUNCIONARIO FECHA
ITEM
Nombre
de
Activo
Código Descripción Tipo Unidad Responsable Persona Responsable
Ubicación Cantidad Mantiene Explota Responsable Operador
1
2
3
4
5
Fuente: Elaborado por el autor del documento.
109
Anexo 2: Checklist para la identificación del riesgo de los activos de información.
CHECKLIST PARA LA IDENTIFICACIÓN DE AMENAZAS Y SALVAGUARDAS
Empresa Cargo
Funcionario Fecha
MEDIO AMBIENTE
ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN
1 ¿Cuenta con sistemas de refrigeración en el cuarto de comunicaciones?
2 ¿Se tiene plan de contingencia en caso de que los sistemas de refrigeración
en el cuarto de comunicaciones fallen?
3 ¿Tiene un sistema que controle la temperatura adecuada para el cuarto de
comunicaciones?
4 ¿Existe un cronograma de mantenimiento para los equipos de refrigeración
en el cuarto de comunicaciones?
5 ¿Cuenta con buena iluminación el cuarto de comunicaciones?
6 ¿Existe líquido inflamable en el cuarto de comunicaciones?
7 ¿Tiene el cuarto de comunicaciones extintores manuales para incendio?
8 ¿Está señalizado la ubicación de los extintores para su fácil acceso?
110
INFRAESTRUCTURA FÍSICA
ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN
9 ¿Está identificado el cuarto de comunicaciones?
10 ¿La ubicación del cuarto de comunicaciones es la ideal?
11 ¿Cuenta con salidas de emergencia el cuarto de comunicaciones?
12 ¿Tiene el cuarto de comunicaciones puertas y ventanas con acceso a la parte
externa de la empresa?
13 ¿Son independiente las conexiones eléctricas para el cuarto de
comunicaciones?
14 ¿Cumplen las instalaciones eléctricas del cuarto de comunicaciones con la
normatividad vigente?
15 ¿Tiene un estabilizador eléctrico adecuado para el cuarto de
comunicaciones?
16 ¿Tiene el cuarto de comunicaciones unidad de potencia ininterrumpida
(UPS)?
CONTROL DE ACCESO
ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN
17 ¿Tiene el cuarto de comunicaciones un control de acceso?
18 ¿Está señalizado el cuarto de comunicaciones como zona restringida?
19 ¿Se hace acompañamiento permanente a personas ajenas a la empresa
dentro del cuarto de comunicaciones?
20 ¿El personal que opera el cuarto de comunicaciones está plenamente
identificado?
111
CABLEADO ESTRUCTURADO
ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN
21 ¿Cuenta el cableado estructurado con la normativa vigente?
22 ¿Se tiene identificado la ruta del cableado estructurado?
23 ¿Es de fácil acceso al cableado estructurado a personas ajenas?
24 ¿Tiene firewall como protección a la red?
SOFTWARE
ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN
25 ¿Se hace vigilancia continua en el rendimiento de los servidores?
26 ¿Cuentan los equipos de cómputo con antivirus?
112
Anexo 3: Formato de identificación de amenazas y vulnerabilidades.
IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS
Empresa Cargo
Funcionario Fecha
MEDIO AMBIENTE
ÍTEM VULNERABILIDADES AMENAZAS
1
Daños en los equipos
recalentamiento en los equipos
cortocircuito
Perdida de información
2 Fallas de funcionamiento Perdida de los datos
3 recalentamiento en los equipos Disminuye la funcionalidad de los equipos de refrigeración
4 Polvo Reduce su rendimiento
5 Mala digitación Modificación en los datos
6 Explosión Daños en los equipos
Perdida de información
7 Incendio Avería en los equipos
Daño parcial o total de los equipos
8 Humo Intoxicación
INFRAESTRUCTURA FÍSICA
ÍTEM VULNERABILIDADES AMENAZAS
9 Ingreso de personal no autorizado Manipulación de la información
10
humedad Cortocircuito
ruido Distracción
Ingreso de intrusos Modificación de datos
113
11 Estampida humana Daños en los equipos
12 Ingreso abusivo de personas Alteración de los datos
Perdida de información
13 Cortocircuito Daños en los equipos
Perdida de los datos
14
Fallas eléctricas
Perdida en la Continuidad en el negocio
15 Daños en los equipos
16 Perdida de información
CONTROL DE ACCESO
ÍTEM VULNERABILIDADES AMENAZAS
17
El cuarto de comunicaciones no tiene seguridad de acceso
Perdida de información
Modificación de los datos
Averías en los equipos
18 El cuarto de comunicaciones no está identificada como zona
restringida
Fácil acceso de personal no autorizado
Perdida de información
19
personas ajena dentro del cuarto de comunicaciones
Modificación de los datos
Averías en los equipos
20 Daños en los equipos
Fallos en los equipos
CABLEADO ESTRUCTURADO
ÍTEM VULNERABILIDADES AMENAZAS
21 Fallos en el tráfico de información Perdida en la Continuidad en el negocio
Perdida de información
22
Rotura del cableado
Intersección en los datos
Modificación en los datos
23 Perdida de información
Perdida de rendimiento de la información
114
24 Software malicioso Daño parcial o total de los datos
Daño parcial o total n los equipos
HARDWARE
ÍTEM VULNERABILIDADES AMENAZAS
25 Tráfico en la red Rendimiento en la información
26 Antivirus desactualizados Software malicioso
Fuente: Elaborado por el autor del documento.
115
Anexo 3: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
Tabla 2: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
ANALISIS EN SEGURIDAD INFORMATICA
Instrumento de Evaluación en base a la Norma ISO/IEC 27002:2013
Empresa Cargo
Funcionario Fecha
DOMINIOS 9. Políticas de seguridad
OBJETIVOS DE CONTROL 5.1.Directrices de la dirección en seguridad de la información
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
5.1.1. conjunto de políticas para
la seguridad de la información
¿Cuenta la Empresa actualmente con políticas
de seguridad de la información?
¿Tiene la Gerencia conocimientos de las
políticas de seguridad de la información?
¿Tienen los empleados conocimientos de las
políticas de seguridad de la información?
5.1.2. Revisión de las políticas
para la seguridad de la
información
¿Son evaluadas las políticas de seguridad de
la información periódicamente?
¿Están sujetas a modificación las políticas de
seguridad de la información?
116
Empresa Cargo
Funcionario Fecha
DOMINIOS 8 Gestión de activos
OBJETIVOS DE CONTROL 8.1. Responsabilidad sobre los activos
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
8.1.1. Inventarios de activos
¿Cuenta la Empresa actualmente con un
Inventario de activos en relación al manejo de
la información?
¿Está clasificada la importancia del
Inventario de activos en relación al manejo de
la información?
¿Se hacen auditorías en cuanto al inventario
de activos en relación al manejo de la
información?
8.1.2. Propiedad de los activos
¿Se maneja por responsable el inventario de
activos en relación al manejo de la
información?
¿Se capacita al responsable para el manejo
del activo en relación al manejo de la
información?
8.1.3. Uso aceptable de los
activos
¿Se cuenta con un procedimiento para el uso
aceptable de los activos de información?
¿Se capacita al personal para dar uso
adecuado de los activos de información?
¿Se hace un control sobre el uso adecuado de
los activos de información?
8.1.4. Devolución de los activos ¿Existe un procediendo para la devolución de
los activos de información?
117
Empresa Cargo
Funcionario Fecha
DOMINIOS 8 Gestión de activos
OBJETIVOS DE CONTROL 8.2. Clasificación de la información
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
8.2.1. Directrices de clasificación ¿Existe una directriz para clasificar la
información que maneja la empresa?
8.2.2. Etiquetado y manipulación
de información
¿Existen procedimientos para el etiquetado y
la manipulación de la información?
¿Se hace seguimiento al manejo en la
manipulación de la información?
8.2.3.Manipulación de activos
¿Cuenta la empresa con procedimientos para
la manipulación de activos de información?
¿Se audita la manipulación de los activos de
información?
118
Empresa Cargo
Funcionario Fecha
DOMINIOS 8 Gestión de activos
OBJETIVOS DE CONTROL 8.3. Manejo de soporte de los almacenamientos
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
8.3.1. Gestión de soporte
extraíbles
¿Cuenta la empresa con procedimientos para
el manejo de almacenamiento extraíbles de
información?
¿Se capacita al empleado para hacer uso de
los soportes de almacenamientos extraíbles?
¿Existen restricciones para el uso de soportes
de almacenamientos de información
extraíbles?
8.3.2. Eliminación de soportes ¿Cuenta la empresa con procesos para la
eliminación de soportes de almacenamientos?
8.3.3. Soportes físicos en transito
¿Se tiene políticas de seguridad para el
transporte físico de la información?
¿Cuenta la empresa con protocolos de
seguridad en caso de alteración y/o pérdidas
de la información en el momento de su
transporte?
119
Empresa Cargo
Funcionario Fecha
DOMINIOS 9 Control de accesos
OBJETIVOS DE CONTROL 9.1. Requisitos de negocios para el control de accesos
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
9.1.1. Políticas de control de
accesos
¿Existen políticas de seguridad en la empresa
para el control de acceso?
¿Se capacita al empleado para el control de
acceso?
9.1.2. Control de accesos a las
redes y servicios asociados
¿Existen restricciones al acceder a los
servicios asociados por la red a los
empleados?
¿Cuentan algunos empleados con privilegios
en los servicios asociados en la red según sus
funciones?
Empresa Cargo
Funcionario Fecha
DOMINIOS 9 Control de accesos
OBJETIVOS DE CONTROL 9.2. Gestión de accesos de usuarios
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
9.2.1. Gestión de altas/bajas en el
registro de usuario
¿Existen protocolos de seguridad para asignar
registros de usuarios?
9.2.2.Gestión de los derechos de
accesos asignados a usuario
¿Cuenta la empresa con requisitos
preestablecidos para asignar usuarios?
¿Esta documenta los roles por usuario
120
asignado?
9.2.3.Gestión de los derechos
accesos con privilegios especiales
¿Esta preestablecido por la empresa los
privilegios especiales según las funciones de
los empleados?
9.2.4.Gestión de información
confidencial de autenticación de
usuarios
¿Existen protocolos de seguridad para la
confidencialidad en la autenticación de
usuarios?
9.2.5. Revisión de los derechos de
acceso de los usuarios
¿Existe un procedimiento establecido para la
revisión de acceso por parte de los usuarios?
¿Son modificables estos derechos de revisión
de acceso por parte de los usuarios?
9.2.6.Retirada o adaptación de los
derechos de accesos
¿Existe un procedimiento establecido para
retirar los derechos de accesos a los usuarios?
¿Existe un protocolo para la adaptación de los
derechos de accesos a los usuarios?
Empresa Cargo
Funcionario Fecha
DOMINIOS 9 Control de accesos
OBJETIVOS DE CONTROL 9.3. Responsabilidades del usuario
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
9.3.1.Uso confidencial para la
autenticación de usuario
¿Maneja la empresa algún procedimiento para
la confidencialidad en la autenticación de
usuario?
¿Se socializa a los empleados la
confidencialidad en la autenticación de
usuario?
121
Empresa Cargo
Funcionario Fecha
DOMINIOS 9. Control de accesos
OBJETIVOS DE CONTROL 9.4. Control de accesos a sistemas y aplicaciones
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
9.4.1. Restricción del acceso a la
información
¿Se encuentran restringidas los accesos a la
información?
¿Existe un protocolo de seguridad para la
restricción de acceso de acuerdo a sus
funciones?
¿Se socializa a los empleados estos
protocolos para la restricción de acceso a la
información?
9.4.2. Procedimientos seguros de
inicio de sesión
¿Existe por parte de la empresa garantas
seguras al inicio de sesión?
9.4.3. Gestión de contraseñas de
usuario
¿Existen procedimientos para la asignación
de contraseñas a los usuarios?
¿Las contraseñas son de manejo de tiempo
limitado?
9.4.4. Uso de herramientas de
administración de sistemas
¿La empresa cuenta con procedimientos para
asignar y vigilar los privilegios a los
empleados?
¿Son evaluados estos privilegios a los
empleados?
9.4.5. Controlo de acceso al
código fuente de los programas
¿Está protegido por parte de la empresa los
códigos fuentes de los programas y
aplicaciones?
¿Son auditados la seguridad en el código
fuente y aplicaciones de la empresa?
122
Empresa Cargo
Funcionario Fecha
DOMINIOS 11.Seguridad física y ambiental
OBJETIVOS DE CONTROL 11.1. Áreas seguras
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
11.1.1. Perímetro de seguridad
física
¿Existe procedimientos de seguridad en las
áreas de perímetro física?
¿Se socializa a los empleados estos
procedimientos de seguridad en las áreas de
perímetro física?
11.1.2. Controles físicos de
entrada
¿Tiene la empresa identificado el área
restringida de acceso al cuarto de controles?
11.1.3.Seguridad de oficinas,
despachos y recursos
¿Cuenta la empresa con controles de
seguridad en las oficinas y despachos?
¿Se hacen revisiones a estos controles de
seguridad en las oficinas y despachos?
11.1.4. Protección contra
amenazas externas y ambientales
¿Existe sistemas de protección contra los
desastres naturales?
¿Se encuentra blindada la empresa contra
amenazas externas a los sistemas?
11.1.5.El trabajo en áreas seguras
¿Cuenta la empresa con áreas seguras en los
puestos de trabajo?
¿Se socializa el buen uso de la seguridad en
los puestos de trabajo?
11.1.6. Áreas de acceso público,
carga y descarga
¿Se tiene un monitoreo a las áreas de acceso
público en la empresa?
¿Se tiene identificadas las áreas de acceso
público en la empresa?
123
Empresa Cargo
Funcionario Fecha
DOMINIOS 11.Seguridad física y ambiental
OBJETIVOS DE CONTROL 11.2. Seguridad de los equipos
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
11.2.1. Emplazamiento y
protección de equipos
¿Cuentan los equipos con sistemas de
protección?
¿Se socializan a los empleados los sistemas
de seguridad en los equipos?
¿Se revisan los sistemas de seguridad en los
equipos?
11.2.2. Instalaciones de
suministro
¿Cuenta la empresa con dispositivos que
garanticen la continuidad del servicio como
UPS?
¿Tiene la empresa definida las características
para el uso de estas UPS?
11.2.3. Seguridad del cableado
¿Cuenta la empresa con planos que
identifiquen el cableado estructurado?
¿Se hacen mantenimientos al cableado
estructurado?
¿Cumple la empresa con la normativa en el
cableado estructurado?
11.2.4. Manteamiento de los
equipos
¿Existe programas establecidos para los
mantenimientos en los equipos?
¿Cuenta la empresa con personal idóneo para
el mantenimiento en los equipos?
11.2.5. Salidas de los activos
fuera de las dependencias de la
empresa
¿Existe un manual de procedimientos para la
salida de los activos fuera de la empresa?
¿Se hace el seguimiento de los activos en el
124
desplazamiento por fuera de la empresa?
11.2.6. Seguridad de los equipos
y activos fuera de las
instalaciones
¿Existe procedimientos de seguridad en los
equipos fuera de la empresa?
¿Son supervisados estos procedimientos de
seguridad en los activos fuera de la empresa?
11.2.7. Reutilización o retirada
segura de dispositivo de
almacenamiento
¿Existe un procedimiento por parte de la
entidad para la reutilización o retirada segura
de los dispositivos de almacenamiento?
11.2.8. Equipo informático de
usuario desatendido
¿Tiene la entidad equipo informático de
usuario desatendido?
¿Tiene la empresa procedimientos para los
equipos de usuarios desatendidos?
11.2.9. Política de puesto de
trabajo despejado y bloqueo de
pantalla
¿Cuenta la empresa con políticas de puestos
de trabajo despejado y bloqueo de pantallas?
¿Se socializan estas políticas de puestos de
trabajo despejado y bloqueo de pantallas?
125
Empresa Cargo
Funcionario Fecha
DOMINIOS 12. Seguridad en la operativa
OBJETIVOS DE CONTROL 12.2. Protección contra código malicioso
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
12.2.1. Controles contra código
malicioso
¿Existen procesos por parte de la empresa
para la identificación de códigos maliciosos?
¿Cuenta la empresa con políticas de
seguridad para mitigar los códigos
maliciosos?
¿Está en capacidad la entidad en recuperar la
información afectada por un código
malicioso?
Empresa Cargo
Funcionario Fecha
DOMINIOS 12. Seguridad en la operativa
OBJETIVOS DE CONTROL 12.3. Copias de seguridad
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
12.3.1. Copias de seguridad de la
información
¿Maneja la entidad copias de seguridad para
salvaguardar la información?
¿Existen procedimientos establecidos para las
copias de seguridad?
¿Es de una alta prioridad para la empresa las
copias de seguridad?
126
Empresa Cargo
Funcionario Fecha
DOMINIOS 13. Seguridad en las telecomunicaciones
OBJETIVOS DE CONTROL 13.1. Gestión de la seguridad en las redes
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
13.1.1. Controles de red
¿Existen políticas de seguridad para el control
de la red?
¿Son auditadas estas políticas para el control
de la red?
¿Se hace concientización a los empleados
para el uso adecuado de la red?
13.1.2. Mecanismos de seguridad
asociados a servicios de red
¿Existen procedimientos para la
identificación de los mecanismos asociados a
la red?
13.1.3. Segregación de redes ¿La empresa tiene identificada el tipo de
topología implementada en su red?
127
Empresa Cargo
Funcionario Fecha
DOMINIOS 13. Seguridad en las telecomunicaciones
OBJETIVOS DE CONTROL 13.2. Intercambio de información con partes externas
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
13.2.1. Políticas y procedimientos
e intercambio de información
¿Existen políticas de seguridad para el
intercambio de información?
¿Se socializan a los empleados las políticas
de seguridad para el intercambio de
información?
¿Existen mecanismos predeterminado para el
intercambio de información entre los
empleados?
13.2.2. Acuerdos de intercambio
¿Hace la empresa acuerdos con terceros para
el intercambio de información?
¿Existen políticas de seguridad para el
manejo de la información con terceros?
13.2.3. Mensajería electrónica
¿Maneja la empresa mensajería electrónica?
¿Se capacitaciones a los empleados para el
uso de la mensajería electrónica?
13.2.4. Acuerdos de
confidencialidad y secreto
¿Maneja la empresa acuerdos de
confidencialidad y secreto con los
empleados?
¿Son auditados estos acuerdos de
confidencialidad y secreto con los
empleados?
128
Empresa Cargo
Funcionario Fecha
DOMINIOS 14. Adquisición, desarrollo y mantenimiento de los sistemas de información
OBJETIVOS DE CONTROL 14.1. Requisitos de seguridad de los sistemas de información
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
14.1.1. Análisis y especificación
de los requisitos de seguridad
¿La empresa desarrolla software y/o
aplicaciones?
¿La empresa hace adquisición de software?
¿Tiene la empresa como prioridad los
requisitos de seguridad en la adquisición del
software?
¿Tiene la empresa contrato de soporte con
quien suministra el software?
Empresa Cargo
Funcionario Fecha
DOMINIOS 17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio
OBJETIVOS DE CONTROL 17.1. Continuidad de la seguridad de la información
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
17.1.1.Planificación de la
continuidad de la seguridad de la
información
¿Existen políticas de seguridad para
continuidad en la información?
¿La empresa tiene identificado un plan de
emergencia para la continuidad de la
información?
¿Se socializa a los empleados el plan de
129
emergencia para la continuidad del negocio?
17.1.2. Implantación de la
continuidad de la seguridad de la
información
¿Existe un procedimiento preestablecido de
implantación para la continuidad de la
información?
17.1.3. Verificación, revisión y
evaluación de la continuidad de la
seguridad de la información
¿Tiene la entidad un cronograma para la
verificación, revisión y evaluación de la
continuidad de la información?
¿Existen procedimientos que le permitan a la
empresa hacer verificación, revisión y
evaluación de la continuidad de la
información?
Empresa Cargo
Funcionario Fecha
DOMINIOS 17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio
OBJETIVOS DE CONTROL 17.2. Redundancias
CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION
17.2.1.Disponibilidad de las
instalaciones para el
procesamiento de la información
¿Cuenta la empresa con instalaciones aptas
para el procesamiento de la información?
¿Existe disponibilidad de las instalaciones
por parte de la empresa para el procesamiento
de la información?
130
top related