análisis de la seguridad informática mediante el uso de un

Análisis de la seguridad informática mediante el uso de un aplicativo web a la empresa

municipal de servicios públicos de arauca emserpa e.i.c.e., e.s.p. en el departamento de

Arauca.

Marcos Armando Umoa Sanchez

Andres Mauricio Carrillo Moreno

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA DE SISTEMAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

ARAUCA - ARAUCA.

2015

2

ANÁLISIS DE LA SEGURIDAD INFORMÁTICA MEDIANTE EL USO DE UN

APLICATIVO WEB A LA EMPRESA MUNICIPAL DE SERVICIOS PÚBLICOS DE

ARAUCA EMSERPA E.I.C.E., E.S.P. EN EL DEPARTAMENTO DE ARAUCA.

MARCOS ARMANDO UMOA SANCHEZ

ANDRES MAURICIO CARRILLO MORENO

Seminario de perfeccionamiento para optar al título de ingeniero de sistemas

Director:

CARLOS EDUARDO PUENTES FIGUEROA

Ingeniero en telecomunicaciones, especialista en servicios telemáticos y telecomunicaciones

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERÍA DE SISTEMAS

PROGRAMA DE INGENIERÍA DE SISTEMAS

ARAUCA, ARAUCA.

2015

3

Dedicatorias

MARCOS ARMANDO UMOA SANCHEZ:

Dedicado especialmente a Dios por guiar siempre

mí camino, a mis padres Marcos A. Umoa, a mi

madre Rosario Sánchez, a mi esposa Ángela

Avellaneda, a mi hijo, a mis Hermanos, sobrinos y

demas familiares.

ANDRES MAURICIO CARRILLO:

El cumplimiento de ésta meta la debo a un sin

número de personas que apoyan mis sueños y me

acompañan día a día. Agradezco infinitamente a

mi Dios por derramar sobre mí su sabiduría,

conocimiento y cuidado constante. Gracias a mis

padres quienes son esos ángeles que Dios puso en

mi camino. Gracias a mis hermanos, sobrinos,

profesores y amigos. Y un especial

agradecimiento a mi compañera de vida, Marcela,

y a nuestro pequeño retoño.

4

Agradecimientos

En primera instancia queremos agradecer al arquitecto del universo por guiar siempre nuestros

pasos por el camino del bien, a nuestros padres quienes siempre fueron, son y serán un apoyo

incondicional en nuestras vidas por sus excelentes consejos y siempre esa voz de aliento para

no desfallecer en este arduo y duro camino, a nuestras esposas mujeres incondicionales y de

ejemplar actuaciones por su paciencia y dedicación, a nuestros hermanos por tender siempre

esa mano amiga en los momentos difíciles y siempre brindando una palabra de optimismo, a

nuestros docentes por ese compromiso, dedicación y aportando siempre lo mejor en nuestro

paso por la universidad y siendo siempre esa guía para tomar las mejores decisiones, a

nuestros familiares y amigos que de una forma u otra tienen su aporte para lograr esta meta.

5

Tabla de contenido

Pág.

Resumen……………………………………………………………………………….. 11

Abstract………………………………………………………………………………… 12

Introducción……………………………………………………………………………. 13

Capítulo 1: Proyecto de grado………………………………………………………….. 14

1.1 Planteamiento del problema………………………………………………………... 15

1.1.1 Descripción del problema………………………………………………………… 15

1.1.2 Formulación del problema………………………………………………………... 16

1.2 Justificación………………………………………………………………………... 16

1.3 Objetivos…………………………………………………………………………… 17

1.3.1 Objetivo general………………………………………………………………….. 17

1.3.2 Objetivos específicos…………………………………………………………….. 17

1.4 Metodología………………………………………………………………………... 18

1.4.1 Tipos de investigación……………………………………………………………. 20

1.4.2 Población…………………………………………………………………………. 21

1.4.3 Muestra…………………………………………………………………………... 21

1.4.4 Instrumento de recolección de la información…………………………………… 22

Capítulo 2: Marco Referencial…………………………………………………………. 23

2.1 Marco legal…………………………………………………………………………. 24

2.2 Marco conceptual…………………………………………………………………... 25

2.3Marco Teórico……………………………………………………………………… 26

2.4 Marco contextual…………………………………………………………………… 42

2.4.1 Misión……………………………………………………………………………. 42

2.4.2 Visión…………………………………………………………………………….. 43

2.4.3 Valores corporativos……………………………………………………………... 43

2.4.4 Estructura organizacional………………………………………………………… 46

Capítulo 3: Análisis de Riesgos en el área de TI en Emserpa E.I.C.E., E.S.P………….. 47

3.1 Identificación y clasificación de los activos……………………………………….. 48

3.2 Determinación de activos críticos………………………………………………….. 50

3.3 Salvaguardas existentes en los activos críticos…………………………………….. 52

6

3.4 Vulnerabilidades y amenazas de los activos críticos………………………………... 53

3.5 Determinación del riesgo…………………………………………………………….. 53

Capítulo 4: Requerimientos del software………………………………………………… 57

4.1 Conceptos preliminares……………………………………………………………… 58

4.1.1 Propósitos…………………………………………………………………………... 58

4.1.2 Ámbito……………………………………………………………………………... 58

4.1.3 Definiciones, acrónimos y abreviaturas……………………………………………. 59

4.1.5 Visión global……………………………………………………………………...... 60

4.2 Descripción general…………………………………………………………………... 60

4.2.1 Perspectiva del producto…………………………………………………………… 60

4.2.2 Funciones del producto…………………………………………………………...... 60

4.2.3 Características del usuario…………………………………………………………. 63

4.2.4 Restricciones……………………………………………………………………...... 64

4.2.5 Supuestos y dependencias………………………………………………………...... 64

4.3 Requisitos específicos……………………………………………………………....... 64

4.3.1 Requerimientos funcionales………………………………………………………... 64

4.3.2 Requerimientos de interfaces externas…………………………………………....... 70

4.3.2.1 Interfaces de usuarios…………………………………………………………….. 70

4.3.2.2 Interfaces de hardware…………………………………………………………… 70

4.3.2.3 Interfaces de software……………………………………………………………. 70

4.3.2.4 Interfaces de comunicaciones……………………………………………………. 71

4.3.3 Requerimientos de eficiencia………………………………………………………. 71

4.3.4 Obligaciones del diseño……………………………………………………………. 71

4.3.4.1 Estándares cumplidos…………………………………………………………….. 71

4.3.4.2 Limitaciones del hardware……………………………………………………...... 71

4.3.5 Atributos…………………………………………………………………………… 72

4.3.5.1 Seguridad………………………………………………………………………… 72

4.3.5.2 Facilidades de mantenimiento…………………………………………………… 72

4.3.5.3 Portabilidad………………………………………………………………………. 72

Capítulo 5: Análisis y diseño del modelado……………………………………………… 73

5.1 UML………………………………………………………………………………….. 74

7

5.2 Diagrama de clases…………………………………………………………………… 74

5.3 Diagrama de clases de uso…………………………………………………………… 76

5.3.1 Actores……………………………………………………………………………... 76

5.3.2 Casos de uso del usuario…………………………………………………………… 77

5.3.3 Casos de uso del usuario registrado……………………………………………….. 77

5.3.4 Casos de uso del administrador……………………………………………………. 78

5.3.5 Casos de uso del auditor…………………………………………………………… 78

5.3.6 Casos de uso del gerente…………………………………………………………… 79

5.4 Diseño de la base de datos…………………………………………………………… 79

5.4.1 Tabla de auditoría………………………………………………………………...... 80

5.4.2 Tabla de dominios...………………………………………………………………... 80

5.4.3 Tabla de objetivos………………………………………………………………...... 81

5.4.4 Tabla de controles………………………………………………………………...... 81

5.4.5 Tabla de usuario……………………………………………………………………. 82

5.4.6 Tabla de tipo de usuario……………………………………………………………. 82

5.4.7 Diagrama de bases de datos………………………………………………………... 83

5.5 Interfaces visuales……………………………………………………………………. 83

5.5.1 Iniciar sesión……………………………………………………………………...... 84

5.5.2 Página de inicio…………………………………………………………………...... 85

5.5.3 Modulo de configuración…………………………………………………………... 86

5.5.4 Modulo de información……………………………………………………………. 86

5.5.5 Modulo de editor de usuario……………………………………………………….. 87

5.5.6 Modulo de crear usuario…………………………………………………………… 87

5.5.7 Modulo de iniciar auditoría………………………………………………………… 88

5.5.8 Modulo de auditorías realizadas…………………………………………………… 89

5.5.9 Modulo de comparar……………………………………………………………...... 90

Capítulo 6: Evaluación de cumplimiento de los controles de la norma ISO/IEC

27002:2013 en Emserpa E.I.C.E., E.S.P…………………………………………….........

92

6.1 Diseño del checklist en base a la norma ISO/IEC 27002:2013……………………… 93

6.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC………………… 93

6.3 Presentación de resultados…………………………………………………………… 96

8

7 Conclusiones…………………………………………………………………………… 99

8 Recomendaciones……………………………………………………………………… 100

9 Cronograma de actividades………..…………………………………………………… 101

10 Revisión bibliográfica…………..…………………………………………………… 103

11 Bibliografía…………………………………………………………………………… 105

Lista de Tablas

Tabla 1: Normativa ISO/IEC 27000……………………………………………………... 40

Tabla 2: Clasificación de los activos…………………………………………………...... 49

Tabla 3: Abreviaturas……………………………………………………………………. 50

Tabla 4: Dimensión de Valoración………………………………………………………. 51

Tabla 5: Escala de Valoración…………………………………………………………… 51

Tabla 6: Valoración de activos con escala 1-5…………………………………………… 52

Tabla 7: Vulnerabilidades y Amenazas de los Activos Críticos…………………………. 53

Tabla 8: Matriz de riesgos……………………………………………………………....... 54

Tabla 9: Análisis de riesgos……………………………………………………………… 55

Tabla 10: Usuarios no registrados……………………………………………………...... 65

Tabla 11: Rol de administrador………………………………………………………...... 65

Tabla 12: Rol de auditor…………………………………………………………………. 66

Tabla 13: Rol de gerente…………………………………………………………………. 71

Tabla 14: Tabla de auditoría……………………………………………………………... 80

Tabla 15: Tabla de dominios…………………………………………………………...... 81

Tabla 16: Tabla de objetivos…………………………………………………………….. 81

Tabla 17: Tabla de controles…………………………………………………………….. 82

Tabla 18: Tabla de usuarios……………………………………………………………… 82

Tabla 19: Tabla de tipos de usuario……………………………………………………… 83

Tabla 20: Niveles de madurez ISO/IEC 21827:2008……………………………………. 95

Tabla 21: Valoración de controles……………………………………………………...... 96

Tabla 22: Evaluación de controles……………………………………………………...... 97

9

Listas de figuras

Figura 1: Ciclo PDCA…………………………………………………………………….

29

Figura 2: Fases del análisis de riesgo…………………………………………………….. 34

Figura 3: Fases de la metodología DRA…………………………………………………. 37

Figura 4: Organigrama Emserpa E.I.C.E., E.S.P………………………………………… 46

Figura 5: Prototipo de interfaz del usuario……………………………………………….. 70

Figura 6: Diagrama de clases…………………………………………………………...... 75

Figura 7: Actores…………………………………………………………………………. 77

Figura 8: Casos de uso del usuario……………………………………………………….. 77

Figura 9: Casos de uso del usuario Registrado…………………………………………... 78

Figura 10: Casos de uso del administrador………………………………………………. 78

Figura 11: Casos de uso del auditor……………………………………………………… 79

Figura 12: Casos de uso del gerente……………………………………………………… 80

Figura 13: Diagrama bases de datos……………………………………………………... 83

Figura 14: Interfaz iniciar sesión………………………………………………………… 84

Figura 15: Interfaz página de inicio……………………………………………………… 85

Figura 16: Interfaz módulo de configuración……………………………………………. 86

Figura 17: Interfaz módulo de información……………………………………………… 86

Figura 18: Interfaz módulo de editar usuario…………………………………………….. 87

Figura 19 Interfaz módulo de crear usuario……………………………………………… 88

Figura 20 Interfaz módulo de iniciar auditorías………………………………………….. 88

Figura 21 Interfaz módulo de iniciar auditorías …………………………………………. 89

Figura 22 Interfaz módulo de auditorías realizadas……………………………………… 89

Figura 23 Interfaz módulo de auditorías realizadas……………………………………… 90

Figura 24 Interfaz módulo de comparar………………………………………………….. 91

Figura 24 Interfaz módulo de comparar………………………………………………….. 91

10

Anexos

Anexos 1: Formato caracterización de los activos de información.……………………... 108

Anexos 2: Checklist para la identificación del riesgo de los activos de información……. 109

Anexos 3: Formato de identificación de amenazas y vulnerabilidades………………...... 112

Anexos 4: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013………. 115

11

Resumen

Actualmente la Empresa municipal de servicios públicos de Arauca Emserpa

E.I.C.E.,E.S.P., quien maneja un flujo muy relevante de información y siendo esta una entidad

del estado no cuenta con una Herramienta que realice el análisis en las auditorías referente a la

seguridad informática exponiendo así su activo más valioso como lo es la información.

Para la empresa municipal de servicios públicos de Arauca EMSERPA E.I.C.E., E.S.P., la

información que maneja es un activo vital para el éxito y la continuidad de sus

procedimientos, por ello la importancia de hacer un análisis en la información que allí se

maneja y que mejor manera que haciendo uso de la tecnología.

Por lo anterior y teniendo en cuenta la opción de grado para optar el título de ingeniero de

sistemas de la universidad cooperativa de Colombia el seminario de perfeccionamiento se

planteó como finalidad analizar la seguridad informática en la empresa municipal de servicios

públicos de Arauca EMSERPA E.I.C.E.,E.S.P., mediante una herramienta que simplifique los

resultados obtenidos

Por ello con la ejecución de este proyecto se desea el desarrollo de una herramienta que

proporcione el análisis y diagnóstico mediante el estándar de calidad ISO 27002:2013 y de

igual forma mostrar mediante una aplicación web (utilizando lenguaje de programación PHP y

un gestor de base de datos MySql) los resultados de dicho análisis ya que podrán hacer las

evaluaciones cada vez que lo requieran, de un modo más eficiente y oportuno.

De esta forma la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,

E.S.P., dará un paso gigante en cuanto al uso de la tecnología ya que será una herramienta de

fácil manejo pero que proporcionara unos resultados muy valiosos que serán de gran apoyo

para la toma de decisiones en la entidad municipal y de esta forma corregir errores, evitarlos y

blindarlos en un futuro.

12

Abstract

At present the municipal public services enterprise of Arauca Emserpa E.I.C.E., E.S.P.,

who handles a very important flow of information and this being an entity of the state does not

have a tool to perform the analysis on the audits relating to the computers security thus

exposing its most valuable asset as is the information.

For the municipal public services Enterprise of Arauca EMSERPA E.I.C.E.,E.S.P., The

information handling is a vital asset for the success and continuity of its procedures, therefore

the importance of making an analysis in the information that is handled there and what better

way to do it that doing use of the technology.

Due to all those reasons above and taking it into account as a graduation option aim for the

degree of systems engineer of the Cooperative university of Colombia. The seminary of

perfection proposed itself as a goal to analyze the computers security of the municipal public

services Enterprise of Arauca EMSERPA E.I.C.E., E.S.P., by using a tool that simplifies the

obtained results.

Therefore the execution of this project desires the development of a tool that provides the

analysis and diagnostic through the ISO 27002:2013 standard quality and likewise show

through a web application (Using PHP programming language and the database manager

MySql), the results of this analysis, since it can make assessments whenever it required as a

more efficient and timely way.

Thus the municipal public services Enterprise of Arauca Emserpa E.I.C.E., E.S.P., will give

a step towards in terms of using the technology because it will be an easy management tool

and it will give a very valuables results that will be a great support for the decisions making in

the municipal entity and thus prevent, correct and shield mistakes in the future.

13

Introducción

Por estos tiempos la información se establece como un activo de suma importancia para

funcionalidad en las empresas, por ello cada día existen personas mal intencionadas quienes

sin la autorización previa intentan acceder a los datos que se encuentran en los ordenadores

ocasionando como posible consecuencia la inevitable perdida de la información, siendo esto

un habitado frecuente ocasionado una crisis en el normal desarrollo de las actividades si las

copias de seguridad no se encuentran al día.

Teniendo en cuenta la importancia de salvaguardar su activo más valioso como lo es la

información, las empresas implementan un sistema de gestión de la seguridad de la

información (SGSI), el cual constituye unos procedimientos adecuados de controles de

seguridad fundados en una evaluación de los riesgos y en un posterior cálculo de la eficacia

de los mismos, buscando así minimizarlos y controlarlos de una manera documentada

ofreciendo una mejora continua disminuyendo las vulnerabilidades y acrecentando el valor de

los activos en las empresas.

Esto hace que la seguridad informática para las empresas entendiéndola como un conjunto

de normas y procedimientos que garantice la disponibilidad, integridad y la confidencialidad

se vuelve indispensable su implementación.

De esta manera se hace necesario para las empresas las auditorías en la seguridad de la

información ya que ello permite la identificación de los riesgos, las vulnerabilidades y posibles

amenazas, dando paso a los responsables de las áreas de TI herramientas suficientes para la

toma de decisiones.

En este documento queda plasmado lo realizado en el análisis de la seguridad informática

caso de estudio: empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P.,

dando como valor agregado un aplicativo web que muestre los resultados de la evaluación de

una manera eficiente y oportuna bajo el estándar de calidad ISO 27002:2013, dando así un uso

responsable de las herramientas que nos ofrecen las tecnologías.

14

Capítulo

1

Proyecto de Grado

15

Introducción

En este capítulo se dará a conocer las diferentes características del proyecto realizado como

seminario de perfeccionamiento y que tuvo como desarrollo el Análisis de la seguridad

informática mediante el uso de un aplicativo web a la Empresa municipal de servicios públicos

de Arauca EMSERPA E.I.C.E., E.S.P. en el departamento de Arauca.

1.1. Planteamiento del problema

1.1.1 Descripción del problema.

La empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., maneja un

flujo muy alto e importante de información y a la fecha no cuenta con una herramienta que

brinde un análisis en la seguridad de la información de manera eficiente y oportuna para la

posterior toma de decisiones.

Por lo anterior se hace necesario que la empresa municipal de servicios públicos de Arauca

Emserpa E.I.C.E., E.S.P., empiece a darle un mejor tratamiento e importancia al flujo de la

información ya que la seguridad de la misma implementa procesos dentro de las entidades

para lograr una circulación de activos o datos y la vez hace que aparezcan vulnerabilidades

que ponen en riesgo toda la información que contiene sus bases de datos.

Por ende la seguridad de la información lo hace ver como un conjunto de políticas de

administración de la misma enfocada al diseño e implementación, para gestionar

eficientemente la accesibilidad de la información y como todo proceso de gestión debe seguir

siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la

organización así como los externos del entorno. Teniendo en cuenta que la información ha

sido y seguirá siendo el activo más valioso para una empresa y/o entidad por lo cual se debe

proteger siendo esta una tarea continua y de vital importancia que debe adaptase y estar a la

vanguardia de la tecnología.

16

Para la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., la

seguridad de la información, tiene una importancia considerable y consiste en la preservación

de su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad así como de los

sistemas implicados en su tratamiento.

Para ello la Confidencialidad de la información no se pone a disposición ni se revela a

individuos, entidades o procesos no autorizados y donde la integridad resalta la exactitud y

completitud de la información y sus métodos de proceso, haciendo de la disponibilidad un

acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de

los individuos, entidades o procesos autorizados cuando lo requieran.

En las visitas realizadas al área de TI, arrojo como resultado la ausencia de análisis en la

seguridad de la información sin poder identificar sus riesgos al que están expuestos sus

activos. Por ello la imperante necesidad de implementar una herramienta que me permita

analizar la información resultante en la seguridad de la información para la posterior toma de

decisiones.

1.1.2 Formulación del problema.

¿De qué forma la auditoría en la seguridad informática basada en el estándar ISO

27001:2013, contribuye al manejo eficiente de la información de la Empresa municipal de

Servicios Públicos de Arauca EMSERPA E.I.C.E.,E.S.P.?

1.2 Justificación

Para la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.E.S.P., la

seguridad de la información es de una importancia muy significativa por ello la necesidad de

utilizar una herramienta que analice de manera eficiente y oportuna los resultados de las

auditorías para brindar a quien corresponda una alternativa viable y segura para cualquier

toma de decisión.

Debido a que el flujo de la información en la Empresa municipal de Servicios públicos de

Arauca Emserpa E.I.C.E., E.S.P., tiene un valor representativo y el no uso de auditorías

periódicas en el campo de la TI, implican un atraso tecnológico considerable y peor aún,

exponiendo así a uno de los activos más importantes, relevante y significativo de la entidad

pública: la información.

17

Con la realización del aplicativo web, permitirá conocer de manera oportuna los resultados

de las auditarías y de esta manera aportar al crecimiento tecnológico en la empresa municipal

de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., culturizando al uso adecuado de las

misma y haciendo referencia a la directiva presidencial Nro. 04 del 3 de abril del 2012 en el

cual manifiesta la eficiencia administrativa y lineamientos de la política cero papel en la

administración púbica.

1.3 Objetivos

1.3.1 Objetivo general.

Analizar la seguridad informática de la Empresa Municipal de Servicios Públicos de

Arauca bajo el estándar ISO 27002:2013 mediante la Generación de un aplicativo web

establecido en relación a la metodología Magerit y DRA.

1.3.2 Objetivos específicos.

• Caracterizar los dominios de control del área de TI de la empresa municipal de

servicios público de Arauca EMSERPA E.I.C.E., E.S.P., mediante el uso de la

metodología Magerit para establecer los riesgos que existen en la seguridad de la

información y así mismo emplear la metodología DRA para generar los requerimientos

necesarios del aplicativo Web.

• Analizar mediante el uso de la metodología Magerit el SGSI en relación a la

información recopilada en el área de TI de la empresa municipal de servicios públicos

de Arauca EMSERPA E.I.C.E., E.S.P.

• Diseñar el modelado de datos y procesos que permita darle un direccionamiento

y una finalidad al aplicativo web, por medio del documento de los requerimientos

necesarios.

• Generar un aplicativo web que permita el análisis de seguridad de la

información del área de TI en la empresa municipal de servicios públicos de Arauca

18

EMSERPA E.I.C.E., E.S.P., basado en el estándar ISO 27002:2013, a través de la

metodología DRA y la plataforma PHP y el gestor de bases de datos MySql.

• Evaluar los riesgos identificados en el análisis de seguridad de la información

del área de TI en la empresa municipal de servicios públicos de Arauca EMSERPA

E.I.C.E., E.S.P., a través del aplicativo web.

1.4 Metodología

La metodología a utilizar para el desarrollo del proyecto es la metodología Magerit

elaborada por el Consejo Superior de Administración Electrónica de España y el modelo SSE-

CMM (Systems Security Engineering – Capability Maturity Model) ya que es un método

formal para investigar los riesgos que soportan los sistemas de información, y para

recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso

de las tecnologías de la información, que supone unos beneficios evidentes para los

ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de

seguridad que generen confianza.

Para dar cumplimiento al desarrollo del proyecto haremos uso de los instrumentos para la

recopilación de la información como lo es el Checklist, u hojas de verificación ya que son

formatos creados para realizar actividades repetitivas, controlar el cumplimiento de una lista

de requisitos o recolectar datos ordenadamente y de forma sistemática.

El desarrollo de esta esta metodología contempla las siguientes fases:

➢ Fase 1: definir el alcance. El primer paso a la hora de llevar a cabo el análisis

de riesgos es establecer el alcance del estudio. Vamos a considerar que este análisis de

riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el

análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado

las áreas estratégicas sobre las que mejorar la seguridad.

19

➢ Fase 2: Identificar los activos. Una vez definido el alcance, debemos

identificar los activos más importantes que guardan relación con el departamento,

proceso, o sistema objeto del estudio.

➢ Fase 3: Identificar amenazas. Habiendo identificado los principales activos, el

siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal

y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos

hacer un esfuerzo en mantener un enfoque práctico y aplicado.

➢ Fase 4: Identificar vulnerabilidades y salvaguardas. La siguiente fase

consiste en estudiar las características de nuestros activos para identificar puntos

débiles o vulnerabilidades.

➢ Fase 5: Evaluar el riesgo. Disponemos de los siguientes elementos

(inventarios de activos, conjunto de amenazas a las que están expuestas los activos,

conjunto de vulnerabilidades asociadas a cada activo, conjunto de medidas de

seguridad implantadas).

Metodología para el desarrollo del software

El Desarrollo Rápido de Aplicaciones o RAD (Rapid Application Development) es un

proceso de desarrollo de software, el método comprende el desarrollo iterativo, la construcción

de prototipos y el uso de utilidades CASE.

El DRA es un modelo de proceso del desarrollo del software lineal secuencial que enfatiza

un ciclo de desarrollo extremadamente corto. DRA es una adaptación a "Alta velocidad" en el

que se logra el desarrollo rápido utilizando un enfoque de construcción basado en

componentes. Si se comprenden bien los requisitos y se limita el ámbito del proyecto, el

proceso DRA permite al equipo de desarrollo crear un "sistema completamente funcional"

dentro de periodos cortos de tiempo.

Cuando se utiliza principalmente para aplicaciones de sistemas de información, el enfoque

DRA comprende las siguientes fases:

➢ Modelado de Gestión: el flujo de información entre las funciones de gestión se

modela de forma que responda a las siguientes preguntas: ¿Que información conduce

el proceso de gestión? ¿Que información se genera? ¿Quién la genera? ¿A dónde va la

información? ¿Quién la procesa?

20

➢ Modelado de Datos: el flujo de información definido como parte de la fase de

modelado de gestión se refina como un conjunto de objetos de datos necesarios para

apoyar la empresa. Se definen las características (llamadas atributos) de cada uno de

los objetos y las relaciones entre estos objetos.

➢ Modelado de Proceso: los objetos de datos definidos en la fase de modelado

de datos quedan transformados para lograr el flujo de información necesario para

implementar una función de gestión. Las descripciones del proceso se crean para

añadir, modificar, suprimir, o recuperar un objeto de datos.

➢ Generación de Aplicaciones: El DRA asume la utilización de técnicas de

cuarta generación. En lugar de crear software con lenguajes de programación de

tercera generación, el proceso DRA trabaja para volver a utilizar componentes de

programas ya existentes (cuando es posible) o a crear componentes reutilizables

(cuando sea necesario). En todos los casos se utilizan herramientas automáticas para

facilitar la construcción del software.

➢ Pruebas de Entrega: Como el proceso DRA enfatiza la reutilización, ya se han

comprobado muchos de los componentes de los programas. Esto reduce tiempo de

pruebas. Sin embargo, se deben probar todos los componentes nuevos y se deben

ejercitar todas las interfaces a fondo.

1.4.1 Tipos de Investigación.

Para la ejecución de este proyecto utilizaremos una investigación cuantitativa y cualitativa.

La primera de ellas permitirá medir la cantidad y nivel de efectiva de cada uno de los controles

que se han de generar para compararlos con los ya existentes y de esta manera hacer una

proyección a un período futuro. Por otra parte, con la investigación cualitativa se podrá

analizar e interpretando los datos mediante la observación del entorno y entrevistas hechas a

las personas que interactúan directamente con el sistema.

21

1.4.2 Población.

El área de las tecnologías y comunicaciones de la empresa está constituida por 2 personas,

uno como trabajador oficial (planta) y el otro de libre nombramiento.

Ingeniero Ricardo Estupiñan Jefe de información y tecnología

Técnico Edgar Angarita Aux. De sistemas

1.4.3 Muestra.

La selección de la muestra se toma de una parte de la población del área de TI para la

recopilación de la información. La parte seleccionada será:

Ingeniero Ricardo Estupiñan Jefe de información y tecnología

Z2NPQ

n=

e2(N-1) + Z2PQ

(1.96)2*(5)*(0.5)*(0.5)

n= =

4,87

(0.08)2*(5-1)+ (1.96)2*(0.5)*(0.5)

En donde:

N= población

n= tamaño de la muestra

Z= grado de confianza: 1.96

P= probabilidad de éxito: 0.5

Q= probabilidad de fracaso: 0.5

e= error: 0.08

22

1.4.4 Instrumentos de Recolección de la Información.

Se denomina Check-List a la lista de comprobación que se utiliza para servir de guía y

recordar los puntos que deben ser inspeccionados en función de los conocimientos que se

tienen sobre las características y riesgos de las instalaciones. Viene a ser un cuestionario

de preguntas en el que se responderá SI o NO, concretamente es una lista de comprobación de

determinadas condiciones de trabajo compuesta por varios ítems que pueden contener una o

varias preguntas según sea el caso.

El check-list debe referirse básicamente a cuatro aspectos distintos de la prevención de

riesgos laborales:

➢ Al agente material: instalaciones, máquinas, herramientas, sustancias

peligrosas, suelos, paredes, objetos

➢ Al entorno ambiental: orden y limpieza, ruido, iluminación, temperatura,

condiciones higrométricas, corrientes de aire.

➢ A las características personales de los trabajadores: conocimientos, aptitudes,

actitudes, grado de adiestramiento, comportamiento.

➢ A la empresa u organización: gestión de la prevención, formación, métodos y

procedimientos, sistema de comunicaciones.

Cada supervisor encargado de la prevención que deba realizar una inspección de seguridad

debe elaborar y adaptar los check-list a las circunstancias de cada momento según

corresponda, deben de ser lo más claros e inteligibles que sea posible.

A ser posible un ítem o cuestión debe contener una sola pregunta que haga referencia a un

solo elemento y no a varios. Así, una pregunta como ¿Son seguras las máquinas? es

improcedente ya que una respuesta positiva indicaría que lo son todas, cosa bastante

improbable, sin embargo una respuesta negativa tampoco sería correcta. Una pregunta correcta

sería ¿Es segura la Maquina 2R? Si lo es no hay que hacerse más preguntas respecto a ella,

pero si la respuesta es negativa, no será suficiente con esto, habrá que hacerse

más preguntas como ¿Tiene el marcado CE?, ¿Se compró antes del año 1997?, y

otras preguntas para determinar la causa de su inseguridad, a fin de tener toda la información

posible relacionada a ese equipo.

23

Capítulo

2

Marco Referencial

24

Introducción

Este capítulo explica las reglamentaciones legales de la constitución política de Colombia,

los conceptos de las metodologías a emplear en el proyecto y varios datos relevantes de la

empresa. Todo esto, para llevar al lector a comprender los significados de las palabras más

importantes que vamos a emplear en el desarrollo del proyecto.

2.1. Marco legal

Este capítulo presentara las reglamentaciones que rigen la integridad de los datos y la

protección de la información.

La constitución Política de Colombia, en el capítulo de los derechos fundamentales, nos

expresa “Todas las personas tienen derecho a su intimidad personal y familiar y a su buen

nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a

conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos

de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y

circulación de datos se respetarán la libertad y demás garantías consagradas en la

Constitución. La correspondencia y demás formas de comunicación privada son inviolables.

Sólo pueden ser interceptadas o registradas mediante orden judicial, en los casos y con las

formalidades que establezca la ley. Para efectos tributarios o judiciales y para los casos de

inspección, vigilancia e intervención del Estado podrá exigirse la presentación de libros de

contabilidad y demás documentos privados, en los terminos que señale la ley”.

La Ley 1581 de 2012, dicta las disposiciones generales para la protección de datos

personales, en el artículo 4: Principios para el Tratamiento de datos personales; Esta ley busca

aplicar de manera armónica e integral algunos principios para tratar los datos personales. El

uso de los datos personales debe tener una finalidad específica y así mismo, contar con el

25

consentimiento de las personas involucradas. Los datos no se pueden alterar, se debe mantener

una calidad y veracidad, por lo tanto no se puede utilizar datos parciales, incompletos o

parciales. La persona que manipula estos datos debe tener permisos y garantizar la

transparencia. Además, se deben tomar medidas técnicas para suministrar seguridad a los

datos que se están manipulando y restringir las personas que pueden tener accesos a estos.

Directiva Presidencial 4 De 2012, dicta eficiencia administrativa y lineamientos de la

política cero papel en la administración pública. Dentro de las estrategias principales para la

implementación de esta política, se encuentra la denominada “Cero Papel” que consiste en la

sustitución de los flujos documentales en papel por soportes y medios electrónicos,

sustentados en la utilización de Tecnologías de la Información y las Telecomunicaciones. Esta

estrategia, además de los impactos en favor del ambiente, tiene por objeto incrementar la

eficiencia administrativa.

2.2. Marco conceptual

El ILACIF, define la auditoría como: “Es el examen objetivo, sistemático y profesional de

las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que

contenga comentarios, conclusiones y recomendaciones”. ((ILACIF)., 1981)

ISO 27001 es una norma internacional emitida por la Organización Internacional de

Normalización (ISO) y describe cómo gestionar la seguridad de la información en una

empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre

completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada

en base a la norma británica BS 7799-2. (Leal, 2015)

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de

lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del

mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad

de la información en una organización. También permite que una empresa sea certificada; esto

26

significa que una entidad de certificación independiente confirma que la seguridad de la

información ha sido implementada en esa organización en cumplimiento con la norma ISO

27001.(Leal, 2015)

2.3. Marco Teórico

Datos

La mayoría de los autores asumen que el investigador desempeña un papel activo respecto a

los datos: el dato es el resultado de un proceso de elaboración es decir, el dato hay que

construirlo. (Flores, 1994)

Aplicaciones

El software que se utiliza para la gestión de la información. (Poveda, 2013)

Personal

En esta categoría se encuentra tanto la plantilla propia de la organización, como el personal

subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una

manera u otra a los activos de información de la organización.(Poveda, 2013)

Tecnología

Los equipos utilizados para gestionar la información y las comunicaciones (servidores,

PCs, teléfonos, impresoras, routers, cableado, etc.) (Poveda, 2013)

Instalaciones

Lugares en los que se alojan los sistemas de información (oficinas, edificios, vehículos,

etc.) (Poveda, 2013)

Equipamiento auxiliar

En este tipo entrarían a formar parte todos aquellos activos que dan soporte a los sistemas

de información y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de

destrucción de datos, equipos de climatización, etc.) (Poveda, 2013)

27

PHP

(Acrónimo recursivo de PHP: Hypertext Preprocessor) es un lenguaje de código abierto

muy popular especialmente adecuado para el desarrollo web y que puede ser incrustado en

HTML.(GroupPHP, 2001)

MySQL

Es un gestor de base de datos sencillo de usar e increíblemente rápido. También es uno de

los motores de base de datos más usados en Internet, la principal razón de esto es que es gratis

para aplicaciones no comerciales. (WebEstilo, 2009)

CSS

Hojas de Estilo en Cascada (CSS) es un lenguaje de estilo de hojas usado para describir la

presentación de las páginas web. CSS permite la separación del contenido del documento de la

presentación del documento (disposición, colores, fuentes, entre otras). (Luján Mora &

Aragonés Ferrero, 2012)

Amenaza.

Las amenazas son eventos que pueden causar alteraciones a la información de la

organización ocasionándole pérdidas materiales, económicas, de información, y de prestigio.

Las amenazas se consideran como exteriores a cualquier sistema, es posible establecer

medidas para protegerse de las amenazas, pero prácticamente imposible controlarlas y menos

aún eliminarlas.(Barrientos, 2011)

Vulnerabilidad

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser

aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí

mismos sin tratarse de un ataque intencionado. A las vulnerabilidades se les consideran un

28

elemento interno del sistema, por lo que es tarea de los administradores y usuarios el

detectarlos, valorarlos y reducirlos. (Barrientos, 2011)

Virus

Este tipo de código malicioso tiene como principal característica la capacidad de duplicarse

a sí mismo usando recursos del sistema infectado, propagando su infección

rápidamente.(Barrientos, 2011)

Antivirus.

El software antivirus es un programa de computación que detecta, previene y toma medidas

para desarmar o eliminar programas de software malintencionados, como virus y gusanos.

Para ayudar a evitar los virus más recientes, debe actualizar el software antivirus con

regularidad. Puede configurar la mayoría de los programas de software antivirus para que se

actualicen automáticamente. (Microsoft, 2012)

Backup.

La palabra "Backup" significa subir respaldo, siendo común el uso de este término dentro

del ámbito informático. El respaldo de información es la copia de los datos importantes de un

dispositivo primario en uno o varios dispositivos secundarios, ello para que en caso de que el

primer dispositivo sufra una avería electromecánica o un error en su estructura lógica.

(Informaticamoderna, 2008)

Ciclo PDCA.

El Ciclo de mejora continua PDCA está constituido por cuatro actividades: “Plan”, “Do”,

“Check”, “Act”, o en su versión española, Planificar, Desarrollar, Chequear y Ajustar/Actuar,

que forman un ciclo que se repite de forma continua. El Ciclo de mejora continua PDCA se

utiliza para llevar a cabo la mejora continua y lograr de una forma sistemática y estructurada la

resolución de problemas. Se comporta como un instrumento que resulta ser la base de todo

desarrollo de los procesos. Nos sirve para al abordaje de cualquier reflexión estratégica de

29

nuestra organización, pudiendo convertirse en el esqueleto del modelo de gestión que vayamos

a utilizar.

El ciclo PDCA o Deming, no es ni más ni menos que aplicar la lógica y hacer las cosas de

forma ordenada y correcta. Su uso no se limita exclusivamente a la implantación de la mejora

continua, sino que se puede utilizar, lógicamente, en una gran variedad de situaciones y

actividades. (Rodriguez, 2015)

Figura 1: Ciclo PDCA

Fuente: Elaborado por los autores del documento

30

El ciclo PDCA cuenta con 4 fases, que son las siguientes:

Planificar (Plan): En esta primera fase cabe preguntarse cuáles son los objetivos que se

quieren alcanzar y la elección de los métodos adecuados para lograrlos. Conocer previamente

la situación de la organización mediante la recopilación de todos los datos e información

necesaria será fundamental para establecer los objetivos. La planificación debe incluir el

estudio de causas y los correspondientes efectos para prevenir los fallos potenciales y los

problemas de la situación sometida a estudio, aportando soluciones y medidas correctivas.

(Rodriguez, 2015)

Hacer (Do): Consiste en llevar a cabo el trabajo y las acciones correctivas planeadas en la

fase anterior. Corresponde a esta fase la formación y educación de las personas y empleados

para que adquieran un adiestramiento en las actividades y actitudes que han de llevar a cabo.

Es importante comenzar el trabajo de manera experimental, para, una vez que se haya

comprobado su eficacia en la fase siguiente, formalizar la acción de mejora en la última etapa.

(Rodriguez, 2015)

Verificar (Check): Es el momento de verificar y controlar los efectos y resultados que

surjan de aplicar las mejoras planificadas. Se ha de comprobar si los objetivos marcados se

han logrado o, si no es así, planificar de nuevo para tratar de superarlos. En resumen, se trata

de: Diagnosticar a partir de los resultados o Volver a la etapa planificar si no se han obtenido

los resultados deseados. (Rodriguez, 2015)

Actuar (Act): Una vez que se comprueba que las acciones emprendidas dan el resultado

apetecido, es necesario realizar su normalización mediante una documentación adecuada,

describiendo lo aprendido, cómo se ha llevado a cabo, etc. Se trata, al fin y al cabo, de

formalizar el cambio o acción de mejora de forma generalizada, introduciéndolo en los

procesos o actividades. (Rodriguez, 2015)

Confidencialidad.

Requiere que la información sea accesible únicamente por las entidades autorizadas. De

esta manera, se dice que un documento (o archivo o mensaje) es confidencial si y sólo si puede

31

ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de

un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una

persona no autorizada. (Garcia, 2013)

Controles.

El proceso para determinar lo que se está llevando a cabo, valorización y, si es necesario,

aplicando medidas correctivas, de manera que la ejecución se desarrolle de acuerdo con lo

planeado. (Terry, 2000)

Cuarto de telecomunicaciones.

Es un espacio dentro de una organización donde se proporciona todos los equipos de

hardware, que se van a utilizar. Por ejemplo los servidores, los rack, switch y demás

componentes.

Disponibilidad.

Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y

utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran. Supone que la

información pueda ser recuperada en el momento en que se necesite, evitando su pérdida o

bloqueo.(Garcia, 2013)

Hardware.

En el lenguaje informático, el Hardware, está integrado por los elementos físicos y

tangibles de una computadora, tanto los que están a la vista (teclado, impresora, monitor,

mouse, scanner, entre otros.) como los que se encuentran dentro del gabinete (disco rígido,

memoria, microprocesador, entre otros.). (Andres, 2007)

Información.

Es un conjunto de datos con un significado, o sea, que reduce la incertidumbre o que

aumenta el conocimiento de algo. En verdad, la información es un mensaje con significado en

un determinado contexto, disponible para uso inmediato y que proporciona orientación a las

32

acciones por el hecho de reducir el margen de incertidumbre con respecto a nuestras

decisiones. (Idalberto, 2006)

Integridad.

Es la cualidad de un mensaje, comunicación o archivo, que permite comprobar que no se ha

producido manipulación alguna en el original, es decir, que no ha sido alterado. (Garcia, 2013)

Mantenimiento correctivo.

Este es el que hacemos cuando algo falla, una vez que se diagnostica el problema se busca

una manera de solucionarlo. Me gusta comparar los problemas de los ordenadores con los de

salud de la gente, si tienes una falla de hardware te mandan al cirujano, te arreglan las piezas

malas y si no hay remedio, pues al cementerio, tal vez algunos órganos funcionen y puedan ser

donados a otras PCs. (González, 2014)

Mantenimiento preventivo.

Es todo aquello que hacemos con el propósito de mantener nuestro ordenador funcionando

de la manera más satisfactoria posible. Para esto hay que hacer una que otra prueba de vez en

cuando, mientras más sistemáticos seamos más indoloro es el proceso. Todo con el objetivo de

evitar la mayor cantidad de problemas, o de mitigar el daño en caso de una falla. (González,

2014)

Mitología MAGERIT

La Metodología Magerit, es un método formal para investigar los riesgos que soportan los

Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse

para controlar estos riesgos. El análisis y gestión de los riesgos es un aspecto clave del Real

Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el

ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al

principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos

33

mínimos para la protección adecuada de la información. (Ministerio de Hacienda y

Administraciones Públicas de España, 2012)

Magerit es un instrumento para facilitar la implantación y aplicación del Esquema Nacional

de Seguridad proporcionando los principios básicos y requisitos mínimos para la protección

adecuada de la información.

Objetivos:

Magerit, nos presenta los siguientes objetivos, clasificados en directos e indirectos.

Directos:

✓ Concienciar a los responsables de las organizaciones de información de la existencia de

riesgos y de la necesidad de gestionarlos

✓ Ofrecer un método sistemático para analizar los riesgos derivados del uso de

tecnologías de la información y comunicaciones (TIC)

✓ Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo

control

Indirectos:

✓ Preparar a la Organización para procesos de evaluación, auditoría, certificación o

acreditación, según corresponda en cada caso

También se ha buscado la uniformidad de los informes que recogen los hallazgos y las

conclusiones de las actividades de análisis y gestión de riesgos

34

ANALISIS DE RIESGOS

En materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los

trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la

seguridad de la información. Si consideramos que las herramientas tecnológicas y la

información que manejamos son de gran valor para nuestra organización debemos empezar a

pensar en poner en práctica un Plan Director de Seguridad. Este plan se puede simplificar

como la definición y priorización de un conjunto de proyectos en materia de seguridad de la

información dirigido a reducir los riesgos a los que está expuesta la organización hasta unos

niveles aceptables a partir de un análisis de la situación inicial.

Para realizar un análisis de riesgos se deben seguir las siguientes fases, de las cuales para el

proyecto utilizaremos las primeras 5 fases:

Figura 1: Fases del Análisis de riesgos.

Fuente: Fuente especificada no válida.

35

Fase 1: Definir Alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos es establecer el alcance del

estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de

Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance

del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad.

Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos,

procesos o sistemas. Por ejemplo, análisis de riesgos sobre los procesos del departamento

Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o

análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.

En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los

servicios y sistemas del Departamento Informática”.

Fase 2: Identificar Activos

Una vez definido el alcance, debemos identificar los activos más importantes que guardan

relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un

inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla

Fase 3. Identificar / seleccionar las amenazas

Habiendo identificado los principales activos, el siguiente paso consiste en identificar las

amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es

amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y

aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la

destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor,

la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de

plantearnos el riesgo de que el CPD sea destruido por un meteorito.

36

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros activos para identificar

puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser

identificar un conjunto de ordenadores o servidores cuyos sistemas antivirus no están

actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte

del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para

reflejar las vulnerabilidades identificadas.

Fase 5. Evaluar el riesgo

Llegado a este punto disponemos de los siguientes elementos:

Inventario de activos.

✓ Conjunto de amenazas a las que está expuesta cada activo.

✓ Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).

✓ Conjunto de medidas de seguridad implantadas

METODOLOGIA DRA

El desarrollo rápido de aplicaciones o RAD (acrónimo en inglés de rapid application

development) es un proceso de desarrollo de software, desarrollado inicialmente por James

Martin en1980. El método comprende el desarrollo interactivo, la construcción de prototipos y

el uso de utilidades CASE (Computer Aided Software Engineering). Tradicionalmente, el

desarrollo rápido de aplicaciones tiende a englobar también la usabilidad, utilidad y la rapidez

de ejecución.

Esta metodología ha tomado gran auge debido a la necesidad que tienen las instituciones de

crear aplicaciones funcionales en un plazo de tiempo corto. RAD es un ciclo de desarrollo

diseñado para crear aplicaciones de computadoras de alta calidad de las que acontecen en

corporaciones grandes. (Carrillo & Oliva, 2011)

37

La metodología DRA consta de 5 fases para su desarrollo:

Modelado de gestión

El flujo de información entre las funciones de gestión se modela de forma que responda a

las siguientes preguntas: ¿Qué información conduce el proceso de gestión? ¿Qué información

se genera? ¿Quién la genera? ¿A dónde va la información? ¿Quién la procesa?

Figura 3: Fases de la Metodología DRA

Fuente: (Carrillo & Oliva, 2011)

38

Modelado de datos

El flujo de información definido como parte de la fase de modelado de gestión se refina

como un conjunto de objetos de datos necesarios para apoyar la empresa. Se definen las

características (llamadas atributos) de cada uno de los objetos y las relaciones entre estos

objetos.

Modelado de proceso

Los objetos de datos definidos en la fase de modelado de datos quedan transformados para

lograr el flujo de información necesario para implementar una función de gestión. Las

descripciones del proceso se crean para añadir, modificar, suprimir, o recuperar un objeto de

datos. Es la comunicación entre los objetos.

Generación de aplicaciones

El DRA asume la utilización de técnicas de cuarta generación. En lugar de crear software

con lenguajes de programación de tercera generación, el proceso DRA trabaja para volver a

utilizar componentes de programas ya existentes (cuando es posible) o a crear componentes

reutilizables (cuando sea necesario). En todos los casos se utilizan herramientas automáticas

para facilitar la construcción del software.

Pruebas de entrega

Como el proceso DRA enfatiza la reutilización, ya se han comprobado muchos de los

componentes de los programas. Esto reduce tiempo de pruebas. Sin embargo, se deben probar

todos los componentes nuevos y se deben ejercitar todas las interfaces a fondo.

39

Por qué usar DRA

✓ Malas razones

Prevenir presupuestos rebasados (RAD necesita un equipo disciplinado en manejo de

costos).

Prevenir incumplimiento de fechas (RAD necesita un equipo disciplinado en manejo de

tiempo).

✓ Buenas razones

Convergir tempranamente en un diseño aceptable para el cliente y posible para los

desarrolladores.

Limitar la exposición del proyecto a las fuerzas de cambio.

Ahorrar tiempo de desarrollo, posiblemente a expensas de dinero o de calidad del producto.

Ventajas de DRA

✓ Comprar puede ahorrar dinero en comparación con construir.

✓ Los entregables pueden ser fácilmente trasladados a otra plataforma.

✓ El desarrollo se realiza a un nivel de abstracción mayor.

✓ Visibilidad temprana.

✓ Mayor flexibilidad.

✓ Menor codificación manual.

✓ Mayor involucramiento de los usuarios.

✓ Posiblemente menos fallas.

✓ Posiblemente menor costo.

✓ Ciclos de desarrollo más pequeños.

✓ Interfaz gráfica estándar.

40

Norma ISO/IEC 27000

Es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International

Organization for Standardization) e IEC (International Electrotechnical Commission), que

proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier

tipo de organización, pública o privada, grande o pequeña. (ISO27000, 2014).

A continuación se incorpora una relación con la serie de normas ISO 27000 y una

descripción de las más significativas:

Tabla 1: Normativa ISO/IEC 27000.

Normativa ISO/IEC 27000.

ITEM NORMA

ISO/IEC

DESCRIPCIÓN

1

ISO 27000

Esta Norma Internacional proporciona una visión general

de los sistemas de gestión de seguridad de la información, y

los términos y definiciones de uso común en la familia de

normas de SGSI. Esta norma es aplicable a todo tipo y

tamaño de organización (por ejemplo, empresas comerciales,

agencias gubernamentales, organizaciones sin ánimo de

lucro). (International Organization for

Standardization/International Electrotechnical Commission,

2014)

2

ISO 27001

Especifica los requisitos para establecer, implementar,

operar, monitorear, revisar, mantener y mejorar los sistemas

de gestión de seguridad de la información (SGSI) formalizado

dentro del contexto de los riesgos globales de negocio de la

organización. Especifica los requisitos para la aplicación de

los controles de seguridad de la información adaptados a las

necesidades de las organizaciones o partes de las mismas.

(International Organization for Standardization/International

Electrotechnical Commission, 2014)

3

ISO 27002

Proporciona una lista de objetivos de control comúnmente

aceptados y las mejores prácticas para ser utilizadas como una

guía de implementación en la selección y la aplicación de

controles para lograr la seguridad de la información.

(International Organization for Standardization/International


Proporciona una guía práctica de implementación y

proporciona más información para establecer, implementar,

41

4 ISO 27003 operar, monitorear, revisar, mantener y mejorar un SGSI

según ISO / IEC 27001. (International Organization for


2014)

5

ISO 27004

Proporciona orientación y asesoramiento sobre el

desarrollo y uso de las mediciones con el fin de evaluar la

eficacia del SGSI, los objetivos de control y controles

utilizados para implementar y administrar la seguridad de la

información, tal como se especifica en la norma ISO / IEC

27001. (International Organization for


2014)

6

ISO 27005

Proporciona directrices para la gestión de riesgos de

seguridad de la información. El método descrito en esta

norma es compatible con los conceptos generales

especificados en la norma ISO / IEC 27001. (International

Organization for Standardization/International


7

ISO 27006

Especifica los requisitos y proporciona una guía para los

organismos que realizan la auditoría y la certificación del

SGSI según ISO / IEC 27001. Ésta norma está destinada

principalmente para apoyar la acreditación de organismos de

certificación que ofrecen certificación SGSI según ISO / IEC

27001. (International Organization for


2014)

8

ISO 27007

Proporciona orientación sobre la realización de auditorías

de SGSI, así como orientación sobre la competencia de los

auditores de sistemas de gestión de seguridad de la

información. (International Organization for


2014)

Fuente: Elaborado por los autores del documento.

42

Políticas de seguridad.

Las políticas de seguridad informática tienen por objeto establecer las medidas de índole

técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de

información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas

que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los

usuarios de cómputo de las empresas. (Benitez, 2013)

2.4. Marco contextual

Actualmente la Empresa municipal de servicios públicos de Arauca Emserpa

E.I.C.E.,E.S.P., ubicada en la carrera 24 entre calle 18 y 19 en el edificio CAM, bloque #3 y

Mediante Acuerdo Municipal No. 023 del 08 de diciembre de 1993, se modificó el Acuerdo

026 de 1988, dándole a EMSERPA la administración de los servicios de Aseo Público. Con la

transformación de la Empresa se separaron los servicios públicos no domiciliarios que

administraba (Plaza de Mercado, Matadero y Cementerio); buscando siempre la eficiencia y la

eficacia en la prestación de los servicios. La filosofía de la Ley, expresa el nacimiento de

nuevas empresas, sanas financiera y administrativamente; sin embargo esta empresa no ha

podido proyectar su gestión, toda vez que asumió los pasivos comerciales y laborales del

anterior ente administrativo. (EMSERPA, Empresa Municipal de Servicios Publicos de

Arauca, EMSERPA, 2015)

2.4.1. Misión.

Somos una Empresa Industrial y Comercial del Estado del orden Municipal, responsable

de la prestación de los servicios de Acueducto, Alcantarillado y Aseo en el área urbana del

Municipio de Arauca, contribuyendo al bienestar de la comunidad, con personal idóneo,

sostenibilidad ambiental y mejora continua de los procesos. (EMSERPA, Misión y Visión -

Emserpa E.I.C.E. E.S.P., 2015)

43

2.4.2. Visión.

En el año 2024 EMSERPA E.I.C.E. E.S.P. será una empresa líder en la prestación de los

servicios públicos de acueducto, alcantarillado y aseo en el Departamento de Arauca, con

compromiso, calidad, transparencia y responsabilidad social, contribuyendo a mejorar la

calidad de vida de la comunidad. (EMSERPA, Misión y Visión - Emserpa E.I.C.E. E.S.P.,

2015)

2.4.3. Valores Corporativos.

(EMSERPA, Valores corporativos y comportamientos esperados, 2015). Define los

siguientes valores corporativos:

Responsabilidad

En la empresa prevemos y corregimos las consecuencias negativas de nuestras actuaciones y

omisiones como individuos y como organización, de modo que contribuyamos a un clima

laboral óptimo en la Entidad y a la toma adecuada de decisiones en el ejercicio de la función

fiscalizadora.

Celeridad

Las actuaciones de los servidores públicos de la empresa, estarán enmarcadas en la agilidad

del desarrollo de sus funciones y tareas.

Transparencia

Comunicamos ampliamente los resultados de nuestra gestión y estamos dispuestos al libre

examen por parte de la comunidad y de las entidades de control, para lo cual entregamos la

información solicitada de manera veraz y oportuna. Nuestras actuaciones y comportamiento

deben ser públicos en cabeza de los principios y valores que rigen el comportamiento humano.

44

Ética

Se refiere al proceder digno y honorable, establecido por nuestras propias convicciones,

materializado en nuestras acciones con equidad, justicia y rectitud.

Cumplimiento

Sentimos honor de trabajar en la empresa, donde nos consideramos socios operacionales y

estamos decididos a retribuirle con el máximo de nuestras capacidades.

Compromiso

Reconocemos y hacemos propias las orientaciones, propósitos, proyectos y logros

institucionales, con el fin de garantizar el cumplimiento de nuestra razón de ser, propiciando el

mejoramiento continuo. Alto sentido de pertenencia con la empresa y con los clientes que son

la razón de ser de la empresa.

Servicio

En la filosofía de nuestra organización, la excelencia es el elemento fundamental en la

relación con el cliente. Como servidores públicos promovemos el control social como

complemento importante de la labor que prestamos, e internamente impulsamos el trabajo en

equipo y la distribución colectiva de las responsabilidades para prestar un servicio con alto

contenido social.

Respeto

En nuestra convivencia prevalece el aceptar la diversidad de pensamiento e ideas, buscando

un clima de armonía. El trato a los demás es amable y digno; escuchamos y consideramos las

sugerencias de nuestros servidores públicos y de la comunidad, con el fin de fortalecer la

prestación del servicio.

Comunicación

Es entendida como un elemento fundamental de las relaciones entre trabajadores y los

equipos de trabajo, para desempeñar nuestra labor y fortalecer la integración. Tenemos reserva

45

sobre la información que por mandato legal no puede ser divulgada, y discreción en el

tratamiento de los asuntos internos de la entidad.

Moralidad

El comportamiento se ceñirá a los preceptos que reglan la moral del individuo, como

elemento fundamental en sus actuaciones. Utilizamos los recursos exclusivamente para el

cumplimiento de nuestra gestión y brindamos garantía a la comunidad frente a la protección de

los bienes públicos, mediante el ejercicio de una eficiente prestación de los servicios que

atendemos.

Productividad

Se busca aplicar al máximo los principios universales de eficiencia y eficacia, alcanzando un

alto nivel de rendimiento. Así mismo, valoramos y exaltamos los logros alcanzados por

nuestros servidores y los motivamos para el mejoramiento continuo.

2.4.4. Estructura organizacional.

Figura 4: Organigrama EMSERPA E.S.P. E.I.C.E.

Fuente: (EMSERPA, Organigrama General Emserpa E.I.C.E E.S.P, 2015)

47

Capitulo

3

Análisis de Riesgos

en el Área de TI de

Emserpa E.I.C.E.,

E.S.P.

48

Introducción

En este capítulo se dará a conocer el desarrollo de análisis de riesgo a la empresa objeto de

estudio: Empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., del

departamento de Arauca, donde hacemos uso de la metodología de Magerit con referencia al

análisis de riesgo.

Se debe dejar claridad que en este capítulo por tratarse de una empresa de calidad estatal

quien maneja un tipo de información de uso confidencial no será divulgado ni se dará a

conocer.

Para la realización de este capítulo se tuvo en cuenta la identificación de los activos que

maneja la empresa e incluyendo los más críticos, esto con mira de poder identificar sus

amenazas, sus salvaguardas y la posterior y la posterior evaluación de sus riesgos.

3.1. Identificación y clasificación de los activos

Para poder dar paso a la identificación de los activos que tuvo que realizar una serie de

visitas al personal que opera el área de la TI de la empresa municipal de servicios públicos de

Arauca Emserpa E.I.C.E.,E.S.P., quienes siempre mostraron su disposición para llevar a cabo

la realización de los checklist.

Para llevar a cabo la identificación de los activos se contó con la herramienta que ofrece

Magerit como guía para el análisis y gestión de riesgos de los sistemas de información.

Donde Magerit en sus libros expresa lo siguiente:

Libro I: Método. Aquí hace referencia al análisis de gestión de riesgo. (Análisis de los

riesgos y tratamiento de los riesgos), identificación de los activos y los más relevantes,

49

características (código, nombre, tipo, unidad responsable, unidad que lo explota, persona

responsable, ubicación y cantidad), lo anterior se refleja en el Anexo 1: formato de

caracterización de los activos de información y Anexo 2: checklist para la identificación del

riesgo de los activo de información.

Libro II: Catalogo de elementos. En esta trata de los tipos de activos, su valoración, sus

criterios, sus amenazas y sus salvaguardas.

El resultado de la clasificación de los activos se presenta a continuación:

Tabla 2:

Clasificación de los activos.

IT

EM

TIPO DE ACTIVO ACTIVO

1 Datos y/o información Datos de los usuarios.

2 Software Herramienta a utilizar para el

desarrollo de las actividades (sistema).

3

Equipamiento Informático

(Hardware)

Servidor de aplicaciones, UPS, Pc’s,

Servidor de Base de Datos,

Fotocopiadoras, Servidor de Intranet,

Firewall, Portátiles, Servidor Proxy,

Switch, Router, Servidor de archivo,

Impresoras.

4 Redes de Comunicaciones Red telefónica, Red Inalámbrica,

Internet,

Red de datos, Intranet.

5 Equipamiento Auxiliar Fibra Óptica, Aire Acondicionado

6 Instalaciones Cuarto de Telecomunicaciones, Cuarto

de UPS

7 Personal Responsables del área de TI


50

3.2. Determinación de activos críticos

Posterior a la clasificación se da paso a darle valor teniendo en cuenta sus dimensiones de

valoración establecidas por el (Ministerio de hacienda) como “las características o atributos

que hacen valioso un activo y se utilizan para valorar las consecuencias de la materialización

de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del

perjuicio para la organización si el activo se ve dañado en dicha dimensión.”.

En el libro II de Magerit: catálogos de elementos, hace referencia a la disponibilidad,

confidencialidad, autenticidad y trazabilidad para dar significado al activo de la empresa.

A continuación de se mostrara los términos utilizados y la valoración de activos críticos

teniendo en cuenta las respuestas dadas por la persona responsable del área de TI de la

empresa caso de estudio.

Tabla 3:

Abreviaturas

ÍT

EM

ABREVIATU

RA

DEFINICIÓN

1 C Confidencialidad

2 I Integridad

3 D disponibilidad 4 A Autenticidad

5 T Trazabilidad


51

Tabla 4: d Valoración.

Dimensiones de Valoración.

ÍT

EM

DIMENSIONES DE

VALORACIÓN

DESCRIPCIÓN

1 Disponibilidad ¿Qué grado de importancia para la empresa

tendría que el activo no estuviera disponible?

2 Integridad ¿Qué importancia tendría para la empresa

que los datos fueran modificados fuera de

control?

3

Confidencialidad

¿Qué importancia representaría para la

empresa a que personas ajenas obtengan datos

de la misma?

4

Autenticidad


empresa que quien tenga acceso al servicio no

sea quien se cree?

5

Trazabilidad


empresa que no quedara constancia del uso del

servicio?


Tabla 5: Valoración.

Escala de Valoración.

VALOR DESCRIPCIÓN

1 Daño Muy bajo

2 Daño Bajo

3 Daño Medio

4 Daño alto

5 Daño muy alto


52

Tabla 6: activos.

Valoración de activos con escala 1 - 5

ÍTEM ACTIVOS CRÍTICOS DIMENSIONES DE VALORACIÓN

C I D A T

1 Servidor de Intranet 5 5 5 5 5

2 Servidor de base de datos 5 5 5 5 5

3 Red de datos 5 5 5 5 5

4 Servidor Proxy 5 5 5 5 5


La información anterior refleja los activos críticos identificados ya se son considerados

como factores fundamentales para la funcionalidad de la empresa caso de estudio.

3.3. Salvaguardas existentes en los activos críticos

En visitas realizadas al área de TI de la empresa caso de estudio y de información

suministrada por el personal encargado de la misma, se pudieron identificar las siguientes

salvaguardas:

Backup

Se tiene como procedimiento establecido las copias de seguridad como factor fundamental

para salvaguardar la información

Mantenimiento de Hardware.

Se tiene como prioridad los cronogramas de mantenimiento de los equipo para el óptimo

funcionamiento.

53

3.4. Vulnerabilidades y amenazas a los activos críticos

Mediante checklist aplicado al jefe del área de TI en la empresa caso de estudio, se

pudieron identificar las amenazas y vulnerabilidades con respecto con los activos críticos

identificados. Ver formato de amenazas y vulnerabilidades. Anexos 3: formato de

identificación de amenazas y vulnerabilidades

En la tabla que se muestra a continuación se relaciona las vulnerabilidades y amenazas de

los activo críticos en la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,

E.S.P.

Tabla 7: y Amenazas de los Activos Críticos.

Vulnerabilidades y Amenazas de los Activos Críticos.

IT

EM

ACTIVOS VULNERABILIDADE

S

AMENAZAS

1 Servidor de Intranet Humedad Deterioro del gabinete

Cortocircuito

2 Servidor de base de datos Fallo del sistema

eléctrico

Perdida de la

información

Incendio

3

Red de datos

Manipulación de la red

Interrupción en las

actividades

Perdida de la

información

4 Servidor Proxy Ataques internos Manipulación de la

información


3.5. Determinación del riesgo

Para poder identificar el valor de riesgo de los activos críticos de la empresa municipal de

servicios públicos de Arauca Emserpa E.I.C.E., E.S.P., se tomó como ejemplo la siguiente

54

matriz de riesgo con una escala de 1 – 4, donde se determina la probabilidad de explotación de

una vulnerabilidad y la probabilidad de ocurrencia de una amenaza:

Tabla 8: de riesgos.

Matriz de riesgos.

Análisis de Riesgos

Riesgo = Amenaza x Vulnerabilidad

Pro

bab

ilid

ad d

e

Explo

taci

ón

(Vuln

erab

ilid

ad)

4 4 8 12 16

3 3 6 9 12

2 2 4 6 8

1 1 2 3 4

1 2 3 4

Probabilidad de Ocurrencia

(Amenaza)

Valores

Alto Riesgo (12 -

16)

1 = Insignificante

2 = Baja

3 = Mediana

4 = Alta

Medio Riesgo (8 -

9)

Bajo Riesgo (1 -6)

Fuente: (Erb, 2011)

La tabla que se presenta a continuación establece probabilidad de explotación de las

vulnerabilidades (PE) y la probabilidad de ocurrencia de las amenazas (PO) y la

determinación del nivel de riesgo al que están expuestos los activos críticos de la empresa y

55

además para este ejercicio se contó con la participación activa del jefe del área de TI de la

empresa caso de estudio.

Se aclara que por condiciones de confidencialidad con la empresa caso de estudio no se

dará a conocer todo lo evidenciado en los resultados.

Tabla 9:

Análisis de riesgos.

Í

TEM

ACT

IVO

VULNERABIL

IDAD

PROBABIL

IDAD DE

EXPLOTACIÓ

N (PE)

AMEN

AZA

PROBABIL

IDAD DE

OCURRENCI

A (PO)

NIV

EL DE

RIESG

O

1 Serv

idor de

Intranet

Humedad

Deterior

o del

gabinete

Cortocir

cuito

2 Serv

idor de

base de

datos

Fallo del

sistema eléctrico

Perdida

de la

informació

n

Incendio

3

Red

de

datos

Manipulación

de la red

Interrup

ción en las

actividades

Perdida

de la

informació

n

4 Serv

idor

Proxy

Ataques

internos

Manipul

ación de la

informació

n


56

Por último, se representó mediante un gráfico el porcentaje por cada uno de los niveles de

riesgo obtenidos en el paso anterior con el objeto de exponer claramente en qué nivel de riesgo

se encontraban los activos de información de la empresa en ese momento.

Gráfica 1: Porcentaje de riesgo.


40%

40%

20%

Porcentaje de Riesgo de los activos de información de Emserpa E.S.P

Bajo Medio Alto

57

Capitulo

4

Requerimientos de

Software

58

Introducción

En este capítulo expondremos las características de la aplicación desde un ámbito técnico,

explicando cada uno de los módulos y sus funciones, los diferentes roles que tienen los

usuarios según sus perfiles dentro de la empresa. También se presentara un prototipo de la

interfaz gráfica que tendrán los usuarios de la aplicación. Estos requerimientos de software son

las bases fundamentales para el buen funcionamiento de un sistema.

4.1. Conceptos preliminares

4.1.1 Propósito

El propósito fundamental de los requerimientos de software es definir cuáles son los

componentes que tendrá la aplicación que se desarrollara y cuáles son las funciones de los

usuarios.

4.1.2 Ámbito

La página web está orientada al desarrollo de las auditorías en seguridad de la información

basadas en la norma ISO 27002:2013 para la Empresa municipal de servicios públicos de

Arauca EMSERPA E.I.C.E.,E.S.P., que con la mano de la tecnología pueden ser más

eficientes a la hora de evaluar la empresa. Esta aplicación solo tendrá conexión privada

(intranet), puesto que los datos alojados en las bases de datos son de uso confidencial de la

empresa.

59

4.1.3 Definiciones, acrónimos y abreviaturas

Sitio Web

Conjunto de archivos electrónicos y páginas web referentes a un tema en particular que

incluye una página inicial de bienvenida, con un nombre de dominio y dirección en Internet

específicos. (Perez, 2013)

Interfaz

Parte del programa informático que permite el flujo de información entre varias

aplicaciones o entre el propio programa y el usuario.(Perez, 2013)

Intranet

Parte privada de la aplicación donde sólo tendrán acceso a la información los usuarios que

estén registrados.(Perez, 2013)

Servidor Web

Se trata de un programa que implementa el protocolo HTTP (HyperText TransferProtocol).

Este protocolo está diseñado para transferir lo que llamamos hipertextos, páginas web o

páginas HTML: textos complejos con enlaces, figuras, formularios, botones y objetos

incrustados como animaciones o reproductores de música.(Perez, 2013)

Navegador

Permite al usuario recuperar y visualizar páginas web a través de Internet.(Perez, 2013)

Responsive

El diseño web responsivo o adaptativo es una técnica de diseño web que busca la correcta

visualización de una misma página en distintos dispositivos. Desde ordenadores de escritorio a

tabletas y móviles.(fiebre, s.f.)

60

4.1.4 Visión global

A continuación se explicara la descripción general de la aplicación con sus funciones, sus

características, las interacciones de los usuarios, las restricciones y los modulados usados. De

igual forma se expondrá la información detallada de los requerimientos de software.

4.2 Descripción general

4.2.1 Perspectiva del producto

La página web ofrece la elaboración de las auditorías mediante las normas ISO y de esta

forma mostrar la información de las auditorías realizadas en la empresa y así mismo poder

compararlas para realizar las mejoras pertinentes para que la empresa se pueda certificar.

4.2.2 Funciones del producto

A continuación mostraremos las funciones que tiene la aplicación dependiendo los roles

que tienen los usuarios.

Usuario Anónimo

Autenticación: Aquí se muestra un diseño simple para que usuario pueda ingresar sus datos

personales y acceder a la aplicación.

Usuario registrado

Cerrar sesión: Al estar en la aplicación, el usuario encontrara un módulo con el cual puede

cerrar sesión y volver a la página de autenticación.

61

Rol de Administrador

Módulo Configuración (Para todos los usuarios): Este módulo es para la configuración

de la cuenta, donde el usuario puede observar su nombre, el tipo de la cuenta y la cedula. Aquí

mismo puede cambiar su contraseña (la cual se le da por defecto) y cambiar su imagen de

perfil.

Módulo de Información (Para todos los usuarios): Este módulo expone la información

más relevante de la página, se puede observar la norma ISO 27000, los criterios de evaluación

de las auditorías y la imagen con dominios, objetivos de control y los controles que tiene la

norma.

Módulo de Editar Usuarios: Este módulo ofrece al administrador observar los usuarios

que están en la base de datos, con su respectiva información. Además puede eliminarlos si es

necesario.

Módulo de Crear Usuarios: Este módulo permite al administrador crear usuarios en las

bases de datos, con su respectiva información; nombre, cedula, contraseña y el tipo de usuario

que será este usuario el cual puede ser, administrador, gerente o auditor.

Rol de Auditor




perfil.




norma.

62

Módulo de Realizar Auditoría: El auditor es el único que posee los permisos para acceder

a la realización de auditorías. El módulo ofrece la creación de una nueva auditoría donde se

llena la información de la auditoría como su nombre, año y un consecutivo. Luego permite

escoger la auditoría y ejecutar la evaluación de esta. Se muestran los dominios de control, los

objetivos de control y los controles que se deben evaluar. Cada control se puede evaluar

mediante los criterios explicados en la información general, y además escribir alguna

observación, si es necesario.

Módulo de Auditorías Realizadas: Este módulo enlista las auditorías que se han

realizado, con su respectiva información. Y asimismo se pueden mirar los resultados de la

evaluación por cada una, en un menú despegable, se escoge la auditoría que se quiera observar

y se mostrara la información.

Módulo de Comparación: Este módulo ofrece la capacidad de comparar dos auditorías,

donde observamos sus dominios y objetivos de control evaluados y también de manera

gráfica, evaluadas por los dominios. Nos muestra dos menús despegables donde escogemos las

dos auditorías a evaluar.

Rol de Gerente




perfil.




norma.

63

Módulo de Auditorías Realizadas: Este módulo enlista las auditorías que se han

realizado, con su respectiva información. Y asimismo se pueden mirar los resultados de la

evaluación por cada una, en un menú despegable, se escoge la auditoría que se quiera observar

y se mostrara la información.

Módulo de Comparación: Este módulo ofrece la capacidad de comparar dos auditorías,

donde observamos sus dominios y objetivos de control evaluados y también de manera

gráfica, evaluadas por los dominios. Nos muestra dos menús despegables donde escogemos las

dos auditorías a evaluar.

4.2.3 Características del usuario

En la aplicación se pueden mostrar los tipos de usuarios, los usuarios no registrados y los

registrados. Y en el grupo de los registrados tenemos tres tipos de roles de usuarios.

Usuarios no Registrados

Estos usuarios no tienen acceso a ningún módulo de la página, puesto que la información

expuesta en la aplicación es solo para uso de los usuarios implicados en las áreas involucradas.

Usuarios Registrados

Estos usuarios son los únicos que tienen acceso a la intranet de la aplicación. Los usuarios

registrados se diferencian en tres tipos de roles y cada uno tiene unas funciones específicas

según para interactuar.

Rol de Administrador: El administrador de la aplicación tiene acceso a los módulos de

configuración de la cuenta, información, editar usuarios que estén registrados en la aplicación

y crear usuarios.

64

Rol de Auditor: El auditor tendrá acceso a los módulos configuración de la cuenta,

información, tiene la autoridad para realizar auditorías, observar las auditorías y compararlas.

Rol de Gerente: El gerente como todos los usuarios tendrá acceso a la configuración de la

cuenta y a la información, y asimismo a observar las auditorías realizadas por parte de los

auditores y comparar estas mismas.

4.2.4 Restricciones

Como es una aplicación web, se requiere el uso de un ordenador con un navegador y una

conexión a internet.

4.2.5 Supuestos y dependencias

La página web trabaja sobre cualquier hardware o software presentando un soporte

multiplataforma. La única dependencia que podemos tener es que el ordenador donde se esté

trabajando debe soportar los comandos de PHP y MySQl.

Al ser una aplicación desarrollada bajo los lineamientos de responsivo se puede ejecutar

desde cualquier dispositivo móvil como ordenadores, móviles o tabletas y que en cualquiera

de estos dispositivos la aplicación mostrara sus mismos parámetros.

4.3 Requisitos específicos

4.3.1 Requerimientos funcionales

A continuación se describen los módulos que ofrece la página web, clasificadas según los

roles de los usuarios

65

Usuarios no registrados

Esta es la única función que pueden ejecutar los usuarios que no se han registrado en la

aplicación.

Tabla 10:

Usuarios no registrados

Apartado Descripción

Título Autenticación

Propósito Acceder a la intranet de la aplicación

Entrada Cedula del usuario y contraseña

Proceso Comprobación del usuario en la base de datos

Salida Redireccionamiento al usuario a la página principal

de la aplicación o un mensaje de error en los datos



El administrador de la aplicación tiene acceso a los módulos de configuración de la cuenta,

información, editar usuarios que estén registrados en la aplicación y crear usuarios.

Tabla 11:



Título Módulo de Configuración

Propósito Configurar la cuenta

Entrada Datos a modificar

Proceso El usuario puede modificar su contraseña y su foto

de perfil

Salida La foto de perfil y contraseña nueva


Título Módulo de Información

Propósito Informar sobre la norma ISO

66

Entrada -

Proceso Observar la información con respecto a la norma

ISO y los criterios de evaluación de las auditorías

Salida -


Título Módulo de Editar Usuarios

Propósito Editar los usuarios existentes


Proceso Editar la información de los usuarios que están

registrados o eliminarlos de la base de datos

Salida Usuarios modificados


Título Módulo de Crear Usuarios

Propósito Crear nuevos usuarios

Entrada Datos de usuario nuevo

Proceso Crear a un usuario nuevo mediante sus datos

personales, el nombre, la cedula, contraseña y el tipo

de usuario

Salida Usuario creado


Rol de Auditor: El auditor tendrá acceso a los módulos configuración de la cuenta,

información, tiene la autoridad para realizar auditorías, observar las auditorías y compararlas.

Tabla 12:

Rol de Auditor




67



de perfil





Entrada -



Salida -


Título Módulo de Iniciar Auditorías

Propósito Evaluar una auditoría

Entrada Datos de la auditoría

Proceso En primera instancia se puede generar una auditoría

con sus datos respectivos o escoger una auditoría ya

creada. Luego vamos a evaluarla mediantes los

controles y una observación si es necesario

Salida Auditoría creada o evaluada


Título Módulo de Auditorías Realizadas

Propósito Enlistar las auditorías realizadas

Entrada -

Proceso Las auditorías que se han creado o evaluado se

enlistan y nos muestra los resultados. Además se

pueden eliminar las auditorías

Salida -


Título Módulo de Comparación

68

Propósito Comparar dos auditorías

Entrada -

Proceso Permite enlistar dos auditorías y comparar sus

resultados. Asimismo podemos mirar una gráfica

que explica los resultados

Salida -


Rol de Gerente: El gerente como todos los usuarios tendrá acceso a la configuración de la

cuenta y a la información, y asimismo a observar las auditorías realizadas por parte de los

auditores y comparar estas mismas.

Tabla 13:

Rol de Gerente






de perfil





Entrada -



Salida -

69


Título Módulo de Auditorías Realizadas

Propósito Enlistar las auditorías realizadas

Entrada -

Proceso Las auditorías que se han creado o evaluado se

enlistan y nos muestra los resultados. Además se

pueden eliminar las auditorías

Salida -


Título Módulo de Comparación

Propósito Comparar dos auditorías

Entrada -

Proceso Permite enlistar dos auditorías y comparar sus

resultados. Asimismo podemos mirar una gráfica

que explica los resultados

Salida -


70

4.3.2 Requerimientos de interfaces externos

4.3.2.1 Interfaces de usuario

La interfaz de usuario se muestra en la siguiente grafica (figura 5), en las cuales se

especifican los diferentes módulos que expondrá la aplicación.

Figura 5: Prototipo de interfaz de usuario


4.3.2.2 Interfaces de hardware

Al tratarse de una aplicación web, se puede ejecutar en cualquier sistema operativo.

4.3.2.3 Interfaces de software

La aplicación funcionara con un navegador actual y una conexión de internet.

71

4.3.2.4 Interfaces de comunicaciones

La comunicación se realiza mediante el protocolo de HTTP mediante las conexiones de

TCP/IP.

4.3.3 Requerimientos de eficiencia

Mediante la metodología empleada en el desarrollo de la aplicación web, este portal tiene

un rendimiento excelente, independientemente del software o hardware que se esté utilizando

a la hora de ejecutar la aplicación. Uno de los inconvenientes que podría tener la aplicación

estaría ligada al servicio de internet del usuario que esté usando en el momento. Al ser una

aplicación con intranet no tendrá problemas con el tráfico en la red.

Un aspecto importante que podemos mencionar es que al ser responsivo, la aplicación no

tendrá problemas al ejecutarse en cualquier ordenador o dispositivo móvil, ya que la

aplicación es adaptable a cualquier resolución.

4.3.4 Obligaciones del diseño

4.3.4.1 Estándares cumplidos

Se procuró cumplir con todos los estándares actuales a la hora de crear aplicaciones

móviles, creando un sitio seguro, desde la parte de autenticación para que ninguna persona,

pueda ingresar a los módulos de la aplicación. El idioma elegido para la aplicación ha sido el

español.

4.3.4.2 Limitaciones de hardware

Como antes lo mencionamos, el hardware utilizado no impedirá que cumpla sus funciones

la aplicación. El servidor permanecerá las 24 horas del día conectado y será el host quien

atienda las peticiones de lectura y escritura.

72

4.3.5 Atributos

4.3.5.1 Seguridad

La seguridad es importante para la aplicación, ya que estará trabajando con información

privada de la empresa, por lo tanto tiene los controles necesarios para que ninguna persona

acceda de manera anónima a los módulos de la aplicación o hasta las bases de datos. Para cada

uno de estos módulos se hará las respectivas verificaciones de que un usuario tenga una sesión

activa. De este modo, protegemos la información alojada en las bases de datos.

4.3.5.2 Facilidades de mantenimiento

El mantenimiento lo puede realizar el administrador de la página, ya que tiene permisos que

permiten tener esas funciones. Sin embargo, a la hora de implementar nuevos módulos o

mejoras en la aplicación deberá contactarse con el desarrollador web.

4.3.5.3 Portabilidad

La aplicación ha sido diseñada con tecnología libre, por lo tanto soportara cualquier

plataforma y sistema operativo.

73

Capitulo

5

Análisis y diseño

Del modelado de

procesos y datos

74

Introducción

Este capítulo expone los análisis que se realizaron para el diseño del modelado de procesos y

de los datos, desde los diagramas de clases o los casos de uso. Los casos de uso, representan la

forma en la cual, los usuarios interactúan en la aplicación, cuales son sus permisos y sus

restricciones. De igual forma, se explica el proceso que se llevó a cabo para la realización de

la base de datos mediante la herramienta MySQl y las tablas con los atributos. Por último se

presentan las interfaces graficas que tiene la aplicación y una breve explicación de cada una de

ellas.

5.1 UML

Para realizar un análisis de una aplicación utilizamos los estándares de la UML (Unified

Modeling Language o Lenguaje Unificado de Modelado en español). Esta norma nos presenta

la forma correcta de formalizar los esquemas relativos al software. En pocas palabras, UML es

una sucesión de normas y estándares de nos explican cómo se debe presentar el modelado de

datos y procesos.

UML es una herramienta propia de personas que tienen conocimientos relativamente

avanzados de programación y es frecuentemente usada por analistas funcionales y analistas-

programadores. (Programar, s.f.)

5.2 Diagramas de Clases

El diagrama de clases nos permite visualizar las relaciones entre las clases, y el

funcionamiento de una aplicación. Un diagrama de clases está compuesto por clases (atributos,

métodos y visualización) y por relaciones (herencia, composición, agregación y uso),

permitiendo un mejor entendimiento de las funciones que están tienen. A continuación

expondremos las clases que hacen parte de la aplicación.

75

Auditoría: Este es el pilar fundamental de la aplicación, puesto que son las evaluaciones

que se le realizan a la empresa que hemos utilizado como objeto de estudio.

Dominios: Los dominios son los procesos que una empresa debe cumplir, según los

estándares de la norma ISO 27002:2013 y los realiza por medio de unos objetivos de control.

Objetivos: Esta clase aloja los objetivos de control que tienen las auditorías en seguridad

de la información. Los objetivos tienen un nombre y una calificación dependiendo los valores

que se dan en los controles.

Controles: Los controles son los criterios a evaluar, siguiendo los lineamientos del modelo

de madurez de capacidad.

Usuario: son las personas que estarán cumpliendo las funciones de acuerdo a los roles que

les implanten en la empresa.

Tipo de usuarios: Esta clase hace referencia a los distintos roles que tendrán los usuarios

para el uso de la aplicación. Los roles utilizados para la aplicación serán los del administrador,

el auditor y el gerente o presidente de la empresa.

Figura 6: Diagrama de clases


76

5.3 Diagrama de casos de uso

Los diagramas muestran las diferentes funcionalidades que tendrán los actores en la

aplicación, la relación que existen y por ende las acciones que podrán ejecutar. Los estándares

y normas de la UML exponen una manera sencilla de comprender los actores o usuarios que

están involucrados en la aplicación. En los diagramas de caso de uso existen tres elementos,

como lo son:

Actores: Los actores se pueden denominar como los usuarios, los cuales pueden ser una

persona o un conjunto personas. Los actores representan un rol, en el cual pueden tener

permisos para ejecutar los diferentes módulos del sistema.

Casos de uso: Los casos de uso es una descripción de las actividades que se deben seguir

para ejecutar algún proceso en el sistema. También son definidas como la secuencia de

interacciones que se desarrollara entre el sistema y los actores.

Comunicación entre actores y casos de uso: Los actores pueden ejecutar una cantidad de

casos de uso, por lo tanto, decimos que existe una comunicación entre ellos.

5.3.1 Actores

Figura 7: Actores


77

Los usuarios son todas aquellas personas que tienen acceso a la aplicación, sin necesidad de

autenticarse. Los usuarios registrados son los actores que mencionamos en la ilustración, como

lo son el administrador, el auditor o los auditores y el gerente, todos estos pueden ingresar a la

intranet por medio de su autenticación con su cedula y contraseña.

5.3.2 Casos de uso del usuario

Figura 8: Casos de uso del usuario


Como este usuario o actor el cual denominaremos como anónimo, no se ha identificado,

solo posee esta función, ya que según las políticas de seguridad de la aplicación ningún

usuario anónimo puede visualizar los módulos que se ofrecen.

5.3.3 Casos de uso del usuario registrado

Figura 9: Casos de uso del usuario registrado


78

Este tipo de usuario solo puede ejecutar la función de cerrar sesión, ya que es la única

acción que tienen en común con los demás usuarios.

5.3.4 Casos de uso del administrador

Figura 10: Casos de uso del administrador


Este tipo de usuario representa al administrador de la aplicación. Los módulos que podrá

ejecutar serán los de configuración de la cuenta, información, editar usuarios que están la base

de datos y crear usuarios nuevos.

5.3.5 Casos de uso del auditor

Figura 11: Casos de uso del auditor


79

Este tipo de usuario representa al auditor de la aplicación. Aparte de los módulos de

configuración de la cuenta e información, este actor puede iniciar auditorías y evaluarlas.

Asimismo puede revisar las auditorías que se han realizado y comparar dos auditorías.

5.3.6 Casos de uso del gerente

Figura 12: Casos de uso del gerente


Este tipo de usuario representa al gerente de la empresa. Este actor tiene permiso para

ejecutar los módulos de configurar la cuenta, información, revisar las auditorías realizadas y

compararlas.

5.4 Diseño de la base de datos

Para el diseño de la base de datos se utilizó MySQl ya que es la herramienta número uno en

las páginas web y al ser código libre se pueden hacer ajustes para obtener un funcionamiento

máximo.

80

5.4.1 Tabla de Auditoría

Tabla 14:

Tabla de auditoría


Esta tabla guarda las auditorías realizas lo cual lo convierte en el pilar fundamental de la

aplicación, puesto que son las evaluaciones que se le realizan a la empresa que hemos

utilizado como objeto de estudio.

5.4.2 Tabla de Dominios

Tabla 15:

Tabla de Dominios


En esta tabla están alojados los dominios que hacen parte de la auditoría según el estándar

ISO 27002:2013

81

5.4.3 Tabla de Objetivos

Tabla 16:

Tabla de Objetivos


Esta tabla aloja los objetivos de control que tienen las auditorías en seguridad de la

información. Los objetivos tienen un nombre y una calificación dependiendo los valores que

se dan en los controles.

5.4.4 Tabla de Controles

Tabla 17:

Tabla de Controles


Esta tabla contiene los controles los cuales son los criterios a evaluar, siguiendo los

lineamientos del modelo de madurez de capacidad.

82

5.4.5 Tabla de Usuario

Tabla 18:

Tabla de Usuario


Esta tabla guarda las personas que estarán cumpliendo las funciones de acuerdo a los roles

que les implanten en la empresa.

5.4.6 Tabla de Tipo de Usuario

Tabla 19:

Tabla de Tipo de Usuario


Esta tabla hace referencia a los distintos roles que tendrán los usuarios para el uso de la

aplicación. Los roles utilizados para la aplicación serán los del administrador, el auditor y el

gerente o presidente de la empresa.

83

5.4.7 Diagrama de base de datos

Figura 13: Diagrama bases de datos


5.5 Interfaces visuales

A continuación se presentan las interfaces visuales de cada uno de los módulos del sistema

utilizados en la aplicación.

84

5.5.1 Iniciar Sesión

Figura 14: Interfaz Iniciar Sesión


El módulo de iniciar sesión, contiene los campos en un formulario, donde los usuarios

deberán ingresar su cedula y su contraseña para su autenticación.

85

5.5.2 Página de Inicio

Figura 15: Interfaz Página de Inicio


Esta es la página principal, donde observaremos todos los módulos que contiene la

aplicación.

86

5.5.3 Modulo de Configuración

Figura 16: Interfaz Modulo de Configuración


Este módulo permite a los usuarios a editar sus datos personales como la contraseña y la

foto de perfil.

5.5.4 Modulo de información

Figura 17: Interfaz Modulo de Información


87

Este módulo ofrece una serie de información que es vital para la página. La norma ISO

27000, sus ventajas, la imagen de la norma y los criterios de evaluación.

5.5.5 Modulo de Editar Usuarios

Figura 18: Interfaz Modulo de Editar Usuarios


Este módulo permite al administrador de la aplicación, observar los usuarios registrados en

la base de datos y poder eliminarlos.

5.5.6 Modulo de Crear Usuarios

Figura 19: Interfaz Modulo de Crear Usuarios


88

Este módulo permite al administrador de la aplicación, crear nuevos usuarios con los datos

de correspondientes, como lo son, nombre, cedula, contraseña y el tipo de usuario.

5.5.7 Modulo de Iniciar Auditorías

Figura 20: Interfaz Modulo de Iniciar Auditorías




89

Este módulo permite al auditor a generar una nueva auditoría con los campos de nombre,

año y un consecutivo. Aparte puede escoger una auditoría creada y evaluarla según los

estándares de la norma ISO 27002:2013.

5.5.8 Modulo de Auditorías Realizadas

Figura 22: Interfaz Modulo de Auditorías Realizadas




90

Este módulo permite observar las auditorías que se han realizado y sus respectivos datos,

aparte mirar la evaluación de las mismas.

5.5.9 Modulo de Comparar

Figura 24: Interfaz Modulo de Comparar


91

Figura 25: Interfaz Modulo de Comparar


Este módulo permite comparar dos auditorías realizadas. Escogen las dos auditorías y

miran las evaluaciones de cada una de ellas, además una gráfica que está dividida por

dominios.

92

Capitulo

6

Evaluación de

Cumplimiento de los

controles de la Norma

ISO/IEC 27002:2013

en EMSERPA

E.I.C.E., E.S.P.

93

Introducción

En este capítulo se da a conocer la forma en que se desarrolló la evaluación con base a los

controles seleccionados de la Norma ISO/IEC 27002:2013, para evaluar la seguridad de la

información en la empresa municipal de servicios públicos de Arauca Emserpa E.I.C.E.,

E.S.P.

6.1 Diseño del checklist en base a la Norma ISO/IEC 27002:2013

Teniendo en cuenta que la Norma ISO/IEC 27002:2013 maneja 14 dominios, 35 0bjetivos

de control y 114 controles fue necesario identificar los dominios, los objetivos de control y los

controles que se ajustara a la necesidad de la empresa caso de estudio: Emserpa E.I.C.E.,

E.S.P., quedando de la siguiente forma:

Dominios: 8

Objetivos de control: 17

Controles: 55

Lo anteriormente mencionado se evidencia en los diseños de los formatos para los checklist

que se encuentran Anexo 4: Herramienta de evaluación en base a la norma IOS/IEC

27002:2013 entrevista que fue aplicada al jefe del área de TI de la empresa caso de estudio.

6.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013

Para el desarrollo de esta evaluación se tuvo en cuenta las respuestas dadas por el jefe del

área de TI de la empresa caso de estudio con respecto a los 8 dominios, 17 objetivos de control

y los 55 controles mediante a la utilización del checklist

94

Tabla 20: Niveles de Madurez.

Niveles de Madurez ISO/IEC 21827:2008.

NIVELES DE MADUREZ ISO/IEC 21827:2008

IT

EM

CRITERIO PORCENT

AJE

DESCRIPCIÓN

1

No realizado

0%

No hay controles de seguridad de la

información establecidos.

2

Realizado

informalmente

20%

Existen procedimientos para llevar a

cabo ciertas acciones en determinado

momento. Estas prácticas no se adoptaron

formalmente y/o no se les hizo

seguimiento y/o no se informaron

adecuadamente.

3

Planificado

40%

Los controles de seguridad de la

información establecidos son planificados,

implementados y repetibles.

4

Bien definido

60%


información además de planificados son

documentados, aprobados e

implementados en toda la organización.

5

Cuantitativamente

controlado

80%


información están sujetos a verificación

para establecer su nivel de efectividad.

6

Mejora continua

100%


información definidos son periódicamente

revisados y actualizados. Estos reflejan

una mejora al momento de evaluar el

impacto.


Cabe aclarar que en la norma ISO/IEC 21827:2008 se maneja una escala de 0-5

respectivamente para cada criterio, para este ejercicio se maneja un porcentaje de 0% a 100%.

95

Tabla 21: Valoración de Controles.

Valoración de Controles.


Bajo: controles con más bajo nivel de cumplimiento (críticos).

Medio: controles que se han desarrollado pero que no se documentan.

Alto: controles que son planificados y documentados.

Por cuestiones de mantener la confidencialidad de la empresa objeto de estudio, solo se

mostrara:

Dominio: 1

Objetivos de control: 1

Controles: 2

VALORACIÓN DE CONTROLES

ITE

M

PORCENTAJE ESCALA

1 0% - 30% Bajo

2 31% - 70% Medio

3 71% - 100% Alto

96

Tabla 22: controles.

Evaluación de controles.

NORMA PUNTOS A EVALUAR CUMPLIMIENTO

5. POLITICAS DE SEGURIDAD 20%

5.1. Directrices de la Dirección en seguridad de la

información 20%

5.1.1.Conjunto de

políticas para la seguridad de

la información

Las políticas actuales son del

año 2008, por ende se

encuentran desactualizadas

Realizado

informalmente

20

%

5.1.2 Revisión de las

políticas para la seguridad de

la información

Las políticas de seguridad

son modificadas pero no existe

un conducto regular.

Realizado

informalmente

20

%


6.3Presentación de resultados

A continuación se mostraran las grafica de los niveles de cumplimiento de los dominios, los

objetivos de control y los controles, aclarando que la información no es la real teniendo en

cuenta la confidencialidad de la información.

97

Grafica 2: Cumplimiento por dominios


Grafica 3: Cumplimiento por objetivos de control

Fuente: Elaborado por el autor del documento.

98

Grafica 4: Madurez de los controles


99

7 Conclusiones

En el desarrollo del proyecto llegamos a varias conclusiones:

Dentro del desarrollo del proyecto se evidenciaron falencias entre otras tales como la falta

de control en el acceso a una zona que no está restringida como lo es el cuarto de

comunicaciones, donde se expone en alto riesgo el normal desarrollo y funcionamiento de las

actividades, quedando así vulnerable el activo más valioso como lo es la información y

exponiendo a la manipulación de los equipos computo por personal no autorizado.

Se identificó que la empresa actualmente cuenta con políticas de seguridad desactualizadas,

ya que la última modificación fue en el año 2009, lo cual genera un alto riesgo de

vulnerabilidad de los datos. Solamente los programas tienen políticas de seguridad

implementados y que se usan mensualmente para proteger la información alojada en las bases

de datos.

Mediante los diagnósticos realizados a la empresa Municipal de servicios públicos de

Arauca Emserpa E.I.C.E., E.S.P., se evidencio que no cuentan con las políticas para la

evaluación y seguimiento de las auditorías en seguridad de la información y con el desarrollo

de la aplicación ayudaría a la empresa a un mejoramiento continuo en lo que respecta a la

norma ISO 27002:2013.

Además se usó MAGERIT, la cual es una metodología de análisis y gestión de riesgos

elaborada por el Consejo Superior de Administración Electrónica de España ya que esta

herramienta facilita dentro de sus fases el alcance, la identificación de activos, la

identificación de amenazas, las vulnerabilidades y sus salvaguardas y la posterior evaluación

del riesgo, dejando a un lado el tratamiento del riesgo ya que no estaba contemplado en

nuestros objetivos.

De igual manera, se utilizó la metodología DRA, quien fue la que nos permitió el desarrollo

de la aplicación web, mediante sus fases. En primera instancia, se realizó un documento de los

100

requerimientos de software, con la ayuda del área de sistemas de la empresa. Se diseñaron los

respectivos casos de uso mediante los estándares de UML, los cuales sirvieron de guía para la

generación de la aplicación.

Posteriormente se desarrolló el modelado de procesos y datos, con los cuales obtuvimos

como resultado, la generación de la bases de datos y seguidamente la elaboración del diseño

de la aplicación web, mediante HTML y PHP, donde se dedicó el tiempo necesario para que la

aplicación tuviera una interfaz gráfica limpia y sencilla.

8. Recomendaciones

Dar a conocer a los empleaos de la empresa municipal de servicio públicos de Arauca

Emserpa E.I.C.E., E.S.P., las políticas de seguridad de la información ya que ello le será de

gran importancia para el manejo adecuado de aquellas herramientas tecnológicas que son

usadas para el normal desarrollo de sus actividades.

Capacitar de manera periódica a los responsables del manejo de los activos de información

para que la misma cuente con la confidencialidad para que el flujo de información no pueda

estar disponible a personas no autorizada, de la misma forma su integridad debe garantizar que

la información que allí se maneja sea modificada por el personal autorizado y su

disponibilidad debe responder a que los usuarios autorizados gocen del acceso a la

información en el momento y de forma requerida.

La documentación por roles asignados debe ser fundamental e indispensable por parte de la

entidad ya que garantiza que se puedan hacer autorías periódicas y así mismo establecer

procedimientos para la revisión de acceso a los sistemas de información por parte de los

usuarios.

101

Establecer e identificar como áreas restringidas el acceso al cuarto de comunicaciones,

oficinas y despacho para evitar ataques como interrupción (ataque a la disponibilidad),

intersección (ataque a la confidencialidad), modificación (ataque a la integridad) y por último

la fabricación (ataque a la autenticidad).

Socializar a los empleados el plan de emergencia que maneja la entidad para la continuidad

del negocio y así mismo diseñar un cronograma que permita la verificación, revisión y

evaluación de la prolongación de la información.

9. Cronograma de actividades

Actividades S Semana 1 Semana 2 Semana 3 Semana 4

D 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7 1 2 3 4 5 6 7

CARACTERIZAR LOS

DOMINIOS

Planificar las actividades a

desarrollar

Examinar el estado actual

del área de TI de la

empresa

Identificar los activos y a

que amenazas están

expuestos

Identificar las

vulnerabilidades

Elaborar el instrumento,

con el cual recolectaremos

la información a necesitar.

Aplicar el instrumento

realizado, para recolectar la

102

información necesaria.

ANALIZAR EL SGSI

Analizar la información

arrojada por el

instrumento.

DISEÑAR EL MODELADO

DE DATOS Y PROCESOS

Identificar las funciones del

sistema, los actores y casos

de uso

Describir todos los casos de

uso

Diseñar la arquitectura del

aplicativo web

Moldeamiento de la base

de datos basándose en los

casos de uso

GENERAR EL APLICATIVO

WEB

Elaborar del código HTML

Construcción de los

módulos de administración

Pruebas a la aplicación web

EVALUAR LOS RIESGOS

Estimación del valor de los

activos de riesgo

Valoración del riesgo de los

activos


103

10. Revisión Bibliográfica

TITULO: MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información. Libro I

AUTORES:

AÑO: Madrid octubre de 2012

APORTE: Método, nos ilustra sobre acerca de los métodos de análisis de riesgos, formalización

de actividades y listas de control.

Fuente:


Sistemas de Información. Libro II

AUTORES:

AÑO: Octubre de 2012

APORTE: Catálogo de Elementos, indica los tipos de activos (datos, claves, software), amenazas

y salvaguardas.

Fuente:


Sistemas de Información. Libro III

AUTORES:

AÑO: Octubre de 2012

APORTE: Guía de Técnicas, técnicas específicas (modelos cualitativos, cuantitativos), análisis

mediante tablas, técnicas generales (graficas, diagramas) y sesiones de trabajo

(entrevistas, reuniones)

Fuente:

104

TITULO: PHP y MySQL: tecnologías para el desarrollo de aplicaciones web

AUTORES: Cobo Ángel, Gómez Patricia, Pérez Daniel

AÑO: 2007

APORTE: Nos explica la utilización del lenguaje de programación PHP y la forma adecuada de

cómo crear bases de datos con el gestor MySql desde un punto de vista técnico.

Fuente: Base de Datos UCC

TITULO: Gestión de datos: bases de datos y sistemas gestores de bases de datos

AUTORES: Rodríguez González, María Elena

AÑO: 2013

APORTE: Nos muestra la forma de crear bases de datos, partiendo desde los casos de uso, los

objetivos y la seguridad que estos deben tener.

Fuente: Base de Datos UCC

TITULO: El Gran Libro de HTML5, CSS3 y Javascript

AUTORES: Juan Diego Gauchat

AÑO: 2012

APORTE: Expone la forma de utilizar el html5, el css3 y javascript, de una manera que conjunta,

para la realización de la maquetación de la aplicación web.

Fuente: Books Google


105

11. Referencias bibliográficas

(ILACIF)., I. L. (1981). MANUAL LATINOAMERICANO DE AUDITORÍA PROFESIONAL EN EL SECTOR

PUBLICO. Bogota: EDITORIAL DINTEL LTDA.

Andres, D. (26 de 06 de 2007). Full Blog. Obtenido de

http://infocem1.fullblog.com.ar/hardware_conceptos_basicos_111182899399.html

Barrientos, J. L. (03 de 11 de 2011). Laboratorio de redes y seguridad. Obtenido de

http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html

Benitez, M. (2013). Gestion Integral. Obtenido de http://www.gestionintegral.com.co/wp-

content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf

Carrillo, M., & Oliva, K. (2011). Metodologia RAD. Obtenido de http://metodologiarad.weebly.com/

EMSERPA. (2015). Empresa Municipal de Servicios Publicos de Arauca, EMSERPA. Obtenido de

http://www.emserpa.gov.co/

EMSERPA. (2015). Misión y Visión - Emserpa E.I.C.E. E.S.P. Obtenido de

http://www.emserpa.gov.co/sitio/index.php/institucional/mision-vision

EMSERPA. (2015). Organigrama General Emserpa E.I.C.E E.S.P. Obtenido de

http://www.emserpa.gov.co/sitio/index.php/institucional/organigrama-general-emserpa

EMSERPA. (2015). Valores corporativos y comportamientos esperados. Obtenido de

http://www.emserpa.gov.co/sitio/index.php/institucional/valores-corporativos

Erb, M. (27 de 09 de 2011). Recuperado el 18 de 02 de 2015, de

https://protejete.wordpress.com/gdr_principal/matriz_riesgo/

fiebre, 4. d. (s.f.). 40 de fiebre. Obtenido de http://www.40defiebre.com/que-es/diseno-responsive/

Flores, J. (1994). Analisis de datos cualitativos. Aplicacion a la investigación. Barcelona: PPU.

Garcia, M. (08 de 01 de 2013). Futuros Administradores Informaticos - Blog. Obtenido de http://asir2-

luisvives.blogspot.com.co/2013/01/fiabilidad-confidencialidad-integridad.html

González, G. (10 de 02 de 2014). HiperTextual. Obtenido de

http://hipertextual.com/archivo/2014/02/mantenimiento-preventivo-correctivo-pc/

GroupPHP. (2001). PHP. Obtenido de http://php.net/

Idalberto, C. (2006). Introducción a la Teoría General de la Administración. En Introducción a la Teoría

General de la Administración (pág. 110). McGraw-Hill Interamericana.

106

Informaticamoderna. (2008). Informática Moderna. Obtenido de

http://www.informaticamoderna.com/Backup.htm

International Organization for Standardization/International Electrotechnical Commission. (15 de 01

de 2014). International Standard ISO/IEC 27000. Obtenido de

http://k504.org/attachments/article/819/ISO_27000_2014.pdf

ISO27000. (21 de 10 de 2014). EL PORTAL DE ISO 27000. Recuperado el 21 de 10 de 2014, de

http://www.iso27000.es/iso27000.html

Leal, R. (2015). advisera. Obtenido de http://advisera.com/27001academy/es/que-es-iso-27001/

Luján Mora, S., & Aragonés Ferrero, J. (2012). desarrollo web. Obtenido de

http://desarrolloweb.dlsi.ua.es/cursos/2012/nuevos-estandares-desarrollo-sitios-

web/conceptos-basicos-css

Microsoft. (2012). Centro de seguridad y protección. Obtenido de https://www.microsoft.com/es-

xl/security/resources/antivirus-whatis.aspx

Ministerio de Hacienda y Administraciones Públicas de España. (2012). Magerit – versión 3.0.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Madrid:

Ministerio de Hacienda y Administraciones Públicas.

Perez, V. (24 de 09 de 2013). Riu Net. Obtenido de Conjunto de archivos electrónicos y páginas web

referentes a un tema en particular que

Poveda, J. M. (17 de 07 de 2013). world vision capacitacion. Obtenido de

http://www.worldvisioncapacitacion.cl/wp-

content/uploads/cursos_adjuntos/f52e0bd4c6c2c203413952826f916237.pdf

Programar, A. a. (s.f.). Obtenido de

http://aprenderaprogramar.com/index.php?option=com_content&view=article&id=688:ique

-es-y-para-que-sirve-uml-versiones-de-uml-lenguaje-unificado-de-modelado-tipos-de-

diagramas-uml&catid=46:lenguajes-y-entornos&Itemid=163

Rodriguez, T. (25 de 10 de 2015). Instituto Navarro de Administración Pública. Obtenido de

www.cfnavarra.es/INAP

Terry, G. R. (2000). Administracion y Control de Oficinas. Compaia Editorial Continental.

WebEstilo. (2009). Obtenido de http://www.webestilo.com/mysql/intro.phtml

107

Anexos

108

Anexo 1: Formato caracterización de los activos de información.

CARACTERIZACIÓN E IDENTIFICACIÓN DE LOS ACTIVOS

EMPRESA CARGO

FUNCIONARIO FECHA

ITEM

Nombre

de

Activo

Código Descripción Tipo Unidad Responsable Persona Responsable

Ubicación Cantidad Mantiene Explota Responsable Operador

1

2

3

4

5


109

Anexo 2: Checklist para la identificación del riesgo de los activos de información.

CHECKLIST PARA LA IDENTIFICACIÓN DE AMENAZAS Y SALVAGUARDAS

Empresa Cargo

Funcionario Fecha

MEDIO AMBIENTE

ÍTEM PUNTO A EVALUAR SI NO N/A OBSERVACIÓN

1 ¿Cuenta con sistemas de refrigeración en el cuarto de comunicaciones?

2 ¿Se tiene plan de contingencia en caso de que los sistemas de refrigeración

en el cuarto de comunicaciones fallen?

3 ¿Tiene un sistema que controle la temperatura adecuada para el cuarto de

comunicaciones?

4 ¿Existe un cronograma de mantenimiento para los equipos de refrigeración

en el cuarto de comunicaciones?

5 ¿Cuenta con buena iluminación el cuarto de comunicaciones?

6 ¿Existe líquido inflamable en el cuarto de comunicaciones?

7 ¿Tiene el cuarto de comunicaciones extintores manuales para incendio?

8 ¿Está señalizado la ubicación de los extintores para su fácil acceso?

110

INFRAESTRUCTURA FÍSICA


9 ¿Está identificado el cuarto de comunicaciones?

10 ¿La ubicación del cuarto de comunicaciones es la ideal?

11 ¿Cuenta con salidas de emergencia el cuarto de comunicaciones?

12 ¿Tiene el cuarto de comunicaciones puertas y ventanas con acceso a la parte

externa de la empresa?

13 ¿Son independiente las conexiones eléctricas para el cuarto de

comunicaciones?

14 ¿Cumplen las instalaciones eléctricas del cuarto de comunicaciones con la

normatividad vigente?

15 ¿Tiene un estabilizador eléctrico adecuado para el cuarto de

comunicaciones?

16 ¿Tiene el cuarto de comunicaciones unidad de potencia ininterrumpida

(UPS)?

CONTROL DE ACCESO


17 ¿Tiene el cuarto de comunicaciones un control de acceso?

18 ¿Está señalizado el cuarto de comunicaciones como zona restringida?

19 ¿Se hace acompañamiento permanente a personas ajenas a la empresa

dentro del cuarto de comunicaciones?

20 ¿El personal que opera el cuarto de comunicaciones está plenamente

identificado?

111

CABLEADO ESTRUCTURADO


21 ¿Cuenta el cableado estructurado con la normativa vigente?

22 ¿Se tiene identificado la ruta del cableado estructurado?

23 ¿Es de fácil acceso al cableado estructurado a personas ajenas?

24 ¿Tiene firewall como protección a la red?

SOFTWARE


25 ¿Se hace vigilancia continua en el rendimiento de los servidores?

26 ¿Cuentan los equipos de cómputo con antivirus?

112

Anexo 3: Formato de identificación de amenazas y vulnerabilidades.

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS

Empresa Cargo

Funcionario Fecha

MEDIO AMBIENTE

ÍTEM VULNERABILIDADES AMENAZAS

1

Daños en los equipos

recalentamiento en los equipos

cortocircuito

Perdida de información

2 Fallas de funcionamiento Perdida de los datos

3 recalentamiento en los equipos Disminuye la funcionalidad de los equipos de refrigeración

4 Polvo Reduce su rendimiento

5 Mala digitación Modificación en los datos

6 Explosión Daños en los equipos


7 Incendio Avería en los equipos

Daño parcial o total de los equipos

8 Humo Intoxicación

INFRAESTRUCTURA FÍSICA


9 Ingreso de personal no autorizado Manipulación de la información

10

humedad Cortocircuito

ruido Distracción

Ingreso de intrusos Modificación de datos

113

11 Estampida humana Daños en los equipos

12 Ingreso abusivo de personas Alteración de los datos


13 Cortocircuito Daños en los equipos

Perdida de los datos

14

Fallas eléctricas

Perdida en la Continuidad en el negocio

15 Daños en los equipos

16 Perdida de información

CONTROL DE ACCESO


17

El cuarto de comunicaciones no tiene seguridad de acceso


Modificación de los datos

Averías en los equipos

18 El cuarto de comunicaciones no está identificada como zona

restringida

Fácil acceso de personal no autorizado


19

personas ajena dentro del cuarto de comunicaciones

Modificación de los datos

Averías en los equipos

20 Daños en los equipos

Fallos en los equipos

CABLEADO ESTRUCTURADO


21 Fallos en el tráfico de información Perdida en la Continuidad en el negocio


22

Rotura del cableado

Intersección en los datos

Modificación en los datos

23 Perdida de información

Perdida de rendimiento de la información

114

24 Software malicioso Daño parcial o total de los datos

Daño parcial o total n los equipos

HARDWARE


25 Tráfico en la red Rendimiento en la información

26 Antivirus desactualizados Software malicioso


115

Anexo 3: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

Tabla 2: Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

Herramienta de Evaluación en base a la Norma ISO/IEC 27002:2013.

ANALISIS EN SEGURIDAD INFORMATICA

Instrumento de Evaluación en base a la Norma ISO/IEC 27002:2013

Empresa Cargo

Funcionario Fecha

DOMINIOS 9. Políticas de seguridad

OBJETIVOS DE CONTROL 5.1.Directrices de la dirección en seguridad de la información

CONTROLES PUNTOS A EVALUAR SI NO N/A OBSERVACION

5.1.1. conjunto de políticas para

la seguridad de la información

¿Cuenta la Empresa actualmente con políticas

de seguridad de la información?

¿Tiene la Gerencia conocimientos de las

políticas de seguridad de la información?

¿Tienen los empleados conocimientos de las

políticas de seguridad de la información?

5.1.2. Revisión de las políticas

para la seguridad de la

información

¿Son evaluadas las políticas de seguridad de

la información periódicamente?

¿Están sujetas a modificación las políticas de

seguridad de la información?

116

Empresa Cargo

Funcionario Fecha

DOMINIOS 8 Gestión de activos

OBJETIVOS DE CONTROL 8.1. Responsabilidad sobre los activos


8.1.1. Inventarios de activos

¿Cuenta la Empresa actualmente con un

Inventario de activos en relación al manejo de

la información?

¿Está clasificada la importancia del

Inventario de activos en relación al manejo de

la información?

¿Se hacen auditorías en cuanto al inventario

de activos en relación al manejo de la

información?

8.1.2. Propiedad de los activos

¿Se maneja por responsable el inventario de

activos en relación al manejo de la

información?

¿Se capacita al responsable para el manejo

del activo en relación al manejo de la

información?

8.1.3. Uso aceptable de los

activos

¿Se cuenta con un procedimiento para el uso

aceptable de los activos de información?

¿Se capacita al personal para dar uso

adecuado de los activos de información?

¿Se hace un control sobre el uso adecuado de

los activos de información?

8.1.4. Devolución de los activos ¿Existe un procediendo para la devolución de

los activos de información?

117

Empresa Cargo

Funcionario Fecha


OBJETIVOS DE CONTROL 8.2. Clasificación de la información


8.2.1. Directrices de clasificación ¿Existe una directriz para clasificar la

información que maneja la empresa?

8.2.2. Etiquetado y manipulación

de información

¿Existen procedimientos para el etiquetado y

la manipulación de la información?

¿Se hace seguimiento al manejo en la

manipulación de la información?

8.2.3.Manipulación de activos

¿Cuenta la empresa con procedimientos para

la manipulación de activos de información?

¿Se audita la manipulación de los activos de

información?

118

Empresa Cargo

Funcionario Fecha


OBJETIVOS DE CONTROL 8.3. Manejo de soporte de los almacenamientos


8.3.1. Gestión de soporte

extraíbles

¿Cuenta la empresa con procedimientos para

el manejo de almacenamiento extraíbles de

información?

¿Se capacita al empleado para hacer uso de

los soportes de almacenamientos extraíbles?

¿Existen restricciones para el uso de soportes

de almacenamientos de información

extraíbles?

8.3.2. Eliminación de soportes ¿Cuenta la empresa con procesos para la

eliminación de soportes de almacenamientos?

8.3.3. Soportes físicos en transito

¿Se tiene políticas de seguridad para el

transporte físico de la información?

¿Cuenta la empresa con protocolos de

seguridad en caso de alteración y/o pérdidas

de la información en el momento de su

transporte?

119

Empresa Cargo

Funcionario Fecha

DOMINIOS 9 Control de accesos

OBJETIVOS DE CONTROL 9.1. Requisitos de negocios para el control de accesos


9.1.1. Políticas de control de

accesos

¿Existen políticas de seguridad en la empresa

para el control de acceso?

¿Se capacita al empleado para el control de

acceso?

9.1.2. Control de accesos a las

redes y servicios asociados

¿Existen restricciones al acceder a los

servicios asociados por la red a los

empleados?

¿Cuentan algunos empleados con privilegios

en los servicios asociados en la red según sus

funciones?

Empresa Cargo

Funcionario Fecha


OBJETIVOS DE CONTROL 9.2. Gestión de accesos de usuarios


9.2.1. Gestión de altas/bajas en el

registro de usuario

¿Existen protocolos de seguridad para asignar

registros de usuarios?

9.2.2.Gestión de los derechos de

accesos asignados a usuario

¿Cuenta la empresa con requisitos

preestablecidos para asignar usuarios?

¿Esta documenta los roles por usuario

120

asignado?

9.2.3.Gestión de los derechos

accesos con privilegios especiales

¿Esta preestablecido por la empresa los

privilegios especiales según las funciones de

los empleados?

9.2.4.Gestión de información

confidencial de autenticación de

usuarios

¿Existen protocolos de seguridad para la

confidencialidad en la autenticación de

usuarios?

9.2.5. Revisión de los derechos de

acceso de los usuarios

¿Existe un procedimiento establecido para la

revisión de acceso por parte de los usuarios?

¿Son modificables estos derechos de revisión

de acceso por parte de los usuarios?

9.2.6.Retirada o adaptación de los

derechos de accesos

¿Existe un procedimiento establecido para

retirar los derechos de accesos a los usuarios?

¿Existe un protocolo para la adaptación de los

derechos de accesos a los usuarios?

Empresa Cargo

Funcionario Fecha


OBJETIVOS DE CONTROL 9.3. Responsabilidades del usuario


9.3.1.Uso confidencial para la

autenticación de usuario

¿Maneja la empresa algún procedimiento para

la confidencialidad en la autenticación de

usuario?

¿Se socializa a los empleados la

confidencialidad en la autenticación de

usuario?

121

Empresa Cargo

Funcionario Fecha

DOMINIOS 9. Control de accesos

OBJETIVOS DE CONTROL 9.4. Control de accesos a sistemas y aplicaciones


9.4.1. Restricción del acceso a la

información

¿Se encuentran restringidas los accesos a la

información?

¿Existe un protocolo de seguridad para la

restricción de acceso de acuerdo a sus

funciones?

¿Se socializa a los empleados estos

protocolos para la restricción de acceso a la

información?

9.4.2. Procedimientos seguros de

inicio de sesión

¿Existe por parte de la empresa garantas

seguras al inicio de sesión?

9.4.3. Gestión de contraseñas de

usuario

¿Existen procedimientos para la asignación

de contraseñas a los usuarios?

¿Las contraseñas son de manejo de tiempo

limitado?

9.4.4. Uso de herramientas de

administración de sistemas

¿La empresa cuenta con procedimientos para

asignar y vigilar los privilegios a los

empleados?

¿Son evaluados estos privilegios a los

empleados?

9.4.5. Controlo de acceso al

código fuente de los programas

¿Está protegido por parte de la empresa los

códigos fuentes de los programas y

aplicaciones?

¿Son auditados la seguridad en el código

fuente y aplicaciones de la empresa?

122

Empresa Cargo

Funcionario Fecha

DOMINIOS 11.Seguridad física y ambiental

OBJETIVOS DE CONTROL 11.1. Áreas seguras


11.1.1. Perímetro de seguridad

física

¿Existe procedimientos de seguridad en las

áreas de perímetro física?

¿Se socializa a los empleados estos

procedimientos de seguridad en las áreas de

perímetro física?

11.1.2. Controles físicos de

entrada

¿Tiene la empresa identificado el área

restringida de acceso al cuarto de controles?

11.1.3.Seguridad de oficinas,

despachos y recursos

¿Cuenta la empresa con controles de

seguridad en las oficinas y despachos?

¿Se hacen revisiones a estos controles de

seguridad en las oficinas y despachos?

11.1.4. Protección contra

amenazas externas y ambientales

¿Existe sistemas de protección contra los

desastres naturales?

¿Se encuentra blindada la empresa contra

amenazas externas a los sistemas?

11.1.5.El trabajo en áreas seguras

¿Cuenta la empresa con áreas seguras en los

puestos de trabajo?

¿Se socializa el buen uso de la seguridad en

los puestos de trabajo?

11.1.6. Áreas de acceso público,

carga y descarga

¿Se tiene un monitoreo a las áreas de acceso

público en la empresa?

¿Se tiene identificadas las áreas de acceso

público en la empresa?

123

Empresa Cargo

Funcionario Fecha

DOMINIOS 11.Seguridad física y ambiental

OBJETIVOS DE CONTROL 11.2. Seguridad de los equipos


11.2.1. Emplazamiento y

protección de equipos

¿Cuentan los equipos con sistemas de

protección?

¿Se socializan a los empleados los sistemas

de seguridad en los equipos?

¿Se revisan los sistemas de seguridad en los

equipos?

11.2.2. Instalaciones de

suministro

¿Cuenta la empresa con dispositivos que

garanticen la continuidad del servicio como

UPS?

¿Tiene la empresa definida las características

para el uso de estas UPS?

11.2.3. Seguridad del cableado

¿Cuenta la empresa con planos que

identifiquen el cableado estructurado?

¿Se hacen mantenimientos al cableado

estructurado?

¿Cumple la empresa con la normativa en el

cableado estructurado?

11.2.4. Manteamiento de los

equipos

¿Existe programas establecidos para los

mantenimientos en los equipos?

¿Cuenta la empresa con personal idóneo para

el mantenimiento en los equipos?

11.2.5. Salidas de los activos

fuera de las dependencias de la

empresa

¿Existe un manual de procedimientos para la

salida de los activos fuera de la empresa?

¿Se hace el seguimiento de los activos en el

124

desplazamiento por fuera de la empresa?

11.2.6. Seguridad de los equipos

y activos fuera de las

instalaciones

¿Existe procedimientos de seguridad en los

equipos fuera de la empresa?

¿Son supervisados estos procedimientos de

seguridad en los activos fuera de la empresa?

11.2.7. Reutilización o retirada

segura de dispositivo de

almacenamiento

¿Existe un procedimiento por parte de la

entidad para la reutilización o retirada segura

de los dispositivos de almacenamiento?

11.2.8. Equipo informático de

usuario desatendido

¿Tiene la entidad equipo informático de

usuario desatendido?

¿Tiene la empresa procedimientos para los

equipos de usuarios desatendidos?

11.2.9. Política de puesto de

trabajo despejado y bloqueo de

pantalla

¿Cuenta la empresa con políticas de puestos

de trabajo despejado y bloqueo de pantallas?

¿Se socializan estas políticas de puestos de

trabajo despejado y bloqueo de pantallas?

125

Empresa Cargo

Funcionario Fecha

DOMINIOS 12. Seguridad en la operativa

OBJETIVOS DE CONTROL 12.2. Protección contra código malicioso


12.2.1. Controles contra código

malicioso

¿Existen procesos por parte de la empresa

para la identificación de códigos maliciosos?

¿Cuenta la empresa con políticas de

seguridad para mitigar los códigos

maliciosos?

¿Está en capacidad la entidad en recuperar la

información afectada por un código

malicioso?

Empresa Cargo

Funcionario Fecha

DOMINIOS 12. Seguridad en la operativa

OBJETIVOS DE CONTROL 12.3. Copias de seguridad


12.3.1. Copias de seguridad de la

información

¿Maneja la entidad copias de seguridad para

salvaguardar la información?

¿Existen procedimientos establecidos para las

copias de seguridad?

¿Es de una alta prioridad para la empresa las

copias de seguridad?

126

Empresa Cargo

Funcionario Fecha

DOMINIOS 13. Seguridad en las telecomunicaciones

OBJETIVOS DE CONTROL 13.1. Gestión de la seguridad en las redes


13.1.1. Controles de red

¿Existen políticas de seguridad para el control

de la red?

¿Son auditadas estas políticas para el control

de la red?

¿Se hace concientización a los empleados

para el uso adecuado de la red?

13.1.2. Mecanismos de seguridad

asociados a servicios de red

¿Existen procedimientos para la

identificación de los mecanismos asociados a

la red?

13.1.3. Segregación de redes ¿La empresa tiene identificada el tipo de

topología implementada en su red?

127

Empresa Cargo

Funcionario Fecha

DOMINIOS 13. Seguridad en las telecomunicaciones

OBJETIVOS DE CONTROL 13.2. Intercambio de información con partes externas


13.2.1. Políticas y procedimientos

e intercambio de información

¿Existen políticas de seguridad para el

intercambio de información?

¿Se socializan a los empleados las políticas

de seguridad para el intercambio de

información?

¿Existen mecanismos predeterminado para el

intercambio de información entre los

empleados?

13.2.2. Acuerdos de intercambio

¿Hace la empresa acuerdos con terceros para

el intercambio de información?

¿Existen políticas de seguridad para el

manejo de la información con terceros?

13.2.3. Mensajería electrónica

¿Maneja la empresa mensajería electrónica?

¿Se capacitaciones a los empleados para el

uso de la mensajería electrónica?

13.2.4. Acuerdos de

confidencialidad y secreto

¿Maneja la empresa acuerdos de

confidencialidad y secreto con los

empleados?

¿Son auditados estos acuerdos de

confidencialidad y secreto con los

empleados?

128

Empresa Cargo

Funcionario Fecha

DOMINIOS 14. Adquisición, desarrollo y mantenimiento de los sistemas de información

OBJETIVOS DE CONTROL 14.1. Requisitos de seguridad de los sistemas de información


14.1.1. Análisis y especificación

de los requisitos de seguridad

¿La empresa desarrolla software y/o

aplicaciones?

¿La empresa hace adquisición de software?

¿Tiene la empresa como prioridad los

requisitos de seguridad en la adquisición del

software?

¿Tiene la empresa contrato de soporte con

quien suministra el software?

Empresa Cargo

Funcionario Fecha

DOMINIOS 17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio

OBJETIVOS DE CONTROL 17.1. Continuidad de la seguridad de la información


17.1.1.Planificación de la

continuidad de la seguridad de la

información

¿Existen políticas de seguridad para

continuidad en la información?

¿La empresa tiene identificado un plan de

emergencia para la continuidad de la

información?

¿Se socializa a los empleados el plan de

129

emergencia para la continuidad del negocio?

17.1.2. Implantación de la

continuidad de la seguridad de la

información

¿Existe un procedimiento preestablecido de

implantación para la continuidad de la

información?

17.1.3. Verificación, revisión y

evaluación de la continuidad de la

seguridad de la información

¿Tiene la entidad un cronograma para la

verificación, revisión y evaluación de la

continuidad de la información?

¿Existen procedimientos que le permitan a la

empresa hacer verificación, revisión y

evaluación de la continuidad de la

información?

Empresa Cargo

Funcionario Fecha

DOMINIOS 17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio

OBJETIVOS DE CONTROL 17.2. Redundancias


17.2.1.Disponibilidad de las

instalaciones para el

procesamiento de la información

¿Cuenta la empresa con instalaciones aptas

para el procesamiento de la información?

¿Existe disponibilidad de las instalaciones

por parte de la empresa para el procesamiento

de la información?

análisis de la seguridad informática mediante el uso de un

Documents