facultad de ciencias matemÁticas y fÍsicas...
Post on 11-Jan-2020
1 Views
Preview:
TRANSCRIPT
I
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE
SEGURIDAD DE LA INFORMACIÓN BASADO EN EL MARCO
DE LA NORMA ISO 27001 Y LAS MEJORES PRÁCTICAS
DE SEGURIDAD DE LA NORMA ISO 27002 PARA
LA COMPAÑÍA INTERNATIONAL GYM
ECUAINTERGYM S.A DE LA
CIUDAD DE GUAYAQUIL.
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y
TELECOMUNICACIONES
AUTORES:
JUAN CARLOS ANDRADE CHILA
CARLOS ERICK CHÁVEZ LOOR
TUTOR:
ING. JORGE ARTURO CHICALA ARROYAVE Msc.
GUAYAQUIL – ECUADOR
2018
II
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y
SUBTÍTULO:
“GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE SEGURIDAD DE LA INFORMACIÓN BASADO EN EL MARCO DE LA NORMA ISO 27001 Y LAS MEJORES PRÁCTICAS DE SEGURIDAD DE LA NORMA ISO 27002 PARA LA COMPAÑÍA INTERNATIONAL GYM ECUAINTERGYM S.A DE LA CIUDAD DE GUAYAQUIL. ”
AUTOR(ES): JUAN CARLOS ANDRADE CHILA CARLOS ERICK CHÁVEZ LOOR
REVISOR(ES)/TUTOR(ES) ING. JORGE ARTURO CHICALÁ ARROYAVE Msc.
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Facultad de Ciencias Matemáticas y Físicas
MAESTRÍA/ESPECIALIDAD Ingeniería en Networking y Telecomunicaciones
GRADO OBTENIDO: Ingeniero en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN:
No. DE PÁGINAS: 204
ÁREAS TEMÁTICAS: Networking, Telecomunicaciones
PALABRAS CLAVES /KEYWORDS:
Seguridad de la Información, Activos de Información, Gestión de riesgos, Magerit, ISO 27001:2013, ISO 27002, Políticas de Seguridad, Dominios.
RESUMEN/ABSTRACT Las normas ISO 27001:2013 e ISO 27002 de Seguridad de la Información, radican en comprobar el cumplimiento de los controles y las exigencias definidas por el estándar, de darse el caso de no cumplimiento de estos controles en general se realiza una auditoria para definir las no conformidades que son presentadas por un informe de un auditor. El proceso de auditoría es sistemático e independiente basándose en la verificación de los objetivos de control de las normas siendo este evidenciado. El Proyecto tecnológico que se realizó en la compañía International Gym Ecuaintergym S.A., radica en presentar un plan de gestión integral de seguridad de la información alineado en las normas ISO 27001:2013 e ISO 27002, el cual brinda seguridad a los datos con el objetivo de mantener la confidencialidad, integridad, y disponibilidad, definiendo reglas y procedimientos que aseguren tomar buenas prácticas cuando se presenten incidentes de seguridad, gestionando los riesgos y procedimientos que se realizan en la compañía .
ADJUNTO PDF: SI NO
CONTACTO CON AUTOR/ES:
Teléfono: 0939762337 0939266490
E-mail: carlos.chavezl@ug.edu.ec
juan.andradec@ug.edu.ec
CONTACTO CON LA INSTITUCIÓN:
Nombre: ING. JORGE ARTURO CHICALA ARROYAVE
Teléfono: (04) 2 683227
E-mail: jorge.chicalaa@ug.edu.ec
III
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de tutor del trabajo de titulación, “Generación de un plan para la
gestión integral de seguridad de la información basado en el marco de la norma
ISO 27001 y las mejores prácticas de seguridad de la norma ISO 27002 para la
compañía International Gym Ecuaintergym S.A. de la ciudad de Guayaquil”
elaborado por el Sr. Juan Carlos Andrade Chila y el Sr. Carlos Erick Chávez Loor
alumnos no titulados de la Carrera de Ingeniería en Networking y
Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, me permito declarar que luego de haber orientado,
estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
Ing. Jorge Arturo Chicala Arroyave Msc.
TUTOR
IV
DEDICATORIA
Carlos Erick Chávez Loor
Primeramente, a Dios ya que
mediante su ayuda espiritual me
ha podido orientar y llenar de
sabiduría para tomar decisiones
correctas y conseguir mi título
profesional.
Dedico el presente a mi madre
Nancy Loor Loor y a mi novia,
gracias por brindarme su apoyo
incondicional en los momentos
más difíciles y realizar sacrificios
para que pueda cumplir mis
actividades académicas
V
DEDICATORIA
Juan Carlos Andrade Chila
La vida se encuentra plagada de
retos, y uno de ellos es la
universidad. Tras verme dentro de
ella, me he dado cuenta de que más
allá de ser un reto, es una base no
solo para mi entendimiento del
campo en el que me he visto
inmerso, sino para lo que concierne
a la vida y mi futuro.
VI
AGRADECIMIENTO
Juan Carlos Andrade Chila
Gracias a Dios por permitirme tener y disfrutar a mi familia, gracias a mi familia por apoyarme en cada decisión y proyecto, gracias a la vida porque cada día me demuestra lo hermosa que es la vida y lo justa que puede llegar a ser; gracias a mi familia por permitirme cumplir con excelencia en el desarrollo de esta tesis. Gracias por creer en mí y gracias a Dios por permitirme vivir y disfrutar de cada día.
No ha sido sencillo el camino hasta ahora, pero gracias a sus aportes, a su amor, a su inmensa bondad y apoyo, lo complicado de lograr esta meta se ha notado menos. Les agradezco, y hago presente mi gran afecto hacia ustedes, mi hermosa familia. Un agradecimiento al tutor por su apoyo y guía en todo el proceso, agradezco también a los profesores que me llenaron de sapiencia desde el inicio de mi formación
VII
AGRADECIMIENTO
Carlos Erick Chávez Loor
Agradezco a mi mamá por el
constante apoyo en el transcurso de
mi carrera.
Al Lcdo. Juan Carlos Carias por su
apoyo en mis actividades laborales
y personales.
A mi tutor Ing. Jorge Chicala
Arroyave por su guía y apoyo en el
transcurso de este proyecto.
VIII
TRIBUNAL PROYECTO DE TITULACIÓN
_________________________________
Ing. Eduardo Santos Baquerizo, M. Sc
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS
Y FÍSICA
_________________________________
Ing. Harry Luna Aveiga, M.Sc. DIRECTOR DE LA CARRERA DE
INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
_________________________________
Ing. Jorge Arturo Chicala Arroyave PROFESOR TUTOR DEL PROYECTO
DE TITULACIÓN
_________________________________
Ab. Juan Chávez Atocha, Esp. SECRETARIO
_________________________________
Ing. Roberto Crespo Mendoza, M.Sc.
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
_________________________________
Ing. María José Arguello Vélez.M Sc.
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
IX
DECLARACIÓN EXPRESA
“La responsabilidad del
contenido de este Proyecto de
Titulación, me corresponden
exclusivamente; y el patrimonio
intelectual de la misma a la
UNIVERSIDAD DE
GUAYAQUIL”
JUAN CARLOS ANDRADE CHILA
CARLOS ERICK CHÁVEZ LOOR
X
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE SEGURIDAD
DE LA INFORMACIÓN BASADO EN EL MARCO
DE LA NORMA ISO 27001 Y LAS MEJORES PRÁCTICAS
DE SEGURIDAD DE LA NORMA ISO 27002 PARA
LA COMPAÑÍA INTERNATIONAL GYM
ECUAINTERGYM S.A DE LA
CIUDAD DE GUAYAQUIL.
Proyecto de titulación que se presenta como requisito para optar por el título
de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autores:
Andrade Chila Juan Chila
C.I: 0916884133
Carlos Erick Chávez Loor
C.I: 0941018723
Tutor:
Ing. Jorge Chicala Arroyave Msc.
Guayaquil, agosto del 2018
XI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Física de la universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los estudiantes Juan
Carlos Andrade Chila y Carlos Erick Chávez Loor, como requisito previo para
optar por el título de ingeniero de Networking y Telecomunicaciones cuyo tema
es:
GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE SEGURIDAD
DE LA INFORMACIÓN BASADO EN EL MARCO DE LA NORMA ISO 27001 Y
LAS MEJORES PRÁCTICAS DE SEGURIDAD DE LA NORMA ISO 27002
PARA LA COMPAÑÍA INTERNATIONAL GYM ECUAINTERGYM S.A DE LA
CIUDAD DE GUAYAQUIL.
Considero aprobado el trabajo en su totalidad.
Presentado por:
Juan Carlos Andrade Chila Cedula de ciudadanía N° 0916884133
Carlos Erick Chávez Loor Cedula de ciudadanía N° 0941018723
Tutor: Ing. Jorge Arturo Chicala Arroyave Msc.
Guayaquil, agosto del 2018
XII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y ELECOMUNICACIONES
Autorización para publicación de Proyecto de Titulación en Formato de digital.
1 identificación del proyecto de Titulación
2 autorización de Publicación de Versión Electrónica del Proyecto de
Nombre Alumno: Carlos Erick Chávez Loor, Juan Carlos Andrade Chila
Dirección:
Teléfono: 0939762337 – 0939266490 E-mail:
carlos.chavezl@ug.edu.ec
Juan.andradec@ug.edu.ec
Facultad: CIENCIAS MATEMÁTICAS Y FÍSICA
Carrera: INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Título al que opta: Ingeniería en Networking y Telecomunicaciones
Profesor guía: Ing. Jorge Arturo Chicala Arroyave
Título del proyecto de Titulación:
GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE SEGURIDAD DE
LA INFORMACIÓN BASADO EN EL MARCO DE LA NORMA ISO 27001 Y LAS
MEJORES PRÁCTICAS DE SEGURIDAD DE LA NORMA ISO 27002 PARA LA
COMPAÑÍA INTERNATIONAL GYM ECUAINTERGYM S.A DE LA CIUDAD DE
GUAYAQUIL.
Tema del proyecto de Titulación:
PLAN DE MEJORAS, SEGURIDAD DE LA INFORMACIÓN, NORMAS ISO
27001 – 27002
Titulación.
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemática y Física a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:
Inmediata Después de 1 año
Firma Alumno:
3 formato de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo Doc.
O RTF y Puf para Pc. Las imágenes que acompañen pueden ser: .gif, pg. o.TIFF.
DVD ROM CD-ROM x
XIII
ÍNDICE
CARTA DE APROBACIÓN DEL TUTOR .............................................................. III
DEDICATORIA ..................................................................................................... IV
DEDICATORIA ...................................................................................................... V
ADRADECIMIENTO ............................................................................................. VI
AGRADECIMIENTO ............................................................................................ VII
TRIBUNAL PROYECTO DE TITULACION ......................................................... VIII
DECLARACION EXPRESA .................................................................................. IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................................... XI
ABREVIATURAS .............................................................................................. XVII
INDICE DE CUADROS .................................................................................... XVIII
INDICE DE GRAFICOS ..................................................................................... XIX
RESUMEN .......................................................................................................... XX
ABSTRACT ....................................................................................................... XXI
INTRODUCCIÓN ................................................................................................... 1
CAPITULO I ........................................................................................................... 3
El PROBLEMA ...................................................................................................... 3
Formulación Del Problema .................................................................................... 6
Evaluación Del Problema ....................................................................................... 7
OBJETIVOS .......................................................................................................... 8
ALCANCES DEL PROBLEMA ............................................................................... 9
JUSTIFICACIÓN E IMPORTANCIA ..................................................................... 10
METODOLOGÍA DEL PROYECTO ..................................................................... 11
CAPÍTULO II ........................................................................................................ 14
MARCO TEÓRICO .............................................................................................. 14
ANTECEDENTES DE ESTUDIO ......................................................................... 14
FUNDAMENTACIÓN TEÓRICA .......................................................................... 16
XIV
Normas ISO 27000 ........................................................................................ 18
Familia ISO 27000 ......................................................................................... 18
NORMA ISO/IEC 27001................................................................................. 20
Sistema De Gestión De Seguridad De La Información (SGSI) ....................... 24
Certificación SGSI ......................................................................................... 24
Plan de Gestión de Seguridad ....................................................................... 25
Beneficios de un Sistema de Gestión de Seguridad de la Información (SGSI)
...................................................................................................................... 25
Seguridad Informática y de la Información ..................................................... 26
La seguridad informática ................................................................................ 26
Seguridad de la información .......................................................................... 27
Estándares de seguridad de la información ................................................... 27
ISO/IEC 27002 ............................................................................................... 29
Metodología Magerit ...................................................................................... 32
Ley Del Sistema Nacional De Registro De Datos Públicos ............................ 36
Código Orgánico Integral Penal ..................................................................... 37
Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos ..... 37
Plan de Mejoras ............................................................................................. 39
Checklist ........................................................................................................ 40
Entrevista ....................................................................................................... 40
Auditoría Interna ............................................................................................ 40
Evidencia ....................................................................................................... 41
Políticas de Seguridad ................................................................................... 41
Amenazas ...................................................................................................... 41
Vulnerabilidad ................................................................................................ 41
Riesgos .......................................................................................................... 42
Hallazgos ....................................................................................................... 42
XV
Probabilidad de Ocurrencia ............................................................................ 42
Explotación de vulnerabilidad ........................................................................ 42
Descripción De La Propuesta ........................................................................ 44
Planeación Del Proyecto ................................................................................ 44
Actividades realizadas: .................................................................................. 44
Resultados propuestos .................................................................................. 45
Actividades y metas ....................................................................................... 45
Factibilidad Operacional................................................................................. 47
Factibilidad Técnica ....................................................................................... 47
Factibilidad Legal ........................................................................................... 48
Factibilidad Económica .................................................................................. 49
Etapa de levantamiento de Información ......................................................... 51
Etapa de Análisis ........................................................................................... 53
Análisis de activos críticos de información ..................................................... 53
Análisis de la valoración de Activos Críticos .................................................. 53
Análisis de vulnerabilidades, riesgos y amenazas basadas en los distintos
activos críticos ............................................................................................... 56
Evaluación Del Riesgo ................................................................................... 59
Etapa de Diseño ............................................................................................ 64
Análisis de buenas prácticas de Seguridad de la Información ........................ 65
Política de seguridad ..................................................................................... 66
Gestión de activos. ........................................................................................ 66
Seguridad física y ambiental. ......................................................................... 67
Seguridad en la operativa. ............................................................................. 67
Seguridad en las telecomunicaciones. ........................................................... 68
Adquisición, desarrollo y mantenimiento de los sistemas de información. ...... 68
Cumplimiento. ................................................................................................ 68
XVI
Etapa de la Propuesta ................................................................................... 69
Informe de los hallazgos encontrados ............................................................ 70
Evidencias ..................................................................................................... 74
Diseño de red para mejorar la seguridad Perimetral ...................................... 74
Evaluación de cumplimiento de los controles de la norma ISO 27002 ........... 78
Presentación de resultados ............................................................................ 83
CAPITULO IV…………………………………………………………………………..87
RECOMENDACIONES .................................................................................. 89
BIBLIOGRAFÍA………………………………………………………………………...91
ANEXOS………………………………………………………………………………..94
XVII
ABREVIATURAS
UG Universidad de Guayaquil
FTP Archivos de Transferencia
HTML. Lenguaje de Marca de salida de Hyper Texto
http Protocolo de transferencia de Hyper Texto
Ing. Ingeniero
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
ISP Proveedor de Servicios de Internet
Mtra. Maestra
Msc. Máster
URL Localizador de Fuente Uniforme
WWW World Wide Web (red mundial)
BS British Standards
ISO international Standard Organization
SGSI Sistema de Gestión de Seguridad de la Información
PHVA Planificar, Hacer, Verificar, Actuar
LAN Local Área Network
WIFI Wireless Fidelity
UNSCC United Nations Standards Coordinating Committee
CNT Corporación Nacional de Telecomunicaciones
INEN Instituto Ecuatoriano de Normalización
XVIII
ÍNDICE DE CUADROS
Tabla 1 Causas y Consecuencias Del Problema. ................................................ 4
Tabla 2 Supuestos y Restricciones .................................................................... 13
Tabla 3 Origen de la Norma ISO 27001 ............................................................. 20
Tabla 4 Ciclo de Deming (PHVA) aplicado a la norma ISO/IEC 27001. ............. 28
Tabla 5 presupuesto del proyecto. ..................................................................... 49
Tabla 6 Valores de implementación de la auditoria ............................................ 50
Tabla 7 Inventario de activos ............................................................................. 52
Tabla 8 abreviaturas .......................................................................................... 54
Tabla 9 Parámetros de Valoración ..................................................................... 54
Tabla 10 Nivel de Valoración. ............................................................................ 55
Tabla 11 Evaluación de los activos. ................................................................... 55
Tabla 12 Activos críticos de la empresa ............................................................. 56
Tabla 13 Determinación de nivel de riesgo de los activos ................................. 61
Tabla 14 Análisis de Aplicabilidad ..................................................................... 77
Tabla 15 Grado de Madurez. ............................................................................. 78
Tabla 16 Herramienta de Evaluación bajo la norma ISO 27002 ........................ 79
Tabla 17 Cumplimiento de Objetivos de Control ................................................ 82
Tabla 18 Cumplimiento de Dominios ................................................................. 83
Tabla 19 Nivel madurez ..................................................................................... 84
Tabla 20 Criterios de Aceptación ....................................................................... 87
XIX
ÍNDICE DE GRÁFICOS
GRAFICO: 1 Etapas de modelo cascada ........................................................... 11
GRAFICO: 2 Modelo a utilizar en el diseño del SGSI ........................................ 12
GRAFICO: 3 Logo de Nomas ISO ..................................................................... 16
GRAFICO: 4 Niveles de Madurez ...................................................................... 31
GRAFICO: 5 Marco de trabajo para la gestión de riesgos ................................. 32
GRAFICO: 6 Matriz de Riesgo ........................................................................... 60
GRAFICO: 7 Porcentaje de Nivel de riesgo. ...................................................... 64
GRAFICO: 8 Reunión con el gerente general para exponer propuesta .............. 70
GRAFICO: 9 Reunión con el jefe sistemas general para definir el alcance de
propuesta .......................................................................................................... 70
GRAFICO: 10 Análisis de los controles ............................................................. 71
GRAFICO: 11 Expectación de los servidores del área ....................................... 71
GRAFICO: 12 Revisión del checklist de cumplimiento de normas ..................... 72
GRAFICO: 13 Anotación de hallazgos ............................................................... 72
GRAFICO: 14 Expectación de equipos de redes y telecomunicaciones ........... 73
GRAFICO: 15 Distribución física de los diferentes departamentos .................... 74
GRAFICO: 16 Diseño de Red Lógico Actual de la Compañía ............................ 75
GRAFICO: 17 Diseño de propuesta lógica......................................................... 76
GRAFICO: 18 Estado de madurez de los controles ........................................... 84
GRAFICO: 19 Nivel de Cumplimiento por Dominio ............................................ 85
GRAFICO: 20 Nivel de Cumplimiento por Objetivo de Control ........................... 86
XX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
GENERACIÓN DE UN PLAN PARA LA GESTIÓN INTEGRAL DE SEGURIDAD
DE LA INFORMACIÓN BASADO EN EL MARCO
DE LA NORMA ISO 27001 Y LAS MEJORES PRÁCTICAS
DE SEGURIDAD DE LA NORMA ISO 27002 PARA
LA COMPAÑÍA INTERNATIONAL GYM
ECUAINTERGYM S.A DE LA
CIUDAD DE GUAYAQUIL.
Autor: Andrade Chila Juan Chila
Autor: Chávez Loor Carlos Erick
Tutor: Ing. Jorge Arturo Chicala Arroyave
RESUMEN
Las normas ISO 27001:2013 e ISO 27002 de Seguridad de la Información, radican en
comprobar el cumplimiento de los controles y las exigencias definidas por el estándar, de
darse el caso de no cumplimiento de estos controles en general se realiza una auditoria
para definir las no conformidades que son presentadas por un informe de un auditor. El
proceso de auditoría es sistemático e independiente basándose en la verificación de los
objetivos de control de las normas siendo este evidenciado. El Proyecto tecnológico que se
realizó en la compañía International Gym Ecuaintergym S.A., radica en presentar un plan
de gestión integral de seguridad de la información alineado en las normas ISO
27001:2013 e ISO 27002, el cual brinda seguridad a los datos con el objetivo de
mantener la confidencialidad, integridad, y disponibilidad, definiendo reglas y
procedimientos que aseguren tomar buenas prácticas cuando se presenten incidentes
de seguridad, gestionando los riesgos y procedimientos que se realizan en la compañía
.
Palabras claves: Seguridad de la Información, Activos de Información, Gestión de
riesgos, Magerit, ISO 27001:2013, ISO 27002, políticas de seguridad, dominios.
XXI
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
GENERATION OF A PLAN FOR THE COMPREHENSIVE MANAGEMENT OF
INFORMATION SECURITY BASED
ON THE FRAMEWORK OF ISO 27001 AND BEST PRACTICES
OF SAFETY OF THE ISO 27002 STANDARD FOR
THE COMPANY INTERNATIONAL GYM
ECUAINTERGYM S.A OF THE
CITY OF GUAYAQUIL.
Author: Andrade Chila Juan Carlos
Author: Chavez Loor Carlos Erick
Tutor: Ing. Jorge Arturo Chicala Arroyave
ABSTRACT
The ISO norms 27001:2013 and ISO 27002 of Security of the Information, take root in
verifying the fulfillment of the controls and the requirements defined by the standard, of
giving him , them the case of not fulfillment of these controls in general realizes an audit
to define the non-conformities that are presented by a report of an auditor. The process of
audit is systematic and independent being based on the check of the aims of control of
the procedure being this demonstrated. The technological Project that fulfilled in the
company International Gym Ecuaintergym S.A., it she takes root in presenting a plan of
integral management of security of the information aligned in the ISO procedure
27001:2013 and ISO 27002, which offers security to the information with the aim to
support the confidentiality, integrity, and availability, defining rules and procedures that
they assure to take the best practices when they present safety incidents, managing the
risks and procedures that are realized in the company.
Keywords: Security of the Information, Assets of Information, Management of risks,
Magerit, ISO 27001:2013, ISO 27002, Security policies, domains.
1
INTRODUCCIÓN
La implementación de nuevas tecnologías de información ha permitido el
crecimiento económico sustancial en las empresas, así como la interacción con
clientes en distintos puntos geográficos, además de permitir a las empresas
ejecutar distintas transacciones comerciales por medio electrónico permitiendo
automatizar los procesos y reducir el tiempo y agilizar trámites haciendo que los
negocios crezcan rápidamente.
En este panorama si bien es cierto se ha mejorado la forma de realizar negocios
por parte de las empresas también se han presentado nuevos problemas y
amenazas, debido al uso de nuevas tecnologías amenazando la integridad,
accesibilidad y disponibilidad de la información generando un riesgo eminente a
las funciones diarias de los distintos departamentos de las empresas.
Por tal motivo se ha necesitado implementar varias medidas de seguridad,
muchas de las cuales están basadas en estándares o normas internacionales,
tales como la norma ISO 27001:2013 e ISO 27002 las cuales permiten tener
una guía para la seguridad de la información.
International Gym Ecuaintergym S.A no cuenta con mecanismos de seguridad
que garanticen el uso adecuado de la información, lo cual perjudica el
desenvolvimiento de las tareas de los diversos departamentos además de
afectar la precisión en el manejo de la información generando una eminente
vulnerabilidad en la seguridad de los datos de los socios, clientes y empleados
de la empresa.
La propuesta de este documento se centra en crear mecanismos adecuados
para mantener la confidencialidad, integridad y disponibilidad de la información
por medio de una gestión integral de seguridad de la información basado en la
norma ISO 27001 y las buenas prácticas de la norma ISO 27002 .Así
garantizando un manejo adecuado de los fallos de seguridad de la información
2
con una correcta gestión de riesgos y varios mecanismos como el modelo PHVA
(planificar, hacer, verificar y actuar) para la mejora continua de los procesos.
Capitulo I.- EL PROBLEMA, se establece el escenario actual con respecto a la
seguridad de la información de la compañía International Gym Ecuaintergym
S.A, determinando el problema que cuenta la compañía, asimismo se estipulan
los objetivos específicos y generales que van alineados con el tema, además se
describe la justificación del proyecto y su importancia.
Capítulo II.- MARCO TEÓRICO, se definen los antecedentes, fundamentación
teórica, mencionando algunos datos científicos e investigaciones sobre la
seguridad de la información en diversos ambientes de red y equipos de
seguridad, ahondando en el tema de tesis además de la fundamentación social y
fundamentación legal acerca del proyecto.
Capítulo III.- PROPUESTA TECNOLÓGICA, se relata el estudio de la
factibilidad operacional, factibilidad económica, factibilidad legal, factibilidad
técnica del proyecto de tesis concerniente al plan de gestión integral de
seguridad de la información basado en la norma ISO 27001:2013 e norma ISO
27002 y los diversos principios de aprobación del producto que definen la
aceptación de este en la compañía International Gym Ecuaintergym S.A.
Capítulo IV.- CONCLUSIONES RECOMENDACIONES En este capítulo se
mencionan las conclusiones y recomendaciones, asimismo la explicación de
resultados de la investigación. Se contribuye con ideas de nuevos procesos para
que la problemática sea solventada con el plan propuesto.
3
CAPITULO I
El PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del problema en un contexto
INTERNATIONAL GYM ECUAINTERGYM S.A cuenta con departamentos sin
políticas de seguridad y sin parámetros que permita gestionar la seguridad de la
información, en el momento que se presente un incidente de seguridad que
generen amenazas a la pérdida e integridad de la información y disponibilidad de
la red.
El área de Sistemas es el encargado de mantener el correcto funcionamiento de
la red y brindar soporte a los servidores realizando actividades como el
mantenimiento preventivo y correctivo de los equipos de cómputo, configuración,
mantenimiento de redes y sus diversos equipos electrónicos así como brindar
seguridad estableciendo barreras y procedimientos que aseguren el acceso a los
datos.
Debido a que la empresa no mantiene un plan de gestión de seguridad, el
contenido de este proyecto es brindar asesoría en la seguridad de la
información alineado en la norma ISO 27001 e ISO 27002.
4
Hay que considerar que existen varios problemas de manera regular que
retrasan el flujo de las ventas ya que existe falta de información, generando
pérdidas económicas por no cumplir requerimientos mínimos necesarios para la
seguridad de la información, así como una incorrecta gestión de prevención y
control de riesgo de seguridad de la información.
Situación Conflicto Nudos Críticos
International Gym Ecuaintergym S.A. posee un departamento de sistemas que
manipula información de vital importancia para la compañía, el problema se
genera por la ausencia de un presupuesto destinado a proteger la información y
la poca prioridad que se le da a está. Por tal motivo necesita generar
mecanismos de seguridad que solventen varios incidentes e inconvenientes
que se presentan en las distintas áreas, para así apoyar a sus labores diarias.
Causas y Consecuencias del Problema
A continuación, se indican causas y consecuencias de los problemas
analizados en la empresa International Gym Ecuaintergym S.A.
Tabla 1 Causas y Consecuencias Del Problema.
No. CAUSAS CONSECUENCIAS
1
Las personas encargadas del área
de tecnología no están
especializadas en normas de
seguridad.
Los nuevos recursos tecnológicos
se encuentran expuestos y
vulnerables a la manipulación de
personal sin permisos.
2
Los representantes de la empresa
no se han preocupado en
fomentar procesos de instrucción
y capacitación constante.
El personal técnico se muestra
desmotivado en generar
propuestas de seguridad para la
empresa INTERNATIONAL GYM
ECUAINTERGYM S. A.
5
3
Equipamiento tecnológico
obsoleto en la empresa
INTERNATIONAL GYM
ECUAINTERGYM S. A.
El personal técnico está limitado a
no poder generar propuesta que
ayuden asegurar la red interna de
la empresa.
4
Poco deseo de invertir en
infraestructura de seguridades.
Restringe a la creación de nuevas
propuestas de infraestructuras de
seguridad en la información.
5
Administración de seguridades
descentralizadas en ciertas áreas
de la empresa.
Fallas en la dirección de soporte y
gestión de recursos.
6
Oficinas desorganizadas,
departamento de tecnología sin un
control centralizado
Información vulnerable y no se
utiliza todo el potencial de los
recursos.
7
Falta de información sobre
seguridad al personal del
departamento técnico.
Políticas de seguridad mal
definidas lo cual deja vulnerable a
datos sensibles de la empresa.
8 No existe una política de respaldo
de la información
Perdida de datos importantes en la
empresa.
9
Almacenamiento en la nube sin un
rápido acceso a la información de
registros antiguos.
Demora en la recuperación de
datos archivados o alta latencia en
el acceso a los datos.
10
No cuenta con niveles de
seguridad básicos en el servidor
de base de datos
Falta de políticas de control de
acceso basado en roles definidos
para cada usuario y departamento.
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
6
Delimitación del Problema
Esta propuesta se basa en la implementación de la norma ISO 27001:2013 e
ISO 27002 basándose en los activos de información que existen y manejan en la
empresa INTERNATIONAL GYM ECUAINTERGYM S.A, con la finalidad de
definir directrices para realizar un análisis de eficiencia de los sistemas
informáticos y así identificar las falencias de seguridad de la información.
Definiendo roles y responsabilidades del departamento de sistema y así lograr el
correcto funcionamiento de la red, auditando y evaluando los diversos
servidores, Firewall, conexiones lógicas y físicas, licenciamiento de S.O, políticas
de seguridad, perfiles y roles de acceso a los sistemas de información.
Campo: Seguridad de la información.
Área: Red interna de INTERNATIONAL GYM ECUAINTERGYM S.A.
Aspecto: Gestión integral de seguridad de la información.
Tema: Generación de un plan para la gestión integral de seguridad de la
información basado en el marco de la norma ISO 27001 y las mejores prácticas
de seguridad de la norma ISO 27002 para la compañía International Gym
Ecuaintergym S.A de la ciudad de Guayaquil.
Formulación Del Problema
¿Cómo la implementación de un sistema de gestión integral de seguridad de la
información en la empresa INTERNATIONAL GYM ECUAINTERGYM S.A.
basado en la norma ISO 27001 Y las buenas prácticas de la norma ISO 27002
permite mitigar los riesgos que afectan factores como la integridad,
confidencialidad y disponibilidad de su información?
7
Evaluación Del Problema
Los diversos factores que se utilizan en este proyecto y se basan a la
investigación son los siguientes:
Delimitado: Debido a que no existen registros y medidas de control que
permitan que la seguridad de la información quede garantizada en la empresa,
se planteará un plan de mejora para la seguridad de la información que
permitirá evaluar el nivel de seguridad interna y externa de los sistemas de
información, así brindar mayor protección y fiabilidad siendo este plan una parte
integrante de toda la empresa.
Evidente: Es notorio la falta de políticas de seguridad la cual se puede solventar
implementando la norma ISO 27001:2013 y las directrices de la norma ISO
27002 apoyando la implantación del SGSI teniendo así un mayor control de los
activos de la información que posee la organización.
Concreto: Tiene como prioridad la gestión integral de la información para
prevenir vulnerabilidades en los distintos equipos y activos de la información de
la red interna de la empresa International Gym Ecuaintergym S.A.
Relevante: La implementación de la norma ISO 27001:2013 e ISO 27002 es
necesaria para tener una correcta gestión de riesgos lo cual evitara la perdida de
información y uso incorrecto de los activos de la información.
Original: El uso de las normas ISO 27001:2013 e ISO 27002 es una medida
innovadora para la red interna de la empresa International Gym Ecuaintergym
S.A destacando las medidas de seguridad necesarias para prevenir los distintos
riesgos que afectan la información resaltando su compromiso y seguridad con
que es manejada la información de sus diversos clientes, empleados y
proveedores.
8
Factible: Con la generación de un plan para la gestión integral de seguridad de
la información basado en la norma ISO 2700:2013 e ISO 27002, se podrá
demostrar la seguridad que tiene la red interna de la empresa y por medio de
este plan se determinara una guía de procedimientos a seguir para mitigar los
diversos riesgos que se presenten.
Identifica los productos esperados: eficiente, graduable, mecanismos y
políticas de seguridad para disminuir riesgos en los equipos y sistemas de la red
interna de la empresa.
OBJETIVOS
Objetivo General
Generar un plan de mejoras en la obtención, manipulación y conservación de la
información en la empresa INTERNATIONAL GYM ECUAINTERGYM S.A
basado en la norma ISO 27001 y las buenas prácticas definidas en la norma
ISO 27002.
Objetivos Específicos
• Determinar los puntos críticos dentro de la infraestructura para ser
mejorados en cuanto a su seguridad.
• Analizar las buenas prácticas que se alineen a las falencias de
seguridad de los activos de la información de la compañía en mención
para prevenir incidentes de seguridad.
• Proponer los procesos de gestión de riesgos de seguridad que cubran
las necesidades de la empresa para ser incluidos en el plan de
mejoras.
• Elaboración de un plan de mejoras basado en la norma ISO 27001
alineado a las buenas prácticas de la norma ISO 27002 para ser
aplicado dentro de la empresa.
9
• Elaborar un plan de capacitación sobre las buenas prácticas de
seguridad para socializar el uso de este entre el personal de la
empresa.
ALCANCES DEL PROBLEMA
El actual proyecto tendrá como alcance la creación de un plan de gestión integral
de seguridad de la información en base a los requisitos y controles establecidos
en la norma ISO 27001 e ISO 27002. En International Gym Ecuaintergym S.A
este plan servirá para que el departamento de sistemas mantenga una guía de
procedimientos a seguir ante una eventualidad o incidente que perjudique a la
seguridad de la información para así mantener la disponibilidad e integridad de
esta.
Este proyecto hará una auditoria a los diversos equipos y activos de la
información del área de sistemas, así como los software y procesos
implementados en los mismos enfocándose en los requerimientos de la norma
ISO 27001:2013 y los lineamientos de la norma ISO 27002. Al finalizar el mismo
presentará un diseño de red lógico para mejorar la seguridad perimetral y así mitigar
los posibles riesgos de seguridad de la información.
Informar y concientizar a todos los empleados, clientes y proveedores con un
plan de capacitación para que asimilen los nuevos procedimientos y
requerimientos de seguridad de la información. Además, se desarrollará una
matriz de riesgos para definir el nivel de vulnerabilidad de los activos de la
información para prevenir los diversos incidentes de seguridad de manera rápida
y correcta.
10
JUSTIFICACIÓN E IMPORTANCIA
La creación de este proyecto es de suma importancia debido a que, con el
establecimiento de un plan de gestión integral de seguridad de la información,
permitirá asegurar la información por medio de una estructura de buenas
prácticas. El plan estará definido por la gestión de riesgo, políticas, procesos y
controles alineados en las normas ISO 27001:2013 e ISO 27002 las cuales
permitirá establecer, mantener y mejorar procedimientos de seguridad para que
solventen las deficiencias encontradas en la auditoria.
Permitirá disminuir los riesgos y amenazas a la integridad de la información que
posee la empresa por medio de diversos mecanismos y procesos logrando tener
el control centralizado de lo ocurrido en los sistemas y activos de la información
que son utilizados en la misma. Además, contara con la documentación de
soporte de las tareas que se van a implementar para así oficializar normas e
instrucciones.
Hacer la auditoria y evaluación de los activos de la información del departamento
de sistemas de la empresa International Gym Ecuaintergym S.A. le permitirá a la
misma tener un panorama sobre el nivel de vulnerabilidad de estos para mejorar
en cuanto a su seguridad. Además de dejar al descubierto los riesgos potenciales
que mediante el plan propuesto le permitirá tener un tratamiento del riesgo
adecuado.
Cabe mencionar que las normas ISO implementadas en este proyecto son
compatibles con otras normas ISO de sistemas de gestión pudiendo así aportar
con los otros sistemas de gestión que se implementen en un futuro en la
compañía. Además, la implementación de este plan proporcionara a la empresa
la posibilidad de certificarse bajo la norma ISO 27001 e ISO 27002 teniendo un
impacto positivo en la misma, para así incrementar las ventas de los diversos
productos que comercializa la empresa.
11
La ejecución de este va a permitir ahorrar tiempo a las distintas áreas de la
compañía realizando las tareas de manera rápida y eficaz, y así afianzar más su
relación de negocio con sus clientes involucrándolos de forma indirecta a la
medición de calidad de la empresa.
METODOLOGÍA DEL PROYECTO
Metodología en Cascada
La metodología a implementar es una secuencia de etapas que implica en
analizar los requerimientos, diseño, implementación y pruebas de tal manera que
el inicio de cada etapa está sujeta a la finalización de la etapa anterior. Esta
metodología está diseñada para evaluar cada etapa al finalizarla para verificar si
el proyecto está listo para continuar a la siguiente etapa.
GRÁFICO: 1 Etapas de modelo cascada
Fuente: (Soloriio, 2013)
Elaboración: Misti Soloriio
12
En lo que respecta a seguridad de la información la metodología en cascada
exige a que se debe realizar un análisis de riesgos con anterioridad antes de
comenzar la fase de diseño, donde podrían empezar a identificarse cuales son
los puntos vulnerables del proyecto. Siendo así que hasta la fase de
implementación que se definen de manera explícita, sin embargo, alineándose
con las etapas definidas, hasta la fase de prueba no se confirma la seguridad.
En la fase de prueba el proyecto ya se ha dado por culminado y los incidentes de
seguridad que se presenten se resolverán con los mecanismos de seguridad ya
definidos formalmente.
Por lo consiguiente este proyecto comienza coordinando horarios de las reuniones
a efectuar con los funcionarios de la compañía International Gym Ecuaintergym
S.A, así como hora de reuniones, instrumentos, procedimientos, y formatos para
presentar los resultados. Además de que para la creación del sistema de gestión
de seguridad de la información, se ha procedido a implementar este modelo con
la finalidad de interactuar con cada fase de manera secuencial hasta conseguir
los objetivos planteados, siendo estas fases las siguientes.
GRÁFICO: 2 Modelo a utilizar en el diseño del SGSI
Fuente: Datos de la Investigación Elaborado por: Carlos Chávez – Juan Andrade
13
Supuestos y Restricciones
Se define los siguientes supuestos y restricciones
Tabla 2 Supuestos y Restricciones
Supuestos Restricciones
• El personal de la compañía International Gym Ecuaintergym S.A. estará predispuesto a los requerimientos solicitados en todo el proyecto.
• Se cuenta con las herramientas necesarias para realizar el levantamiento de información y auditoria para poder presentar el plan de mejoras para ser ejecutado en la compañía.
• Solo se tomará en cuenta en el presupuesto el costo aproximado, siendo difícil aumentar posteriormente dicho presupuesto
Fuente: Datos de la Investigación Elaborado por Carlos Chávez-Juan Andrade
Plan de Calidad (Pruebas a realizar)
Para lograr conocer si se llegó a alcanzar los objetivos del proyecto se realizará
una auditoria que revisara procedimientos que se solicitan por las normas ISO
27001 e ISO 27002 así como registros. Además de verificar que se cumplen con
los documentos exigidos como sería la política de seguridad de la información.
En cuanto a empleados se tendrán que realizar entrevistas para confirmar que el
Sistema de Gestión integral de Seguridad de la Información esta implementado
correctamente en la compañía para verificar las falencias en su aplicación.
14
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DE ESTUDIO
La seguridad de la información es elemental para el correcto desempeño de las
compañías y International Gym Ecuaintergym S.A. siendo una empresa en
crecimiento continuo recopila información de sus clientes, proveedores y
empleados por varios mecanismos de comunicación como correos, chat
empresarial, entre otros.
El avance de la tecnología y el poco conocimiento para contrarrestar las
amenazas y riesgos de ataques ha provocado pérdidas cuantiosas en las
compañías, por ese motivo se han explotado esas vulnerabilidades para
provocar ataques informáticos que atentan con la continuidad de las actividades
de las empresas debido a esto las empresas deben de contar con tecnologías
que aumenten y protejan la seguridad de la información en las mismas.
. En una encuesta realizada en Colombia por la Asociación colombiana de
ingeniería de sistemas para poder indagar sobre los mecanismos usados en el
tema de seguridad permitieron demostrar que: “La falta de apoyo directivo y la
falta de tiempo, no pueden ser excusas para no avanzar en el desarrollo de un
sistema de gestión de seguridad, la inversión en seguridad es costosa, pero la
materialización de inseguridad puede serlo mucho más”. (ACIS, 2016)
15
“En Colombia el ISO 27000, ITIL y el Cobit 4.1 son el estándar y las buenas
prácticas que están en las áreas de seguridad de la información o en los
departamentos de tecnologías de información”. (ACIS, 2016)
En el transcurso de los años la organización internacional de estandarización
(ISO) desarrolla mediciones enfocadas en conocer el uso de las normas ISO en
las organizaciones a nivel mundial, permitiendo evidenciar un incremento
exponencial en la cantidad de certificaciones otorgadas bajo la norma ISO
27001, se prevé un aumento de un 45 % en este año. (ISOTOOLS, 2017)
En el país en instituciones tanto públicas y privadas se ha tomado conciencia
sobre la importancia de contar con la certificación de la norma ISO 27001
Según el portal de noticas de la Corporación Nacional de Telecomunicaciones
CNT EP indica que la misma percibió de la Asociación Española de
Normalización y Certificación (AENOR) la certificación ISO27001:2013, en el
cual se establece como una corporación que cuenta de un sistema de gestión
de Seguridad de la Información conforme a la Norma UNE-ISO/ 27001:2013.
(CNT, 2017)
16
FUNDAMENTACIÓN TEÓRICA
GRÁFICO: 3 Logo de Nomas ISO
Fuente: (koneggui)
Elaborado por: Juan Andrade– Carlos Chávez
Su significado por sus siglas en ingles ISO (Organización Internacional de
Normalización), que es una asociación mundial de organismos nacionales de
normalización que coopera en asociación con la IEC (Comisión Electrotécnica
Internacional), para el desarrollo de normalización electrónica. Es una federación
de estándares alineados a definir legalmente los objetivos de una corporación,
definidos en diversos ambientes. (ISO Online Browsing Plataform (OBP))
17
Historia De Las Normas ISO
Antes de la creación de la ISO los organismos de control eran la “International
Federation of the National Standarizing Association”, también llamados ISA y
creada en Nueva York en el año de 1928 basados en sistemas métricos, y cuyo
objetivo era dar constante seguimiento a las áreas que no pertenecían en el plan
de la electromecánica, ya reguladas por la ICE “International Electrotechnical
Commission” creada en 1906.
A comienzos de la segunda guerra mundial ISA termina sus actividades debido a
la falta de comunicación Internacional. Esto hizo que en el año de 1944 se
creara la UNSCC “United Nations Satndards Coordinationg Commitee” en
Londres, incentivado por el incremento de empresas de manufactura y
armamento que se dedicó a la estandarización debido a su funcionamiento de la
UNSCC desde las mismas oficinas de la ICE ente con un gran prestigio ya
atribuido por entonces el secretario de la ICE “Charles Le Maistre” considerado
el tutor de Normalización.
El termino ISO proviene de Grecia y significa “igual”, siendo un organismo
autónomo que anhela cooperar en calidad, eficiencia, y mejoras en seguridad de
los sistemas de comunicación de las empresas de los diferentes países. Las
Normas ISO “organización internacional de normalización”, se fundaron en el
año 1946, integrado por 64 delegados provenientes de 25 países, reunión que
se llevó a cabo en Londres, Inglaterra edificio de Ingenieros Civiles.
En el año 1947, el 27 de febrero comenzaron las acciones y la labor en la
creación de las primeras ISO, y desde entonces se han dado lugar a la creación
de 19500 normas siendo el ente encargado de incentivar la creación de normas
internacionales de fabricación, comercio y comunicación para cada una de las
ramas industriales exceptuando de la eléctrica y la electrónica. Su trabajo
primordial es la de hallar la estandarización de normas de productos y seguridad
para las organizaciones a nivel internacional. (webBlog Calidad ISO UOS
Xtended Studies, 2014)
18
Normas ISO 27000
Esta norma establece como una organización se debe alinear en un método de
documentación y objetivos de seguridad para mitigar gestión de riesgos. Esta de
la misma manera que diversas normas ISO, la norma ISO 27000 se enfoca en la
aplicación del ciclo PDCA (Planificar, hacer, comprobar, actuar) para enriquecer
el SGSI en la compañía. (Proaño, 2015)
Esta norma puede ser adaptada en cualquier compañía que considere a su
información confidencial. Es decir que todo tipo de compañía que posea
sistemas de información necesita implementar la norma ISO.
La norma ISO se puede implementar a cualquier tipo de compañía ya que no
existe un obstáculo, implementando la norma ISO se definirán controles y
procedimientos alineados a cada organización, en base de su capacidad para
implementarlo.
Familia ISO 27000
La norma 27000 admite comprobar la importancia de la implementación de un
Sistema de Gestión de Seguridad de Información, adicional de una
especificación de pasos a seguir para las compañías que tengan el deseo de
certificarse con esta familia referente a los estándares ISO.
ISO/IEC 27000.- Salió por primera vez el 1 de mayo del 2009, indica una visión
general de la familia 27000 y es una introducción para todos los Sistemas de
Gestión de Seguridad.
ISO/IEC 27001.- Es la norma primordial de esta familia de normas y en ella se
especifica los requisitos del sistema de gestión de seguridad de la información.
ISO/IEC 27002.- Especifica los objetivos de control en relación con la seguridad
de la información, esta norma no es certificable.
19
ISO/IEC 27003.- Se fundamenta en los aspectos más primordiales del diseño de
un SGSI indica cómo debe llevar a cabo con cada uno de los procesos para la
seguridad de la información.
ISO/IEC 27004.- Se establece como una guía para la implementación de
directrices de Sistemas de Gestión de Seguridad de Información que será pasos
que seguir que permitirán cumplir con cada uno de ellos y disminuir el riesgo
para la seguridad de la información.
ISO/IEC 27005.- Específica matrices o principales guías en el riesgo de la
seguridad de la información para llevar un orden correcto en la manipulación de
los datos o de la información que va a ser fundamentada en algún equipo de
cómputo que permita el almacenamiento de los datos o información.
ISO/IEC 27040.- Guía de redacción digital que permite documentar los diversos
procesos de la empresa que lo implemente para poder cumplir con la seguridad
de la información.
ISO/IEC 27039.- Guía que admite el despliegue operativo de sistemas de
detección de intrusos en la información empresarial.
ISO/IEC 27040.- Guía para la seguridad en los diversos medios de almacenaje
de la información para que exista un respaldo de esta y así definir cada paso y
poder cumplir con cada uno de estos estándares.
20
NORMA ISO/IEC 27001
Define la norma el Autor Castro Rojas como “la única norma internacional
auditable que define los requisitos para un sistema de gestión de seguridad de la
información (SGSI), y se ha concebido para garantizar la selección de controles
de seguridad adecuados y a proteger los activos de información dando confianza
a las partes interesadas”. (Rodriguez, 2016)
En base a lo citado con anterioridad se establece que la norma ISO 27001
está alineada directamente a determinar los controles sobre los hallazgos
que proporcione la auditoria, con el objetivo de asegurar los activos de
información de la compañía.
Origen de la Norma ISO 27001
En la siguiente tabla se visualiza el inicio de la norma en el año 1901 y su última
modificación en el año 2013.
Tabla 3 Origen de la Norma ISO 27001
Año Breve Reseña
1901 British Standards Institution, anuncia normas con el prefijo “BS” con carácter internacional.
1995- BS 7799-1:1995
Empresas Británicas empleaban buenas prácticas para solventar a la administración de la Seguridad de la información, esta metodología no permitía certificación
1998 – BS 7799-2:1999
Síntesis de la norma anterior, establece requisitos para implementación de un SGSI certificable.
21
Fuente: (Excellence, 2017)
Elaborado por: Juan Andrade – Carlos Chávez
Norma ISO 27001:2013
La norma ISO 27001 -2013, atribuye métodos que describe los requerimientos
para “establecer, implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información” enfocándolo a las Empresas.
1999 – BS 7799-1:1999:
Sólo se repasa
2000 – ISO/IEC 17799:2000
Sin experimentar inmensos cambios, la ISO tomó a la norma BS 7799-1, que dio lugar a la ISO 17799.
2002 – BS 7799-2:2002
Anuncio de nueva versión con acreditación de empresas por un ente certificador en Reino Unido, y otros
2005 – ISO/IEC 27001:2005 e ISO/IEC17799:2005
Surge la ISO 27001 como norma internacional certificable y se analiza la ISO 17799 proporcionando la ISO 27001:2005.
2007 – ISO 17799: Se denomina ISO 27002:2005
2007 – ISO/IEC 27001:2007 Anunciada nueva versión
2009
ISO 27001:2007/1M: 2009. Publicado como documento adicional de reformas
2013
Propagación de la nueva versión de la ISO 27001, consigo trae evaluación y tratamiento de riesgos, adicional significativos cambios en su estructura.
22
Se cita el siguiente artículo publicado por Intedya International Dynamic
Advisors, en donde comenta lo siguiente: “El propósito de la norma ISO/IEC
27001 es, garantizar que los riesgos de la seguridad de la información sean
gestionados adecuadamente por la organización”. (Dynamic, 2016)
Se justifica en lo citado, que la norma ISO/IEC 270001, tiene como objetivo velar
el debido aseguramiento de la información de toda compañía, empleando
mecanismos y controles que protejan los datos. La ISO 27001 -2013 establece
de forma ordenada los requerimientos y procesos para tratar los riesgos, en
donde la Organización se alinea a un avance fundamentado de un Sistema de
Gestión.
El estándar ISO 27001 puede ser implementado en todo tipo de compañía sin
importar su actividad o tamaño ya que la finalidad principal de la norma es
proveer una base para crear políticas de seguridad en las organizaciones y ser
una práctica para su gestión. De igual manera, en la norma ISO 27001 se han
establecido catorce dominios de control que abarcan la gestión de la seguridad
de la Información.
La norma ISO/IEC 27001 fundamentada en el modelo de Deming, es bien
completa en cuanto a su aplicación y cada categoría principal de controles de
seguridad mantiene un objetivo de control que define qué es lo que se quiere
lograr, y uno o más controles operacionales que pueden ser implementados para
lograr cumplir el objetivo de control.
Según en el proyecto de titulación de Cordero, se utilizó los siguientes dominios
de la norma ISO 27001 el cual se alinea a este proyecto, no se han tomado en
consideración algunos dominios siendo estos como la seguridad de los recursos
ya que la compañía tiene parámetros definidos y las relaciones con proveedores
ya que son parámetros manejados por la dirección de esta.
23
A continuación, se detalla los diversos dominios con su respectiva descripción:
A. La política de seguridad: cuyo objetivo es garantizar el soporte y gestión
necesarios para la seguridad, alineados a los requisitos institucionales y
normativos.
A. La organización de la seguridad de la información: cuyo objetivo es crear
un marco de referencia para la implementación y control de la seguridad de la
información.
A. La seguridad de los recursos humanos: cuyo propósito es establecer las
medidas necesarias para controlar la seguridad de la información, que sea
manipulada por los recursos humanos.
A. La gestión de activos: tiene como propósito asegurar los activos de la
organización.
A. El control de acceso: Por medio el cual asegura la confidencialidad de los
sistemas de información de la empresa.
A. 10 Criptografía: establece reglas para la implementación de claves
criptográficas
A. 11 La seguridad física y del ambiente: orientada a proteger a las
instalaciones de la organización y a toda la información que manipula.
A. 12 Seguridad en las operaciones: controla la creación de procedimientos de
operaciones, implementación y actualización.
A. 13 La gestión de las comunicaciones: ayuda a determinar el procedimiento
y responsabilidades de las operaciones que realiza la organización.
A. 14 La adquisición, desarrollo y mantenimiento de los sistemas de
información: orientada a organizaciones que desarrollen software internamente
o que mantengan un contrato con otra empresa que sea la encargada de
desarrollarlo.
A. 15 Relaciones con proveedores: su objetivo es tener un grado de seguridad
apropiado en las transacciones con terceros
A. 16 La gestión de incidentes en la seguridad de la información: ejecuta un
proceso de mejora constante en la gestión de incidentes de seguridad de la
información.
A. 17 La gestión de la continuidad del negocio: Su propósito es asegurar la
continuidad operativa de la organización.
24
A. 18 El cumplimiento: cuyo objetivo es velar que los requisitos legales de
seguridad, con respecto al diseño, operación, uso y gestión de los sistemas de
información se lleven a cabo. (Cordero Torres, 2015)
Sistema De Gestión De Seguridad De La Información
(SGSI)
El SGSI, define la implementación de mecanismos de gestión de varios
estándares definidos con anterioridad para calificar la seguridad. El objetivo
primordial es hallar todos los activos y personal que pertenecen al área
tecnológica por medio de un proceso de gestión de riesgos alineados a los
procesos y servicios que posee la organización con la ayuda del departamento
tecnológico, adicional comprueba si existen controles de seguridad que admitan
a las políticas y procedimientos para disminuir los riesgos. (Solarte, 2015)
En base a lo referenciado anteriormente se afirma que un sistema de gestión de
seguridad de la información permitirá tener un enfoque centralizado de los
equipos, procesos y activos de la información para asegurar su disponibilidad e
integridad mediante políticas y normas definidas en el mismo.
Certificación SGSI
La certificación de un SGSI es un desarrollo y certificación que se consigue, por
medio de una organización de certificación externa acreditada la cual se asume
el rol de auditar el sistema implementado en una compañía, diagnosticando si
este cumple con ISO/IEC 27001, además de determinar su grado de
implantación real dentro de la efectividad que dispondría. Con anterioridad al no
contar con el estándar ISO 27001, varias organizaciones interesadas en la
certificación lo elaboraban con el estándar británico BS 7799- 2.
25
En base a lo mencionado se concluye que la certificación bajo la norma ISO
27001:2013 permitirá a la compañía contar con un esquema de seguridad de la
información definido y correctamente implementado. Además de ayudar a la
compañía a demostrar que maneja de forma adecuada la información.
Plan de Gestión de Seguridad
Es un sistema general definido por una compañía que puede incorporar una
estructura organizativa que cuenten con procesos los cuales son comprobados
y evaluados para disponer la planificación de las actividades del beneficiario que
trabaja en la organización , además se especifica con un medio físico que
concederá soluciones si existe una emergencia y dirigirá a las acciones que se
tengan que implementar para que una compañía no sea perjudicada o
disminuir la mayor cantidad de riesgos .
La gestión de Seguridad dicta los procedimientos, los procesos y recursos con
los que tiene compañía para sostener y tener un mayor control de los procesos
así establecer una política de prevención y calidad de los servicios.
Beneficios de un Sistema de Gestión de Seguridad de la
Información (SGSI)
La implantación y manejo de un SGSI obtendrá los siguientes beneficios a toda
empresa que posea este:
• Manifestar con una metodología apropiada para la seguridad de la
información que se encuentra internacionalmente.
• Definir métodos necesarios para así diagnosticar, implementar, preservar
y Administrar con un mayor desarrollo la seguridad de la información.
• Tener una mayor ventaja competitiva con otras organizaciones.
26
• Tener una mejor la calidad de servicio con los consumidores,
proveedores y empleados.
• Disminuir los costos asociados a los incidentes.
• Definir las responsabilidades tanto operativas como legales de los
beneficiarios internos y externos de la Información.
• Estar alineados a las reglas legales, leyes de Protección de Datos,
Privacidad, entre otros, para tener los parámetros solicitados.
• Apoya a la institución en su crecimiento y evolución para tener mayores
beneficios.
• Permite definir los reglamentos actuales sobre la protección de datos de
carácter personal, servicios de la sociedad de la información, comercio
electrónico, propiedad intelectual y todo lo vinculado con la seguridad de
la información.
Como se demuestra la ejecución del plan de Gestión Integral de seguridad de la
información se justifica por los varios beneficios que mantendría la compañía a
implementar el mismo.
Seguridad Informática y de la Información
La seguridad informática
La seguridad informática está basada con las metodologías, procesos y
procedimientos para proteger la información y los datos críticos de una
compañía, en sus diversos sistemas informáticos. Los pasos se estructuran con
la implementación de estándares, normas, protocolos y metodologías para
mitigar y minimizar los riesgos que se presentan en los equipos tecnológicos.
(Solarte, 2015)
27
Seguridad de la información
La seguridad de la información está alineada con los mecanismos preventivos
con el objetivo de preservar y proteger la información. La información puede
hallarse en varios escenarios y medios tanto físicos, como electrónicos. Por esto
las empresas necesitan implementar metodologías para salvaguardar los
archivos y registros, preservar la continuidad de ejecución de los equipos
tecnológicos para que sean utilizados como mecanismos de seguridad y
prevención. (Solarte, 2015)
En base a lo referenciado del trabajo de solarte se concluye que la información
puede ser transportada o manipulada de diversas formas, es por eso por lo que
se deben de tomar en consideración diversos factores y escenarios que podrían
perjudicar la misma.
Estándares de seguridad de la información
Los estándares basados en la seguridad de la información están constituidos por
la familia de estándares ISO/IEC 27000 E ISM3, normas dedicadas para la
gestión de seguridad de la información implementadas en cualquier organización
sin importar su magnitud o sector productivo.
Las normas ISO/IEC 27001 y la ISO/IEC 27002 establecen mecanismos para
constituir, implementar, ejecutar, monitorear, inspeccionar, enriquecer un SGSI,
adicional indica los requerimientos para implementar mecanismos de seguridad
a través de los requerimientos de las empresas por medio de un mecanismo
determinado o un servicio en base a el SGSI alineado a los objetivos y alcances
de la empresa. (Solarte, 2015)
Corti, Betarte & De la Fuente (2005) en su artículo denominado “Hacia una
implementación exitosa de un SGSI” especifican las etapas del ciclo de Deming
y los productos o entregables requeridos por la norma.
28
El artículo citado servirá de guía de procesos a seguir de formar secuencial para
la elaboración del manual de buenas prácticas enfocándose en el ciclo Deming
expuesto. Esta metodología describe los cuatro pasos primordiales que se deben
de ejecutar de forma secuencial para lograr la mejora continua, entendiendo
como tal al mejoramiento continuado de la calidad sean estos la reducción de
fallos, incremento de la eficacia y eficiencia, resolución de incidentes, previsión y
eliminación de riesgos.
El siguiente cuadro menciona los procesos más principales que menciona la
norma alineados con las etapas del ciclo PHVA.
Tabla 4 Ciclo de Deming (PHVA) aplicado a la norma ISO/IEC 27001.
CICLO PHVA PROCESOS
PLANEAR
Establecer el contexto. Alcance y Limites Definir Política del SGSI Definir Enfoque de Evaluación de Riesgos Identificación de riesgos Análisis y Evaluación de riesgos Evaluar alternativas para el Plan de tratamiento de riesgos Aceptación de riesgos Declaración de Aplicabilidad
HACER
Implementar plan de tratamiento de riesgos Implementar los controles seleccionados Definir las métricas Implementar programas de formación y sensibilización Gestionar la operación del SGSI Gestionar recursos Implementar procedimientos y controles para la gestión de incidentes de seguridad
VERIFICAR
Ejecutar procedimientos de seguimiento y revisión de controles. Realizar revisiones regulares de cumplimiento y eficacia de los controles y del SGSI. Medir la eficacia de los controles y verificación de satisfacción de los requerimientos de seguridad. Revisión de la evaluación de riesgos periódicamente. Realizar auditorías internas Revisión de alcance y líneas de mejoras del SGSI por la Dirección. Actualizar los planes de seguridad Registrar acciones que podrían impactar la eficacia y/o eficiencia del SGSI
29
ACTUAR
Implementar las mejoras identificadas para el SGSI Implementar las acciones correctivas y preventivas pertinentes. Comunicar acciones y mejoras a todas las partes involucradas. Asegurarse que las mejoras logren los objetivos previstos.
Fuente: (Mega, 2009)
Elaborado por: Carlos Chávez-Juan Andrade
ISO/IEC 27002
ISO 27002 provee un conjunto de buenas prácticas y lineamientos para el
cumplimiento de los Objetivos de Control mencionados en el Anexo A de la
norma ISO 27001. Es una Norma que trabaja en conjunto, no certificable, es
decir no permite tener una certificación y es por eso por lo que la compañía tiene
la potestad de cumplir los objetivos de control solicitados empleando diversas
fuentes de guía, siempre y cuando las políticas y procesos de seguridad de la
información implementados estén alineados con los Objetivos de control
mencionados por la Norma ISO 27001.
Se verifica a modo de ejemplo la cláusula A. 11 Seguridad física y del ambiente
Objetivo de control: Evitar el acceso físico sin autorización, los perjuicios y
pérdida a la información de la organización y las instalaciones de procesamiento
de la Información.
Una correcta práctica mencionada en la norma ISO 27002 en base a esta
cláusula A. 11 de la norma ISO 27001, es: Se debería tener un área de
recepción atendida por una persona u otros mecanismos para llevar un control
del acceso físico al lugar o a las instalaciones; el acceso a los lugares y al
edificio se debería restringir solo al personal que cuente con autorización.
30
Es una norma que admite instaurar principios para iniciar, implementar,
mantener y mejorar la gestión de la seguridad de la información, tiene objetivos
de control que se implementan para cumplir con los requisitos considerados por
la evaluación de riesgos. (Vasquez, 2016)
Entonces se menciona que esto sería una recomendación o proceso por seguir
para cumplir con el objetivo de control, pudiendo el implementador acogerse a
esta práctica o proponer una alineada a la misma.
Modelo de madurez y privacidad de la Información
Para poder evaluar los diversos dominios de la norma ISO 27002 se toma como
referencia grados de madurez que posee una respectiva ponderación para
determinar el nivel de cumplimiento y establecimiento del sistema de gestión
integral de Seguridad de la Información.
En base a este modelo se pueden ver niveles de madurez, para el desarrollo
continuo de la seguridad y privacidad de la información al interior de la
compañía. Estos requerimientos, se identifican, se clasifican y se priorizan, como
parte del proceso de la gestión de la seguridad y privacidad de la información.
El modelo de madurez ayuda a establecer el grado de madurez en el que se
encuentran los diferentes controles, encontrando la brecha de seguridad actual
existente, logrando establecer un plan de contingencias que permita dar
cumplimiento a los parámetros definidos en cada nivel.
A continuación, se menciona los niveles que se establecen para el modelo de
madurez
31
GRÁFICO: 4 Niveles de Madurez
.
Fuente: (MINTIC)
Elaborado por: Carlos Chávez-Juan Andrade
Inicial: Aun no cuenta con una identificación de activos y gestión de riesgos que
les ayude a establecer el nivel de criticidad de la información.
Gestionado: Se establecen procesos primordiales de gestión de seguridad y
privacidad de la información.
Definido: No se encuentra documentado, establecido y aprobado formalmente
por la dirección un modelo de seguridad de la información.
Gestionado Cuantitativamente: Se cuenta con métricas, indicadores y ejecutan
auditorías al modelo de seguridad de la información.
Optimizado: Esta correctamente planificado para tener una mejora continua del
modelo de seguridad.
32
Metodología Magerit
En una metodología desarrollada por el Ministerio de Hacienda y
Administraciones Públicas de España, quien la ha definido como “Una
metodología que ha sido elaborada como respuesta a la percepción de la
administración pública y en general toda la sociedad depende de forma creciente
de los sistemas de información para alcanzar sus objetivos”. (Publica, 2012)
Así, menciona que el uso de tecnologías de la información y comunicaciones
(TIC) supone unos beneficios evidentes para los ciudadanos; pero también da
lugar a ciertos riesgos que deben gestionarse prudentemente con medidas de
seguridad que sustenten la confianza de los usuarios de los servicios. (Publica,
2012)
GRÁFICO : 5 Marco de trabajo para la gestión de riesgos
Fuente: (Publica, 2012)
Elaborado por: Ministerio de hacienda Pública de España
33
Por otro lado, Cordero indica que: “Magerit está directamente vinculada con la
generalización del uso de las tecnologías de la información, por lo tanto, se
puede concluir que es un instrumento que simplifica la implantación y aplicación
del esquema nacional de seguridad de España, suministrando los mecanismos
básicos y requisitos mínimos para la protección de la información. (Publica,
2012)
La guía Magerit está conformada de tres tomos: el método, el catálogo de
elementos, y la guía de técnicas. Estos muestran unos pasos a seguir para
analizar y tratar los riesgos, proveen componentes que permiten a las compañías
concentrarse en lo específico del sistema objeto del análisis, así como varios
mecanismos que se usan regularmente para hacer un proyecto de análisis y
gestión de riesgos.
El Método: en este se establecen las actividades de análisis y tratamiento
dentro de un desarrollo integral de gestión de riesgos. Además, delinea opciones
y métodos para el tratamiento apropiado de los riesgos.
El Catálogo de elementos: en este se muestra, una organización de los activos,
diversas dimensiones para valorarlos y principios para realizar su valoración. Así
como se plantean las amenazas más comunes en los sistemas de información y
las salvaguardas a tomar en cuenta para protegerlos.
Guía de técnicas: Proporciona algunas técnicas que se utilizan regularmente
para lograr un proyecto de análisis y gestión de riesgos.
34
FUNDAMENTACIÓN LEGAL
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
En el titulo 2 capitulo sexto “Derechos de Libertad” Art. 66 Numeral 19
indica lo siguiente : “ El derecho a la protección de datos de carácter personal,
que incluye el acceso y la decisión sobre información y datos de este carácter,
así como su correspondiente protección. La recolección, archivo, procesamiento,
distribución o difusión de estos datos o información requerirán la autorización del
titular o el mandato de la ley”. (Vernaza, 2013)
Tomado en consideración lo citado anteriormente se afirma que el proyecto es
viable ya que la constitución incita a tomar medidas de protección para
resguardar los datos para evitar la obtención sin autorización de los datos.
LEY ORGÁNICA DE TRANSPARENCIA Y ACCESO A LA
INFORMACIÓN PÚBLICA
En el titulo primero principios generales Art. 1 “Principio de Publicidad de
la Información Pública” indica lo siguiente: “El acceso a la información
pública es un derecho de las personas que garantiza el Estado”. (Nacional C. ,
Educacion Superior, n.d.)
“Toda la información que emane o que esté en poder de las instituciones,
organismos y entidades, personas jurídicas de derecho público o privado que,
para el tema materia de la información tengan participación del Estado o sean
concesionarios de éste, en cualquiera de sus modalidades, conforme lo dispone
la Ley Orgánica de la Contraloría General del Estado; las organizaciones de
trabajadores y servidores de las instituciones del Estado, instituciones de
educación superior que perciban rentas del Estado, las denominadas
organizaciones no gubernamentales (ONGs), están sometidas al principio de
publicidad; por lo tanto, toda información que posean es pública, salvo las
excepciones establecidas en esta Ley”. (Nacional C. , Educacion Superior, n.d.)
35
En base a lo citado es necesario tener un plan de contingencias que asegure y
parametrice los diferentes activos de información para contar con la
disponibilidad de estos. En caso de que se los requiera para una auditoria por
parte del estado cuenten con los parámetros mínimos de seguridad y también
evitar proporcionar información errónea.
Ley Especial De Telecomunicaciones Reformada
En la ley de telecomunicaciones Capitulo 1 Disposiciones fundamentales
Art. 5 “Normalización y homologación” establece lo siguiente : “El Estado
formulará, dictará y promulgará reglamentos de normalización de uso de
frecuencias, explotación de servicios, industrialización de equipos y
comercialización de servicios, en el área de telecomunicaciones, así como
normas de homologación de equipos terminales y otros equipos que se
considere conveniente acordes con los avances tecnológicos, que aseguren la
interconexión entre las redes y el desarrollo armónico de los servicios de
telecomunicaciones”. (NACIONAL, LEY ESPECIAL DE
TELECOMUNICACIONES REFORMADA )
En base a la citación del artículo 5 de la ley especial de telecomunicaciones se
constata que el estado establece normas y procedimientos para los nuevos
equipos tecnológicos, es decir que en caso de que la compañía desee
implementar una nueva infraestructura deberá contar con procedimientos de
seguridad para asegurar la operatividad de los equipos sin infringir alguna
ordenanza.
LEY DE PROPIEDAD INTELECTUAL
Según la Ley de propiedad intelectual sección 5 disposiciones generales
sobre ciertas obras párrafo primero “de los programas de ordenador” Art.
28 menciona que: “Los programas de ordenador se consideran obras literarias
y se protegen como tales. Dicha protección se otorga independientemente de
36
que hayan sido incorporados en un ordenador y cualquiera sea la forma en que
estén expresados, ya sea en forma legible por el hombre (código fuente) o en
forma legible por máquina (código objeto), ya sean programas operativos y
programas aplicativos, incluyendo diagramas de flujo, planos, manuales de uso,
y en general, aquellos elementos que conformen la estructura secuencian y
organización del programa”. (NACIONAL, LEY DE PROPIEDAD INTELECTUAL)
Se concluye en base a este artículo que los programas en sus diversas formas
están respaldados por la ley. Es decir que al no contar con políticas que
restrinjan la instalación de programas y los usuarios tengan accesos de
administrador puedan ejecutar un nuevo programa a un equipo de la compañía y
si este no cuenta con derechos del autor estaría involucrando de forma indirecta
a la misma.
Ley Del Sistema Nacional De Registro De Datos Públicos
Según el capítulo segundo principios generales del registro de datos
públicos Art. 4 “responsabilidad de la información” menciona que: “Las
instituciones del sector público y privado y las personas naturales que
actualmente o en el futuro administren bases o registros de datos públicos, son
responsables de la integridad, protección y control de los registros y bases de
datos a su cargo. Dichas instituciones responderán por la veracidad,
autenticidad, custodia y debida conservación de los registros. La responsabilidad
sobre la veracidad y autenticad de los datos registrados, es exclusiva de la o el
declarante cuando esta o este provee toda la información”. (Nacional C. , 2010)
Como menciona el artículo citado las organizaciones tienen la obligación de
resguardar la información sensible de sus clientes y empleados, ya que si esta
llega a caer en personas con malas intenciones pueden realizar actividades
ilícitas recayendo la responsabilidad penal bajo la fuente de la información
obtenida. El actual proyecto solventa las disposiciones requeridas con normas
que aseguran la integridad de la información.
37
Código Orgánico Integral Penal
Según el capítulo tercero “Delitos contra los derechos del buen vivir”
sección tercera Art. 229.- “Revelación ilegal de base de datos” indica lo
siguiente: “ La persona que, en provecho propio o de un tercero, revele
información registrada, contenida en ficheros, archivos, base de datos o medios
semejantes, a través o dirigidas a un sistema electrónico, informático, telemático
o de telecomunicaciones; materializando voluntaria e intencionalmente la
violación del secreto, la intimidad y la privacidad de las personas, será
sancionada con pena privativa de libertad de uno a tres años”. (Juridica, 2017)
Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será 56
sancionada con pena privativa de libertad de tres a cinco años. (Juridica, 2017)
Como se establece en el artículo en mención las consecuencias de revelación de
las bases de datos, por lo cual es necesario implementar reglas definidas
formalmente para la manipulación y obtención de estas. Este plan cuenta con
lineamientos de control para asegurar que no se cometa un delito y a su vez
informar y concienciar a cada uno de los integrantes de la compañía.
Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos
La ley de comercio Electrónico, firmas Digitales y Mensaje de Datos fue
publicada en el Registro oficial n. 557 del 17 de abril del 2002 en el cual
establece que los mensajes de datos tendrán igual valor jurídico que los
documentos escritos.
38
Según el titulo 1 “De los mensajes de datos” Capitulo 1 Art. 9 “Sobre
protección de Datos” indica lo siguiente: “Para la elaboración, transferencia o
utilización de bases de datos, obtenidas directa o indirectamente del uso o
transmisión de mensajes de datos, se requerirá el consentimiento expreso del
titular de éstos, quien podrá seleccionar la información a compartirse con
terceros”. (NACIONAL)
“La recopilación y uso de datos personales responderá a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitución Política
de la República y esta ley, los cuales podrán ser utilizados o transferidos
únicamente con autorización del titular u orden de autoridad competente”.
(NACIONAL)
“No será preciso el consentimiento para recopilar datos personales de fuentes
accesibles al público, cuando se recojan para el ejercicio de las funciones
propias de la administración pública, en el ámbito de su competencia y cuando
se refieran a personas vinculadas por una relación de negocios, laboral,
administrativa o contractual y sean necesarios para el mantenimiento de las
relaciones o para el cumplimiento del contrato”. (NACIONAL)
En base a la citación del artículo se concluye que la Ley contiene los principios
jurídicos que inspeccionaran las trasmisiones de los mensajes de datos, además
de atribuir total valor y eficacia jurídica a los mensajes de datos, tanto a su
información como a su contenido general.
Menciona además que la firma electrónica tendrá validez cuando conste como
un requisito de legalidad documental ,es decir que es viable la implementación
del plan propuesto ya que la compañía realiza transacciones de manera
electrónica con clientes y proveedores empleando la misma .En donde si no
cuenta con documentación de respaldo y procedimientos adecuados de
seguridad tendría inconvenientes en caso de presentarse algún incidente ,robo o
alteración de los diferentes mensajes de datos y firmas electrónicas empleadas.
39
PREGUNTAS CIENTÍFICAS POR CONTESTARSE
¿Constituye el plan de gestión integral de seguridad la solución a las falencias
de seguridad de la empresa International Gym Ecuaintergym S.A. en sus varios
departamentos?
¿Cómo incide la elaboración de un plan de mejoras basado en la norma ISO
27001 y las buenas prácticas de la norma ISO 27002 en la empresa
International Gym Ecuaintergym S.A.?
¿El modelo de arquitectura de seguridad planteado, simplificara la gestión
administrativa a los encargados de los distintos departamentos de la empresa
International Gym Ecuaintergym S.A.?
¿Constituye el plan de capacitación sobre las buenas prácticas de seguridad la
solución a la falta de concientización e información del personal de la empresa
International Gym Ecuaintergym S.A.?
DEFINICIONES CONCEPTUALES
Plan de Mejoras
Un plan, es un bosquejo que consiste en reunir las medidas de cambio que se
tomaran en función de los problemas ya encontrados por el auditor que las está
realizando, una vez realizado el borrador de dicho plan, las empresas u
organizaciones tienen la factibilidad de tomar decisiones para el tratamiento del
riesgo o problema, evitando así efectos mayores.
40
Checklist
Según las ISOTools define “los listados de control, listados de chequeo checklist
u hojas de verificación, siendo formatos generados para realizar actividades
respectivas, controla un listado de requisitos o recolecta datos ordenadamente y
de manera sistemática”. (ISOTools, 2018)
Por lo mostrado anteriormente un checklist es un documento con un sinnúmero
de objetivos enlistados que se debe ir marcando según se vallan cumpliendo con
los objetivos dispuestos en el documento.
Entrevista
La entrevista está dada como un intercambio de ideas entre el entrevistado y el
entrevistador la cual lleva a opiniones que se da entre dos o más personas
donde el entrevistador es el obligado a preguntar, y los demás dialogan en
cuestión al tema a tratar o planteado por el entrevistador. La entrevista sirve
también como instrumento de obtención de información.
Auditoría Interna
La Auditoría Interna es una actividad independiente y objetiva de supervisión y
consultoría diseñada para agregar valor y mejorar las operaciones de una
empresa. Ayuda cumplir objetivos aportando un enfoque sistemático y
disciplinado para evaluar y mejorar los procesos de gestión de riegos, control y
gobierno. (FinancieraEnciclopedia)
41
Evidencia
Es una muestra verificada y certera obtenida en una investigación. En auditoria
según una evidencia es necesaria para sustentar la opinión y el informe de
auditoría. Es de naturaleza acumulativa y se obtiene principalmente de la
aplicación de procedimiento de auditoria en el transcurso de auditoria. No
obstante, también puede incluir información obtenida de otras fuentes, tales
como auditorias anteriores. Información obtenida de (Normas internacionales de
Auditoria)
Políticas de Seguridad
La política de seguridad en un contexto de alto nivel que establecen los
compromisos y protocolos de gerencia con la seguridad de información.
Contiene la definición de la seguridad de información de la compañía u
organización ya establecidos.
Amenazas
Las organizaciones como tal son propensas a catástrofes o amenazas internas
que pueden afectar la producción y provocar resultados muy negativos en sus
operaciones diarias de ahí que se denomina a una amenaza como a las fallas ya
sean por virus, uso incorrecto de software, a los ingresos no autorizados,
terremotos o inundaciones, factores ambientales, etc.
Vulnerabilidad
Se puede definir la vulnerabilidad como la capacidad de una persona o sociedad
o compañía a estar propensos a sufrir un ataque internos o externos lo que
conlleva a estar expuesto frente a los riegos.
42
En vulnerabilidad informática se limita a establecer los puntos débiles de un
sistema computacional donde su seguridad informática no tiene la defensa
necesaria en caso de un ataque. (Significados, 2017)
Riesgos
Según Portada. “un riesgo es la probabilidad de que una amenaza se convierta
en un desastre, donde la vulnerabilidad o las amenazas por separados no
presentan ningún peligro. Pero si se juntan, se convierten en un riesgo de que
ocurra un desastre”, sin embargo, los riegos pueden reducirse o manejarse
usando la gestión del riesgo que permite prevenir desastre también ayuda a
practicar lo que se conoce como desarrollo sostenible. (Portada.cdr)
Hallazgos
Por lo general hallazgo viene siendo encontrar u observar algún elemento que,
hasta el momento, resultaba desconocido o estaba oculto.
Los hallazgos se denominan a las observaciones vistas por el auditor durante el
proceso de auditoría, un hallazgo puede ser evidenciado para la comprobación
de la anomalía detectada por el auditor.
Probabilidad de Ocurrencia
Se define como el hecho de que los factores de riesgo ya sea estos internos o
externos, se materialicen y que estos perjudiquen realmente a determinado
activo o proceso.
Explotación de vulnerabilidad
Se utiliza para referirse a la acción de materializar una vulnerabilidad, utilizado
normalmente para describir un software que ha sido creado para aprovechar la
vulnerabilidad para atacar un activo. La finalidad de varias de estas
explotaciones es lograr tener el control sobre el activo.
43
CAPÍTULO III
PROPUESTA TECNOLÓGICA
Para el desarrollo de este proyecto basado en la norma ISO 27001 -2013 e ISO
27002 se plantea el empleo de herramientas que serán de utilidad para
desarrollar el proceso de auditoria en los diversos departamentos de la empresa
International Gym Ecuaintergym S.A.
Además, se puede saber el estado de la seguridad de la información que tiene
la empresa en mención, en este proceso se conseguirá determinar si existe un
cumplimiento de los controles que son requeridos por la normas que se adecuan
al procedimiento a auditar.
Al momento de realizar la auditoria se identificarán hallazgos que se considere
como una amenaza la cual produzca perjuicios en la infraestructura causando la
pérdida de información, se realizarán los correspondientes informes de auditoría
especificando a la compañía los fallos que deben de proceder a corregir.
44
PROPUESTA DEL PROYECTO
Descripción De La Propuesta
La propuesta que se presentará a la empresa International Gym Ecuaintergym
S.A esta orientada en las exigencias de la misma y está alineada de acuerdo al
proceso de auditoría a ejecutar, con el empleo de diversas herramientas siendo
estas como los Checklist, trazas, informes, encuestas y otras.
Cabe mencionar que cada una de las herramientas permitirán conocer el tipo de
información que está expuesta ante una amenaza en la infraestructura
tecnológica de la empresa International Gym Ecuaintergym S.A. además se
informara acerca de posibles riesgos e incidentes de seguridad que deben ser
solventados al culminar la auditoria.
Planeación Del Proyecto
El objetivo del proyecto es:
Generar un plan de mejoras basado en la norma ISO 27001:2013 e ISO 27002
empleando herramientas adaptadas al proceso de auditoria informática de
sistemas. Permitir dejar al descubierto los puntos débiles hallados en los
distintos departamentos de la compañía International Gym Ecuaintergym S.A. y
por medio de esto lograr realizar los correspondientes informes.
Actividades realizadas:
Fase 1.- Se empezó con una reunión con los jefes de la empresa International
Gym Ecuaintergym S.A a auditar determinando los puntos importantes
mencionados por parte de ellos, además de reunir todas las exigencias del jefe
del departamento de sistemas para poder desarrollar el proceso de plan de
mejoras concerniente a la auditoria.
45
Fase 2.- Se procederá a comenzar con la auditoria informática de sistemas en
donde se identificaron los activos de la compañía en mención, se definieron los
que son más críticos; se identificó las amenazas y vulnerabilidades de los
mismos, todo esto con el uso de herramientas que obtengan la mayor cantidad
de información de los departamentos auditados, y así detectar los posibles fallos
.
Fase 3.- en esta fase se lleva a cabo una entrevista la cual es dirigida al jefe del
departamento de sistemas de la empresa International Gym Ecuaintergym S.A.
en la cual se procede a recoger la mayor cantidad de información concerniente al
proceso de evaluación de cumplimiento de las normas ISO 27001 E ISO 27002 y
a indicar las respectivas recomendaciones.
Resultados propuestos
Al momento de utilizar la norma ISO 27001 -2013 e ISO 27002 con sus
correspondientes cláusulas y controles que estén alineadas al proceso en el cual
se está generando la auditoria, se informara que la compañía en mención se
encuentra expuesta a varios riesgos y amenazas que al ser explotadas por un
atacante puede ocasionar el robo de información de carácter confidencial,
además de generar lucros económicos por medio del uso de los activos lógicos
obtenidos.
Actividades y metas
Analizar los riegos y amenazas de la empresa International Gym Ecuaintergym
S.A. dentro de los diversos departamentos con el objetivo de generar un plan de
mejoras que permita tener todas las amenazas presentes bajo control eludiendo
así accesos mal intencionados y perjuicio a la información de vital importancia.
La meta de este actual proyecto es suministrar controles sobre las
vulnerabilidades encontradas en el proceso de auditoria orientado en el
estándar de seguridad de la información ISO 27001:2013 y los lineamientos de
46
la norma ISO 27002 para evitar pérdidas de los distintos activos de la
información que afecten gravemente a los recursos financieros de la compañía.
ANÁLISIS DE FACTIBILIDAD
Luego de proceder con la reunión de los líderes de la empresa International Gym
Ecuaintergym S.A. es de vital importancia proceder con el análisis de factibilidad
del proyecto en base al plan de mejoras.
A proceder con el análisis de factibilidad se puede determinar la viabilidad del
proyecto una vez realizada la reunión con los líderes de la compañía en
mención, la factibilidad técnica, operacional, legal y económica del proyecto en
base al plan de gestión integral empleando la norma ISO 27001:2013 e ISO
27002 además se determinará el cumplimiento de las exigencias de la
propuesta.
En el actual capítulo se procederá a mencionar cada uno de los elementos
mencionados con antelación con sus correspondientes conclusiones, además se
menciona la viabilidad de la propuesta una vez finalizada la reunión con los jefes
de la empresa antes mencionada en base al plan propuesto.
Se establecerá la conclusión de la entrevista en donde se recopila la mayor
cantidad de información y se revela que no existe cumplimiento en los controles
requeridos por las normas. Es por eso que este plan propuesto se valida como
viable, una vez verificados los resultados de la auditoría realizado al
departamento de sistemas de la compañía, se determina la factibilidad
apropiada para este proyecto.
47
Factibilidad Operacional
El actual proyecto basado en el plan de gestión integral de seguridad de la
información se lo ha desarrollo con el apoyo de la compañía International Gym
Ecuaintergym S.A., brindando la facilidad de permitir el ingreso a los diversos
departamentos para proceder con la auditoria empleando herramientas para la
recopilación de información concerniente al proceso que se está auditando.
El jefe del departamento de sistemas es la persona que facilito la mayor cantidad
de información por medio de la entrevista que se crea para la adquisición de los
datos y poder determinar que controles no se están efectuando en el proceso.
Debido a que el jefe del departamento de sistemas y la gerencia general de la
compañía en mención prestaron las herramientas y brindaron las facilidades
para proceder a realizar la auditoria, y demás procesos durante toda la ejecución
del proyecto se determina que el mismo es factible operacionalmente.
Factibilidad Técnica
En la factibilidad técnica se va a detallar los diversos dispositivos que posee la
empresa International Gym Ecuaintergym S.A. en donde se va a realizar la
auditoria.
La compañía mencionada posee lo siguiente:
• Firewall PFSense en la versión 2.3.4-RELEASE-p1 para un procesador
(amd64) instalado en un servidor el cual está integrado con un
procesador Intel i7-7700 de 3.40 GHz con 8Gb de memoria RAM y 1 TB
de disco duro.
• Servidor de Base de datos Windows Server 2012 R2 Standard sin
licencia en un equipo HP con un procesador Intel i7 7700 3.40 GHz con
12 Gb de memoria RAM y 1 TB de disco duro.
• Servidor SAP en Windows Server 2012 R2 sin licencia en un equipo HP
con un procesador Intel i5 7400 con 8 Gb de RAM Y 1 TB de disco duro.
48
• Servidor Proxy montado en CentOS 7 con un equipo HP procesador Intel
core i5 7400 con 6 Gb de RAM y 500 Gb de disco duro.
• Servidor FTP montado en CentOS 7 con un procesador Intel core i5 -
4300U CPU 3.40 GHzcon 8 Gb de memoria RAM y 1 TB de disco duro.
• Servidor para la aplicación Odoo instalado en un sistema operativo
CentOS 7 con un procesador Intel Xeon E 31220 con 8GB de memoria
RAM y con 1 TB de disco duro.
• Central telefónica Elastix 2.5 el cual tiene un procesador Intel Pentium
G2020 con 6 Gb de memoria RAM 500 Gb de almacenamiento y con una
tarjeta OpenVox A800P35 8 PUERTOS ANÁLOGOS PCI BASE CARD +
3 FXS + 5 FX0,
• Servidor de Correo Gmail empresarial instalado en un SUSE Linux
Enterprise 10 con 4 Gb de Memoria RAM y 1 Tb de disco duro.
• 1 Switch Cisco modelo DNL14330KQ de 24 puertos 10/100
• 1 Switch RouterBoard Mikrotik modelo CRS226-24C-2S+IN de 24 puertos
de capacidad.
• 4 switches de gama baja D-link 10/100 con capacidad de 8 puertos estos
son utilizados para hacer cascadas entre las diferentes áreas.
• Router inalámbrico N 300 MBPS de 3 antenas TP-LINK TL-WR845N.
Debido a el número cuantioso de dispositivos que posee el área de sistemas
siendo la misma responsable de estos se estima que International Gym
Ecuaintergym S.A posee una infraestructura técnicamente viable para desarrollar
la auditoria alineada en las normas ISO 27001-2013 e ISO 27002.
Factibilidad Legal
En el desarrollo de este proyecto sobre el Plan de gestión integral alineado en la
norma ISO 27001 -2013 y las directrices de la norma ISO 27002 de Seguridad
de la Información, no infringe las leyes actuales de la República del Ecuador,
esto se debe a que el plan propuesto tiene como único objetivo el
reconocimiento de riesgos y amenazas presentes en el Departamento de
sistemas de la Empresa International Gym Ecuaintergym S.A.
49
El Plan propuesto tendrá como tarea aplicar un correcto tratamiento a los fallos
encontrados en el transcurso de la auditoría, esta planificación es de gran
importancia para informar acerca de cada una de las falencias que mantiene la
organización en mención.
Por lo expuesto con antelación, este proyecto asocia las leyes que son
aplicables al mismo para una estricta ejecución de las mismas. Se afirma
entonces que es viable ya que no infringe una ley actual.
Factibilidad Económica
En la factibilidad económica se define los valores originados a lo largo del
desarrollo de la propuesta, y que se necesitan para poder hacer el proyecto de
auditoria, ya que la auditoria consiste en analizar las vulnerabilidades de la
compañía en base a las normas ISO 27001-2013 e ISO 27002, a continuación
se menciona por medio de una tabla los costos ocasionados en el desarrollo de
este proyecto.
Tabla 5 presupuesto del proyecto.
Recursos Detalle Cantidad Valor unitario
Total
Recursos varios
Alimentación (3 meses) Movilización (3 meses)
1 $15 $260
Recursos de software
Servicio de internet (3 meses)
1 $35 $105
otros Copias, esferos 500 $0.02 $10
Total $375
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Para la ejecución del proyecto se prevé una inversión de 375 dólares
americanos, tomando como referencia valores estimados. Se concluye entonces
que la realización de este proyecto tiene un costo irrisorio comparado con los
50
múltiples beneficios que aportara a la compañía International Gym Ecuaintergym
S.A.
Se definirá en la tabla a continuación los valores que ocasiona el desarrollo de
una auditoria informática de sistemas para la elaboración del plan de mejora en
caso de que la empresa desee implementar el proyecto.
Tabla 6 Valores de implementación del Plan de mejoras
Recursos Detalle Valor unitario
Subtotal
Valor de auditoria 2 meses
$550 por mes $1100
Valor de la consultoría
1 mes
$550 por mes $550
Valor de elaboración del Plan de mejora
1 mes $600 por mes $600
Recursos varios Documentos sobre ISO 27001 e ISO 27002
$10 $200
Total $2450
Fuente: (Advisera) Elaborado por: Carlos Chávez – Juan Andrade
Para la creación de este presupuesto se ha tomado valores de referencia de la
página Advisera dedicada a realizar auditoría, en donde se concluye que para la
implementación del plan propuesto se deberá destinar la cantidad de 2450
dólares americanos. Con lo cual se confirma la poca inversión que se tiene al
implementar esta propuesta.
Por lo antes expuesto, se puede determinar que el desarrollo de este proyecto
de titulación es económicamente factible.
51
ETAPAS DE LA METODOLOGÍA DEL PROYECTO
En base a la metodología tipo cascada se define las siguientes etapas:
• Etapa de levantamiento de Información
• Etapa de análisis
• Etapa de diseño
• Etapa de propuesta
Etapa de levantamiento de Información
Esta primera etapa se inicia con la elaboración de mecanismos que han sido
creados en base a cada uno de los requerimientos que establece las normas
ISO 27001 e ISO 27002 que se aportan para el levantamiento de información y
las diferentes entrevistas ejecutadas en los empleados de la compañía además
de utilizar los lineamientos de la metodología Magerit.
Metodología Magerit
Esta metodología es empleada para analizar y gestionar los riesgos basados en
los activos que se hallaron.
En la identificación de los activos fue necesario establecer para cada uno de
ellos una serie de características que se encuentran descritas en MAGERIT,
como código, nombre, descripción, tipo (Según clasificación propuesta por
Magerit en el Libro II: Catalogo de elementos), unidad responsable (se identifica
la unidad encargada de que el activo funcione correctamente, y la unidad que lo
utiliza), persona responsable (es necesario identificar la persona responsable por
la integridad del activo y aquella que se encarga de operarlo), localización y
cantidad. El formato para la Identificación de los activos se presenta en el Anexo
J.
52
Tabla 7 Inventario de activos
Tipo de Activo Activo Cantidad
Datos y/o
Información
Credenciales de cada uno de los servidores de la empresa, Información contenida en las bases de datos sobre usuarios, estados financieros, portafolio de clientes, etc.
1
Software SAP
ERP (SIESA CLOUD SBS) 2
Hardware Servidor SAP
Servidor de Base de Datos
Servidor FTP
Servidor Proxy
Servidor Elastix
Servidor De Correo Gmail empresarial
Servidor de Intranet Odoo
Pc de escritorio
Portátiles
Switch CISCO
Switch RouterBoard Mikrotik
Switches de gama baja D-link
Router inalambrico TP-LINK
Firewall
Impresora Epson Expression XP 231
1
1
1
1
1
1
1
10
3
1
1
4
1
1
2
Redes de
Comunicaciones
Intranet
Red telefónica
Red Inalámbrica
1
1
1
Soportes de
Información
Disco Duro Externo Adata hv620 USB 1
Equipamiento
Auxiliar
Ups
Fibra Óptica
Aire Acondicionado
4
1
4
Instalaciones Cuarto de Telecomunicaciones 1
Personal Ingenieros del área de sistemas 3
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
53
Etapa de Análisis
En base al levantamiento de información anterior se determina los activos
críticos y se los valoriza hallando así sus vulnerabilidades, riesgos y amenazas.
Análisis de activos críticos de información
Después de clasificar los activos, se procedió con una valoración enfocándose
en los diversos parámetros de valoración establecidos, como las características
o atributos que hacen valioso un activo y se utilizan para valorar las
consecuencias de la materialización de una amenaza.
La valoración que recibe un activo en una cierta dimensión es la medida del
perjuicio para la organización si el activo se ve dañado en dicha dimensión. En el
presente análisis se define las dimensiones integridad, disponibilidad,
confidencialidad, autenticidad y trazabilidad para determinar la importancia del
activo para la compañía.
Análisis de la valoración de Activos Críticos
A continuación, se menciona la valoración de los activos críticos los cuales
fueron determinados por la encuesta realizada al jefe de sistemas, la misma que
se encuentra como Anexo C en este documento. Siendo estos la fuente de
almacenamiento, procesamiento y transporte de la información, y en caso de
presentarse fallas en los mismos perjudicarían el normal desempeño de las
actividades de la compañía.
Se dio a conocer al jefe de sistemas en qué radicaba la actividad y luego se le
realizo los interrogantes definidos en la tabla “Parámetros de valoración” y como
respuesta a cada uno de sus ítems, él tenía que escoger uno de los rangos
definidos en la tabla “nivel de valoración” para hallar el valor de todos los activos
en las diversas dimensiones.
54
A continuación, se realizó una breve descripción de los términos empleados en
la Evaluación de los Activos, con el objetivo de permitir su comprensión:
Tabla 8 abreviaturas
Abreviaturas
C: Confidencialidad
I: Integridad
D: Disponibilidad
A: Autenticidad
T: Trazabilidad
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade En esta tabla se definen los términos a emplear para la valoración y sus
respectivas abreviaturas.
Tabla 9 Parámetros de Valoración
Parámetros de
valoración Descripción
Disponibilidad ¿Qué grado de perjuicio representaría para la compañía que el
activo no se encontrara disponible?
Integridad ¿Qué grado de perjuicio tendría para la empresa que la
información fuera cambiada sin ningún control?
Confidencialidad ¿Qué grado de perjuicio tendría para la compañía que la
información sea conocida por personas sin autorización?
Autenticidad ¿Qué grado de perjuicio tendría para la compañía que quien
accede al servicio no es realmente quien se cree?
Trazabilidad ¿Qué grado de perjuicio tendría para la compañía que no exista
constancia del uso del servicio o el acceso a la información?
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
55
En la tabla expuesta se mencionan cada uno de los parámetros de valoración
con su respectiva pregunta que ayudara a determinar el grado de perjuicio cada
parámetro.
Tabla 10 Nivel de Valoración.
Ítem Descripción
1 Perjuicio Muy bajo
2 Perjuicio
Bajo
3 Perjuicio Medio
4 Perjuicio alto
5 Perjuicio muy alto
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
En esta tabla se define mediante dígitos del 1 al 5 el nivel de valoración que se
le da a los activos.
Tabla 11 Evaluación de los activos.
ACTIVOS CANTIDAD VALORES Y RANGOS EN ESCALA DE 1-
5
C I D A T
Servidor SAP 1 3 5 2 5 5
Servidor de base de
datos
1 5 5 5 5 5
Servidor FTP 1 5 3 4 5 5
Servidor Proxy 1 4 5 5 2 5
Servidor Elastix 1 3 5 2 5 5
Servidor De Correo
Gmail empresarial
1 5 5 5 5 5
Servidor de Intranet
Odoo
1 5 3 4 5 5
56
Switch CISCO 1 5 5 5 5 5
Firewall 1 5 5 5 5 5
Credenciales de srv
e información de las
BD
1 4 5 5 2 5
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
En esta tabla se verifica a cada uno de los activos críticos de la compañía
evaluados en base a los parámetros de valoraciones explicados anteriormente.
Análisis de vulnerabilidades, riesgos y amenazas basadas
en los distintos activos críticos
La siguiente tabla muestra a todos los activos críticos de la empresa a los
cuales se les reconoció su respectiva vulnerabilidad, riesgo y se les asocio una
posible amenaza que puede perjudicarlos. Para este análisis de utilizo un
Ckecklist realizado al jefe de sistemas el cual se encuentra como Anexo K en
este documento.
Tabla 12 Activos críticos de la empresa
Activo Vulnerabilidad Amenazas Riesgos
Servidor de
base de
datos
Humedad, incorrecta
clasificación de la
información, Incorrecta
concienciación de
seguridad, Incorrecta
gestión de cambios,
No se encuentran
actualizadas las
políticas de seguridad
informática.
Se presente un
corto circuito, No
se controlen
correctamente las
diversas
situaciones que
perjudiquen los
equipos y la
información.
Incorrecta
actualización y
eliminación de
registros,
accesos ilícitos
a la base de
datos por medio
de servidores de
aplicaciones.
57
Servidor
Proxy
Electricidad estática,
ataque de denegación
de servicio porque
maneja
incorrectamente las
peticiones SSL/TLS a
servidores externos
Daños a los
equipos, bajo
rendimiento de los
equipos
Interceptación
de tráfico,
denegación de
servicio DOS
Servidor FTP Falta de control en las
copias de datos,
Incorrecta
concienciación de
seguridad
Acceso no
autorizado,
análisis de trafico
Almacenamiento
masivo de
información
irrelevante, de
archivos con
contenido
sensible
Servidor
Elastix
Carencia de
redundancia,
incorrecta capacitación
de los empleados,
ataque remoto que
ocasione llamadas a
cualquier destino
Interceptación de
información
Caída del
sistema
afectando el
rendimiento de
la organización,
los operadores
no poseen la
capacidad de
proporcionar
información
requerida por el
cliente
Servidor De
Correo Gmail
empresarial
incorrecta capacitación
de los empleados,
creación de nuevos
usuarios con derechos
de super administrador
Corte del
suministro
eléctrico,
condiciones
inadecuadas de
humedad
Uso de
ingeniería social
hacia los
empleados por
parte de los
piratas
informáticos.
58
Servidor de
Intranet
Odoo
Incorrecta supervisión
de empleados,
Incorrecta
capacitación de los
empleados
Errores de
monitorización,
errores de
configuración
Mal manejo del
sistema
informático,
Servidor SAP No se encuentran
actualizadas las
políticas de seguridad
informática.
Caída del sistema
por agotamiento
de recursos
Mal manejo del
sistema
informático
Switch Cisco Incorrecta protección
física, Incorrecto
control del acceso
físico, Mantenimiento
incorrecto, Incorrecta
gestión de la red
Daños
permanentes en
los equipos, No se
atiende
eficazmente las
fallas reincidentes
debido a que no
existe un registro.
Daños
permanentes en
los equipos
Switch
RouterBoard
Mikrotik
Diseño de red no
documentado, lo que
dificulta la
identificación de
puntos exactos en
caso de ocurrir daños
en la red.
Detención parcial
de determinadas
actividades de la
empresa
Daños
permanentes en
los equipos
switches de
gama baja D-
link
Electricidad estática,
polvo, incorrecta
protección física
Corte del
suministro
eléctrico,
condiciones
inadecuadas de
temperatura
Daños
permanentes en
los equipos
Firewall Carencia de control en
los datos de entrada y
salida, falta de política
Captura de datos,
accesos ilícitos a
los sistemas
abrir un puerto o
permitir que un
programa se
59
de control de accesos,
falta de política para el
uso de la criptografía,
falta de redundancia,
Incorrecta gestión de
contraseñas,
incorrecta
concienciación de
seguridad
informáticos,
identificación de
información
sensible, caída del
sistema afectando
el rendimiento de
la compañía
comunique a
través de este
Credenciales
de servidores
e información
de las BD
Inadecuada
concienciación de
seguridad
hurto de
credenciales por
parte de los
piratas
informáticos, fugas
de información
Perdida de
información
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Luego de determinar las vulnerabilidades, riesgos y amenazas se concluye que
es necesaria la implementación de controles que resguarden los activos, para
prevenir la materialización de las diferentes amenazas y así solucionar los
distintos inconvenientes e incidentes.
Evaluación Del Riesgo
Para evaluar el riesgo de los activos críticos de la compañía en mención , se
tomó como guía la siguiente matriz de riesgo, en la cual se establece una escala
de valoración de 1 a 4 para determinar la probabilidad de explotación de una
vulnerabilidad y la probabilidad de ocurrencia de una amenaza:
60
GRÁFICO: 6 Matriz de Riesgo
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
El Riesgo se obtendrá con el producto de la multiplicación Probabilidad de
ocurrencia de una Amenaza por la probabilidad de explotación de una
vulnerabilidad, como se ve en la grafico está agrupado en tres rangos, y para su
mejor visualización, se aplica diferentes colores.
• Bajo Riesgo = 1 – 6 (verde)
• Medio Riesgo = 8 – 9 (amarillo)
• Alto Riesgo = 12 – 16 (rojo)
La siguiente tabla se empleó para definir el nivel de probabilidad de explotación
de las vulnerabilidades y la probabilidad de ocurrencia de las amenazas y luego
para establecer el nivel de riesgo al que están expuestos los activos críticos de
la compañía . Este proceso se realizó por medio de una entrevista con el jefe de
Sistemas de la compañía en mención.
61
Tabla 13 Determinación de nivel de riesgo de los activos
Activo Vulnerabilidad P.
E
Amenazas P.
O
Nivel de
riesgo
Servidor e
base de
datos
Humedad,
incorrecta
clasificación de la
información,
Incorrecta
concienciación de
seguridad,
Incorrecta gestión
de cambios, No
se encuentran
actualizadas las
políticas de
seguridad
informática.
3 Se presente un
corto circuito, No se
controlen
correctamente las
diversas situaciones
que perjudiquen los
equipos y la
información.
3 9
Servidor
Proxy
Electricidad
estática, ataque
de denegación de
servicio porque
maneja
incorrectamente
las peticiones
SSL/TLS a
servidores
externos
3 Daños a los
equipos, bajo
rendimiento de los
equipos
3 9
Servidor
FTP
Falta de control
en las copias de
datos, Incorrecta
concienciación de
seguridad
4 Acceso no
autorizado, análisis
de trafico
4 16
62
Servidor
Elastix
Carencia de
redundancia,
incorrecta
capacitación de
los empleados,
ataque remoto
que ocasione
llamadas a
cualquier destino
3 Interceptación de
información
4 12
Servidor De
Correo
Gmail
empresarial
incorrecta
capacitación de
los empleados,
creación de
nuevos usuarios
con derechos de
super
administrador
3 Corte del suministro
eléctrico,
condiciones
inadecuadas de
humedad
3 9
Servidor de
Intranet
Odoo
Incorrecta
supervisión de
empleados,
Incorrecta
capacitación de
los empleados
3 Errores de
monitorización,
errores de
configuración
3 9
Servidor
SAP
No se encuentran
actualizadas las
políticas de
seguridad
informática.
4 Caída del sistema
por agotamiento de
recursos
2 8
Switch Cisco Incorrecta
protección física,
Incorrecto control
del acceso físico,
3 Daños permanentes
en los equipos, No
se atiende
eficazmente las
4 12
63
Mantenimiento
incorrecto,
fallas reincidentes
debido a que no
existe un registro.
Switch
RouterBoard
Mikrotik
Diseño de red no
documentado, lo
que dificulta la
identificación de
puntos exactos en
caso de ocurrir
daños en la red.
4 Detención parcial
de determinadas
actividades de la
empresa
4 16
switches de
gama baja
D-link
Electricidad
estática, polvo,
incorrecta
protección física
3 Corte del suministro
eléctrico,
condiciones
inadecuadas de
temperatura
3 9
Firewall Carencia de
control en los
datos de entrada
y salida, falta de
política de control
de accesos, falta
de política para el
uso de la
criptografía, falta
de redundancia,
Incorrecta gestión
de contraseñas,
3 Captura de datos,
accesos ilícitos a
los sistemas
informáticos,
identificación de
información
sensible, caída del
sistema afectando
el rendimiento de la
compañía
2 6
Credenciales
de
servidores e
información
de las BD
Inadecuada
concienciación de
seguridad
2 hurto de
credenciales por
parte de los piratas
informáticos, fugas
de información
4 8
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
64
Luego de la evaluación del nivel de riesgo se concluye que los diversos activos
críticos de la información están en un nivel de riesgo muy alto, por lo cual se
deben generar políticas y procedimientos que solventen las diferentes amenazas
y vulnerabilidades para así mitigar el riesgo.
Por último, se elaboró una gráfica para indicar el porcentaje por cada uno de los
niveles de riesgo obtenidos en el paso anterior con la finalidad de exponer en
qué nivel de riesgo se encontraban los activos de información de la compañía en
ese instante.
GRÁFICO: 7 Porcentaje de Nivel de riesgo.
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Como se verifica en la gráfica el nivel de riesgo de los activos se encuentra en
un nivel de riesgo medio y alto en su totalidad, encontrándose el 60% de los
activos en un nivel de riesgo medio y el 40% en un riesgo alto.
Etapa de Diseño
Para el diseño del plan de gestión integral de seguridad de la información, se
comenzó con el estudio de los riesgos de los diversos activos de la información y
con la verificación de cada objetivo de control para establecer la aplicabilidad,
estipulando los requerimientos y los procesos a seguir para definir la propuesta
0%
20%
40%
60%
80%
100%ALTO RIESGO
MEDIO RIESGOBAJO RIESGO
Porcentaje de Riesgo de los Activos
65
de mejora en los controles basándose en los lineamientos de las normas ISO
27001 e ISO 27002.
Para la ejecución de esta etapa se utilizó un Checklist para verificar el
cumplimento de los dominios de la norma ISO 27002 en la compañía, el cual se
encuentra como Anexo L en este documento.
Análisis de buenas prácticas de Seguridad de la Información
Luego de verificar el cumplimiento de los controles de la norma ISO 27001 e ISO
27002, se realiza un análisis de las buenas prácticas basado en los principales
dominios de la norma ISO 27002, el cual brinda recomendaciones para asegurar
la integridad y disponibilidad de la información.
Se realiza un breve análisis de las políticas de seguridad de la información que
se crearon para asegurar los activos de información de la Empresa International
Gym Ecuaintergym S.A., por tal motivo solo se explicaran los puntos principales
de las políticas, se ha tomado en consideración siete dominios de la norma ISO
27002, los cuales se mencionan a continuación:
• Políticas de seguridad de la información
• Gestión de activos
• Control de acceso
• Seguridad física y ambiental
• Seguridad en la operativa
• Seguridad en las comunicaciones
• Adquisición, desarrollo y mantenimiento de los sistemas de información.
66
Política de seguridad.
Este dominio establece como exigencia la oportuna creación, aceptación,
divulgación, comunicación y aplicación del conjunto de políticas de seguridad de
la información con la finalidad de preservar la confidencialidad, integridad,
disponibilidad, autenticidad y trazabilidad de la información, así mismo aconseja
su revisión de manera frecuente por lo menos una vez anualmente, en caso de
implantarse una nueva herramienta tecnológica en la compañía o se presenten
nuevos incidentes de seguridad, esto se realiza con el objetivo de asegurar la
operatividad de las políticas.
Gestión de activos.
Ésta dominio atribuye a la compañía a reconocer y clasificar sus activos de
información, establecer las respectivas responsabilidades para su correcta
protección, adicional se define formalmente las prácticas para su uso correcto y
el regreso de los activos por parte de los empleados al culminar su relación
laboral.
Además, define reglas para la gestión de los soportes de almacenamiento
definiendo procedimientos a seguir para evitar el robo, alteración, eliminación de
la información por medio de la protección de puertos USB, el análisis automático
de malware y el bloqueo automático de archivos ejecutables.
Control de acceso.
Establece varios procedimientos y controles para evitar el acceso de personas
sin autorización a las instalaciones de la compañía, a las áreas de
procesamiento de información y a los varios departamentos. Entre algunos de
los controles definidos se hallan: autorizaciones para el ingreso a áreas críticas,
ingresar información de acceso en bitácoras, contar con un sistema lector de
tarjetas o biométrico para controlar el acceso a las instalaciones y a los cuartos
de telecomunicaciones.
67
De igual manera regla la correcta gestión de cuentas de usuario desde su
creación hasta su des habilitación definiendo parámetros de acceso para el
personal de acuerdo con sus funciones, el cambio de contraseña a determinados
intervalos de tiempo para reducir el riesgo de que hackers ingresen a los
sistemas y a la información reservada de la compañía.
Seguridad física y ambiental.
Regula el ingreso a las instalaciones de la compañía, las instalaciones de
procesamiento de información y a las oficinas, define medidas para la protección
de los activos de información tales como: el uso de extintores, sistemas de
alarma contra incendios, cámaras de seguridad, el registro de ingreso y salida de
los visitantes de compañía y del acceso del personal autorizado a las
instalaciones donde se encuentran los datos, la revisión frecuente de los
soportes eléctricos y ambientales para garantizar el óptimo funcionamiento de
los equipos de computación localizados en los cuartos de telecomunicaciones, la
instalación adecuada del cableado para evitar posibles interferencias en la
transmisión de la información, el mantenimiento preventivo y correctivo de los
dispositivos informáticos.
Seguridad en la operativa.
Se enfoca en varios controles que permiten la detección, prevención y
recuperación en caso de que el sistema sea infectado por programas maliciosos,
por medio de la implementación de antivirus con licencia con un control de
acceso a su configuración para evitar que el personal no autorizado la modifique.
Además, tiene en cuenta la adecuada gestión de las respectivas copias de
seguridad de la información de manera que se garantice su integridad y debida
protección durante la generación, transporte y almacenamiento.
68
Seguridad en las telecomunicaciones.
Establece la segmentación física y lógica de la red de datos en función de los
usuarios y los servicios con la finalidad de mejorar el tráfico de la red y de esta
manera darles mayor rendimiento a las distintas operaciones de la compañía. La
división de estos segmentos debe ser realizada por medio de dispositivos
perimetrales e internos de enrutamiento (Switch o Router), a los cuales se les
debe verificar los puertos físicos y lógicos que no están en uso para tenerlos
restringidos y monitoreados con el fin de prevenir accesos no autorizados.
Por otra parte, define el uso de acuerdos de transferencias seguras de la
información entre las dependencias de la empresa y con entes externos por los
diferentes canales de transmisión a fin de garantizar su confidencialidad e
integridad.
Adquisición, desarrollo y mantenimiento de los sistemas
de información.
Su finalidad es controlar los entornos de desarrollo y soporte de los sistemas
durante todo su ciclo de vida asegurando la seguridad de la información.
Además, define procedimientos para controlar la realización de las respectivas
pruebas de funcionamiento de forma que no perjudiquen el normal desempeño
de las actividades de la compañía.
Cumplimiento.
Para ejecutar el cumplimiento a las políticas de seguridad de la información se
establecen ciertas sanciones que varían de acuerdo con el nivel de afectación
que le produzca a la compañía, estas pueden ser llamados de atención por
escrito, suspensiones, destitución y sanciones de tipo legal que conllevarían al
pago de multas y pena de prisión.
69
Etapa de la Propuesta
Una vez finalizada las etapas anteriores se propone los procesos de gestión de
riesgos que se encuentran en el Anexo G de este documento, alineado a las
necesidades de la compañía .Adicional a eso se crea la propuesta del manual de
buenas prácticas donde se definen los requerimientos, controles y
procedimientos necesarios que se enfoquen a implementar los procesos y
buenas prácticas de manera correcta, el cual se encuentra como Anexo H.
En esta etapa también se crea un plan de concienciación y capacitación sobre
las buenas prácticas de las normas ISO 27001 e ISO 27002 para informar a los
interesados, este plan se encuentra como Anexo I en este proyecto.
ENTREGABLES DEL PROYECTO
• Análisis Gap o de Brecha (Anexo A)
• Inventario de los activos de la información (Anexo B)
• Encuesta para determinar Activos Críticos (Anexo C)
• Diseño de red de mejora de seguridad lógica (Anexo D)
• Cronograma del Proyecto (Anexo E)
• Modelo de Carta de Solicitud de Aceptación (Anexo F)
• Procesos de Gestión de Riesgos de Seguridad (Anexo G)
• Manual de buenas prácticas (Anexo H)
• Plan de Capacitación y Concienciación (Anexo I)
• Formato de Identificación de los Activos (Anexo J)
• Formato de reconocimiento de Amenazas y Vulnerabilidades (Anexo k)
• Checklist de evaluación de la norma ISO 27002 (Anexo L)
70
Informe de los hallazgos encontrados
En este punto se muestran las reuniones y todas las observaciones que se
realizaron en el proceso de auditoría.
Observación 1
GRÁFICO: 8 Reunión con el gerente general para exponer propuesta
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Observación 2
GRÁFICO: 9 Reunión con el jefe sistemas general para definir el alcance de
propuesta
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
71
Observación 3
GRÁFICO: 10 Análisis de los controles
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Observación 4
GRÁFICO: 11 Expectación de los servidores del área
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
72
Observación 5
GRÁFICO: 12 Revisión del checklist de cumplimiento de normas
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
Observación 6
GRÁFICO: 13 Anotación de hallazgos
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
73
Observación 7
GRÁFICO: 14 Expectación de equipos de redes y telecomunicaciones
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
74
Evidencias
Diseño de red para mejorar la seguridad Perimetral
GRÁFICO: 15 Distribución física de los diferentes departamentos
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
Distribución de los diferentes departamentos que componen la compañía en esta
gráfica se aprecia cómo se encuentran distribuidos los diferentes departamentos
de la empresa en ellos se puede notar que no hay una buena organización cada
departamento mantiene servidores a su cargo como lo son el servidor de base
de datos en RR.HH. y el servidor web en el departamento de cobranza este
punto de vulnerabilidad da un libre acceso a la información por lo que los mismos
están propensos a que agentes externos realicen un ataque informático y
puedan perjudicar a los mismo.
75
GRÁFICO: 16 Diseño de Red Lógico Actual de la Compañía
Elaborado por: Carlos Chávez – Juan Andrade
Fuente: (Gym, 2018)
Si se llegase a perder conectividad con el proveedor de servicio de Internet la
empresa estaría incomunicada y paralizaría sus funciones al no tener contactos
con los proveedores, clientes y empleados, no podrá tener acceso a los diversos
servidores causando retraso y pérdida en sus procesos comerciales.
Sus empleados no podrán ejercer sus funciones perjudicando el desempeño y
credibilidad de la compañía. También se observa que en este diseño todo pasa
por un solo nodo de distribución de estar sin servicio todos los departamentos
quedara sin comunicación.
Además, se verifica que algunos servidores están en los distintos departamentos
de manera desordenada exponiéndose a que personal no autorizado pueda
manipularlos.
76
GRÁFICO: 17 Diseño de red de mejora de seguridad lógica
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
En esta nueva propuesta se corrige algunas falencias entre ellas.
• Tener un proveedor de respaldo con esto en caso de caída del
proveedor de servicio el de remplazo se activará y tomará la posta del
servicio.
• Implementar una distribución de red en modo jerárquico y así mantener el
control. Con el modo jerárquico todos los Switch estarán conectados a los
de distribución y con respaldo de conexión.
• Con la nueva distribución y ubicación correcta de servidores se mejora la
seguridad de la información de dichos servidores, implementando una
DMZ para acceso a servidores de mayor frecuencia para mejorar la
disponibilidad, implementar VLAN para cada departamento para tener
redes lógicas independientes ,1 IPS para prevenir y detectar intrusos
77
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Por medio de una tabla se seleccionará con un X las políticas que son aplicables
al proyecto en base al plan de gestión integral de seguridad de la información
validando en plan propuesto en el inicio del proyecto.
Tabla 14 Análisis de Aplicabilidad
DOMINIOS
MUY APLICABLE
APLICABLE ESCASAMENTE APLICABLE
NADA APLICABLE
Políticas de Seguridad de la Información
X
Organización de la Seguridad de la Información
X
Seguridad de los Recursos Humanos
X
Gestión de Activos X
Control de acceso X
Criptografía X
seguridad física y del entorno
X
Seguridad de las Operaciones
X
Seguridad de las Comunicaciones
X
Adquisición, Desarrollo y Mantenimiento de Sistemas
X
Relación con los Proveedores X
Gestión de incidentes de seguridad de la información
X
Aspectos de seguridad de la información de la gestión de continuidad de negocio
X
Cumplimientos
X
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
78
PROCESAMIENTO Y ANÁLISIS
Evaluación de cumplimiento de los controles de la norma
ISO 27002
Se procede a realizar la evaluación de cumplimiento de los controles
seleccionados de la norma ISO 27002, se realizó en base a las respuestas
obtenidas por medio del uso de un checklist y debido a las mismas se estipuló el
grado de madurez de los controles, por medio del modelo de madurez de
procesos definidos en la norma ISO 21827:2008.
Adicional a eso, se determinó una evaluación para cada uno de los dominios y
objetivos de control para determinar cuáles de los evaluados en la Empresa
International Gym Ecuaintergym S.A son los más críticos o que no se han
aplicado de manera apropiada.
Con la finalidad de permitir la comprensión del proceso realizado, se realizó una
breve descripción de los términos empleados en el desarrollo de esta actividad.
Tabla 15 Grado de Madurez.
GRADO DE MADUREZ
ISO/IEC 21827:2008
Criterio Porcentaje Descripción
No cumple 0% No existen controles de seguridad de la información implantados.
Cumple parcialmente
20%
Hay métodos para llevar a cabo algunas acciones en determinado instante. Estos mecanismos no se adoptaron formalmente y/o no se les realizo seguimiento y/o no se comunicaron correctamente.
Coordinado 40% Los controles de seguridad de la información instaurados son planificados, implementados y repetibles.
Bien definido 60%
Los controles de seguridad de la información además de estar planificados son documentados, aprobados e implementados en toda la compañía.
79
Cuantitativamente controlado
80%
Los controles de seguridad de la información se encuentran sometidos a validación para determinar su grado de efectividad.
Cumple satisfactoriamente
100%
Los controles de seguridad de la información determinados son inspeccionados frecuentemente y actualizados. Estos evidencian un progreso al instante de evaluar el impacto.
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
En esta tabla 16 se verifica el criterio que se ha utilizado para determinar el
grado de madurez de los controles y una breve descripción de estos.
Tabla 16 Herramienta de Evaluación bajo la norma ISO 27002
CRITERIOS DE
EVALUACIÓN
AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN
No cumple 0%
Cumple parcialmente
20%
Herramienta de Evaluación y Diagnostico bajo la Norma ISO/IEC 27002
Coordinado 40%
Bien definido 60%
Cuantitativamente controlado
80%
Cumple satisfactoriamente
100%
Norma Sección Cumplimiento
5 POLÍTICAS DE SEGURIDAD 0%
5,1 Directrices de la Dirección en seguridad de la información 0%
5.1.1 Conjunto de políticas para la seguridad de la información
No cumple 0%
5.1.2 Revisión de las políticas para la seguridad de la información
No cumple 0%
6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
3%
6,1 Organización interna 8%
6.1.1 roles y responsabilidades para la seguridad de la información
No cumple 0%
6.1.2 separación de deberes Cumple parcialmente
20%
6.1.3 contacto con las autoridades No cumple 0%
6.1.4 contacto con grupos de interés especial Cumple parcialmente
20%
6.1.5 seguridad de la información en la gestión de proyectos
No cumple 0%
6,2 Dispositivos moviles y teletrabajo 0%
6.2.1 Políticas para dispositivos móviles No cumple 0%
6.2.2 Teletrabajo No cumple 0%
80
8 GESTION DE ACTIVOS 3%
8,1 Responsabilidad sobre los Activos 10%
8.1.1 Inventario de activos. Cumple parcialmente
20%
8.1.2 Propiedad de los activos. Cumple parcialmente
20%
8.1.3 Uso aceptable de los activos. No cumple 0%
8.1.4 Devolución de activos. No cumple 0%
8,2 Clasificación de la Informacion 0%
8.2.1 Directrices de clasificación. No cumple 0%
8.2.2 Etiquetado y manipulado de la información. No cumple 0%
8,3 Manejo de los soportes de almacenamiento 0%
8.3.1 Gestión de soportes extraíbles. No cumple 0%
8.3.2 Eliminación de soportes. No cumple 0%
8.3.3 Soportes físicos en tránsito No cumple 0%
9 CONTROL DE ACCESO 17%
9,1 Requisitos de negocio para el control de accesos
10%
9.1.1 Política de control de accesos. No cumple 0%
9.1.2 Control de acceso a las redes y servicios asociados.
Cumple parcialmente
20%
9,2 Gestión de acceso de usuario. 12%
9.2.1 Gestión de altas/bajas en el registro de usuarios. Cumple parcialmente
20%
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
Cumple parcialmente
20%
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
No cumple 0%
9.2.5 Revisión de los derechos de acceso de los usuarios.
No cumple 0%
9.2.6 Retirada o adaptación de los derechos de acceso Cumple parcialmente
20%
9,3 Responsabilidades de los usuarios
9.3.1 Uso de información de autenticación secreta Cumple parcialmente
20%
9,4 Control de acceso a sistemas y aplicaciones 28%
9.4.1 Restricción del acceso a la información. Cumple parcialmente
20%
9.4.2 Procedimientos seguros de inicio de sesión. Cumple satisfactoriamente
100%
9.4.3 Gestión de contraseñas de usuario. No cumple 0%
9.4.4 Uso de herramientas de administración de sistemas.
Cumple parcialmente
20%
9.4.5 Control de acceso al código fuente de los programas
No cumple 0%
10 CRIPTOGRAFIA 0%
10,1 Controles criptográficos 0%
10.1.1 Política sobre el uso de controles criptográficos No cumple 0%
10.1.2 Gestión de llaves No cumple 0%
11 SEGURIDAD FISICA Y AMBIENTAL 1%
11,1 Áreas Seguras 0%
11.1.1 Perímetro de seguridad física. No cumple 0%
81
11.1.2 Controles físicos de entrada. No cumple 0%
11.1.3 Seguridad de oficinas, despachos y recursos. No cumple 0%
11.1.4 Protección contra las amenazas externas y ambientales.
No cumple 0%
11.1.5 El trabajo en áreas seguras. No cumple 0%
11.1.6 Áreas de acceso público, carga y descarga No cumple 0%
11,2 Seguridad de los Equipos 2%
11.2.1 Emplazamiento y protección de equipos. No cumple 0%
11.2.2 Instalaciones de suministro. No cumple 0%
11.2.3 Seguridad del cableado. Cumple parcialmente
20%
11.2.4 Mantenimiento de los equipos. No cumple 0%
11.2.5 Salida de activos fuera de las dependencias de la empresa.
No cumple 0%
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
No cumple 0%
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
No cumple 0%
11.2.8 Equipo informático de usuario desatendido. No cumple 0%
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
No cumple 0%
12 SEGURIDAD EN LA OPERATIVA 20%
12,2 Protección contra código malicioso 20%
12.2.1 Controles contra el código malicioso. Cumple parcialmente
20%
12,3 Copias de seguridad 20%
12.3.1 Copias de seguridad de la información Cumple parcialmente
20%
13 SEGURIDAD EN LAS TELECOMUNICACIONES 0%
13,1 Gestión de la seguridad en las redes. 0%
13.1.1 Controles de red. No cumple 0%
13.1.2 Mecanismos de seguridad asociados a servicios en red.
No cumple 0%
13.1.3 Segregación de redes. No cumple 0%
13,2 Intercambio de información con partes externas.
0%
13.2.1 Políticas y procedimientos de intercambio de información.
No cumple 0%
13.2.2 Acuerdos de intercambio. No cumple 0%
13.2.3 Mensajería electrónica. No cumple 0%
13.2.4 Acuerdos de confidencialidad y secreto No cumple 0%
14
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN.
0%
14,2 Seguridad en los procesos de desarrollo y soporte 0%
14.2.1 Política de desarrollo seguro de software. No cumple 0%
14.2.6 Seguridad en entornos de desarrollo. No cumple 0%
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
No cumple 0%
14.2.9 Pruebas de aceptación No cumple 0%
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
82
En esta tabla 16 se evalúa los diversos dominios con sus respectivos objetivos
de control en base a sus criterios de valoración que están representados en
porcentajes que van desde el 0 % al 100%.
Tabla 17 Cumplimiento de Objetivos de Control
Norma Objetivos de Control Estado
5.1 Directrices de la Dirección en seguridad de la información 0%
6.1 Organización interna 8%
6.2 Dispositivos móviles y teletrabajo 0%
8.1 Responsabilidad sobre los Activos 10%
8.2 Clasificación de la Información 0%
8.3 Manejo de los soportes de almacenamiento 0%
9.1 Requisitos de negocio para el control de accesos 10%
9.2 Gestión de acceso de usuario. 12%
9.4 Control de acceso a sistemas y aplicaciones 28%
10.1 Controles criptográficos 0%
11.1 Áreas Seguras 0%
11.2 Seguridad de los Equipos 11%
12.2 Protección contra código malicioso 20%
12.3 Copias de seguridad 20%
13.1 Gestión de la seguridad en las redes. 0%
13.2 Intercambio de información con partes externas. 0%
14.2 Seguridad en los procesos de desarrollo y soporte 0%
14.3 Datos de prueba 0%
16.1 Gestión de incidentes de seguridad de la información 0%
17.1 Continuidad de la seguridad de la información 0%
17.2 Redundancia 0%
18.1 Cumplimiento de los requisitos legales y contractuales 4%
18.2 Revisiones de la seguridad de la información 0%
Cumplimiento 9%
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
En esta tabla 17 se visualiza el nivel de cumplimiento en porcentajes del 0% al
100 % de los diversos objetivos de control en base a la herramienta de
valoración que se utilizó anteriormente. Como se verifica la mayoría de los
controles se encuentran en un nivel de madurez de No Cumple.
83
Tabla 18 Cumplimiento de Dominios
Norma Dominios Estado
5 Políticas de seguridad 0%
6 Organización de la seguridad 3%
8 Gestión de activos 3%
9 Control de acceso 17%
10 Criptografía 0%
11 Seguridad física y ambiental 6%
12 Seguridad en la operativa 20%
13 Seguridad en las telecomunicaciones 0%
14 Adquisición, desarrollo y mantenimiento de
los sistemas de información 0%
16 Gestión de incidentes de seguridad de la
información 0%
17 Aspecto de seguridad de la información de la
gestión de continuidad del negocio 0%
18 Cumplimiento 2%
Cumplimiento General 7%
Elaborado por: Carlos Chávez – Juan Andrade Fuente: (Gym, 2018)
En esta tabla 18 se visualizar el nivel de cumplimiento en porcentajes del 0% al
100 % de los diversos dominios de la norma ISO 27002 en base a la herramienta
de valoración que se utiliza anteriormente. Con la cual se concluye que el
máximo nivel de madurez alcanzado es el de Cumple Parcialmente.
Presentación de resultados
Luego de evaluados los diferentes controles se presenta en el grafico 18 los
resultados obtenidos tras la evaluación de los controles de la Norma ISO 27002
en la Empresa International Gym Ecuaintergym S.A. Estos se presentan de la
siguiente manera: inicialmente en la tabla 19 el porcentaje de cumplimiento de
cada uno de los niveles de madurez de los diversos controles evaluados, se
realiza una gráfica 18 con el porcentaje de cumplimiento de cada uno de los
dominios, se presenta una descripción del porcentaje de cumplimiento de los
controles evaluados categorizándolos por objetivos de control.
84
Tabla 19 Nivel madurez
Nivel de Madures Total, de controles N ° Controles
No Cumple 114 64
Cumple Parcialmente 114 14
Coordinado 114 1
Bien Definido 114 1
Cuantitativamente Controlado 114 1
Cumple Satisfactoriamente 114 1
Elaborado por Carlos Chávez-Juan Andrade Fuente: (Gym, 2018)
GRÁFICO: 18 Estado de madurez de los controles
Fuente: Datos de Investigación
Elaborado por Carlos Chávez-Juan Andrade
Esta grafica 19 muestra el estado de madurez de los 114 controles que exige la
norma ISO 27002, además de indicar la cantidad de controles que tienen los
diferentes criterios de madurez. Se verifica que sobrepasan los 60 controles los
cuales tienen un nivel de madurez en estado de no cumple.
020406080
100120No Cumple
Cumple Parcialmente
Coordinado
Bien Definido
CuantitativamenteControlado
CumpleStisfactoriamente
ESTADO DE MADUREZ DE LOS CONTROLES
85
GRÁFICO: 19 Nivel de Cumplimiento por Dominio
Fuente: Datos de Investigación
Elaborado por Carlos Chávez-Juan Andrade
Este gráfico 19 resume el estado de madurez para cada dominio en base a los
parámetros de cumplimiento que van del 0 % al 100 %, como se verifica en la
mayoría de los dominios su criterio de madurez es no cumple ya que no
sobrepasa el 20 % y siendo lo recomendable el 100 % donde cumpliría
satisfactoriamente
0%10%20%30%40%50%60%70%80%90%
100%Politicas de Seguridad
Organización de laSeguridad
Gestion de Activos
Control de Acceso
Criptografia
Seguridad Fisica YAmbiental
Seguridad en la Operativa
Seguridad en lasTelecomunicaciones
Adquisicion, desarrollo ymantenimiento de los
sistemas de la informacion
Gestion de incidentes deseguridad de la
informacion
Aspectos de Seguridad dela Informacion de la
gestion de continuidad
Cumplimiento
Nivel de cumplimiento por dominio
86
GRÁFICO : 20 Nivel de Cumplimiento por Objetivo de Control
Fuente: Datos de Investigación
Elaborado por Carlos Chávez-Juan Andrade
Este gráfico 20 resume el estado de madurez para cada Objetivo de control en
base a los parámetros de cumplimiento que van del 0 % al 100 %, como se
verifica en la mayoría de los objetivos de control su criterio de madurez es no
cumple ya que solo un objetivo se encuentra en el nivel de cumple parcialmente
llegando a un 20%.
0%10%20%30%40%50%60%70%80%90%
100%
Directrices de la Direccionde seguridad
organización InternaDispositivos Mobiles y
teletrabajoResposabilidad sobre los
Activos
Clasificacion de laInformacion
Manejo de los Soportesde Almacenamiento
Requisitos de negociopara el control de acceso
Gestion de acceso aUsuarios
Control de acceso aSistemas y Aplicaciones
Controles deCriptograficos
Areas SegurasSeguridad de los Equipos
Proteccion Contra codigoMalicioso
Copias de Seguridad
Gestion de la seguridaden las redes
Intercambio deInformacion con partes…
Seguridad en los Procesosde desarrollo y soporte
Datos de Prueba
Gestion de incidentes deseguridad de la…
Continuidad de laseguridad de la…
Redundancia
Cumplimientos de losrequisitos legales
Revision de la seguridadde la informacion
Nivel de cumplimiento por Objetivo de Control
87
CAPITULO IV
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO
Tabla 20 Criterios de Aceptación
Fuente: Datos de Investigación
Elaborado por Carlos Chávez-Juan Andrade
CRITERIO ALCANCE AFIRMATIVA INDIFERENTE NEGATIVA
Los resultados de la auditoria se
los informará al jefe del
departamento de sistemas para
así llegar a implementar el plan de
gestión integral de seguridad de la
información
X
Se planificará y brindará
capacitaciones acerca de las
buenas prácticas para la
manipulación de la información
para mitigar los grados de riesgos
y amenazas
X
Cada uno de los informes de la
auditoria se los respaldará con sus
correspondientes hallazgos
X
Mencionar los diversos puntos que
son vulnerables a riesgos y
amenazas en la compañía
X
88
CONCLUSIONES
Finalizado el proyecto de titulación se concluye con lo siguiente:
• Por medio de la determinación de los activos críticos de información
de la empresa International Gym Ecuaintergym S.A. se concluye que
posee una serie de factores que ponen en riesgo la integridad de los
activos de la información, siendo estos la falta de controles en el
acceso a los equipos y servicios, la manipulación incorrecta de los
activos ,el ingreso de personas sin autorización a áreas de
procesamiento de datos sensibles de la compañía y teniendo un nivel
de perjuicio alto en las operaciones en caso de materializar alguna
vulnerabilidad ,adicional a eso la falta de condiciones físicas
adecuadas producen daños permanentes en los equipos ,no existe
una correcta identificación de los activos de la información lo cual
produce pérdida de tiempo en la búsqueda de datos.
• Con el análisis de las buenas prácticas de seguridad de la información
para solventar los puntos débiles de seguridad se determinó cuáles de
ellas son aplicables a la propuesta presentada con el objetivo de que
la empresa International Gym Ecuaintergym S.A. mantenga un nivel de
seguridad optimo previniendo incidentes de seguridad de la
información.
• Por medio de la propuesta de los procesos de gestión de riesgos de
seguridad se identificó que controles son necesarios para reducir el
riesgo detectado, reconociendo cada una de las posibles amenazas que
perjudiquen los activos de la información. Determinando la estrategia
para mitigar los riesgos por medio del establecimiento de medidas de
seguridad.
89
• Al elaborar el plan de mejoras para la empresa International Gym se
podrá contar con políticas que aseguren la disponibilidad, accesibilidad
e integridad de la información, estableciendo formalmente
responsabilidades y procedimientos sobre los diversos activos de la
información para la correcta ejecución de las buenas prácticas de
seguridad de la información.
• Con la elaboración del plan de capacitación sobre las buenas prácticas
de seguridad se podría informar y concienciar a los empleados de la
compañía International Gym Ecuaintergym S.A. sobre la correcta
ejecución de las normas y procedimientos que se encuentren
establecidos en el plan de mejoras para así evitar incidentes por falta
de información.
RECOMENDACIONES
• Se recomienda generar mecanismos y normas que protejan los activos
críticos de la información en base a las normas ISO 27001 e ISO
27002 con el objetivo de reducir los riesgos eminentes en los activos
de la compañía, establecer controles y parámetros de acceso de
manera personal para cada usuario.
• Se debe verificar correctamente las buenas prácticas de seguridad con
la finalidad de tener mayor protección a los activos de la información
de la compañía, luego realizar un seguimiento a estos controles,
verificar su nivel de efectividad y realizar las mejoras continuas para
así aplicar los controles en base a las necesidades de la compañía.
• Revisar la implementación de procesos de gestión de riesgos de manera
regular y ejecutar un análisis de riesgos tomando en consideración la
seguridad implementada y la frecuencia de las amenazas y
vulnerabilidades.
90
• Se recomienda implementar el plan de mejoras para que sirva como
modelo a seguir y que sea una guía de buenas prácticas para
resguardar los activos de la información de las diversas amenazas.
• Se recomienda informar por medio del plan de capacitación acerca de
las políticas de seguridad de la información sobre las normas ISO
27001 e ISO 27002 a los empleados de la compañía para así realizar
de forma adecuada los procedimientos establecidos en los controles.
91
BIBLIOGRAFÍA
500, N.-E. (2013, Octubre 15). Normas internacionales de Auditoria. Retrieved from
icac.meh.es: http://www.icac.meh.es/NIAS/NIA%20500%20p%20def.pdf
ACIS. (2016). Encuesta Nacional de Seguridad Informatica. Retrieved from
http://www.acis.org.co/fileadmin/Revista_10 1/investigacion.pdf
Advisera. (n.d.). 27001 Academy. Retrieved from
https://advisera.com/27001academy/es/precios/
CNT. (2017). CNT sala de prensa. Retrieved from http://corporativo.cnt.gob.ec/la-
gestion-de-seguridad-de-la-informacion-de-la-cnt-obtiene-certificacion-
internacional/
Cordero Torres, G. (2015). Estudio comparativo entre las metodologías MAGERIT y
CRAMM, utilizadas para análisis y gestión de riesgos de seguridad de la
información. Cuenca, Azuay, Ecuador.
Dynamic, A. I. (2016, 07). ISO 27001:2013 Gestion de Seguridad de la Informacion.
Retrieved from
http://www.intedya.com/productos/seguridad%20en%20la%20informacion%20
y%20tecnolog%C3%ADa/ISO%2027001/07%202016%20ISO%2027001_%20PIC_
%20ed00.pdf
Ecuador Contable. (2017). Retrieved from
https://www.ecuadorcontable.com/consulta/biblioteca-virtual/normas-iso
Excellence, I. T. (2017, 08 10). Blog especializado en Sistemas de gestion de Seguridad de
la Informacion. Retrieved from http://www.pmg-ssi.com/2017/08/que-objetivo-
persigue-la-seguridad-de-la-informacion/
FinancieraEnciclopedia. (2018, 05 07). enciclopediafinanciera. Retrieved from
https://www.enciclopediafinanciera.com/auditoria/auditoria-interna.htm
ISO 27000.ES. (n.d.). Retrieved from http://www.ISO27000.es
ISO Online Browsing Plataform (OBP). (n.d.). Retrieved from
https://www.iso.org/obp/ui#iso:std:iso-iec:ts:17021:-2:ed-1:v1:es
ISO Tools. (n.d.). Retrieved from https://www.isotools.org/2018/03/08/que-es-un-
checklist-y-como-se-debe-utilizar/
ISOTOOLS. (2017). Retrieved from https://www.pmg-ssi.com/2017/09/situacion-norma-
iso-27001-sudamerica/
ISOTools. (2018, MArzo 8). ISOTools. Retrieved from
https://www.isotools.org/2018/03/08/que-es-un-checklist-y-como-se-debe-
utilizar/
92
Juridica, I. (2017, 04 2). CODIGO ORGANICO INTEGRAL PENAL REPUBLICA DEL ECUADOR.
Retrieved from http://www.informatica-juridica.com/codigo/codigo-organico-
integral- penal/
koneggui. (n.d.). Retrieved from http://koneggui.com.ec/gestion-de-la-calidad/calidad-
iso-9001-2008
Mega, G. P. (2009). Metodologia de Implantacion de un SGSI en un grupo empresarial
jerarquico: Tesis de Mestria (Ingenieria en Computacion). Universidad de la
Republica, 186.
MINTIC. (n.d.). FORTALECIMIENTO DE LA GESTION TI. Retrieved from
http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
Nacional, A. (n.d.). Constitucion del Ecuador. Retrieved from
http://www.asambleanacional.gov.ec/documentos/constitucion_de_
bolsillo.pdf
Nacional, C. (2010, 03 24). LEY DEL SISTEMA NACIONAL DE REGISTRO DE DATOS (Ley No.
2002-67). Retrieved from
http://www.wipo.int/edocs/lexdocs/laws/es/ec/ec090es.pdf
Nacional, C. (n.d.). Educacion Superior. Retrieved from
https://www.educacionsuperior.gob.ec/wp-
content/uploads/downloads/2014/09/LOTAIP.pdf
NACIONAL, C. (n.d.). LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y
MENSAJES DE DATOS (Ley No. 2002-67). Retrieved from
http://www.redipd.org/legislacion/common/legislacion/ecuador/ecuador_ley_2
002-67_17042002_comelectronico.pdf
NACIONAL, C. (n.d.). LEY DE PROPIEDAD INTELECTUAL. Retrieved from
https://www.correosdelecuador.gob.ec/wp-
content/uploads/downloads/2015/05/LEY_DE_PROPIEDAD_INTELECTUAL.pdf
NACIONAL, C. (n.d.). LEY ESPECIAL DE TELECOMUNICACIONES REFORMADA . Retrieved
from http://www.arcotel.gob.ec/wp-
content/uploads/downloads/2013/07/ley_telecomunicaciones_reformada.pdf
Portada.cdr. (n.d.). Portada.cdr. Retrieved from
https://www.unisdr.org/2004/campaign/booklet-spa/page9-spa.pdf
Proaño, R. (2015, 04 30). ESCUELA SUPERIOR POLITECNICA NACIONAL. Retrieved from
DSPACE JSPUI: http://bibdigital.epn.edu.ec/handle/15000/10488
Publica, M. d. (2012). Portal de Administracion Electronica . Retrieved from
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.W2Pju1VKjIU
93
Rodriguez, J. C. (2016, 07 09). repositorio Universidad Catolica. Retrieved from
http://hdl.handle.net/10983/7847
Romero Maldonado, J. (2015, 11 20). Utmach. Retrieved from
http://repositorio.utmachala.edu.ec/handle/48000/3378
Significados. (2017, Noviembre 03). Significados. Retrieved from
https://www.significados.com/vulnerabilidad/
Solarte, F. (2015). Metodología de análisis y evaluación de riesgos aplicados a la
seguridad informatica y de informacion . Revista Tecnologica Espol, 16.
Soloriio, M. (2013, 04 16). metodologia en cascada. Retrieved from
http://metodologiaencascada.blogspot.com/
Vasquez, S. L. (2016, 03 14). Estudio comparativo entre metodologias Microsoft Secure
Risk Management y Octave. dspace.
Vernaza, A. C. (2013). Universidad Nacional de Loja. Retrieved from
http://dspace.unl.edu.ec/jspui/handle/123456789/5228
webBlog Calidad ISO UOS Xtended Studies. (2014, 12 30). Retrieved from Historia de la
ISO: http://blogdecalidadiso.es/historia- de-la-iso/
94
ANEXOS
95
ANEXO A
Objetivo del análisis de brecha
Establecer el estado actual de madurez del nivel de seguridad interna de la
compañía International Gym Ecuaintergym S.A. en base a los controles de la
norma ISO/IEC 27001.
Objetivos Específicos
• Conocer la situación actual del nivel de seguridad interna de la empresa.
• Identificar el nivel de madurez de cada uno los controles implementados
en International Gym frente a los detallados en la norma ISO/IEC 27001.
Alcance
La presente evaluación de los controles de la norma ISO 27002 fue desarrollada
bajo los siguientes parámetros:
• La información encontrada refleja la situación actual de International
Gym.
• Se utilizará un checklist para verificar el cumplimiento de los controles.
• La evaluación por realizarse se enfoca en los objetivos de control de la
norma.
ANALISIS DE BRECHA
96
Dominios revisados
Para esta evaluación se ha tomado en consideración solo algunos de los
dominios con sus respectivos controles establecidos en la norma ISO
27001:2013, en base a las necesidades de la compañía. A continuación, se
indican los siguientes dominios a los cuales se le realizara el análisis.
• Política de Seguridad de la Información
• Control de Accesos
• Seguridad Física y Ambiental
• Seguridad en las operaciones
• Seguridad de las comunicaciones
• Adquisición, Desarrollo y Mantenimiento de Sistemas
La evaluación se realizó en base a estos seis dominios.
Análisis de Controles
Con la finalidad de proceder a evaluar los controles establecidos en
International Gym frente a los requerimientos de la norma ISO 27002, se
procede a utilizar un modelo para determinar la madurez de los controles. Este
modelo establece seis niveles de madurez los cuales se describirán a
continuación:
97
Grado de Madurez
GRADO DE MADUREZ
Criterio Porcentaje Descripción
No cumple 0% No existen controles de seguridad de la información implantados.
Cumple parcialmente
20%
Hay métodos para llevar a cabo algunas acciones en determinado instante. Estos mecanismos no se adoptaron formalmente y/o no se les realizo seguimiento y/o no se comunicaron correctamente.
Coordinado 40% Los controles de seguridad de la información instaurados son planificados, implementados y repetibles.
Bien definido 60%
Los controles de seguridad de la información además de estar planificados son documentados, aprobados e implementados en toda la compañía.
Cuantitativamente controlado
80% Los controles de seguridad de la información se encuentran sometidos a validación para determinar su grado de efectividad.
Cumple satisfactoriamente
100%
Los controles de seguridad de la información determinados son inspeccionados frecuentemente y actualizados. Estos evidencian un progreso al instante de evaluar el impacto.
El siguiente análisis del grado de madurez de los controles se desarrolló por
dominio y los controles de los objetivos de control.
Herramienta de Evaluación bajo la norma ISO 27002
CRITERIOS DE EVALUACIÓN
AUDITORIA EN SEGURIDAD DE LA INFORMACIÓN
No cumple 0%
Cumple parcialmente
20%
Herramienta de Evaluación y Diagnostico bajo la Norma ISO/IEC 27002
Coordinado 40%
Bien definido 60%
Cuantitativamente controlado
80%
Cumple satisfactoriamente
100%
98
Norma Sección Cumplimiento
5 POLITICAS DE SEGURIDAD 0%
5,1 Directrices de la Dirección en seguridad de la información 0%
5.1.1 Conjunto de políticas para la seguridad de la información
No cumple 0%
5.1.2 Revisión de las políticas para la seguridad de la información
No cumple 0%
6 ORGANIZACION DE LA SEGURIDAD DE LA
INFORMACION 3%
6,1 Organización interna 8%
6.1.1 roles y responsabilidades para la seguridad de la información
No cumple 0%
6.1.2 separación de deberes Cumple
parcialmente 20%
6.1.3 contacto con las autoridades No cumple 0%
6.1.4 contacto con grupos de interés especial Cumple
parcialmente 20%
6.1.5 seguridad de la información en la gestión de proyectos
No cumple 0%
6,2 Dispositivos moviles y teletrabajo 0%
6.2.1 Políticas para dispositivos móviles No cumple 0%
6.2.2 Teletrabajo No cumple 0%
8 GESTION DE ACTIVOS 3%
8,1 Responsabilidad sobre los Activos 10%
8.1.1 Inventario de activos. Cumple
parcialmente 20%
8.1.2 Propiedad de los activos. Cumple
parcialmente 20%
8.1.3 Uso aceptable de los activos. No cumple 0%
8.1.4 Devolución de activos. No cumple 0%
8,2 Clasificación de la Informacion 0%
8.2.1 Directrices de clasificación. No cumple 0%
8.2.2 Etiquetado y manipulado de la información. No cumple 0%
8,3 Manejo de los soportes de almacenamiento 0%
8.3.1 Gestión de soportes extraíbles. No cumple 0%
8.3.2 Eliminación de soportes. No cumple 0%
8.3.3 Soportes físicos en tránsito No cumple 0%
9 CONTROL DE ACCESO 17%
9,1 Requisitos de negocio para el control de accesos
10%
9.1.1 Política de control de accesos. No cumple 0%
9.1.2 Control de acceso a las redes y servicios asociados.
Cumple parcialmente
20%
9,2 Gestión de acceso de usuario. 12%
9.2.1 Gestión de altas/bajas en el registro de usuarios. Cumple
parcialmente 20%
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
Cumple parcialmente
20%
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
No cumple 0%
9.2.5 Revisión de los derechos de acceso de los usuarios.
No cumple 0%
9.2.6 Retirada o adaptación de los derechos de acceso Cumple
parcialmente 20%
99
9,3 Responsabilidades de los usuarios
9.3.1 Uso de información de autenticación secreta Cumple
parcialmente 20%
9,4 Control de acceso a sistemas y aplicaciones 28%
9.4.1 Restricción del acceso a la información. Cumple
parcialmente 20%
9.4.2 Procedimientos seguros de inicio de sesión. Cumple
satisfactoriamente 100%
9.4.3 Gestión de contraseñas de usuario. No cumple 0%
9.4.4 Uso de herramientas de administración de sistemas.
Cumple parcialmente
20%
9.4.5 Control de acceso al código fuente de los programas
No cumple 0%
10 CRIPTOGRAFIA 0%
10,1 Controles criptográficos 0%
10.1.1 Política sobre el uso de controles criptográficos No cumple 0%
10.1.2 Gestión de llaves No cumple 0%
11 SEGURIDAD FISICA Y AMBIENTAL 1%
11,1 Áreas Seguras 0%
11.1.1 Perímetro de seguridad física. No cumple 0%
11.1.2 Controles físicos de entrada. No cumple 0%
11.1.3 Seguridad de oficinas, despachos y recursos. No cumple 0%
11.1.4 Protección contra las amenazas externas y ambientales.
No cumple 0%
11.1.5 El trabajo en áreas seguras. No cumple 0%
11.1.6 Áreas de acceso público, carga y descarga No cumple 0%
11,2 Seguridad de los Equipos 2%
11.2.1 Emplazamiento y protección de equipos. No cumple 0%
11.2.2 Instalaciones de suministro. No cumple 0%
11.2.3 Seguridad del cableado. Cumple
parcialmente 20%
11.2.4 Mantenimiento de los equipos. No cumple 0%
11.2.5 Salida de activos fuera de las dependencias de la empresa.
No cumple 0%
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
No cumple 0%
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
No cumple 0%
11.2.8 Equipo informático de usuario desatendido. No cumple 0%
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
No cumple 0%
12 SEGURIDAD EN LA OPERATIVA 20%
12,2 Protección contra código malicioso 20%
12.2.1 Controles contra el código malicioso. Cumple
parcialmente 20%
12,3 Copias de seguridad 20%
12.3.1 Copias de seguridad de la información Cumple
parcialmente 20%
13 SEGURIDAD EN LAS TELECOMUNICACIONES 0%
13,1 Gestión de la seguridad en las redes. 0%
13.1.1 Controles de red. No cumple 0%
13.1.2 Mecanismos de seguridad asociados a servicios No cumple 0%
100
en red.
13.1.3 Segregación de redes. No cumple 0%
13,2 Intercambio de información con partes externas.
0%
13.2.1 Políticas y procedimientos de intercambio de información.
No cumple 0%
13.2.2 Acuerdos de intercambio. No cumple 0%
13.2.3 Mensajería electrónica. No cumple 0%
13.2.4 Acuerdos de confidencialidad y secreto No cumple 0%
14
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN. 0%
14,2 Seguridad en los procesos de desarrollo y soporte 0%
14.2.1 Política de desarrollo seguro de software. No cumple 0%
14.2.6 Seguridad en entornos de desarrollo. No cumple 0%
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
No cumple 0%
14.2.9 Pruebas de aceptación No cumple 0%
En esta tabla se evalúa los diversos dominios con sus respectivos objetivos de
control en base a sus criterios de valoración que están representados en
porcentajes que van desde el 0 % al 100%.
El nivel de madurez por cada dominio y los controles fue interpretado por medio
de grafico tipo araña como se muestra a continuación:
Estado de Madures de los Controles
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
020406080
100120No Cumple
Cumple Parcialmente
Coordinado
Bien Definido
CuantitativamenteControlado
CumpleStisfactoriamente
ESTADO DE MADUREZ DE LOS CONTROLES
101
Esta grafica muestra el estado de madurez de los 114 controles que exige la
norma ISO 27002, además de indicar la cantidad de controles que tienen los
diferentes criterios de madurez. Se verifica que sobrepasan los 60 controles los
cuales tienen un nivel de madurez en estado de no cumple.
Resultados
A continuación, se mencionan los resultados obtenidos en el cumplimiento de
los controles de la norma ISO 27002.
Controles
El siguiente gráfico resume el estado de madurez para cada dominio en base
a los parámetros de cumplimiento que van del 0 % al 100 %, como se verifica
en la mayoría de los dominios su criterio de madurez es no cumple ya que no
sobrepasa el 20 % y siendo lo recomendable el 100 % donde cumpliría
satisfactoriamente.
Cumplimiento de Dominio
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%Politicas de Seguridad
Control de Acceso
Seguridad Fisica YAmbiental
Seguridad en laOperativa
Seguridad en lasTelecomunicaciones
Adquisicion,desarrollo y
mantenimiento de…
Cumplimiento por dominios
Series1 Series2
102
Nivel de madurez alcanzado en International Gym frente a los dominios de
control de la Norma ISO 27002
Resultados por dominios de control
Una vez realizado el análisis se obtuvo el nivel de madurez de los principales
objetivos de control. Estos niveles de madurez están especificados en la tabla
herramienta de evaluación de la norma ISO 27002 de este documento.
Política de Seguridad de la Información
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio política de seguridad de la
información, los controles se encuentran en una valoración del 0% es decir
que están en un nivel de madurez de no cumple.
Políticas de Seguridad
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%
POLITICAS DESEGURIDAD
Conjunto de políticaspara la seguridad de la
información
Revisión de laspolíticas para laseguridad de la
información
103
Nivel de madurez alcanzado en International Gym frente al dominio A.5 Control de Acceso.
Los controles evaluados se indican a continuación:
Control Nombre del control
5.1.1 Conjunto de políticas para la seguridad de la información
5.1.2 Revisión de las políticas para la seguridad de la información
Control de acceso
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio control de acceso, los
controles se encuentran en una valoración máxima del 20% es decir que
están en un nivel de madurez de cumple parcialmente, cabe mencionar que
uno de estos controles se encuentra en un nivel de madurez de cumple
satisfactoriamente.
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
Nivel de madurez alcanzado en International Gym frente al dominio A.9 Control de Acceso.
0%
20%
40%
60%
80%
100%CONTROL DE ACCESO
Política de control deaccesos.
Control de acceso a lasredes y servicios…
Gestión de altas/bajasen el registro de…
Gestión de losderechos de acceso…
Gestión de losderechos de acceso…
Revisión de losderechos de acceso…
Retirada o adaptaciónde los derechos de…
Uso de información deautenticación secreta
Restricción del acceso ala información.
Procedimientosseguros de inicio de…
Gestión de contraseñasde usuario.
Uso de herramientasde administración de…
Control de acceso alcódigo fuente de los…
104
Los controles evaluados se indican a continuación:
Control Nombre de Control
9.1.1 Política de control de accesos.
9.1.2 Control de acceso a las redes y servicios asociados.
9.2.1 Gestión de altas/bajas en el registro de usuarios.
9.2.2 Gestión de los derechos de acceso asignados a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios especiales.
9.2.4 Revisión de los derechos de acceso de los usuarios.
9.2.5 Retirada o adaptación de los derechos de acceso
9.3.1 Uso de información de autenticación secreta
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
SEGURIDAD FÍSICA Y AMBIENTAL
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio seguridad física y ambiental,
los controles se encuentran en una valoración máxima del 20% es decir que
están en un nivel de madurez de cumple parcialmente.
Seguridad Física y Ambiental
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%SEGURIDAD FISICA Y…
Perímetro de…
Controles físicos de…
Seguridad de oficinas,…
Protección contra las…
El trabajo en áreas…
Áreas de acceso…
Emplazamiento y…
Instalaciones de…
Seguridad del cableado.
Mantenimiento de los…
Salida de activos…
Seguridad de los…
Reutilización o…
Equipo informático de…
Política de puesto de…
105
Nivel de madurez alcanzado en International Gym frente al dominio A.11
Seguridad Física y ambiental.
Los controles evaluados se indican a continuación:
Control Nombre del Control
11.1.1 Perímetro de seguridad física.
11.1.2 Controles físicos de entrada.
11.1.3 Seguridad de oficinas, despachos y recursos.
11.1.4 Protección contra las amenazas externas y ambientales.
11.1.5 El trabajo en áreas seguras.
11.1.6 Áreas de acceso público, carga y descarga
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Instalaciones de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Salida de activos fuera de las dependencias de la empresa.
11.2.6 Seguridad de los equipos y activos fuera de las instalaciones.
11.2.7 Reutilización o retirada segura de dispositivos de almacenamiento.
11.2.8 Equipo informático de usuario desatendido.
11.2.9 Política de puesto de trabajo despejado y bloqueo de pantalla
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
SEGURIDAD EN LAS OPERACIONES
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio seguridad en las operaciones,
los controles se encuentran en una valoración del 20% es decir que están en
un nivel de madurez de cumple parcialmente.
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%
SEGURIDAD EN LAOPERATIVA
Controles contra elcódigo malicioso.
Copias de seguridadde la información
106
Nivel de madurez alcanzado en International Gym frente al dominio A.12 Seguridad en las operaciones.
Los controles evaluados se indican a continuación:
control Nombre del control
12.1.1 Controles contra el código malicioso.
12.2.1 Copias de seguridad de la información
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
107
SEGURIDAD DE LAS COMUNICACIONES
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio seguridad de las
comunicaciones, los controles se encuentran en una valoración del 0% es
decir que están en un nivel de madurez de no cumple.
Seguridad en las Telecomunicaciones
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
Nivel de madurez alcanzado en International Gym frente al dominio A.13 Seguridad en las comunicaciones.
Los controles evaluados se indican a continuación:
control Nombre del control
13.1.1 Controles de red.
13.1.2 Mecanismos de seguridad asociados a servicios en red.
13.1.3 Segregación de redes.
13.2.1 Políticas y procedimientos de intercambio de información.
13.2.2 Acuerdos de intercambio.
13.2.3 Mensajería electrónica.
13.2.4 Acuerdos de confidencialidad y secreto
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%
SEGURIDAD EN LASTELECOMUNICACION
ES
Controles de red.
Mecanismos deseguridad asociados a
servicios en red.
Segregación de redes.
Políticas yprocedimientos de
intercambio de
Acuerdos deintercambio.
Mensajeríaelectrónica.
Acuerdos deconfidencialidad y
secreto
108
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Luego de la revisión de los controles se verifica el nivel de madurez en que se
encuentra la compañía con respecto al dominio Adquisición y mantenimiento
de sistemas, los controles se encuentran en una valoración del 0% es decir
que están en un nivel de madurez de no cumple.
Adquisición Mantenimiento de los Sistemas
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
Nivel de madurez alcanzado en International Gym frente al dominio A.14 Adquisición y mantenimiento de Sistemas.
Los controles evaluados se indican a continuación:
control Nombre del control
14.2.1 Política de desarrollo seguro de software.
14.2.6 Seguridad en entornos de desarrollo.
14.2.8 Pruebas de funcionalidad durante el desarrollo de los sistemas.
14.2.9 Pruebas de aceptación
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
0%
20%
40%
60%
80%
100%
ADQUISICIÓN YMANTENIMIENTO DE
LOS SISTEMAS
Política de desarrolloseguro de software.
Seguridad en entornosde desarrollo.
Pruebas defuncionalidad durante
el desarrollo de lossistemas.
Pruebas de aceptación
109
ANEXO B
Inventario de activos
Tipo de Activo Activo Cantidad
Datos y/o
Información
Credenciales de cada uno de los servidores de la empresa, Información contenida en las bases de datos sobre usuarios, estados financieros, portafolio de clientes, etc.
1
Software SAP
ERP (SIESA CLOUD SBS)
2
Hardware Servidor SAP
Servidor de Base de Datos
Servidor FTP
Servidor Proxy
Servidor Elastix
Servidor De Correo Gmail empresarial
Servidor de Intranet Odoo
Pc de escritorio
Portátiles
Switch CISCO
Switch RouterBoard Mikrotik
Switches de gama baja D-link
Router inalambrico TP-LINK
Firewall
Impresora Epson Expression XP 231
1
1
1
1
1
1
1
10
3
1
1
4
1
1
2
Redes de
Comunicaciones
Intranet
Red telefónica
Red Inalámbrica
1
1
1
Soportes de
Información
Disco Duro Externo Adata hv620 USB 1
Equipamiento
Auxiliar
Ups
Fibra Óptica
Aire Acondicionado
4
1
4
Instalaciones Cuarto de Telecomunicaciones 1
Personal Ingenieros del área de sistemas 3
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
110
ANEXO C
Encuesta para determinar los Activos Críticos
1) ¿Cuáles de los activos presentes en el inventario de los activos
representaría un perjuicio para la compañía en caso de no
encontrarse disponible?
2) ¿Cuáles de los activos presentes en el inventario de activos
representaría un perjuicio para la compañía en caso de que su
información fuese cambiada sin ningún control?
3) ¿Cuáles de los activos presentes en el inventario de activos
representaría un perjuicio para la compañía en caso de que su
información sea conocida por personas sin autorización?
4) ¿Cuáles de los activos presentes en el inventario de activos
representaría un perjuicio para la compañía en caso de que se tome
control total del activo por personas con malas intenciones?
5) ¿Cuáles de los activos presentes en el inventario de activos
representaría un perjuicio para la compañía en caso de su utilización
o acceso no quede registrado?
111
ANEXO D
Diseño de red de mejora de seguridad lógica
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
112
ANEXO E
CRONOGRAMA DEL PROYECTO
Tarea Duración Inicio Fin Recursos
PROYECTO 64 días Mar 8/5/18 Vie 10/8/18 CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO 1 22 días Mar 8/5/18 Mie 6/6/18 CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO 2 21 días Jue 7/6/18 Jue 5/7/18 CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO 3 12 días Vie 6/7/18 Lun 23/7/18 CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO 4 9 días Mar
24/7/18 Vie 3/8/18
CARLOS CHAVEZ-
JUAN ANDRADE
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
DETALLES DEL CRONOGRAMA COMPLETO
TAREA
DURACIÓN
INICIO
FIN
RECURSOS
PROYECTO 69
Días
Mar
8/5/18
Vie
10/8/18
CARLOS CHAVEZ-
JUAN ANDRADE
CAPÍTULO I 22
Dias
Mar
8/5/18
Mie
6/6/18
CARLOS CHAVEZ-
JUAN ANDRADE
PLANTAMIENTO DEL
PROBLEMA
3 días Mie
8/5/18
Jue
10/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
UBICACIÓN DEL
PROBLEMA EN UN
CONTEXTO
2 días
Vie
11/5/18
Lun
14/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
113
SITUACIÓN DE
CONFLICTOS NUDOS
CRITICOS
2 días
Mar
15/5/18
Mie
16/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
CAUSAS Y
CONSECUENCIAS DEL
PROBLEMA
3 días
Jue
17/5/18
Lun
21/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
DELIMITACION DEL
PROBLEMA 2 días mar
22/5/18
mie
23/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
FORMULACIÓN DEL
PROBLEMA
2 días Jue
24/5/18
Vie
25/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
EVALUACIÓN DEL
PROBLEMA 2 días lun
28/5/18
Mar
29/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
OBJETIVOS 2 días
mie
30/5/18
jue
31/5/18
CARLOS CHAVEZ-
JUAN ANDRADE
ALCANCE DEL PROBLEMA 2 días
Vier
1/6/18
lun
4/6/1
8
CARLOS CHAVEZ-
JUAN ANDRADE
JUSTIFICACIÓN E
IMPORTANCIA
2 días
mar
5/6/1
8
Mie
6/6/1
8
CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO II 21
Dias
Jue
7/6/18
Jue
5/7/18
CARLOS CHAVEZ-
JUAN ANDRADE
MARCO TEORICO 5 días
jue
7/6/18
mie
13/6/18
CARLOS CHAVEZ-
JUAN ANDRADE
ANTECEDENTES DEL
ESTUDIO
4 días
jue
14/6/
18
Mar
19/6/18
CARLOS CHAVEZ-
JUAN ANDRADE
FUNDAMENTACIÓN
TEÓRICA
3 días Mie
20/6/18
vie
22/6/18
CARLOS CHAVEZ-
JUAN ANDRADE
FUNDAMENTACIÓN
LEGAL 3 días lun
25/6/18
mie
27/6/18
CARLOS CHAVEZ-
JUAN ANDRADE
PREGUNTA
CIENTÍFICA A
CONTESTARSE 3 días
jue
28/6/18
lun
2/7/18
CARLOS CHAVEZ-
JUAN ANDRADE
114
DEFINICIONES
CONCEPTUALES 3 días mar
3/7/18
jue
5/7/18
CARLOS CHAVEZ-
JUAN ANDRADE
CAPITULO III 12
días
Vie
06/07/18
Lun
23/07/18 CARLOS CHAVEZ-
JUAN ANDRADE
PROPUESTA
TECNOLÓGICA 2 días vie
6/7/18
Lun
9/7/1
8
CARLOS CHAVEZ-
JUAN ANDRADE
ANÁLISIS DE
FACTIBILIDAD 3 días
mar
10/7/
18
Jue
12/7/
18
CARLOS CHAVEZ-
JUAN ANDRADE
ETAPAS DE LA
METODOLOGÍA DEL
PROYECTO 2 días
Vie
13/7/18
Lun
16/7/18
CARLOS CHAVEZ- JUAN ANDRADE
ENTREGABLES DEL
PROYECTO 2 días Mar
17/7/18
Mier
18/7/18
CARLOS CHAVEZ- JUAN ANDRADE
CRITERIOS DE
VALIDACIÓN DE LA
PROPUESTA 2 días
Jue
19/7/18
Vie
20/7/18
CARLOS CHAVEZ- JUAN ANDRADE
PROCESAMIENTO Y
ANÁLISIS 1 día Lun
23/7/18 Lun
23/7/18 CARLOS CHAVEZ- JUAN ANDRADE
CAPITULO IV 9 días Mar
24/7/18
Vie
3/8/18 CARLOS CHAVEZ-
JUAN ANDRADE
CRITERIOS DE ACEPTACIÓN DEL
PRODUCTO O SERVICIO
3 días mar
24/7/18
Jue
26/7/18
iCARLOS CHAVEZ-
JUAN ANDRADE
CONCLUSIONES Y
RECOMENDACIONES 4 días
vie
27/7/
18
mie
01/8/
18
CARLOS CHAVEZ-
JUAN ANDRADE
BIBLIOGRAFIÁ 1 día
Jue
2/8/1
8
Jue
2/8/1
8
CARLOS CHAVEZ-
JUAN ANDRADE
ANEXOS 1 día
Vie
3/8/1
8
Vie
3/8/1
8
CARLOS CHAVEZ-
JUAN ANDRADE
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
115
ANEXO F
MODELO DE CARTA DE SOLICITUD DE ACEPTACION
Guayaquil, 8 de junio del 2018
De mis consideraciones:
El motivo de esta carta es para solicitar al Lcdo. Juan Carlos Carias en su
calidad de Gerente General de la compañía International Gym
Ecuaintergym S.A para que se nos otorgue el debido permiso de realizar
la auditoria de seguridad de la información, así como de hacer pública la
propuesta del plan de mejoras de seguridad integral de la información
basado en el marco de la norma ISO 27001 y las mejores prácticas de la
norma ISO 27002 de su empresa ,para así poder brindarles posibles
soluciones a sus falencias de seguridad que podrán salvaguardar los
bienes de su compañía.
Atentamente,
Carlos Chaves Loor Juan C. Andrade Chila
116
ANEXO G
PROCESOS DE GESTION DE RIESGOS DE SEGURIDAD
Objetivos:
llevar a cabo una serie de actividades que garantizarán que se ejecuta de forma
eficaz la gestión de riesgos de seguridad.
Objetivos específicos:
la prevención de situaciones que afecten la seguridad de la información de
manera futura y así transformarlas y aprovecharlas de forma eficaz para la
mejora continua.
Procesos
• Creación de un inventario de activos.
• Identificar y realizar la valoración de las amenazas.
• Calcular el impacto de las amenazas.
• Calcular el riesgo.
• Determinar la estrategia para reducir los riesgos mediante la aplicación
de medidas de seguridad.
• Identificar las medidas de seguridad para reducir el riesgo a un nivel
razonable en base a las amenazas detectadas.
• Revisar los controles de la norma ISO 27001 en base a las necesidades
de la compañía.
• Documentar las recomendaciones y buenas prácticas de los controles.
• Revisar la implementación de los controles y ejecutar un análisis de
riesgos bajo la misma metodología tomando en consideración la
seguridad implementada y la frecuencia de las amenazas.
117
• Elaborar un Informe de gestión de riesgos.
• Elaborar un plan de tratamiento de riesgos con especial incidencia en la
trazabilidad de las medidas a implantar y los riesgos que se pretenden
mitigar.
• Apoyar la gestión del riesgo con capacitación y concienciación.
• Realizar verificaciones y validaciones de forma regular que permitan
mantener actualizada y eficaz la gestión de los riesgos implantada.
118
ANEXO H
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
MANUAL DE BUENAS PRACTICAS
EN BASE A LAS NORMAS ISO 27001:2013 E ISO 27002 PARA LA
COMPANIA INTERNATIONAL GYM ECUAINTERGYM S.A.
AUTORES:
CARLOS ERICK CHAVEZ LOOR
JUAN CARLOS ANDRADE CHILA
GUAYAQUIL – ECUADOR
2018
119
ÍNDICE
MANUAL DE BUENAS PRACTICAS ....................................................... 118
INTRODUCCIÓN ..................................................................................... 124
Objetivo............................................................................................. 124
Alcance ............................................................................................. 124
MANUAL DE BUENAS PRACTICAS ....................................................... 125
Política de seguridad de información ................................................ 125
Políticas Para la Seguridad de la Información .................................. 125
Revisión de la Política de Seguridad de Información ........................ 126
Organización de Seguridad ..................................................................... 126
Organización Interna ........................................................................ 126
Segregación de tareas ...................................................................... 127
Contacto Con Las Autoridades ......................................................... 127
Seguridad De Información En La Gestión De Proyectos .................. 127
Dispositivos Móviles Y Teletrabajo .......................................................... 127
Política de Dispositivos Móviles ........................................................ 127
Teletrabajo ........................................................................................ 127
Gestión De Activos .................................................................................. 127
Responsabilidad sobre Activos ......................................................... 127
Inventario de Activos ........................................................................ 128
Dueños de Activos ............................................................................ 128
Uso Aceptable de Activos ................................................................. 128
Clasificación de Activos .................................................................... 128
Etiquetamiento y Manejo de la Información ...................................... 128
120
Manejo de Activos de Información .................................................... 129
Manejo de Medios ............................................................................ 129
Manejo de Medios Removibles ......................................................... 129
Eliminación de medios ...................................................................... 129
Transferencia de medio físico ........................................................... 129
Control de Acceso .................................................................................... 129
Política de control de accesos .......................................................... 129
Acceso a Redes y Servicios de Redes .................................................... 129
Política de Utilización de los Servicios de Red ................................. 129
Política De Uso Adecuado De Internet .................................................... 130
Gestión de acceso a usuarios ........................................................... 130
Registro de usuario y des-registro .................................................... 130
Aprovisionamiento de acceso a usuarios´ ........................................ 130
Administración de privilegios de acceso ........................................... 130
Gestión de información de autenticación de usuarios secreta .......... 131
Revisión de derechos de acceso ...................................................... 131
Remoción o ajuste de derechos de acceso ...................................... 131
Responsabilidades de usuarios ........................................................ 131
Uso de información de autenticación secreta ................................... 131
Control de acceso a sistemas y aplicaciones ................................... 131
Restricción de acceso a la información ............................................ 132
Procedimiento de registros seguros ................................................. 132
Sistemas de gestión de contraseñas ................................................ 132
Uso de utilerías privilegiadas en los sistemas .................................. 132
Criptografía .............................................................................................. 132
Controles de criptografía................................................................... 132
121
Seguridad Física Y Ambiental .................................................................. 132
Controles Físicos de Entrada ............................................................ 133
Protección contra Amenazas externas y Ambientales ............................. 133
Trabajo en Áreas Seguras ................................................................ 133
Seguridad del Equipo ....................................................................... 133
Ubicación y protección del Equipo .................................................... 133
Suministros de Apoyo (Energía u Otros) .......................................... 133
Seguridad del Cableado ................................................................... 134
Mantenimiento de Equipo ........................................................................ 134
Remoción de Activos ........................................................................ 134
Desecho o reutilización Segura de equipo........................................ 134
Equipo de Usuario Desatendido ....................................................... 135
Política de Pantalla y Escritorio Limpio ............................................. 135
Seguridad De Las Operaciones ........................................................ 135
Gestión de Capacidades .................................................................. 135
Separación de Sitios de Desarrollo, Pruebas y Operación ...................... 135
Protección de Malware ..................................................................... 135
Respaldos ......................................................................................... 136
Registro y Monitoreo ......................................................................... 136
Registros de Eventos ........................................................................ 136
Protección de la Información de Registros ....................................... 136
Registros de Operadores y Administradores .................................... 136
Sincronización de Relojes................................................................. 136
Control de Software Operativo ................................................................. 136
Instalación de Software en Sistemas Operativos .............................. 136
Gestión de Vulnerabilidades Técnicas .............................................. 137
122
Restricción en Instalación de Software ............................................. 137
Seguridad en las Comunicaciones ........................................................... 137
Gestión de la Seguridad en Redes ................................................... 137
Controles en Redes .......................................................................... 137
Seguridad en Servicios de Redes ..................................................... 137
Segregación de Redes ..................................................................... 138
Gestión de la Seguridad en Redes ................................................... 138
Mensajería Electrónica ..................................................................... 138
Adquisición, Desarrollo y Mantenimiento del Sistema ............................. 138
Requerimientos de Seguridad para Sistemas de Información .......... 138
Seguridad en la Aplicación de Servicios en Redes Públicas ............ 138
Gestión De Incidentes De Seguridad De La Información ......................... 139
Gestión de Eventos de Seguridad de Información y Mejoras ........... 139
Responsabilidades y Procedimientos ............................................... 139
Reporte de Eventos de Seguridad de la Información ....................... 139
Reporte de las Debilidades de Seguridad de la Información ............ 139
Análisis y Decisiones sobre Incidentes de Seguridad de la
Información ....................................................................................... 139
Respuesta a Incidentes de Seguridad de la Información .................. 139
Aprendiendo de los Incidentes de Seguridad de la Información ....... 140
Colección de Pruebas .............................................................................. 140
Seguridad de la información en La continuidad de La Organización 140
Planeando la Continuidad de la Seguridad de la Información .......... 140
Implantando la Continuidad de la Seguridad de la Información ........ 140
Verificación, Revisión y Evaluación de la Continuidad de la Seguridad
de la Información .............................................................................. 140
Redundancias ................................................................................... 141
123
Cumplimiento ........................................................................................... 141
Cumplimiento de Requerimientos Legales ....................................... 141
Identificación de Legislación Aplicable ............................................. 141
Derechos de Propiedad Intelectual (IPR).......................................... 141
Protección de Registros Organizacionales ....................................... 141
Protección de Datos y Privacidad de Información Personal ............. 141
124
INTRODUCCIÓN
En International Gym Ecuaintergym S.A. se estima que la información es
fundamental y critica para el correcto desenvolvimiento de las operaciones de
la compañía es por eso se realizó este manual de buenas prácticas,
garantizando que se protegerá a la información de manera correcta, tomando
en consideración todo activo de información que se manipule, procese,
transporte o almacene en la compañía.
Este manual define controles y recomendaciones en base a las ISO
27001:2013 e ISO 27002.
Objetivo
Definir parámetros y recomendaciones estipuladas en este manual con la
finalidad de normalizar la seguridad de la información en la compañía.
Alcance
El manual de buenas prácticas basado en la seguridad de la información de la
compañía International Gym Ecuaintergym S.A., Abarca cada uno de los
requerimientos que exigen las normas ISO 27001:2013 E ISO 27002 el cual
debe ser informado para su cumplimiento por todos los que conforman y
realizan operaciones con la compañía permitiendo mejorar el nivel de
protección de seguridad de la información.
125
MANUAL DE BUENAS PRACTICAS
Política de seguridad de información En la compañía International Gym Ecuaintergym S.A. la información es un activo elemental para la ejecución de sus procesos diarios, servicios y para tomar decisiones correctas por este motivo se aconseja que exista un compromiso para la seguridad de los activos más importantes como parte de una estrategia alineada a la continuidad del negocio, la gestión de riesgos y la estandarización de una cultura de seguridad. Se debe crear un modelo de gestión integral de seguridad de la información que identifique y mitigue los diversos riesgos que enfrenta la información, lo que permitiría disminuir costos operativos y financieros, definir una cultura de seguridad que permita la ejecución de los requerimientos legales y contractuales de International Gym Ecuaintergym S.A. Los empleados de la compañía y cada uno de los que mantengan responsabilidades sobre los activos de procesamiento de la información, tienen que actuar en base a las políticas de seguridad que se creen dentro de la compañía y a los documentos relacionados con ella, con el objetivo de preservar la integridad de la información. Políticas Para la Seguridad de la Información El documento de política de seguridad debe ser aprobado por la dirección, publicado y comunicado a todos los empleados y a las partes externas interesadas. Se recomienda que el Comité general este conformado por el representante departamento de sistemas de International Gym Ecuaintergym S.A. y el encargado de la gerencia general. Este Comité debería encargarse de crear y actualizar las políticas, normas, y procedimientos concernientes a la seguridad de la Información. Además, sería encargado de planificar el análisis de riesgos, planes de contingencia y prevención de desastres. En cada una de sus reuniones predefinidas, el Comité realizara la evaluación y revisión de la situación de la compañía en cuanto a la Seguridad de la Información, incorporando el análisis de incidentes ocasionados y que perjudican la seguridad. El Área de sistemas tendrá como obligación ser el encargado de implementar y velar por el cumplimento de las políticas, normas y procedimientos de seguridad de la información en toda la organización, en conjunto con la gerencia general, además se encargará de valorar e implementar equipos de seguridad de la información, así como realizar mecanismos necesarios para así tener el entorno de la infraestructura tecnológica segura. Adicional, debe encargarse de proveer ayuda técnica y administrativa en cada uno de los asuntos concernientes con la seguridad de la información y en especial en los
126
casos de robo de información, propagación de virus, penetración de hackers, ingeniería social y otros inconvenientes. El encargado de la infraestructura tecnológica debería ser responsable de definir los controles de acceso de manera específica para cada usuario, controlar el uso de los recursos informáticos, inspeccionar los reportes de acceso y de cumplir con las tareas de seguridad concernientes a los sistemas de gestión como, por ejemplo, poner de manera inmediata los parches correctivos cuando aparezca la notificación del fabricante del producto. El encargado de la infraestructura tecnológica debería además ser el designado de comunicar al Comité Integral sobre algo suceso inesperado. Los usuarios deberían cumplir con cada una de las políticas de International Gym Ecuaintergym S.A. concernientes a la seguridad de la información. Revisión de la Política de Seguridad de Información La Gerencia General de International Gym Ecuaintergym S.A. tendrá la obligación de aprobar un Manual de Políticas de Seguridad de la Información para demostrar el compromiso y aporte en la propuesta e implementación de políticas que garanticen la seguridad de la información de la compañía. Cuando aprueben un manual de Políticas de seguridad de la Información la Gerencia General de la compañía tendrá como obligación realizar:
• La inspección y aprobación de las Políticas de Seguridad de la Información anualmente
• La fomentación activa de una cultura de seguridad.
• Permitir la capacitación acerca del Manual de Políticas de Seguridad de la información a cada uno de los miembros de la compañía.
• El abastecimiento de los recursos necesarios para implantar y preservar las políticas de seguridad de la información.
• La comprobación de la ejecución de las políticas
Organización de Seguridad
Organización Interna La Gerencia General debería definir de forma específica los lineamientos de la política de seguridad e informar su apoyo y compromiso a la seguridad de la información, publicando y preservando una política de seguridad en toda la compañía. Asignación de responsabilidades para la Seguridad de la Información Los incumplimientos a las Políticas de seguridad de la Información tendrían que ser informadas y evaluadas por medio de un mecanismo de procedimientos de mejora.
127
Segregación de tareas Se debe definir formalmente roles y obligaciones además de establecer un grado de accesibilidad y los privilegios específicos para cada usuario para que accedan a la información necesaria para cumplir con sus obligaciones, con la finalidad de evitar que usuarios sin autorización modifiquen o alteren los activos de la información de la compañía, los cuales deben estar establecidos en un documento de “Asignación de obligaciones”. Contacto Con Las Autoridades El área de Sistemas tendrá la obligación de mantener actualizado la base de datos de contacto de las autoridades y grupos de interés especial de la compañía. Seguridad De Información En La Gestión De Proyectos Para cada uno de los proyectos que se implementaran el área de sistemas debería realizar un acuerdo de confidencialidad.
Dispositivos Móviles Y Teletrabajo
Política de Dispositivos Móviles International Gym Ecuaintergym S.A. debería suministrar el ambiente propicio para el correcto uso de los dispositivos móviles de la organización que se emplean en el área de sistemas. Además, tendrá que supervisar el correcto uso de los servicios y aparatos tecnológicos provistos por la compañía, se debería realizar una inspección anualmente vía remota o de manera física. Teletrabajo International Gym Ecuaintergym S.A. debería determinar los escenarios y condiciones para la correcta implementación de conexiones remotas a la red de la compañía; además proveerá los instrumentos y controles indispensables para que las mismas se desarrollen en un ambiente seguro.
Gestión De Activos
Responsabilidad sobre Activos International Gym Ecuaintergym S.A. como dueño de la información física, además de la información producida, ejecutada, manipulada, y transitada en su red, definirá obligaciones a las áreas acerca de sus activos de información basados en la asignación de obligaciones, afirmando la ejecución de los lineamientos que permitan tener un uso correcto de ella. Los datos, documentos físicos, los sistemas, los equipos de red, equipos de trabajo, equipos móviles, redes, correo electrónico, impresoras, teléfonos, entre otros que le pertenecen a International Gym Ecuaintergym, son activos
128
de la compañía y se proveen a los usuarios para estar alineados con los objetivos del negocio, por medio de la asignación de obligaciones. Toda la información crítica de la compañía, además de los activos en donde esta se resguarda y se ejecuta deberá ser designada a un responsable, clasificados y evaluados por medio de los requerimientos definidos en la matriz de facultades. Inventario de Activos El Gerente General de International Gym Ecuaintergym S.A. ejerce como dueño de la información electrónica y física de la compañía, teniendo así la capacidad de rechazar o aceptar el acceso a su información utilizando los perfiles apropiado para esto. El área de administración debe crear un inventario de activos de información para las diversas áreas o procedimientos de la compañía, guiándose en las exigencias de las guías de organización de la información además deberá tener actualizado sus inventarios. Dueños de Activos Los dueños de los activos de la información deben inspeccionar regularmente la autenticidad de los usuarios y sus perfiles de acceso a la información. Los dueños de los activos de la información deberán estar informados que los activos de procesamiento de información de la compañía están sometidos y a auditorias. Uso Aceptable de Activos Los empleados no tienen que tomar bebidas ni comer en los sitios de trabajo, para prevenir derrames de líquidos hacia los activos de la información. Los empleados deberán tener un uso correcto de los equipos tecnológicos y móviles personales para poder realizar las actividades designadas. Clasificación de Activos La compañía establecerá los niveles más apropiados para organizar su información en base a su criticidad y creará una guía de organización de la información para que los dueños de esta la clasifiquen y asignen los controles necesarios para su seguridad. Etiquetamiento y Manejo de la Información Se tendría que establecer mecanismos de control de documentos y manipulación de información, se podría implementar una tabla para clasificar la información los cuales contendrán los activos de la información en sus diversos formatos ya sea físico o electrónico, toda la información que maneje la compañía deberá ser organizada y etiquetada.
129
Manejo de Activos de Información
• Solo el dueño de la información deberá designar o cambiar la organización de la información designada.
• Si la información es reorganizada se tendrá que establecer una fecha de efectividad.
Manejo de Medios Se deberá impedir la propagación no autorizada, transformación, exclusión de activos y el cese de las actividades cotidianas. Manejo de Medios Removibles
• Definir el correcto uso de los medios removibles durante su vida útil en la compañía.
• Tener un ambiente seguro en el uso y eliminación de los medios removibles, con la finalidad de asegurar la información correctamente.
Eliminación de medios International Gym se ocupará de preservar y asegurar los diferentes activos de información por etapas que satisfagan los requerimientos de los diferentes tipos de clientes de la compañía, garantizando la disponibilidad de cada uno de los activos de la información cuando el caso lo amerite. Transferencia de medio físico Los diversos medios que poseen información tienen que ser asegurados ante posibles accesos sin autorización, mal manejo u obstrucción en el trasporte de estos fuera de los límites físicos de la compañía.
Control de Acceso
Política de control de accesos En la empresa en mención se debe crear políticas que controlen el acceso para restringir y llevar un control contribuyendo con la gestión de acceso a los usuarios con el objetivo de garantizar la integridad y accesibilidad de los diferentes activos de información de la compañía.
Acceso a Redes y Servicios de Redes
Política de Utilización de los Servicios de Red Se necesitará controlar el acceso a los diferentes servicios que presta la red ya sea estos externos e internos. Para esto, se necesitará crear políticas para la asignación y retiro de derecho de acceso a las redes, los mismos se basarían en:
130
• Reconocer los servicios de red y redes a los que se atribuye el acceso
• Crear procedimientos y políticas de autorización para definir las personas, servicios de red y redes a los que se brindara el acceso
• Definir procedimientos y controles de gestión para asegurar el acceso a los servicios y conexiones de red
• Se necesitará restringir las opciones de elección de la vía entre la terminal de usuario y los diferentes servicios a los que usuarios cuenten con permisos de acceder por medio de la implementación de controles en varios lugares de esta.
Política De Uso Adecuado De Internet
International Gym consecuente con la importancia del uso del internet como una herramienta para el correcto desempeño de las labores cotidianas, brindara los recursos que se amerite para garantizar su disponibilidad a los usuarios que lo necesiten para el correcto desempeño de sus obligaciones en la compañía. Gestión de acceso a usuarios
• Se establecerá un procedimiento establecido de registro de usuarios para entregar y quitar el acceso a cada uno de los sistemas, servicios, servidores de información multiusuario.
• Se implementará identificadores de usuarios únicos, para así poder reconocer a cada usuario de manera única para evitar el desperdicio de recursos en la creación de varios perfiles de acceso para un mismo usuario. La utilización de identificadores grupales tienes que ser aceptados cuando el caso lo amerite para determinada labor a realizar por motivos operativos.
Registro de usuario y des registro Inspeccionar, registrar sucesos y actividades criticas realizada por cada uno de los usuarios en los sistemas. Aprovisionamiento de acceso a usuarios´ Se tendrá que registrar en el formato los nuevos accesos a cada uno de los sistemas de información de la compañía alineados a la política de control de accesos utilizando mecanismos para cada cuenta de usuario de International Gym. Administración de privilegios de acceso
• ´El área de sistemas tendrá que gestionar los accesos a los sistemas de información de cada uno de los usuarios de la compañía alineado a una matriz de facultades y una carta de asignación de compromiso.
• El área de sistemas tendrá que administrar el acceso a los sistemas de procesamiento de información.
131
Gestión de información de autenticación de usuarios secreta Cada uno de los usuarios de la compañía tendrá que proceder a cambiar sus contraseñas de los varios sistemas de información a los que mantengan acceso alineado a su matriz de facultades y la carta de asignación de obligaciones en un periodo de 30 días o cuando existan cambios en su perfil creado. Revisión de derechos de acceso El área de sistemas tendrá que inspeccionar y actualizar la base de datos de usuarios de International Gym de manera recurrente cada 30 días. Remoción o ajuste de derechos de acceso Se creará un formato para la remoción de accesos a cada uno de los sistemas de información de la compañía de los usuarios removidos alineados a las políticas de control de accesos, política de culminación o cambio de trabajo para cuentas de usuario de International Gym. Responsabilidades de usuarios Se deben establecer directrices con el objetivo de informar a los usuarios para exigir su cumplimiento, en la cual debe de contar un medio de validación y autenticación de la identidad de los usuarios y a su vez mecanismos para definir derechos de acceso a las instalaciones o servicios de procesamiento de información. Uso de información de autenticación secreta
• Se exigirá el cambio de las claves y contraseñas en los cuales mantengan los usuarios contraseñas de su autoría
• Se exigirá a los usuarios a realizar el cambio inmediato de sus credenciales al momento de su entrega inicial en el caso en que los usuarios elijan sus propias contraseñas.
Control de acceso a sistemas y aplicaciones
• Se establecerá una evaluación de riesgos con el objetivo de encontrar el mecanismo de defensa adecuado para el acceso a los sistemas.
• Se establecerá un mecanismo de conexión segura, este será implementado con el objetivo de disminuir el riesgo de acceso sin autorización.
132
Restricción de acceso a la información
Los usuarios con autorización tendrán deberán tener acceso solamente a los puertos (unidad de DVD-RW, USB y componentes similares) que sean de utilidad para el desempeño de sus funciones.
Procedimiento de registros seguros
Se definirán procedimientos para registrar a los usuarios de manera segura, dado el caso se crearía cuentas en base a una plantilla, pudiendo ser como ejemplo: Primera letra del primer nombre seguido de su apellido paterno o materno, Ejemplo: Carlos Chávez Loor = c Chávez.
Sistemas de gestión de contraseñas
Se definirá un sistema de gestión de contraseñas en la cual mantenga un control hacia el uso de ellas en los usuarios, las políticas pueden ser:
• La cuenta tiene que permanecer bloqueada si la contraseña es ingresada de manera incorrecta consecutivamente 3 veces
• El sistema notificará al usuario cuando debe de actualizar su nueva contraseña si este no lo realiza se bloqueará automáticamente.
Uso de utilerías privilegiadas en los sistemas
International Gym creara normas para el adecuado uso de herramientas de utilidad podrían cancelar los controles de seguridad de sistemas y demás aplicaciones y estas tienen que ser sigilosamente inspeccionadas, permitiendo restringir su acceso a un grupo específico de empleados.
Criptografía
En International Gym se tendrá que emplear mecanismos y sistemas de criptografía para el aseguramiento de la información alineado en un análisis de riesgo realizado, con el objetivo de mantener una correcta protección de su integridad y confidencialidad.
Controles de criptografía
Se tendrá que emplear controles criptográficos para proteger claves de acceso a datos, servicios y sistemas.
Seguridad Física Y Ambiental
International Gym brindara la implementación y asegurara el correcto desempeño de los mecanismos de seguridad física y control de acceso que protejan sus instalaciones en el área de sistemas. Además, mitigara las amenazas físicas tantas internas como externas y las condiciones medioambientales de sus departamentos.
133
Controles Físicos de Entrada
Cada uno de los lugares en donde existan sistemas de procesamiento tecnológico o de almacenamiento, tienen que estar asegurados de accesos sin autorización, empleando sistemas de autenticación, respaldo, monitoreo, ingreso de entradas y salidas.
Protección contra Amenazas externas y Ambientales
• Se tendrá que designar y aplicar protección física para alguna catástrofe ya sea esta inundación, terremoto, incendio, explosión y otro suceso inesperado generado por el hombre.
• Se tendrá que estar preparado para cualquier amenaza hacia la seguridad implementada por locales aledaños: de manera de ejemplo, un incendio en un edificio aledaño, fuga de agua en las instalaciones, o un atentado inesperado.
Trabajo en Áreas Seguras
• Se creará un diseño para la protección física y perimetral y las directrices para operar en áreas con seguridad.
• Se capacitará a los empleados sobre los mecanismos de seguridad implementados en el interior de la compañía en el caso que lo amerite.
Seguridad del Equipo
Para prevenir pérdidas, daño, robo, o mal uso de los activos y que perjudique el correcto desempeño de las actividades de la compañía, se deberá asegurar el equipo contra amenazas ambientales y físicas.
Ubicación y protección del Equipo
International Gym para prevenir la perdida, robo y mitigar el peligro de los activos del área de sistemas de la compañía que permanezcan al interior o exterior de la misma, brindara los recursos que aseguren mitigar los diversos riesgos y peligros hacia dicha área.
Suministros de Apoyo (Energía u Otros)
Se tendrá que asegurar al equipo de variaciones de voltaje y energía y otras suspensiones de servicio ocasionadas en los servicios públicos de ayuda técnica .cada uno de los servicios públicos de ayuda técnica ya sea estos :electricidad, agua, calefacción, ventilación, desagüe y aire acondicionado tienen que ser acondicionados para los sistemas que mantienen .Los servicios públicos de ayuda tienen que ser examinados de manera continua y, en base a su utilización, revisados para su correcto funcionamiento y para disminuir los diversos riesgos por un mal desempeño o falla.
134
Seguridad del Cableado
El cableado del suministro de energía, redes y telecomunicaciones que transportan datos o brindan soporte a los servicios de información tienen que protegerse sobre algún perjuicio o daño. Se tomará en cuenta las directrices siguientes para mantener seguro el cableado.
• Se planeará que las líneas de energía, redes y telecomunicaciones que se encuentran en los medios de procesamiento de información tienen que ser subterráneas o deben de contar con una protección correcta
• El cableado de las redes tiene que permanecer asegurados contra interrupciones sin autorización o perjuicios, por ejemplo, empleando un tubo o no utilizar vías de áreas públicas.
• Los cables de suministro de energía tienen que permanecer desvinculados de los cables de telecomunicaciones para prevenir la interferencia.
• Se debe implementar etiquetado de cables y equipos para disminuir errores en la utilización y uso, ya sea este un empalme de los cables de comunicaciones incorrecto.
Mantenimiento de Equipo
Se debe preservar adecuadamente el equipo para reafirmar su correcta disponibilidad .se tomará en cuenta las siguientes directrices:
• Hacer un mantenimiento correctivo y preventivo de los equipos de tecnología.
• Planificar el mantenimiento de los equipos de cómputo y de comunicación mediante un plan formal en la verificación de los equipos de manera exponencial.
Remoción de Activos
Se debe definir la permanencia de los equipos y su retiro registrando mediante una verificación su devolución
Desecho o reutilización Segura de equipo
• Se deberá verificar los elementos del equipo que mantiene medios de almacenaje para verificar que se ha procedido a retirar o sobre escribir alguna información de carácter crítico o licencia de software con anticipación a su eliminación.
• Los equipos que mantengan información confidencial pueden necesitar una verificación de riesgo para definir si los elementos tienen que ser físicamente eliminados en lugar de revisarlos y repararlos.
135
Equipo de Usuario Desatendido
El personal de tecnología deberá bloquear cada uno de los sitios de trabajo cuando un empleado culmine su relación laboral
Política de Pantalla y Escritorio Limpio
Conservar la seguridad de la información de International Gym por medio de buenas prácticas en la manipulación de documentos, medios de almacenamiento removibles y pantalla de los dispositivos de procesamiento de información.
Para garantizar la seguridad de la información crítica de la compañía, los empleados deberán realizar buenas prácticas al momento de manipular y la información, tomando en consideración los parámetros de clasificación de la información, los riesgos encontrados.
Seguridad De Las Operaciones
• Se debe definir la operación adecuada y segura de los medios de procesamiento de la información.
• Se deben delinear las responsabilidades y mecanismos para la gestión y operación de cada uno de los medios de procesamiento de la información. Esto atribuye la creación de los procedimientos de operación necesarios.
• Se deben administrar correctamente cada uno de los cambios empleados en los sistemas de información.
Gestión de Capacidades Se deben inspeccionar, definir el uso de los recursos y se deben ejecutar proyecciones de los requerimientos de capacidad en un futuro para garantizar el correcto desempeño del sistema.
Separación de Sitios de Desarrollo, Pruebas y Operación
Los diversos medios de desarrollo, prueba y operación deben permanecer separados para disminuir los riesgos de acceso sin autorización o variaciones en el sistema operacional. Se debe reconocer el nivel de aislamiento correcto entre los ambientes de desarrollo, prueba y operación para prevenir los inconvenientes operacionales y se debe ejecutar los controles necesarios. Protección de Malware El software y los equipos de procesamiento de la información están vulnerables al ingreso de códigos maliciosos; ya sea estos virus de red, caballos Troyanos y bombas lógicas. Los usuarios deberán estar informados de los peligros de los códigos maliciosos. Cuando sea necesario, se debe establecer controles para prevenir, detectar y eliminar los códigos maliciosos.
136
Respaldos
Preservar la integridad y disponibilidad de la información y los equipos de procesamiento de información.
• Se deben definir los mecanismos de rutina para ejecutar la política de respaldo definida y la estrategia para crear copias de respaldo de la información e implementar su restauración pertinente.
Registro y Monitoreo Se deben definir parámetros para el monitoreo de utilización de los medios de procesamiento de la información y se deben inspeccionar recurrentemente los resultados de las tareas de monitoreo. Registros de Eventos Se deben crear y preservar registros de auditoría de las tareas, excepciones y eventos de seguridad de la información en un lapso definido para contribuir en investigaciones venideras y monitorear el control de acceso. Protección de la Información de Registros Se deben asegurar los medios de registro y la información del registro para prevenir la modificación y el acceso sin autorización. Registros de Operadores y Administradores
• Se debe tener un registro de las acciones realizar por el administrador del sistema y el operador del sistema.
• Los registros de administrador y operador del sistema deben ser inspeccionados de manera recurrente.
Sincronización de Relojes Los relojes de cada uno de los sistemas de procesamiento de información críticos dentro del área de sistemas se deben sincronizar en base a una fuente que brinde la hora exacta.
Control de Software Operativo
Instalación de Software en Sistemas Operativos
• El Área de sistemas deberá ejecutar todas las pruebas que sean indispensables de cualquier Software que sea integrado a la compañía, antes de su instalación.
• El Área de sistemas deberá garantizar que todo el Software nuevo conseguido por la compañía tenga su respectiva licencia.
137
Gestión de Vulnerabilidades Técnicas
El área de sistemas debe inspeccionar regularmente la creación de vulnerabilidades técnicas en los recursos tecnológicos con la creación de un ambiente de pruebas recurrentes de vulnerabilidades, con la finalidad de tomar medidas sobre los hallazgos encontrados por estas evaluaciones. Estará obligado a inspeccionar, valorar y gestionar las vulnerabilidades técnicas halladas.
Restricción en Instalación de Software El Área de sistemas debe confirmar que la capacidad del equipo este orientado a los requisitos mínimos para la instalación del software.
Seguridad en las Comunicaciones
Gestión de la Seguridad en Redes El área de sistemas debe definir, los parámetros de control adecuados para brindar la disponibilidad de las redes de datos y de los servicios que estén vinculado a las mismas; además, garantizara que se mantengan los mecanismos de seguridad que aseguren la integridad y la confidencialidad de la información que transita por medio de estas redes de datos. Así mismo, velara por la seguridad de las redes de datos, el control del tráfico en estas redes y la protección de la información restringida y critica de la compañía Controles en Redes
• Las redes deben ser correctamente manipuladas y controladas para poder asegurar la información y preservar la seguridad de los sistemas y aplicaciones, ya sea esta la información que transite.
• El Área de Sistemas debe realizar controles para garantizar la seguridad de la información en las redes, y asegurar los servicios enlazados de accesos sin autorización.
Seguridad en Servicios de Redes
• En cada contrato de redes se deben definir y estipular las características de seguridad, niveles de servicio y mecanismos de gestión de cada uno de los servicios de red, ya sea que estos servicios sean ejecutados de manera interna o externa.
• Se debe definir e inspeccionar regularmente las capacidades del proveedor del servicio de red para manipular los servicios solicitados en un ambiente seguro, y se debe definir el derecho de auditoría.
138
Segregación de Redes El Área de Sistemas deberá administrar las direcciones IP de los equipos de toda la compañía en grupos para las diferentes áreas en base en la Matriz de obligaciones.
Gestión de la Seguridad en Redes
• Se debe brindar una correcta protección de la información en redes y asegurar los sistemas de soporte.
• La gestión segura de las redes, la misma puede definir los límites de la compañía, necesita de la meticulosa estimación del flujo de datos, requerimientos legales, monitoreo y protección.
Mensajería Electrónica International Gym, estimando que el correo electrónico es una herramienta para mejorar y simplificar la comunicación entre empleados y terceras personas, brindara un servicio adecuado y seguro para el desempeño de las actividades que necesiten el uso del correo electrónico, alineados a las políticas de confidencialidad, integridad, disponibilidad y trazabilidad de cada uno de los usuarios que se comunican por medio de este.
Adquisición, Desarrollo y Mantenimiento del Sistema
Requerimientos de Seguridad para Sistemas de Información Se debe establecer directrices para que, en el transcurso de las etapas de inspección y diseño del sistema, se agreguen a los requerimientos, los controles necesarios de seguridad. Este proceso debería contar con una etapa de evaluación de riesgos precedente al diseño, para establecer los requisitos de seguridad y reconocer los controles necesarios. En esta tarea deben estar vinculadas las áreas, usuarios de Sistemas y Comité general, definiendo y aceptando los controles automáticos a agregar al sistema y los requerimientos de controles manuales complementarios. Las áreas vinculadas podrán requerir certificaciones y evaluaciones externas para los productos a implementar. Seguridad en la Aplicación de Servicios en Redes Públicas El Área de Sistemas deberá garantizar el adecuado funcionamiento del certificado de seguridad, para cada uno de los sistemas de información de la compañía que tienen acceso por medio de internet, para el correcto envío y recepción de información en un ambiente seguro.
139
Gestión De Incidentes De Seguridad De La Información
Gestión de Eventos de Seguridad de Información y Mejoras International Gym incentivara entre los empleados y personal externo el reporte de incidentes basados con la seguridad de la información y sus medios de procesamiento, incorporando cualquier tipo de medio de almacenamiento de información, como los equipos tecnológicos, los sistemas de información, los medios físicos de almacenamiento y las personas. Responsabilidades y Procedimientos International Gym designara personal para el tratamiento de los eventos de seguridad de la información, quienes estarán encargados de investigar y solucionar los eventos reportados, realizando los mecanismos necesarios para prevenir que vuelvan a incidir y defiendo en base a su perjuicio el tratamiento adecuado. Reporte de Eventos de Seguridad de la Información Los dueños de los activos de información deben comunicar al Área de Sistemas, los percances de seguridad para que analicen o que definan la posibilidad de afectar a los mismos. Reporte de las Debilidades de Seguridad de la Información Los usuarios de servicios de información, al momento de enterarse de manera interna o externa sobre una vulnerabilidad de seguridad, son responsables de registrar e informar las mismas al Área de Sistemas y/o a su jefe. Análisis y Decisiones sobre Incidentes de Seguridad de la Información
• El comité general deberá estudiar los eventos encontrados en el área de seguridad y activar los proceso y soluciones bajo la autorización de la Gerencia General en caso de que lo amerite.
• Los usuarios y empleados de la empresa son responsables de la debida comunicación de los eventos o incidentes que tengan que ver con la seguridad de la información y con defectos o daños de los equipos tecnológicos de la empresa.
Respuesta a Incidentes de Seguridad de la Información El área de sistemas en conjunto con las otras áreas de trabajo enfrentara la situación de emergencia de una manera inmediata aplicando procedimientos ya prestablecidos.
140
Aprendiendo de los Incidentes de Seguridad de la Información El área de sistemas deberá llevar un registro de los incidentes para facilitar correcciones de eventos futuros de darse el caso, este registro tomara en cuenta el costo del incidente y un posterior seguimiento, los datos se tomarán en cuenta y serán evaluados para monitorear aquellos eventos que son muy recurrentes y lograr mejores controles logrando limitar la frecuencia de daño.
Colección de Pruebas
El departamento de sistemas deberá llevar un registro de todos los eventos e incidentes de seguridad de información de la empresa, con su respectivo análisis y las acciones correctivas o de prevención para así tener siempre al día su base de registros e incidentes y poder atender una forma rápida y segura eventos futuros. Seguridad de la información en La continuidad de La Organización La compañía entregara los medios necesarios a los empleados de una forma rápida y concreta para enfrentar la emergencia o desastres y así garantizar el correcto funcionamiento de las operaciones. Esto ayudara a que la empresa vuelva a su normal funcionamiento sin mayores contratiempos y en el menor tiempo y costo posible. La compañía mantendrá vías de comunicación adecuadas con los empleados y personas externas. Planeando la Continuidad de la Seguridad de la Información
• Se deberá contar con un programa de continuidad de las tareas de la empresa.
• El comité general tendrá la obligación de planificar el mecanismo de administración de la continuidad de la operación de los sistemas de manipulación de información de la compañía en caso de que se suscite algún evento que atente a la continuidad.
Implantando la Continuidad de la Seguridad de la Información
• Se identificará y establecerá todos los procesos de emergencia con sus responsabilidades.
• Hay que identificar todas las posibles situaciones y establecer las actividades correctivas a ejecutarse en caso de que se presente algún imprevisto.
Verificación, Revisión y Evaluación de la Continuidad de la Seguridad de la Información
• La comisión integral de la compañía debe liderar los temas relacionados con continuidad del negocio y la recuperación ante catástrofes.
• La comisión debe efectuar los respectivos estudios de impacto al negocio y los estudios de riesgos de continuidad para, luego proponer estrategias de recuperación en base al plan de continuidad contra
141
contingencias, con las consideraciones del caso en seguridad de la información.
Redundancias El departamento de sistemas deberá asegurar la existencia de una plataforma de trabajo redundante que satisfaga los requerimientos de disponibilidad aceptable para la compañía.
Cumplimiento
Cumplimiento de Requerimientos Legales
• Llevar a cabo las disposiciones reglamentarias contractuales a fin de evitar multas administrativas a la empresa o empleados que incurran en las responsabilidades civiles o penales como resultado de su incumplimiento.
• Asegurar que las políticas y normas se cumplan junto con los procedimientos de seguridad de la información de la compañía.
Identificación de Legislación Aplicable
• Se puntualizarán y documentarán claramente las exigencias y normas contractuales para cada sistema de información.
• De la misma manera se documentarán y puntualizarán los controles específicos y las responsabilidades y labores individuales a cumplirse con dichos requerimientos.
Derechos de Propiedad Intelectual (IPR) Se llevará a cabo procesos adecuados para certificar el cumplimiento de las restricciones de ley al uso de material o equipos protegidos por las normas de propiedad intelectual. Protección de Registros Organizacionales Los datos críticos de la empresa se resguardarán contra perdida, destrucción y alteración de estos. Algunos datos podrán requerir una retención segura para cumplir requisitos legales de ley, así como para respaldar labores esenciales de la empresa. Protección de Datos y Privacidad de Información Personal
• El personal de la organización en su totalidad deberá conocer las restricciones al tratamiento de datos e información en el ejercicio de su área de trabajo.
• La empresa redactará un documento suscrito de confidencialidad el cual deberá ser firmado por todos los empleados y contratistas, esta deberá ser firmada y retenida por la empresa como compromiso entre empleado y compañía.
142
Cumplimiento con Políticas de Seguridad y Estándares El departamento técnico o de sistemas efectuara revisiones periódicas en la empresa a con el objetivo de asegurar el cumplimiento con cada una de las políticas, normativas de ley, mecanismos de seguridad de la compañía. Revisión del Cumplimiento Técnico El departamento de sistemas examinara constantemente que los sistemas de información acaten con las políticas, normas, procedimiento de seguridad, las mismas que incluirán revisiones en los sistemas y así asegurar que los controles que se estén dando en los equipos de hardware y software estén correctamente ejecutados.
143
ANEXO I
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
PLAN DE CAPACITACIÓN Y CONCIENCIACION DE SEGURIDAD DE LA INFORMACION PARA LA COMPANIA INTERNATIONAL GYM
ECUAINTERGYM S.A.
AUTORES: CARLOS ERICK CHAVEZ LOOR JUAN CARLOS ANDRADE CHILA
GUAYAQUIL – ECUADOR 2018
144
ÍNDICE DEL PLAN DE CAPACITACIÓN
PLAN DE CAPACITACIÓN ...................................................................... 146
PRESENTACION ..................................................................................... 146
ACTIVIDAD DE LA COMPAÑÍA. .................................................... 147
JUSTIFICACIÓN. ............................................................................ 147
ALCANCE. ...................................................................................... 147
FINES DEL PLAN DE CAPACITACIÓN. ........................................ 147
OBJETIVOS DEL PLAN DE CAPACITACIÓN. ............................... 148
Objetivo General ............................................................................. 148
METAS ........................................................................................... 148
ESTRATEGIAS ............................................................................... 148
TIPOS, MODALIDAD Y NIVELES DE CAPACITACION ................ 149
Tipos de Capacitaciones................................................................. 149
ACTIVIDADES PARA DESARROLLAR. ........................................ 150
Introducción al Sistema de Gestión de Seguridad de la
Información (SGSI) así como conceptos sobre la norma ISO 27001 e
ISO 27002 ....................................................................................... 150
Prevención de Riesgos de Seguridad de la información ................ 150
EVALUACIÓN ................................................................................. 150
RECURSOS ................................................................................... 151
Recursos Humanos ........................................................................ 151
Materiales ....................................................................................... 151
CRONOGRAMA ............................................................................. 152
ANEXO ........................................................................................... 153
ANEXO J………………………………………………………………………154
Identificación de los activos…………………………………………………154
145
ANEXO K ................................................................................................. 155
146
PLAN DE CAPACITACIÓN
PRESENTACIÓN
El plan de capacitación y concienciación sobre la seguridad de información se
presenta como un instrumento que especifica las prioridades de capacitación
hacia los empleados de International Gym Ecuaintergym S.A.
La capacitación será un mecanismo de aprendizaje continuo y de índole
estratégico ejecutado de manera organizada y sistemático, por medio el cual
los empleados conseguirán nuevas habilidades para aportar a la compañía en
la implementación y gestión de un Sistema de Gestión de Seguridad de la
Información (SGSI) alineado en las normas ISO 27001:2013 e ISO 27002
incrementando sus conocimientos sobre las buenas prácticas usadas para
mejorar la seguridad de la información en toda la compañía para desarrollarse
con éxito en sus labores. La capacitación conlleva a una serie de etapas con
el objetivo de educar y concienciar a los empleados de los nuevos
reglamentos y políticas definidos en la compañía.
Por otra parte, se muestra como un conjunto de controles, normas y métodos
indispensables para la gestión optima del Sistema de Gestión de Seguridad
de la Información apoyada con la Gestión de riesgos, los controles, y la
ejecución de los requisitos de los distintos grupos de interés de la compañía.
El plan de capacitación incluye a los colaboradores de los diferentes
departamentos de la compañía incluyendo a los encargados del proyecto y
auditores agrupados en diferentes grupos de trabajo en base a sus
actividades, se incluye también dentro del procedimiento para la capacitación
un presupuesto estimado para la ejecución de este.
147
PLAN DE CAPACITACIÓN Y CONCIENCIACIÓN DE
SEGURIDAD DE LA INFORMACIÓN
ACTIVIDAD DE LA COMPAÑÍA.
La compañía International Gym Ecuaintergym S.A., es una empresa dedicada a la importación y comercialización de equipos y maquinarias de gimnasios. JUSTIFICACIÓN. El recurso más importante en cualquier compañía lo representa sus colaboradores o empleados implicados en las actividades diarias que ejecutan y esto es de suma importancia en una compañía que comercializa diariamente. El personal debe estar informado para que trabaje de acuerdo con los lineamientos de la compañía y para evitar un fracaso del proyecto de Seguridad de la Información implementado en la compañía. La seguridad de la Información forma parte de las labores cotidianas de los empleados ya que si no se capacita a los mismos de llevar a cabalidad estos controles es muy probable que tomen algunas vías para evitar estas reglas por lo cual se deberá plantear los beneficios que tendrá la compañía con la implementación de las medidas de seguridad correctas. Es por ello por lo que se ven obligadas a enfocarse en el tema de las capacitaciones continuas para conseguir nuevas habilidades además si se implementó un Sistema de Gestión de Seguridad de la Información para este empiece a ejecutarse se deberá informar para eludir errores muy probables. Es por eso por lo que se propone el presente plan de capacitación semestral en la compañía International Gym Ecuaintergym S.A en el ámbito de Seguridad de la Información. ALCANCE. El presente plan de capacitación es para que sea aplicado a todo el personal que trabaja en la compañía International Gym Ecuaintergym S.A. FINES DEL PLAN DE CAPACITACIÓN. Siendo el propósito general establecer una eficiencia organizacional en Seguridad de la Información, la capacitación se lleva para contribuir en los siguientes puntos.
▪ Elevar el nivel de seguridad de las diferentes áreas y productividad de la empresa.
148
▪ Mejorar la interacción entre los empleados y, con ello, elevar el interés por la seguridad de la información y la calidad del servicio.
▪ Generar conductas de seguridad y mejorar el clima de confianza en las transacciones de la compañía.
▪ Desarrollar las habilidades y conocimientos indispensables para sugerir a la compañía sobre una mejor practica en la gestión de seguridad de la Información.
▪ Mantener una adecuada salud física y mental al prevenir incidentes o eventos fortuitos, además un ambiente seguro lleva tener una actitud más estable.
▪ Mantener al jefe de área de Sistemas al día con los avances tecnológicos, lo que alienta la creatividad y ayuda a prevenir la obsolescencia de la fuerza de trabajo.
OBJETIVOS DEL PLAN DE CAPACITACIÓN. Objetivo General Preparar al personal que labora en la compañía para la ejecución eficiente del Sistema de Gestión de Seguridad de la información según las normas ISO 27001:2013 E ISO 27002. Objetivos Específicos
• Proporcionar orientación e información completa relativa a los objetivos de la compañía y el correcto funcionamiento de las normas y políticas de seguridad de la información a la que se encuentra sujeta.
• Aumentar la capacidad de análisis y de respuesta a eventos de gestión de Seguridad de la Información.
• Proveer conocimientos y desarrollar ventajas que ayuden a mejorar en su totalidad el desempeño de los puestos de trabajo.
• Evaluar al personal en base a los temas abordados, alineados al plan de seguridad de la compañía.
• Apoyar el desarrollo continuo y tomar en consideración los requerimientos de seguridad definidos además de los resultados de la medición.
METAS Capacitar al 100% Gerentes, jefes de departamentos, secciones y personal que labora en la compañía International Gym Ecuaintergym S.A.
ESTRATEGIAS Los métodos que emplearán serán los siguientes.
• Desarrollo de trabajos prácticos
• Presentación de casos similares
• Realizar talleres
• Metodología exposición dialogo
• Retroalimentar las necesidades de la compañía
• Encuesta para examinar problemas
149
TIPOS, MODALIDAD Y NIVELES DE CAPACITACIÓN.
Tipos de Capacitaciones.
Capacitación Inductiva. – está orientada a facilitar la integración del colaborador, en general, así como a su ritmo de trabajo, en particular. Esta capacitación se desarrolla como parte de selección del trabajador, pero también puede realizarse previo esta. En algunos casos se aprovecha esta capacitación para selección de personal con el mejor aprovechamiento y condiciones técnicas. Capacitación Preventiva. – es aquella que va dirigida a prever los cambios que se producen en el personal una vez que su desempeño se ve deteriorado con el trascurrir del tiempo. Esta tiene por objeto preparar al personal para enfrentar nuevos retos y nuevas tecnologías. Capacitación Correctiva. – está orientada a solucionar problemas de desempeño corregir labores que se vienen desempeñando mal, previo a las correcciones vendrán evaluaciones de diagnóstico para determinar cuáles son factibles de solución a través de acciones de capacitación. Modalidades de Capacitación.
Las capacitaciones vienen dadas en los siguientes tipos de modalidades.
Formación. - su objetivo es el de generar conocimientos básicos orientado a una visión general con respecto al contexto del desenvolvimiento. Actualización. - va dirigido a proporcionar conocimientos de experiencias en avances científicos tecnológicos de las actividades. Especialización. - su propósito desarrollar habilidades, con respecto algún área determinada de actividad. Perfeccionamiento. - desarrollar un nivel de conocimiento con experiencia y lograr técnicas, profesionales. Complementación. - dirigido a fortalecer la formación de los colaboradores. Niveles de Capacitación. La capacitación puede darse en los siguientes niveles. Nivel básico. – dirigida a personal nuevo en el desempeño de alguna ocupación o área de trabajo tiene por objeto brindar información básica, pero especifica en la empresa.
150
Nivel intermedio. – dirigido a personal que ya posé conocimiento inicial este sirve para profundizar el conocimiento ya adquirido su objetivo es perfeccionar habilidades y lograr un mejor desenvolvimiento en su área de trabajo. Nivel avanzado. – orientado al personal que requiere una visión integral y profunda en su área de actividad. Su objetivo es prepararse para ocupar tareas de mayor exigencia y porque no un nuevo puesto con más responsabilidades. ACTIVIDADES PARA DESARROLLAR. Estas actividades facultaran a los empleados a mejorar los procedimientos actuales, enriquecer su seguridad física y mental, ayudara a evitar incidentes de seguridad. Introducción al Sistema de Gestión de Seguridad de la Información (SGSI) así como conceptos sobre la norma ISO 27001 e ISO 27002
• Introducción a los sistemas de gestión y el enfoque basado en procesos
• Exposición de las normas ISO 27001, ISO 27002 y el marco legal
• Principios fundamentales de la Seguridad de la Información
• El análisis previo y establecimiento del grado de madurez del sistema de gestión de seguridad de la información existente.
• Exponer un caso de negocio
Prevención de Riesgos de Seguridad de la información
• Utilización de contraseñas.
• Protección contra los virus.
• Cumplir con la política de seguridad.
• Instrucciones a la utilización del correo electrónico.
• Correcto uso de internet.
• Respaldo de la base de datos.
• Procedimiento por seguir si existe un incidente.
• Ingeniería social.
• Seguridad para los dispositivos móviles y USB.
• Mencionar las medidas se seguridad para la transferencia de información crítica o confidencial.
• Software permitido y no permitido.
• Seguridad en los equipos de cómputo.
EVALUACIÓN Se evaluará al capacitador y los diversos temas abordados al concluir la capacitación, con el objetivo de medir la efectividad, correcto uso de la información y despliegue de la misma.
151
RECURSOS Recursos Humanos Lo conforman los participantes, facilitadores y expositores encargados en la materia, ingenieros en telecomunicaciones o seguridad empresarial técnicos en soportes electrónicos, técnicos en dispositivos móviles, auditores en el área de seguridad. Materiales
Infraestructura. – las actividades de capacitación se ejecutarán en un área establecida por la Gerencia General de la compañía. Mobiliario, equipo y otros. – estará conformado por archivos, carpetas, folios, equipos de reproducción multimedia, y un área con ventilación adecuada. Documentación técnica y educativa. – para ello se llevará acabo encuestas, certificados, material de estudio, folletos entre otros
FINANCIAMIENTO
Este plan de capacitación se llevará acabo y cubierto en su totalidad con ingresos de la compañía.
DESCRIPCIÓN CANTIDAD COSTO UNITARIO
COSTO TOTAL
Pasaje Terrestre
Viáticos
Plumas
Alquiler de proyectores
Carpetas
Separadores
Certificados
Lápices
Papel A4
Refrigerios
Honorarios de expositores
Imprevistos
Total, presupuesto
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
152
CRONOGRAMA
Se crea un cronograma de actividades el cual se ejecutará a lo largo del año, con el objetivo de cubrir cada una de las necesidades y todos los empleados.
Cronograma de plan de Capacitación
ACTIVIDADES PARA DESARROLLAR
MESES
1 2 3 4 5 6 7 8 9 10
11
12
Introducción a los sistemas de gestión y el enfoque basado en procesos
X
Exposición de las normas ISO 27001, ISO 27002 y el marco legal
X
Principios fundamentales de la Seguridad de la Información
X
El análisis previo y establecimiento del grado de madurez del sistema de gestión de seguridad de la información existente.
X
Exponer un caso de negocio X
Utilización de contraseñas, Protección contra los virus.
X
Cumplir con la política de seguridad, Procedimiento por seguir si existe un incidente.
X
Instrucciones en la utilización del correo electrónico, Correcto uso de internet.
X
Respaldo de la base de datos. X
Ingeniería social, Seguridad para los dispositivos móviles y USB.
X
Mencionar las medidas se seguridad para la transferencia de información crítica o confidencial.
X
Software permitido y no permitido, Seguridad en los equipos de cómputo
X
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
153
ANEXO
FICHA DE REGISTRO DE INSTRUCTORES
Departamento: __________________________________Año: _____ Nombre y apellidos: ____________________________________________ Documento de Identidad: _______________________ Telf. ____________ Dirección: ___________________________________________ Correo Electrónico.: ____________________________________________ Nombre del Centro de Trabajo: __________________________________ Dirección: _____________________________Telf.___________________ Años de experiencia: ______Años de experiencia como instructor: _____ Nivel de Escolaridad: ____________ Especialidad: __________________
REGISTRO DE INSTRUCTORES DE LA INSTITUCIÓN
AREA DE TRABAJO: _______________________ AÑO: _______
No Apellido Nombres Área Años de experiencia Como tutor
Nivel de Escolaridad
Especialidad
Fuente: Datos de investigación
Elaborado por: Carlos Chávez – Juan Andrade
154
154
ANEXO J
Identificación de los activos.
IDENTIFICACIÓN DE LOS ACTIVOS
EMPRESA:
FUNCIONARIO:
CARGO: FECHA:
ITEM Activo Código Descripción Tipo
Unidad Responsable Persona Responsable
localización Cantidad Mantiene Explota Responsable Operador
1
2
3
4
5
.
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
155
ANEXO K
Reconocimiento de amenazas y vulnerabilidades
CARACTERIZACIÓN DE ACTIVOS, AMENAZAS Y SALVAGUARDAS
RECONOCIMIENTO DE VULNERABILIDADES Y AMENAZAS
CHECKLIST EMPRESA:
EMPLEADO:
CARGO: FECHA:
N.º PREGUNTAS SI NO NA OBSERVACIONES
FISICA
1 ¿Se encuentran las instalaciones del cuarto de telecomunicaciones protegidas de acceso no autorizado?
2 ¿Cuál de las siguientes medidas de control físico se desarrollan para las instalaciones del cuarto de telecomunicaciones?
a) Área de seguridad establecida
b) Sistema de prevención de intrusos
c) Puertas de seguridad con sistema de acceso
d) Otros (descríbalo en la sección de observaciones)
3 ¿Cuál de los siguientes controles físicos se ejecutan para el ingreso al Área de sistemas?
156
a) credencial
b) Registro de visitantes
c) Otro (descríbalo en la sección de observaciones)
4 ¿La instalación donde se encuentra el cuarto de telecomunicaciones mantiene condiciones físicas alineadas en base a la norma?
a) Paredes
b) Piso
c) Tumbado
5 ¿Cuáles de los siguientes mecanismos de prevención contra incendios tienen definidos?
a) Alarma
b) Extintores
c) Sistema contra incendios
d) Otro (descríbalo en la sección de observaciones)
6 ¿El Sistema de Cableado Estructurado está diseñado e implementado cumpliendo las normas internacionales vigentes?
7 ¿Tienen documentado el diseño de la red?
8 ¿Tienen definido procedimientos para realizar el mantenimiento preventivo y correctivo de los equipos tecnológicos de la compañía?
9 ¿Se tiene definido los controles para realizar el mantenimiento de las instalaciones donde se encuentra situado el cuarto de telecomunicaciones?
157
RED
10 ¿Se tiene definido quienes comparten los datos por medio de la red y como los manejan?
11 ¿Se tienen documentados y/o respaldados los inventarios de activos físico y lógicos de la red?
12 ¿Son informadas las fallas y/o incidentes que ocurren en la red?
13 ¿Existen controles establecidos de acceso a la red interna?
14 ¿Cuenta con un firewall para protección y aseguramiento de la red?
SOFTWARE
15 ¿Los equipos de la compañía mantienen Antivirus actualizados?
16 ¿Las aplicaciones ejecutadas en el servidor de BD correctamente
actualizadas?
17 ¿Se monitorea regularmente el rendimiento y el acceso a los
servidores?
18 ¿Son almacenados de manera segura la información sensible de
los equipos antes de una reinstalación?
19 ¿la información que se trasmite por intranet está cifrados?
ORGANIZACIÓN
20 ¿Existe un área o dependencia que se dedique a la administración
de la red y los servicios de Tecnología de Información?
158
21 ¿Existe una estructura definida para dicha Área con
responsabilidades establecidas?
22 ¿El número de empleados que conforman actualmente el Área de
sistemas son suficientes para controlar los varios procesos de TI?
23 ¿Existe un plan de capacitación y concienciación para el personal
del Área de sistemas en aspectos relacionados con las TIC y
procesos de certificación?
24 ¿Están correctamente establecidas las responsabilidades del
recurso humano para asegurar los activos, así como la ejecución
del proceso de seguridad?
25 ¿Hay políticas de seguridad actualizadas?
26 ¿Las políticas de seguridad están correctamente socializadas con
el personal de la empresa?
27 ¿Para ser reubicados los equipos, software o información fuera
de las instalaciones de la compañía requiere de una autorización?
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
159
ANEXO L
Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.
ANEXO ESTADO RESPUESTA
A5 Política de seguridad de la información
A5.1 Sentido de la comunicación para la administración de la
estabilidad de la información.
Objetivos: Proveer una guía y soporte por medio de la administración para la seguridad de la información alineada a las necesidades de la empresa y a las disposiciones y reglamentos legales actuales.
A5.1.1 Políticas para la seguridad
de la información
¿Hay un documento de políticas de
seguridad aprobadas por la dirección,
publicado y comunicado para apoyar
la seguridad de la información?
No cumple No hay políticas
A5.1.2 Revisión de las políticas
para la seguridad de la
información
¿Las políticas para la seguridad de la
información se planifican y revisan
con regularidad?
No cumple Al no existir políticas no
podemos analizarlas y
renovarlas
A6 Organización de la seguridad de la información
A6.1 Organización interna
Objetivos: Definir un esquema de gestión para comenzar y administrar la implantación y ejecución de la seguridad de la información en la compañía.
160
A6.1.1 Asignación de
responsabilidades para la
SI
¿Están definidos y asignados todas
las funciones y deberes de seguridad
de la información?
No cumple No están especificados los
deberes y funciones con
respecto a seguridad de la
información.
A6.1.2 Segregación de tareas ¿Los deberes y las responsabilidades
son correctamente separados
teniendo en cuenta las situaciones de
conflicto de intereses?
Cumple
parcialmente
Las obligaciones y deberes
son separadas gracias a los
empleados, pero no es
constante.
A6.1.3 Contacto con las
autoridades
¿Hay contactos apropiados con
autoridades competentes?
No cumple No existe
A6.1.4 Contactos con grupos de
interés especial
¿Existen definidos contactos con
grupos o foros de seguridad
especializados y asociaciones
profesionales?
Cumple
parcialmente
Se tiene contacto con grupos
específicos, pero no en todos
los casos que se pueden
presentar en las áreas
A6.1.5 Seguridad de la información
en la gestión de proyectos
¿Se contempla la SI en la gestión de
proyectos e independientemente del
tipo de proyecto a desarrollar por la
organización?
No cumple No se ha tomado en
consideración
A6.2 Dispositivos móviles y teletrabajo
Objetivos: Asegurar la seguridad del Teletrabajo y el correcto uso de
161
dispositivos tecnológicos móviles.
A6.2.1 Política para dispositivos móviles No cumple No existen políticas para
dispositivos móviles
A6.2.2 Teletrabajo ¿Existe algún reglamento que define
como está protegida la información
de la organización teniendo en
cuenta el teletrabajo?
Cumple
parcialmente
Hay reglas, pero han sido
establecidas dentro de un
SGSI
A8 Gestión de activos
A8.1 Responsabilidades de los activos
Objetivos: Reconocer los activos en la compañía y establecer las
obligaciones para tener una correcta protección.
A8.1.1 Inventario de activos ¿Existe algún registro de activos? Cumple
parcialmente
Si hay un registro de los
activos, pero no está
actualizado
A8.1.2 Propiedad de los activos ¿Todos los Activos del registro
tienen dueño designado?
Cumple
parciamente
Hay activos etiquetados con
personal que ya no laboran
A8.1.3 Uso aceptable de los activos ¿existe definidas reglas para el
manejo de activos y de información?
No cumple No se han identificado y no
existe un documento sobre
uso aceptable de activos.
A8.1.4 Devolución de los activos ¿Los activos de la empresa son No cumple Existen perdidas de activos
162
restituidos cuando los trabajadores u
contratistas terminan su contrato?
por no tener un mejor control
en la salida de los
empleados
A8.2 Clasificación de la información
Objetivo: Consolidar que la información reciba un grado apropiado de
seguridad, de acuerdo con el interés de la compañía.
A8.2.1 Directrices de clasificación ¿Están fijadas las pautas para la
clasificación de la información?
No cumple La información que se
maneja en las áreas no ha
sido clasificada.
A8.2.2 Etiquetado y manipulado de
la información
¿Existen acciones que aclaren como
etiquetar y utilizar la información?
No cumple La información no está
organizada y no se puede
etiquetar debidamente.
A8.2.3 Manejo de activos ¿Existen métodos que indiquen
como manejar activos acordes con el
esquema de clasificación de la
información adoptado por la
organización?
No cumple No existen métodos para
manejar de los activos.
A8.3 Manejo de los soportes de almacenamiento
Objetivos: Eludir la difusión, la alteración, el retiro o la destrucción no
autorizados de los datos almacenados en los medios.
163
A8.3.1 Gestión de soportes
extraíbles
¿hay métodos que indiquen como
manejar y administrar los medios
informáticos removibles?
No cumple No existen métodos para la
administración de medios
informáticos removibles
A8.3.2 Eliminación de soportes ¿hay procedimientos seguros y sin
riesgos para la eliminación de
medios cuando ya no sean
requeridos?
No cumple No existen procedimientos
para cumplir con este control
A8.3.3 Soportes físicos en tránsito ¿Existen procedimientos para
proteger los medios que contienen
información contra acceso no
autorizado durante el transporte
fuera de los límites físicos de la
compañía?
No cumple No existen procedimiento
para el transporte de los
medios físicos fuera de los
límites físicos
A9 Control de acceso
A9.1 Requisitos de la Organización para el control de acceso
Objetivo: Restringir el acceso a los datos e instalaciones de
procedimiento de información.
A9.1.1 Política de control de acceso ¿Existe una política de control de
acceso?
No cumple No hay políticas para el
control de acceso.
A9.1.2 Control de acceso a las ¿Se provee a los usuarios de los Cumple Hay restricciones para los
164
redes y servicios asociados accesos a redes y servicios de red
para los que han sido autorizados a
utilizar?
parcialmente usuarios al acceso de redes,
pero no para los servicios
una vez dentro de la red
A9.2 Gestión de acceso de usuarios
Objetivo: Establecer el ingreso de clientes permitidos y evitar el ingreso
no autorizados a sistemas y servidores.
A9.2.1 Gestión de altas/bajas en el
registro de usuarios
¿Existe un procedimiento formal de
alta y baja de usuarios con objeto de
habilitar la asignación de derechos
de acceso?
Cumple
parcialmente
Se tiene conocimiento de los
procesos para dar de baja o
registrar un usuario, pero no
está debidamente
formalizado.
A9.2.2 Gestión de los derechos de
acceso asignados a
usuarios
¿Hay algún sistema de control de
ingreso formal para los inicios de
sesiones en los sistemas
informáticos?
Cumple
parcialmente
Se tiene noción del proceso
para suministrar control a los
usuarios, pero no un proceso
formalizado que satisfaga
este control
A9.2.3 Gestión de los derechos de
acceso con privilegios
especiales
¿La asignación y uso de derechos
de acceso con privilegios especiales
están restringidos y controlados?
No cumple No existe procedimientos
para gestionar los accesos
con privilegios especiales
165
A9.2.4 Gestión de información
confidencial de autenticación
de usuarios
¿Las claves y otras formas de
autenticación secretas son
entregadas de una forma segura?
Cumple
parcialmente
En algunos activos si se
aplica, pero en otros no.
A9.2.5 Revisión de los derechos de
acceso de los usuarios
¿Los propietarios de los activos
revisan frecuentemente los derechos
de acceso de los usuarios?
No cumple Las revisiones no son muy
frecuentes.
A9.2.6 Retirada o adaptación de los
derechos de acceso
¿se retiran los derechos de accesos
para todos los empleados a la
información y a las instalaciones del
procesamiento de información a la
finalización del empleo?
Cumple
parcialmente
Si ya que existen
credenciales pero muchas
veces los usuarios suelen
compartirla exponiendo al
mal uso.
A9.3 Responsabilidades de los usuarios
Objetivos: Efectuar que los clientes rindan cuentas para proteger la
información de autenticación.
A9.3.1 Uso de información
confidencial para la
autenticación
¿Hay reglamento para los clientes
sobre cómo proteger sus claves y
otras informaciones de
autenticación?
Cumple
parcialmente
Si hay métodos de
autenticación, pero los
usuarios tienden a
compartirla dando un mal
uso de estas.
166
A9.4 Control de acceso a sistemas y aplicaciones
Objetivo: Evitar el acceso no autorizado a sistemas y aplicaciones.
A9.4.1 Restricción de acceso a la
información
¿Es restringido el ingreso a la
información de los sistemas según el
control de ingreso?
Cumple
parcialmente
No existen una política de
control de ingreso.
A9.4.2 Procedimientos seguros de
inicio de sesión
¿Es requerido algún método de
Login en los sistemas según la
política de control de acceso?
Cumple
satisfactoria
mente
Todos los equipos que se
manejan en el área poseen
un Login.
A9.4.3 Uso de herramientas de
administración de sistemas
¿El uso de herramientas de utilidad
es controlado y limitado a empleados
específicos?
Cumple
parcialmente
Si es limitada pero no está
aplicada a todos los
empleados.
A9.4.4 Control de acceso al código
fuente de los programas
¿El acceso al código fuente es
restringido a personas autorizadas?
No cumple No existe controles para eso
A10 Criptografía
A10.1 Controles criptográficos
Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para
proteger la confidencialidad, autenticidad y la integridad de la
información
A10.1.1 Política de uso de los
controles criptográficos
¿Existe alguna política para ajustar
la encriptación y existen otros
No cumple No existen políticas sobre el
uso de controles
167
controles criptográficos? criptográficos
A10.1.2 Gestión de llaves ¿están debidamente protegidas las
claves criptográficas?
No cumple No existe existen claves
criptográficas
A11 Seguridad física y del
entorno
A11.1 Áreas seguras
Objetivos: Prevenir el acceso fisco no autorizado, el daño y la
interferencia a la información en instalaciones de
procesamiento de información de la organización.
A11.1.1 Perímetro de seguridad
física
¿Existen áreas que puedan proteger
los datos de la empresa?
No cumple No se han establecido
perímetros para la seguridad
física
A11.1.2 Controles físicos de entrada ¿Es protegido el ingreso al área
segura de la empresa?
No cumple No existe protección hacia el
área segura
A11.1.3 Seguridad de oficinas,
despachos y recursos
¿Existe un sistema de seguridad
física a las oficinas, salas e
instalaciones de la organización?
No cumple No se ha realizado un
sistema de seguridad física
A11.1.4 Protección contra amenazas
externas y ambientales.
¿Existen instaladas alarmas,
sistemas de protección contra
incendios y otros sistemas contra
No cumple No existen sistemas de
prevención contra desastres
naturales
168
desastres naturales y ataques
maliciosos o accidentes?
A11.1.5 Trabajo en áreas seguras. ¿Existen definidos procedimientos
para las zonas seguras?
No cumple No hay existencia de esos
procedimientos
A11.2 Seguridad de los equipos
Objetivos: Prevenir la perdida, daño, robo o compromiso de activos, y la
interrupción de las operaciones de la organización.
A11.2.1 Emplazamiento y protección
de equipos
¿Los equipos son debidamente
protegidos?
No cumple La integridad física de los
equipos no es la más optima
A11.2.2 Instalaciones de suministro ¿Los equipos están protegidos
contra las variaciones de energía?
Cuantitativa
mente
controlado
Existen equipos contra
variaciones de energía, pero
no se han implementado de
manera correcta.
A11.2.3 Seguridad en el cableado. ¿Están adecuadamente protegidos
los cables de energía y
telecomunicaciones?
Cumple
parcialmente
Sí, pero no es todo el
cableado
A11.2.4 Manteamiento de los
equipos
¿Existen mantenimientos de los
equipos?
No cumple No hay un programa de
mantenimiento de equipos.
A11.2.5 Salida de activos fuera de
las dependencias de la
¿El retiro de información y equipos
fuera de la compañía está
No cumple No es controlado
169
empresa controlado?
A11.2.6 Seguridad de equipos y
activos fuera de las
instalaciones
¿Los activos de la organización son
debidamente protegidos cuando no
están en las instalaciones de la
organización?
No cumple No son protegidos
A11.2.7 Reutilización o retirada
segura de dispositivos de
almacenamiento
¿Es correctamente eliminada la
información de los equipos que se
van a reutilizar?
No cumple No es correctamente
eliminada.
A11.2.8 Equipo informático de
usuario desatendido
¿Existe reglamento para proteger los
equipos cuando estos no estén
siendo usados por los usuarios?
No cumple No existen tales reglas
A11.2.9 Política de puesto de trabajo
despejado y bloqueo de
pantalla
¿Existe disposición de los usuarios
sobre qué hacer cuando estos no
están presentes en sus estaciones
de trabajo?
No cumple No se ha realizado
capacitaciones al personal
sobre esto.
A12 Seguridad en Operativa
A12.1 Responsabilidades y procedimientos de operación
Objetivo: Asegurar las operaciones correctas y seguras de las
instalaciones de procesamiento de información.
170
A12.1.1 Documentación de
procedimientos de operación
¿Están documentados los
procedimientos del área?
No cumple No está registrado ningún
procedimiento.
A12.1.2 Gestión de cambios ¿Los cambios que podrían afectar a
la seguridad de la información son
estrictamente controlados?
No cumple No son controlados los
cambios
A12.1.3 Gestión de capacidades ¿Los equipos son revisados y se
realizan planes para asegurar su
capacidad de cumplir con los
objetivos de los usuarios?
No cumple No existen planes para estos
procesos
A12.1.4 Separación de entornos de
desarrollo, prueba y
producción
¿Se separan los entornos de
desarrollo, pruebas y producción?
Cumple
parcialmente
Esta compañía realiza
pruebas de equipos de
importación, pero no realizan
entornos de desarrollo.
A12.2 Protección contra códigos maliciosos
Objetivo: Apuntar a que los datos de las áreas de procesamientos de
datos estén debidamente asegurados contra los códigos
maliciosos
A12.2.1 Controles contra el código
malicioso
¿Existen programas de antivirus
para la seguridad de los datos de en
los hardware?
Cumple
parcialmente
Se han instalado, pero no en
todos los equipos
171
A12.3 Copias de seguridad
Objetivo: Proteger contra la perdida de información
A12.3.1 Copias de seguridad de la
información
¿Son revisados frecuentemente los
sistemas para evitar eventos
fortuitos
Cumple
parcialmente
Se realizan de manera
aleatoria pero no hay una
política que especifique su
correcta revisión.
A12.4 Registro de actividad y
supervisión
Objetivo: Registrar eventos y generar evidencia
A12.4.1 Registro y gestión de
eventos de actividad
¿Los eventos relevantes de los
sistemas son verificando
periódicamente?
No cumple No existe un registro de
eventos que se pueda
verificar
A12.4.2 Protección de los registros
de información
¿Los registros se encuentran
debidamente protegidos?
No cumple No existe una protección
adecuada para estos.
A12.4.3 Registros de actividad del
administrador y operador del
sistema
¿Están registradas las actividades
del administrador y del operador del
sistema y estos registros se
protegen y revisan de manera
regular?
No cumple No están protegidos y
revisados adecuadamente.
A12.4.4 Sincronización de relojes ¿Está la hora de todos los sistemas No cumple No existe un sistema para
172
de procesamiento de información
sincronizada?
sincronizar
A12.5 Control de software operacional
Objetivo: Asegurarse de la integridad de los sistemas operacionales
A12.5.1 Instalación del software en
sistemas en producción
¿La instalación de software es
estrictamente controlada?
No cumple No es controlada
A12.6 Gestión de vulnerabilidad técnica
Objetivo: Prevenir la explotación de las vulnerabilidades técnicas
A12.6.1 Gestión de las
vulnerabilidades técnicas
¿Están los datos correctamente
gestionados antes las
vulnerabilidades técnicas?
No cumple No se evalúa el grado de
exposición de la
organización
A12.6.2 Restricciones en la
instalación de software
¿Hay algún reglamento para limitar
la instalación de software
innecesario de los usuarios?
No cumple No
A12.7 Consideraciones de las auditorías de los sistemas de
información
Objetivo: Disminuir el impacto de actividades de auditoría sobre los
sistemas operativos.
A12.7.1 Controles de auditoría de los
sistemas de información
¿Están los controles de auditorías en
sistemas de producción planeadas y
No cumple No existen auditores internos
en la empresa
173
se llevan a cabo correctamente?
A13 Seguridad de las comunicaciones
A13.1 Gestión de la seguridad en las redes
Objetivo: Afianzar la defensa de los datos en las redes, y en las
instalaciones de procesamiento de información y soporte.
A13.1.1 Controles de red ¿Las redes son debidamente
protegidas para gestionar la
información y sus aplicaciones?
No cumple No son protegidas
A13.1.2 Mecanismos de seguridad
asociados a servicios en red
¿El requerimiento de seguridad para
aplicación de redes está incluidos en
los contratos?
No cumple No
A13.1.3 Segregación de redes ¿Hay segregación de redes
analizando los riesgos y la
separación de los datos?
No cumple No se segregan las redes en
función de los grupos de
servicios.
A13.2 Intercambio de información con partes externas
Objetivo: Conservar la seguridad de los datos transferidos dentro de la
organización y con cualquier empresa externa.
A13.2.1 Políticas y procedimientos
de intercambio de
información
¿Están garantizadas las
transferencias de información con
alguna seguridad?
No cumple No existen políticas y
controles formales de
transferencia
174
A13.2.2 Acuerdos de intercambio ¿Los contratos con las terceras
partes consideran la protección
durante él envió de datos?
No cumple No
A13.2.3 Mensajería electrónica ¿En los correos que se intercambian
información están debidamente
protegidos?
No cumple No están encriptados
A13.2.4 Acuerdos de
confidencialidad y secreto
¿La empresa tiene cláusulas de
seguridad que deben ser incluidos
en contratos con terceros?
No cumple No existe algo así
A14 Adquisición, desarrollo y Mantenimiento de los sistemas de
información
A14.1 Requisitos de seguridad de los sistemas de información
Objetivos: Garantizar que los datos sean una parte integral de los
sistemas de información durante todo el ciclo de vida esto
incluirá a las redes de la compañía.
A14.1.1 Análisis y especificación de
los requisitos de seguridad
¿Se puntualiza las condiciones de
seguridad para los nuevos sistemas
de información o cambio de estas?
No cumple No hay condiciones para los
nuevos sistemas de
información o los cambios
A14.1.2 Seguridad de las ¿Los datos están debidamente No cumple No
175
comunicaciones en servicios
accesibles por redes
públicas.
protegidos en la red pública?
A14.1.3 Protección de las
transacciones por redes
telemáticas
¿Los traspasos de información son
debidamente protegidos en la red?
No cumple No existen esa clase de
transferencias en la red
A14.2 Seguridad en los procesos de desarrollo y soporte.
Objetivos: Asegurar que la información este diseñada para implementar
los ciclos de vida en el desarrollo de información.
A14.2.1 Política de desarrollo seguro
de software
¿Existen las políticas para crear
software en los sistemas?
No cumple El área de sistemas no
desarrolla aplicaciones
A14.2.2 Procedimientos de control
de cambios en los sistemas
¿Se inspeccionan las variaciones en
los sistemas nuevos o existentes?
No cumple No existen procedimientos
A14.2.3 Revisión técnica de las
aplicaciones tras efectuar
cambios en el sistema
operativo
¿Se administran las criticas
debidamente probadas después que
han sufrido cambio los S.O.?
No aplica
A14.2.4 Restricciones a los cambios
en los paquetes de software.
¿Se dan modificaciones necesarias
en los sistemas de información?
No aplica
A14.2.5 Uso de principios de ¿Estos principios de ingeniería de No aplica
176
ingeniería en protección de
sistemas
sistemas seguros son aplicados al
proceso de desarrollo de sistemas
de la organización?
A14.2.6 Seguridad en entornos de
desarrollo
¿Es seguro el entorno de desarrollo? No aplica
A14.2.7 Externalización del
desarrollo de software
¿Es controlado el desarrollo
externamente del sistema?
No aplica
A14.2.8 Pruebas de funcionalidad
durante el desarrollo de los
sistemas
¿Existe definidas normas de
seguridad del sistema durante el
desarrollo?
No aplica
A14.2.9 Pruebas de aceptación ¿Existe definido normas para
aceptar los sistemas?
No aplica
A14.3 Datos de prueba
Objetivo: Asegurar la protección de los datos usados para pruebas.
A14.3.1 Protección de los datos
utilizados en prueba
¿la información de prueba es
cuidadosamente seleccionada y
protegida?
No cumple No es protegida
A16 Gestión de incidentes de seguridad de la información
A16.1 Gestión de incidentes y mejoras en la seguridad de la
información.
177
Objetivos: Confirmar una vista concreta y eficaz en la gestión de
imprevistos y seguridad de datos.
A16.1 Responsabilidades y
procedimientos
¿Los percances están gestionados
debidamente?
No cumple No simplemente se
gestionan los percances.
A16.1.2 Notificación de los eventos
de seguridad de la
información
¿Los contratiempos de seguridad
son reportados adecuadamente?
No cumple No
A16.1.3 Notificación de puntos
débiles de la seguridad.
¿Están los empleados y contratistas
informados de los puntos débiles en
la seguridad de la información de la
compañía?
No cumple No
A16.1.4 Valoración de eventos de
seguridad de la información
y toma de decisiones.
¿Están siendo separados según su
nivel de riesgo los eventos de
seguridad en la compañía?
No cumple No
A16.1.5 Respuesta a los incidentes
de seguridad
¿están documentados los
procedimientos para dar respuesta a
los incidentes?
No cumple No existen tales documentos
A16.1.6 Aprendizaje de los
incidentes de seguridad de
¿Se revisan correctamente las
experiencias en contratiempos ya
No cumple No
178
la información adquiridos en la seguridad de la
información?
A16.1.7 Recopilación de evidencias ¿Tienen métodos que indiquen como
obtener evidencia?
No cumple no
A17 Aspecto de seguridad de la información de la gestión de
continuidad de negocio
A17.1 Continuidad de seguridad de la información
Objetivo: La continuidad de seguridad de la información se debe incluir
en los sistemas de gestión de la comunidad de negocio de
organización.
A17.1.1 Planificación de la
continuidad de la seguridad
de la información
¿Hay algún plan ya establecido para
la continuidad de la seguridad de la
información?
No cumple No hay ningún plan de
continuidad.
A17.1.2 Implantación de la
continuidad de la seguridad
de la información
¿Hay algún método que este
asegurando la continuidad de la
información durante algún desastre o
evento?
No cumple No hay
A17.1.3 Verificación, revisión y
evaluación de la continuidad
de la seguridad de la
¿En la compañía se llevan a cabo
test o pruebas de continuidad en la
seguridad de la información?
No cumple No se realizan
179
información.
A17.2 Redundancia
Objetivo: Garantizar la disponibilidad de las instalaciones de
procesamiento de datos.
A17.2.1 Disponibilidad de
instalaciones de
procesamiento de
información
¿Las instalaciones en el área tienen
infraestructura para realizar planes
de operaciones?
No cumple No hay infraestructura
A18 Cumplimiento
A18.1 Cumplimiento de requisitos legales y contractuales.
Objetivo: Evitar el incumplimiento de las obligaciones legales, y
reglamentos relacionados con los sistemas de Seguridad de la
Información y sus requisitos.
A18.1.1 Identificación de la
legislación aplicable
¿Se tiene conocimiento de los
reglamentos legales y de seguridad?
No cumple No
A18.1.2 Derechos propiedad
intelectual (DPI)
¿Hay algún método que cuide los
derechos de propiedad intelectual?
No cumple La gran cantidad de equipos
con Windows no tienen
licencia, así como sus
aplicaciones como el office.
180
A18.1.3 Protección de los registros
de la organización
¿Archivos están debidamente
protegidos?
No cumple No están protegidos
A18.1.4 Protección de datos y
privacidad de la información
personal
¿Está la información de los usuarios
y cliente adecuadamente protegida?
Coordinado. No se aplica en todas las
personas.
A18.1.5 Regulación de los controles
criptográficos
¿Se dan controles criptográficos
adecuadamente?
No cumple No existen controles
criptográficos
A18.2 Revisiones de la seguridad de la información
Objetivos: Garantizar que la seguridad de la Información se ejecute y
opere de acuerdo con los reglamentos y procedimientos de
organizacionales de la compañía
A18.2.1 Revisión independiente de la
seguridad de la información.
¿La seguridad de la información es
chequeada periódicamente por algún
encargado o auditor?
No aplica No aplica ya que esta sería
la primera auditoria
A18.2.2 Cumplimiento con las
políticas y normas de
seguridad
¿Los jefes de áreas o dueño de la
compañía dan revisión a los
procesos de políticas de seguridad
adecuadamente?
No cumple No existen revisiones
181
A18.2.3 Comprobación del
cumplimiento
¿Los servicios de información son
verificados paulatinamente para
estar seguros de su cumplimiento
con los estándares y normas de la
seguridad de la información?
No cumple No existe tales servicios
Fuente: Datos de investigación Elaborado por: Carlos Chávez – Juan Andrade
top related