tÉsis de grado previo a la obtenciÓn del...
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
TÉSIS DE GRADO PREVIO A LA OBTENCIÓN DEL
TÍTULO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
PLAN DE SEGURIDAD INFORMÁTICA DEL DEPARTAMENTO DETECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN DE LAUNIVERSIDAD TÈCNICA DE BABAHOYO PARA MEJORAR LAGESTIÓN EN LA CONFIDENCIALIDAD E INTEGRIDAD DE LAINFORMACIÓN Y DISPONIBILIDAD DE LOS SERVICIOS.
AUTOR:
ING. JOSÉ TEODORO MEJÍA VITERI
TUTORES:
ING.MG, FRANKZ CARRERA C.
DR.MSC. GALO PAZMAY R.
BABAHOYO-ECUADOR
2015
CERTIFICACIÓN DE ASESORÍA
Babahoyo, Mayo del 2015
En nuestra calidad de asesores del presente trabajo de investigación, previo a la obtención
de Título de Magister en Informática Empresarial; certifico que el Sr. José Teodoro Mejía
Viteri, elaboró su trabajo de grado cuyo Tema: “PLAN DE SEGURIDAD
INFORMÁTICA DEL DEPARTAMENTO DE TECNOLOGÍAS DE LA
INFORMACIÓN Y COMUNICACIÓN DE LA UNIVERSIDAD TÈCNICA DE
BABAHOYO PARA LA GESTIÓN EN LA CONFIDENCIALIDAD E INTEGRIDAD
DE LA INFORMACIÓN Y DISPONIBILIDAD DE LOS SERVICIOS”; cumple con los
lineamientos académicos de la Universidad Regional Autónoma de los Andes
“UNIANDES”.
El plan de seguridad informática su principal característica es mejorar la seguridad en el
departamento de Tecnologías de la Información y Comunicación de la Universidad
Técnica de Babahoyo por lo tanto autorizamos su presentación y evaluación por parte del
tribunal que designe.
Atentamente,
. Asesores de Tesis
DECLARACIÓN DE AUTORÍA
Yo, José Teodoro Mejía Viteri con cédula Nro.1204291510, declaró que la
presente tesis es de mi total autoría y que no ha sido presentado como otro
proyecto de tesis de grado previo a obtener el título de Magister en Informática
Empresarial; así mismo declaró que la presente investigación se basa en la
bibliografía existente en este documento.
Autorizo para que la Universidad Regional Autónoma de los Andes
“UNIANDES” tenga plena facultad de hacer uso de los derechos
correspondientes a este trabajo de investigación, según lo establecido por
ley de propiedad Intelectual, su reglamento y la normatividad institucional
vigente.
………………………………
Ing. José Teodoro Mejía Viteri
DEDICATORIA
Primeramente a Dios Padre, por permitir vivir y ayudarme a obtener mis metas.
A mis padres Virginia y Teodoro los cuales con su dedicación y amor me
llevarón a ser lo que soy.
A mi esposa María Isabel Gonzales Valero y a mi hijo Diego José los cuales han
sacrificado tiempo para que pueda realizar mis estudios y por brindarme su amor
en tiempos difíciles. Y a mis hermanos Diego, Marcelo y Ariel
RESUMEN EJECUTIVO
Este trabajo tiene por objetivo desarrollar un plan de seguridad informática basándose en
la serie de normas ISO 27000 el cual esta propuesto para una institución pública que es
la Universidad Técnica de Babahoyo.
Antes de realizar el plan se realiza un levantamiento de los dispositivos hardware y
software, para luego realizar una valoración a los mismos de acuerdo a su incidencia en
la integridad, confidencialidad y disponibilidad, también se realiza una asignación de las
amenazas más significativas que pueden causar daño al activo y afectar su actividad, para
luego realizar una valoración del riesgo tomando en cuenta la Norma ISO27005, y finaliza
tomando las medidas de aseguramiento con la norma ISO27002.
Este plan de seguridad informática, contiene la definición de las políticas de seguridad y
su alineación con la visión y misión de la Universidad Técnica de Babahoyo tal como lo
indica la norma ISO 27001.
Al desarrollar las políticas de seguridad informática se contempla el uso de software libre,
aunque también existe software y hardware que poseen un costo pero que también puede
ser sustituido por software opensource, además facilitó conocer las fortalezas y
debilidades de la institución, y al ser esta una institución de carácter pública este trabajo
servirá como referencia a otras instituciones educativas, públicas y privadas porque
provee las directrices para comenzar con el análisis de riesgo de sus activos y así fijar una
escala del riesgo y proceder a realizar sus planes de seguridad informática.
EXECUTIVE SUMMARY
This paper aims to develop a security plan based on which is proposed for a public
institution, the Technical University of Babahoyo ISO 27000 series of standards.
Before making the plan an uprising of the hardware devices and software is done, and
then make an assessment to them according to their impact on the integrity,
confidentiality and availability, allocation of the most significant threats that it can cause
also performed damage to assets and affect its activity, and then make a risk assessment
taking into account the Standard ISO27005, and ends by taking security measures with
the ISO27002 standard.
This security plan contains the definition of security policy and its alignment with the
vision and mission of the Technical University of Babahoyo as indicated by the ISO
27001 standard.
When developing security policies using free software provides, but there is also software
and hardware that have a cost but can also be replaced by software opensource also
facilitated to know the strengths and weaknesses of the institution, and when this an
institution of public character this work will serve as reference to other educational, public
and private institutions because it provides guidelines to begin the analysis of risk of their
assets and thereby fix a scale of risk and proceed with their security plans.
INDICE
PORTADA
CERTIFICACIÓN DE ASESORÍA
DECLARACIÓN DE AUTORÍA
DEDICATORIA
RESUMEN EJECUTIVO
ABSTRACT
INDICE
INTRODUCIÓN. 1
Antecedentes de la investigación 1
Planteamiento del problema 3
Formulación del problema 4
Objeto de investigación 4
Campo de acción 5
Identificación de la línea de investigación 5
Objetivo general 5
Objetivos específicos 5
Idea a defender 5
Justificación del tema 6
Metodología a emplear 6
Breve Explicación de la metodología investigativa 7
Resumen de la Estructura de la Tesis 7
Novedad, Aporte Teórico y significancia práctica 8
CAPITULO I 9
1.MARCO TEÓRICO
1.1 Proceso de gestión administrativa en informática 9
1.2.1 Datos 9
1.2.2 Importancia de la información 10
1.2.3 Seguridad 10
1.2.4 Vulnerabilidades 11
1.2.5 Amenazas 12
1.2.6 Seguridad de la información 12
1.2.7 Política de seguridad 13
1.2.8 Aspectos físicos de la política de seguridad 13
1.2.9 Aspectos lógicos de la política de seguridad 14
1.2.10 Integridad 14
1.2.11 Confidencialidad 15
1.2.12 Disponibilidad 15
1.2.13 Sistema de gestión de la seguridad 16
1.2.14 Normas 16
1.2.15 Normas de seguridad de la información 16
1.2. 15.1 ITIL (information technology infrastructure library) 17
1.2.15.2 COBIT (control objectives for information and related technology) 19
1.2.15.3 Iso(organización internacional de normalización) e iec (comisión
electrotécnica
22
1.2.16 Interrogantes para definir el valor del activo en cuanto confidencialidad
integridad y disponibilidad
27
1.2 .17 Evaluación detallada de los riesgos en la seguridad de la información 28
1.2.18 Leyes y reglamentos de la legislación ecuatoriana sobre seguridad de la
información
29
1.2.19 Normas de control interno de la contraloría general del estado 29
1.2.20 Amenazas que está expuesta la información. 30
1.2.21 Ataques que está expuesta la información 30
1.2.22 Riesgo 31
1.2.23 Plan de seguridad informática 32
1.2.24 Consideraciones ISO 27001 para el desarrollo del plan de seguridad
informática
33
1.3 Valoración crítica 35
1.4 Conclusiones parciales del capítulo 35
Capitulo II 37
Marco metodológico. 37
2.1 Caracterización del sector 37
2.2 Descripción del Procedimiento Metodológico 39
2..2.1 Enfoque 39
2.2.2 Modalidad de la investigación 39
2.2.3 Métodos, Técnicas e Instrumentos 39
2.2.3.1 Métodos de Investigación 40
2.2.3.2 Métodos Teóricos 40
2.2.3.3 Técnicas de Investigación 40
2.2.4 Población y Muestra 41
2.2.5 Interpretación de Resultados de las encuestas aplicadas 42
2.3. Propuesta del Investigador 55
2.4. Conclusiones Parciales del capítulo 55
Capitulo III 57
Desarrollo de la propuesta 57
3.1 Tema 57
3.2 Caracterización de la propuesta 57
3.3 Desarrollo de la propuesta 58
3.3.1 Alcance del plan 59
3.3.2. Límites del plan de seguridad. 59
3.3.3. Características de la universidad técnica de Babahoyo 59
3.3.4. Aplicación del Plan 59
3.3.4.1 Situación previa de la seguridad informática en el caso de estudio 59
3.3.5 Política del plan de seguridad de la información 60
3.3.6. Criterio de evaluación del riesgo 60
3.3.7. Enfoque para el cálculo del riesgo 61
3.3.8 Proceso para el cálculo del riesgo 61
3.3.8.1. Análisis de riesgo 61
3.3.8.2 Identificación de los activos 62
3.3.8.3 Identificación de requerimientos legales y comerciales relevantes para los
activos identificados
62
3.3.8.4 Valoración de los activos 62
3.3.8.4 Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia 63
3.3.8.5 Evaluación del riesgo 63
3.3.8.6 Tratamiento de riesgo y toma de decisiones gerencial 64
3.3.8.7 Riesgo residual 64
3.3.8.8 Seleccionar objetivos de control y controles para el tratamiento de riesgos 65
3.3.9 Preparación de la declaración de aplicabilidad 65
3.3.10 Desarrollo del plan de seguridad informática al caso de estudio 65
3.3.10.1. Seguridad de los equipos 66
3.3.10.2.Mantenimiento de equipos 68
3.3.10.3.Gestión de Cambios 68
3.3.10.4 Copias de seguridad 68
3.3.10.5 Gestión de la seguridad de las redes 69
3.3.10.6 Manipulación de los soportes 71
3.3.10.7 Supervisión 72
3.3.10.8 Control de acceso 73
3.3.10.9 Gestión de acceso a usuarios 74
3.3.10.10 Responsabilidades de usuario 77
3.3.10.11 Control de acceso a la red 78
3.3.10.12 Control de acceso al sistema operativo 80
3.3.10.13 Tratamiento correcto de las aplicaciones 81
INDICE DE FIGURAS
Gráfico 1.1 Ciclo de vida de ITIL 17
Gráfico 1.2 Gobierno y gestión de COBIT 5 21
Gráfico 1.3 Gestión de ISO 22
Gráfico 1.4 Sistema de Gestión de la seguridad informática 23
Gráfico 3.1 Esquema de desarrollo de la propuesta 58
INDICE DE TABLAS.
Tabla 3.1 Base para la elaboración de Activos. Anexo 2
Tabla 3.2 Identificación de amenazas, vulnerabilidades Anexo 3
Tabla 3.3 Probabilidad que ocurra la amenaza Anexo 4
Tabla 3.4 Tabla para valoración de Activos. Anexo 5
Tabla 3.5 Valoración de Activos. Anexo 6
3.3.10.14 Controles criptográficos 86
3.3.10.15 Seguridad en los archivos del sistema 82
3.3.10.2.23 Seguridad en los procesos de desarrollo y soporte 83
3.3.10.2.24 Gestión de la continuidad del negocio 84
3.3.11 Presupuesto de implementación de política de seguridad 86
3.3.12 Pruebas de Validación 86
Conclusiones generales 87
Recomendaciones 88
Bibliografía
Tabla 3.6 Probabilidad que ocurra la amenaza Anexo 7
Tabla 3.7 Calculo que ocurra la amenaza en los activos Anexo 8
Tabla 3.8 Tabla de evaluación del riesgo Anexo 9
Tabla 3.10 Tratamiento del Riesgo Anexo 11
Tabla 3.11 Aplicabilidad de Controles ISO 27002 Anexo 12
1
INTRODUCCIÓN.
Antecedentes de la Investigación.
Hoy en día la informática es la columna vertebral de las empresas públicas y privadas, es tan
crítico tener un departamento de Tecnologías de la Información y comunicación, que provea
servicios, tales como páginas web, control en los accesos a la información, y software que
funcionan a nivel LAN y WAN, esto lleva a que se deba asegurar la disponibilidad y la
seguridad de la misma, tanto así que el bien más cotizado por las empresas es la información,
hoy en día se escucha mucho que los hackers se apropian de la información de los clientes
de las empresas, solicitando cuantiosas cantidades de dinero por esta, y se hace necesario
poseer una infraestructura que cumpla con los más altos estándares en cuanto a seguridad,
integridad y confidencialidad.
En una investigación preliminar de la tesis de la Magister Mónica Uyana García
PROPUESTA DE DISEÑO DE UN AREA INFORMÁTICA FORENSE PARA UN
EQUIPO DE RESPUESTA ANTE INCIDENTES DE SEGURIDAD INFORMÁTICO de
la Escuela Politécnica del Ejercito (ESPE), establece que “los robos y atentados informáticos
utilizando la innovación tecnológica con fines delictivos, cada vez mayores, no solo generan
pérdidas económicas ya que su interés de manera actual se encuentra enfocado en el daño
contra las personas, empresas, gobiernos”, (Uyana Mónica , 2013).
El aprovechamiento ilícito de las vulnerabilidades en la seguridad de los sistemas y ataques
informáticos incluyendo fraude, extorsión, robo de información, venganza o simplemente el
desafío de conocimientos en informática, han dado lugar a la generación de conductas ilícitas
susceptibles de ser sancionadas por el derecho penal a aquellas personas que hacen el uso
indebido de cualquier medio informático, los delitos informáticos pueden alterar, afectar,
destruir, dañar o perjudicar a los, sistemas, procesos, infraestructura tecnológica e
información en general, afectada por métodos que comprometen la confidencialidad,
integridad y disponibilidad de la información de las personas, empresas y/u organizaciones.
Indica también sobre la importancia que se deben plantear las empresas al momento de
implementar medidas de seguridad sobre accesos y hurto de información ya que hoy en día
el activo más valioso de una empresa es la información, por lo tanto hace mucho énfasis a
2
la implementación de las normas ISO 27001 para que las empresas tengan cierto grado de
confidencialidad y controles de acceso.
En una investigación preliminar de la tesis del Magister Javier Ricardo Bermeo Paucar,
ANALISIS DE LA AUDITORÍA EN SEGURIDAD INFORMÁTICA DEL
DEPARTAMENTO DE TECNOLOGIAS DE LA U.N.E.M.I., “establece que actualmente
la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y nuevas
plataformas informáticas disponibles, buscando proteger los datos, de la aparición de nuevas
amenazas en los sistemas informáticos”. Las empresas actualmente están llevando la
seguridad de la información de manera sutil sin darle la importancia necesaria, este trabajo
de investigación pretende darle un giro a la errada percepción que tienen las empresas
públicas y privadas que la forma de que la información permanezca segura solo se debe sacar
respaldo, cuando esto es solo una pequeña parte del aseguramiento de la información.
(Paucar Javier, 2012).
Las políticas de seguridad informática fijan los mecanismos y procedimientos que debe
adoptar el departamento de Tecnologías de toda Institución para salvaguardar sus sistemas
y la información que estos contienen. Éstas políticas deben diseñarse "a medida" para así
recoger las características propias de cada departamento. No son una descripción técnica de
mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los
empleados, son más bien una descripción de lo que se debe proteger y el porqué de ello, por
lo que pueden tomarse como una forma de comunicación entre los operadores y los
directores. De acuerdo con lo anterior, el aplicar una auditoria de seguridad informática
requiere un alto compromiso de los principales directivos de la empresa, explotar las
destrezas, habilidades y experiencia técnica de los usuarios; detectar fallas, debilidades, y
revisiones periódicas que permitan actualizar dichas políticas en función del dinámico
ambiente que rodea las organizaciones modernas.
En el artículo científico del magister Carlos Manuel Fernández Sánchez docente de la
Universidad Alcalá de Henares Madrid titulado La norma ISO 27001 del sistema de Gestión
de la Garantía de Confidencialidad y garantía de la seguridad de la Información indica que
la norma ISO 27001 tiene relación con otras normas que conforman el modelo de gobierno
y gestión de las Tecnologías de la Información y Comunicación (TIC) desarrollado por
3
AENOR, basado en estándares aceptados mundialmente.” Se puede decir que, gracias a este
modelo, el Centro de Proceso de Datos y el resto de la organización comienzan hablar el
mismo lenguaje y a interconectarse de manera más natural y eficiente”, (Fernández Carlos,
2013).
Con la colaboración del Director actual y la disposición de las autoridades actuales que
desean que la universidad cumpla con las recomendaciones de los estamentos de control y
mejorar la gestión en todas las dependencias se establece la necesidad de establecer medidas
de control.
Planteamiento del Problema.
Las Tecnologías de la información y Comunicación evolucionan rápidamente y cada vez
revolucionan más al mundo siendo fundamentales hoy en día las instituciones públicas y
privadas en sus operaciones administrativas, financieras a través del internet y los empleados
de estas empresas con servicios que funcionan a través de redes corporativas.
Actualmente en el Ecuador existe un repunte de delitos informáticos en la mayoría de casos
son fraudes producidos por ingeniería social acceso a las base de datos de clientes de
empresas, suplantación de website o pishing y acceso no autorizados a equipos lo cual ha
sido publicado por la prensa cuando estos afectan a empresas públicas lo que actualmente
ha producido que las empresas contraten compañías que realicen testeo de seguridad ya que
no incorporan ninguna norma de control en ellas. Además del auge de Virus y troyanos que
afectan el rendimiento de los equipos llevando consigo el hurto de información valiosa para
la empresa ya que estas se encuentran desprotegidas ante ataques informáticos internos y
externos.
En la Universidad Técnica de Babahoyo en el departamento de Tecnologías de la
Información cuenta con una infraestructura que satisface las demandas hoy en día en cuanto
Hardware infraestructura física pero carece de controles en las áreas tales como los servicios
de internet y datos del cual no existe un monitoreo de control de cumplimiento con las
especificaciones técnicas, no posee un control de acceso del personal administrativo a los
equipos de la institución, el acceso al data center carece de seguridad en la puerta de acceso,
4
se evidencia la inexistencia de un inventario de software, falta de memorias técnicas de la
estructurada la red.
No existe software antivirus con licencia en la institución lo que provoca que siempre haya
infección por virus en los equipos y en la red, existen 11 páginas web 6 software los cuales
trabajan con base de datos las mismas no se procede a realizar backup, solo se realizan
cuando se acuerda el personal, no existe control en los medios extraíbles en los equipos de
la institución.
Por esta razón la U.T.B. carece de una seguridad de información adecuada con las
debilidades anteriormente descritas, esto produce diversos problemas como accesos no
autorizados a la información U.T.B. ,accesos fiscos no autorizados, robo de materiales y
hardware que existen en el data center, los empleados no conocen las políticas de seguridad
de la Universidad esto causa susceptibilidad a un ataque de ingeniería social, la perdida de
información se hace evidente en la institución ya que existe un problema en los respaldos de
información de los equipos para recuperación de desastres por fallas de hardware , el acceso
de software malicioso está presente en la red de la institución . Al no existir control en el
acceso a los recursos compartidos estos son accesibles y modificados por cualquier usuario
de la red.
Formulación del Problema.
¿Cómo mejorar las políticas de seguridad, confidencialidad e integridad de la información y
alta disponibilidad de los servicios del departamento de tecnologías de la información de la
Universidad Técnica de Babahoyo?
Delimitación del Problema.
Este trabajo se realizó en la Universidad Técnica de Babahoyo el periodo 2014.
Objeto de Investigación.
Procesos de Gestión Administrativa en Informática.
5
Campo de acción.
Plan de Seguridad Informática.
Identificación de la línea de investigación.
Tecnologías de la Información y Comunicación.
Objetivos.
General.
Desarrollar un plan de Seguridad Informática del departamento de tecnologías de la
información y comunicación de la Universidad Técnica de Babahoyo para mejorar la gestión
en la confidencialidad e integridad de la información y disponibilidad de los servicios.
Específicos.
Fundamentar científicamente los planes de seguridad, la gestión de la
confidencialidad, integridad de la información y la alta disponibilidad de los
servicios.
Determinar el estado actual de la gestión de seguridad informática del departamento
de tecnologías de la Universidad Técnica de Babahoyo.
Desarrollar un plan de seguridad informática determinando la norma de seguridad en
el departamento de Tecnologías de la Información y comunicación de la Universidad
Técnica de Babahoyo.
Validar la propuesta.
Idea a defender.
Con la implementación del plan de Seguridad Informática se mejorara la gestión en la
confidencialidad, integridad de la información y disponibilidad de los servicios de la
Universidad Técnica de Babahoyo.
6
Justificación del tema.
Hoy en día las empresas tienen sus departamentos automatizados los procesos y estos
generan grandes cantidades de información para la toma de decisiones, por lo que los
gerentes de las empresas requieren asegurarla, y debe estar siempre disponible y sea
confiable, surgiendo la necesidad de implementar los S.G.S.I. (Sistemas Gestión de la
Seguridad Informática), tomando en cuenta las normas que existen en la actualidad.
Analizar como las amenazas y vulnerabilidades actúan en las redes LAN y WAN así como
los dispositivos que hacen posible estos servicios que por la falta de políticas y planes
permiten poner en riego la información así como la disponibilidad, confidencialidad e
integridad de los servicios.
Esta investigación incorpora el procesos de levantamiento de información de los activos de
la empresa que deben asegurase y como identificarlos de acuerdo a los criterios de estándares
y su valoración ,el análisis de riesgo a través de una identificación de las amenazas y
vulnerabilidades que pueden estar expuestas los activos , y las directrices que deben
incorporarse para realizar un plan de seguridad que dirija a la empresa a través de los
diversos procesos que debe cumplir para asegurar su información.
Este trabajo servirá de referencia para las empresas públicas y privadas que tienen la
necesidad de asegurar su información, ya que estas hoy en día en nuestro país están
considerando la necesidad de incorporar seguridad para los diferentes tipos de amenazas.
Metodología a emplear
Métodos
Histórico-lógico: ya que basándose en procesos históricos se presentara una solución
actualizada a los problemas.
Analítico - Sintético: Para elaboración de la fundamentación científica que sustentara la
solución del problema.
7
Método Inductivo-Deductivo.
Consistió en establecer enunciados universales a partir de cierta experiencia, esto es,
ascender lógicamente a través del conocimiento científico, desde la observación de los
fenómenos o hechos de la realidad universal que los contiene.
Método sistémico.
Se lo utilizó para fusionar lo teórico con la aplicación práctica.
Instrumentos de Investigación.
Para la encuesta se utiliza un cuestionario o test.
La entrevista: Para obtener información y opiniones de parte de la empresa.
Resumen de la estructura de la Tesis.
El documento se encuentra estructurado en 3 partes, en la primera parte la introducción
se analiza el problema, se indicara la línea de investigación, se justificara la propuesta
y se detallara los objeto de investigación.
La segunda parte está conformada por el capítulo I el cual trata la fundamentación teórica
donde se explica los conceptos principales, las distintas posiciones teóricas sobre el
objeto de investigación.
La tercera parte conforma el capítulo II donde se presenta la propuesta del autor
según los resultados alcanzados y aportados por la metodología de la investigación.
Y la cuarta parte está compuesta por el análisis de todos los resultados alcanzados en
la investigación, y con la validación de los resultados alcanzados terminando con
conclusiones generales, recomendaciones y bibliografía.
8
Novedad, Aporte Teórico y significancia práctica.
Aporte teórico.
Sistematización del fundamento teórico de las normas internacionales de seguridad de la
Información, las diferentes técnicas de aseguramiento de las redes, software, hardware y el
impacto de su incorporación en los planes de Seguridad Informática.
Significación Práctica.
Al implementar el Plan de Seguridad Informática basándose en una norma internacional
otras Instituciones públicas y privadas del país tendrán un insumo para la implementación
de sus propios planes tomando en cuenta su verificación y control en todas las etapas para
cumplir con un estándar de seguridad. A su vez en la Universidad donde se va aplicar el plan
fortalecerá la seguridad de la información robusteciendo todos los ámbitos que se deben
contemplar dentro de la infraestructura tecnológica que actualmente cuenta la Universidad
Técnica de Babahoyo.
Novedad Científica.
Como novedad se puede definir el desarrollo de un plan de seguridad de la información
basado en un análisis de las Normas ISO para la implantación de un Sistema Gestor de
Seguridad de la Información (S.G.S.I.), el cual es una novedad en la instituciones públicas
por que puede ayudar a la implementación de las Normas de Control Interno de la
Contraloría General del Estado , la cual solicita controles de aseguramiento pero no define
cuales, tampoco los procesos a seguir , por lo tanto la tesis puede convertirse en una guía
para evaluar el control de TI en las entidades públicas para determinar su nivel de fortaleza
si existe una seguridad razonable o poco confiable de las operaciones y procesos
sistematizados.
9
CAPITULO I.
1. MARCO TEÓRICO.
1.1. Proceso de gestión Administrativa en Informática.
“La administración es el proceso de planear, organizar, dirigir y controlar el uso de los
recursos para lograr los objetivos organizacionales” (Chiavenato Idalberto, 2004).
Tomando en cuenta esta definición los procesos de gestión Administrativa han ido
evolucionando desde que se introdujo el equipo de cómputo a las empresas lo cual genero
un cambio en el manejo de la información, cambios que se produjeron en toda la estructura
administrativa, esto llevo a estructurar software para la automatización de los procesos en
las diferentes áreas de las empresas generando grandes cantidades de información la cual
ayuda a la gerencias a la toma de decisiones.
Pero al mismo tiempo esto llevo a crear un área que administre, gestione esta información,
y brinde asesoría sobre tecnología que se debe adquirir para mejorar estos procesos. Esto ha
llevado a los directivos a ver la información como un medio de ejercer el control, mejorar la
gestión empresarial y estando en equipos de cómputos lleva a la necesidad de que esta
información no sea sustraída, sea confiable, integra y que esté disponible 24 horas al día y 7
días de la semana, dando origen a los sistemas de gestión de la seguridad de la información,
cual está sustentada en normas y manuales que ayudan a la administración, gestión y
asegurarla cuando esta se traslada de un a lugar a otro.
1.2.1. Datos.
“Los datos de nuestra empresa son exclusivamente suyos. Si desaparecen, la empresa no
puede funcionar con normalidad. Si llegan a manos de la competencia, la estrategia
empresarial y el futuro de la compañía están en riesgo” (Roa José, 2013).
Esto indica que las empresas necesitan organizar y asegurar la información, con la nueva
tendencia de cero papeles, todos los documentos se encuentran informatizados, y son puestos
en circulación al interior como al exterior de la empresa, es así que las empresas deben
invertir en las infraestructuras tecnológicas para mantener niveles de seguridad elevados y
10
evitar el daño por software malicioso, y no tenerla solamente almacenada en los equipos que
la generan si no en lugares remotos, dando origen al almacenamiento distribuido que permite
disponer al usuario de la información en diferentes equipos y dándole un nivel de seguridad
elevado ya que la información no se encuentra en un solo lugar evitando la perdida por daños
físicos del hardware.
La importancia del cifrado de la información al momento de ser trasladada a través de la
red LAN y la WAN, hoy en día es de vital importancia para evitar modificaciones y hurto
de la información por lo cual antes de poner los sitios web en funcionamiento especialmente
los que llevan transacciones en línea de debe activar el protocolo seguro de transferencia de
hipertexto (HTTPS), este permite cifrar utilizando TLS y SSL proporcionando un canal
cifrado más apropiado para el viaje de información a través de la web.
1.2.2. Importancia de la información.
Siempre, la información es un vehículo de transmisión de conocimiento, ha constituido un
factor esencial en el avance de la sociedad.” El desarrollo en todas las disciplinas se
caracteriza, entre otros factores, por una aceleración en la recopilación, almacenamiento,
procesamiento y transmisión de información, lo que ha generado diversos efectos al
constituir un elemento estratégico para el desarrollo integral de la sociedad” (Ileana R.
Sánchez Alfonso, 2013).
Para lograrlo se requiere de un personal capacitado y comprometido con la importancia del
desarrollo de la información de todo tipo que surge de las instituciones sean están públicas
o privadas y del beneficio que esta información puede generar para la comunidad nacional
como internacional.
1.2.3. Seguridad.
“En el mundo de la seguridad de la información e informática, es habitual manejar una
terminología específica (activos, vulnerabilidades, amenazas, ataques, riesgos, impacto,
desastre, contingencias, etc.) “ (Gascó Gema, 2011).
Y se define las siguientes terminologías que a continuación se detallan:
11
Activos.
Se define como cualquier bien sea este informático o no, el cual permite a las instituciones
públicas y privadas alcanzar sus objetivos amparados en sus Planes Operativos Anuales
(POA), en el caso de las públicas , y de los planes de fortalecimiento en el caso de las
privadas, es decir todo lo que requiere ser asegurado contra algún percance, tanto así que
estas optan por adquirir seguros que permitan proteger estos bienes contra las amenazas más
comunes, por ejemplo de activos podemos mencionar hardware, software, personas, muebles
y oficinas etc.
Por lo tanto se concluye que la seguridad informática tiene por objeto la identificación de
los bienes informáticos que necesitan ser asegurados, analiza las principales amenazas para
establecer los mecanismos necesarios para protegerlos, desde el punto de vista de la
informática podemos establecer los siguientes activos:
Información: Todo elemento almacenado en cualquier medio de soporte de información
que sea de la empresa por ejemplo. Cd, DVD, discos rígidos etc. y esta puede ser manuales
de usuario reglamentos, normas.
Software: Son programas de los equipos como office y sistemas operativos aplicaciones que
se hayan adquirido por la empresa o software libre necesario, para la automatización de los
procesos en las empresas.
Físicos: En cualquier infraestructura tecnológica existe un data center donde se encuentra la
columna vertebral de nuestra infraestructura tecnológica, y los elementos que se consideran
activos físicos serían los Swich, router, servidores, armarios y demás elementos.
Personal de la organización Toda persona que utilice la estructura tecnológica y de
comunicación para el manejo de la información.
1.2.4 Vulnerabilidades.
Se considera vulnerabilidad a cualquier debilidad que se pueda presentar en la infraestructura
tecnológica que lleve al mal funcionamiento de esta. Estas debilidades también son
12
conocidas como agujeros de seguridad, que por lo general son ocasionados por fallas en la
programación de algún software adquirido por la empresa a fallos que poseen los sistemas
operativos y no son actualizados. Un ejemplo de estos fallos es no utilizar firewall, no tener
soporte de energía lo que llevaría que los servidores se apaguen, también no tener algún
software antivirus, etc.
1.2.5 Amenazas.
Es cualquier actividad que atente con el funcionamiento de nuestra infraestructura
tecnológica. “Aunque hay amenazas que afectan a los sistemas de forma involuntaria, por
ejemplo, un desastre natural, en la mayoría de casos es necesaria una intención de producir
daño. Las amenazas se suelen dividir en pasivas y activas” (Ileana R. Sánchez Alfonso,
2013).
1.2.6 Seguridad de la Información.
En el año 1992, el Consejo de la Organización para la Cooperación y el Desarrollo
Económicos (OCDE), adoptó una importante recomendación relativa a las líneas directrices
para la seguridad de los sistemas de información, en la que encontramos que: “La seguridad
de los sistemas de información tiene por objetivo proteger los intereses de los que cuentan
con sistemas de información contra los perjuicios imputables a defectos de
DISPONIBILIDAD, de CONFIDENCIALIDAD y de INTEGRIDAD” (Fernández Carlos
y Piattini Mario,2012).
Este autor concluye que el valor que hoy en día las empresas le dan a la información, en la
web encontramos artículos y noticias de como la fuga de información puede significar la
banca rota de una empresa.
“Para lograr niveles de confidencialidad, integridad y disponibilidad que la organización
necesita la serie de normas ISO/IEC 27000, en UNE-ISO/IEC 27002:2009 añade que la
seguridad puede abarcar además otras propiedades como la autenticidad, la responsabilidad,
la fiabilidad y el no repudio”, (Ramón Jorge, 2011).
Existen diversas tipos de protección de la información que a continuación se detallan.
13
Seguridad Lógica.
Se encarga de proteger la parte lógica de un sistema informático (datos, aplicaciones y
sistemas operativos). Uno de los medio más utilizados es la criptografía la cual es muy
utilizada al momento de que la información fluye a través de la red.
Seguridad Activa.
Son medidas preventivas que se encargan de detectar y evitar cualquier incidente en los
sistemas informáticos antes de que se produzca .Por ejemplo, utilización de contraseñas.
Seguridad Pasiva.
Son las medidas correctoras y comprende todas aquellas técnicas o procedimientos
necesarios para minimizar las consecuencias de un incidente de seguridad .Por ejemplo, las
copias de seguridad.
1.2.7 Política de Seguridad.
“Una política de seguridad constituye informar a los usuarios, trabajadores y personal de
dirección, de los requisitos obligatorios para proteger los la información de la organización,
debe especificar también los mecanismos a través de los cuales estos requisitos puedan ser
conocidos”, (Díaz Gabriel, 2014).
También se la utiliza como base para auditar las infraestructuras tecnológicas, dando así
lugar a la utilización de herramientas para auditar las empresas en cuanto a su
funcionamiento y medidas contra algún tipo de amenaza o vulnerabilidad. Estas
herramientas dan las pautas frente a las políticas de seguridad que puede y como debe
utilizarse y que información puede viajar a través de la red.
1.2.8 Aspectos físicos de la política de seguridad.
“Cualquier política de seguridad debe tener en cuenta una serie de procedimientos
relacionados con la seguridad física, tanto en el aspecto del control de acceso físico a
equipos, como tener planes de contingencia y emergencia, de recuperación frente a
desastres”, (Díaz Gabriel, 2014).
14
Es importante mencionar que las empresas se preocupan mucho más del aseguramiento
lógico de la información dejando a un lado la protección de la infraestructura física donde
se encuentran alojados los equipos, siendo más fácil para un atacante sacar una copia de
archivos de los servidores por la facilidad de acceso a lugar, también la seguridad contra los
desastres naturales, como incendios, terremotos, disturbios etc.
1.2.9 Aspectos lógicos de la política de seguridad
Abarca las normas y procedimientos y se puede separar en normas básicas o fundamentales,
como:
• Política de uso aceptable.
• Política de acceso remoto.
• Política de protección de la información.
• Política de seguridad perimetral,
• Política de protección anti-virus.
• Política de contraseñas.
1.2.10 Integridad.
“La integridad es un principio básico de la seguridad informática que consiste en garantizar
que la información solo pueda ser alterada por las personas autorizadas o usuarios legítimos,
independientemente de si esa modificación se produce de forma intencionada o no” (Ramada
Davis, Onrubia Ramón, 2011).
La opinión de Ramada Davis hace referencia a que la integridad busca mantener los datos
sin modificaciones no autorizadas. La vulneración de la integridad tiene distinto significado
según se produzca en un equipo o en una red informática:
Equipo de Cómputo. Esta violación se produce cuando un usuario no legítimo modifica la
información del sistema.
Redes Informáticas. Existe violación de la integridad cuando una persona de la red se hace
pasar por intermediario de la misma esto quiere decir que se pone en medio de los equipos
que tienen una comunicación entre sí (ataques man-in-the-middle ).
15
1.2.11 Confidencialidad.
La confidencialidad es otro de los principios básicos de la seguridad informática que esta
debe garantizar que la información sea extraída e interpretada solo por el usuario de destino.
“Un sistema de confidencialidad tiene éxito cuando un usuario externo no puede extraer
información de una transmisión de información que hayan realizado dos o más interlocutores
en un sistema de información”. (Romero García, 2012).
La vulneración de la confidencialidad también afecta de forma diferente a equipos de
cómputo y redes informáticas.
Equipo de cómputo.
Es cuando se consigue las contraseñas para iniciar sesión en un equipo y existen accesos a
sus recursos. Un ejemplo sería la obtención de las claves de acceso.
Redes Informáticas.
Se vulnera la confidencialidad de una red cuando un atacante accede a los mensajes que
circulan por ella sin tener autorización para ello.
1.2.12 Disponibilidad.
El tercer pilar básico de un sistema seguro, se da cuando los usuarios pueden acceder a la
información en el momento adecuado para los usuarios que la requieren. La violación de la
disponibilidad también se da de forma distinta en equipos y redes:
Equipos informáticos.
Se vulnera la disponibilidad de un equipo cuando los usuarios que tienen acceso a él no
pueden utilizarlo. Por ejemplo, podría ser un virus que ha paralizado el sistema.
Redes de comunicaciones.
” Se produce un ataque contra la disponibilidad cuando se consigue que un recurso deje de
estar disponible para otros usuarios que acceden a él a través de la red”, (Ramada Davis,
Onrubia Ramón, 2011).
16
1.2.13 Sistema de gestión de la seguridad.
En el ámbito de la empresa, la gestión supone la articulación y operación de los recursos
necesarios para lograr los objetivos empresariales o de negocio previstos.
“Implantar un sistema de gestión, debe tenerse claro que se pretende, adónde se quiere llegar;
es decir, los objetivos previstos. La naturaleza de estos objetivos será lo que identifique el
sistema de gestión, en el caso de seguridad de la información”. (Fernández Carlos, 2012).
La definición de un Sistema de Gestión de Seguridad de la Información (SGSI) según la
Norma UNE-ISO/IEC 27001 , es: “parte del sistema de gestión general, basada en un
enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar,
revisar, mantener y mejorar la seguridad de la información”(Álvarez Ana, Gómez Luis,
2012).
Aquí se define como dejar de trabajar de manera intuitiva es decir a comenzar a tomar el
control de toda la infraestructura tecnológica y la información que se genera en toda la
organización, además que nos permitirá conocer mejor nuestra empresa, en todos los ámbitos
cómo funciona y que medidas implementar para que la situación mejore, considerando la
ayuda de las normas internacionales para aseguramiento de la información.
1.2.14 Normas.
Son un documento que son aprobados por un organismo reconocido que establece normas y
criterios para uso de las organizaciones .Establece las actividades para cumplir condiciones
mínimas que debe poseer un producto o servicio para que sirva para lo que fue destinado.
Normalización.
Es la actividad que tiene por objeto establecer, ante problemas reales o potenciales,
disposiciones destinadas a usos comunes repetidos, con el fin de obtener un nivel de
ordenamiento óptimo, en un contexto dado, que puede ser tecnológico, político o económico,
(http://www.iram.org.ar,2012).
1.2.15 Normas de seguridad de la información
Las normas de seguridad que más influyen en las empresas de nuestro país son:
17
1.2. 15.1 ITIL (Information Technology Infrastructure Library).
Es un conjunto de buenas prácticas destinadas a mejorar la gestión y provisión de servicios
TI .Su objetivo es evitar los problemas asociados a los mismos y en caso de que estos ocurran
ofrecer como actuar para que estos sean solucionados con el menor impacto y a la mayor
brevedad posible. (Osiatisis, 2011).
ITIL se basa en su idea del ciclo de vida del servicio de Tecnología de la información (TI)
.Muy brevemente, un servicio TI debe planificarse (fase de estrategia), diseñarse (fase de
diseño), implementarse (fase de transición), operarse y mantenerse (fase de operación) y
debe estar sujeto siempre al ciclo Plan Do Check Act (PDCA) (fase de mejora continua).
Gráfico 1.1 Ciclo de vida de ITIL
Fuente: Tomado de http://itilv3.osiatis.es
“ITIL es una aproximación muy sofisticada de todas las tareas a realizar para ofrecer y
controlar servicios TI, pero en este caso teniendo en cuenta muchos más procesos, que
cubren temas muy diversos” (HELAT.A, 2003). Para hacerse una idea basta la enumeración
de algunos de los procesos más significativos:
• Gestión Financiera del servicio.
• Gestión de relaciones con el negocio.
• Gestión de niveles de servicio.
• Gestión del catálogo de servicios.
• Gestión del portfolio de servicios.
• Gestión de proveedores.
18
• Gestión de la disponibilidad.
• Gestión de la capacidad.
• Gestión de la seguridad
• Gestión de la continuidad.
• Gestión de los activos del servicio y de la configuración.
• Gestión de la entrega del servicio y su despliegue.
• Gestión del conocimiento del servicio.
• Gestión del cambio.
• Gestión de incidencias.
• Gestión de problemas en el servicio.
• Gestión de eventos.
• Gestión de accesos.
• Gestión de la mejora continua.
Todos los procesos de ITIL posee un sin número de actividades que utilizan datos de entrada
y crean resultados de salida siempre alineados con los objetivos de los procesos. Los
objetivos se fijan de manera cuantitativa y tienen asociados una serie de métricas que
permiten implementar un ciclo PDCA continuo.
Es importante establecer que para llevar acabo cada proceso se necesita una serie de recursos
y capacidades organizadas en funciones y son:
Centro de servicio al usuario. El cual se preocupa de garantizar que la continuidad,
disponibilidad y calidad del servicio del usuario.
Gestión Técnica. La cual aporta las habilidades y los recursos necesarios para dar soporte a
la fase de operación del servicio.
Gestión de Aplicaciones. Esta es responsable como su nombre lo indica de las aplicaciones
que forman parte de la operación del servicio.
Gestión de operaciones TI. Es la unidad responsable del mantenimiento y la gestión
continua de la infraestructura tecnológica TI.
19
Existen dos procesos ITIL especialmente significativos:
El proceso de gestión de la seguridad.
Este es responsable de las políticas de seguridad de los servicios que se encuentran en
ejecución o que se vaya a implementar en la infraestructura TI y también de toda política de
seguridad de la empresa.
ITIL hace mucho uso de la terminología y de los detalles de la norma ISO/IEC 27001,
haciendo mucha referencia a la importancia de implantar un SGSI. Este proceso aparece en
la fase de diseño del servicio.
El proceso de Gestión de los accesos.
“Es importante señalar que una organización no puede certificarse en ITIL, por no ser
estándar sino un conjunto de buenas prácticas. Existen certificaciones individuales de mayor
a menor nivel, permiten alcanzar una certificación de ITIL fundamentos, a Experto de ITIL
“(Bernard.P, 2011).
ITIL se encuentra relacionado con algunas normas de Gestión de servicios TI como el
estándar ISO/IEC 20000, que permite certificar un servicio como que cumple todo un
conjunto de buenas prácticas de implementación de gestión de servicios, que van como en
el caso de ITIL mucho más allá de la gestión de la seguridad. Como en el caso ya analizado
de ISO/IEC 27001 e ISO/IEC 20000, que es solicitado por muchas empresas las cuales deben
certificarse para poder entrar en la competencia de proveer servicios TI, en el país existen
muy pocas compañías que poseen esta certificación.
1.2.15.2 COBIT (Control Objectives for Information and related Technology).
Es un marco de Gobierno de las tecnologías de la información donde se encuentran las
mejores prácticas para que las empresas dirigidas al control y la supervisión, proporciona
una serie de herramientas para que los gerentes puedan conectar los requerimientos de
control con aspectos técnicos y de riesgo.
20
Como historia referencial de COBIT se puede decir que la primera versión apareció en 1996,
la segunda en 1998 la tercera en el 2000 y la cuarta en 2005 y la 5 apareció en 2012.
COBIT se puede aplicar a toda la empresa a los sistemas de información, estaciones de
trabajo computadores personales administradas por un conjunto de procesos que permiten la
generación de información que ayuda a la empresa alcanzar sus objetivos propuestos.
La misión de COBIT es:
Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de
objetivos de control para tecnología de información que sea de uso cotidiano para gerentes
y auditores Usuarios: La Gerencia: para apoyar sus decisiones de inversión en TI y control
sobre el rendimiento de las mismas, analizar el costo beneficio del control Los Usuarios
Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que
adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los
controles de los proyectos de TI, su impacto en la organización y determinar el control
mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en
sus áreas (Rojas Soledad, 2009).
COBIT puede ser utilizado por algún responsable de un proceso del negocio que genere
información y todos aquellos que tengan responsabilidades en los procesos TI en las
empresas.
Cobit y la gestión de la seguridad.
“El principal valor de Cobit 5 es la gran diversidad de modelos y estándares a nivel global,
resultado del trabajo de un gran grupo de practicantes de diversas regiones geográficas,
quienes analizan y desarrollan en general estándares específicos para seguridad”. (Salomón
Rico, 2014).
COBIT se divide en tres niveles.
Dominios .Es la agrupación de procesos corresponden a una responsabilidad organizacional.
Procesos. Es una serie de actividades con delimitación o cortes de control.
Actividades. Acciones para obtener los resultados que siempre son medibles.
21
Enfoque de Gobierno.
“El enfoque de gobierno extremo-a-extremo que es la base de COBIT 5 está representado
en la figura, muestra los componentes clave de un sistema de gobierno
Además del objetivo de gobierno, los otros elementos principales del enfoque de gobierno in
cluye catalizadores, alcance y roles, actividades y relaciones” (ISACA, 2012).
Gráfico 1.2 Gobierno y gestión de COBIT 5
Fuente: ISACA, Un marco de Negocio para el Gobierno y gestión de TI de la empresa
COBIT está diseñado para controlar y aplicar las buenas prácticas a nivel de todos los
procesos de TI. Utiliza los Objetivos de Control de ISACA, mejorados con estándares
específicos de tipo técnico, profesional, normativo e industrial existentes y emergentes. Los
objetivos de control están desarrollados para su aplicación en los sistemas de información
en la empresa. Estos objetivos de control tienen en cuenta lo siguiente:
Adecuación a los estándares y normativas legislativas y de hecho existentes que se
aplican en el marco global, así como en los objetivos de control individuales.
Revisión crítica de las diferentes actividades y tareas bajo los dominios de control y
posibilitando la especificación de indicadores de prestaciones importantes (normas,
reglas, etc.)
22
Establecimiento de unas directrices y fundamentos para proporcionar investigación
consistente sobre los temas de auditoría y control de TI.
1.2.15.3 ISO (Organización Internacional de Normalización) e IEC (Comisión
Electrotécnica Internacional).
Es un sistema especializado para la normalización a nivel mundial. Los organismos que son
miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de
comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en
campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en
los campos de interés mutuo.
La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el
comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de
la información en una organización. Es un catálogo de buenas prácticas, obtenido a partir de
la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un
consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de
la información (Gómez Luis, 2012). A continuación se muestra en la gráfica a nivel macro
lo que se debe establecer en las empresas para cumplir con las normas ISO 27000.
Gráfico 1.3 Estructura de ISO.
Fuente: ISO, Documentación oficial.
Establecimiento del SGSI.
Para cumplir todos estos requerimientos la organización debe buscar los medios necesarios
de acuerdo a su realidad y así mismo los recursos disponibles, además debe recopilarse
mucha información sobre la organización como por ejemplo a que se dedica la organización,
cuales son las necesidades de seguridad de acuerdo a su actividad, ámbito en el cual opera y
23
los aspectos legales que regulan su actividad, estos requisitos en muchos casos no se
encuentran definidos. La norma establece una serie de requisitos, que se detallan a
continuación véase en la Grafico 1.4
Gráfico 1.4 Sistema de Gestión de la seguridad informática
Fuente: http://www.normas-iso.com/iso-27001.
En las empresas no se debe comprometer recursos difíciles de conseguir, ya que estas saben
todo lo que quieren asegurar, pero a su vez no tienen mecanismos para documentarlo y
expresarlo.
“Hay que concretar esas necesidades que se perciben para poder comenzar el diseño del
SGSI. Hay que ser realista con los recursos disponibles en cada momento y dimensionar el
proyecto de acuerdo con las prioridades del negocio” (OECD, 2002).
24
ISO y la gestión de la seguridad.
ISO 27001 propone la seguridad de toda la información incluso si esta información es tratada
en reuniones o si es información tratada del propio conocimiento y de experiencia de las
personas de la empresa.
ISO hace mucho énfasis a la seguridad tanto que existen normas para las diferentes etapas
de la gestión de la seguridad de la información.
A continuación se detalla las normas ISO más importantes sobre la gestión de la seguridad
de la información.
ISO/IEC 27000.
Es un vocabulario estándar para el SGSI.
ISO/IEC 27001.
Es la certificación para las organizaciones. Especifica los requisitos para la implantación del
SGSI. La más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve
la mejora continua de los procesos.
ISO/IEC 27002.
Es un código de buenas prácticas para la gestión de seguridad de la información.
ISO/IEC 27003.
Son directrices para la implementación de un SGSI.
ISO/IEC 27004.
Son métricas para la gestión de seguridad de la información.
ISO/IEC 27005.
Trata la gestión de riesgos en seguridad de la información.
25
ISO/IEC 27006:2007.
Requisitos para la acreditación de las organizaciones que proporcionan la certificación de
los sistemas de gestión de la seguridad de la información.
ISO/IEC 27007.
Es una guía para auditar al SGSI.
ISO/IEC 27799:2008.
Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011.
Técnicas de Seguridad – Gestión de Incidentes de Seguridad: detección, reporte y evaluación
de incidentes de seguridad y sus vulnerabilidades.
Análisis de riesgos en la seguridad de la información.
El procesos de aseguramiento de la información es un proceso que para establecer medidas
en una empresa sea esta pública o privada se convierte en práctica engorrosa por lo que es
necesario realizar un análisis de riesgo lo cual facilita este proceso.
Este análisis de riesgo es crucial en el desarrollo y operación de un plan de seguridad de la
informática. En este paso de modelo de seguridad está basado en una identificación de sus
activos todas las dependencias jerárquicas de estas, y las amenazas que pueden afectarlos,
luego se realiza una estimación de impactos y se obtiene el riesgo de la organización.
El diagnostico de análisis de riesgo de la empresa es válido solo para ese momento y para
darle seguimiento a las políticas ya que con el tiempo se van adquiriendo nuevos activos por
lo tanto existen nuevas amenazas que pueden afectarlos. Por lo tanto la empresa debería
continuamente realizando un nuevo análisis de riesgo para mitigarlos y tener su información
asegurada.
26
Metodología para la estimación del riesgo.
El análisis de riegos puede realizarse con diferentes grados de detalle depende de la
criticidad de los activos involucrados, los tipos de vulnerabilidades presentes para cada uno
de los activos, las amenazas detectadas por el departamento de tecnologías y otros incidentes
ocurridos anteriormente.
El análisis de riesgo puede realizarse de manera cuantitativa, cualitativa y una mescla de
ambas la selección depende del entorno de la empresa.
Metodología cualitativa.
Esta metodología es muy utilizada por su proceso dinámico e intuitivo se basa en una escala
de atributos cualitativos y describen las consecuencias, por ejemplo alta, media baja. Una de
las desventajas de esta metodología es subjetividad dentro de la escala establecida.
En el desarrollo de esta metodología se toman en cuenta cuatro parámetros principales:
amenazas, vulnerabilidades que siempre están presentes en una red o sistema de
información, el impacto asociado a una amenaza si ésta llegara a materializarse y las medidas
o controles preventivos o correctivos.
Metodología cuantitativa.
“Implica realizar una recolección de datos, cálculos complejos, técnicas de modelamiento,
etc. Se utiliza una escala con valores numéricos, a diferencia de la anterior que utilizaba una
escala descriptiva, tanto para la evaluación de probabilidades de ocurrencia como para sus
consecuencias basándose en datos provenientes de varias fuentes” (ISO 27005, 2008).
El éxito de esta metodología depende de la exactitud de los valores cuantitativos que tienen
los activos. Utiliza dos parámetros para la estimación del riesgo, la probabilidad de que el
evento ocurra y una estimación del costo o las pérdidas en caso de que el evento sea positivo.
Una estimación cuantitativa del riesgo puede realizarse después de haber realizado una
estimación cualitativa, sin embargo, cada tipo de metodología puede ser ejecutada por
separado o combinarse y ser ejecutadas de forma simultánea.
27
1.2.16 Interrogantes para definir el valor del activo en cuanto confidencialidad
integridad y disponibilidad.
“Los interrogantes a resolver con estos criterios de evaluación son: ¿Qué daño causaría a la
Organización, el que la Información fuese conocida por quien no debe?, ¿Qué perjuicio
causaría que el activo valorado estuviera dañado o suministrara información corrupta?,
¿Qué perjuicio causaría el no tener o poder usar el activo valorado?., ¿Qué niveles
de Autenticidad y trazabilidad son requeridos para el manejo adecuado de la información?”,
(ISO 27005, 2008).
Los valores de los activos de los cuales dependen otros activos se pueden modificar de la
siguiente manera:
Si los valores de los activos dependientes (por ejemplo los datos) son menores o
iguales al valor del activo considerado (por ejemplo el software), su valor
permanece igual.
Si los valores de los activos dependientes (por ejemplo, los datos) son mayores,
entonces el valor del activo considerado (por ejemplo, el software) se deberían
incrementar de acuerdo con:
- el grado de dependencias;
- los valores de los otros activos.
Evaluación del impacto.
Cualquier incidente de seguridad puede tener influencia en uno de los activos en una parte
realmente el impacto se lo relaciona directamente con el grado de éxito que tenga el
incidente, existe una diferencia importante entre el valor del activo y el impacto resultante
de un incidente. Se considera que el impacto tiene un efecto inmediato (operacional) o un
efecto futuro (en el negocio) que incluye consecuencias financieras y de mercado.
El impacto inmediato (operacional) es directo o indirecto.
28
Impacto directo.
a) El valor financiero del reemplazo del activo perdido (o parte de este activo).
b) El costo de adquisición, configuración e instalación del activo nuevo o de su
copia de soporte.
c) El costo de las operaciones suspendidas debido al incidente hasta que se restaure
el servicio prestado por el (los) activo (s).
d) El impacto tiene como resultado una brecha en la seguridad de la información.
Indirecto:
e) Costos de la oportunidad (nuevos recursos financieros necesarios para reemplazar
o reparar un activo se podrían haber utilizado en otra parte).
f) El costo de las operaciones interrumpidas.
g) El potencial de la mala utilización de la información obtenida a través de
una brecha en la seguridad.
h) Incumplimiento de las obligaciones estatutarias o reglamentarias.
i) Incumplimiento del código ético de conducta.
1.2 .17 Evaluación detallada de los riesgos en la seguridad de la Información.
“Se pueden evaluar de varias maneras, incluyendo el uso de medidas cuantitativas, por
ejemplo monetarias, y cualitativas o una combinación de ambas. Para evaluar la
probabilidad de ocurrencia de una amenaza, se debería establecer el marco temporal en
el cual el activo tendrá valor o necesitará protección”, (ISO 27005, 2008). La probabilidad
de ocurrencia de una amenaza específica está afectada por los siguientes aspectos:
Lo atractivo que sea el activo, o el impacto posible aplicable cuando se toma en
consideración una amenaza humana deliberada.
La facilidad de conversión en recompensa de la explotación una vulnerabilidad del
activo, aplicable cuando se toma en consideración una amenaza humana
deliberada.
29
Las capacidades técnicas del agente amenazador, aplicable a amenazas humanas
deliberadas.
La susceptibilidad de la vulnerabilidad a la explotación, aplicable tanto
a vulnerabilidades técnicas como no técnicas.
1.2.18 Leyes y reglamentos de la legislación ecuatoriana sobre seguridad de la
información.
Esquema gubernamental de seguridad de la información.
La secretaria de la Administración pública considerando que las Tecnologías de la
Información se han convertido en una prioridad para brindar un mejor servicio al usuario, se
vio en la necesidad de gestionar de forma eficiente y eficaz la seguridad de toda esta
información generada, en las entidades públicas, emitió los Acuerdos Ministeriales No. 804
y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creó
la Comisión para la Seguridad Informática y de las Tecnologías de la Información y
Comunicación.
La comisión para la seguridad Informática, realizo un levantamiento de información que dio
como resultado un informe sobre la gestión de la seguridad de información en las
instituciones públicas y llego a la conclusión de implementar Normas y procedimiento para
la seguridad de la información y así incentivar una cultura dentro de las instituciones de
gestión permanente de las mismas.
“El Esquema Gubernamental de la Seguridad de la Información (EGSI) establece un
conjunto de directrices prioritarias para Gestión de la Seguridad de la Información e inicia
un proceso de mejora continua en las instituciones de la Administración Pública”
(http://www.planificacion.gob.ec , 2013). No reemplaza a la norma INEN ISO/IEC 27002 sino
que marca como prioridad la implementación de algunas directrices.
1.2.19 Normas de control interno de la contraloría general del estado.
El control interno es un proceso integral aplicado por la máxima autoridad, la dirección y el
personal de cada entidad, que proporciona seguridad razonable para el logro delos objetivos
30
institucionales y la protección de los recursos públicos. Constituyen componentes del control
interno el ambiente de control, la evaluación de riesgos, las actividades de control, los
sistemas de información y comunicación y el seguimiento.
“El control interno está orientado a cumplir con el ordenamiento jurídico, técnico y
administrativo, promover eficiencia y eficacia de las operaciones de la entidad y garantizar
la confiabilidad y oportunidad de la información, y la adopción de medidas oportunas para
corregir las deficiencias de control“. (http://www.contraloria.gob.ec,2009).
Uno de los objetivos de estas normas es controlar la gestión del departamento de Tecnologías
de la Información y Comunicación la cual se establecen a partir de las normas 410- 500-02
cuyo objetivo fundamental es Garantizar la confiabilidad, integridad y oportunidad dela
información.
1.2.20 Amenazas que está expuesta la información.
Las amenazas son cualquier entidad que origine un tipo de evento que puede realizar daño
en un sistema de información, aunque también existen amenazas que afectan a los sistemas
de información de manera involuntaria por ejemplo algún tipo de desastres natural. Las
amenazas pueden ser activas o pasivas de acuerdo al tipo de taque que se puede realizar.
Amenazas Pasivas.
También son conocidas como escuchas su objetivo es obtener información de una
comunicación. Por ejemplo existe software que monitorea el tráfico de una red wifi.
Amenazas Activas.
Estas tratan de realizar cambios en la información de un sistema, por ejemplo se encuentra
la inserción de mensajes ilegítimos la clonación de certificados etc.
1.2.21 Ataques que está expuesta la información.
“Es una acción que trata de aprovechar una vulnerabilidad de un sistema informático para
provocar un impacto sobre él tomar el control del mismo. Trata de acciones tanto
31
intencionadas como fortuitas que pueden llegar a poner en riesgo un sistema” (Roa José,
2013).
De hecho algunas metodologías distingue entre ataques y errores cada una con sus
diferencias la primera siendo acciones intencionadas y la segunda de carácter fortuito.
La utilización de programas para conseguir acceso al servidor de forma ilegítima o la
realización de ataques de denegación de servicio para colapsar el servidor son algunos
ataques que se pueden realizar donde se distinguen las siguientes acciones.
Reconocimiento. Consiste en obtener toda la información necesaria de la víctima, que puede
ser una persona o una organización.
Exploración. Se trata de conseguir información sobre el sistema a atacar, como por ejemplo,
direcciones IP, nombres de host, datos de autenticación, etc.
Obtención de acceso. A partir de la información descubierta en la fase anterior, se intenta
explotar alguna vulnerabilidad detectada en la víctima para llevar a cabo el ataque.
Mantener el acceso. Después de acceder al sistema, se buscará la forma de implantar
herramientas que permitan el acceso de nuevo al sistema en futuras ocasiones.
Borrar las huellas. Finalmente, se intentarán borrar las huellas que se hayan podido dejar
durante la intrusión para evitar ser detectado. “En el mercado existen una gran variedad de
herramientas de seguridad que permiten conseguir un nivel óptimo de seguridad, pero hay
estrategias de ataque que hacen ineficaces a estas herramientas, como las orientadas a
explotar las debilidades del factor humano“(Pérez Onrubia, 2011).
1.2.22 Riesgo.
“Estimación del grado de exposición a que una amenaza se materialice sobre uno o más
activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar
a los activos si no se protegieran adecuadamente” (Roa José, 2013).Es importante establecer
32
el grado de interés de cada activo y cuáles son sus principales características cuales están en
peligro, es decir, analizar el sistema.
Las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas sino que se
encajan en la actividad continua de gestión de la seguridad. El análisis y evaluación del
riesgo permite identificar las amenazas y las vulnerabilidades que están expuestas la
información de la empresa, hay que tomar en cuenta los objetivos, estrategias y políticas de
la organización y el tratamiento de los riegos permitan elaborar un plan de seguridad de la
información, que implementado y operada satisfaga en gran medida la necesidad de
tratamiento de riesgo de cada una de los departamentos que generan la información de la
empresa.
Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos. La
implantación de las medidas de seguridad requiere una organización gestionada y la
participación informada de todo el personal que trabaja con el sistema de información. Es
este personal el responsable de la operación diaria, de la reacción ante incidencias y de la
monitorización en general del sistema para determinar si satisface con eficacia y eficiencia
los objetivos propuestos.
“El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas
y salvaguardas, controla todas las actividades. La fase de tratamiento estructura las acciones
a realizar en materia de seguridad para anular las amenazas detectadas por el análisis”
(Amutio Miguel, 2013).
1.2.23 Plan de seguridad informática.
“Es la expresión gráfica Sistema de Seguridad Informática diseñado y constituye el
documento básico que establece los principios organizativos de una Entidad y recoge
claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes
en el proceso informático” (https://seguridadinformaticaufps.wikispaces.com, 2012).
El plan de seguridad debe garantizar.
• La Disponibilidad de los sistemas de información
• La Recuperación de los sistemas de información
33
• La Trazabilidad de los sistemas de información
• La Autenticidad de la información
• La Integridad de la Información
• El Acceso a la información
• La Confidencialidad de la información
• La Conservación de la información.
1.2.24 Consideraciones ISO 27001 para el desarrollo del plan de seguridad informática.
La norma ISO 27001 establece los lineamientos necesarios para establecer, implantar,
mantener y mejorar un SGSI, para lo cual la empresa debe realizar una serie de pasos que a
continuación se detalla.
Definir el alcance y los límites del SGSI en términos de las características del
negocio, la
Organización, su ubicación, activos, tecnología e incluyendo los detalles de y la
justificación de cualquier exclusión del alcance.
Definir una política SGSI en términos de las características del negocio, la
organización, su ubicación, activos y tecnología que:
a) Incluya un marco referencial para establecer sus objetivos y establezca un sentido
de dirección general y principios para la acción con relación a la seguridad de la
información.
b) Tome en cuenta los requerimientos comerciales y legales o reguladores, y las
obligaciones de la seguridad contractual.
c) Esté alineada con el contexto de la gestión riesgo estratégico de la organización
en el cual se dará el establecimiento y mantenimiento del SGSI.
d) Establezca el criterio con el que se evaluará el riesgo.
e) Haya sido aprobada por la gerencia.
Definir el enfoque de valuación del riesgo de la organización.
Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los
requerimientos identificados de seguridad, legales y reguladores de la información
comercial.
34
Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo
aceptables
La metodología de estimación del riesgo seleccionada debe asegurar que los
cálculos del riesgo produzcan resultados comparables y reproducibles.
a) Identificar los riesgos.
b) Identificar los activos dentro del alcance del SGSI y los propietarios de estos
activos.
c) Identificar las amenazas para aquellos activos.
d) Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
e) Identificar los impactos que pueden tener las pérdidas de confiabilidad,
integridad y disponibilidad sobre los activos.
f) Analizar y evaluar el riesgo.
g) Calcular el impacto comercial sobre la organización que podría resultar de una
falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de
confidencialidad, integridad o disponibilidad de los activos.
h) Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas
y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y
los controles implementados actualmente.
i) Calcular los niveles de riesgo.
j) Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio
de aceptación del riesgo establecido.
• Identificar y evaluar las opciones para el tratamiento de los riesgos
• Seleccionar objetivos de control y controles para el tratamiento de riesgos se deben
seleccionar e implementar para cumplir con los requerimientos identificados por el
proceso de tasación del riesgo y tratamiento del riesgo.
• Obtener la aprobación de la gerencia para los riesgos residuales propuestos.
• Obtener la autorización de la gerencia para implementar y operar el SGSI.
• Preparar un Enunciado de Aplicabilidad.
• Se debe preparar un Enunciado de Aplicabilidad que incluya lo siguiente:
a) los objetivos de control y los controles seleccionados y las razones para su
selección
b) los objetivos de control y controles implementados actualmente.
c) La exclusión de cualquier objetivo de control y la justificación para su exclusión.
35
d) Uno de los puntos de partida para el desarrollo de un plan de seguridad es
determinar el valor de los activos de la empresa, la fuente para determinar las
posibles afectaciones a los activos de una organización esta establecidas por las
normas ISO 27005.
1.3 Valoración Crítica.
El plan de seguridad informática, ha sido de vital importancia para establecer un sistema de
Gestión de Seguridad Informática basado en una norma, luego de realizar el estudio de las
amenazas activa, pasivas, ataques y vulnerabilidades que están expuestas las infraestructuras
informáticas hoy en día, además de realizar un análisis de las normas como
ISO,ITIL,COBIT que atienden la gestión en el ámbito de la tecnología de la información
ayudan a aliviar los gastos de TI y reducen los riesgos de seguridad relacionados con la
tecnología, las normas ISO además de otorgar certificación con valides internacional y a más
de gestionar y proteger la información de la empresa nos da una guía de buenas prácticas
que expone recomendaciones a tener en cuenta para cada uno de los controles,(NORMA
ISO 270001,27002), además de ser la única que se centra en la gestión de la seguridad de
las infraestructuras de TI .
1.4 Conclusiones Parciales del Capítulo.
Que hoy en día las empresas públicas y privadas tienen altos costos por
implementación de infraestructura TI, pero estas no prestan atención al
aseguramiento de la información que generan los sistemas de Información.
Se estableció la importancia de conocer las bases teóricas de los orígenes de los
principales peligros que hoy en día están expuestas las infraestructuras de TI.
Se describió que los sistemas de gestión de la seguridad informática a través de los
planes de seguridad Informática permiten gestionar los riesgos de seguridad que
existen en las infraestructuras TI.
36
La metodología COBIT se dirige a las necesidades de alto nivel de la empresa,
buscando mejorar la orientación general del negocio a través de los controles de TI
y métricas.
La metodología ITIL actúa sobre los procesos y, a través del conjunto de buenas
prácticas que lo conforman, mejorar el servicio que ofrece la empresa y medirlos.
Las normas ISO es superior a ITIL y COBIT ya que se centra en la gestión de la
seguridad de la información en las empresas.
37
CAPITULO II.
2. Marco Metodológico.
Con la presente tesis de grado refleja una investigación encaminada a realizar un trabajo para
dar la seguridad apropiada a la información, proporcionando integridad, confidencialidad a
la misma, proporcionar las soluciones más apropiadas para asegurar la disponibilidad de los
servicios de la Universidad Técnica de Babahoyo.
2.1. Caracterización del sector.
La Universidad Técnica de Babahoyo, fue creada el 5 de Octubre de 1971, es una institución
de Educación Superior con personería Jurídica que se rige por la constitución de la República
del Ecuador y por las normas expedidas por el Concejo de Educación Superior.
Las actividades de la Universidad Técnica de Babahoyo, están basadas en la gestión
administrativa, docencia, investigación y vinculación con la colectividad y acoge principios
asumidos por la universidad ecuatoriana en el contexto universal.
La Universidad Técnica de Babahoyo es una institución sin fines de lucro, que se sustenta
en los principios de reconocimiento y ejercicio de la autonomía responsable, cogobierno,
igualdad de oportunidades, calidad, pertinencia, integralidad y autodeterminación, para la
producción del pensamiento y conocimiento en el marco del dialogo de saberes, producción
científica tecnológica global y en la inviolabilidad de sus predios.
La universidad Técnica de Babahoyo tiene las siguientes Misión y Visión.
Misión.- Formar profesionales y académicos, líderes y emprendedores con valores éticos y
morales con conocimientos científicos y tecnológicos que promuevan la investigación,
trasferencia de tecnología e innovación y extensión de calidad, para contribuir en la
trasformación social y económica del país.
Visión.- Ser líder y referente en la trasformación humanista, investigación e innovación de
la educación superior en América Latina.
38
Fines y Objetivos.- La Universidad Técnica de Babahoyo, hace suyos los fines y objetivos
de la Educación Superior, consagrados en la Ley Orgánica de Educación Superior (LOES)
y garantiza el cumplimiento de los principios de pertinencia e integralidad así como la
articulación de sus actividades a los objetivos del régimen de desarrollo previsto en los
instrumentos de planificación del Estado Ecuatoriano.
Organigrama de la U.T.B.
Gráfica 2.1 Orgánico Funcional de la U.T.B.
Fuente: Estatuto de la Universidad Técnica de Babahoyo
39
2.2. Descripción del Procedimiento Metodológico.
2.2.1 Enfoque.
El enfoque de la investigación es cualitativa y cuantitativa.
El enfoque cuantitativo se lo utilizó en esta tesis porque se realiza una investigación de
campo para el levantamiento de información a través de las encuestas, luego se realizó el
análisis de cada pregunta para luego hacer una interpretación de los resultados tomando en
cuenta a la población de la Universidad Técnica de Babahoyo.
La tesis es cualitativa ya que se realizó un análisis de las diversas teorías para dar solución
a los problemas y por último se elabora una propuesta para dar así soluciones a los datos
obtenidos.
2.2.2. Modalidad de la investigación.
Por el propósito.
Investigación Bibliográfica. Esta investigación se realizó en esta tesis, ya que permite tener
un estudio bibliográfico en el marco teórico donde se analiza y se fundamentó
científicamente los planes de seguridad Informática y la disponibilidad, integridad y
confidencialidad de la información.
Investigación de Campo. Describe todos los hechos observados dentro de la Universidad
Técnica de Babahoyo y de su infraestructura tecnológica de cómo está actualmente llevando
la gestión de la seguridad.
Investigación Aplicada. Se utilizó en esta investigación por qué se va a dar solución a la
seguridad existente en la institución, la cual es la falta de confidencialidad, integridad de la
información y la alta disponibilidad en los servicios.
2.2.3. Métodos, Técnicas e Instrumentos.
2.2.3.1 Métodos de Investigación.
Los métodos que se utilizarón en el desarrollo de la tesis son empíricos y teóricos.
40
Métodos Empíricos.
Observación Científica.
Esta fue fundamental en todo proceso de investigación para obtener la mayor cantidad de
información sobre como la unidad de tecnología de la Información de la Universidad
Técnica de Babahoyo realiza la gestión de la seguridad. Y esta va a revelar de cómo estuvo
e la seguridad de la información para asegurar la confidencialidad, integridad y la alta
disponibilidad de los servicios.
2.2.3.2 Métodos Teóricos.
Métodos Histórico Lógico.
Se utilizó este método por que se estudia la realidad y como el objeto de investigación a
evolucionado con el tiempo.
Método Analítico – Sintético.
Se realizó toda una recopilación investigativa de toda la teoría sobre las normas y
metodologías para asegurar la información y luego esto nos sirve para dar las conclusiones.
Método Inductivo – Deductivo.
Se lo utilizó para buscar una solución al problema de la falta de confidencialidad, integridad
y alta disponibilidad de la información. Por medio de la lógica deductiva, intentar descubrir
una solución que sería el plan de seguridad.
Método Sistémico.
Se utilizó porque permite el desarrollo de la tesis, etapa por etapa.
2.2.3.3 Técnicas de investigación.
Encuesta.
La técnica que se utilizó para la recopilación de información, para lo cual se aplicó un
cuestionario realizado a los empleados de la Universidad Técnica de Babahoyo.
41
Reuniones de Trabajo.
Se utilizó ya que se realizaron reuniones para la elaboración de la valoración de los activos,
y el análisis de las vulnerabilidades que podían actuar o actúan en cada uno de los activos
del departamento de tecnologías de la información y comunicación.
2.2.3.4 Instrumentos de investigación.
Cuestionario.
Esta encuesta permitió obtener información necesaria, como un elemento justificativo de la
presente tesis, la cual se obtuvo por la colaboración de los empleados de la Universidad
Técnica de Babahoyo.
2.2.4 Población y Muestra.
Población. La población de la Universidad Técnica de Babahoyo a tomar en cuenta para
nuestra investigación es la siguiente.
Administrativos Contratados 63
Administrativos Titulares 164
Total 227
Tabla 2.1 Población de la Universidad Técnica de Babahoyo
Fuente: Elaborada por el autor.
Los estudiantes y los docentes no son tomados en la encuesta, porque el plan de seguridad
es aplicado al departamento de Tecnologías de la Información y Comunicación de la
Universidad Técnica de Babahoyo, por esta razón solo son considerados los equipos que
están desplegados desde esta ubicación del Data center hasta el punto de fibra que llegan a
42
los laboratorios, porque los laboratorios son de acceso libre para todo el personal interno o
externo de la institución para consultas de trabajos y bibliotecas digitales.
Muestra. El cálculo de la muestra es el siguiente:
La fórmula utilizada:
n = N
(E)² (N -1) + 1
n = 227
(0.05) ² (227-1)+1
n = 227
0.0025 (226)+1
n = 227
0.565+1
n = 145.
El tamaño de la muestra es 145.
2.2.5 Interpretación de Resultados de las encuestas Aplicadas.
Para la interpretación de los resultados se toma en cuenta los datos obtenidos de la encuestan
realizada a los empleados que laboran en la Universidad Técnica de Babahoyo.
Interpretación de los resultados de las encuestas realizada a los empleados de la Universidad
Técnica de Babahoyo.
43
En la pregunta 1 se consultó ¿Según su criterio. Existe en su departamento procedimientos
a seguir en caso de ocurrir algún problema con su computador o servicios informáticos que
necesita para sus labores?
INDICADOR RESULTADO PORCENTAJE
SI 10 7%
NO 135 93%
Tabla Nro.1
Fuente: Universidad Técnica de Babahoyo.
Elaborado por: José Mejía Viteri.
Gráfico Nro.1
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri.
Análisis e Interpretación.
En los resultados obtenidos claramente se puede observar que la mayoría de los empleados
consultados no tienen conocimiento de procedimientos definidos en caso de fallas de equipos
informáticos.
7%
93%
SI
NO
44
En la pregunta 2 se consultó ¿Existe en su departamento alguna política que indique en qué
periodo tiempo se debe respaldar la información de su equipo?
INDICADOR RESULTADO PORCENTAJE
SI 7 5%
NO 138 95%
Tabla Nro.2Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Gráfico Nro.2Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
De los datos obtenidos podemos observar que los empleados manifiestan que no existe
ninguna política por parte del departamento de tecnologías; lo que evidencia debilidad al
momento de recuperar información existente en los equipos debido a fallas, un pequeño
porcentaje lo realiza por seguridad.
5%
95%
SI
NO
45
En la pregunta 3 se consultó ¿ En caso de ser afirmativa la pregunta anterior ¿ cada que
tiempo se realiza dicho respaldo?.
INDICADOR RESULTADO PORCENTAJE
MES 5 71%
3 MESES 2 29%
6 MESES 0 0CADA AÑOO MÁS
0 0
Tabla Nro. 3Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Gráfico Nro.3Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
De los empleados encuestados cabe destacar que existe un porcentaje muy bajo de los
empleados de la U.T.B. que se preocupan por sacar respaldo de su información de los
equipos de cómputo pero lo realizan por periodos de tiempo muy extensos.
71%
29%
0% 0%
MES
3 MESES
6 MESES
CADA AÑO O MÁS
46
En la pregunta 4 se consultó ¿Ha facilitado a otra persona dentro o fuera de la institución
contraseñas de alguno de los servicios que usted utiliza (equipo, software, correo electrónico,
etc.)?
INDICADOR RESULTADO PORCENTAJE
SI 110 81%
NO 25 19%
Tabla Nro. 4Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Gráfico Nro.4Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
De todos los empleados encuestados demuestran que por desconocimiento de lo que puede
suceder facilitan a personas no responsables del uso del equipo fuera o dentro de la
institución sus contraseñas para que realicen ciertas tareas en sus equipos o en los servicios
de la U.T.B.
81%
19%SI
NO
47
En la pregunta 5 se consultó ¿Existe alguna exigencia por parte de los encargados de la
Tecnología o del jefe departamental para el cambio de su contraseña en su computador cada
cierto periodo de tiempo?
INDICADOR RESULTADO PORCENTAJE
SI 4 3%
NO 131 90%
Tabla Nro. 5Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Gráfico Nro.5Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
Los empleados de la U.T.B. manifiestan de que no conocen de alguna disposición que
establezca cada que tiempo se debe cambiar la contraseña de su computador para evitar
problemas de suplantación de identidad donde existen muchos riesgos de que información
confidencial sea divulgada, ratificando la falta de aplicación de una política dentro del Plan
de Seguridad.
3%
97%
SI
NO
48
En la pregunta 6 se consultó ¿De la pregunta anterior si existe alguna política o exigencia
con qué frecuencia lo realiza?
INDICADOR RESULTADO PORCENTAJE
CADA MES 1 25%CADA TRESMESES
2 50%
CADA 6MESES
1 25%
AÑO O MÁS 0 0%
Tabla Nro.6Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Gráfico Nro.6Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
Esta pregunta complementaria de la pregunta número 5 se puede observar que existe un
porcentaje muy pequeño que realiza el cambio de contraseña por su cuenta, pero sin ningún
procedimiento que le indique como colocar una contraseña que cumpla con ciertas
exigencias de seguridad.
25%
50%
25%
0%
CADA MES
CADA TRES MESES
CADA 6 MESES
AÑO O MÁS
49
En la pregunta 7 se consultó ¿Controla usted quien y cuando utiliza dispositivos dealmacenamiento en su computador?
INDICADOR RESULTADO PORCENTAJE
SI 68 47%
NO 77 53%
Tabla Nro. 7Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro.7Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
Esta pregunta realizada a los empleados indica que existe preocupación por los dispositivos
conectados en los computadores, cuando ellos están presente; pero al momento que no se
encuentran en sus equipos no se realiza ningún control, y puede ocurrir que alguien no
autorizado acceda al equipo afectando la confidencialidad e integridad de la información.
47%
53%
SI
NO
50
En la Pregunta 8 se consultó ¿De los siguientes servicios ¿cuál de ellos incide más en suslabores en la oficina?
INDICADOR RESULTADO PORCENTAJEINTERNET 145 100%CORREO
ELECTRONICO145 100%
PAGINA WEB 50 34%SOFTWARECONTABLE
21 14%
GESTION DECALIFI
22 15%
AULASVIRTUALES
0 0%
REPOSITORIODE
DOCUMENTOS13 9%
SOFTWARE DEBIBLIOTECAS
13 9%
Tabla Nro. 8Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro.8Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
En esta pregunta los empleados evidencian que servicios son críticos para la ejecución de
labores por parte de los empleados de la U.T.B. demostrando que el internet y el correo
electrónico son indispensable y que la falta de uno de estos servicios puede afectar la
continuidad de sus labores.
36%
36%
12%
5%5% 0%
3%
3%PORCENTAJE
INTERNET
CORREO ELECTRONICO
PAGINA WEB
SOFTWARE CONTABLE
GESTION DE CALIFI
51
En la pregunta 9 se consultó ¿Ha existido suspensión de algún servicio que usted necesitapara realizar su trabajo diario en la oficina?
INDICADOR RESULTADO PORCENTAJE
SI 124 86%
NO 21 14%Tabla Nro. 9
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro.9Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
En esta pregunta la mayoría de los empleados manifiestan que existen suspensiones de los
servicios y a la mayoría le gustaría que este problema no existiera con mucha regularidad.
86%
14%
SI
NO
52
En la pregunta 10 se consultó ¿De la pregunta anterior señale con una X con que periodicidadha sufrido la pérdida de este servicio?
INDICADOR RESULTADO PORCENTAJE
MUY POCO 17 12%POCO 4 3%FRECUENTEMENTE 14 10%MUYFRECUENTEMENTE 87 60%
SIEMPRE 23 16%Tabla Nro. 10
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro. 10
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
En los resultados obtenidos en esta pregunta se da a conocer que existen dificultades en los
servicios que provee la U.T.B. ya que los empleados manifiestan que muy frecuentemente
existe suspensión temporal, lo que evidencia la falta un plan de contingencia que asegure la
continuidad de los servicios de la U.T.B
12%3%
9%
60%
16%
MUY POCO
POCO
FRECUENTEMENTE
MUYFRECUENTEMENTE
SIEMPRE
53
En la pregunta 11 se consultó ¿Conoce usted de algún plan de seguridad de la información
del departamento de Tecnologías?
INDICADOR SI NO
RESULTADO 145 0
PORCENTAJE 100% 0%
Tabla Nro. 11
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro. 11
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Análisis e Interpretación.
En los resultados se evidencia de que los empleados de la U.T.B. no conocen un plan de
seguridad de la informática por parte del departamento de Tecnologías de la Información y
Comunicación.
0%
100%
SI
NO
54
En la pregunta 12 se consultó ¿Está de acuerdo que la Universidad Técnica de Babahoyo
incorpore Plan de Seguridad Informática donde existan las políticas de seguridad donde se
detalle los procedimientos en caso de fallas de los servicios informáticos?
INDICADOR RESULTADO PORCENTAJE
SI 145 100%
NO 0 0%
Tabla Nro. 12
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri
Grafica Nro. 12
Fuente: Universidad Técnica de Babahoyo
Elaborado por: José Mejía Viteri.
Análisis e Interpretación.
En los datos obtenidos los empleados encuestados están de acuerdo que se debe desarrollar
un plan de seguridad informática donde existan políticas de seguridad donde se detallen los
procedimientos en caso de falla de algún servicio, para asegurar la integridad la
confidencialidad y la disponibilidad de los servicios.
100%
0%
SI
NO
55
2.3 Propuesta del Investigador.
Después de tabular los resultados de la investigación de campo se propone el desarrollo de
un plan de seguridad informática para mejorar la gestión de la confidencialidad, integridad
y disponibilidad de la información en la Universidad Técnica de Babahoyo, se utilizara la
metodología PDCA (Planificar, Hacer, Verificar y Actuar), ya que este permitió elaborar un
plan que se ajuste a las necesidades de la U.T.B., que contemple las medidas mínimas e
imprescindible para proteger la información con el uso la serie de normas ISO.
También se realiza una auditoría informática antes de comenzar con la implementación del
Plan de Seguridad Informática la cual se encuentra de forma detallada en el Anexo 17 que
tiene como referencia los dominios, objetivos y controles de la norma ISO 27002.
2.4 Conclusiones parciales del capítulo.
• No existen procedimientos a seguir en caso de ocurrir problemas con sus equipos de
cómputo, cuando deben respaldar la información y los pocos que lo hacen no lo realizan
con la regularidad que deberían.
• Se determina que los empleados entregan sus contraseñas de los servicios a otros por
diversas razones, también indican de que no existen ningún reglamento que haga
referencia a su uso, proceso de modificación y algunos de ellos lo realizan por iniciativa
personal.
• Existe un porcentaje alto de empleados que controlan la conexión de unidades extraíbles
a sus equipos de cómputo pero mientras están en sus puestos de trabajo, una vez que lo
abandonan no existe ninguna medida de seguridad.
56
• Existe un porcentaje muy alto de insatisfacción, también la mayoría indica que muy
frecuentemente sufren pérdidas momentáneas y largo plazo de alguno de ellos.
• No conocen los empleados un plan de seguridad informática por parte de la Unidad de
Tecnologías de la Información, y están de acuerdo que se debería incorporar para
solventar los inconvenientes suscitados con la integridad y confidencialidad de la
información y la disponibilidad de los servicios.
57
CAPITULO III.
3. DESARROLLO DE LA PROPUESTA.
3.1 TEMA.
Plan de Seguridad Informática del departamento de Tecnologías de la Información de la
Universidad Técnica de Babahoyo para mejorar la gestión en la confidencialidad e
integridad de la información y disponibilidad de los servicios tomando como referencia las
normas ISO.
3.2 Caracterización de la propuesta.
La propuesta está orientada al desarrollo de un plan de seguridad informática que contribuya
al mejoramiento de la gestión de la integridad, confidencialidad y alta disponibilidad basadas
en los enfoques de la norma ISO 27001, ISO 27002,ISO 27005, proyecto que está destinado
a ser implementado en la Universidad Técnica de Babahoyo.
Luego de realizar un análisis de riesgo de la información en las áreas críticas, donde se
encuentran funcionando sistemas de información, bienes informáticos cuyos riegos no son
iguales es preciso establecer las prioridades en las tareas a realizar para minimizar los
riesgos. La dirección de Tecnologías de la Información y Comunicación de la entidad debe
asumir el riesgo residual es decir, el nivel restante de riesgo después de su tratamiento.
El aporte de este trabajo de investigación está considerado en los siguientes puntos de la
propuesta:
Plan de seguridad Basado en la norma ISO 27001.
Es la parte más importante de la propuesta, ya que ISO hace referencia a los Sistemas de
Gestión de Seguridad de la Información (SGSI), donde está implicada todas las áreas de la
organización, por lo tanto se realiza un análisis de ISO 27001 y que se puede tomar para la
elaboración del Plan de Seguridad Informática.
Cálculo que ocurra la amenaza y facilidad con la que pueda ser explotada.
Tratamiento del riesgo se lo realizo con colaboración del director de sistemas y empleados
de las áreas, donde se concluyó una escala para cada uno de los niveles de riesgo cuantitativa
58
del 1 al 8 y se concluyó las acciones necesarias para cada uno de estos valores obtenidos en
el riesgo de los Activos.
3.3 Desarrollo de la propuesta.
La propuesta está basada en las Consideraciones ISO 27001 para el desarrollo del plan de
seguridad informática, que se detalla a continuación.
Esquema General de la Propuesta.
Gráfico 3.2 Esquema de desarrollo de la propuesta
Fuente: José Mejía Viteri
Gráfica 3.1 Esquema de la Propuesta
Elaborado por: José Mejía Viteri
DEFINICIÓN DELALCANCE DEL PLAN
IDENTIFICACIÓN DELOSACTIVOS
VALORACIÓN DE LOSACTIVOS
CALCULO QUE OCURRA LASAMENZAS Y FACILIDADQUE
PUEDA OCURRIR
CALCULO DE RIESGO SOBRELOS ACTIVOS
TRATAMIENTO DEL RIESGO
APLICABILIDAD DECONTROLES
DEFINICIÓN DELASPOLÍTICAS
ALCANCE YLIMITES DEL PLAN
GESTIÓN DELRIESGO DESDE ELPUNTO DE VISTA
ORGANIZACIONAL
CONTROLESPROPUESTOS POR
LA NOEMA ISO27002
59
3.3.1 Alcance del Plan.
El plan de seguridad abarca el departamento de tecnologías de la Información y todos los
equipos de la parte administrativa de la Universidad Técnica de Babahoyo.
3.3.2. Límites del Plan de seguridad.
El plan de seguridad informática no establece políticas de seguridad sobre los laboratorios
de computo de las diferentes Carreras de la Universidad Técnica de Babahoyo ya que por
política institucional el accesos es libre a cualquier persona ya sea estudiante o particular
para realizar consultas e investigaciones solo se controlan los equipos de comunicación que
permite la conectividad entre los laboratorios y el centro de datos, para brindar el servicio
de internet.
3.3.3. Características de la Universidad Técnica de Babahoyo.
La Universidad Técnica de Babahoyo se encuentra ubicada en la Provincia de Los Ríos en
el cantón Babahoyo en la Av. Principal de su mismo nombre actualmente es administrada
por el Dr. Rafael Falconí Montalván, está actualmente en la categoría C pero están realizando
un trabajo muy fuerte para ascenderla a la categoría B. Al momento cuenta con 6200
estudiantes en sus cuatro Facultades tiene 486 docentes y 230 empleados y trabadores.
3.3.4 Aplicación del plan.
Previo a la realización del plan de seguridad es necesario realizar un estudio de las políticas
de seguridad que actualmente se encuentran en la universidad específicamente en el
departamento de tecnologías de la información y para realizar esto se hizo la entrevista al
director del área y al personal del área la cual se muestra en el anexo1.
3.3.4.1. Situación previa de la seguridad informática en el caso de estudio.
El departamento de tecnologías de la información es un área fundamental de la universidad
donde se encuentran los dispositivos, software y toda la infraestructura tecnológica que hace
posible brindar servicios a la comunidad universitaria, por esta razón se requiere que la
información y la seguridad sea tratada de manera organizada , ya que al momento no se
60
tienen políticas de seguridad, y todas las actividades se siguen sin tener lineamientos para el
aseguramiento de los activos de la Universidad.
Para el análisis de la situación previa se tuvieron en cuenta los siguientes aspectos analizados
a través de una auditoría basada en las Normas ISO 27002 detallada en el Anexo 17.
• Evaluación lógica de la seguridad.
• Evaluación de las comunicaciones
• Evaluación de la seguridad del software.
• Evaluación de la seguridad física.
• Administración del cuarto de equipos.
3.3.5 Política del Plan de Seguridad de la Información.
Las políticas definidas para apoyar la implementación del Plan de Seguridad de la
Información son:
“Las Tecnologías de la Información y los Sistemas de Información son de vital importancia
para el desempeño del personal estos deben garantizar la confidencialidad, integridad y
disponibilidad de los datos y comunicaciones gestionadas por la Universidad Técnica de
Babahoyo”.
Los colaboradores del departamento de tecnologías y Soporte se compromete a liderar y
fomentar a todos los niveles la seguridad de acuerdo a la Política de Seguridad y los objetivos
que en la misma se defina y apruebe, tanto en el ámbito general como en el particular, y cree
un Sistema de Gestión para la Seguridad de la Información (SGSI) que se articule de forma
que cumpla los requisitos legales o reglamentarios, gestione la protección y distribución de
los activos de la organización, y se encuentre distribuido y publicado en la red corporativa
para un mejor conocimiento por parte de todos los empleados.
3.3.6. Criterio de evaluación del riesgo.
El criterio de evaluación de estarán determinados por la documentación en la que se
registran los siguientes aspectos:
• Los criterios con que se evaluara el riesgo.
• Realizar la valoración del riesgo y establecer un plan de tratamiento del riesgo.
61
• Identificación de los niveles de riesgo aceptados por las autoridades.
• Definir e implementar las políticas y los procedimientos que incluyan la implementación
de los controles seleccionados.
• Aspectos fundamentales de un plan de seguridad informática, de tal manera que se
incluyan las directrices de la norma ISO 27005.
3.3.7. Enfoque para el cálculo del Riesgo.
El enfoque está dado por los requerimientos de la Organización, el alcance que se ha definido
previamente ya que si el enfoque es muy genérico podría abordar aspectos de riesgos muy
importantes y por otra parte el exceso de detalles podría interrumpir y realizar mucho trabajo
innecesario.
Ya que la disponibilidad, la confidencialidad e integridad deben estar en equilibrio, esto
quiere decir por ejemplo si la información de un equipo está protegida por muchas
contraseñas difíciles de recordar se pierde la disponibilidad en caso contrario que esta
información no posea una clave y sea accesible por cualquier persona se pierde la
confidencialidad.
3.3.8 Proceso para el cálculo del riesgo.
Este proceso está definido por la norma 27005, el cual es realizado luego de especificar a
través de un análisis con el personal del departamento de tecnologías la valoración de los
activos, esta norma cual incluye el análisis y la evaluación del riesgo.
3.3.8.1. Análisis de Riesgo.
Consiste en realizar los siguientes procedimientos:
• Identificación de los activos
• Identificación de requerimientos legales y comerciales
• Valoración de Activos
• Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia
• Análisis de riesgo y su evaluación.
62
Identificación de los activos.
Según la norma ISO 27005 Tenemos:
Activos Primarios.
Son aquellos que implican procesos del negocio.
Información.
Activos de Soporte .Estos dependen los elementos primarios del alcance, de toso los tipos:
Hardware, software, redes, personal, sitio, estructura de la organización.
3.3.8.2 Identificación de los Activos.
En la tabla 3.3 del Anexo 4 se muestran los activos del departamento de tecnologías con sus
respectivos responsables, donde se realiza toda la identificación necesaria.
3.3.8.3 Identificación de requerimientos legales y comerciales Relevantes para los
activos identificados.
Referente al requerimiento comerciales no existen equipos a la venta en esta área. Al
respecto de requerimientos legales todos los activos se encuentran inventariados y estos son
responsabilidad del área de tecnologías de la información y comunicación, los equipos de
las oficinas así mismo están inventariados y son responsabilidad del empleado del área o
departamento.
3.3.8.4 Valoración de los activos.
La norma ISO 27005 establece varios criterios para la valoración de activos pero el
seleccionado es el que se detalla a continuación.
La base para la valoración de los activos es el costo en que se incurre debido a la perdida de
la confidencialidad, integridad y disponibilidad como resultado de un incidente. Esta
valoración proporcionara las dimensiones que tienen los elementos importantes para el valor
del activo.
63
Los criterios que se utilizan para evaluar las consecuencias posibles de la perdida de
confidencialidad, integridad, disponibilidad de los activos, están en la tabla 3.1Anexo 2.
La Norma ISO 27005 nos entrega una lista detallada de amenazas y vulnerabilidades que
pueden ocurrir en cada uno de los componentes de la infraestructura tecnológica esta se
muestra en la tabla 3.2 Anexo 3.
Antes de realizar el cálculo de riesgo se procede a verificar los activos que se desean asegurar
estos se muestran en la tabla 3.3 Anexo 4.
A continuación se muestra en la tabla 3.4 Anexo 5 donde se encuentra la referencia para
valoración de los activos del departamento de tecnologías de la información y comunicación,
este muestra el grado de valoración de acuerdo a la dependencia y funcionalidad del activo
y cómo afectaría a la integridad, confidencialidad y disponibilidad de la información.
La valoración de los Activos mostrados en la tabla 3.5 anexo 6 se la realiza asignando valores
de critico a muy bajo como muestra el anexo 5 a cada activo y de acuerdo a sus funciones
en la infraestructura tecnológica en caso de fallas se le asigna un valor del 1 al 5 de acuerdo
al grado de afectación en la integridad, confidencialidad y disponibilidad de los servicios.
3.3.8.4 Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia.
Se la realizó en reuniones de trabajo con el departamento de tecnologías de la Información,
inspección física y revisión de documentos. A continuación se realizó la identificación de
las amenazas, vulnerabilidades para luego realizar una asignación de valores utilizando la
escala de la tabla 3.6 Anexo 7 para cada uno de los activos del departamento de tecnologías,
esta se detalla en la tabla 3.7 del Anexo 8.
3.3.8.5 Evaluación del riesgo.
La siguiente actividad es la dete rminación de cada tipo de amenaza, para cada agrupación
de activos con los cuales se relaciona el tipo de amenaza, con el fin de habilitar la evaluación
de los niveles de amenazas (probabilidad de ocurrencia) y niveles de vulnerabilidades
(facilidad de explotación por parte de las amenazas para causar consecuencias
adversas). Cada respuesta a un interrogante suscita un puntaje. Estos puntajes se
64
acumulan a través de una base de conocimientos y se compara con los rangos. Esto
identifica los niveles de amenaza en una escala de alto a bajo y los niveles de vulnerabilidad
de manera similar, tal como se presenta en el ejemplo de la matriz, diferenciando entre
los tipos de consecuencias según sea pertinente.
Los valores del activo, y los niveles de amenaza y vulnerabilidad, pertinentes para cada
tipo de consecuencias se contrastan en una matriz con el fin de identificar para cada
combinación la medida pertinente de riesgo en una escala de 0 a 8. Los valores se ubican
en la matriz de manera estructurada. La tabla con sus valores correspondientes está
disponible en la tabla 3.8 del Anexo 9.
Cálculo del riesgo según norma ISO 27005.
La tabla 3.9 en el Anexo 10 se muestra luego de realizar la recopilación de los activos, la
identificación de las amenazas y la probabilidad con la que ocurra, se realiza el cálculo de
riesgo tomando en cuenta estos valores calculados previamente en cada uno de los activos.
3.3.8.6 Tratamiento de Riesgo y toma de decisiones Gerencial.
Los criterios de aceptación de riesgo demandados por la universidad Técnica de Babahoyo
y el departamento de tecnologías, establece que riesgos de niveles “Alto” y “Medio Alto”
se consideran inaceptables y deben ser tratados de forma inmediata con los recursos
necesarios requeridos. Así mismo, para los niveles “Medio” y “Bajo” se requiere de un
registro en el cual la gerencia demuestre que se acepta el riesgo asociado a estos activos.
Este tratamiento del riesgo es detallado en la tabla 3.10 Tratamiento del Riesgo del Anexo
11.
Para el riesgo de los activos que va a ser reducido se aplicará los controles de la norma ISO
27002.
3.3.8.7 Riesgo Residual.
Se dejará un riesgo remanente debido que para las amenazas identificadas es evidente que
no se pueden eliminar todas las vulnerabilidades.
El riesgo residual es aceptable para las diferentes amenazas identificadas y se dispone de un
registro de aceptación de este riesgo remanente.
65
3.3.8.8 Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos.
A continuación se determina los controles que pueden ser implementados, una vez
identificados los procesos de tratamiento del riesgo y haberlos evaluado, se debe decidir qué
objetivos de control y controles se van a implementar.
3.3.9 Preparación de la declaración de aplicabilidad.
La declaración de aplicabilidad debe incluir los objetivos de control y controles que serán
aplicados y los que serán excluidos. La declaración de aplicabilidad da la oportunidad a la
empresa de que asegure que no ha omitido algún control.
En la tabla 3.11 del anexo 12 se presenta el enunciado de aplicabilidad tomando en cuenta
los Dominios, Objetivos de Control y controles de la norma ISO 27002.
3.3.10 Desarrollo del plan de seguridad informática al caso de estudio.
El desarrollo del plan de seguridad al Departamento de tecnologías de la información de la
Universidad Técnica de Babahoyo se deriva del análisis del tratamiento del riesgo donde se
califica a cada uno de los activos en base a las amenazas y vulnerabilidades contra el cuadro
de aplicabilidad tal como lo menciona la norma ISO 27001 por tanto todas las políticas de
seguridad se derivan de la norma ISO 27002.
La implementación de este plan de seguridad informática genera las siguientes
documentaciones:
Acuerdo de Confidencialidad
Asignación de Responsabilidades
Uso Aceptable de los Activos de Información
Inventario de Activos
Instructivo para Etiquetado y Manejo de la Información
Instructivo para Revisión de las Políticas de Seguridad Informática
Registro de Compromiso de la Dirección con la Seguridad Informática
Registro de Contacto con Grupos de Intereses
Registro de Contacto con las Autoridades
Registro de Revisión Independiente de la Seguridad Informática
66
Registro de seguimiento de las Políticas de Seguridad Informática.
Estos documentos se encuentran detallados en el Anexo 13
Plan de continuidad del negocio.
Este documento esta detallado en el Anexo 14.
Plan de mantenimiento preventivo y correctivo.
Este documento se encuentra detallado en el Anexo 15
Reglamento del uso de internet.
Este documento se encuentra detallado en el Anexo 16
A continuación se detallan las políticas de seguridad de acuerdo los Dominios, objetivos y
Controles de la Norma ISO 27002
3.3.10.1 Seguridad de los equipos
Protección de equipos y emplazamiento.
Políticas.
a) Los mecanismos de control de accesos físico a equipos de comunicación y al data
center para el personal y terceros debe permitir solo a personas autorizadas, para la
salvaguarda de los equipos de cómputo y comunicaciones, solo las personas de
soporte y telecomunicaciones tienen permitido el acceso, para lo cual se debe
constatar la respectiva credencial en caso de personas ajenas a la U.T.B. así mismo
portar la respectiva autorización del director del departamento de tecnologías de la
información.
b) Es responsabilidad de los usuarios de equipo de cómputo reportar de forma inmediata
a través del helpdesk cuando detecte que existan riesgos reales o potenciales para los
equipos de cómputo y comunicaciones, como fuego, fugas de agua u otros riesgos
que se identifiquen.
67
c) El usuario debe proteger CD-ROM, DVD, memorias USB, discos externos o
cualquier otro medio extraíble que se encuentre bajo su administración, aun cuando
no se utilicen y estos contengan información confidencial o reservada.
d) Los usuarios no tienen permitido mover o reubicar los equipos de cómputo o
telecomunicaciones, instalar o desinstalar dispositivos (Hardware), ni retirar los
sellos sin la autorización de la dirección de tecnologías de la información, y a su vez
debe solicitar a la dirección para requerir este servicio.
e) Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o
bebidas.
3.3.10.2. Mantenimiento de equipos
a) La dirección de tecnologías de la información y comunicación deberá realizar un
cronograma de mantenimientos en los equipos de los departamentos de U.T.B.
mínimo por dos ocasiones al año para poder extender el periodo de uso de los
mismos.
b) Únicamente el personal autorizado del departamento de Tecnologías de la
información y comunicación podrá llevar a cabo los servicios y reparaciones al
equipo informático, para lo cual los usuarios deberán pedir la respectiva
identificación del personal antes de dar acceso a los equipos.
c) Los usuarios deben asegurarse de respaldar la información que considere importante
cuando el equipo sea enviado a reparación y borrar aquella información sensible,
para prevenir la perdida involuntaria de la información, para lo cual puede solicitar
asesoría al personal de soporte técnico.
68
3.3.10.3 Gestión de cambios.
Política.
El proceso de gestión de cambios en el Departamento de Tecnologías de la información y
Comunicación la pueden realizar los empleados del departamento de tecnologías donde se
deberá tener en cuenta:
a) Implementación de Mejoras a los servicios, para esto se debe registrar la fecha del
cambio realizado guardando la versión antigua de los archivos modificados en una
carpeta la cual contendrá el nombre del servicio y la fecha de modificación, Esta
aplica para servicios y software que ha sido desarrollado personal del departamento
de tecnologías o software y servicios de proveedores.
b) Las políticas y procedimientos que llegasen a modificarse se deben realizar las
respectivas notificaciones a todo el personal que intervienen además de realizar una
reunión de socialización explicando los motivos de la modificación.
3.3.10.4 Copias de Seguridad.
Copias de seguridad de la información.
Políticas.
a) Las bases de datos de la Universidad Técnica de Babahoyo serán respaldadas
diariamente en forma automática y manual mediante los procedimientos y tareas
programadas para tal efecto.
b) Las Base de datos deben ser replicadas en el centro de cómputo alternativo ubicado
en la Facultad de Ciencias Agropecuarias para permitir la contingencia de la
continuidad de los servicios de la U.T.B.
c) La información de los servidores web será respaldada diariamente, esta debe incluir
todos los directorios y subdirectorios de las páginas web, y se la etiquetara con la
fecha y la hora en que se realiza el backup, la cual deberá ser alojada
automáticamente en un directorio compartido de un servidor del centro de cómputo
alternativo.
69
d) Para reforzar la seguridad de la información los usuarios bajo su criterio podrán
realizar respaldos de la información en sus discos duros dependiendo de la
importancia y frecuencia del cambio, adicionalmente el personal de soporte deberá
configurar un directorio en la unidad D: donde el usuario ubique su información y
esta sea replicada automáticamente a (google drive), servicio provisto en las cuentas
de correo institucional.
3.3.10.5 Gestión de la seguridad de las redes.
Controles de la Red.
Políticas.
a) Sera considerado como un ataque a la seguridad informática y una falta grave,
cualquier actividad que no está autorizada por el departamento de tecnologías de la
información y comunicación, en la cual los usuarios realicen cualquier exploración
de los recursos informáticos en la red, así como de las aplicaciones que operan sobre
la red con fines de explotar o mostrar alguna vulnerabilidad de la red.
b) Se deberán realizar test de seguridad por parte del departamento de tecnologías de la
información o solicitar a la Carrera de Sistemas que mensualmente un profesor o
varios realicen pruebas sobre la seguridad de las redes, utilizando CAINE, KALI u
otras herramientas que se utilizan para explotar vulnerabilidades, para así realizar las
siguientes acciones:
Rechazar conexiones a servicios comprometidos.
Permitir cierto tipo de tráfico.
Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde
internet.
Auditar el tráfico entre el interior y el exterior.
Ocultar información sobre los dispositivos y cuentas de usuarios internos.
Se debe realizar la revisión de los logs del IDS, para así detectar conexiones
fuera de hora reintentos de conexión fallidos y otros.
70
a) Para hacer uso de la red inalámbrica se debe registrar los usuarios que deseen este
servicio y presentando el dispositivo que se conectara a la red inalámbrica, para así
registrar su dirección MAC.
b) Para conectarse a la red inalámbrica se deberá emplear autenticación tipo WPA para
lo cual la contraseñas se cambiaran periódicamente cada 6 meses a 12 meses con la
finalidad de proporcionarles seguridad el acceso a los usuarios.
c) La Unidad de Tecnologías de la información y comunicación llevara un registro de
los eventos asociados a la red inalámbrica de los diferentes usuarios para asegurar el
uso adecuado del servicio.
d) Es prohibido el uso de programas que recolectan paquetes de datos de la red
inalámbrica. Esta práctica es una violación a la privacidad y constituye un robo de
los datos del usuario, y puede ser sancionado.
e) Para evitar responsabilidades en caso de que un usuario haga cambio del equipo
previamente dado de alta, este debe de notificar al departamento de tecnologías para
la baja del equipo de la red.
f) No se permite la operación ni instalación de ningún punto de acceso (Access point)
conectados a la red cableada sin la debida autorización del departamento de
Tecnologías de la Información.
g) No se permite configurar las tarjetas inalámbricas como puntos de acceso.
Seguridad de los servicios de Red.
a) Los encargados de las telecomunicaciones deberán incorporar al firewall provisto
por (Sophos) controles especiales para salvaguardar el procesamiento y la
disponibilidad de los datos, estos deberán ser revisados semanalmente, por si
requieren alguna actualización por la aparición de algún tipo de vulnerabilidad en la
redes de la U.T.B.
71
b) Todos los servidores deben incorporar tecnologías de protección tales como reglas
firewall, encriptación autenticación y controles de conexión de red.
c) Cuando se realice la instalación de un nuevo servicio en un servidor antes de ponerlo
en producción se le debe realizar un Hardening que incluya, configuración del
firewall, del Sistema operativo, instalación y configuración de antivirus, y constatar
que estén habilitados los servicios que requieran para su puesta en producción, el
resto serán deshabilitados, en el caso de servidores LINUX activada la seguridad
SELINUX.
d) Se deben habilitar redes VPN para los usuarios móviles o remotos de la U.T.B: para
poder tener acceso a la red interna privada cuando se encuentren fuera.
3.3.10.6. Manipulación de los soportes
Gestión de soportes extraíbles.
Políticas.
Está permitido el uso de los dispositivos extraíbles por parte de los usuarios de la
Universidad Técnica de Babahoyo así como para los del departamento de tecnologías de la
información siguiendo los siguientes lineamientos:
a) En ningún caso está permitido almacenar información que contiene datos personales
de los empleados de los estudiantes en el caso de los usuarios de las secretarías de la
U.T.B. etc.
b) En el caso de los empleados de la unidad de tecnología de la Información y
comunicación se utilizara los medios extraíbles para poder realizar copias de
seguridad de alguna aplicación o ficheros contenidas en un servidor, pero este no
debe abandonar las instalaciones y además se debe asegurar que solo las personas
autorizadas tengan acceso a él para evitar fugas de información, así como también el
traslado o salida de este se debe realizar el proceso de eliminación completa de la
información contenida en este, para lo cual se designara un responsable por parte de
la dirección de tecnologías. En los traslados de dispositivos de almacenamiento a
instalaciones externas debe cumplir con la cadena de custodia con un empleado del
departamento de tecnologías para evitar fugas de los mismos.
72
Retirada de los soportes.
Políticas.
a) Al seleccionar una herramienta de borrado, elegir aquella que permita la obtención
de un documento que identifique claramente que el proceso de borrado se ha
realizado, detallando cuándo y cómo ha sido realizado.
b) En el caso de que la destrucción lógica no se realice correctamente por fallo del
dispositivo, este hecho debe documentarse claramente y utilizar métodos de
destrucción física de dicho soporte, asegurando que se realice de forma respetuosa
con el medio ambiente.
Procedimiento de manipulación de la información
Políticas.
a) A todos los usuarios de los equipos se les deben instalar software de cifrado de la
información especialmente de los departamentos que tienen información crítica de la
Universidad incluyendo el departamento de tecnologías de la información para así
proveer de acceso seguro a los usuarios destinatarios de dicha información ejemplo
de software Prot –on.
Seguridad en la documentación del sistema.
Políticas.
a) La información de los sistemas informáticos debe tratarse como de uso restringido o
confidencial. Los accesos serán autorizados por el responsable a cargo de esta
información que corresponda implementados por el director de tecnologías y
verificados por el responsable de seguridad, toda esta documentación reposara en el
data center para asegurar la disponibilidad solo al personal autorizado.
3.3.10.7 Supervisión.
Registros de Auditoría.
Políticas.
a) A fin de detectar actividades de procesamiento de información no autorizadas se
producirán y mantendrán registros de auditoría en los cuales se registren las
73
actividades excepciones y eventos de seguridad de la información de los usuarios
para permitir la detección e investigación de incidentes.
Supervisión del uso de sistemas y servicios.
Políticas.
Se deberá registrar toda la información de los sistemas y servicios que corren en la red para
lo cual se registrara la siguiente información.
a) Identificación de los usuarios.
b) Fechas tiempos, y detalles de los eventos principales, por ejemplo, inicio y cierre de
sesión, identidad del equipo y su ubicación, si es posible.
c) Los registros de intentos de acceso a los datos u otro recurso, exitosos y rechazos y
cambios de configuración del sistema, uso de privilegios, uso de utilitarios y
aplicaciones del así como los archivos accedidos y el tipo de acceso. Para esto los
equipos serán unidos a un dominio con Active Directory y Kerberos.
d) Para las direcciones de redes y protocolos y control a la web se utilizara las
aplicaciones provistas por Sophos UTM.
3.3.10.8 Control de Acceso.
Política de control de acceso.
Política.
a) Todos los usuarios con accesos a un sistema de información o la RED, dispondrán
de una única autorización de acceso compuesta de identificador de usuario y
contraseña.
b) Ningún usuario recibirá un identificador de acceso al equipo y servicios de la
Universidad Técnica de Babahoyo hasta que no acepte las políticas de seguridad
vigente.
74
c) El usuario deberá definir su contraseña de acuerdo al procedimiento establecido en
las políticas de grupo y accesos a servicios y será responsable de la confidencialidad
de la misma.
d) Los usuarios tendrán acceso autorizado únicamente a aquellos datos, recursos y
servicios, para el desarrollo de sus funciones, conforme a los criterios del Director o
jefe de área para lo cual deberán solicitarlo formalmente por escrito.
e) La longitud mínima de las contraseñas será de 8 caracteres en combinaciones de
caracteres numéricos, alfabéticos y especiales.
f) En el caso de usuarios temporales se configurarán para un corto periodo de tiempo.
Una vez expirado este periodo se desactivaran automáticamente y en caso de seguir
necesitando el accesos será autorizado por el director o jefe del departamento que
esté desarrollando sus actividades.
g) El usuario deberá notificar a los técnicos de soporte si observa cualquier
comportamiento inusual o lentitud en alguno de los servicios que utiliza para sus
actividades.
3.3.10.9. Gestión de acceso a usuarios.
Registro de Usuario
Política.
Para el registro de usuarios se los realizara con el siguiente procedimiento (ID usuario, Perfil
o permisos de accesos) se deberá evitar la existencia de múltiples perfiles para un mismo
usuario, para así permitir un seguimiento adecuado de las operaciones efectuadas.
a) Se debe tener control sobre las modificaciones en los permisos de usuarios, tanto de
cambios automáticos como manuales a través de una bitácora de estos cambios y
serán autorizados por el jefe o director del departamento.
75
b) Se asignara un responsable del área de soporte, para las tareas de autorización,
administración, y operaciones.
c) Se deberá implementar un software de monitoreo y auditoria sobre accesos a
recursos, sistemas y aplicativos.
d) Al entregar el usuario y contraseña, se deberá revisar la firma de compromisos de
confidencialidad y notificación de uso adecuado de recursos.
e) En el caso de que alguna persona deje de laborar en la institución se deberá notificar
inmediatamente al departamento de tecnologías de la información para la supervisión
del equipo y cancelar la cuenta de acceso al equipo con sus respectivos privilegios.
Gestión de privilegios.
Política.
a) Los directores y jefes de área establecerán los privilegios asociados a cada recurso,
sistema informático y /o aplicativo.
b) Se deben establecer grupos de usuarios para cada departamento de la Universidad
Técnica de Babahoyo para facilitar la asignación de privilegios por grupos.
c) Se deberá establecer la asignación de accesos sobre la base de necesidad de uso y el
mínimo privilegio, que permita al usuario cumpla con su rol funcional.
d) Para las cuentas Administrativas las cuales son dotadas de un nivel de privilegio
superior se emplearan exclusivamente para la administración de recursos, no siendo
recomendable su uso habitual las contraseñas deberán tener un mayor grado de
complejidad.
e) El responsable de la administración de estas cuentas será el responsable de
Tecnologías de la Información y Comunicación. Y deberá contemplar lo siguiente.
76
Justificación formal de uso y determinación de los niveles de autorización
requeridos.
Registro de actividades.
Renovación de contraseñas con mayor frecuencia.
f) La cuentas de aplicativos y servicios en los servidores son cuentas internas generadas
durante la instalación de servicios informáticos y permiten generalmente, accesos
directo a los datos, y que son las siguientes admin para base de datos, administrador
cuenta de sistemas operativos y software y root la cuenta de superadministrador en
Linux, el responsable de tecnologías de la información y comunicación deberá
implementar controles y procedimientos la asignación de contraseñas complejas y la
documentación segura de las misma haciendo las prohibiciones de que estas cuentas
de usuario no pueden ser divulgadas para otros usuarios a todo nivel.
Gestión de contraseñas de usuario.
Políticas.
a) Los usuarios se comprometerán a mantener en secreto las contraseñas de sus cuentas.
Esto deberá contemplarse en el compromiso de confidencialidad.
b) Se obligara a los usuarios que cambien su contraseña iniciales que les ha sido
asignada la primera vez que ingresen al sistema.
c) La entrega de la contraseña inicial o provisora se hará de manera personal al usuario,
debiendo existir el acuse de recepción por parte dicho usuario.
d) Al asignar la contraseña al usuario se le deberá exigir pautas de complejidad así como
la renovación periódica de la misma, la cual estarán bajo la responsabilidad del
departamento de tecnologías de la información.
e) Estas contraseñas se almacenaran en forma codificada y en sistemas informáticos
protegidos ejemplo: Active Directory de Windows Server.
77
f) Se deberán utilizar tecnologías especiales de ser el caso por ejemplo: biometría, el
responsable de tecnologías de la información y comunicación definirá y justificara
el uso.
g) Para el caso de contraseñas de administración e instalación de servicios, tendrán un
alto grado de complejidad mínimo 14 caracteres entre números, alfabéticos y
especiales y las mismas serán resguardadas en condiciones de alta seguridad.
Adicionalmente se llevara un registro de uso y gestión de estas contraseñas críticas
donde se especificaran causas del uso como el responsable de las actividades que se
efectúen.
Revisión de los derechos de acceso de usuario.
a) Se asignara un responsable para que realice la revisión de los derechos de accesos a
los usuarios en intervalos no mayor a seis meses.
b) Revisar todas las autorizaciones de privilegios especiales no mayor a tres meses.
c) Revisar la asignación de privilegios en intervalos no mayor a seis meses.
3.3.10.10. Responsabilidades de usuario.
Uso de contraseñas.
Políticas.
a) Todos los usuarios deberán mantener sus contraseñas en secreto.
b) Pedir el reinicio de sus contraseña siempre que exista una posible vulneración del
sistema o de las mismas contraseñas.
c) Las contraseñas no deben estar registradas en lugares de fácil accesos.
d) Las contraseñas que asignen el usuario no pueden basarse en datos que otra persona
pueda deducir, ni de personajes populares números de teléfono o fechas de
nacimiento, etc.
78
e) Cambiar la contraseña cada vez que el sistema los solicite.
f) Notificar cualquier incidente de seguridad relacionado con sus contraseñas por
ejemplo: pérdida, robo o indicio de pérdida de confidencialidad.
Equipo de usuario desatendido.
Políticas.
a) Se deberá establecer a los equipos de cómputo controles de acceso como contraseñas
a los protectores de pantalla, como medida de seguridad cuando no exista actividad
en el equipo de cómputo. Se impedirá que el usuario modifique esta política a menos
de que se establezca por escrito las razones por parte del director o jefe de área.
Política de puesto de trabajo despejado y pantalla limpia.
Políticas.
Los usuarios deberán concluir o bloquear el equipo manualmente o finalizar las sesiones al
momento de finalizar las tareas o retirarse de sus labores.
3.3.10.11. Control de acceso a la red
Identificación de los equipos de las redes.
Políticas.
a) Se desarrollara un esquema de identificación de cada uno de los equipos que se
conecte a la red, este esquema será desarrollado en un software que sea capaz de
poner detalles a cada nodo y punto de red de todos los departamentos de la
Universidad Técnica de Babahoyo.
b) Se deberá activar la autenticación de equipos a través de las direcciones MAC para
identificar la identidad todo equipo previamente a conectarse a la red se debe realizar
el registro correspondiente de su dirección mac para identificar su identidad.
c) Todos los nodos de la red deben estar dotado con protecciones físicas.
79
Protección de los puertos de diagnóstico y configuración remotos
Políticas.
a) La habilitación de los puertos remotos de los equipos de telecomunicaciones como
de los servicios deberá de ser controlados, para evitar que se los aproveche como
medio de acceso no autorizado queda prohibido la habilitación de servicios telnet ya
que no proporciona cifrado y su servicio es muy sensible a fallos de seguridad.
b) El director de tecnologías de la información generara acuerdos con el proveedor de
internet, para generar un marco de protección para la comunicación de los sistemas
de diagnóstico remoto.
Segregación de las redes
Políticas.
a) Se deberán realizar subredes o perímetro de seguridad separados, por medio del UTM
Sophos ya que viene incluida en sus servicios, y el establecimiento VLANS.
b) Para la división de las redes se tomaran en cuenta criterios de seguridad comunes a
grupos de usuarios de red determinados.
Control de la conexión a la red.
a) Los archivos compartidos de los departamentos de la UTB, deben acceder solo los
usuarios autorizados para lo cual se pedirá realice la autorización el director o jefe
del departamento correspondiente.
b) Se deberá implementar un mecanismo para limitar los accesos a las unidades de red
de los departamentos y así proveer acceso y seguridad solo a los usuarios autorizados.
c) Se establecerá horarios de acceso a los equipos para lo cual se implementará control
de acceso por horario de labores esto quiere decir que cualquier acceso fuera del
horario establecido de actividades deberá solicitarlo el director o jefe del
departamento.
80
Control de encaminamiento (routing) de red.
a) En las redes y subredes de la U.T.B. se instalaran controles de ruteo, para asegurar
las conexiones informáticas, de tal forma que solo los equipos autorizados a través
de algún método de autenticación puedan acceder a sus redes correspondientes.
b) Los mecanismos de control de accesos a las redes contemplarán verificación de
dirección de origen y destino y listas de control de acceso.
3.3.10.12. Control de acceso al sistema operativo.
a) Se deberá verificar los usuarios autorizados, según la política de control de acceso
establecida en 3.3.10.2.9.
b) Se establece que luego de 5 intentos de sesión fallidos el usuario será notificado y su
cuenta bloqueada, para lo cual se deberá proveer un servicio de notificaciones a
través de correo electrónico al usuario y al responsable de seguridad.
c) Se restringirá el acceso a los usuarios.
Identificación y autenticación de usuario.
a) Durante la conexión se deberá mantener en secreto los identificadores de sistemas y
aplicaciones existentes, solo divulgándolos luego del inicio de sesión.
b) Se deberá deshabilitar todo mensaje de ayuda durante la conexión.
c) Se deberá establecer un registro de intentos fallidos de conexión, para su revisión
mensual y tomar las medidas correctivas con el o los usuarios.
d) Las reglas de creación de usuarios deben considerar el ID de usuario no podrá brindar
ningún indicio del nivel de privilegio otorgado.
81
Sistema de gestión de contraseñas.
Este sistema dispondrá de una gestión centralizada. Se permitirá que los usuario elijan y
cambien sus propias contraseñas y ajustándose a los puntos de 3.3.10.2.10
Uso de los recursos del sistema.
Todos los recursos del sistema estarán limitados solo a los necesarios para la ejecución de
actividades de labores del personal de acuerdo las funciones del departamento y serán
habilitadas mediante petición por escrito de los jefes y directores.
Desconexión automática de sesión.
Las estaciones de trabajo se deberán proteger con la desconexión luego de un periodo de
inactividad los cuales se encuentran establecidos 3.3.10.2.11.
Limitación del tiempo de conexión.
a) Se limitaran los tiempos de conexión al horario normal de oficina.
b) Se justificara el cambio de esta política solo por cuestiones operativas o actividades
críticas, solicitadas por los directores y jefes departamentales.
3.3.10.13. Tratamiento correcto de las aplicaciones.
Validación de datos de entrada.
Políticas.
Toda aplicación deberá tener controles sobre los siguientes aspectos:
a) Validación de tipos de datos y caracteres ingresados.
b) Control de entradas centralizadas, inhibiendo las existencias de backdoors.
c) Control de rango posibles y su validez, según criterios establecidos en la adquisición
de la aplicación.
82
d) El director del departamento de tecnologías de la información y el jefe del
departamento deberían establecer responsabilidades sobre el ingreso y modificación
de la información en la aplicación de forma de quien ingrese o modifique un dato
quede registrado en el módulo de auditoria que debe poseer la aplicación.
e) Para aplicaciones en plataformas de internet y, establecer procedimientos para que la
validación de los datos ingresados se haga del lado del servidor
Procesamiento Interno.
Políticas.
a) En la etapa de diseño se deberán implementar controles para la validación, con el fin
de minimizar los riesgos por fallas de procesamiento o manejo de errores.
b) Se deberá incorporar controles para detención y reanudación del procesamiento ante
una falla, así como la generación de alertas para detectar cualquier anomalía en la
ejecución de las transacciones.
c) Se deberá realizar una revisión periódica de los registros de auditoria.
3.3.10.14. Controles criptográficos.
Uso de controles criptográficos.
Políticas.
a) El director de Tecnologías de la información deberá establecer que herramienta
utilizar para el cifrado de información confidencial o clasificada y deberá realizar su
adquisición o configurar alguna herramienta opensource como Albalia o Crytool
b) Se debe incorporar controles criptográficos para la protección de claves de accesos
sistemas, datos y servicios, transmisión de información clasificada fuera del ámbito
de la U.T.B., para los casos de aplicaciones incorporar la firma digital.
83
Gestión de claves.
a) A fin de reducir la probabilidad de compromiso, las claves solo podrán ser utilizadas
de un lapso establecido.
b) Se deberá tener en cuenta la protección de clave pública, implementándose, para tal
efecto, el empleo de certificados de clave pública.
3.3.10.15. Seguridad en los archivos del sistema.
Control de acceso al código fuente de los programas.
a) El departamento de tecnologías de la información administrara las bibliotecas de
programas proporcionando al personal de desarrollo los programas fuentes mediante
procedimiento formal, para mantener un registro actualizado de todas las fuentes y
rutinas ejecutables en uso indicando el nombre del programa, programador,
responsable que autorizó, versión, fecha de modificación y fecha y hora de
compilación y estado.
3.3.10.16. Seguridad en los procesos de desarrollo y soporte.
Procedimiento de control de cambios.
a) Con el fin de mantener la integridad de los sistemas informáticos, se establecerá un
estricto control de cambios, imponiendo el cumplimiento de procedimientos de
seguridad.
b) Verificar que haya autorización por parte del responsable del sistema, se
determinaran aspectos de seguridad requeridos para el cambio.
c) Se deberá proveer a los desarrolladores para que efectúen el cambio de un ambiente
desarrollo para pruebas.
d) Luego del testeo de los cambios realizados de deberá tener la aprobación del usuario
final por escrito, así como también proceder a cambiar toda la documentación técnica
manual de usuario etc.
84
e) El procedimiento de paso a ambiente de producción deberá tener controles que
permitan minimizar la discontinuidad de las actividades la alteración de procesos
involucrados.
Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo.
Políticas.
a) Cuando se realice un cambio en los sistemas operativos de los servidores y puestos
de trabajo se requiere una revisión de los sistemas y aplicativos instalados para evitar
impactos en su desempeño y la gestión operativa.
b) Se informara con anticipación a los usuarios alcanzados por los cambios a
implementar en los sistemas operativos.
c) Se deberá asegurar la actualización del plan de continuidad de las actividades de la
U.T.B. cuando corresponda.
3.3.10.17. Gestión de la continuidad del negocio
Inclusión de la seguridad de la información en el proceso de gestión de continuidad del
negocio.
a) Los responsables del Departamento de Tecnologías de la información y de la
seguridad de la información se encargaran de informar sobre la gestión de las
operaciones de continuidad y contingencia frente a interrupciones previstas.
b) La gestión de continuidad del negocio del departamento de tecnologías de la
información de la Universidad Técnica de Babahoyo se deberá realizar las siguientes
tareas.
Identificación de los procesos y activos de información del Departamento de
Tecnologías de la Información.
85
Elaborar planes de continuidad y contingencia sobre la gestión del Departamento
de Tecnologías de la Información donde se deberán identificar los responsables
primarios pertinentes, incluyendo concientización a los usuarios. El plan se
encuentra desarrollado y es detallado en el Anexo 16.
Elaborar un cronograma de pruebas periódicas de cada uno de los planes de
contingencia y continuidad, proponiendo una asignación de funciones para su
cumplimiento.
Actualización periódica de los planes y procesos implementados.
Marco de Referencia para la planificación de la continuación del negocio.
Políticas.
a) Se pueden definir varios planes de continuidad, pero se mantendrá un marco de
referencia de manera que frente a un evento debe existir una adecuada coordinación
entre las Áreas de Tecnologías de la información y además permita identificar las
prioridades y líneas de acción.
La planificación deberá considerar los siguientes puntos:
Prever los requerimientos que permitan describir el proceso a seguir antes de
poner en marcha el plan por ejemplo:
Como evaluar el plan.
Las personas involucradas.
Los recursos con que se cuentan.
b) Se deberán definir procedimientos para implementar las acciones de emergencia una
vez que ocurra un incidente donde estén en riesgo continuidad del departamento de
tecnologías de la información o vida humana, por lo tanto se debe realizar vínculos
con las instituciones como: policía, bomberos.
c) Establecer los procedimientos que describan las acciones de recuperación a
emprender en los sitios de procesamiento de Tecnologías de la Información.
86
d) Realizar un cronograma de mantenimiento y mejora del plan.
e) Establecer responsabilidades de las personas involucradas en el plan donde se
establecerán las siguientes funciones.
Definir los administradores de los planes.
Describir a los responsables de la ejecución de cada una de los componentes del
plan.
Efectuar actividades de capacitación al personal involucrado, para propiciar la
comprensión de los procesos de continuidad.
Se deberá tener el apoyo de medios magnéticos o en forma documental todas las
operaciones necesarias para reconstruir el plan.
3.3.11 Presupuesto de implementación de políticas de seguridad.
HERRAMIENTA, APLICACIÓN O S.O. COSTOAcceso a través de Credencial al Data center 3,000.00Papel y cofee break para socialización de las políticas 1,000.00Licencia de uso de Sophos UTM 8,000.00Certificado digital ssl por 3 años 2048 bits de cifrado 477.00Software de cifrado de información 300.00Licencia de Windows server 2012 R2 Enterpriseedition
1,200.00
Costo de Capacitación Empleados de Tecnologías enTecnología Open Source
3,000.00
Configuración y personalización de los SistemasOperativos Opensource
3,000.00
TOTAL 19,977.00
Existen otras herramientas a utilizar durante la implementación de las políticas de seguridad
que son opensource por lo tanto su costo no es considerado.
3.3.12 Pruebas de Validación.
Luego de la implementación del Plan de Seguridad Informática para el departamento de
tecnologías de la Información se realizó una auditoría informática basada en los dominios,
objetivos y controles implementados de la Norma ISO 27002 que se encuentra expuesta de
87
forma ampliada en el Anexo 18, donde se constata que el Plan de Seguridad satisface las
metas planteadas obteniendo una mejora significativa en la integridad, confidencialidad y
disponibilidad de la información.
CONCLUSIONES GENERALES.
Como resultado del desarrollo del presente proyecto se han obtenido las siguientes
conclusiones.
La información es uno de los activos más importantes de las organizaciones, la cual
debe asegurarse tomando una guía para poder implementar controles para su correcta
gestión.
El plan de seguridad informática aplica las normativas vigentes del país y órganos
de control.
El plan de seguridad Informática al tomar como referencia las Normas ISO, se vuelve
una guía para las instituciones que deseen arrancar en el proceso de certificarse en
esta norma.
El Plan de seguridad informática es importante que el inicio se lo realice con un
análisis de la norma ISO 27001 ya que en esta se encuentran los parámetros generales
de los documentos y pasos a seguir para poder realizar un sistema de gestión de
seguridad de la información.
La Norma ISO 27005 es fundamental ya que se encuentra la explicación de la
metodología para realizar la valoración de activos como el análisis de riesgo, y un
listado de las amenazas a las cuales están expuestas los equipos informáticos.
En el proceso de incorporación de controles en el plan de seguridad se debe tomar
en cuenta la norma ISO 27002 la cual se establecen los controles para el
aseguramiento de las diferentes áreas y equipos de las empresas.
88
En la implementación del plan de seguridad informática es necesario que el equipo
de trabajo se comprometa con la implementación de las políticas, ya que son la base
para obtener una mejora significativa en la integridad, confidencialidad y
disponibilidad en la información y los servicios.
Las políticas de seguridad informática realizadas para el caso de estudio establecen
un avance en cuanto a la gestión de la seguridad del departamento de Tecnologías de
la información, ya que realiza una gran reducción de riesgos y vulnerabilidades.
RECOMENDACIONES.
Para una implementación exitosa del plan de seguridad informática un factor a contemplar
es tener el apoyo de la alta gerencia el cual debe conocer y establecer que la seguridad de
los servicios y la información que generan es fundamental hoy en día.
Antes de la elaboración del plan de seguridad se debe definir en el caso de las instituciones
públicas, que normas rigen la gestión informática para que sean consideradas en el
desarrollo.
Para la certificación de una Institución Pública o Privada en ISO se debe tomar en cuenta la
norma ISO 27006 ya que en esta se encuentran los requisitos para acreditación de entidades
y certificación de sistemas de gestión de la seguridad de la información.
Previamente a la implementación de este plan de seguridad en sus instituciones realizar un
levantamiento del estado inicial de la seguridad o Auditoría Informática para establecer que
controles son necesarios.
En la valoración de los activos se debe realizar previamente un estudio y análisis del cálculo
que propone la norma para realizarla de forma correcta y el plan de seguridad alcance el
éxito deseado, de otra forma se puede realizar erróneamente este proceso.
En la aplicación de controles de las normas ISO 27002 se recomienda contar con un
presupuesto base para la implementación de controles ya que alguno de estos controles
89
demandan un costo elevado en el caso de no contar con la infraestructura o equipos
necesarios.
En la implementación del plan de seguridad se debe capacitar al equipo de trabajo en la
importancia de aplicar las políticas de seguridad informáticas y las consecuencias que puede
ocasionar la no aplicación de las mismas.
Una vez cumplida la implementación de las políticas de seguridad informáticas para el caso
de estudio se debe realizar una auditoría de las políticas de seguridad para verificar el grado
de cumplimiento y así establecer el grado de reducción de riesgos en el departamento de
tecnologías de la información.
90
BIBLIOGRAFÍA.
AMUTIO, A. (2013). MAGERIT versión 3.0 Metodología de Análisis y gestión de
Riesgo de los Sistemas de Información: España. Ministerio de Hacienda y
administración Pública.
BERNARD, P. (2011): Foundations of ITIL®. Ed. Van Haren Publishing.
CHIAVENATO I. (2004). Introducción a la Teoría General de la Administración,
Interamericana: McGraw-Hill.
DÍAZ, G., ALZÓRRIZ, I., & Castro, M. (2014).Procesos y Herramientas para la
seguridad de redes. España: Publicaciones UNED.
DÍAZ, G., ALZÓRRIZ, I., & Castro, M. (2014).Procesos y Herramientas para la
seguridad de redes. España: Publicaciones UNED.
ESCRIVÁ,G.,ROMERO,D.,&Ramada,D.(2011).SeguridadInformática.España:Ma
cMillan Iberia S.A.
FERNÁNDEZ, C., &PIATTINI, M. (2012).Modelo para el Gobierno de las TIC
basado en las normas ISO. España: AENOR.
GÓMEZ, L., & ÁLVAREZ A.(2012).guía de aplicación de la norma UNE-
ISO/IEC 27001 sobre seguridad en sistemas de información para pymes: España:
AENOR.
HELAT, A. (2003): Remembrance of Data Passed: A Study of Disk Sanization
Practices: IEEE Security & Privacy: IEEE Computer Society.
Information Systems Audit and Control Association. (2013).COBIT el Gobierno y
la Gestión de las TI de la Empresa. Argentina.
Instituto argentino de Normalización. (2010).Que es una norma. Recuperada de
http://www.iram.org.ar/index.php?IDM=7.
91
Organización para la Cooperación y el Desarrollo Económicos.2002.Lineamientos
para la Seguridad de Sistemas de Información y Redes: “hacia una Cultura de
Seguridad. Francia.
ROA, J. (2013).Seguridad Informática. España: McGraw-Hill.
ROJAS, S., E.(2009).Trabajo de auditoria normas ,E libro.
Sitio Oficial de ipyme (2009).Plan de Empresa recuperado de
http://planempresa.ipyme.org/
Sitio Oficial de ITIL. (2012). El estándar ITIL. Recuperado http://www.itil-
officialsite.com/.
Sitio Oficial de la Contraloría general del estado de Ecuador. (2009).Normas de
Control Interno recuperado http://www.contraloria.gob.ec/normatividad.asp.
Sitio Oficial de Planificación del Ecuador. (2013).Esquema Gubernamental de la
seguridad de la información. Recuperado de http://www.planificacion.gob.ec/wp-
content/uploads/downloads/2013/12/Esquema-Gubernamental-de-Seguridades-de-
la-Informaci%C3%B3n.pdf.
92
ANEXOS
ANEXO 1 ENTREVISTAS.
Entrevista al Director del Departamento de Tecnologías de la Información y
Comunicación.
¿Dentro de la Dirección del Centro de Cómputo existen misión, visión y objetivos
claramente definidos y socializados?
¿Se realiza un presupuesto y se lo asigna a la unidad informática?
¿Con qué tipo de seguridades Lógicas y Físicas cuenta la información de la U.T.B.?
¿Existe personal suficiente con conocimientos y experiencia para realizar las
actividades dentro de esta área?
¿Existe capacitación a los usuarios de los sistemas informáticos?
¿Existe manuales de políticas y procedimientos para el personal que labora dentro de
esta área y la demás áreas de la U.T.B.?
¿Existe una planificación de mantenimiento de software y hardware?
¿Qué piensa del funcionamiento de los sistemas informáticos?
¿Con qué tipo de seguridad física se cuenta en las oficinas de la U.T.B.?
¿Existen planes de contingencia para el área informática?
¿Cuáles son las políticas del departamento de tecnología y como se las comunica a
los demás departamentos?
¿Qué estándares se utilizan para la programación del software, normas de nomenclatura;
formatos de archivos, estándares de diseño para esquemas y diccionario de datos;
estándares para desarrollo y pruebas; validación contra requerimientos; planes de pruebas;
y pruebas unitarias, de regresión y de integración?
¿Cuáles son los riesgos que ha identificado y como se los mitiga?
¿Cómo se realiza la adquisición de la infraestructura tecnológica?
¿Cómo se garantiza la continuidad de los servicios y existen planes de mitigación?
¿Considera Ud. Qué existen las seguridades físicas adecuadas dentro del Centro de
Cómputo, tales como: extintores, salidas de emergencia, aire acondicionado, etc?
Entrevista a los empleados del Departamento de Tecnologías de Información y
Comunicación.
¿Existen planes de contingencia ante desastres dentro del Centro de Cómputo?
¿Existe planes de mantenimiento de equipo dentro del Centro de Cómputo?
¿Con que período de tiempo se lo realiza?
¿Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de
cómputo?
¿Considera Ud. Qué existe el compromiso de los usuarios para cuidar los recursos
Informáticos al momento de utilizarlos?
¿Considera Ud. Qué existen las medidas de seguridad adecuadas para evitar la pérdida
o sustracción de los recursos informáticos?
Existe dentro del departamento medidas de seguridad en caso de incendio como:
Extintores?
¿Mantiene bajo llave sus documentos como claves y manuales de software y servicios de
la U.T.B:?
¿Considera usted que esta correcta la asignación de contraseñas a los equipos de los
empleados de los diferentes departamentos?
Considera usted que el tiempo de respuesta frente algún inconvenientes en los equipos es el
adecuado.
Considera usted que los controles que se realizan en la red son los adecuados para mitigar
cualquier riesgo.
Cree usted que existe un adecuado control de los cambios que se realizan en los sistemas y
demás servicios de la U.T.B.
ANEXO 2
Tabla 3.1 Base para la valoración de Activos.
Fuente: ISO 27005.
INCUMPLIMIENTO DE LA LEGISLACIÓN O REGLAMENTACION
DETERIORO DE DESEMPEÑO DEL NEGOCIO
PERDIDA DEL NOMBRE /EFECTO NEGATIVO EN LA REPUTACIÓN
BRECHAS ASOCIADAS CON LA INFORMACIÓN PERSONAL
EFECTOS ADVERSOS EN EL CUMPLIMIENTO DE LA LEY
BRECHAS EN LA CONFIDENCIALIDAD
PERDIDA FINANCIERA
ALTERACION EN LAS ACTIVIDADES DEL NEGOCIO
HACER PELIGRAR SEGURIDAD AMBIENTAL
INTERRUCION DE SERVICIOS
INCAPACIDAD PARA PRESTAR EL SERVICIO
PERDIDA DE CONFIANZA DEL CLIENT
PERDIDA DE CREDIBILIAD EN EL SISTEMA DE INFORMACIÓN INTERNO
DAÑO EN LA REPUTACIÓN
ALTERACION DE LA OPERACIÓN INTERNA
ALTERACION EN LA PROPIA ORGANIZACIÓN
COSTO INTERNO ADICIONAL
ALTERACION EN LA OPERACIÓN DE UNA TERCERA PARTE
ALTERACIÓN DE LA TERCERAS PARTES QUE TIENE TRANSACCIONES CON LAORGANIZACIÓNDIVERSOS TIPOS DE AGRAVIOS
CONTRAVESIONES DE LEYES Y REGLAMENTOS
INCAPACIDAD PARA CUMPLIR LAS OBLIGACIONES LEGALES
INCUMPLIMIENTO DE CONTRATO
INCAPACIDAD PARA CUMPLIR LAS OBLIGACIONES CONTRACTUALES
PELIGRO AREA EL PERSONAL DE LA ORGANIZACIÓN
ATAQUE A LA VIDA PRIVADA DE LOS USUARIOS
PERDIDAS FINACIERA
COSTO FINANCIERO PARA EMERGENCIAS O REPARACIONES
EN TERMINOS DEL PERSONA
EN TERMINOS DEL EQUIPO
EN TERMINOS DE ESTUDIOS , INFORMES DE EXPERTOS
PERDIDAD DE MERCANCIAS /FONDOS /ACTIVOS
PREDIDA DE CLIENTES, PERDIDA DE PROVEEDORES
PROCESOS JUDICIALES Y CASTIGOS.
PERDIDA DE UNA VENTAJA COMPETITIVA
PERDIDA DE LIDERAZGO TECNOLOGICO / TECNICO
PERDIDA DE EFICACIA/CONFIANZA
PERDIDA DE REPUTACIÓN TECNICA
DEBILIDAD EN LA CAPACIDAD DE NEGOCIACIÓN
CRISIS INDUSTRIAL
CRISIS DE GOBIERNO
DESPIDOS
DAÑOS MATERIALES
ANEXO 3
Tabla 3.2 Identificación de amenazas, vulnerabilidades
Fuente: ISO 27005
Tipos Ejemplos de vulnerabilidades Ejemplos de amenazas
Hardware Mantenimiento insuficiente/instalación fallida de los medios dealmacenamiento.
Incumplimiento en el mantenimientodel sistema de información
Falta de esquemas de reemplazo periódico. Susceptibilidad a lahumedad, el polvo y la suciedad
Destrucción del equipo o los medios. Polvo,corrosión, congelamiento
Sensibilidad a la radiación electromagnética Radiación electromagnética
Falta de control de cambio con configuración eficiente Error en el uso
Susceptibilidad a las variaciones de tensión Pérdida del suministro de energía
Susceptibilidad a las variaciones de temperatura Fenómenos meteorológicos
Almacenamiento sin protección Hurto de medios o documentos
Falta de cuidado en la disposición final Hurto de medios o documentos
Copia no controlada Hurto de medios o documentos
Software Falta o insuficiencia de la prueba del software Abuso de los derechos
Defectos bien conocidos en el software Abuso de los derechos
Falta de "terminación de la sesión" cuando se abandona la estaciónde trabajo
Abuso de los derechos
Disposición o reutilización de los medios de almacenamiento sinborrado adecuado
Abuso de los derechos
Falta de pruebas de auditoría Abuso de los derechos
Distribución errada de los derechos de acceso Abuso de los derechos
Software de distribución amplia Corrupción de datos
Utilización de los programas de aplicación a los datos errados entérminos de tiempo
Corrupción de datos
Interfase de usuario complicada Error en el uso
Falta de documentación Error en el uso
Configuración incorrecta de parámetros Error en el uso
Fechas incorrectas Error en el uso
Falta de mecanismos de identificación y autentificación, como laautentificación de usuario
Falsificación de derechos
Software Tablas de contraseñas sin protección Falsificación de derechos
Gestión deficiente de las contraseñas Falsificación de derechos
Habilitación de servicios innecesarios Procesamiento ilegal de datos
Software nuevo o inmaduro Mal funcionamiento del software
Especificaciones incompletas o no claras para losdesarrolladores
Mal funcionamiento del software
Falta de control eficaz del cambio Mal funcionamiento del software
Descarga y uso no controlados de software Manipulación con software
Falta de copias de respaldo Manipulación con software
Falta de protección física de las puertas y ventanas de laedificación
Hurto de medios o documentos
Falla en la producción de informes de gestión Uso no autorizado del equipo
Red Falta de prueba del envío o la recepción de mensajes Negación de acciones
Líneas de comunicación sin protección Escucha subrepticia
Tráfico sensible sin protección Escucha subrepticia
Conexión deficiente de los cables. Falla del equipo de telecomunicaciones
Punto único de falla Falla del equipo de telecomunicaciones
Falta de identificación y autentificación de emisor y receptor Falsificación de derechos
Arquitectura insegura de la red Espionaje remoto
Transferencia de contraseñas autorizadas Espionaje remoto
Gestión inadecuada de la red (capacidad de recuperación delenrutamiento)
Saturación del sistema de información
Conexiones de red pública sin protección Uso no autorizado del equipo
Personal Ausencia del personal Incumplimiento en la disponibilidaddel personal
Procedimientos inadecuados de contratación Destrucción de equipos o medios
Entrenamiento insuficiente en seguridad Error en el uso
Uso incorrecto de software y hardware Error en el uso
Falta de conciencia acerca de la seguridad Error en el uso
Falta de mecanismos de monitoreo Procesamiento ilegal de los datos
Trabajo no supervisado del personal externo o de limpieza Hurto de medios o documentos
Falta de políticas para el uso correcto de los medios detelecomunicaciones y mensajería
Uso no autorizado del equipo
Lugar Uso inadecuado o descuidado del control de acceso físico a lasedificaciones y los recintos
Destrucción de equipo o medios
Ubicación en un área susceptible de inundación Inundación
Red energética inestable Pérdida del suministro de energía
Falta de protección física de las puertas y ventanas de laedificación
Hurto de equipo
Organización Falta de procedimiento formal para el registro y retiro del registrode usuario
Abuso de los derechos
Falta de proceso formal para la revisión Abuso de los derechos
(supervisión) de los derechos de acceso
Falta o insuficiencia de disposiciones (con respecto a la seguridad)en los contratos con los clientes y/o terceras partes
Abuso de los derechos
Falta de procedimiento de monitoreo de los recursos deprocesamiento información
Abuso de los derechos
Falta de auditorías (supervisiones) regulares Abuso de los derechos
Falta de procedimientos de identificación y evaluación deriesgos
Abuso de los derechos
Falta de reportes sobre fallas incluidos en los registros deadministradores y operador
Abuso de los derechos
Respuesta inadecuada de mantenimiento del servicio Incumplimiento en el mantenimientodel sistema de información
Falta o insuficiencia en el acuerdo a nivel de servicio Incumplimiento en el mantenimientodel sistema de información
Falta de procedimiento de control de cambios Incumplimiento en el mantenimientodel sistema de información
Falta de procedimiento formal para el control de la documentacióndel SGSI
Corrupción de datos
Falta de procedimiento formal para la supervisión delregistro del SGSI
Corrupción de datos
Falta de procedimiento formal para la autorización de lainformación disponible al público
Datos provenientes de fuentes no confiables
Falta de asignación adecuada de responsabilidades en la seguridadde la información
Negación de acciones
Falta de planes de continuidad Falla del equipo
Falta de políticas sobre el uso del correo electrónico Error en el uso
Falta de procedimientos para la introducción del software en lossistemas operativos
Error en el uso
Falta de registros en las bitácoras*(logs) de administrador yoperario.
Error en el uso
Falta de procedimientos para el manejo de informaciónclasificada
Error en el uso
Falta de responsabilidades en la seguridad de la información enla descripción de los cargos
Error en el uso
Falta o insuficiencia en las disposiciones (con respecto a laseguridad de la información) en los contratos con los empleados
Procesamiento ilegal de datos
Falta de política formal sobre la utilización de computadoresportátiles
Hurto de equipo
Falta de control de los activos que se encuentran fuera delas instalaciones
Hurto de equipo
Falta o insuficiencia de política sobre limpieza de escritorio y depantalla
Hurto de medios o documentos
Falta de autorización de los recursos de procesamiento de lainformación
Hurto de medios o documentos
Falta de mecanismos de monitoreo establecidos para lasbrechas en la seguridad
Hurto de medios o documentos
Falta de revisiones regulares por parte de la gerencia Uso no autorizado del equipo
Falta de procedimientos para la presentación de informes sobre lasdebilidades en la seguridad
Uso no autorizado del equipo
Falta de procedimientos del cumplimiento de las disposicionescon los derechos intelectuales
Uso de software falso o copiado
ANEXO 4
Tabla 3.3 Activos del departamento de Tecnologías de la Información.
Fuente: Elaborado por el Autor
ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN
UTM SOPHOS REDES Y TELECOMUNICACIONES
SWICH REDES Y TELECOMUNICACIONES
TRANSEIVER REDES Y TELECOMUNICACIONES
FIBRA OPTICA REDES Y TELECOMUNICACIONES
ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES
ROUTERS REDES Y TELECOMUNICACIONES
ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES
ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES
CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES
SERVIDOR MANTENIMIENTO Y SOPORTE
PORTATIL MANTENIMIENTO Y SOPORTE
EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE
INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE
CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE
DISCOS DUROS EXTERNOS MANTENIMIENTO Y SOPORTE
DISCOS DUROS DE SERVIDORES MANTENIMIENTO Y SOPORTE
UPS MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO WINDOWS SERVER MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO LINUX CENTOS MANTENIMIENTO Y SOPORTE
ANTIVIRUS MANTENIMIENTO Y SOPORTE
CORREO ELECTRONICO DESARROLLO
DSPACE DESARROLLO
MOODLE DESARROLLO
WEB SITE DESARROLLO
ERP DESARROLLO
EKUBIBLIO DESARROLLO
SEGUIMIENTO GRADUADOS DESARROLLO
HELPDESK DESARROLLO
OLIMPO INVENTARIOS Y ACTIVOS FIJOS DESARROLLO
SEGUIMIENTOS DE DOCUMENTOS DESARROLLO
URKUND DESARROLLO
ACTIVOS DE INFORMACIÓN
LICENCIA DE USO DE UTM SOPHOS REDES Y TELECOMUNICACIONES
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2 MANTENIMIENTO Y SOPORTE
GARANTIAS DE SERVIDORES MANTENIMIENTO Y SOPORTE
GARANTIAS DE ROUTER Y SWICH CISCO REDES Y TELECOMUNICACIONES
GARANTIAS DE SWICH HP REDES Y TELECOMUNICACIONES
ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES
DESARROLLADOR DESARROLLO
TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTE
ANEXO 5
Tabla 3.4 Tabla para valoración de Activos.
Fuente: ISO 27005
PARAMETROS/VALORACION DEPENDENCIA FUNCIONALIDAD INTEGRIDAD ,CONFIDENCIALIDAD YDISPONIBILIDAD
1 MUY BAJONingún otro activodepende de este para laentrega de servicios
Activo concapacidadestecnológicas muylimitadas
La divulgación, modificación yno disponibilidad de su archivode configuración puedeafectar de forma insignificantela entrega de servicios
2 BAJOPocos activos dependende este para la entregade servicios
Activo concapacidadestecnológicaslimitadas
La divulgación, modificacióny no disponibilidad de suarchivo de configuraciónpodría afectar en parte laentrega de servicios
3 MEDIO
Una mínima cantidad deactivos dependen deeste para la entrega deservicios
Activo concapacidadestecnológicasavanzadas
La divulgación, modificacióny no disponibilidad de suarchivo de configuraciónpodría afectarsignificativamente laentrega de servicios
4 ALTO
Un número considerablede activos dependen deéste para la entrega deservicios
Activo concapacidades
tecnológicas muyavanzadas.
La divulgación, modificacióny no disponibilidad de suarchivo de configuración
podría afectar gravementela entrega de servicios.
5 CRITICOTodos los activosdependen de éstepara la entrega deservicios
Activo concapacidadestecnológicas deúltima generación
La divulgación, modificacióny no disponibilidad de suarchivo de configuraciónpodría afectar totalmente laentrega de servicios
ANEXO 6
Tabla 3.5 Tabla de valoración de Activos.
Fuente: elaborado por el autor
ACTIVOS DE SOPORTE Funciones CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
PROMEDIO
UTM SOPHOS Core núcleo de la red recibe lasconexiones de internet de losproveedores y controla lasconexiones hacia todas lasinstalaciones de la UTB
5 4 5 5
SWICH controla conectividades hacia losequipos de los empleados ylaboratorios si existe una falla sepuede cambiar pero se pierde elservicio
2 4 2 3
TRANSEIVER realiza funciones de recepción deuna comunicación, que permite unprocesamiento para también realizarla Transmisión de esta información
2 2 5 3
FIBRA OPTICA provee la conexión de servicios deinternet de los proveedores y hacialas diferentes dependencias de laUniversidad
2 3 5 3
ROUTER INALAMBRICO provee de servicios de internet alcampus universitario
4 5 5 5
ROUTERS poseen configuradas las redes de lasdiferentes dependencias y unidadesde la UTB
4 5 5 5
ARMARIO RACKEABLE mantiene organizado y estable todala parte física de la infraestructuratecnológica
2 2 2 2
ORGANIZADORES DE CABLE mantiene organizados los cables dela UTB identificados a quienes lesprovee conectividad
2 2 2 2
CABLEADO ESTRUCTURADO provee de conectividad a lasestaciones de trabajo y dispositivos
2 2 3 2
SERVIDOR contiene la configuración de lossoftware y servicios de laUniversidad y tienen alojada base dedatos
4 4 5 4
PORTATIL permite acceder a los servicios yacceso a las redes
5 5 4 5
EQUIPOS DE ESCRITORIO permite acceder a los servicios yacceso a las redes
5 5 4 5
INSTALACION ELECTRICA da energía a todos los equipos de launiversidad
2 2 5 3
CENTRAL DE AIRE mantiene en clima apropiado a losdispositivos del data center paraevitar daños por calentamiento
2 2 5 3
DISCOS DUROS EXTERNOS permite almacenar información 5 4 5 5
DISCOS DUROS DE SERVIDORES mantiene la información de laconfiguración e información de lossoftware de la universidad
4 3 5 4
UPS mantiene energía de reserva hastapor seis hora en caso de fallaseléctricas
2 2 5 3
SISTEMA OPERATIVO WINDOWSSERVER
permite ejecutar las aplicaciones yaccesos a los equipos de escritorio aestos servicios
4 4 5 4
SISTEMA OPERATIVO LINUX CENTOS permite ejecutar las aplicaciones yaccesos a los equipos de escritorio aestos servicios
4 4 5 4
ANTIVIRUS permite mantener alertas y limpiezade amenazas en los equipos deescritorio
2 2 2 2
CORREO ELECTRONICO permite enviar y recibir correoelectrónico
2 2 2 2
DSPACE repositorio de documentos y tesis dela universidad
4 4 5 4
MOODLE Entorno virtual de aprendizaje 4 4 5 4
WEB SITE espacio de información a lacomunidad universitaria hacia elpúblico en general
4 5 4 4
ERP aplicación para dar seguimiento aplan de mejoras de la universidad yplan de desarrollo institucional
3 4 5 4
EKUBIBLIO aplicación para el manejo de labibliotecas de la Universidad
3 3 5 4
SEGUIMIENTO GRADUADOS aplicación para la gestión yrealización de encuestas a losgraduados de la universidad
2 2 3 2
HELPDESK aplicación de soporte a los usuariosde la universidad se atiende todoslos requerimientos al departamentode sistemas
4 4 5 4
OLIMPO INVENTARIOS Y ACTIVOSFIJOS
software que permite gestión detodos los activos de la Universidadasí como los egresos e ingresos
5 5 5 5
SEGUIMIENTOS DE DOCUMENTOS aplicación que permite gestionar elflujo de los procesos de laUniversidad
3 3 5 4
URKUND software anti plagio deinvestigaciones de la Universidad
2 2 2 2
ADMINISTRADOR DE RED persona que esta cargo y tieneconocimiento sobre la gestión yconfiguración de la red
5 4 5 5
DESARROLLADOR persona que realiza y actualiza lasaplicaciones de la Universidad
5 2 4 4
TECNICO DE SOPORTE persona que se encarga de darmantenimiento y soporte a las fallasde la infraestructura tecnológica
5 4 3 4
ACTIVOS DE INFORMACIÓN
LICENCIA DE USO DE UTM SOPHOS documento que otorga el serial parala activación del software del equipo
5 4 4 4
LICENCIA DE MICROSOFT WINDOWSSERVER 2008 R2
documento que otorga el serial parala activación del software del equipo
5 4 4 4
GARANTIAS DE SERVIDORES documento que establece criterios ytiempo de garantía de los equipos
5 4 4 4
GARANTIAS DE ROUTER Y SWICHCISCO
documento que establece criterios ytiempo de garantia de los equipos
5 4 4 4
GARANTIAS DE SWICH HP documento que establece criterios ytiempo de garantia de los equipos
5 4 4 4
ANEXO 7
Tabla 3.6 Probabilidad que ocurra la amenaza
Fuente: ISO 27005
PARAMETROS/VALORACION DESCRIPCIÓN
1 BAJO Amenazas cuya probabilidad deexplotar vulnerabilidades es muy baja.
2 MEDIO Amenazas que con poca frecuenciaexplotan vulnerabilidades.
3 ALTO Amenazas que frecuentementeexplotan vulnerabilidades.
ANEXO 8
Tabla 3.7 Calculo que ocurra la amenaza y facilidad con la que puede ocurrir sobre losactivos.
Fuente: elaborado por el autor.
ACTIVOS AMENAZAS VULNERABILIDAD PROBABILIDADOCURRA LAAMENZA
Facilidad deexplotación
UTM SOPHOS INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA BAJA
ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LACONFIGURACION
ALTA MEDIA
FALTA DE DOCUMENTACIÓN ALTA MEDIA
ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESIÓN BAJA BAJA
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DE SERVICIOSINNESESARIOS
ALTA ALTA
SWICH INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO,SUCEPTIBILIDAD AL POLVO LA HUMEDAD YSUCIEDAD
ALTA MEDIA
PERDIDA DESUMINISTRO DEENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DETENSIÓN
MEDIA BAJA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCION MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA MEDIA
TRANSEIVER INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO,SUCEPTIBILIDAD AL POLVO LA HUMEDAD YSUCIEDAD
ALTA MEDIA
PERDIDA DESUMINISTRO DEENERGÍA
SUSEPTIBILIDAD A LAS VARIACIONES DETENSIÓN
ALTA MEDIA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCION MEDIA BAJA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA BAJA
FIBRA OPTICA INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCION ALTA MEDIA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA ALTA
ROUTER INALAMBRICO INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCION MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA MEDIA
ESCUCHASUBRECEPTIVA
LINEAS DE COMUNICACIÓN SINPROTECCIÓN
ALTA ALTA
TRAFICO SENSIBLE SIN PROTECCIÓN ALTA MEDIA
FALSIFICACIÓN DEDERECHOS
FALTA DE DE IDENTIFICACIÓN YAUTENTICACIÓN DE EMISOR Y RECEPTOR
ALTA MEDIA
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED ALTA ALTA
NEGACIÓN DEACCIONES
FALTA DE PRUEBA DEL ENVÍO O LARECEPCIÓN DE MENSAJES
MEDIA MEDIA
USO NO AUTORIZADODEL EQUIPO
CONEXIONES DE RED PÚBLICA SINPROTECCIÓN
ALTA MEDIA
ROUTER INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA MEDIA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCION MEDIA ALTA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA MEDIA
ESCUCHASUBRECEPTIVA
LINEAS DE COMUNICACIÓN SINPROTECCIÓN
MEDIA BAJA
TRAFICO SENSIBLE SIN PROTECCIÓN ALTA ALTA
FALSIFICACIÓN DEDERECHOS
FALTA DE DE IDENTIFICAIÓN YAUTENTICACIÓN DE EMISOR Y RECEPTOR
MEDIA MEDIA
ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED MEDIA BAJA
NEGACIÓN DEACCIONES
FALTA DE PRUEBA DEL ENVÍO O LARECEPCIÓN DE MENSAJES
MEDIA MEDIA
USO NO AUTORIZADODEL EQUIPO
CONEXIONES DE RED PÚBLICA SINPROTECCIÓN
BAJA MEDIA
ARMARIO RACKEABLE INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE BAJA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO,SUCEPTIBILIDAD AL POLVO LA HUMEDAD YSUCIEDAD
BAJA BAJA
ORGANIZADORES DE CABLE INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE BAJA BAJA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO,SUCEPTIBILIDAD AL POLVO LA HUMEDAD YSUCIEDAD
BAJA MEDIA
CABLEADO ESTRUCTURADO INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE MEDIA ALTA
ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO,SUCEPTIBILIDAD AL POLVO LA HUMEDAD YSUCIEDAD
BAJA BAJA
SERVIDOR INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA MEDIA
ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LACONFIGURACION
ALTA ALTA
FALTA DE DOCUMENTACIÓN ALTA ALTA
ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESIÓN BAJA MEDIA
DISPOSICION O REUTILIZACIÓN DE LOSMEDIOS DE ALMACENAMIENTO SINBORRADO ADECUADO
MEDIA MEDIA
FALTA DE PRUEBAS DE AUDITORIA ALTA ALTA
PORTATIL INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA ALTA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCIÓN MEDIA MEDIA
EQUIPOS DE ESCRITORIO INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTO INSUFICIENTE ALTA ALTA
HURTO DE MEDIOS ODOCUMENTOS
COPIA NO CONTROLADA ALTA ALTA
ALMACENAMIENTO SIN PROTECCIÓN ALTA ALTA
ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LACONFIGURACION
MEDIA MEDIA
DISCOS DUROS EXTERNOS INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA ALTA
HURTO DE MEDIOS ODOCUMENTOS
ALMACENAMIENTO SIN PROTECCIÓN MEDIA MEDIA
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
BAJA BAJA
DISCOS DUROS DE SERVIDORES INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
ALTA MEDIA
HURTO DE MEDIOS ODOCUMENTOS
FALTA DE CUIDADO EN LA DISPOSICIÓNFINAL
MEDIA BAJA
UPS INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA ALTA
INSTALACION ELECTRICA INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA ALTA
CENTRAL DE AIRE INCUMPLIMIENTO ENEL MANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
MEDIA MEDIA
SISTEMA OPERATIVO WINDOWSSERVER
ABUSO DE DERECHOS FALTA DE PRUEBAS DE AUDITORÍA MEDIA MEDIA
DISTRIBUCIÓN ERRADA DE LOS DERECHOSDE ACCESO
MEDIA ALTA
ERROR DE USO FALTA DE DOCUMENTACIÓN DE LOSSERVICIOS
ALTA MEDIA
CONFIGURACIÓN INCORRECTA DEPARAMETROS
BAJA BAJA
FECHAS INCORRECTAS BAJA BAJA
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DE SERVICIOSINNESESARIOS
ALTA MEDIA
FALSIFICACION DEDERECHOS
GESTIÓN DEFICIENTE DE CONTRASEÑAS ALTA ALTA
MANIPULACION CONSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
USO NO AUTORIZADODEL EQUIPO
FALLA EN LA PRODUCCION DE INFORMESDE GESTIÓN
MEDIA MEDIA
SISTEMA OPERATIVO LINUXCENTOS
ABUSO DE DERECHOS FALTA DE PRUEBAS DE AUDITORÍA MEDIA MEDIA
DISTRIBUCIÓN ERRADA DE LOS DERECHOSDE ACCESO
ALTA MEDIA
ERROR DE USO FALTA DE DOCUMENTACIÓN DE LOSSERVICIOS
ALTA ALTA
CONFIGURACIÓN INCORRECTA DEPARAMETROS
MEDIA BAJA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCIÓN AMPLIA ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DE SERVICIOSINNESESARIOS
ALTA ALTA
FALSIFICACION DEDERECHOS
GESTIÓN DEFICIENTE DE CONTRASEÑAS MEDIA MEDIA
MANIPULACION CONSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
USO NO AUTORIZADODEL EQUIPO
FALLA EN LA PRODUCCION DE INFORMESDE GESTIÓN
MEDIA MEDIA
ANTIVIRUS MANIPULACION CONSOFTWARE
DESCARGA Y USO NO CONTROLADOS DESOFTWARE
BAJA BAJA
CORREOELECTRONICO(SOFTWARE)
ABUSO DE DERECHOS FALTA DE TERMINACION DELA SESIONCUANDO SE ABANDONA LA ESTACION DETRABAJO
MEDIA MEDIA
DSPACE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
MOODLE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
WEB SITE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
ERP(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
EKUBIBLIO(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
SEGUIMIENTOGRADUADOS(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
HELPDESK(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
CORRUCION DE DATOS SOFTWARE DE DISTRIBUCION AMPLIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA BAJA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA ALTA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
OLIMPO INVENTARIOS YACTIVOS FIJOS(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA MEDIA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA MEDIA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
SEGUIMIENTOS DEDOCUMENTOS(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DE AUDITORIA MEDIA MEDIA
ERROR EN EL USO CONFIGURACION INCORRECTA DEPARAMETROS
MEDIA MEDIA
FALSIFICACIÓN DEDERECHOS
GESTION DEFICIENTES DE LASCONTRASEÑAS
ALTA MEDIA
MAL FUNCIONAMIENTODEL SOFTWARE
FALTA DE CONTROL EFICAZ DEL CAMBIO ALTA ALTA
MANIPULACION DELSOFTWARE
FALTA DE COPIAS DE RESPALDO ALTA ALTA
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DE SERVICIOSINNESESARIOS
ALTA ALTA
URKUND(SOFTWARE) ABUSO DE DERECHOS FALTA DE TERMINACION DELA SESIONCUANDO SE ABANDONA LA ESTACION DETRABAJO
MEDIA MEDIA
ADMINISTRADOR DE RED INCUMPLIMIENTO ENLA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTOILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO BAJA BAJA
HURTO DE MEDIOS ODOCUMENTOS
TRABAJO NO SUPERVISADO DEL PERSONALEXTERNO
MEDIA MEDIA
USO NO AUTORIZADODEL EQUIPO
FALTA DE POLITICAS PARA EL USOCORRECTO DE LOS MEDIOS DECOMUNICACIÓN
ALTA ALTA
DESARROLLADOR INCUMPLIMIENTO ENLA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTOILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO BAJA BAJA
HURTO DE MEDIOS ODOCUMENTOS
TRABAJO NO SUPERVISADO DEL PERSONALEXTERNO
MEDIA MEDIA
USO NO AUTORIZADODEL EQUIPO
FALTA DE POLITICAS PARA EL USOCORRECTO DE LOS MEDIOS DECOMUNICACIÓN
ALTA ALTA
TECNICO DE SOPORTE INCUMPLIMIENTO ENLA DISPONIBILIDAD
AUSENCIA DEL PERSONAL MEDIA BAJA
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE Y SEGURIDAD
BAJA BAJA
PROCESAMIENTOILEGAL DE LOS DATOS
FALTE DE MECANISMO DE MONITOREO BAJA BAJA
HURTO DE MEDIOS ODOCUMENTOS
TRABAJO NO SUPERVISADO DEL PERSONALEXTERNO
MEDIA MEDIA
USO NO AUTORIZADODEL EQUIPO
FALTA DE POLITICAS PARA EL USOCORRECTO DE LOS MEDIOS DECOMUNICACIÓN
ALTA ALTA
LICENCIA DE USO DE UTMSOPHOS
HURTO DE MEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DE LADOCUMENTACIÓN
MEDIA MEDIA
LICENCIA DE MICROSOFTWINDOWS SERVER 2008 R2
HURTO DE MEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DE LADOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE SERVIDORES HURTO DE MEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DE LADOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE ROUTER Y SWICHCISCO
HURTO DE MEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DE LADOCUMENTACIÓN
MEDIA MEDIA
GARANTIAS DE SWICH HP HURTO DE MEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DE LADOCUMENTACIÓN
MEDIA MEDIA
ANEXO 9
Tabla 3.8 Tabla de Evaluación del Riesgo
Fuente: ISO 27005
Probabilidad deocurrencia -
AmenazaBaja Media Alta
Facilidad deexplotación
Baja Media Alta Baja Media Alta Baja Media Alta
VALORACIÓNDEL ACTIVO
1 0 1 2 1 2 3 2 3 42 1 2 3 2 3 4 3 4 53 2 3 4 3 4 5 4 5 64 3 4 5 4 5 6 5 6 75 4 5 6 5 6 7 6 7 8
ANEXO 10
Tabla 3.9 Calculo del Riesgo sobre los activos
Fuente: elaborado por el autor
ACTIVOS AMENAZAS VULNERABILIDAD V/ACTIVO
PROBABILIDAD Q OCURRALA AMENZA
Facilidaddeexplotación
RIESGO
UTM SOPHOS INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
5 MEDIA BAJA 5
ERROR DE USO FALTA DE CONTROL DECAMBIO EN LACONFIGURACION
5 ALTA MEDIA 7
FALTA DEDOCUMENTACIÓN
5 ALTA MEDIA 7
ABUSO DEDERECHOS
FALTA DE TERMINACIONDE LA SESIÓN
5 BAJA BAJA 4
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DESERVICIOS INNESESARIOS
5 ALTA ALTA 8
SWITCH INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
3 ALTA MEDIA 5
ERROR EN ELUSO
FALTA DE REEMPLAZOPERIODICO,SUCEPTIBILIDAD ALPOLVO LA HUMEDAD YSUCIEDAD
3 ALTA MEDIA
5
PERDIDA DESUMINISTRO DEENERGÍA
SUSEPTIBILIDAD A LASVARIACIONES DETENSIÓN
3 MEDIA BAJA 3
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCION
3 MEDIA ALTA 5
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
3 MEDIA MEDIA 4
TRANSEIVER INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
3 MEDIA BAJA 3
ERROR EN ELUSO
FALTA DE REEMPLAZOPERIODICO,SUCEPTIBILIDAD ALPOLVO LA HUMEDAD YSUCIEDAD
3 ALTA MEDIA 5
PERDIDA DESUMINISTRO DEENERGÍA
SUSEPTIBILIDAD A LASVARIACIONES DETENSIÓN
3 ALTA MEDIA 5
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCION
3 MEDIA BAJA 3
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
3 MEDIA BAJA 3
FIBRA OPTICA INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
3 ALTA MEDIA 5
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCION
3 ALTA MEDIA 5
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
3 MEDIA ALTA 5
ROUTER INALAMBRICO INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
5 ALTA MEDIA 7
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCION
5 MEDIA ALTA 7
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
5 MEDIA MEDIA 6
ESCUCHASUBRECEPTIVA
LINEAS DECOMUNICACIÓN SINPROTECCIÓN
5 ALTA ALTA 8
TRAFICO SENSIBLE SINPROTECCIÓN
5 ALTA MEDIA 7
FALSIFICACIÓNDE DERECHOS
FALTA DE DEIDENTIFICACIÓN YAUTENTICACIÓN DEEMISOR Y RECEPTOR
5 ALTA MEDIA 7
ESPIONAJEREMOTO
ARQUITECTURAINSEGURA DE LA RED
5 ALTA ALTA 8
NEGACIÓN DEACCIONES
FALTA DE PRUEBA DELENVÍO O LA RECEPCIÓNDE MENSAJES
5 MEDIA MEDIA 6
USO NOAUTORIZADODEL EQUIPO
CONEXIONES DE REDPÚBLICA SINPROTECCIÓN
5 ALTA MEDIA 7
ROUTER INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
5 MEDIA MEDIA 6
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCION
5 MEDIA ALTA 7
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
5 MEDIA MEDIA 6
ESCUCHASUBRECEPTIVA
LINEAS DECOMUNICACIÓN SINPROTECCIÓN
5 MEDIA BAJA 5
TRAFICO SENSIBLE SINPROTECCIÓN
5 ALTA ALTA 8
FALSIFICACIÓNDE DERECHOS
FALTA DE DEIDENTIFICAIÓN YAUTENTICACIÓN DEEMISOR Y RECEPTOR
5 MEDIA MEDIA 6
ESPIONAJEREMOTO
ARQUITECTURAINSEGURA DE LA RED
5 MEDIA BAJA 5
NEGACIÓN DEACCIONES
FALTA DE PRUEBA DELENVÍO O LA RECEPCIÓNDE MENSAJES
5 MEDIA MEDIA 6
USO NOAUTORIZADODEL EQUIPO
CONEXIONES DE REDPÚBLICA SINPROTECCIÓN
5 BAJA MEDIA 5
ARMARIO RACKEABLE INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
2 BAJA BAJA 1
ERROR EN ELUSO
FALTA DE REEMPLAZOPERIODICO,SUCEPTIBILIDAD ALPOLVO LA HUMEDAD YSUCIEDAD
2 BAJA BAJA 1
ORGANIZADORES DECABLE
INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
2 BAJA BAJA 1
ERROR EN ELUSO
FALTA DE REEMPLAZOPERIODICO,SUCEPTIBILIDAD ALPOLVO LA HUMEDAD YSUCIEDAD
2 BAJA MEDIA 2
CABLEADOESTRUCTURADO
INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
2 MEDIA ALTA 4
ERROR EN ELUSO
FALTA DE REEMPLAZOPERIODICO,SUCEPTIBILIDAD ALPOLVO LA HUMEDAD YSUCIEDAD
2 BAJA BAJA 1
SERVIDOR INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
5 ALTA MEDIA 7
ERROR DE USO FALTA DE CONTROL DECAMBIO EN LACONFIGURACION
5 ALTA ALTA 8
FALTA DEDOCUMENTACIÓN
5 ALTA ALTA 8
ABUSO DEDERECHOS
FALTA DE TERMINACIONDE LA SESIÓN
5 BAJA MEDIA 5
DISPOSICION OREUTILIZACIÓN DE LOSMEDIOS DEALMACENAMIENTO SINBORRADO ADECUADO
5 MEDIA MEDIA 6
FALTA DE PRUEBAS DEAUDITORIA
5 ALTA ALTA 8
PORTATIL INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE
5 ALTA ALTA 8
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCIÓN
5 MEDIA MEDIA 6
EQUIPOS DE ESCRITORIO INCUMPLIMIENTO EN EL
MANTENIMIENTOINSUFICIENTE
5 ALTA ALTA 8
MANTENIMIENTO
HURTO DEMEDIOS ODOCUMENTOS
COPIA NO CONTROLADA 5 ALTA ALTA 8
ALMACENAMIENTO SINPROTECCIÓN
5 ALTA ALTA 8
ERROR DE USO FALTA DE CONTROL DECAMBIO EN LACONFIGURACION
5 MEDIA MEDIA 6
DISCOS DUROSEXTERNOS
INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
5 MEDIA ALTA 7
HURTO DEMEDIOS ODOCUMENTOS
ALMACENAMIENTO SINPROTECCIÓN
5 MEDIA MEDIA 6
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
5 BAJA BAJA 4
DISCOS DUROS DESERVIDORES
INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
5 ALTA MEDIA 7
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE CUIDADO EN LADISPOSICIÓN FINAL
5 MEDIA BAJA 5
UPS INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA ALTA 5
INSTALACION ELECTRICA INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA ALTA 5
CENTRAL DE AIRE INCUMPLIMIENTO EN ELMANTENIMIENTO
MANTENIMIENTOINSUFICIENTE/INSTALACIÓN FALLIDA
3 MEDIA MEDIA 4
SISTEMA OPERATIVOWINDOWS SERVER
ABUSO DEDERECHOS
FALTA DE PRUEBAS DEAUDITORÍA
4 MEDIA MEDIA 5
DISTRIBUCIÓN ERRADADE LOS DERECHOS DEACCESO
4 MEDIA ALTA 6
ERROR DE USO FALTA DEDOCUMENTACIÓN DELOS SERVICIOS
4 ALTA MEDIA 6
CONFIGURACIÓNINCORRECTA DEPARAMETROS
4 BAJA BAJA 3
FECHAS INCORRECTAS 4 BAJA BAJA 3
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DESERVICIOS INNESESARIOS
4 ALTA MEDIA 6
FALSIFICACIONDE DERECHOS
GESTIÓN DEFICIENTE DECONTRASEÑAS
4 ALTA ALTA 7
MANIPULACIONCON SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
USO NOAUTORIZADODEL EQUIPO
FALLA EN LAPRODUCCION DEINFORMES DE GESTIÓN
4 MEDIA MEDIA 5
SISTEMA OPERATIVOLINUX CENTOS
ABUSO DEDERECHOS
FALTA DE PRUEBAS DEAUDITORÍA
4 MEDIA MEDIA 5
DISTRIBUCIÓN ERRADADE LOS DERECHOS DEACCESO
4 ALTA MEDIA 6
ERROR DE USO FALTA DEDOCUMENTACIÓN DELOS SERVICIOS
4 ALTA ALTA 7
CONFIGURACIÓNINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCIÓN AMPLIA
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACIÓN DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
FALSIFICACIONDE DERECHOS
GESTIÓN DEFICIENTE DECONTRASEÑAS
4 MEDIA MEDIA 5
MANIPULACIONCON SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
USO NOAUTORIZADODEL EQUIPO
FALLA EN LAPRODUCCION DEINFORMES DE GESTIÓN
4 MEDIA MEDIA 5
ANTIVIRUS MANIPULACIONCON SOFTWARE
DESCARGA Y USO NOCONTROLADOS DESOFTWARE
2 BAJA BAJA 1
CORREOELECTRONICO(SOFTWAR
E)
ABUSO DEDERECHOS
FALTA DE TERMINACIONDELA SESION CUANDO SEABANDONA LA ESTACIONDE TRABAJO
2 MEDIA MEDIA 2
DSPACE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
MOODLE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
WEB SITE(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
ERP(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
EKUBIBLIO(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
SEGUIMIENTOGRADUADOS(SOFTWARE
)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
HELPDESK(SOFTWARE) ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
CORRUCION DEDATOS
SOFTWARE DEDISTRIBUCION AMPLIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA BAJA 4
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA ALTA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
OLIMPO INVENTARIOS YACTIVOSFIJOS(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
5 MEDIA MEDIA 6
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
5 MEDIA MEDIA 6
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
5 ALTA MEDIA 7
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
5 ALTA ALTA 8
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
5 ALTA ALTA 8
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
5 ALTA ALTA 8
SEGUIMIENTOS DEDOCUMENTOS(SOFTWARE)
ABUSO DE LOSDERECHOS
FALTA DE PRUEBAS DEAUDITORIA
4 MEDIA MEDIA 5
ERROR EN ELUSO
CONFIGURACIONINCORRECTA DEPARAMETROS
4 MEDIA MEDIA 5
FALSIFICACIÓNDE DERECHOS
GESTION DEFICIENTES DELAS CONTRASEÑAS
4 ALTA MEDIA 6
MALFUNCIONAMIENTO DEL SOFTWARE
FALTA DE CONTROLEFICAZ DEL CAMBIO
4 ALTA ALTA 7
MANIPULACIONDEL SOFTWARE
FALTA DE COPIAS DERESPALDO
4 ALTA ALTA 7
PROCESAMIENTOILEGAL DE DATOS
HABILITACION DESERVICIOS INNESESARIOS
4 ALTA ALTA 7
URKUND(SOFTWARE) ABUSO DEDERECHOS
FALTA DE TERMINACIONDELA SESION CUANDO SEABANDONA LA ESTACIONDE TRABAJO
2 MEDIA MEDIA 2
ADMINISTRADOR DERED
INCUMPLIMIENTO EN LADISPONIBILIDAD
AUSENCIA DEL PERSONAL 5 MEDIA BAJA 5
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE YSEGURIDAD
5 BAJA BAJA 4
PROCESAMIENTOILEGAL DE LOSDATOS
FALTE DE MECANISMODE MONITOREO
5 BAJA BAJA 4
HURTO DEMEDIOS ODOCUMENTOS
TRABAJO NOSUPERVISADO DELPERSONAL EXTERNO
5 MEDIA MEDIA 6
USO NOAUTORIZADODEL EQUIPO
FALTA DE POLITICASPARA EL USO CORRECTODE LOS MEDIOS DECOMUNICACIÓN
5 ALTA ALTA 8
DESARROLLADOR INCUMPLIMIENTO EN LADISPONIBILIDAD
AUSENCIA DEL PERSONAL 4 MEDIA BAJA 4
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE YSEGURIDAD
4 BAJA BAJA 3
PROCESAMIENTOILEGAL DE LOSDATOS
FALTE DE MECANISMODE MONITOREO
4 BAJA BAJA 3
HURTO DEMEDIOS ODOCUMENTOS
TRABAJO NOSUPERVISADO DELPERSONAL EXTERNO
4 MEDIA MEDIA 5
USO NOAUTORIZADODEL EQUIPO
FALTA DE POLITICASPARA EL USO CORRECTODE LOS MEDIOS DECOMUNICACIÓN
4 ALTA ALTA 7
TECNICO DE SOPORTE INCUMPLIMIENTO EN LADISPONIBILIDAD
AUSENCIA DEL PERSONAL 4 MEDIA BAJA 4
ERROR DE USO USO INCORRECTO DESOFTWARE,HARDWARE YSEGURIDAD
4 BAJA BAJA 3
PROCESAMIENTOILEGAL DE LOSDATOS
FALTE DE MECANISMODE MONITOREO
4 BAJA BAJA 3
HURTO DEMEDIOS ODOCUMENTOS
TRABAJO NOSUPERVISADO DELPERSONAL EXTERNO
4 MEDIA MEDIA 5
USO NOAUTORIZADODEL EQUIPO
FALTA DE POLITICASPARA EL USO CORRECTODE LOS MEDIOS DECOMUNICACIÓN
4 ALTA ALTA 7
LICENCIA DE USO DEUTM SOPHOS
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DELA DOCUMENTACIÓN
4 MEDIA MEDIA 5
LICENCIA DE MICROSOFTWINDOWS SERVER 2008
R2
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DELA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DESERVIDORES
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DELA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DE ROUTERY SWICH CISCO
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DELA DOCUMENTACIÓN
4 MEDIA MEDIA 5
GARANTIAS DE SWICHHP
HURTO DEMEDIOS ODOCUMENTOS
FALTA DE RESGUARDO DELA DOCUMENTACIÓN
4 MEDIA MEDIA 5
ANEXO 11
Tabla 3.10 Tratamiento del Riesgo
Fuente: elaborado por el autor
Valores Nivel de riego Descripción del riesgo yacciones necesarias
8 ALTO Requiere fuertes medidascorrectivas. Planes detratamiento implementados encorto tiempo, reportados ycontrolados con atencióndirecta de alta dirección
6-7 MEDIO ALTO Requiere vigilancia de altadirección con planes de
tratamiento implementados yreportados a los gerentes de
unidades4-5 MEDIO Se requieren acciones
correctivas controladas porgrupos de manejo de incidentes
en periodo de tiemporazonable
2-3 MEDIO BAJO Riego aceptable- Administradopor los grupos de incidentes
bajo procedimientos normalesde control
0-1 BAJO El propietario del activo loadministra con procedimientosrutinarios o decide aceptar el
riego
ANEXO 12
Tabla 3.11 Aplicabilidad de Controles ISO 27002
Fuente: elaborado por el autor
CONTROL ISO 27002 CONTROLES APLICABILIDADSI NO
5. POLÍTICA DE SEGURIDAD.
5.1 Política de seguridad de la información.
5.1.1 Documento de política de seguridad de lainformación.
X
5.1.2 Revisión de la política de seguridad de lainformación.
X
6. ASPECTOS ORGANIZATIVOS DE LASEGURIDAD DE LA INFORMAC.
6.1 Organización interna.
6.1.1 Compromiso de la Dirección con laseguridad de la información.
X
6.1.2 Coordinación de la seguridad de lainformación.
X
6.1.3 Asignación de responsabilidadesrelativas a la seg. de la información.
X
6.1.4 Proceso de autorización de recursos parael tratamiento de la información
X
6.1.5 Acuerdos de confidencialidad. X
6.1.6 Contacto con las autoridades. X
6.1.7 Contacto con grupos de especial interés. X
6.1.8 Revisión independiente de la seguridadde la información.
X
6.2 Terceros. X
6.2.1 Identificación de los riesgos derivadosdel acceso de terceros.
X
6.2.2 Tratamiento de la seguridad en larelación con los clientes.
X
6.2.3 Tratamiento de la seguridad en contratoscon terceros.
X
7. GESTIÓN DE ACTIVOS.
7.1 Responsabilidad sobre los activos.
7.1.1 Inventario de activos. X
7.1.2 Propiedad de los activos. X
7.1.3 Uso aceptable de los activos. X
7.2 Clasificación de la información.
7.2.1 Directrices de clasificación. X
7.2.2 Etiquetado y manipulado de lainformación.
X
8. SEGURIDAD LIGADA A LOS RECURSOSHUMANOS.
8.1 Antes del empleo. X
8.1.1 Funciones y responsabilidades. X
8.1.2 Investigación de antecedentes. X
8.1.3 Términos y condiciones de contratación. X
8.2 Durante el empleo. X
8.2.1 Responsabilidades de la Dirección. X
8.2.2 Concienciación, formación ycapacitación en seg. de la informac.
X
8.2.3 Proceso disciplinario. X
8.3 Cese del empleo o cambio de puesto detrabajo.
X
8.3.1 Responsabilidad del cese o cambio. X
8.3.2 Devolución de activos. X
8.3.3 Retirada de los derechos de acceso. X
9. SEGURIDAD FÍSICA Y DEL ENTORNO.
9.1 Áreas seguras. X
9.1.1 Perímetro de seguridad física. X
9.1.2 Controles físicos de entrada. X
9.1.3 Seguridad de oficinas, despachos einstalaciones.
X
9.1.4 Protección contra las amenazas externasy de origen ambiental.
X
9.1.5 Trabajo en áreas seguras. X
9.1.6 Áreas de acceso público y de carga ydescarga.9.2 Seguridad de los equipos.
9.2.1 Emplazamiento y protección de equipos. X
9.2.2 Instalaciones de suministro. X
9.2.3 Seguridad del cableado. X
9.2.4 Mantenimiento de los equipos. X
9.2.5 Seguridad de los equipos fuera de lasinstalaciones.
X
9.2.6 Reutilización o retirada segura deequipos.
X
9.2.7 Retirada de materiales propiedad de laempresa.
X
10. GESTIÓN DE COMUNICACIONES YOPERACIONES.
10.1 Responsabilidades y procedimientos deoperación.10.1.1 Documentación de los procedimientosde operación.
X
10.1.2 Gestión de cambios. X
10.1.3 Segregación de tareas. X
10.1.4 Separación de los recursos dedesarrollo, prueba y operación.
X
10.2 Gestión de la provisión de servicios porterceros.
X
10.2.1 Provisión de servicios. X
10.2.2 Supervisión y revisión de los serviciosprestados por terceros.
X
10.2.3 Gestión del cambio en los serviciosprestados por terceros.
X
10.3 Planificación y aceptación del sistema. X
10.3.1 Gestión de capacidades. X
10.3.2 Aceptación del sistema. X
10.4 Protección contra el código malicioso ydescargable.10.4.1 Controles contra el código malicioso. X
10.4.2 Controles contra el código descargadoen el cliente.
X
10.5 Copias de seguridad.
10.5.1 Copias de seguridad de la información. X
10.6 Gestión de la seguridad de las redes.
10.6.1 Controles de red. X
10.6.2 Seguridad de los servicios de red. X
10.7 Manipulación de los soportes.
10.7.1 Gestión de soportes extraíbles. X
10.7.2 Retirada de soportes. X
10.7.3 Procedimientos de manipulación de lainformación.
X
10.7.4 Seguridad de la documentación delsistema.
X
10.8 Intercambio de información.
10.8.1 Políticas y procedimientos deintercambio de información.
X
10.8.2 Acuerdos de intercambio. X
10.8.3 Soportes físicos en tránsito. X
10.8.4 Mensajería electrónica. X
10.8.5 Sistemas de información empresariales. X
10.9 Servicios de comercio electrónico.
10.9.1 Comercio electrónico.
10.9.2 Transacciones en línea.
10.9.3 Información públicamente disponible.
10.10 Supervisión.
10.10.1 Registros de auditoría. X
10.10.2 Supervisión del uso del sistema. X
10.10.3 Protección de la información de losregistros.
X
10.10.4 Registros de administración yoperación.
X
10.10.5 Registro de fallos. X
10.10.6 Sincronización del reloj. X
11. CONTROL DE ACCESO.
11.1 Requisitos de negocio para el control deacceso.11.1.1 Política de control de acceso. X
11.2 Gestión de acceso de usuario.
11.2.1 Registro de usuario. X
11.2.2 Gestión de privilegios. X
11.2.3 Gestión de contraseñas de usuario. X
11.2.4 Revisión de los derechos de acceso deusuario.
X
11.3 Responsabilidades de usuario.
11.3.1 Uso de contraseñas. X
11.3.2 Equipo de usuario desatendido. X
11.3.3 Política de puesto de trabajo despejadoy pantalla limpia.
X
11.4 Control de acceso a la red.
11.4.1 Política de uso de los servicios en red. X
11.4.2 Autenticación de usuario paraconexiones externas.
X
11.4.3 Identificación de los equipos en lasredes.
X
11.4.4 Protección de los puertos de diagnósticoy configuración remotos.
X
11.4.5 Segregación de las redes. X
11.4.6 Control de la conexión a la red. X
11.4.7 Control de encaminamiento (routing) dered.
X
11.5 Control de acceso al sistema operativo.
11.5.1 Procedimientos seguros de inicio desesión.
X
11.5.2 Identificación y autenticación deusuario.
X
11.5.3 Sistema de gestión de contraseñas. X
11.5.4 Uso de los recursos del sistema. X
11.5.5 Desconexión automática de sesión. X
11.5.6 Limitación del tiempo de conexión. X
11.6 Control de acceso a las aplicaciones y a lainformación.
X
11.6.1 Restricción del acceso a la información. X
11.6.2 Aislamiento de sistemas sensibles. X
11.7 Ordenadores portátiles y teletrabajo. X
11.7.1 Ordenadores portátiles ycomunicaciones móviles.
X
11.7.2 Teletrabajo. X
12. ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE SISTEMAS DE INFO.
12.1 Requisitos de seguridad de los sistemasde información.
12.1.1 Análisis y especificación de losrequisitos de seguridad.
X
12.2 Tratamiento correcto de lasaplicaciones.12.2.1 Validación de los datos de entrada. X
12.2.2 Control del procesamiento interno. X
12.2.3 Integridad de los mensajes.
12.2.4 Validación de los datos de salida.
12.3 Controles criptográficos.
12.3.1 Política de uso de los controlescriptográficos.12.3.2 Gestión de claves. X
12.4 Seguridad de los archivos de sistema.
12.4.1 Control del software en explotación. X
12.4.2 Protección de los datos de prueba delsistema.
X
12.4.3 Control de acceso al código fuente delos programas.
x
12.5 Seguridad en los procesos de desarrolloy soporte.12.5.1 Procedimientos de control de cambios. X
12.5.2 Revisión técnica de las aplicaciones trasefectuar cambios en el
X
Sistema operativo. X
12.5.3 Restricciones a los cambios en lospaquetes de software.
X
12.5.4 Fugas de información. X
12.5.5 Externalización del desarrollo desoftware.
X
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Control de las vulnerabilidades técnicas. X
13. GESTIÓN DE INCIDENTES EN LASEGURIDAD DE LA INFORMACIÓN.
13.1 Notificación de eventos y puntos débilesde seguridad de la información13.1.1 Notificación de los eventos deseguridad de la información.
x
13.1.2 Notificación de puntos débiles deseguridad.
x
13.2 Gestión de incidentes y mejoras deseguridad de la información.13.2.1 Responsabilidades y procedimientos. x
13.2.2 Aprendizaje de los incidentes deseguridad de la información.
x
13.2.3 Recopilación de evidencias. x
14. GESTIÓN DE LA CONTINUIDAD DELNEGOCIO.
14.1 Aspectos de seguridad de lainformación en la gestión de laContinuidad del negocio. x
14.1.1 Inclusión de la seguridad de lainformación en el proceso de
x
Gestión de la continuidad del negocio. x
14.1.2 Continuidad del negocio y evaluaciónde riesgos.
x
14.1.3 Desarrollo e implantación de planes decontinuidad que incluyan la
x
Seguridad de la información. x
14.1.4 Marco de referencia para laplanificación de la cont. del negocio.
X
14.1.5 Pruebas, mantenimiento y reevaluaciónde planes de continuidad.
x
15. CUMPLIMIENTO.
15.1 Cumplimiento de los requisitos legales. x
15.1.1 Identificación de la legislaciónaplicable.
x
15.1.2 Derechos de propiedad intelectual(DPI).
x
15.1.3 Protección de los documentos de laorganización.
X
15.1.4 Protección de datos y privacidad de lainformación de carácter
x
Personal. x
15.1.5 Prevención del uso indebido de recursosde tratamiento de la información
x
15.1.6 Regulación de los controlescriptográficos.
x
15.2 Cumplimiento de las políticas y normasde seguridad y
x
Cumplimiento técnico. x
15.2.1 Cumplimiento de las políticas y normasde seguridad.
x
15.2.2 Comprobación del cumplimientotécnico.
x
15.3 Consideraciones sobre las auditorías delos sistemas de información.
x
15.3.1 Controles de auditoría de los sistemasde información.
x
15.3.2 Protección de las herramientas deauditoría de los sistemas de información.
x
ANEXO 13
Acuerdo de Confidencialidad.
Título: Documento de Acuerdo de Confidencialidad
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
A continuación se define el acuerdo de confidencialidad establecido entre la
Universidad Técnica de Babahoyo y el Departamento de tecnologías de la Información.
II.ACUERDO DE CONFIDENCIALIDAD
Entre los suscritos a saber, por una parte la Universidad Técnica de Babahoyo un centro de
estudios Superior constituida bajo las leyes del Ecuador con domicilio en Babahoyo,
debidamente representada por su Rector y representante legal Señor Rafael Falconí
Montalván, domiciliado(a) en la ciudad de , identificado(a) como
aparece al pie de su respectiva firma; y por la otra,
, también mayor de edad y domiciliado en la ciudad de
, identificado(a) como aparece al pie de su firma, se ha acordado celebrar
el presente Acuerdo de Confidencialidad que se regirá por las siguientes cláusulas, previas
las siguientes.
CONSIDERACIONES
1. Las partes están interesadas en
2. Debido a la naturaleza del trabajo, se hace necesario que éstas manejen información
confidencial y/o información sujeta a derechos de propiedad intelectual, antes, durante y en
la etapa posterior.
CLÁUSULAS
PRIMERA. OBJETO. El objeto del presente acuerdo es fijar los términos y condiciones
bajo los cuales las partes mantendrán la confidencialidad de los datos e información
intercambiados entre ellas, incluyendo información objeto de derecho de autor, patentes,
técnicas, modelos, invenciones, procesos, algoritmos, programas, ejecutables,
investigaciones, detalles de diseño, información financiera y cualquier información
revelada sobre terceras personas.
SEGUNDA. CONFIDENCIALIDAD. Las partes acuerdan que cualquier información
intercambiada, facilitada o creada entre ellas en el transcurso de
, será mantenida en estricta confidencialidad. La parte
receptora correspondiente sólo podrá revelar información confidencial a quienes la
necesiten y estén autorizados previamente .Se considera también información confidencial:
a) Aquella que como conjunto o por la configuración o estructuración exacta de sus
componentes, no sea generalmente conocida entre los expertos en los campos
correspondientes. b) La que no sea de fácil acceso.
c) Aquella información que no esté sujeta a medidas de protección razonables, de acuerdo
con las circunstancias del caso, a fin de mantener su carácter confidencial.
TERCERA. EXCEPCIONES. No habrá deber alguno de confidencialidad en los
siguientes casos:
a) Cuando la parte receptora tenga evidencia de que conoce previamente la información
recibida;
b) Cuando la información recibida sea de dominio público y,
c) Cuando la información deje de ser confidencial por ser revelada por el propietario.
CUARTA. DURACIÓN. Este acuerdo regirá durante el tiempo que dure
Hasta un término de 1 años contados a partir de su fecha.
QUINTA. DERECHOS DE PROPIEDAD. Toda información intercambiada es de
propiedad exclusiva de la parte de donde proceda. En consecuencia, ninguna de las partes
utilizará información de la otra para su propio uso.
SEXTA. MODIFICACIÓN O TERMINACIÓN. Este acuerdo solo podrá ser modificado
o darse por terminado con el consentimiento expreso por escrito de ambas partes.
SÉPTIMA. VALIDEZ Y PERFECCIONAMIENTO. El presente Acuerdo requiere para
su validez y perfeccionamiento la firma de las partes.
Revisión de la política de la seguridad de la información.
Título: Registro de Seguimiento de las Políticas de Seguridad Informática
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I.INTRODUCCIÓN
El presente registro es para el seguimiento de las políticas de seguridad Informática, evalúa
si las políticas de seguridad Informática implementadas en el área de Tecnologías de la
información se están llevando a cabo y los resultados obtenidos.
Se debe revisar cada política implementada en el área de Sistemas y Soporte con base a la
siguiente tabla.
POLITICA
Aplicabilidad de la política OBSERVACIONES/SUGERENCIAS
SI NO RESULTADOS
1
2
3
4
5
6
7
8
9
Compromiso de la Dirección con la seguridad de la información.
Título: Registro de compromiso de la dirección con la seguridad informática
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I.INTRODUCCIÓN
En el presente documento se registra el compromiso que la dirección establece con el Plan
de Seguridad de la Información a implementarse en el área de Tecnologías de la
información y comunicación.
II. COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD
INFORMÁTICA
El vicerrectorado administrativo financiero de la U.T.B. ha leído y se encuentra consiente
cuán importante es el establecimiento de políticas de seguridad Informática en el área
Tecnologías de la información y comunicación.
Es por esto que el vicerrectorado manifiesta el compromiso y el apoyo activo para con el
proyecto de implementación de políticas de seguridad Informática.
La vicerrectorado puede intervenir en el desarrollo e implementación de las políticas,
incluso puede dar por terminado el desarrollo de la implementación en caso de considerarlo
necesario.
Director T.I.C. Vicerrector Administrativo Financiero
Asignación de responsabilidades
Título: Documento para asignación de responsabilidades
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento detalla las responsabilidades que tendrán miembros de
Departamento de Tecnologías de la Universidad Técnica de Babahoyo.
II. ASIGNACIÓN DE RESPONSABILIDADES
Las responsabilidades del área quedan distribuidas de la siguiente manera:
Actividades Responsable
Realizar el inventario de activos Ingeniero de Soporte
Realizar un listado de contraseñas Administrador de la red
Coordinar las actividades de seguridad Coordinador
Etiquetar documentos Networking
Realizar notas de entrega y pedido Ingeniero de soporte
Etiquetar cableado Administrador de la red
Depuración de equipos de la red Ingeniero de soporte
Monitoreo y Mantenimiento de equipos Administrador de la red
Asignación de responsabilidades y obligaciones Coordinador
Respaldo de información Networking
Comunicar políticas a Networking Coordinador
Contacto con las autoridades.
Título: Registro de Contacto con las autoridades
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente documento es un registro de haber tenido contacto con el Director de TIC y el
vicerrectorado administrativo financiero del Plan de Seguridad de la Información.
II. TEMAS TRATADOS
A continuación se especifican los temas mencionados con las autoridades.
Contacto con grupo de interés.
Título: Registro de Contacto con grupos de Intereses
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
Este registro permite verificar que la persona encargada del contacto con grupos de
interés está cumpliendo sus obligaciones.
II. REGISTRO DE CONTACTOS
Fecha de Contacto:
Tema Tratado:
Fuente de información:
Revisión independiente de la seguridad de la información.
Título: Registro de revisión Independiente de la seguridad Informática
Serial Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
Este documento es un registro de auditoría interna que debe ser realizado una vez cada
seis meses en el Departamento de Tecnologías de la Información de la U.T.B.
II.DETALLE DE AUDITORÍA
A continuación se presentan las novedades encontradas en la auditoría interna.
Revisión Individual de las Poltiticas de seguridad
Título: Instructivo para revisión de las políticas de seguridad Informática
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I.INTRODUCCIÓN
El presente instructivo para la revisión de las políticas de seguridad Informática evalúa la
efectividad de las políticas de seguridad Informática implementadas en el área de TI de la
U.T.B.
II. REVISIÓN DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA
Se debe revisar cada política implementada en el área de Sistemas y Soporte con base a la
siguiente tabla.
Política Efectividad de la Política Observación
Excelente Buena Mala Pésima
Si existe documentación de actividades relativas con las políticas, se debe tomar en cuenta
para evaluar la política y debe registrarse una observación al respecto.
Gestión de Activos. Responsabilidad sobre los Activos
Título: Documento para Uso Aceptable de los Activos de información
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I.INTRODUCCIÓN
El presente documento detalla las responsabilidades que tendrán miembros de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. ASIGNACIÓN DE RESPONSABILIDADES
Las responsabilidades del área quedan distribuidas de la siguiente manera:
La empresa IDEBSYSTEMS dispone de activos de información para apoyar a todos sus
empleados en sus actividades diarias, estos activos deben ser utilizados de manera
aceptable. El uso correcto de ello se define en los siguientes párrafos:
LINEAMIENTO PARA USO DEL CORREO INTERNO
1. Todo el personal de la U.T.B., tiene derecho a una cuenta de correo electrónico en el
servidor de correo.
2. Es responsabilidad del usuario hacer buen uso de su cuenta, entendiendo por buen
uso:
o El no mandar ni contestar cadenas de correo.
o El uso de su cuenta con fines académicos y/o investigación.
o La depuración de su INBOX del servidor (no dejar correos por largos
periodos en su buzón de correo).
o El no hacer uso de la cuenta para fines comerciales.
o El respetar las cuentas de otros usuarios Internos y Externos.
o El uso de un lenguaje apropiado en sus comunicaciones.
3. Se asignará solamente una cuenta por usuario.
4. Las cuentas conmutadas para el personal administrativo serán asignas por el
administrador del servidor de correo.
5. Su cuenta de correo es personal e intransferible no permitiéndose que segundas
personas hagan uso de ella, (compañeros, amigos, hijos, entre otras.). A menos que
sea de asuntos primordiales relacionados con el trabajo.
6. La cuenta se dará de baja cuando la U.T.B. se considere conveniente
una vez que el personal deje de pertenecer a la empresa.
7. Es responsabilidad del usuario el cambiar su contraseña con regularidad,
cumpliendo con las normas que se definen en administración de correo acerca
del manejo de contraseñas seguros. El tiempo de vida de las contraseñas será de
seis meses.
8. El usuario será responsable de la información que sea enviada con su cuenta,
por lo cual se asegurará de no mandar SPAMS de información, ni de mandar
anexos que pudieran contener información nociva para otro usuario como virus
o pornografía.
9. El usuario es responsable de respaldar sus archivos de correo
manteniendo en el INBOX (Buzón de correo) solamente documentos en tránsito,
sus demás comunicados deberá mantenerlos en su equipo personal o en su
defecto en carpetas dentro de su cuenta en el servidor.
10.Al responder comunicados generales o para un grupo específico de
usuarios, el usuario deberá cuidar de no responder a TODOS los usuarios salvo
cuando ésta sea la finalidad de la respuesta.
11. la U.T.B. se reserva el derecho de enviar al usuario la información que
considere necesaria como un medio de comunicación empresarial.
12. La vigencia y espacio de las cuentas será definida por el administrador del
Servidor de correo (con la autorización respectiva) de acuerdo a los recursos
disponibles, con base en las necesidades del usuario.
13. L a U.T.B. se reservará el uso de monitorear las cuentas que presenten un
comportamiento sospechoso para la seguridad de la empresa.
14.El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de software
o reproducir información sin conocimiento del autor.
15.El incumplimiento por parte del usuario del buen uso de su cuenta puede
ocasionar la suspensión y posterior baja del sistema de su cuenta.
16.Se recomienda a los usuarios grabar sus trabajos en memoria extraíbles una
vez que su computadora haya revisado el disco con un antivirus
actualizado, para evitar cualquier pérdida de información valiosa para ellos.
LINEAMIENTO DEL USO DE INTERNET
1. Desde el equipo asignado a cada usuario será posible hacer uso de la red Internet,
únicamente para fines consultivos, definiéndose como consultivo a todas
aquellas búsquedas de información que apoyen al usuario a resolver un
problema o inconveniente.
2. El administrador de la red es el encargado de asignar una máquina al usuario,
quien será responsable durante el tiempo que permanezca en su poder.
3. La U.T.B. se reserva el derecho de revisión para verificar que el software
instalado tenga las licencias respectivas en el caso que amerite.
4. Cualquier uso que cause efectos opuestos a la operación de la U.T.B.
o ponga en riesgo el uso o rendimiento de la red, será analizado por esta
administración para tomar medidas.
5. En caso de usar la cuenta a través de Internet se debe asegurar de salir totalmente
de la misma en cada sesión, cuando se desocupe el equipo.
LINEAMIENTO PARA USO DE EQUIPOS
1. Cuando exista la necesidad de sacar un equipo de la U.T.B.se debe tener
autorización del coordinador y de gerencia y la respectiva nota de entrega.
2. No es permitido que los usuarios utilicen equipo de la empresa para
asuntos personales (como alquiler a terceros, pruebas personales, entre otros).
3. Cuando se sale con equipos, es necesario disponer de transporte seguro como
puede ser un servicio de taxis a domicilio.
LINEAMIENTO PARA USO DE DOCUMENTOS
1. En la empresa existe documentación de equipos que está a disposición de los
empleados para realizar consultas o configuraciones. Los manuales de los
equipos deben ser utilizados solamente dentro de la empresa.
2. Si es necesario llevar un manual fuera de la oficina se debe notificar de este
hecho al coordinador mediante un correo electrónico.
Si el documento está en digital, se aplicará el acuerdo de confidencialidad.
Inventario de activos.
Título: Instructivo de Inventario de activos
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
El presente instructivo permite realizar un inventario de los activos de información
que dispone el área de Sistemas y Soporte de la empresa IDEBSYSTEMS.
II. PROCEDIMIENTO PARA REALIZAR EL INVENTARIO
Todos los activos deben ser registrados.
La siguiente tabla muestra las características que se deben tomar de cada activo del
área. Se llenarán los datos que apliquen.
Cuando exista la necesidad de prestar o rentar un activo, entonces deberá llenarse
una nota de entrega para tener un registro de movimiento del activo.
Ítem Equipo Producto Número Serial Número de Parte Descripción
1
2
3
4
5
6
7
8
9
10
Clasificación de la información
Directrices de clasificación.
La clasificación de la información está basada en acceso por autorización del director de
Tecnologías de la Información, la cual una vez etiquetada deberá dará acceso al área
correspondiente, que están a su cargo.
Etiquetado y manipulación de la información.
Título: Instructivo para Etiquetado y Manejo de la Información
Serial: Fecha Emisión: Fecha Modificación: Aprobación:
Elaborado por: Revisado y Aprobado por:
I. INTRODUCCIÓN
Aquí se describe la metodología a utilizar para la asignación del código o serial, la cual
se debe aplicar al departamento de Tecnologías de la información para identificar los
documentos del Plan de Seguridad de la Información.
II. PROCEDIMIENTO PARA ETIQUETAR DOCUMENTOS.
Todos los documentos emitidos en el Plan de Seguridad de la Información serán
identificados con una numeración alfanumérica única para cada documento, este
número será conocido como el identificador del documento. El primer carácter (desde
la izquierda) corresponde a la función del documento. A continuación se
detallan las diferentes funciones del documento.
I Instrucción de trabajo.- Es un documento en donde se define paso a paso el “como”
de una actividad.
F Formulario.- Documento utilizado para anotar los resultados de cualquier actividad, el
cual podría convertirse en registro.
M Manual.- Es un documento compuesto por cierta extensión en cuanto a número de
páginas, que contiene información del Plan de Seguridad de la Información.
P Procedimientos.- Es el documento que define “quién hace qué” y “cuándo”. Este
documento describe la forma específica para llevar a cabo una actividad o proceso.
R Registros.- Son documentos que sirven como evidencia para demostrar a terceros
que un requisito del Plan Piloto de Políticas de Seguridad Informática está
implantado y ha sido cumplido. Es un documento donde se mantienen anotados los
resultados de alguna actividad realizada. Los registros son las huellas del Plan
de Seguridad de la Información; con ellos se puede demostrar a otros que los
“DEBE” o “Actividades” que exige la norma se han realizado.
L Política (Lineamiento).- Es un documento que sirve de lineamiento o guía, que se
debe cumplir en el grupo. Las políticas son normas con las cuales hay que cumplir,
una actividad o algún aspecto de Sistemas y Soporte.
T Tablas.- Es un documento del Plan de Seguridad de la Información el cual
contiene información relevante de la organización. Su representación gráfica podría
ser un cuadro, una matriz, entre otras.
G Guía.- Es un documento que sirve como orientación o consulta y permite localizar
fácilmente, en un solo documento, gran parte de los conceptos relacionados con un
aspecto en particular.
Los dos siguientes caracteres son numéricos e identifican a que departamento
pertenece el documento según la siguiente lista:
01 Soporte
02 Telecomunicaciones
03 Dirección de Tecnología
04 Licencia
05Garantía
06
Software
Los tres siguientes dígitos muestran el orden secuencial del documento. El
siguiente carácter, que es alfanumérico, representa una modificación al
documento. Se inicia con la primera letra del alfabeto y así hasta la última. Siempre
que se modifique un documento, al final se debe incluir un anexo, donde se
enumeren las razones por las cuales se ha modificado dicho documento.
En dicho anexo, se especificará el (los) tipo (s) de cambio (s) aplicado(s) al
documento, según:
A Añadido.- Cuando se agrega una línea o párrafo al documento
F Fusionado.- La unión de dos a más documentos.
M Modificado.- Cuando el cambio se realiza en una parte del documento.
R Reemplazado.- Cuando el documento es totalmente cambiado. Cuando un
documento sea modificado, se deberá registrar la fecha en que se aplicaron los
cambios en el cuadro “Fecha modificación” del formato del documento, siempre
se mantendrá la “Fecha de emisión” intacta.
Si existe un documento que hace referencia a otro, se debe hacer referencia
solamente al número serial del equipo mas no a la parte de la modificación; esto es
para evitar realizar cambios en todos los documentos que tengan como referencia
al documento modificado.
ANEXO 14.
PLAN DE CONTINGENCIA INFORMÁTICO.
La protección de la información vital de una entidad ante la posible pérdida, destrucción,
robo y otras amenazas, es abarcar la preparación e implementación de un completo Plan de
Contingencia Informático.
Cualquier Sistema de Redes de Computadoras (ordenadores, periféricos y accesorios) están
expuestos a riesgo y puede ser fuente de problemas. El Hardware, el Software están
expuestos a diversos Factores de Riesgo Humano y Físicos. Estos problemas menores y
mayores sirven para retroalimentar nuestros procedimientos y planes de seguridad en la
información. Pueden originarse pérdidas catastróficas a partir de fallos de componentes
críticos (el disco duro), bien por grandes desastres (incendios, terremotos, sabotaje, etc.) o
por fallas técnicas (errores humanos, virus informático, etc.) que producen daño físico
irreparable. Por lo anterior es importante contar con un Plan de contingencia adecuado de
forma que ayude a la Entidad a recobrar rápidamente el control y capacidades para procesar
la información y restablecer la marcha normal del negocio.
INTRODUCCION
Para realizar el Plan de contingencia informático de la Universidad Técnica de Babahoyo
se tiene en cuenta la información como uno de los activos más importantes de la
Organización, además que la infraestructura informática está conformada por el hardware,
software y elementos complementarios que soportan la información o datos críticos para la
función de la Entidad.
Los procedimientos relevantes de la infraestructura informática, son aquellas tareas que el
personal realiza frecuentemente al interactuar con la plataforma informática (entrada de
datos, generación de reportes, consultas, etc.
OBJETIVOS
Definir las actividades de planeamiento, preparación y ejecución de tareas destinadas
a proteger la Información contra contingencias producidas por la falta de servicios,
fenómenos naturales o humanos.
Garantizar la continuidad de las operaciones de los principales elementos que
componen los Sistemas de Información.
Establecer actividades que permitan evaluar los resultados del plan general.
IDENTIFICACION DE PROCESOS Y SERVICIOS
Principales Procesos de Software Identificados
- Software
- Presupuesto.
- Contabilidad.
- Tesorería.
- Activos
-Inventarios
Principales servicios que deberán ser restablecidos Y/O recuperados
-Windows 7
– Correo Electrónico.
– Internet.
– Antivirus.
– Herramientas de Microsoft Office.
Software Base de datos.
– Base de Datos Mysql y Postgres.
– Backup de la Información.
– Ejecutables de las aplicaciones.
Respaldo de la Información.
– Backup de la Base de Datos Mysql y Postgres
– Backup de la Plataforma de Aplicaciones (Sistemas).
– Backup de los WEBSITE.
– Backup del Servidor.
ANALISIS DE EVALUACION DE RIESGOS Y ESTRATEGIAS
Metodología aplicada:
Para la clasificación de los activos de las Tecnologías de Información de la Universidad
Técnica de Babahoyo se han considerado tres criterios:
Grado de negatividad: Un evento se define con grado de negatividad (Leve, moderada,
grave y muy severo).
Frecuencia del Evento: Puede ser (Nunca, aleatoria, Periódico y continuo)
Impacto: El impacto de un evento puede ser (Leve, moderado, grave y muy severo).
Plan de Contingencia: Son procedimientos que definen cómo una entidad continuará o
recuperará sus funciones críticas en caso de una interrupción no planeada. Los sistemas son
vulnerables a diversas interrupciones, que se pueden clasificar en:
Leves (Caídas de energía de corta duración, fallas en disco duro, etc.) Severas (Destrucción
de equipos, incendios, etc.)
Riesgo: Es la vulnerabilidad de un Activo o bien, ante un posible o potencial perjuicio o
daño. Existen distintos tipos de riesgo:
Riesgos Naturales: tales como mal tiempo, terremotos, etc.
Riesgos Tecnológicos: tales como incendios eléctricos, fallas de energía y accidentes de
transmisión y transporte.
Riesgos Sociales: como actos terroristas y desordenes.
Para realizar un análisis de todos los elementos de riesgos a los cuales está expuesto el
conjunto de equipos informáticos y la información procesada de la entidad iniciaremos
describiendo los activos que se pueden encontrar dentro de las tecnologías de
información de la entidad:
Activos susceptibles de daño.
Personal
Hardware
Software y utilitarios
Datos e información
Documentación
Suministro de energía eléctrica
Suministro de telecomunicaciones.
Posibles Daños.
Imposibilidad de acceso a los recursos debido a problemas físicos en las
instalaciones, naturales o humanas.
Imposibilidad de acceso a los recursos informáticos, sean estos por
cambios involuntarios o intencionales, tales como cambios de claves de acceso,
eliminación o borrado físico/lógico de información clave, proceso de información no
deseado.
Divulgación de información a instancias fuera de la institución y que afecte su
patrimonio estratégico, sea mediante Robo o Infidencia.
Fuentes de daño
Acceso no autorizado.
Ruptura de las claves de acceso a los sistemas computacionales.
Desastres Naturales (Movimientos telúricos, Inundaciones, Fallas en los equipos
de soporte causadas por el ambiente, la red de energía eléctrica o el no
Acondicionamiento atmosférico necesario.
Fallas de Personal Clave (Enfermedad, Accidentes, Renuncias, Abandono de sus
puestos de trabajo y Otros).
Fallas de Hardware (Falla en los Servidores o Falla en el hardware de Red
Switches, cableado de la Red, Router, FireWall).
Clases de Riesgos
Incendio o Fuego
Robo común de equipos y archivos
Falla en los equipos
Equivocaciones
Acción virus informático
Fenómenos naturales
Accesos no autorizados
Ausencia del personal de sistemas.
MINIMIZACION DEL RIESGO
Teniendo en cuenta lo anterior, corresponde al presente Plan de Contingencia minimizar
estos índices con medidas preventivas y correctivas sobre cada caso de Riesgo. Es de tener
en cuenta que en lo que respecta a Fenómenos naturales, nuestra región ha registrado
en estos últimos tiempos movimientos telúricos de poca intensidad; sin embargo, las
lluvias fuertes producen mayores estragos, originando filtraciones de agua en los edificios,
produciendo cortes de luz, cortos circuitos (que podrían desencadenar en incendios).
Incendio o Fuego
Grado de Negatividad: Muy Severo Frecuencia de Evento: Aleatorio Grado de Impacto:
Alto.
Situación Actual Acción CorrectivaLa oficina donde están ubicados los servidores
cuenta con un extintor cargado, ubicado muy
cerca a esta oficina. De igual forma cada piso
cuenta con un extintor debidamente cargado.
Se cumple
No se ha ejecutado un programa de
capacitación sobre el uso de elementos de
seguridad y primeros auxilios, a los
funcionarios nuevos, lo que no es eficaz para
enfrentar un incendio y sus efectos.
Realizar capacitación para el manejo de
extintores y primeros auxilios.
El servidor realiza backups de la información
diariamente, pero no existe
Ninguna otra copia de respaldo.
Realizar backups del servidor de forma diaria
con backups incrementales y colocarlos en
lugar remoto.
Analizando el riesgo de incendio, permite resaltar el tema sobre el lugar donde almacenar
los backups. El almacenaje se lo puede realizar en el área de soporte que se encuentra al frente
del centro de cómputo de la U.T.B.
Uno de los dispositivos más usados para contrarrestar la contingencia de incendio, son
los extinguidores. Su uso amerita a colocarlos cerca de las posibles áreas de riesgo que se
debe proteger.
Robo Común de Equipos y Archivos
Grado de Negatividad: Grave Frecuencia de Evento: Aleatorio Grado de Impacto:
Moderado
Situación Actual Acción CorrectivaDebido a que a la hora de salida de las
personas particulares que ingresan a la entidad,
no son registradas pues no se cuenta con
vigilante. Cabe anotar que contamos con
sistema de seguridad.
Se requiere que cada funcionario en el
momento de retirarse de la oficina por un
tiempo considerable, opte por guardar sus
equipos dentro de algún cajón bajo llave.
Autorización escrita firmada por el Jefe de
área, Técnico de sistemas y funcionario
Responsable, para la salida de equipos de la
Entidad.
Se cumple por medio del formato establecido
para salida de equipos.
No se han reportado casos en la cual haya existido manipulación y reubicación de
equipos sin el debido conocimiento y autorización del Jefe de Cada Área y el Técnico de
Sistemas, esto demuestra que los equipos se encuentran protegidos por cada funcionario
autorizado.
Según antecedentes de otras entidades, es de conocer que el robo de accesorios y equipos
informáticos, llegaron a participar personal propio de la empresa en complicidad con el
personal de vigilancia, es relativamente fácil remover un disco duro del CPU, tarjeta, etc.
y no darse cuenta del faltante hasta días después.
Falla en los Equipos.
Grado de Negatividad: Grave Frecuencia de Evento: Aleatorio Grado de Impacto: Grave
Situación Actual Acción CorrectivaLa falla en los equipos muchas veces se debe
a falta de mantenimiento y limpieza.
Realizar mantenimiento preventivo de equipos
por lo menos dos veces al año.
La falla en el hardware de los equipos requiere
de remplazo de repuestos de forma inmediata.
Contar con proveedores en caso de requerir
remplazo de piezas y de ser posible contar con
repuestos de quipos que están para dar de baja.
Cada área funcional se une a la Red a través
Gabinetes, la falta de energía en éstos, origina
la ausencia de uso de los servicios de red
Se cumple. Los gabinetes se encuentran
protegidos en un lugar de acceso restringido y
son manipulados solo por el
Técnico de sistemas y laboratorista.
El daño de equipos por fallas en la energía
eléctrica, requiere contar con dispositivos que
amplíen tiempo para apagar correctamente el
equipo.
Se cumple. Las Facultades cuentan un UPS 5
KVA que satisface un tiempo considerable
para el apagado de los equipos.
Teniendo en cuenta la importancia del fluido eléctrico para el funcionamiento de la entidad,
puesto que los dispositivos en los que se trabaja dependen de la corriente eléctrica para su
desempeño. Si el corte eléctrico dura poco tiempo las operaciones no se ven afectadas
gravemente, pero si el corte se prolongara por tiempo indefinido provocaría un trastorno
en las operaciones del día, sin afectar los datos, sin embargo el centro de cómputo
cuenta con un UPS que otorga hasta 4 horas a la sala de servidores.
Equivocaciones manejo del sistema.
Grado de Negatividad: Moderado Frecuencia de Evento: Periódico Grado de Impacto:
Moderado.
Situación Actual Acción CorrectivaErrores que se producen de forma
involuntaria, con respecto al manejo de
información, software y equipos.
Realizar instrucción inicial en el ambiente de
trabajo presentando las políticas
informáticas establecidas para manejo de
sistemas(manual de usuario y capacitaciones
al personal)
Algunas veces el usuario que tiene
conocimiento en informática intenta navegar
por sistemas que no están dentro de su
función diaria.
El técnico de sistemas debe asignar permisos
y privilegios a cada usuario de acuerdo a sus
funciones.
La entrega de inventario es realizada por el
área de almacén no se realiza de forma
Mancomunada con el área de sistemas.
El área de almacén debe entregar inventario
junto con el técnico de sistemas
en lo referente a equipos de cómputo,
licencias, antivirus y solicitar la creación
Inmediata del usuario con sus claves.
Acción de Virus Informático
Grado de Negatividad: Muy Severo Frecuencia de Evento: Continuo Grado de Impacto:
Grave.
Situación Actual Acción CorrectivaSe cuenta con un software antivirus para la
Entidad, pero su actualización no se realiza de
forma inmediata a su expiración.
Se debe evitar que las licencias de antivirus
expiren, se requiere renovación con
anticipación.
Únicamente el área de sistemas es la
encargada
de realizar la instalación de software en cada
uno de los equipos de acuerdo a su necesidad.
Se cumple.
Se tiene acceso restringido al servidor,
únicamente es el administrador de la red el
encargado de cambiar configuraciones y
anexar nuevos equipos.
Antes de logear una maquina a la red, se
debe comprobar la existencia de virus en la
misma.
Los antivirus no se actualizan periódicamente
en cada equipo.
Informar la política informática de
actualización de antivirus a cada
funcionario y su responsabilidad frente a esto.
Los Virus informáticos han evolucionado de tal manera que hoy en día todos conocemos
la importancia de tener un programa Antivirus en el computador y aún más importante es su
actualización. Si tenemos un antivirus instalado pero no lo hemos actualizado, seguramente
será capaz de encontrar los virus que intenten entrar en nuestros sistemas pero no será capaz
de hacer nada con ellos, dado que esta información está contenida en las definiciones de
virus. La actualización del Patrón de Definiciones de virus es vital y debe de hacerse
como mínimo una vez a la semana. Otra de las piezas esenciales del Antivirus, el motor,
también debe de actualizarse regularmente dado que los nuevos virus requieren en muchos
casos nuevos motores de escaneo para poder detectarlos, por lo que la actualización del
motor también es tarea obligada la cual debe configurarse de manera automática a horas
donde no existe mucha actividad en la Institución.
Fenómenos Naturales
Grado de Negatividad: Grave Frecuencia de Evento: Aleatorio Grado de Impacto: Grave
Situación Actual Acción CorrectivaEn la última década no se han registrado
urgencias por fenómenos naturales como
Terremotos o inundaciones.
Aunque la probabilidad de ocurrencia es baja
se requiere tener en cuenta medidas
de prevención.
Aunque existen épocas de lluvia fuertes,
las instalaciones del centro de cómputo están
debidamente protegidas.
Tomar medidas de prevención
Los servidores principales se encuentran en un
ambiente libre de filtraciones.
Ante la mínima filtración se debe informar de
inmediato a la dirección, para realizar el
Respectivo mantenimiento preventivo.
Accesos No Autorizados.
Grado de Negatividad: Grave Frecuencia de Evento: Aleatorio Grado de Impacto: Grave
Situación Actual Acción CorrectivaSe controla el acceso al sistema de red
mediante la definición de un administrador
con su respectiva clave.
Se cumple
La asignación de usuario se realiza a
discrecionalidad del técnico de sistemas y
se solicita de forma verbal.
Se debe solicitar por escrito (E-mail) al
Técnico de sistemas la creación de usuarios y
los permisos que se requiere sean asignados, o
cualquier cambio referente a los mismos.La oficina administrativa no comunica al
área de sistemas, cuando un funcionario
sale a vacaciones o se retira de la entidad a
fin de desactivar ese usuario.
Se debe informar al área de sistemas, que
funcionario sale a vacaciones para así bloquear
el respectivo usuario por el tiempo de ausencia,
igualmente en caso de retiro definitivo.
Se acostumbra a confiar la clave de acceso
(uso personal) a compañeros de área, sin
medir la implicación en el caso de acceso
no autorizado.
Capacitar al personal sobre la confidencialidad
de sus contraseñas recalcando la responsabilidad
e importancia que ello implica, sobre todo para el
manejo de software.
No se cancelan los usuarios del personal que
se retira de la entidad de forma
inmediata, recurriendo en algunos casos a
utilizar la contraseña del funcionario
ausente.
Tan pronto se informe que un funcionario se
retira definitivamente se debe cancelar
este usuario.
Todos los usuarios sin excepción tienen un “login” o un nombre de cuenta de usuario y
una clave de acceso a la red con un mínimo de cuatro (6) dígitos. No se permiten claves
en blanco. Además están registrados en un grupo de trabajo a través del cual se otorga los
permisos debidamente asignados por el responsable de área. Cada usuario es responsable de
salir de su acceso cuando finalice su trabajo o utilizar un bloqueador de pantalla.
Ausencia del personal de sistemas
Grado de Negatividad: Grave Frecuencia de Evento: Aleatorio Grado de Impacto: Grave
Situación Actual Acción CorrectivaEn el centro de cómputo existe un único
funcionario con autorización para administrar
el sistema.
Es importante autorizar un administrador del
sistema alterno, en caso de que falte el
funcionario de sistemas no se paralice la
entidad.El funcionario de sistemas es la única persona
con claves de acceso al sistema, conocedor del
manejo de la red y los
Sistemas de información.
El funcionario de sistemas impartirá
instrucciones al administrador alterno.
El administrador alterno necesitara conocer
el inventario actualizado de sistemas.
Realizar depuración al inventario de
sistemas, realizando devolución de los
equipos que no están siendo utilizados.
No existe relación de los sistemas de
Información con los que cuenta la entidad, ni
su utilidad.
Realizar listado de los sistemas de
Información de la entidad, detallando
usuarios, en que equipos están instalados y
utilidad.En caso de fallas en la red y ausencia del
funcionario de sistemas, no existe un
diagrama lógico en el cual se definan las
conexiones de red existentes, de forma que
Agilice la labor de recuperación del sistema.
Realizar el diagrama lógico de la red y de
paso marcar cada uno de los puntos de red
físicos para que en caso de falla se agilice el
trabajo de inspección y por ende la
recuperación del sistema.EVENTOS CONSIDERADOS PARA EL PLAN DE CONTINGENCIA.
Cuando se efectúa un riesgo, este puede producir un Evento, por tanto a continuación se
describen los eventos a considerar dentro del Plan de Contingencia.
RIESGO EVENTOFallas Corte de Cable UTP.
Fallas Tarjeta de Red.
Fallas IP asignado.
Fallas Punto de Swicht.
Fallas Punto Pacht Panel.
Fallas Punto de Red.
NO EXISTE COMUNICACIÓN ENTRE
CLIENTE Y SERVIDOR
Fallas de Componentes de Hardware del
Falla del UPS (Falta de Suministro eléctrico).
Virus.
Sobrepasar el límite de almacenamiento del
Disco
Computador de Escritorio funciona como
Servidor
FALLAS EN EL EQUIPO SERVIDOR
Incapacidad
Accidente
Renuncia Intempestiva
AUSENCIA PARCIAL O PERMANENTE
DEL
PERSONAL DE TECNOLOGÍA DE LA
INFORMACIÓN.
Corte General del Fluido eléctrico
INTERRUPCIÓN DEL FLUIDO
ELÉCTRICO DURANTE LA
EJECUCIÓN DE LOS
PROCESOS.
Falla de equipos de comunicación: SWITCH,
Antenas,
Fibra Óptica.
Fallas en el software de Acceso a Internet.
Perdida de comunicación con proveedores de
Internet.
PERDIDA DE SERVICIO DE INTERNET
Incendio
Sabotaje
Corto Circuito
Terremoto
Tsunami
INDISPONIBILIDAD DEL CENTRO DE
COMPUTO (DESTRUCCIÓN DE LA SALA
DE SERVIDORES)
No hay comunicación entre cliente – servidor de la U.T.B.
1. Requerimiento del usuario, que no cuenta con acceso a la red.
2. El técnico de sistemas procederá a identificar el problema.
3. Si se constata problema con el patch core, realizar cambio del mismo.
4. Si no se resuelve el problema proceder a constatar si existe problema en la tarjeta de
red, en caso de afirmativo realizar cambio o arreglo de la misma.
5. Si persiste el problema revisar los puntos de red, utilizando el diagrama lógico.
6. Testear el cable UTP. Si existe daño, realizar el cambio del cable.
7. Realizar mantenimiento del punto de red del usuario y del gabinete de comunicaciones
8. Recuperación del sistema de red para el usuario.
Recursos de Contingencia.
- Componentes de Remplazo:
- Diagrama Lógico de la red
Falla del Servidor.
Puede producir Pérdida de Hardware y Software, Perdida del proceso automático de Backup
y restore e Interrupción de las operaciones. A continuación se describen algunas causas del
fallo en un Servidor:
Error Físico de Disco de un Servidor.
Dado el caso crítico de que el disco presenta fallas, tales que no pueden ser reparadas, se
debe tomar las acciones siguientes:
1. Ubicar el disco malogrado.
2. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y Teléfono a
jefes de área.
3. Deshabilitar la entrada al sistema para que el usuario no reintente su ingreso.
4. Bajar el sistema y apagar el equipo.
5. Retirar el disco malo y reponerlo con otro del mismo tipo, formatearlo y darle partición.
6. Restaurar el último backup en el disco, seguidamente restaurar las modificaciones
efectuadas desde esa fecha a la actualidad.
7. Recorrer los sistemas que se encuentran en dicho disco y verificar su buen estado.
8. Habilitar las entradas al sistema para los usuarios.
Error de Memoria RAM.
En este caso se dan los siguientes síntomas:
El servidor no responde correctamente, por lentitud de proceso o por no rendir
ante el ingreso masivo de usuarios.
Ante procesos mayores se congela el proceso.
Arroja errores con mapas de direcciones hexadecimales.
Es recomendable que el servidor cuente con ECC (error correct checking), por lo
tanto si hubiese un error de paridad, el servidor se autocorregirá.
Error de Tarjeta(s) Controladora(s) de Disco
Para los errores de cambio de Memoria RAM o Tarjeta Controladora de disco se deben
tomar las siguientes acciones:
1. Avisar a los usuarios que deben salir del sistema, utilizar mensajes por red y teléfono a
jefes de área.
2. El servidor debe estar apagado, dando un correcto apagado del sistema.
3. Ubicar la posición de la pieza a cambiar.
4. Retirar la pieza con sospecha de deterioro y tener a la mano otra igual o similar.
5. Retirar la conexión de red del servidor, ello evitará que al encender el sistema, los
usuarios ingresen.
6. Realizar pruebas locales, deshabilitar las entradas, luego conectar el cable hacia el
concentrador, habilitar entradas para estaciones en las cuales se realizarán las pruebas.
7. Al final de las pruebas, luego de los resultados de una buena lectura de información,
habilitar las entradas al sistema para los usuarios.
Error Lógico de Datos.
La ocurrencia de errores en los sectores del disco duro del servidor puede deberse a una de
las siguientes causas:
Caída del servidor de archivos por falla de software de red.
Falla en el suministro de energía eléctrica por mal funcionamiento del UPS.
Fallas causadas usualmente por un error de chequeo de inconsistencia física.
En caso de producirse alguna falla en el servidor de los sistemas computacionales de la
U.T.B.; se debe tener en cuenta:
Verificar el suministro de energía eléctrica.
Deshabilitar el ingreso de usuarios al sistema.
Realizar backup de archivos contenidos en el servidor, a excepción de la carpeta
raíz.
Cargar la Utilidad de diagnóstico de discos incorporada en los servidores verificar
en forma global el contenido del(os) disco(s) duro(s) del servidor.
Al término de la operación de reparación se procederá a revisar que las bases de
datos índices estén correctas, para ello se debe empezar a correr los sistemas y
así poder determinar si el usuario puede hacer uso de ellos inmediatamente. Si
se presenta el caso de una o varias bases de datos no reconocidas como tal, se
debe recuperar con utilitarios.
Recursos de Contingencia
- Componente de Remplazo (Memoria, Disco Duro, etc.).
- Backup diario de información del servidor.
Ausencia parcial o permanente del personal de la unidad de tecnología de la
información.
1. Oficio de Vicerrector Administrativo (escrita o Email) para que el Administrador alterno
se encargue del centro de cómputo de las tareas especificando el periodo d asignación.
2. Conocer la ubicación de los backups de información.
3. Contar con el diagrama lógico de red actualizado.
Recursos de Contingencia
Manual de funciones actualizado del Técnico de Sistemas de la Unidad de
Tecnologías.
Diagrama lógico de la Red de la U.T.B. actualizado.
Interrupción del fluido eléctrico durante la ejecución de los procesos.
1. Si fuera corto circuito, el UPS mantendrá activo los servidores, mientras se repare la
avería eléctrica.
2. Para el caso de apagón se mantendrá la autonomía de corriente que la UPS nos brinda
(corriente de emergencia), hasta que los usuarios completen sus operaciones, para que
no corten bruscamente el proceso que tienen en el momento del apagón.
3. Cuando el fluido eléctrico de la calle se ha restablecido se tomarán los mismos
cuidados para el paso de UPS a corriente normal (Corriente brindad por la empresa
eléctrica).
Recursos de contingencia
Asegurar que el estado de las baterías del UPS, se encuentren siempre cargadas.
Perdida de servicio internet.
1. Realizar pruebas para identificar posible problema dentro de la entidad
2. Si se evidencia problema en el hardware, se procederá a cambiar el componente
3. Si se evidencia problema con el software, se debe revisar las opciones de restauración
provista en sistema sophos.
4. Si no se evidencia falla en los equipos de la entidad, se procederá a comunicarse con
Proveedor del servicio, para asistencia técnica.
5. Es necesario registrar la avería para llevar un historial que servirá de guía para futuros
daños.
6. Realizar pruebas de operatividad del servicio.
7. Servicio de internet activo.
Recursos de Contingencia
- Hardware
- Router
- Sophos
- Herramientas de Internet.
Destrucción del Centro de Cómputo
1. Contar con el inventario total de sistemas actualizado.
2. Identificar recursos de hardware y software que se puedan rescatar.
3. Salvaguardar los backups de información realizados.
4. Utilizar el espacio seleccionado para el centro de cómputo alternativo (Facultad de
Ciencias Agropecuarias) y restaurar el Centro de Cómputo.
5. Presupuestar, hardware, materiales, personal y transporte.
6. Adquisición de recursos, hardware, materiales y contratación de personal.
7. Iniciar con la instalación y configuración del nuevo centro de cómputo.
8. Reestablecer los buckups realizados a los sistemas.
PLAN DE RECUPERACION Y RESPALDO DE LA INFORMACION.
El costo de la Recuperación en caso de desastres severos, como los de un terremoto que
destruya completamente el interior de edificios e instalaciones, estará directamente
relacionado con el valor de los equipos de cómputo e información que no fueron
actualizados. Este plan de restablecimiento estratégico del sistema de red, software y equipos
informáticos será abordado en la parte de Actividades Posteriores al desastre.
El paso inicial en el desarrollo del plan contra desastres, es la identificación de las
personas que serán las responsables de la ejecución del Plan de contingencia. Por tanto se
definen los siguientes responsables:
Técnico de Sistemas: Sera responsable de llevar a cabo las acciones correctivas
definidas anteriormente a fin de minimizar los riesgos establecidos.
Director de TICS Alterno: Verificara la labor realizada por el Técnico de Sistemas.
Un Plan de Recuperación de Desastres se clasifica en tres etapas: Actividades
Previas al Desastre.
Actividades Durante el Desastre. Actividades Después del Desastre.
Actividades previas al desastre
Se considera las actividades de actividades de resguardo de la información, en busca de un
proceso de recuperación con el menor costo posible para la Entidad. Se establece los
procedimientos relativos a:
Sistemas e Información
Equipos de Cómputo
Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
a. Sistemas de Información.
La Entidad deberá tener una relación de los Sistemas de Información con los que cuenta,
tanto los de desarrollo propio, como los desarrollados por empresas externas.
b. Equipos de Cómputo.
Se debe tener en cuenta un inventario de Hardware, impresoras, scanner, modems, fax y
otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional). Se
debe emplear los siguientes criterios sobre identificación y protección de equipos:
Pólizas de seguros comerciales, como parte de la protección de los activos
institucionales y considerando una restitución por equipos de mayor potencia, teniendo en
cuenta la depreciación tecnológica.
Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su
contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por
ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información
importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o
sin uso).
Mantenimiento actualizado del inventario de los equipos de cómputo requerido como
mínimo para el funcionamiento permanente de cada sistema en la institución.
c. Obtención y almacenamiento de Copias de Seguridad (Backups).
Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los
elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la
institución. Las copias de seguridad son las siguientes:
Backup del Sistema Operativo: Todas las versiones de sistema operativo instalados en la
Red. (Periodicidad – Semestral).
Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta
ejecución del software aplicativos de la institución). (Periodicidad – Mensual).
Actividades durante el Desastre (PLAN DE EMERGENCIAS).
Presentada la contingencia o desastre se debe ejecutar las siguientes actividades planificadas
previamente:
Plan de Emergencias
La presente etapa incluye las actividades a realizar durante el desastre o siniestros, se debe
tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada.
Este plan debe incluir la participación y actividades a realizar por todas y cada una de
las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, descritas
a continuación:
a. Buscar Ayuda de Otros Entes
Es de tener en cuenta que solo se debe realizar acciones de resguardo de equipos en los casos
en que no se pone en riesgo la vida de personas. Normalmente durante la acción del
siniestro es difícil que las personas puedan afrontar esta situación, debido a que no están
preparadas o no cuentan con los elementos de seguridad, por lo que las actividades para esta
etapa del proyecto de prevención de desastres deben estar dedicados a buscar ayuda
inmediatamente para evitar que la acción del siniestro causen más daños o destrucciones.
Se debe tener en toda Oficina los números de teléfono y direcciones de
organismos e instituciones de ayuda.
Todo el personal debe conocer la localización de vías de Escape o Salida: Deben
estar señalizadas las vías de escape o salida.
Instruir al personal de la entidad respecto a evacuación ante sismos, a través de
simulacros, esto se realiza acorde a los programas de seguridad organizadas por
Defensa Civil a nivel local u otros entes.
Ubicar y señalizar los elementos contra el siniestro: tales como extintores, zonas
de seguridad (ubicadas normalmente en las columnas), donde el símbolo se muestra
en color blanco con fondo verde.
Secuencia de llamadas en caso de siniestro: tener a la mano elementos de
iluminación, lista de teléfonos de instituciones como: Compañía de Bomberos,
Hospitales, Centros de Salud, Ambulancias, Policía.
b. Formación de Equipos
Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán
realizar en caso de desastre. En caso de que el siniestro lo permita (al estar en un inicio o
estar en un área cercana, etc.), se debe formar 2 equipos de personas que actúen directamente
durante el siniestro, un equipo para combatir el siniestro y el otro para salvamento de los
equipos informáticos, teniendo en cuenta la clasificación de prioridades.
c. Entrenamiento.
Se debe establecer un programa de prácticas periódicas con la participación de todo el
personal en la lucha contra los diferentes tipos de siniestro, de acuerdo a los roles que se
hayan asignado en los planes de evacuación del personal o equipos, para minimizar
costos se pueden realizar recarga de extintores, charlas de los proveedores, etc. Es importante
lograr que el personal tome conciencia de que los siniestros (incendios, inundaciones,
terremotos, apagones, etc.) pueden realmente ocurrir; y tomen con seriedad y
responsabilidad estos entrenamientos; para estos efectos es conveniente que participen los
Directores, Jefes y autoridades, dando el ejemplo de la importancia que la Alta Dirección
otorga a la Seguridad Institucional.
Actividades después del desastre
Estas actividades se deben realizar inmediatamente después de ocurrido el siniestro, son las
siguientes:
a. Evaluación de daños
El objetivo es evaluar la magnitud del daño producido, es decir, que sistemas se están
afectando, que equipos han quedado inoperativos, cuales se pueden recuperar y en
cuanto tiempo. En el caso de la Universidad Técnica de Babahoyo se debe atender los
Procesos de Contabilidad, Tesorería, Presupuesto y demás Sistemas de Información
primordiales para el funcionamiento de la Entidad, por la importancia estratégica. La
recuperación y puesta en marcha de los servidores que alojan dichos sistemas, es prioritario.
b. Priorizar Actividades
La evaluación de los daños reales nos dará una lista de las actividades que debemos realizar,
preponderando las actividades estratégicas y urgentes de nuestra institución. Las actividades
comprenden la recuperación y puesta en marcha de los equipos de cómputo ponderado y los
Sistemas de Información, compra de accesorios dañados, etc.
c. Ejecución de actividades
La ejecución de actividades implica la colaboración de todos los funcionarios, creando
Equipos de Trabajo, asignando actividades. Cada uno de estos equipos deberá contar
con un líder que deberá reportar el avance de los trabajos de recuperación y en caso de
producirse un problema, reportarlo de inmediato al Directivo, brindando posibles
soluciones.
Los trabajos de recuperación se iniciaran con la restauración del servicio usando los
recursos de la institución, teniendo en cuenta que en la evaluación de daños se
contempló y gestiono la adquisición de accesorios dañados. La segunda etapa es volver a
contar con los recursos en las cantidades y lugares propios del Sistema de Información,
debiendo ser esta última etapa lo suficientemente rápida y eficiente para no perjudicar la
operatividad de la institución y el buen servicio de nuestro sistema e Imagen Institucional.
d. Evaluación de Resultados.
Una vez concluidas las labores de Recuperación de los sistemas que fueron afectados
por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, con que
eficacia se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o
entorpecieron) las actividades, como se comportaron los equipos de trabajo, etc. De la
evaluación de resultados y del siniestro, deberían de obtenerse dos tipos de
recomendaciones, una la retroalimentación del Plan de Contingencias y Seguridad de
Información, y otra una lista de recomendaciones para minimizar los riesgos y perdida que
ocasionaron el siniestro.
e. Retroalimentación de Actividades.
Con la evaluación de resultados, podemos mejorar las actividades que tuvieron algún tipo
de dificultad y reforzar los elementos que funcionaron adecuadamente.
CONCLUSIONES
El presente Plan de contingencias y desastres de la Universidad Técnica de
Babahoyo, tiene como fundamental objetivo el salvaguardar la infraestructura de la Red y
Sistemas de Información. Este Plan está sujeto a la infraestructura física y las funciones que
realiza el Área de Tecnologías de Información y comunicación..
No existe un plan único para todas las organizaciones, esto depende de la
infraestructura física y las funciones que realiza en Centro de Procesamiento de Datos más
conocido como Centro de Cómputo.
Lo único que realmente permite a la institución reaccionar adecuadamente ante
procesos críticos, es mediante la elaboración, prueba y mantenimiento de un Plan de
Contingencia.
RECOMENDACIONES
Hacer de conocimiento general el contenido del presente Plan de Contingencias y
desastres, con la finalidad de instruir adecuadamente al personal de la Universidad Técnica
de Babahoyo.
Adicionalmente al plan de contingencias se deben desarrollar las acciones correctivas
planteadas para minimizar los riesgos identificados.
Es importante tener actualizados los contratos de garantía y licencias tanto de
hardware como de software, así como pólizas de aseguramiento.
Cuando el administrador de la red se encuentre ausente se recomienda capacitar a
una persona que pueda hacer lo mínimo indispensable para levantar todos los servicios, a fin
de que la operación básica de la Entidad no se vea interrumpida.
ANEXO 15
PLAN DE MANTENIMIENTOPREVENTIVO Y CORRECTIVO
UNIDAD DE TELEMÁTICA Y SOPORTE TÉCNICO Versión: 1.0
El DEPARTAMENTO DE SISTEMAS.
Es la Unidad encargada de la planificación y elaboración de las políticas,
procedimientos, regulaciones y acompañamiento institucional en materia de
Tecnologías de la Información y Comunicaciones, las cuales buscan apoyar la toma
de decisiones, generando transformaciones importantes de TI que impacten
positivamente el desempeño académico, investigativo y administrativo de la
Universidad Técnica de Babahoyo
Dentro de estos preceptos se enmarcan los planes de mantenimiento preventivo y
correctivo aplicable a todos los equipos computacionales de la Universidad Técnica
de Babahoyo, que permitan garantizar la continuidad de las operaciones académicas
y administrativas que involucren el uso de equipos de cómputo.
INTRODUCCIÓN
Hoy en día, las computadoras se han convertido en una herramienta importante para
el desarrollo de las actividades de docencia, investigación y de gestión
administrativa, ya que estas permiten apoyar en los procesos de enseñanza y
aprendizaje, desarrollar cálculos matemáticos, estadísticos, consultas bibliográficas,
simulaciones, análisis de información, el acceso a todo un mundo de conocimiento
publicado o compartido por diferentes personas y/o entidades, y el acceso a redes
colaborativas y sociales entre otros.
El uso de estas herramientas, hace que sea importante realizar frecuentemente
mantenimiento preventivo a los equipos de cómputo de la UTB, que busquen
minimizar al máximo la perdida de información, la prevención por mal
funcionamiento, o la pérdida definitiva de las maquinas, ocasionadas por daños
irreversibles de los componentes con los cuales son construidos estos elementos, de
no prevenirse esta situación se generarían altos costos operativos por reposición
para la institución. Este mantenimiento estaría a cargo el personal de soporte
técnico y ayudantes de laboratorios de las Facultades, siguiendo las directrices de la
dirección del Departamento de sistemas.
OBJETIVO GENERAL
Generar el plan de mantenimiento preventivo de los equipos de cómputo de la
Universidad Técnica de Babahoyo, que garanticen la continuidad de las operaciones
académicas y administrativas de la institución.
OBJETIVOS ESPECÍFICOS
Elaborar y ejecutar el plan de mantenimiento preventivo y correctivo de los
equipos de cómputo de la UTB.
Realizar el inventario de los equipos de cómputo y sus periféricos de las áreas
académicas y administrativas de la Universidad Técnica de Babahoyo.
Diagnosticar las condiciones generales de cada equipo de cómputo de la
institución, con el propósito de determinar las condiciones de operación de
los mismos y disminuir posibles daños ocasionados por falta de mantenimiento.
Mantener en óptimas condiciones de operatividad los equipos de cómputo y así
mejorar su rendimiento.
DEFINICIONES.
MANTENIMIENTO: Es un proceso mediante el cual se asegura que un activo
(equipo)
Continúe desempeñando las funciones deseadas.
MANTENIMIENTO PREVENTIVO: Es aquel que se hace con anticipación y de
manera programada con el fin de evitar desperfectos el mantenimiento preventivo
consiste en dar limpieza general al equipo de computo y confirmar su correcto
funcionamiento, en el caso de las computadoras, el mantenimiento se puede dividir
en dos, el que se le da al equipo (físico) y el que se le da a los programas instalados
(lógicos).
MANTENIMIENTO CORRECTIVO: Este mantenimiento se dará cuando exista
una falla en el equipo de cómputo, y consiste en corregir el error ya sea físico o
lógico, no necesariamente este tipo de mantenimiento incluye al preventivo,
pero una vez corregido el error se puede aprovechar para prevenir otros.
PLAN DE MANTENIMIENTO PREVENTIVO.
El DEPARTAMENTO DE TECNOLOGÍAS.
Planificará el mantenimiento preventivo tomando como base el inventario
actualizado de los equipos de cómputo activos con que cuenta la Universidad
Técnica de Babahoyo. El responsable de la constitución del Plan de Mantenimiento
será el Jefe de la unidad de telemática y soporte técnico, y el responsable de la
Ejecución del Plan será el encargado del Área de Soporte Técnico.
El plan de mantenimiento preventivo contará con las siguientes fases:
1. Levantamiento de Inventario
Para poder ejecutar el plan de mantenimiento preventivo, es necesario contar con
un inventario actualizado que contemple los diferentes aspectos técnicos de cada uno
de los equipos de cómputo y sus periféricos, así como su ubicación física y usuario
responsable. El levantamiento de la información está a cargo de la Unidad de
Inventario.
2. Actividades del Mantenimiento Preventivo.
Las actividades que se van a desarrollar durante el proceso de mantenimiento
preventivo serán:
Informar a los señores decanos, subdecanos, directores, jefes de área del
inicio del proceso de mantenimiento correctivo para contar con la
disposición y el tiempo para llevar a cabo este proceso. Se debe notificar
por escrito con mínimo cinco días de anterioridad al inicio de la fecha
programada para el mantenimiento.
Verificar que el equipo este registrado en el inventario de equipos de
cómputo de la institución, esto con el objetivo de corroborar que es de
propiedad de la U.T.B.
Verificar que los equipos de cómputo tengan vigentes las garantías para en
caso de sea necesario gestionarla ante el proveedor.
Verificar el estado actual del equipo, al momento de realizar el
mantenimiento.
Iniciar el proceso de limpieza eliminando residuos de polvo de cada una
de las partes de los equipos de cómputo.
Comprobar el estado del Antivirus, instalar y/o actualizarlo con el
licenciamiento de la Universidad. Eliminar virus y malwares si estos se
encuentran alojados en el equipo de cómputo.
Desinstalar todo software que no esté debidamente licenciado por la
Institución y dejar constancia de su desinstalación ante el responsable
del equipo de
cómputo.
Diligenciar el formato de Mantenimiento realizado, donde se especifican las
actividades efectuadas.
El proceso de mantenimiento preventivo, debe ser realizado de manera detallada en
cada equipo de cómputo, y para esta actividad se estima un tiempo en promedio
45 minutos por equipo. Los mantenimientos se realizarán teniendo en cuenta las
fechas establecidas en el presente plan y será previamente comunicado a los
usuarios.
En el eventual caso que durante el proceso de mantenimiento correctivo se
evidencie un daño o desperfecto, que estén ocasionando mal funcionamiento
del equipo de cómputo, será procederá a realizar mantenimiento correctivo, con el
objetivo de remplazar la parte o las partes defectuosas. Para realizar el
mantenimiento correctivo el personal de soporte técnico levantará el reporte técnico
de diagnóstico que justifique proceso.
NOTA: El mantenimiento que se le realiza semestralmente a los laboratorios de
cómputo debe incluir un formateo completo de cada una de las particiones del
Disco Duro de estos equipos. Una vez formateadas se procederá a la instalación del
software de sistema operativo y ofimática con base al licenciamiento de la
institución. El personal responsable del mantenimiento puede hacer uso de
imágenes ya generadas de los Discos Duros que permitan agilizar el proceso de
instalación.
3. Cronograma de Ejecución.
El mantenimiento preventivo será realizado en las fechas que se describen a
continuación, y para ello se tendrá en cuenta el Acuerdo de Calendario Académico
para el Primer y Segundo periodo de cada año, además de la información de la
ubicación de cada equipo y el área al cual ha sido asignada (área administrativa –
académica, laboratorios de Computo), así:
Área Administrativa – Académica
Sede Dependencia Fecha
(Facultad deAdministraciónFinanzas eInformática)
Laboratorios
2da. Semana de Enero
1ra.Semana de Julio
BibliotecaDecanatoSubdecanatoDirección de EscuelaSecretaría
Facultad de Ciencias de la Salud.
Área Administrativa – Académica.
Sede Dependencia Fecha
(Facultad de Ciencias de la Salud)Laboratorios
3da. Semana de Enero
2da.Semana de Julio
BibliotecaDecanatoSubdecanatoDirección de EscuelaSecretaría
Facultad de Ciencias Sociales y de la Educación.
Sede Dependencia Fecha
(Facultad de Ciencias Sociales y de laEducación)
Laboratorios
4ta. Semana deEnero
3ra.Semana deJulio
BibliotecaDecanatoSubdecanatoDirección deEscuelaSecretaría
Facultad de Ciencias Agropecuarias.
Sede Dependencia Fecha
(Facultad de Ciencias Agropecuarias)Laboratorios
1ra. Semana de febrero
4ta.Semana de Julio
BibliotecaDecanatoSubdecanatoDirección de EscuelaSecretaría
4. Recomendaciones a Usuarios Finales.
Una vez terminada la parte técnica del mantenimiento, el personal
responsable, realizará recomendaciones a cada uno de los usuarios, con el
objetivo de que estos contribuyan con la conservación y el óptimo
funcionamiento de los equipos. Las recomendaciones que se socializarán
serán las siguientes:
No ingerir alimentos y bebidas en el área donde utilice el equipo de
cómputo.
No apagar el equipo, sin antes salir adecuadamente del sistema
Hacer buen uso de los recursos de cómputo
Realizar respaldos de información crítica periódicamente
Consultar con el personal del área de soporte técnico cualquier duda o
situación que se presente relacionada con los equipos informáticos.
Cuidar las condiciones físicas de limpieza donde se encuentre el equipo
Los usuarios NO pueden instalar ningún tipo de software en los
equipos de propiedad de la Universidad. Esta actividad es
competencia únicamente del equipo de soporte técnico previa
verificación de la existencia del licenciamiento.
5. Informes semestrales del resultado del plan de mantenimiento y
formulación de planes de mejora.
Hasta la fecha no existen informes sobre los mantenimientos realizados, pero a
partir del primer semestre del 2015, el responsable de mantenimiento y soporte
deberá presentar al director del departamento de sistemas un informe de las
actividades realizadas y los hallazgos encontrados. Este informe permitirá realizar
los ajustes al presente plan. El presente plan entra en vigencia a partir del día 15 de
Enero de 2015.
Ficha de actividades realizadas.
RESPONSIBLE
ACT. NUM.
FORMATO ODOCTO.
DESCRIPCION DEACTIVIDADES
AREA DESOPORTETECNICO
1Consulta el calendario de visitas y llamaal responsable de la unidad administrativapara concertar cita.
2
Acude el día y hora convenida, procede adesarmar el CPU, monitor, teclado, mouse,impresora, etc.; aspira y sopletea todassus partes, como son tarjetas, unidad dediskette, cd-rom y lubrica los engranes decada equipo.
3Arma el equipo, asegurándose de colocartodos los tornillos en el sitio correcto y queembone perfectamente la cubierta de cadaequipo.
4Enciende el equipo para que el usuarioverifique su buen funcionamiento.
5
NO EXISTEN FALLAS EN EL EQUIPO
Elabora y firma hoja de servicio, recabafirma de conformidad del usuario oresponsable del equipo.
Termina Procedimiento.
- HOJA DE SERVICIO.
6
EXISTEN FALLASEN EL EQUIPO
Comunica falla al usuario, corrige la piezamal instalada (unidades de Cd-Rom.diskette, etc.) y/o reemplaza la piezadañada y reinicia el equipo para que elusuario verifique su buen funcionamiento.
FIN DEPROCEDIMIENTO.
OBSERVACIONESRealizado Por……………………
Enciende el equipo para que el usuarioverifique su buen funcionamiento.
DIAGRAMA DE FLUJO DEL PROCEDIMIENTOFECHA DE AUTORIZACIÓN HOJA DE
28 JUNIO
2015 1 2
PROCEDIMIENTO: MANTENIMIENTO PREVENTIVO AL EQUIPO DE CÓMPUTO
ÁREA: DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS INFORMÁTICOS DEPARTAMENTO : DE SISTEMAS / ÁREA DE SOPORTE TÉCNICO
ÁREA DE SOPORTE TÉCNICO
INICIO
1
Consulta el calendario de visitas y llama alresponsable de la unidad administrativa para
concertar cita
2
Acude el día y hora convenida, procede adesarmar el CPU, monitor, teclado, mouse,impresora, etc.; aspira y sopletea todas sus
partes, como son tarjetas, unidad de diskette, cd-rom y lubrica los engranes de
cada equipo.
3
Arma el equipo, asegurándose de colocar todoslos tornillos en el sitio correcto y que embone
perfectamente la cubierta de cada equipo
4
2
A
DIAGRAMA DE FLUJO DEL PROCEDIMIENTOFECHA DE AUTORIZACIÓN HOJA DE
28 JUNIO
2015 1 2
PROCEDIMIENTO: MANTENIMIENTO PREVENTIVO AL EQUIPO DE CÓMPUTO
ÁREA: DIRECCIÓN DE TECNOLOGÍAS Y SISTEMAS INFORMÁTICOS DEPARTAMENTO : DE SISTEMAS / ÁREA DE SOPORTE TÉCNICO
ÁREA DE SOPORTE TÉCNICO
A
5
¿EXISTEN FALLASEN EL EQUIPO?
Elabora y firma hoja de servicio, recabaNo firma de conformidad del usuario o
responsable del equipo.
fin
Realizar Informe deproblemas
fin
ANEXO 16.
Reglamento para el Uso Adecuado de Internet y del Equipo de Cómputo.
APLICACIÓN.
Será aplicable a todas las personas que hagan uso del hardware, software, sistemas de
cómputo y servicios informáticos provistos a través de la Red de Internet de la Universidad
Técnica de Babahoyo que son propiedad del mismo.
PROPÓSITO Y OBJETIVO
La finalidad del presente reglamento es establecer las bases para el uso correcto del hardware,
software, sistemas de cómputo y servicios informáticos propiedad de la Universidad Técnica
de Babahoyo permitiendo así su eficiencia en los objetivos propiamente Laborales.
Conforme a este reglamento, se requiere que el personal que labora en cualquiera de los
departamentos de la Universidad Técnica de Babahoyo. Utilice correctamente los equipos de
cómputo, así como los programas y todas las piezas o periféricos que se conectan a éstos y
que complementan su operación. De la misma manera, el personal deberá utilizar
correctamente los servicios informáticos y sistemas de cómputo disponibles a través de la Red
de Internet de la U.T.B. Este personal tiene la obligación de tomar las medidas necesarias
para proteger el equipo y asegurar su funcionamiento.
DEFINICIONES
A los efectos de este reglamento los términos y frases utilizados en él, tendrán el significado
que a continuación se indica:
1) Ancho de Banda: Se aplica a memorias y redes para indicar la máxima cantidad de
información simultánea que se puede transferir por un canal en cada unidad de tiempo.
Generalmente se mide en bits por segundo (bps) o en hercios (Hz) que define el rango de
frecuencias que puede abarcar sin degradar la señal.
2) Bases de Datos: Sistema de almacenamiento de datos muy flexible que permite utilizar la
información en función de diversos criterios.
3) Correo Electrónico: Servicio de transmisión de mensajes a través de una red.
4) Freeware: Software que se puede utilizar gratuitamente, aunque el propietario conserva el
copyright. Suele distribuirse por Internet, a través de los discos compactos de algunas revistas,
etc.
5) FTP: Son las siglas de File Transfer Protocol, el nombre del protocolo estándar de
transferencia electrónica de archivos o carpetas. Su misión es permitir a los usuarios enviar y
recibir archivos de todos los equipos que sean servidores FTP.
6) Hardware: Partes físicas en que componen los equipos de cómputo o una red, a
diferencia de los programas o elementos lógicos que los hacen funcionar.
7) Internet: Es una red mundial con millones de servidores conectados. Utilizan la familia de
protocolos TCP/IP. Estos pueden intercambiar información y establecer distintos servicios
tales como visitar páginas de portales, entre otros.
8) Periféricos: Son dispositivos por los cuales las computadoras se comunican al exterior y
otros equipos (Impresoras, Monitor, Scanner, computadoras etc.). A través de ellos recibe
programas, datos y se almacena información.
9) POP: (Post Office Protocol). Protocolo de Oficina de Correos. Protocolo diseñado para
permitir a sistemas de usuario individual leer correo electrónico almacenado en un servidor.
10) Portales: Sitio de Internet cuyo objetivo es ofrecer al usuario, de forma fácil e integrada,
el acceso a una serie de recursos y de servicios, entre los que suelen encontrarse buscadores,
foros, compra electrónica, etc.
11) PROXY Servidor: Sistema que permite compartir dentro de la Red Local el acceso a
Internet de forma eficiente y segura, así como también aumenta la productividad y optimiza el
ancho de banda.
12) Red Local ó LAN: Red de computadoras interconectadas en un área predeterminada,
permitiendo que los usuarios envíen, reciban y compartan el acceso a los archivos y datos.
13) Shareware: Software que los usuarios pueden utilizar gratuitamente durante un periodo de
tiempo determinado. Más allá de este periodo, deben pagar una cuota por licenciamiento si
desean seguir utilizándolo.
14) Sistema de cómputo: Se refiere al uso y manejo de la información en los equipos
electrónicos computarizados que se utilizan como herramienta de trabajo en él.
15) SMTP: (Simple Mail Transfer Protocol). Protocolo Simple de Transferencia de Correo.
Protocolo que se usa para trasmitir correo electrónico entre servidores.
16) Software: Conjunto de programas, documentos, procesamientos y rutinas asociadas con
la operación de un sistema de computadoras, es decir, la parte intangible o lógica de una
computadora.
17) SPAM: Envío masivo, indiscriminado y no solicitado de publicidad a través de correo
electrónico.
Reglamento para el Uso Adecuado de Internet y del Equipo de Cómputo.
Artículo 1. El presente documento es de observación general y obligatoria para todos los
usuarios de la Red de Internet de la U.T.B. Quienes se encuentran adscritos a los diferentes
departamentos pertenecientes a la Universidad Técnica de Babahoyo. Su desconocimiento
nunca podrá ser invocado como excusa para evitar las sanciones correspondientes
establecidas en este mismo documento.
Artículo 2. Deberán cumplirse todas las normas especificadas en el presente documento, las
cuales se comunicaran y se harán del conocimiento de los usuarios a través de los diferentes
medios posibles, e incluso directamente a los interesados.
Artículo 3. El uso de los servicios ofrecidos a través de la Red de Internet, son para uso
exclusivo del personal que labora en las diferentes Departamentos de la U.T.B.
Artículo 4. Esta estrictamente prohibido cualquier uso de los recursos de Internet, con fines
comerciales, políticos, particulares o cualquier otro tipo que no sea propio de las actividades
exclusivamente laborales de los diferentes departamentos de la U.T.B.
Artículo 5. El uso de los recursos informáticos, estará limitado a fines o actividades laborales
exclusivamente propias del área.
Artículo 6. Ninguno de los Trabajadores, Secretarias o empleados de la Institución, están
facultados para realizar la reparación, revisión, mantenimiento de los equipos de cómputo,
programación de software comercial o desarrollado.
Artículo 7. El Jefe del mantenimiento del equipo de cómputo será el encargado de
monitorear el uso adecuado de los servicios ofrecidos a través de la Red de Internet, así como
de la Instalación de Programas previamente Autorizado.
RECOMENDACIONES GENERALES
Artículo 8. EL usuario deberá borrar por lo menos cada quince (90) días la correspondencia
electrónica no útil, descargada o archivada en sus equipos de cómputo (localmente), así como
archivos temporales, de manera que se pueda utilizar al máximo el espacio disponible en el
disco duro del equipo.
Artículo 9. Verificar que todos los archivos que se descarguen a su computadora no contengan
virus, para evitar que estos se propaguen a través de la red.
Artículo 10. No confiar en los archivos gratuitos que se descargan de sitios Web
desconocidos, ya que son potencial vía de propagación de virus.
Artículo 11. A fin de evitar la propagación de virus, gusanos y códigos maliciosos
informáticos, los usuarios se abstendrán de abrir correos electrónicos de cuentas no
identificadas, con títulos genéricos en otros idiomas distintos al propio y en especial de
aquellos que contengan archivos adjuntos con extensiones: *.exe, *.com, *.bat, *. pif, *.scr,
*.cmd, *.cpl, *.bbs.
Artículo 12. No contestar los mensajes SPAM, ya que al hacerlo se re-configurará su
dirección IP, ni prestar atención a los mensajes con falsos contenidos, tales como ofertas de
premios, dinero, solicitudes de ayuda caritativa, advertencia de virus de fuentes desconocidas,
etc.
Artículo 13. El acceso a la red de Internet deberá ser mediante un uso adecuado para evitar
que los enlaces se saturen. Estos mejorarán los tiempos de acceso a la información.
Artículo 14. Los servidores públicos, para comunicarse y enviar información a través de
correo electrónico en el desempeño de su cargo, procurarán usar solo cuentas del Servicio de
correo electrónico Institucional.
Artículo 15 Los usuarios deberán asegurarse de apagar su equipo al término de cada jornada.
De las prohibiciones a los usuarios
Artículo 1. Queda prohibido realizar actividades de inspección de la información en redes,
sistemas y bases de datos; así como la instalación, ejecución y uso de programas,
aplicaciones, códigos o componentes.
Artículo 2. Queda prohibido la descarga, almacenamiento, reproducción, transferencia
y distribución de archivos, que contravenga y lesione los derechos de autor de cualquier obra
protegida, ya sea Música, videos software etc.
Artículo 3. Queda prohibido usar el servicio Internet en relación con encuestas, concursos,
cartas en cadena, mensajes no deseados, correos molestos, u otros mensajes duplicativos o
no solicitados, o cualquier otro que no sea de carácter laboral.
Artículo 4. Publicar, distribuir o divulgar cualquier información o material
inapropiado, difamatorio, ilícito, obsceno, indecente o ilegal.
Artículo 5. Intentar obtener acceso de forma no autorizada a servicios, sistemas informáticos
o a redes conectadas con Internet, a través de búsqueda automática de contraseñas o por otros
medios. A fin de afectar o paralizar algún servicio o equipos conectados dentro de la
infraestructura de la Red de la U.T.B. Y otras redes a las que se proporcione acceso
Incluyendo redes Inalámbricas.
Artículo 6. Acceder a sitios Web de contenido que no sea estrictamente de carácter oficial
y que no sea de apoyo para las funciones administrativas. Explícitamente de contenido ocioso
y pornográfico.
Artículo 7. Se prohíbe el uso del servicio para comunicaciones de tipo personal (Chat), así
como también programas de mensajería instantánea y sitios que brindan este tipo servicios.
Estas aplicaciones consumen una buena parte del ancho de banda, así como también se
traduce en distracción y tiempo efectivo laboral del personal.
Artículo 8. Transmitir o cargar archivos que contengan virus, caballos de Troya, gusanos u
otros programas perjudiciales o nocivos, que pudieran utilizar la red para propagarse.
Artículo 9. Congestionar los enlaces de comunicaciones o sistemas informáticos mediante la
transferencia o ejecución de archivos o programas que no son de uso oficial o propio del
trabajo. Como las aplicaciones de alto consumo de ancho de banda (radio en línea, video en
línea, programas y accesos a sitios ftp no oficiales, programas de descargas de archivos de
música y video comúnmente llamados “peer to peer”). (Programas como ARES)
DE LAS SANCIONES.
Artículo 1. El incumplimiento de las disposiciones de este reglamento estará sujeto a
investigación administrativa y a la imposición de las medidas disciplinarias
correspondientes por parte de la U.T.B.
Artículo 2. En caso de detectarse comportamientos considerados inadecuados, alguna
violación de alguna de las políticas anteriores u otro tipo de abuso de los recursos
proporcionados a través de la Red de Internet, que causen perjuicio a otros usuarios, a la
seguridad, disponibilidad o integridad de la infraestructura de la Red de la U.T.B.,
implicará ampliar el alcance y la frecuencia de los controles implementados; llegado el caso,
el usuario será advertido de la situación. Si la advertencia es ignorada, El
Administrador de la Red, pondrá en conocimiento de las autoridades correspondientes, para
adoptar las medidas disciplinarias o administrativas adecuadas, además de proceder a excluir
al usuario infractor de cualquier uso posterior de los recursos de la Red.
ANEXO 17.
Auditoría al Departamento de Tecnologías de la U.T.B.
Investigación Preliminar.
Reseña Histórica de la Universidad Técnica de Babahoyo.
La Universidad Técnica de Babahoyo, fue creada el 5 de Octubre de 1971, es una institución
de Educación Superior con personería Jurídica que se rige por la constitución de la República
del Ecuador y por las normas expedidas por el Concejo de Educación Superior.
Las actividades de la Universidad Técnica de Babahoyo, están basadas en la gestión
administrativa, docencia, investigación y vinculación con la colectividad y acoge principios
asumidos por la universidad ecuatoriana en el contexto universal.
La Universidad Técnica de Babahoyo es una institución sin fines de lucro, que se sustenta
en los principios de reconocimiento y ejercicio de la autonomía responsable, cogobierno,
igualdad de oportunidades, calidad, pertinencia, integralidad y autodeterminación, para la
producción del pensamiento y conocimiento en el marco del dialogo de saberes, producción
científica tecnológica global y en la inviolabilidad de sus predios.
La universidad Técnica de Babahoyo tiene las siguientes Misión y Visión.
Misión.- Formar profesionales y académicos, líderes y emprendedores con valores éticos y
morales con conocimientos científicos y tecnológicos que promuevan la investigación,
trasferencia de tecnología e innovación y extensión de calidad, para contribuir en la
trasformación social y económica del país.
Visión.- Ser líder y referente en la trasformación humanista, investigación e innovación de
la educación superior en América Latina.
Fines y Objetivos.- La Universidad Técnica de Babahoyo, hace suyos los fines y objetivos
de la Educación Superior, consagrados en la Ley Orgánica de Educación Superior (LOES)
y garantiza el cumplimiento de los principios de pertinencia e integralidad así como la
articulación de sus actividades a los objetivos del régimen de desarrollo previsto en los
instrumentos de planificación del Estado Ecuatoriano.
ORGANIGRAMA DE LA UNIVERSIDAD TÉCNICA DE BABAHOYO.
Puestos de Trabajo de la Universidad Técnica de Babahoyo
El número de puestos de trabajo de acuerdo a las unidades a continuación se detallan.
Total de Empleados de la U.T.B.
Total 227
Tabla 1. Número de empleados Administrativos.
Fuente: Unidad de Talento Humano
PROYECTOS DE INVERSION SUPERTEL
Estudio de la Dirección de Tecnología de la Información
Atribuciones y responsabilidades de la Dirección de Tecnología de la Información.
Entre las atribuciones y responsabilidades se encuentran las
siguientes:
1. Administrar las operaciones del Data Center, redes locales y departamentales de la
institución;
2. Propiciar buenas prácticas de Gobierno y Democracia Digital, así como también el
uso masivo de tecnologías.
3. Desarrollo e Implementación de Planes de Sistemas de Información y Tecnologías
Informáticas, considerando capacitación y formación de usuarios.
4. Desarrollo de Manuales de procedimientos, metodologías y estándares informáticos
para buenas prácticas de servicios.
5. Servicios informáticos según las aplicaciones bajo su responsabilidad en
coordinación con los destinatarios de cada servicio.
6. Desarrollo de Software de base a medida y utilitarios para hacer eficiente el trabajo
de las diferentes unidades de la institución y redes locales.
7. Desarrollo de aplicaciones con bases de datos tipo software libre para producir
información para la toma de decisiones;
8. Desarrollo de planes y proyectos de tecnología de información y comunicaciones.
9. Estudios Periódicos para la provisión de equipos, programas y servicios
computacionales, según las necesidades de todas las unidades departamentales;
10. Instalación, operación, control y mantenimiento de hardware, software y redes de
cómputo.
11. Inventario físico actualizado de las configuraciones computacionales y de
comunicación.
12. Análisis de rendimiento óptimo de recursos consumibles de información (tintas,
tóneres, cintas, etc.).
13. Apoyo a la mejora continua de procesos y procedimientos para fortalecer la
institución.
Objetivos estratégicos de la Unidad de Tecnología de la Información
La Tecnología de la Información es una unidad de apoyo responsable de la administración
y control de TI en la Institución, los objetivos que plantea esta dirección se muestran en
la Tabla.
OBJETIVOS
ESTRATÉGICOS
Innovar
tecnológicamente la
institución
Desarrollar sistemas informáticos
Dar mantenimiento a todos los sistemas de información que lo
requieran
Proporcionar líneas de comunicación efectivas hacia los
usuarios.
Dotar de herramientas tecnológicas a los Usuarios, que
permitan incrementar su productividad. Proporcionar asesoría
tecnológica para la ejecución de todos los proyectos, para que
se realicen en el tiempo indicado.
Anticipar las
necesidades
tecnológicas de la
institución
Investigar tendencias que cumplan con estándares
internacionales y que pudieran proporcionar nuevas
alternativas de servicios.
Mantener una estructura
Dinámica
Hacer el seguimiento del marco regulatorio para el uso,
administración y control del recurso tecnológico
informático de la institución
Optimizar los procesos de la Dirección.
Tabla 3. Objetivos de la Unidad de TI.
Fuente: Departamento de TI.
Análisis FODA de la Unidad de Tecnología de la Información
Luego de un análisis mediante observación, indagación y entrevistas se
identificaron las fortalezas, oportunidades, debilidades y amenazas de la Unidad de TI.
FORTALEZAS OPORTUNIDADES
Buen nivel de conocimiento
técnico.
Equipo humano homogéneo.
Predisposición al cambio.
Infraestructura física
actualizada.
Participación en proyectos institucionales.
Nuevas áreas tecnológicas disponibles.
Convergencia de servicios.
DEBILIDADES AMENAZAS
La Dirección no es una unidad
asesora en la toma de decisiones,
únicamente apoya en la ejecución.
Carga laboral poco equilibrada
debido a la falta de personal frente
a la cantidad de servicios.
Falta de una normativa adecuada
Altos costos de la tecnología
Tabla 4. Matriz FODA de la Unidad de TI.
Elaborado por: Departamento de TI.
Recursos Humanos de la Dirección general de Tecnología.
Para realizar las funciones de la Dirección de Tecnología cuenta con el recurso humano
especificado en la Tabla.
Tabla 5. Recursos Humanos de Dirección de Tecnología.
Elaborado por: José Mejía Viteri.
Estructura por Procesos de la Dirección de TI
Unidad de Telemática y Soporte Técnico
Redes de Datos
1. Informes de ejecución de proyectos de infraestructura tecnológica relacionados con
redes y telecomunicaciones.
2. Propuestas de aplicación de tecnologías de comunicaciones en los procesos de la
Universidad, como resultados de investigaciones de carácter tecnológico.
3. Especificaciones técnicas de procesos de selección referidos a servicios o proyectos
de telecomunicaciones.
4. Informes de supervisión de proyectos por terceros, relacionados con equipos de redes
y comunicaciones.
5. Administración de la red de datos (administración de usuarios, servidores y
dispositivos de comunicaciones).
6. Administración de accesos a la intranet e internet.
7. Gestión del enlace de datos WAN entre diferentes unidades desconcentradas.
8. Informes de administración de la red de telefonía.
9. Aplicación de las políticas de seguridad informática en redes.
PERFIL CARGO
ADMINISTRATIVO
#
Director Director General 1
Ingeniero en Desarrollo Profesional Informática 3
Ingeniero en
Telecomunicaciones
Profesional Informática 3
Ingeniero de Infraestructura Profesional Informática 3
Secretaria Asistente Profesional 1
10. Informes de ejecución de actividades orientadas al cumplimiento de la normatividad
gubernamental en materia de telecomunicaciones y protección de la propiedad
intelectual.
11. Administración del Correo Electrónico Institucional.
Mantenimiento de Hardware
1. Inventario de equipos de cómputo (hardware).
2. Realizar mantenimiento preventivo y correctivo del hardware de la institución
(impresoras, computadoras y otros equipos de tecnología informática).
3. Asistencia técnica presencial y telefónica a los usuarios de recursos de información
de la Universidad.
4. Charlas técnicas de uso de aplicaciones puntuales.
5. Capacitación a usuarios en utilización de nuevo hardware para su eficiente
aprovechamiento.
6. Informes de administración del servicio de asistencia al usuario (“Help desk”).
7. Informes de mantenimiento preventivo y correctivo de los equipos de cómputo.
8. Informes de administración de Activos Informáticos.
9. Reporte de actualizaciones de sistemas operativos de los usuarios.
10. Estadísticas de malware (virus, etc.).
11. Actualización de antivirus.
12. Monitoreo de software no licenciado.
13. Gestión y Mantenimiento de Impresoras.
14. Gestión de Insumos de Impresión y control de gastos.
Unidad de Desarrollo de Proyectos y Soluciones Tecnológicas.
Desarrollo de Proyectos Tecnológicos
1. Propuestas y Desarrollo de Proyectos.
2. Socialización de Proyectos de Desarrollo Tecnológico.
3. Gestión de participación con entidades de generación de tecnologías.
4. Despliegue técnico para soporte a instituciones y entidades conexas.
Desarrollo de Software y Sistemas de Gestión
1. Informe de cambios de la información física de datos.
2. Implementación de herramientas de optimización de datos y acceso a la información.
3. Implementación de controles de definición, acceso, actualización y concurrencia de
datos.
4. Gestión de informes de monitoreo de las bases de datos.
5. Informes de Auditoría de base de datos.
6. Informes de actualización de la estructura de base de datos.
7. Gestión de la migración de datos a otras plataformas operativas y/o servidores
8. Crear, probar y definir procedimientos de respaldos
9. Verificar o ayudar a la verificación en la integridad de datos
10. Definir y/o implementar controles de acceso a los datos
11. Asegurarse del mayor tiempo de encendido. (Base de Datos y Servidores)
12. Desarrollo y soporte a pruebas - Ayudar a los programadores e ingenieros a utilizar
eficientemente la base de datos.
13. Informe de actividades y proyectos de desarrollo de sistemas de información en
función de cumplir el Plan Operativo Anual (POA).
14. Informes de ejecución de proyectos de desarrollo de sistemas informáticos aplicando
estándares de desarrollo establecidos.
15. Plan Anual de Mantenimiento de Sistemas de información.
16. Informe de ejecución de actividades de mantenimiento de sistemas informáticos.
17. Especificaciones técnicas de los servicios de desarrollos informáticos y aplicativos.
18. Informe de evaluación y monitoreo de la ejecución de proyectos de desarrollo de
sistemas informáticos realizados por terceros.
19. Informes de asistencia técnica sobre soluciones tecnológicas puestas a consideración
por terceros.
20. Propuestas de tecnologías de información en los procesos de la universidad como
resultado de investigaciones de carácter tecnológico.
21. Informes de administración técnica de los sistemas informáticos y los manuales de
usuarios de cada sistema informático de la universidad.
22. Informes de los proyectos de desarrollo informático ejecutados y en ejecución.
23. Informes de asesoría a las unidades orgánicas en la identificación de soluciones que
involucren el desarrollo o aplicación de sistemas informáticos.
24. Elaboración de software a medida.
25. Desarrollo de Bases de Datos.
Hardware y Software del Centro de Cómputo
ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN
UTM SOPHOS REDES Y TELECOMUNICACIONES
SWICH REDES Y TELECOMUNICACIONES
TRANSEIVER REDES Y TELECOMUNICACIONES
FIBRA OPTICA REDES Y TELECOMUNICACIONES
ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES
ROUTERS REDES Y TELECOMUNICACIONES
ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES
ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES
CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES
SERVIDOR MANTENIMIENTO Y SOPORTE
PORTATIL MANTENIMIENTO Y SOPORTE
EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE
INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE
CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE
DISCOS DUROS EXTERNOS MANTENIMIENTO Y SOPORTE
DISCOS DUROS DE SERVIDORES MANTENIMIENTO Y SOPORTE
UPS MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO WINDOWS SERVER MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO LINUX CENTOS MANTENIMIENTO Y SOPORTE
ANTIVIRUS MANTENIMIENTO Y SOPORTE
CORREO ELECTRONICO DESARROLLO
DSPACE DESARROLLO
MOODLE DESARROLLO
WEB SITE DESARROLLO
ERP DESARROLLO
EKUBIBLIO DESARROLLO
SEGUIMIENTO GRADUADOS DESARROLLO
HELPDESK DESARROLLO
OLIMPO INVENTARIOS Y ACTIVOS FIJOS DESARROLLO
Objetivos.
Objetivo General.
Auditar y verificar el cumplimiento de la aplicación, de políticas y controles necesarios
para mantener la confidencialidad, integridad y disponibilidad de la información de la
Universidad Técnica de Babahoyo con el fin de detectar las oportunidades de mejora
que permitirán fortalecer la seguridad de la información.
Objetivos Específicos.
Determinar la existencia de políticas de seguridad que protejan los activos de
la Universidad Técnica de Babahoyo.
Determinar si la información crítica de la institución en términos de
disponibilidad, integridad y confidencialidad está expuesta a riesgos.
Evaluar el acceso lógico y físico, los controles de seguridad del ambiente
informático.
Fomentar la conciencia de seguridad a nivel institucional.
SEGUIMIENTOS DE DOCUMENTOS DESARROLLO
URKUND DESARROLLO
ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES
DESARROLLADOR DESARROLLO
TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTEACTIVOS DE INFORMACIÓN
LICENCIA DE USO DE UTM SOPHOS REDES Y TELECOMUNICACIONES
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2 MANTENIMIENTO Y SOPORTE
GARANTIAS DE SERVIDORES MANTENIMIENTO Y SOPORTE
GARANTIAS DE ROUTER Y SWICH CISCO REDES Y TELECOMUNICACIONES
GARANTIAS DE SWICH HP REDES Y TELECOMUNICACIONES
Alcance.
Al final de este trabajo de auditoría la institución obtendrá:
Informe de Auditoría a la Seguridad de la información basada en los
controles de la norma ISO 27002:2005 .
Dominios a Auditar
Se evaluarán los siguientes Dominios.
Componentes
Política de Seguridad
Aspectos Organizativos de la Seguridad de la información
Gestión de Activos
Seguridad Física y del entorno
Gestión de las comunicaciones y operaciones
Control de accesos
Adquisición Desarrollo y mantenimiento de sistemas de Información
Gestión de Incidentes en la Seguridad de la Información
Gestión de la Continuidad del Negocio
Tabla Nro. 6 Dominios de la Norma ISO 27002.
Elaborado por. José Mejía Viteri.
Cronograma de Trabajo.
Para ejecutar la presente auditoría se ha planificado el siguiente cronograma de
trabajo:
Actividad Tiempo
Visita preliminar 1 días
Evaluación de los siguientes componentes:
Política de Seguridad
Aspectos Organizativos de la Seguridad de la información
Gestión de Activos
Seguridad Física y del entorno
Gestión de las comunicaciones y operaciones
Control de accesos
Adquisición Desarrollo y mantenimiento de sistemas deInformación
Gestión de Incidentes en la Seguridad de la Información
Gestión de la Continuidad del Negocio
1 días
5 días
2 días
2 días
3 días
2 días
2 días
1dias
1 días
Pre-informe 3 días
Elaboración del informe final 3 días
TOTAL: 26 días
Tabla Nro. 7 Cronograma de actividades de Auditoría.
Fuente: Elaborada por José Mejía Viteri.
Criterios de Auditoría a Utilizarse.
Para realizar la auditoría se han tomado como referencia los controles establecidos en la
norma ISO 27002 porque es un modelo reconocido internacionalmente y certificable,
además de ofrecer con detalle cada uno de los controles a realizarse en cada uno de los
Dominios de la Seguridad de la Información.
Recurso de personal.
Para la presente auditoría participará 1 Auditor Informático y se requiere de la
colaboración de una persona del área de tecnologías de la información de la institución así
como del apoyo de la Alta Gerencia, para poder recabar toda la información necesaria.
Herramientas y Técnicas.
Entre las herramientas que se utilizarán para la ejecución de esta auditoría podemos
mencionar:
Norma ISO 27002
Listas de verificación (check list)
Correo electrónico
Computador
Office (Word, Excel, Power Point).
También se procederá a aplicar las siguientes técnicas a fin de obtener evidencia para
poder compararlo con el modelo de mejores prácticas seleccionado (ISO 27002):
Verbal: Realizando entrevistas al personal involucrado en los temas de
seguridad de la información y de los sistemas informáticos.
Documental: Analizando la Política de Seguridad (si existiera) y evidencia
escrita recibida del personal autorizado.
Física: Observación del cumplimiento de la Política de Seguridad
institucional y de los controles de especificados en la norma ISO 27002 referente
a los dominios y controles.
Plan de Auditoría.
En caso de ser necesario se realizará los siguientes documentos:
Actas de Reunión firmadas por los involucrados.
Actas de Entrega / Recepción de los documentos solicitados.
Informes de Avance de la Auditoría, en caso de ser solicitados por la
Gerencia General o Directorio.
Informe de Auditoría, el cual será expuesto en una reunión final al Directorio y
Gerencia General.
Ejecución de la Auditoría.
Durante la fase de ejecución se realizaron controles a través de un checklist in-situ en el
centro de cómputo en compañía del director de tecnologías, además de la entrevista al
personal de las diferentes áreas.
Tabla de valoración del estado de los controles de ISO 27002.
Valor Efectividad Significado Descripción
L0 0% InexistenteCarencia completa de cualquier procesoconocido.
L1 10% Inicial / Ad-hocProcedimientos inexistentes o localizadosen áreas concretas. El éxito de las tareas sedebe a esfuerzos personales.
L2 50% Reproducible, pero intuitivo
Existe un método de trabajo basado en laexperiencia, aunque sin comunicaciónformal. Dependencia del conocimientoindividual
L3 90% Proceso definidoLa organización en su conjunto participa enel proceso. Los procesos están implantados,documentados y comunicados.
L4 95% Gestionado y medible
Se puede seguir la evolución de losprocesos mediante indicadores numéricos yestadísticos. Hay herramientas para mejorarla calidad y la eficiencia
L5 100% Optimizado
Los procesos están bajo constante mejora.En base a criterios cuantitativos sedeterminan las desviaciones más comunesy se optimizan los procesos
L6 N/A No aplica
Tabla Nro.8 Tabla de Valoración de controles ISO 27002.
Elaborado Por: José Mejía Viteri.
Secciones Controles y Estado Actual y Cumplimiento.
Dominio Política de Seguridad.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
5POLÍTICA DE SEGURIDAD
5.1 Política de Seguridad de la información
5.1.1 Documento dePolítica deSeguridad de laInformación
La dirección debería aprobar undocumento de política deSeguridad de la información,publicarlo y distribuirlo a todos losafectados
El documento noexiste
L0
5.1.2 Revisión de lapolítica deseguridad de lainformación
La política de seguridad de lainformación debería revisarse aintervalos planificados o siempreque se produzcan cambiossignificativos, a fin de asegurar quese mantenga su idoneidad,adecuación y eficacia.
Existeprocedimientosinformales y nocontinuos L0
Dominio Aspectos Organizativos de la Seguridad de la Información
Control enla
Normativa Sección Control Estado Actual Cumplimiento
6
ASPECTOS ORGANIZATIVOS DE LASEGURIDAD DE LA INFORMACIÓN
6.1 Organización Interna
6.1.1 Compromiso de laDirección con laseguridad de lainformación
La Dirección debería prestarun apoyo activo a laseguridad dentro de laorganización a través dedirectrices claras, uncompromiso demostrado,asignaciones explícitas y elreconocimiento de lasresponsabilidades deseguridad de la información.
La dirección tiene laintención de forjar unacultura de la seguridadde la información yaque existendivulgación deinformación que afectaa las autoridades
L1
6.1.2 Coordinación de laseguridad de lainformación
Las actividades relativas a laseguridad de la informacióndeberían ser coordinadasentre los representantes de lasdiferentes partes de laorganización con suscorrespondientes roles yfunciones de trabajo.
No se ha definido unaestructura de roles yresponsabilidadessobre seguridad de lainformación, y no haydefinido un procesoexplícito paracoordinar lasactividades
L1
6.1.3 Asignación deresponsabilidadesrelativas a la
Deberían definirse claramentetodas las responsabilidades
No se ha definidoL0
seguridad de lainformación
relativas a la seguridad de lainformación.
6.1.4 Proceso deautorización derecursos para eltratamiento de lainformación
Para cada nuevo recurso detratamiento de lainformación, debería definirsee implantarse un proceso deautorización por parte de laDirección.
El procedimiento deautorización derecursos se estállevando a cabo. Perono de manera formal
L2
6.1.5 Acuerdos deconfidencialidad
Debería determinarse yrevisarse periódicamente lanecesidad de estableceracuerdos de confidencialidado no revelación, que reflejenlas necesidades de laorganización para laprotección de la información.
No se han definidoformalmente unacuerdo deconfidencialidad perose rigen por el códigode ética de lainstitución.
L1
6.1.6 Contacto con lasautoridades
Deberían mantenerse loscontactos adecuados con lasautoridades competentes.
Se dispone de unarelación de contactoscon las autoridadespero no se llevaregistro
L1
6.1.7 Contacto congrupos de especialinterés
Deberían mantenerse loscontactos adecuados congrupos de interés especial, uotros foros, y asociacionesprofesionales especializadasen seguridad.
El director mantienecontactos con gruposde interésespecialmente en foros,pero no todo elpersonal del área
L1
6.1.8 Revisiónindependiente de laseguridad de lainformación
El enfoque de la organizaciónpara la gestión de laseguridad de la información ysu implantación (es decir, losobjetivos de control, loscontroles, las políticas, losprocesos y los procedimientospara la seguridad de lainformación), deberíasometerse a una revisiónindependiente a intervalosplanificados o siempre que seproduzcan cambiossignificativos en laimplantación de la seguridad
No se establecidocriterio sobre estarevisión ya que cuandoocurren un eventorelacionado con laseguridad es notificadoal director detecnologías para reciénrealizar lascorrecciones del caso.
L0
6.2 Terceros
6.2.1 Identificación delos riesgosderivados delacceso de terceros
Deberían identificarse losriesgos para la información ypara los dispositivos detratamiento de la informaciónde la organización derivadosde los procesos de negocioque requieran de terceros, eimplantar los controlesapropiados antes de otorgar elacceso.
El acceso de tercerosestá recogido en losprocedimientos deGestión de Accesos,Gestión de Riesgos queno existen y en eldocumento decontratación.
L2
6.2.2 Tratamiento de laseguridad en larelación con losclientes
Deberían tratarse todos losrequisitos de seguridadidentificados, antes de otorgaracceso a los clientes a losactivos o a la información dela organización
Los requisitos deseguridad estánrecogidos en elprocedimiento deGestión de Accesos yen la gestión de riesgosque no se encuentranrealizados.
L2
6.2.3 Tratamiento de laseguridad encontratos conterceros
Los acuerdos con tercerosque conlleven acceso,procesado, comunicación ogestión, bien de lainformación de laorganización, o de losrecursos de tratamiento de lainformación, o bien laincorporación de productos oservicios a los recursos detratamiento de lainformación, deberían cubrirtodos los requisitos deseguridad pertinentes.
Contemplado en elprocedimiento deCompras de productosy Servicios y en elDocumento deconfidencialidad queno se encuentranrealizados
L2
Dominio Gestión de Activos.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
7GESTIÓN DE ACTIVOS
7.1 Responsabilidad sobre los activos
7.1.1 Inventario deactivos
Todos los activos deberían estarclaramente identificados y deberíaelaborarse y mantenerse uninventario de todos los activosimportantes.
Se mantiene unInventario de losActivos pero noidentificados porimportancia
L1
7.1.2 Propiedad delos activos
Toda la información y activosasociados con los recursos para eltratamiento de la informacióndeberían tener un propietario queforme parte de la organización yhaya sido designado comopropietario.
Los propietarios delos activos estánidentificados en elinventario de activos. L5
7.1.3 Uso aceptablede los activos
Se deberían identificar,documentar e implantar las reglaspara el uso aceptable de lainformación y de los activosasociados con los recursos para eltratamiento de la información.
no se ha elaborado undocumento de uso delos activos
L1
7.2 Clasificación de la información
7.2.1 Directrices declasificación
La información debería serclasificada según su valor, losrequisitos legales, su sensibilidady criticidad para la organización
no se ha clasificadola información
L0
7.2.2 Etiquetado ymanipulado dela información
Se debería desarrollar e implantarun conjunto adecuado deprocedimientos para etiquetar ymanejar la información, deacuerdo con el esquema declasificación adoptado por laorganización
Actualmente lasdirectrices declasificación están enproceso derealización.
L1
Dominio Seguridad Ligada a los Recursos Humanos.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
8SEGURIDAD LIGADA A LOS RECURSOSHUMANOS
8.1 Antes del Empleo
8.1.1 Funciones yresponsabilidades
Las funciones yresponsabilidades deseguridad de los empleados,contratistas y terceros sedeberían definir ydocumentar de acuerdo conla política de seguridad de lainformación de laorganización.
Hay un perfil detrabajo establecidopara cada miembro dela U.T.B. Ese perfil seestablece previamentea la contratación y seevalúan a los posiblescandidatos.
L5
8.1.2 Investigación deantecedentes
La comprobación de losantecedentes de todos loscandidatos a un puesto detrabajo, de los contratistas ode los terceros, se deberíallevar a cabo de acuerdo conlas legislaciones, normativasy códigos éticos que sean deaplicación y de una maneraproporcionada a losrequisitos del negocio, laclasificación de lainformación a la que seaccede y a los riesgosconsiderados.
En el procedimiento decontratación seestablece laverificación de losportales del Ministeriode Trabajo a través delas referenciasincluidas. L5
8.1.3 Términos ycondiciones decontratación
Como parte de susobligaciones contractuales,los empleados, loscontratistas y los tercerosdeberían aceptar y firmar lostérminos y condiciones de sucontrato de trabajo, quedebería establecer susresponsabilidades y las de laorganización en lo relativo aseguridad de la información.
Está establecido en elprocedimiento decontratación que a losnuevos empleados seles presenten lostérminos de sucontratación, pero nolos términos deseguridad a través de lafirma de un documentode confidencialidad
L2
8.2 Durante el Empleo
8.2.1 Responsabilidadesde la Dirección
La Dirección debería exigir alos empleados, contratistas yterceros, que apliquen laseguridad de acuerdo con laspolíticas y procedimientosestablecidos en laorganización.
se han realizadocharlas de incentivo ala seguridad de lainformación por partede talento humano
L3
8.2.2 Concienciación,formación ycapacitación enseguridad de lainformación
Todos los empleados de laorganización y, cuandocorresponda, los contratistasy terceros, deberían recibiruna adecuada concienciacióny formación, conactualizaciones periódicas,sobre las políticas yprocedimientos de laorganización, segúncorresponda con su puesto detrabajo.
No existe actualmentela elaboración de unproyecto deconcientización de laseguridad deinformación
L3
8.2.3 Procesodisciplinario
Debería existir un procesodisciplinario formal para losempleados que hayanprovocado alguna violaciónde la seguridad
Se ha elaborado ydocumentado unmanual de ética dondese manifiesta sancionescuando un empleadocomete algún actoindebido.
L5
8.3 Cese del Empleo o cambio de puesto de trabajo
8.3.1 Responsabilidad delcese o cambio
Las responsabilidades paraproceder al cese en el empleoo al cambio de puesto detrabajo deberían estarclaramente definidas yasignadas.
Está establecido comoparte delprocedimiento decontratación
L3
8.3.2 Devolución deactivos
Todos los empleados,contratistas y tercerosdeberían devolver todos losactivos de la organizaciónque estén en su poder alfinalizar su empleo, contratoo acuerdo.
Establecido como partedel procedimiento decontratación.
L3
8.3.3 Retirada de losderechos de acceso
Los derechos de acceso a lainformación y a los recursosde tratamiento de lainformación de todos losempleados, contratistas yterceros deberían serretirados a la finalización delempleo, del contrato o delacuerdo, o bien deberían seradaptados a los cambiosproducidos.
Establecido como partedel procedimiento decontratación y ligadoal proceso de gestiónde cambios.
L4
Dominio seguridad Física y del Entorno.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
9SEGURIDAD FÍSICA Y DEL ENTORNO
9.1 Áreas seguras
9.1.1 Perímetro deseguridad física
Se deberían utilizar perímetrosde seguridad (barreras, muros,puertas de entrada con controlde acceso a través de tarjeta, opuestos de control) paraproteger las áreas quecontienen la información y losrecursos de tratamiento de lainformación.
Las dependencias estánseparadas por puertas.Está prevista lainstalación de un accesoa través de llave a lassalas de producción delos administradores deB.D y Sistemas pero nopara los desarrolladores
L3
9.1.2 Controles físicosde entrada
Las áreas seguras deberíanestar protegidas por controlesde entrada adecuados, paraasegurar que únicamente sepermite el acceso al personalautorizado.
El acceso es seguro enel cuarto de servidoreseste se encuentra bajollave y el único quetiene acceso es eldirector y la secretaria
L3
9.1.3 Seguridad deoficinas,despachos einstalaciones
Se deberían diseñar y aplicarlas medidas de seguridad físicapara las oficinas, despachos einstalaciones
Los despachos de losresponsables estáncerrados con llave. Elacceso a la oficina delas visitas se controla através de cámaras
L3
9.1.4 Protección contralas amenazasexternas y deorigen ambiental
Se debería diseñar y aplicaruna protección física contra eldaño causado por fuego,inundación, terremoto,explosión, revueltas sociales yotras formas de desastresnaturales o provocados por elhombre.
Está previsto eldesarrollo de un plan decontinuidad delnegocio, sin embargoexiste institores deincendio.
L2
9.1.5 Trabajo en áreasseguras
Se deberían diseñar e implantaruna protección física y unaserie de directrices paratrabajar en las áreas seguras
Las áreas de lasdiferentes dependenciases segura y estávigilada por cámaras deseguridad
L0
9.1.6 Áreas de accesopúblico y decarga y descarga
Deberían controlarse lospuntos de acceso tales comolas áreas de carga y descarga yotros puntos, a través de losque personal no autorizadopueda acceder a lasinstalaciones, y si es posible,dichos puntos se deberíanaislar de las instalaciones detratamiento de la informaciónpara evitar accesos noautorizados.
No aplica
L6
9.2 Seguridad de los equipos
9.2.1 Emplazamiento yprotección deequipos
Los equipos deberían situarse oprotegerse de forma que sereduzcan los riesgos derivadosde las amenazas y peligros deorigen ambiental así como lasocasiones de que se produzcanaccesos no autorizados.
Los servidores seencuentran en un áreasegura. Los equiposindividuales seencuentran dentro delas oficinas, donde enáreas comodepartamentofinanciero que manejainformación crítica esaccedido sin ningúncontrol.
L1
9.2.2 Instalaciones desuministro
Los equipos deberían estarprotegidos contra fallos dealimentación y otras anomalíascausadas por fallos en lasinstalaciones de suministro.
se cuenta con UPS de5KVA que protege alos servidores en casode caída del suministroeléctrico
L5
9.2.3 Seguridad delcableado
El cableado eléctrico y detelecomunicaciones quetransmite datos o que dasoporte a los servicios deinformación debería estarprotegido frente ainterceptaciones o daños.
El cableado eléctricoestá canalizado pordebajo del suelo técnicode las oficinas. Hay unapolítica deinfraestructura definida
L5
9.2.4 Mantenimientode los equipos
Los equipos deberían recibirun mantenimiento correcto queasegure su disponibilidad y suintegridad
El mantenimiento delos equipos se lleva acabo cuando se sucedeun incidente no seencuentra definida unapolítica demantenimientopreventivo y correctivo
L1
9.2.5 Seguridad de losequipos fuera delas instalaciones
Teniendo en cuenta losdiferentes riesgos que conllevatrabajar fuera de lasinstalaciones de laorganización, deberíanaplicarse medidas de seguridada los equipos situados fuera dedichas instalaciones.
Existe control paraautorizaciones porsalida de equipos fuerade la U.T.B.
L4
9.2.6 Reutilización oretirada segurade equipos
Todos los soportes dealmacenamiento deberían sercomprobados para confirmarque todo dato sensible y todaslas licencias de software se haneliminado o bien se hanborrado o sobrescrito demanera segura, antes de suretirada.
Existe un proceso paradar de baja a losequipos informáticosestablecido, pero no eseficiente, ya que noexiste sobre laslicencias e informaciónen dispositivos
L3
9.2.7 Retirada dematerialespropiedad de laempresa
Los equipos, la información oel software no deberían sacarsede las instalaciones, sin unaautorización previa
Existe autorización porel jefe departamental
L5
Dominio Gestión de Comunicaciones y Operaciones.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
10GESTIÓN DE COMUNICACIONES YOPERACIONES
10.1Responsabilidades y procedimientos deoperación
10.1.1 Documentaciónde losprocedimientosde operación
Deberían documentarse ymantenerse losprocedimientos de operacióny ponerse a disposición detodos los usuarios que losnecesiten.
Los procedimientos deoperación se encuentrandefinidos, escritos y adisposición del personalen el contrato
L5
10.1.2 Gestión decambios
Deberían controlarse loscambios en los recursos y enlos sistemas de tratamientode la información
No existe lineamientosdefinidos en la gestión decambio de la información
L1
10.1.3 Segregación detareas
Las tareas y áreas deresponsabilidad deberíansegregarse para reducir laposibilidad de que seproduzcan modificacionesno autorizadas o nointencionadas o usosindebidos de los activos dela organización.
Existe un área de activosfijos donde supervisa quecada activo este en el áreacorrespondiente.
L3
10.1.4 Separación delos recursos dedesarrollo,prueba yoperación
Deberían separarse losrecursos de desarrollo, depruebas y de operación, parareducir los riesgos de accesono autorizado o los cambiosen el sistema en producción.
existe un servidor dondese realiza todas laspruebas necesarias antesde poner algún softwareen producción
L5
10.2Gestión de la provisión de servicios porterceros
10.2.1 Provisión deservicios
Se debería comprobar quelos controles de seguridad,las definiciones de losservicios y los niveles deprovisión, incluidos en elacuerdo de provisión deservicios por terceros, hansido implantados, puestos enoperación y son mantenidospor parte de un tercero
Antes de que un serviciocontratado como el deinternet sea cancelado serealiza un informe porparte del director del TIpara constatación de quese cumple según elrequerimiento del contrato
L1
10.2.2 Supervisión yrevisión de losserviciosprestados porterceros
Los servicios, informes yregistros proporcionados porun tercero deberían serobjeto de supervisión yrevisión periódicas, ytambién deberían llevarse acabo auditorias periódicas.
No existe definido unprocesos pero existe unaherramienta sophos, querealiza la supervisión delservicio
L2
10.2.3 Gestión delcambio en losserviciosprestados porterceros
Se deberían gestionar loscambios en la provisión delos servicios, incluyendo elmantenimiento y la mejorade las políticas, los
Aunque se lleva a cabouna gestión del cambio,cuando éstos afectan aterceros, no hay unprocedimiento formal para
L2
procedimientos y loscontroles de seguridad de lainformación existentes,teniendo en cuenta lacriticidad de los procesos ysistemas del negocioafectados así como la re-evaluación de los riesgos.
la reevaluación de losriesgos.
10.3 Planificación y aceptación del sistema
10.3.1 Gestión decapacidades
La utilización de losrecursos se deberíasupervisar y ajustar así comorealizar proyecciones de losrequisitos futuros decapacidad, para garantizar elrendimiento requerido delsistema.
La gestión de capacidadesde los sistemas formaparte de las tareas de laorganización, ya que sesolicitan cambiosautorizados y gestionadoshacia la máxima autoridadestá definido en manualde procesos de compraspúblicas, cambios se losproyecta en el plan anualde contratación.
L4
10.3.2 Aceptación delsistema
Se deberían establecer loscriterios para la aceptaciónde nuevos sistemas deinformación, de lasactualizaciones y de nuevasversiones de los mismos, yse deberían llevar a cabopruebas adecuadas de lossistemas durante eldesarrollo y previamente a laaceptación
Hay una políticaestablecida para laaceptación de sistemasnuevos donde se definenlos criterios de aceptaciónde éstos así como laspruebas que se han dellevar a cabo, por parte delárea de tecnologías y anivel de procesos porparte del área requirente
L5
10.4Protección contra el código malicioso ydescargable
10.4.1 Controles contrael códigomalicioso
Se deberían implantarcontroles de detección,prevención y recuperaciónque sirvan como proteccióncontra el código malicioso yse deberían implantarprocedimientos adecuadosde concienciación delusuario.
En la política de uso deequipos personales seestablece el uso deAntivirus y se previenecontra el uso deprogramas no autorizados.
L3
10.4.2 Controles contrael códigodescargado en elcliente
Cuando se autorice el uso decódigo descargado en elcliente, la configuracióndebería garantizar que dichocódigo autorizado funcionade acuerdo con una políticade seguridad claramentedefinida, y se debería evitarque se ejecute el código noautorizado.
En la política de uso deequipos personales seestablece el uso deAntivirus y se previenecontra la descarga y usode programasdescargables.
L3
10.5 Copias de seguridad
10.5.1 Copias deseguridad de lainformación
Se deberían realizar copiasde seguridad de lainformación y del software,y se deberían probarperiódicamente conforme ala política de copias deseguridad acordada.
No existe una políticadefinida por parte deldepartamento de TI pararealizar backups de losservidores en producción,el personal lo realizacuando considerapertinente.
L1
10.6 Gestión de la seguridad de las redes
10.6.1 Controles de red Las redes deberían estaradecuadamente gestionadasy controladas, para que esténprotegidas frente a posiblesamenazas y para mantener laseguridad de los sistemas yde las aplicaciones queutilizan estas redes,incluyendo la informaciónen tránsito.
No existe un política decontroles de redes solo sela realiza a través deasignaciones dedirecciones ip a losequipos, pero su cambiopuede ser realizado porcualquier persona
L2
10.6.2 Seguridad de losservicios de red
Se deberían identificar lascaracterísticas de seguridad,los niveles de servicio, y losrequisitos de gestión detodos los servicios de red yse deberían incluir en todoslos acuerdos relativos aservicios de red, tanto siestos servicios se prestandentro de la organizacióncomo si se subcontratan
No existe control delacceso a los servicios deinternet y demás provistospor la red, existe ciertarestricción solo pordesconocimiento por partede los usuarios en ciertasconfiguraciones es que nopueden ser accedidos poreste.
L1
10.7 Manipulación de los soportes
10.7.1 Gestión desoportesextraíbles
Se deberían establecerprocedimientos para lagestión de los soportesextraíbles
No existe procedimientodefinido para la gestión dediscos extraíbles en losequipos.
L1
10.7.2 Retirada desoportes
Los soportes deberían serretirados de forma seguracuando ya no vayan a sernecesarios, mediante losprocedimientos formalesestablecidos
Está definido un procesoinformal cuando algúnmedio extraíble esutilizado como soporte deinformaciónespecialmente del área deTI el cual es ladestrucción del medio
L2
10.7.3 Procedimientosde manipulaciónde lainformación
Deberían establecerseprocedimientos para lamanipulación y elalmacenamiento de lainformación, de modo que seproteja dicha informacióncontra la revelación noautorizada o el uso indebido.
Se definen controlesaplicados a los backupsque se realizan en laoficina.Los backups de la páginaweb son responsabilidaddel proveedor de hosting.
L5
10.7.4 Seguridad de ladocumentacióndel sistema
La documentación delsistema debería estarprotegida contra accesos noautorizados.
La documentación delsistema se ubica en elservidor de ficheros, perono tiene definida unapolítica de acceso
L1
10.8 Intercambio de información
10.8.1 Políticas yprocedimientosde intercambiode información
Deberían establecersepolíticas, procedimientos ycontroles formales queprotejan el intercambio deinformación mediante el usode todo tipo de recursos decomunicación
Se especifican dentro delas políticas y convenioseste control es llevado acabo por el departamentode conveniosinstitucionales.
L5
10.8.2 Acuerdos deintercambio
Deberían establecerseacuerdos para el intercambiode información y desoftware entre laorganización y los terceros
Se establecen los acuerdosde confidencialidad en loscontratos con terceros L5
10.8.3 Soportes físicosen tránsito
Durante el transporte fuerade los límites físicos de laorganización, los soportesque contengan informacióndeberían estar protegidoscontra accesos noautorizados, usos indebidoso deterioro
Existe control pero no pormedio de políticasestablecidas.
L3
10.8.4 Mensajeríaelectrónica
La información que seaobjeto de mensajeríaelectrónica debería estaradecuadamente protegida
se utiliza el correo degoogle con el dominio dela U.T.B.
L5
10.8.5 Sistemas deinformaciónempresariales
Deberían formularse eimplantarse políticas yprocedimientos paraproteger la informaciónasociada a la interconexiónde los sistemas deinformación empresariales.
No existe interconexióncon los sistemas
L5
10.9 Servicios de comercio electrónico
10.9.1 Comercioelectrónico
La información incluida enel comercio electrónico quese transmita a través deredes públicas deberíaprotegerse contra lasactividades fraudulentas, lasdisputas contractuales, y larevelación o modificaciónno autorizada de dichainformación.
L6
10.9.2 Transacciones enlínea
La información contenida enlas transacciones en líneadebería estar protegida paraevitar transmisionesincompletas, errores dedireccionamiento,alteraciones no autorizadasde los mensajes, larevelación, la duplicación ola reproducción noautorizadas del mensaje.
L6
10.9.3 Informaciónpúblicamentedisponible
La integridad de lainformación puesta adisposición pública sedebería proteger para evitar
La información de lapágina web se actualizasiguiendo el proceso degestión de cambios. Lagestión de la seguridad del
L5
modificaciones noAutorizadas.
servidor web la lleva acabo la empresa delhosting
10.10 Supervisión
10.10.1 Registros deauditoría
Se deberían generar registrosde auditoría de lasactividades de los usuarios,las excepciones y eventos deseguridad de la información,y se deberían mantener estosregistros durante un periodoacordado para servir comoprueba en investigacionesfuturas y en la supervisióndel control de acceso.
La auditoría de lossistemas operativos estáactivada, pero no essupervisada y no existepolítica definida
L1
10.10.2 Supervisión deluso del sistema
Se deberían establecerprocedimientos parasupervisar el uso de losrecursos de tratamiento de lainformación y se deberíanrevisar periódicamente losresultados de las actividadesde supervisión
Se supervisan loscontroles de acceso a losactivos, se monitorea losaccesos a los sistemaspero no existe una políticadefinida.
L1
10.10.3 Protección de lainformación delos registros
Los dispositivos de registroy la información de losregistros deberían estarprotegidos contramanipulaciones indebidas yaccesos no autorizados.
Sólo los administradoresdel sistema tienen accesoa los registros deauditoría. Éstos estánprotegidos por lasherramientas queproporciona el sistemaoperativo Windows
L5
10.10.4 Registros deadministración yoperación
Se deberían registrar lasactividades deladministrador y del operadordel sistema.
Las actividades de losadministradores quedanregistradas en los registrosde auditoría del sistemaoperativo Windows.
L5
10.10.5 Registro defallos
Los fallos deberían serregistrados y analizados y sedeberían tomar lascorrespondientes acciones
En las aplicacionesdesarrolladas por lacompañía se lleva a caboun registro de los erroresobservados y reportadosen éstas para su análisis ycorrección.
L5
10.10.6 Sincronizacióndel reloj
Los relojes de todos lossistemas de tratamiento de lainformación dentro de unaorganización o de undominio de seguridad,deberían estar sincronizadoscon una única fuente precisay acordada de tiempo
la sincronización no se larealiza pero se controla enlos sistemas a través deuna sincronización de lahora del servidor.
L3
Dominio Control de Acceso.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
11CONTROL DE ACCESO
11.1 Requisitos de negocio para el control de acceso
11.1.1 Política de controlde acceso
Se debería establecer,documentar y revisar unapolítica de control de accesobasada en los requisitos delnegocio y de seguridad para elacceso.
No se ha desarrolladouna política de controlen el acceso
L0
11.2 Gestión de acceso de usuario
11.2.1 Registro deusuario
Debería establecerse unprocedimiento formal deregistro y de anulación deusuarios para conceder yrevocar el acceso a todos lossistemas y servicios deinformación.
No se ha definido enel procedimiento deGestión de Accesos
L0
11.2.2 Gestión deprivilegios
La asignación y el uso deprivilegios deberían estarrestringidos y controlados.
No se ha definido enel procedimiento deGestión de Accesos
L0
11.2.3 Gestión decontraseñas deusuario
La asignación de contraseñasdebería ser controlada a travésde un proceso de gestiónformal.
No se ha definido unapolítica de asignaciónde contraseñas
L0
11.2.4 Revisión de losderechos deacceso de usuario
La Dirección debería revisarlos derechos de acceso deusuario a intervalos regulares yutilizando un proceso formal.
No se ha definido unapolítica de acceso alos equipos
L0
11.3 Responsabilidades de usuario
11.3.1 Uso decontraseñas
Se debería requerir a losusuarios el seguir las buenasprácticas de seguridad en laselección y el uso de lascontraseñas.
No existe procesodefinido solo se leindica al usuario queasigne una contraseñaa los usuarios
L0
11.3.2 Equipo de usuariodesatendido
Los usuarios deberíanasegurarse de que el equipodesatendido tiene la protecciónadecuada
No existe un procesodefinido
L0
11.3.3 Política de puestode trabajodespejado ypantalla limpia
Debería adoptarse una políticade puesto de trabajo despejadode papeles y de soportes dealmacenamiento extraíblesjunto con una política depantalla limpia para losrecursos de tratamiento de lainformación
No existe políticapero dejan bloqueadoel equipo
L0
11.4 Control de acceso a la red
11.4.1 Política de uso delos servicios enred
Se debería proporcionar a losusuarios únicamente el accesoa los servicios para que los que
existe gestión pero noexiste políticasdefinidas
L0
hayan sido específicamenteautorizados.
11.4.2 Autenticación deusuario paraconexionesexternas
Se deberían utilizar losmétodos apropiados deautenticación para controlar elacceso de los usuarios remotos
No existe conexionesremotas las que serealizan paramantenimiento dealgún servicio oadministraciónremotas no sonseguras.
L1
11.4.3 Identificación delos equipos en lasredes
La identificación automáticade los equipos se deberíaconsiderar como un medio deautenticación de lasconexiones provenientes delocalizaciones y equiposespecíficos
No existeregulaciones paraestablecer nombre delos equipos en la red L0
11.4.4 Diagnósticoremoto yprotección de lospuertos deconfiguración
Se debería controlar el accesofísico y lógico a los puertos dediagnóstico y de configuración
La administraciónremota de los equiposestá deshabilitadapero la de los equiposcomo routers esaccesible perocontrolada. Pero noexiste política.
L1
11.4.5 Segregación de lasredes
Los grupos de servicios deinformación, usuarios ysistemas de informacióndeberían estar segregados enredes.
si existe dos entornosde red definidos
L5
11.4.6 Control de laconexión a la red
En redes compartidas,especialmente en aquellas quetraspasen las fronteras de laorganización, deberíarestringirse la capacidad de losusuarios para conectarse a lared, esto debería hacerse deacuerdo a la política de controlde acceso y a los requisitos delas aplicaciones empresariales(véase 11.1).
No se ha definido lapolítica
L1
11.4.7 Control deencaminamiento(routing) de red
Se deberían implantarcontroles de encaminamiento(routing) de redes paraasegurar que las conexiones delos ordenadores y los flujos deinformación no violan lapolítica de control de acceso delas aplicaciones empresariales.
El proxy-Firewall nose encuentraimplantadas reglas degestión de conexionesentrantes y salientescon lo especificado enla Gestión deAccesos.
L1
11.5 Control de acceso al sistema operativo
11.5.1 Procedimientosseguros de iniciode sesión
El acceso a los sistemasoperativos se debería controlarpor medio de un procedimientoseguro de inicio de sesión.
El acceso a losservidores existeacceso seguro pero alos equipos de lainstituciones algunosequipos tienenusuarios sincontraseña
L1
11.5.2 Identificación yautenticación deusuario
Todos los usuarios deberíantener un identificador único(ID de usuario), para su usopersonal y exclusivo, y sedebería elegir una técnicaadecuada de autenticación paraconfirmar la identidadsolicitada del usuario.
Los usuarios de S.O.poseen suidentificadorindividual, pero estosinicio de sesión noestán controlados
L1
11.5.3 Sistema de gestiónde contraseñas
Los sistemas para la gestión decontraseñas deberían serinteractivos y establecercontraseñas de calidad
No existe un procesode gestión de lascontraseñas de losusuarios
L1
11.5.4 Uso de losrecursos delsistema
Se debería restringir ycontrolar de una manerarigurosa el uso de programas yutilidades que puedan sercapaces de invalidar loscontroles del sistema y de laaplicación.
En el caso de losservidores, lainstalación desoftware se lleva acabo bajo elresponsable del áreaEn el caso de equiposde escritorio no secuenta con ningúncontrol
L1
11.5.5 Desconexiónautomática desesión
Las sesiones inactivas deberíancerrarse después de un periodode inactividad definido
No se encuentraimplementado en laspolíticas del sistemaoperativo windows
L1
11.5.6 Limitación deltiempo deconexión
Para proporcionar seguridadadicional a las aplicaciones dealto riesgo, se deberían utilizarrestricciones en los tiempos deconexión.
No Se implementanlas restricciones en elsistema operativoWindows y en losaccesos por VPN enlos perfiles que así lorequieren
L1
11.6Control de acceso a las aplicaciones y a lainformación
11.6.1 Restricción delacceso a lainformación
Se debería restringir el accesoa la información y a lasaplicaciones a los usuarios y alpersonal de soporte, deacuerdo con la política decontrol de acceso definida.
No se implementadoningún control pero sise solicita por escritoun oficio por parte deldirector del área parala instalación yaccesos a losprogramas
L3
11.6.2 Aislamiento desistemas sensibles
Los sistemas sensiblesdeberían tener un entornodedicado (aislado) deordenadores
El servidor de correoy los servidores deproducción seencuentransegregados del restode entornos.
L5
11.7 Ordenadores portátiles y teletrabajo
11.7.1 Ordenadoresportátiles ycomunicacionesmóviles
Se debería implantar unapolítica formal y se deberíanadoptar las medidas deseguridad adecuadas para laprotección contra los riesgosde la utilización deordenadores portátiles ycomunicaciones móviles
no existe política perodeben solicitar accesoa los equipos por eljefe departamentalpara realizarconexiones a la red yservicios e instalaciónde algún programa.
L3
11.7.2 Teletrabajo Se debería redactar eimplantar, una política deactividades de teletrabajo, asícomo los planes yprocedimientos de operacióncorrespondientes
No existe políticapero no muestrainterés el director porcontrolar el acceso yde actividades
L5
Dominio Adquisición. Desarrollo y Mantenimiento de los Sistemas de Información.
Control enlaNormativa Sección Control Estado Actual Cumplimiento
12
ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE LOS SISTEMASDE INFORMACIÓN
12.1Requisitos de seguridad de los sistemas deinformación
12.1.1 Análisis yespecificación delos requisitos deseguridad
En las declaraciones de losrequisitos de negocio paralos nuevos sistemas deinformación, o paramejoras de los sistemas deinformación ya existentes,se deberían especificar losrequisitos de los controlesde seguridad.
Se lleva a cabo un estudiode los requisitos deseguridad de los nuevossistemas, tanto desoftware como dehardware, aunque no seaprecia que se hayaespecificadodocumentalmente unosrequisitos mínimos deseguridad
L2
12.2 Tratamiento correcto de las aplicaciones
12.2.1 Validación de losdatos de entrada
La introducción de datosen las aplicaciones deberíavalidarse para garantizarque dichos datos soncorrectos y adecuados
Se dictan unas pautas aseguir en la instrucción dedesarrollo ymantenimiento deSoftware. Pero no existenada formal
L1
12.2.2 Control delprocesamientointerno
Para detectar cualquiercorrupción de lainformación debida aerrores de procesamiento oactos intencionados, sedeberían incorporarcomprobaciones devalidación en lasaplicaciones.
Se dictan unas pautas aseguir en la instrucción dedesarrollo ymantenimiento deSoftware pero no existenada formalizado
L1
12.2.3 Integridad de losmensajes
Se deberían identificar losrequisitos para garantizarla autenticidad y paraproteger la integridad delos mensajes en lasaplicaciones y se deberíanidentificare implantar loscontroles adecuados.
Se especificaninstrucciones referente ala validación deinformación y se guardanauditorias de lasaplicaciones
L5
12.2.4 Validación de losdatos de salida
Los datos de salida de unaaplicación se deberíanvalidar para garantizar queel tratamiento de lainformación almacenada escorrecto y adecuado a lascircunstancias.
Se dictan unas pautas aseguir en la instrucción dedesarrollo ymantenimiento deSoftware.
L5
12.3 Controles criptográficos
12.3.1 Política de uso delos controlescriptográficos
Se debería formular eimplantar una política parael uso de los controlescriptográficos paraproteger la información.
No existe políticaimplementada
L0
12.3.2 Gestión de claves Debería implantarse unsistema de gestión declaves para dar soporte aluso de técnicascriptográficas por parte dela organización.
No existen instruccionestampoco política
L0
12.4 Seguridad de los archivos del sistema
12.4.1 Control delsoftware enexplotación
Deberían estar implantadosprocedimientos paracontrolar la instalación desoftware en los sistemas enproducción o enexplotación.
Contemplado en laGestión de Cambios.
L5
12.4.2 Protección de losdatos de pruebadel sistema
Los datos de prueba sedeberían seleccionarcuidadosamente y deberíanestar protegidos ycontrolados
Aplica solamente alsoftware desarrollado ensistemas internos. Secontempla en la plantillade requerimientos ypruebas.
L3
12.4.3 Control de accesoal código fuente delos programas
Se debería restringir elacceso al código fuente delos programas.
Se gestionan accesoslocales desde el servidordel software y es accedidosolo por losdesarrolladores
L1
12.5Seguridad en los procesos de desarrollo ysoporte
12.5.1 Procedimientos decontrol de cambios
La implantación decambios deberíacontrolarse mediante el usode procedimientosformales de control decambios.
Para los desarrollosinternos se sigue elproceso de gestión decambios informal singuardar en una bitácorade los cambios realizados
L0
12.5.2 Revisión técnicade las aplicacionestras efectuarcambios en elsistema operativo
Cuando se modifiquen lossistemas operativos, lasaplicaciones empresarialescríticas deberían serrevisadas y probadas paragarantizar que no existenefectos adversos en lasoperaciones o en laseguridad de laorganización.
En el caso de los sistemasde la U.T.B. se incluyeesta revisión en la gestiónde cambios.
L1
12.5.3 Restricciones a loscambios en lospaquetes desoftware
Se deberían desaconsejarlas modificaciones en lospaquetes de software,limitándose a los cambiosnecesarios, y todos loscambios deberían serobjeto de un controlriguroso.
Lo realiza el director encompañía del área dedesarrollo, no se lo tomamuy en cuenta ya que nodistribuimos software.
L6
12.5.4 Fugas deinformación
Deberían evitarse lassituaciones que permitanque se produzcan fugas deinformación
Se han implementado loscontroles de acceso a losactivos de información enel área de TI pero no alresto de departamentos.
L3
12.5.5 Externalizacióndel desarrollo desoftware
La externalización deldesarrollo de softwaredebería ser supervisada ycontrolada por laorganización
No aplica porque no esempresa de desarrollo desoftware L6
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Control de lasvulnerabilidadestécnicas
Se debería obtener lainformación adecuadaacerca de lasvulnerabilidades técnicasde los sistemas deinformación que estánsiendo utilizados, evaluarla exposición de laorganización a dichasvulnerabilidades y adoptarlas medidas adecuadas paraafrontar el riesgo asociado.
No se lleva a cabo peroexiste control por partedel Director TI.
L3
Dominio Gestión de Incidentes de Seguridad de la Información.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
13GESTIÓN DE INCIDENTES DESEGURIDAD DE LA INFORMACIÓN
13.1Notificación de eventos y puntos débiles deseguridad de la información
13.1.1 Notificación deeventos deseguridad de lainformación
Los eventos de seguridad dela información se deberíannotificar a través de loscanales adecuados degestión lo antes posible.
Se realiza a través de unsoftware de gestión deincidentes L3
13.1.2 Notificación depuntos débiles deseguridad
Todos los empleados,contratistas, y terceros quesean usuarios de lossistemas y servicios deinformación deberían estarobligados a anotar ynotificar cualquier puntodébil que observen o quesospechen exista, en dichossistemas o servicios.
Los empleados declarantener conocimiento de laobligación de notificarcualquier punto débil ovulnerabilidad que sedetecte. Estas secanalizan a través de lostécnicos de Soporte
L3
13.2Gestión de incidentes de seguridad de lainformación y mejoras
13.2.1 Responsabilidadesy procedimientosde operación
Se deberían establecer lasresponsabilidades yprocedimientos de gestiónpara garantizar unarespuesta rápida, efectiva yordenada a los incidentes deseguridad de la información
La gestión de incidentesde SI se lleva a cabo através del proceso degestión de incidenciasque en este caso incluyenotificación a lostécnicos de soporte.
L3
13.2.2 Aprendizaje de losincidentes deseguridad de lainformación
Deberían existirmecanismos que permitancuantificar y supervisar lostipos, volúmenes y costes delos incidentes de seguridadde la información.
El proceso de gestión deincidentes incluye unprocesamiento de lainformación recogidapara ser analizada y, ental caso, incorporada auna base de datos quesirve de referencia ,pero no lo utiliza los losempleados de la U.T.B.
L3
13.2.3 Recopilación deevidencias
Cuando se emprenda unaacción contra una persona uorganización, después de unincidente de seguridad de lainformación, que impliqueacciones legales (tantociviles como penales),deberían recopilarse lasevidencias, y conservarse ypresentarse conforme a lasnormas establecidas en lajurisdiccióncorrespondiente.
Se constata quesolamente el grupo deAdministradores deSistemas conoce lanecesidad de recopilarevidencias en caso dedetección de algún tipode actividadmalintencionada.
L3
Dominio Gestión de la continuidad del negocio.
Control enlaNormativa Sección Control Estado Actual Cumplimiento
14GESTIÓN DE LA CONTINUIDAD DELNEGOCIO
14.1
Aspectos de seguridad de la información en lagestión de la continuidad del negocio
14.1.1 Inclusión de laseguridad de lainformación en elproceso de gestiónde la continuidaddel negocio
Debería desarrollarse ymantenerse un proceso para lacontinuidad del negocio en todala organización, que gestione losrequisitos de seguridad de lainformación necesarios para lacontinuidad del negocio.
No hay definidoactualmente un plande continuidad delnegocio. Estáproyectada laelaboración de éste.
L1
14.1.2 Continuidad delnegocio yevaluación deriesgos
Deberían identificarse loseventos que puedan causarinterrupciones en los procesosde negocio, así como laprobabilidad de que seproduzcan tales interrupciones,sus efectos y sus consecuenciaspara la seguridad de lainformación
No hay definidoactualmente un plande continuidad delnegocio. Estáproyectada laelaboración de éste.
L1
14.1.3 Desarrollo eimplantación deplanes decontinuidad queincluyan laseguridad de lainformación
Deberían desarrollarse eimplantarse planes paramantener o restaurar lasoperaciones y garantizar ladisponibilidad de la informaciónen el nivel y en el tiemporequerido, después de unainterrupción o un fallo de losprocesos críticos de negocio.
No hay definidoactualmente un plande continuidad delnegocio. Estáproyectada laelaboración de éste.
L1
14.1.4 Marco dereferencia para laplanificación de lacontinuidad delnegocio
Debería mantenerse un únicomarco de referencia para losplanes de continuidad delnegocio, para asegurar quetodos los planes seancoherentes, para cumplir losrequisitos de seguridad de lainformación de maneraconsistente y para identificar lasprioridades de realización depruebas y del mantenimiento
No hay definidoactualmente un plande continuidad delnegocio. Estáproyectada laelaboración de éste. L1
14.1.5 Pruebas,mantenimiento yreevaluación de losplanes decontinuidad delnegocio
Los planes de continuidad delnegocio deberían probarse yactualizarse periódicamente paraasegurar que están al día y queson efectivos.
No hay definidoactualmente un plande continuidad delnegocio. Estáproyectada laelaboración de éste.
L1
Dominio Cumplimiento.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
15CUMPLIMIENTO
15.1Cumplimiento de losrequisitos legales
15.1.1 Identificación dela legislaciónaplicable
Todos los requisitospertinentes, tanto legalescomo reglamentarios ocontractuales, y el enfoque dela organización para cumplirdichos requisitos, deberíanestar definidos, documentadosy mantenerse actualizados deforma explícita para cada
Se mantiene un listadolegislativo con lasleyes y normativasaplicables a la U.T.B.
L3
sistema de información de laorganización.
15.1.2 Derechos depropiedadintelectual (IPR)
Deberían implantarseprocedimientos adecuadospara garantizar elcumplimiento de losrequisitos legales,reglamentarios ycontractuales sobre el uso dematerial, con respecto al cualpuedan existir derechos depropiedad intelectual y sobreel uso de productos desoftware propietario.
Se mantiene un listadode licencias desoftware en la U.T.B. yse gestiona a través delportal de compraspúblicas la renovación
L3
15.1.3 Protección de losdocumentosde laorganización
Los documentos importantesdeberían estar protegidoscontra la pérdida, destruccióny falsificación de acuerdo conlos requisitos legales,reglamentarios, contractualesy empresariales.
Al ser instituciónpública existeinformación que debeser publicada en elportal web según laLotaip (Ley Orgánicade Acceso Informaciónpública).
L3
15.1.4 Protección dedatos yprivacidad de lainformación decarácter personal
Debe garantizarse laprotección y la privacidad delos datos según se requiera enla legislación y lareglamentación aplicables y,en su caso, en las cláusulascontractuales pertinentes.
Se debe regir por lafirma de documentosde confidencialidad, ydemás políticas que sedeben realizar en elplan de seguridad
L3
15.1.5 Prevención deluso indebido delos recursos detratamiento de lainformación
Se debería disuadir a losusuarios de utilizar losrecursos de tratamiento de lainformación para fines noautorizados
Los Términos de usode la informacióndeben establecerse enla política de seguridaddel SGSI
L0
15.1.6 Regulación delos controlescriptográficos
Los controles criptográficosse deberían utilizar deacuerdo con todos loscontratos, leyes yreglamentaciones pertinentes
Se debe aplicar lapolítica de uso decontroles criptográficosconforme a la políticade seguridad de lainformación y con losrequerimientos legalesy de contrato con losclientes.
L0
15.2
Cumplimiento de laspolíticas y normas deseguridad y cumplimientotécnico
15.2.1 Cumplimientode las políticas ynormas deseguridad
Los directores deberíanasegurarse de que todos losprocedimientos de seguridaddentro de su área deresponsabilidad se realizancorrectamente con el fin decumplir las políticas y normasde seguridad.
La dirección explica através de los técnicosde soporte sololineamientos básicos,ya que no existe nadaformalizado
L0
15.2.2 Comprobacióndelcumplimientotécnico
Debería comprobarseperiódicamente que lossistemas de informacióncumplen las normas deaplicación para laimplantación.
Se estableciendoauditoría a los SI perono regularmente , solocuando sucede unincidente
L0
15.3
Consideraciones sobre laauditoría de los sistemas deinformación
15.3.1 Controles deauditoría de lossistemas deinformación
Los requisitos y lasactividades de auditoría queimpliquen comprobaciones enlos sistemas en produccióndeberían ser cuidadosamenteplanificados y acordados paraminimizar el riesgo deinterrupciones en los procesosdel negocio
No existe actividadesregistradas de auditoríadonde se establezcanrecomendaciones sololas realizada por losauditores internos.
L0
15.3.2 Protección de lasherramientas deauditoría de lossistemas deinformación
El acceso a las herramientasde auditoría de los sistemasde información debería estarprotegido para evitarcualquier posible peligro ouso indebido.
Sólo losadministradores de losSistemas afectadostienen acceso a lasherramientas yregistros de auditoría.
L0
Resumen de cumplimiento por Dominios.
Dominio % deEfectividad
# NCMayores
# NCMenores Control OK
5.- PolíticaDe Seguridad 0% 2 0 06.- AspectosOrganizativosde la SI 31% 7 4 07.- Gestión de activos 23% 4 0 18.- Seguridad ligadaA RRHH 89% 0 3 49.- Seguridad físicaY del entorno 68% 3 5 410.- Comunic.y Operaciones 65% 8 9 1311.- ControlDe acceso 31% 20 2 312.- Adquisición,Desarrollo yMantenimiento
De los SI 50% 7 4 313.- Gestión deIncidentes deSI 90% 0 5 014.- ContinuidadDel negocio 10% 5 0 015.- Cumplimiento 20% 6 4 0
Tabla Nro.9
Elaborado por: José mejía Viteri.
Grafica Nro.1
Elaborado Por: José Mejía Viteri.
Informe de la Auditoría.
En la evaluación de los procedimientos implementados por la U.T.B. de acuerdo a su
política implementada a través de comunicaciones realizadas por el departamento de TI se
presentan los hallazgos en los dominios de acuerdo a las características y necesidades de la
institución.
La Auditoría Informática ha permitido evaluar el uso de la tecnología de la información en
los procesos institucionales, y determinar que dominios de la norma 27002 se encuentra en
un mal estado, mostrando así los puntos débiles y amenazas, para emitir recomendaciones
que permitan mantener una optimización constante de la tecnologías de la información en
la institución.
Los temas que han sido objeto de la auditoría corresponden a los 11 Dominios, 39 Objetivos
de Control y 133 Controles.
La Auditoría ha atendido estos temas a través de matrices que registran indicadores
cuantitativos, para su construcción se emplean diversas técnicas de auditoría como
observación, indagación.
El análisis general y los resultados de los 133 controles agrupados 39 Objetivos de Control
0
5
10
15
20
25
5.- P
olíti
caD
e Se
gurid
ad
6.- A
spec
tos
Org
aniz
ativ
osde
la S
I
7.- G
estió
n de
activ
os
8.- S
egur
idad
ligad
aA
RR
HH
9.- S
egur
idad
físic
aY
del
ent
orno
10.-
Com
unic
.y
Ope
raci
ones
11.-
Con
trol
De
acce
so
12.-
Adqu
isic
ión,
Des
arro
llo y
13.-
Ges
tión
deIn
cide
ntes
deS
I
14.-
Con
tinui
dad
Del
neg
ocio
15.-
Cum
plim
ient
o
Control OK # NC Menores
y 11 Dominios se muestran en las siguientes tablas, donde cada tabla sintetiza
Dominio, el porcentaje de cumplimiento, Causa, efecto, Conclusión y recomendación.
Resultados de Auditoría sobre los Dominios de la Norma ISO 27002.
Dominio: Política de Seguridad% de efectividad 0%Criterio:No existe un Plan de seguridad de la información los controles definidos se encuentrande manera informal o son notificados por escrito pero no se encuentran en un documentooficial.Causa:Los usuarios no tienen ninguna responsabilidad sobre los activos de la U.T.B., además dellevarse un proceso desordenado, improvisado sobre la seguridad informática.
Efecto:Afecta a la administración de TI ya que al no contar con procesos definidos, lleva unamala gestión sobre la seguridad informática existiendo incluso malversación dedocumentos que afectan la integridad de las autoridades.
Conclusión:No se controla la aplicación de las políticas de seguridad por no contar con undocumento oficial donde detalle cada una de las tareas a realizar.Recomendación:Desarrollar un Plan de Seguridad de la Información, donde se establezcan controles ymetodologías para la mejora de la administración de TI.
Dominio: Aspectos Organizativos de la Seguridad de laInformación
% de efectividad 31%Causa:Que el administrador de TI y la gerencia no tengan responsabilidades sobre el manejo dela seguridad de la información.
Efecto:No exista asignaciones de responsabilidad relativas a las seguridades sobre el personalde TI , y no exista procesos definidos para el tratamiento de la información
Conclusión:Al no existir compromiso de la dirección TI y autoridades de la U.T.B. con los aspectosorganizativos de la seguridad de la información no existen roles de seguridad sobre elpersonal, no existe documentación sobre los procesos de implementación de seguridaden la U.T.B.
Recomendación:Realizar todos los reglamentos y documentación establecida en los controles de la NormaISO sobre la seguridad de la información para que esté disponible dentro de laorganización, donde se monitoreen los estándares y evaluar los métodos y proporcionarvínculos adecuados para el manejo de incidentes de seguridad de la información.
Dominio: Aspectos Organizativos de la Seguridad de laInformación
% de efectividad 23%Causa:Que los equipos de la U.T.B. al no tener definido su uso en ocasiones se los utilice paratareas no convenientes para los objetivos institucionales, existe información confidencialque llega a terceros.
Efecto:Que el usuario no preste el cuidado necesario para conservar los activos y lainformación.
Conclusión:No se mantiene una apropiada protección de los activos de la U.T.B.
Recomendación:Que el inventario de los activos incluya toda la información necesaria para recuperarsede un desastre; incluyendo tipo de activo, formato, ubicación, información respaldo,información de licencias.
Dominio: Seguridad ligada a los recursos Humanos.
% de efectividad 89%Causa:Que el personal en un gran porcentaje son analizaos sus antecedentes y son investigadosadecuadamente.
Efecto:Que exista control sobre el personal que contrata la U.T.B. y está definidos sus funcionesdentro de la institución.
Conclusión:Si existe aseguramiento por parte de los empleados, contratistas de sus responsabilidades,y son idóneos los roles para los cuales fueron considerados reduciendo el riesgo de fraudey robo.
Recomendación:Implementar mejor control del personal que es separado de la institución y dado de bajade los servicios y accesos a los equipos.
Dominio: Seguridad física y del entorno
% de efectividad 68%Causa:En el cronograma del Departamento de TI no se evidencian actividades relacionadasal mantenimiento de equipos de los usuarios.
Efecto:Daños inesperados en los equipos o servidores que afectan a la disponibilidad eintegridad de la información y a la continuidad de los serv ic ios
Conclusión:No se puede garantizar el normal funcionamiento de los equipos al no realizarse losmantenimientos preventivos a los mismos.
Recomendación:Que se establezca un plan de mantenimiento de los equipos de la institución quegaranticen la disponibilidad de los equipos y la continuidad de las operacionesnormales de la institución.
Dominio: Comunicación y Operaciones
% de efectividad 65%Causa:El procedimiento de Gestión de cambios no se describe, los backups de la base de datosse realizan de forma desordenada sin seguir una política incluso para su manipulación niregistros de horas y fechas en que se procedieron a efectuar.
Efecto:No se garantiza la continuidad del negocio en caso de algún siniestro, ya que la pérdidade tiempo por localizar y restablecer las configuraciones de los servicios es ineficiente
Conclusión:Existiendo responsable de los backups de los servidores y servicios no se cumple con lostiempos acordes para este proceso, ocasionando que no exista control en su manejo, y queexista en algún momento de algún fallo la perdida de continuidad en los mismos.
Recomendación:Que se establezca una política de backups donde también se considere la gestión decambios, y manipulación de estas copias de seguridad.
Dominio: Control de acceso
% de efectividad 31%Causa:El responsable de asignar los accesos a los servicios de la red son los técnicos de soportelos cuales no siguen ningún procedimiento formal para la asignación de los mismosademás que las contraseñas que son asignadas por los usuarios sin seguir una rigurosidaden su aplicación.Efecto:No se garantiza que el acceso lo realice los propietarios de los equipos por la malaasignación de contraseñas y creación de cuentas de usuario sin llevar ninguna solicitudpor escrito de cuáles son los accesos que se le asignan de acuerdo a las funciones quedesempeña.
Conclusión:No existe un procedimiento que facilite la gestión de los accesos a los servicios de la redy a los equipos de cómputo.
Recomendación:Se debe controlar los accesos a la información, medios de procesamiento de lainformación y procesos sobre la base de los requerimientos de seguridad.
Dominio: Adquisición, Desarrollo y Mantenimiento
% de efectividad 50%Causa:Los desarrolladores realizan procesos de validación y controles en las aplicacionesdesarrolladas por la U.T.B. y todas aquellas en las cuales poseen el código fuente, perono existen controles de seguridad al acceso al código fuente
Efecto:Los sistemas se realizan sin ningún control en la seguridad, no se cifra la informacióncuando viaja a través de la red, haciendo visible información de acceso a los servicios.
Conclusión:Al no poseer la U.T.B. controles de seguridad en las aplicaciones y acceso al código lahace susceptible a que personal no autorizado pueda acceder a ellas.
Recomendación:Que el diseño e implementación de sistemas de información que soporta los procesos dela U.T.B. se deben identificar y acordar requerimientos de seguridad antes del desarrolloy /o implementación.
Dominio: Gestión de incidentes de seguridad de lainformación.
% de efectividad 50%Causa:No existe un procedimiento formal que asegure el reporte a la Alta Gerenciade los incidentes que puedan poner en riesgo la seguridad de la información.
Efecto:Que se produzcan incidentes de seguridad que pueden afectar a la integridad,Confidencialidad y disponibilidad de la información, pero en medidas menorespor la falta de comunicación hacia la alta gerencia.
Conclusión:Al no existir un procedimiento para reportar los incidentes de seguridad, a laalta gerencia no existe una inmediata corrección de estos eventos.
Recomendación:Crear políticas y procedimientos formales para la gestión de incidentes, asícomo la asignación de la responsabilidad de reportarlos a la Alta Gerencia.
Dominio: Continuidad del Negocio
% de efectividad 10%Causa:No existe una metodología o marco referencial formalmente establecidoy aprobado que garantice el proceso de Administración de la Continuidad delNegocio. No existe evidencia de la capacitación realizada en los temasrelacionados al plan.
Efecto:Que no se garantice la continuidad de los procesos y servicios TI de la U.T.B.
Conclusión:No existe un plan de continuidad de negocio estructurado que contiene:Análisis de Impacto del negocio, procedimientos de recuperación de las Basesde Datos y aplicaciones críticas, política de mantenimiento y el resultado de laúltima prueba realizada.
Recomendación:Se debe implementar el proceso de gestión de la continuidad del negocio paraminimizar el impacto sobre la organización y recuperarse de pérdidas de activosde información hasta un nivel aceptable a través de una combinación de controlespreventivos y de recuperación.
Dominio: Cumplimiento
% de efectividad 20%Causa:No existe una metodología o marco referencial (Plan de seguridad de lainformación) establecido donde se puedan verificar políticas de seguridad y lagestión de la información que en ciertos está regulada por L.O.T.A.I.P. (LeyOrgánica de Transparencia y Acceso a la información pública).
Efecto:Que no se puedan verificar cumplimientos de las políticas y normas deseguridad a través de auditorías por la inexistencia de un contexto regulatorio.
Conclusión:No existe un diseño, operación, uso y gestión de los sistemas de informaciónpara que estén sujetos a requerimientos de seguridad estatutarios y reguladores
Recomendación:Se debe implementar procesos regulatorios en base a políticas para así lossistemas de información y servicios de la U.T.B. puedan ser auditados encumplimiento a un estándar de seguridad.
Conclusiones.
Utilizando estándares reconocidos como ISO 27002 permite evaluar de forma
razonable los aspectos de seguridad de información de una organización.
El apoyo de las autoridades es de vital importancia para el desarrollo de la seguridad
en la U.T.B.
Existe métodos informales que ayudan a la organización de la información pero
necesitan ser detallados y divulgados estos procesos a través de un documento
oficial.
El no contar con un plan seguridad informática la U.T.B. hace que carezca de una
planificación de los controles de la seguridad que deben implementarse.
Recomendaciones.
Desarrollar un plan de seguridad de la información que incluya los dominios y
controles de las normas ISO 27002.
Comprometer a la alta gerencia y al personal para que entreguen todo el apoyo para
cumplir con las recomendaciones indicadas.
Realizar auditoría de seguimiento por lo menos una vez al año para verificar la
adecuada implementación de la recomendaciones realizadas.
ANEXO 18.
Auditoría al Departamento de Tecnologías de la U.T.B.
Investigación Preliminar.
Reseña Histórica de la Universidad Técnica de Babahoyo.
La Universidad Técnica de Babahoyo, fue creada el 5 de Octubre de 1971, es una institución
de Educación Superior con personería Jurídica que se rige por la constitución de la República
del Ecuador y por las normas expedidas por el Concejo de Educación Superior.
Las actividades de la Universidad Técnica de Babahoyo, están basadas en la gestión
administrativa, docencia, investigación y vinculación con la colectividad y acoge principios
asumidos por la universidad ecuatoriana en el contexto universal.
La Universidad Técnica de Babahoyo es una institución sin fines de lucro, que se sustenta
en los principios de reconocimiento y ejercicio de la autonomía responsable, cogobierno,
igualdad de oportunidades, calidad, pertinencia, integralidad y autodeterminación, para la
producción del pensamiento y conocimiento en el marco del dialogo de saberes, producción
científica tecnológica global y en la inviolabilidad de sus predios.
La universidad Técnica de Babahoyo tiene las siguientes Misión y Visión.
Misión.- Formar profesionales y académicos, líderes y emprendedores con valores éticos y
morales con conocimientos científicos y tecnológicos que promuevan la investigación,
trasferencia de tecnología e innovación y extensión de calidad, para contribuir en la
trasformación social y económica del país.
Visión.- Ser líder y referente en la trasformación humanista, investigación e innovación de
la educación superior en América Latina.
Fines y Objetivos.- La Universidad Técnica de Babahoyo, hace suyos los fines y objetivos
de la Educación Superior, consagrados en la Ley Orgánica de Educación Superior (LOES)
y garantiza el cumplimiento de los principios de pertinencia e integralidad así como la
articulación de sus actividades a los objetivos del régimen de desarrollo previsto en los
instrumentos de planificación del Estado Ecuatoriano.
ORGANIGRAMA DE LA UNIVERSIDAD TÉCNICA DE BABAHOYO.
Puestos de Trabajo de la Universidad Técnica de Babahoyo.
El número de puestos de trabajo de acuerdo a las unidades a continuación se detallan.
Total de Empleados de la U.T.B.
Total 267
Tabla 1. Número de empleados Administrativos.
Fuente: Unidad de Talento Humano.
PROYECTOS DE INVERSION SUPERTEL
Estudio de la Dirección de Tecnología de la Información.
Atribuciones y responsabilidades de la Dirección de Tecnología de la Información.
Entre las atribuciones y responsabilidades se encuentran las
siguientes:
1. Administrar las operaciones del Data Center, redes locales y departamentales de la
institución;
2. Propiciar buenas prácticas de Gobierno y Democracia Digital, así como también el
uso masivo de tecnologías.
3. Desarrollo e Implementación de Planes de Sistemas de Información y Tecnologías
Informáticas, considerando capacitación y formación de usuarios.
4. Desarrollo de Manuales de procedimientos, metodologías y estándares informáticos
para buenas prácticas de servicios.
5. Servicios informáticos según las aplicaciones bajo su responsabilidad en
coordinación con los destinatarios de cada servicio.
6. Desarrollo de Software de base a medida y utilitarios para hacer eficiente el trabajo
de las diferentes unidades de la institución y redes locales.
7. Desarrollo de aplicaciones con bases de datos tipo software libre para producir
información para la toma de decisiones;
8. Desarrollo de planes y proyectos de tecnología de información y comunicaciones.
9. Estudios Periódicos para la provisión de equipos, programas y servicios
computacionales, según las necesidades de todas las unidades departamentales;
10. Instalación, operación, control y mantenimiento de hardware, software y redes de
cómputo.
11. Inventario físico actualizado de las configuraciones computacionales y de
comunicación.
12. Análisis de rendimiento óptimo de recursos consumibles de información (tintas,
tóneres, cintas, etc.).
13. Apoyo a la mejora continua de procesos y procedimientos para fortalecer la
institución.
Objetivos estratégicos de la Unidad de Tecnología de la Información
La Tecnología de la Información es una unidad de apoyo responsable de la administración
y control de TI en la Institución, los objetivos que plantea esta dirección se muestran en
la Tabla.
OBJETIVOS
ESTRATEGICOS
Innovar
tecnológicamente la
institución
Desarrollar sistemas informáticos
Dar mantenimiento a todos los sistemas de información que
lo requieran
Proporcionar líneas de comunicación efectivas hacia los
usuarios.
Dotar de herramientas tecnológicas a los usuarios, que
permitan incrementar su productividad. Proporcionar
asesoría tecnológica para la ejecución de todos los
proyectos, para que se realicen en el tiempo indicado.
Anticipar las
necesidades
tecnológicas de la
institución
Investigar tendencias que cumplan con estándares
internacionales y que pudieran proporcionar nuevas
alternativas de servicios.
Mantener una
estructura
Dinámica
Hacer el seguimiento del marco regulatorio para el uso,
administración y control del recurso tecnológico
informático de la institución
Optimizar los procesos de la Dirección.
Tabla 3. Objetivos de la Unidad de TI.
Fuente: Departamento de TI.
Análisis FODA de la Unidad de Tecnología de la Información.
Luego de un análisis mediante observación, indagación y entrevistas se
identificaron las fortalezas, oportunidades, debilidades y amenazas de la Unidad de TI.
FORTALEZAS OPORTUNIDADES
Nivel de conocimiento técnico alto.
Personal homogéneo.
Predisposición al cambio.
Infraestructura física actualizada.
Participación en proyectos institucionales.
Nuevas áreas tecnológicas disponibles.
DEBILIDADES AMENAZAS
La Dirección no es una unidad
asesora en la toma de decisiones, solo
apoya en la ejecución.
carga laboral poco equilibrada debido
a la falta de personal frente a la
cantidad de servicios.
Falta de una normativa adecuada
Altos costos de la tecnología
Tabla 4. Matriz FODA de la Unidad de TI.
Elaborado por: Departamento de TI.
Recursos Humanos de la Dirección general de Tecnología.
Para realizar las funciones de la Dirección de Tecnología cuenta con el recurso humano
especificado en la Tabla.
Tabla 5. Recursos Humanos de Dirección de Tecnología.
Elaborado por: José Mejía Viteri.
Estructura por Procesos de la Dirección de TI
Unidad de Telemática y Soporte Técnico
Redes de Datos
1. Informes de ejecución de proyectos de infraestructura tecnológica relacionados con
redes y telecomunicaciones.
2. Propuestas de aplicación de tecnologías de comunicaciones en los procesos de la
Universidad, como resultados de investigaciones de carácter tecnológico.
3. Especificaciones técnicas de procesos de selección referidos a servicios o proyectos
de telecomunicaciones.
4. Informes de supervisión de proyectos por terceros, relacionados con equipos de redes
y comunicaciones.
5. Administración de la red de datos (administración de usuarios, servidores y
dispositivos de comunicaciones).
6. Administración de accesos a la intranet e internet.
7. Gestión del enlace de datos WAN entre diferentes unidades desconcentradas.
8. Informes de administración de la red de telefonía.
9. Aplicación de las políticas de seguridad informática en redes.
PERFIL CARGO
ADMINISTRATIVO
#
Director Director General 1
Ingeniero en Desarrollo Profesional Informática 2
Ingeniero en
Telecomunicaciones
Profesional Informática 1
Ingeniero de Infraestructura Profesional Informática 4
Secretaria Asistente Profesional 1
10. Informes de ejecución de actividades orientadas al cumplimiento de la normatividad
gubernamental en materia de telecomunicaciones y protección de la propiedad
intelectual.
11. Administración del Correo Electrónico Institucional.
Mantenimiento de Hardware
1. Inventario de equipos de cómputo (hardware).
2. Realizar mantenimiento preventivo y correctivo del hardware de la institución
(impresoras, computadoras y otros equipos de tecnología informática).
3. Asistencia técnica presencial y telefónica a los usuarios de recursos de información
de la Universidad.
4. Charlas técnicas de uso de aplicaciones puntuales.
5. Capacitación a usuarios en utilización de nuevo hardware para su eficiente
aprovechamiento.
6. Informes de administración del servicio de asistencia al usuario (“Help desk”).
7. Informes de mantenimiento preventivo y correctivo de los equipos de cómputo.
8. Informes de administración de Activos Informáticos.
9. Reporte de actualizaciones de sistemas operativos de los usuarios.
10. Estadísticas de malware (virus, etc.).
11. Actualización de antivirus.
12. Monitoreo de software no licenciado.
13. Gestión y Mantenimiento de Impresoras.
14. Gestión de Insumos de Impresión y control de gastos.
Unidad de Desarrollo de Proyectos y Soluciones Tecnológicas.
Desarrollo de Proyectos Tecnológicos
1. Propuestas y Desarrollo de Proyectos.
2. Socialización de Proyectos de Desarrollo Tecnológico.
3. Gestión de participación con entidades de generación de tecnologías.
4. Despliegue técnico para soporte a instituciones y entidades conexas.
Desarrollo de Software y Sistemas de Gestión
1. Informe de cambios de la información física de datos.
2. Implementación de herramientas de optimización de datos y acceso a la información.
3. Implementación de controles de definición, acceso, actualización y concurrencia de
datos.
4. Gestión de informes de monitoreo de las bases de datos.
5. Informes de Auditoría de base de datos.
6. Informes de actualización de la estructura de base de datos.
7. Gestión de la migración de datos a otras plataformas operativas y/o servidores
8. Crear, probar y definir procedimientos de respaldos
9. Verificar o ayudar a la verificación en la integridad de datos
10. Definir y/o implementar controles de acceso a los datos
11. Asegurarse del mayor tiempo de encendido. (Base de Datos y Servidores)
12. Desarrollo y soporte a pruebas - Ayudar a los programadores e ingenieros a utilizar
eficientemente la base de datos.
13. Informe de actividades y proyectos de desarrollo de sistemas de información en
función de cumplir el Plan Operativo Anual (POA).
14. Informes de ejecución de proyectos de desarrollo de sistemas informáticos aplicando
estándares de desarrollo establecidos.
15. Plan Anual de Mantenimiento de Sistemas de información.
16. Informe de ejecución de actividades de mantenimiento de sistemas informáticos.
17. Especificaciones técnicas de los servicios de desarrollos informáticos y aplicativos.
18. Informe de evaluación y monitoreo de la ejecución de proyectos de desarrollo de
sistemas informáticos realizados por terceros.
19. Informes de asistencia técnica sobre soluciones tecnológicas puestas a consideración
por terceros.
20. Propuestas de tecnologías de información en los procesos de la universidad como
resultado de investigaciones de carácter tecnológico.
21. Informes de administración técnica de los sistemas informáticos y los manuales de
usuarios de cada sistema informático de la universidad.
22. Informes de los proyectos de desarrollo informático ejecutados y en ejecución.
23. Informes de asesoría a las unidades orgánicas en la identificación de soluciones que
involucren el desarrollo o aplicación de sistemas informáticos.
24. Elaboración de software a medida.
25. Desarrollo de Bases de Datos.
Hardware y Software del Centro de Cómputo.
ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN
UTM SOPHOS REDES Y TELECOMUNICACIONES
SWICH REDES Y TELECOMUNICACIONES
TRANSEIVER REDES Y TELECOMUNICACIONES
FIBRA OPTICA REDES Y TELECOMUNICACIONES
ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES
ROUTERS REDES Y TELECOMUNICACIONES
ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES
ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES
CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES
SERVIDOR MANTENIMIENTO Y SOPORTE
PORTATIL MANTENIMIENTO Y SOPORTE
EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE
INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE
CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE
DISCOS DUROS EXTERNOS MANTENIMIENTO Y SOPORTE
DISCOS DUROS DE SERVIDORES MANTENIMIENTO Y SOPORTE
UPS MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO WINDOWS SERVER MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO LINUX CENTOS MANTENIMIENTO Y SOPORTE
SISTEMA OPERATIVO WINDOWS SERVER 2012 MANTEIMIENTO Y SOPORTE
ANTIVIRUS MANTENIMIENTO Y SOPORTE
CORREO ELECTRONICO DESARROLLO
DSPACE DESARROLLO
MOODLE DESARROLLO
WEB SITE DESARROLLO
ERP DESARROLLO
EKUBIBLIO DESARROLLO
SEGUIMIENTO GRADUADOS DESARROLLO
HELPDESK DESARROLLO
OLIMPO INVENTARIOS Y ACTIVOS FIJOS DESARROLLO
Objetivos.
Objetivo General.
Auditar el cumplimiento de la aplicación, de políticas y controles necesarios para
mantener la confidencialidad, integridad y disponibilidad de la información de la
Universidad Técnica de Babahoyo.
Objetivos Específicos.
Determinar la existencia de políticas de seguridad que protejan los activos
de la Universidad Técnica de Babahoyo.
Determinar si la información crítica de la institución en términos de
disponibilidad, integridad y confidencialidad está expuesta a riesgos.
Evaluar el acceso lógico y físico, los controles de seguridad del ambiente
informático.
Fomentar la conciencia de seguridad a nivel institucional.
SEGUIMIENTOS DE DOCUMENTOS DESARROLLO
URKUND DESARROLLO
ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES
DESARROLLADOR DESARROLLO
TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTE
ACTIVOS DE INFORMACIÓN
LICENCIA DE USO DE UTM SOPHOS REDES Y TELECOMUNICACIONES
LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2 MANTENIMIENTO Y SOPORTE
GARANTIAS DE SERVIDORES MANTENIMIENTO Y SOPORTE
GARANTIAS DE ROUTER Y SWICH CISCO REDES Y TELECOMUNICACIONES
GARANTIAS DE SWICH HP REDES Y TELECOMUNICACIONES
Verificar la implementación del Plan de seguridad Informática de la Universidad
Técnica de Babahoyo.
Alcance.
Al final de este trabajo de auditoría la institución obtendrá:
Informe de Auditoría a la Seguridad de la información basada en los
controles de la norma ISO 27002
Dominios a Auditar
Se evaluarán los siguientes Dominios.
Componentes
Política de Seguridad
Aspectos Organizativos de la Seguridad de la información
Gestión de Activos
Seguridad Física y del entorno
Gestión de las comunicaciones y operaciones
Control de accesos
Adquisición Desarrollo y mantenimiento de sistemas de Información
Gestión de Incidentes en la Seguridad de la Información
Gestión de la Continuidad del Negocio
Tabla Nro. 6 Dominios de la Norma ISO 27002.
Elaborado por. José Mejía Viteri.
Cronograma de Trabajo.
Para ejecutar la presente auditoría se ha planificado el siguiente cronograma de
trabajo:
Actividad Tiempo
Visita preliminar 1 días
Evaluación de los siguientes componentes:
Política de Seguridad
Aspectos Organizativos de la Seguridad de la información
Gestión de Activos
Seguridad Física y del entorno
Gestión de las comunicaciones y operaciones
Control de accesos
Adquisición Desarrollo y mantenimiento de sistemas deInformación
Gestión de Incidentes en la Seguridad de la Información
Gestión de la Continuidad del Negocio
1 días
2 días
1 días
2 días
1 días
1 días
1 días
1dias
1 días
Pre-informe 3 días
Elaboración del informe final 3 días
TOTAL: 18 días
Tabla Nro. 7 Cronograma de actividades de Auditoría.
Fuente: Elaborada por José Mejía Viteri.
Criterios de Auditoría a Utilizarse.
Para realizar la auditoría se han tomado como referencia los controles establecidos en la
norma ISO 27002 porque es un modelo reconocido internacionalmente y certificable,
además de ofrecer con detalle cada uno de los controles a realizarse en cada uno de los
Dominios de la Seguridad de la Información.
Recurso de personal.
Para la presente auditoría participará 1 Auditor Informático y se requiere de la
colaboración de una persona del área de tecnologías de la información de la institución así
como del apoyo de la Alta Gerencia, para poder recabar toda la información necesaria.
Herramientas y Técnicas.
Entre las herramientas que se utilizarán para la ejecución de esta auditoría podemos
mencionar:
Norma ISO 27002
Listas de verificación (check list)
Correo electrónico
Computador
Office (Word, Excel, Power Point).
También se procederá a aplicar las siguientes técnicas a fin de obtener evidencia para
poder compararlo con el modelo de mejores prácticas seleccionado (ISO 27002):
Verbal: Realizando entrevistas al personal involucrado en los temas de
seguridad de la información y de los sistemas informáticos.
Documental: Analizando la Política de Seguridad (si existiera) y evidencia
escrita recibida del personal autorizado.
Física: Observación del cumplimiento de la Política de Seguridad
institucional y de los controles de especificados en la norma ISO 27002 referente
a los dominios y controles.
Plan de Auditoría.
En caso de ser necesario se realizará los siguientes documentos:
Actas de Reunión firmadas por los involucrados.
Actas de Entrega / Recepción de los documentos solicitados.
Informes de Avance de la Auditoría, en caso de ser solicitados por la
Gerencia General o Directorio.
Informe de Auditoría, el cual será expuesto en una reunión final al Directorio y
Gerencia General.
Ejecución de la Auditoría.
Durante la fase de ejecución se realizaron controles a través de un checklist in-situ en el
centro de cómputo en compañía del director de tecnologías, además de la entrevista al
personal de las diferentes áreas.
Tabla de valoración del estado de los controles de ISO 27002.
Valor Efectividad Significado Descripción
L0 0% InexistenteCarencia completa de cualquier procesoconocido.
L1 10% Inicial / Ad-hocProcedimientos inexistentes o localizadosen áreas concretas. El éxito de las tareas sedebe a esfuerzos personales.
L2 50% Reproducible, pero intuitivo
Existe un método de trabajo basado en laexperiencia, aunque sin comunicaciónformal. Dependencia del conocimientoindividual
L3 90% Proceso definidoLa organización en su conjunto participa enel proceso. Los procesos están implantados,documentados y comunicados.
L4 95% Gestionado y medible
Se puede seguir la evolución de losprocesos mediante indicadores numéricos yestadísticos. Hay herramientas para mejorarla calidad y la eficiencia
L5 100% Optimizado
Los procesos están bajo constante mejora.En base a criterios cuantitativos sedeterminan las desviaciones más comunesy se optimizan los procesos
L6 N/A No aplica
Tabla Nro.8 Tabla de Valoración de controles ISO 27002.
Elaborado Por: José Mejía Viteri.
Secciones Controles y Estado Actual y Cumplimiento.
Dominio Política de Seguridad.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
5POLÍTICA DE SEGURIDAD
5.1 Política de Seguridad de la información
5.1.1 Documento dePolítica deSeguridad de laInformación
La dirección debería aprobar undocumento de política deSeguridad de la información,publicarlo y distribuirlo a todoslos afectados
El documento existey está siendoimplementado ydifundido
L4
5.1.2 Revisión de lapolítica deseguridad de lainformación
La política de seguridad de lainformación debería revisarse aintervalos planificados osiempre que se produzcancambios significativos, a fin deasegurar que se mantenga suidoneidad, adecuación yeficacia.
Existenprocedimientosformales a través deldocumento deseguimientos depolíticas deseguridad que larealiza la direcciónde TI.
L4
Dominio Aspectos Organizativos de la Seguridad de la Información.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
6
ASPECTOS ORGANIZATIVOS DE LASEGURIDAD DE LA INFORMACIÓN
6.1 Organización Interna
6.1.1 Compromiso de laDirección con laseguridad de lainformación
La Dirección debería prestarun apoyo activo a la seguridaddentro de la organización através de directrices claras, uncompromiso demostrado,asignaciones explícitas y elreconocimiento de lasresponsabilidades deseguridad de la información.
Existe un compromisofirmado entre elVicerrectoradoAdministrativo y laDirección de TI L5
6.1.2 Coordinación de laseguridad de lainformación
Las actividades relativas a laseguridad de la informacióndeberían ser coordinadas entrelos representantes de las
Se encuentrandefinidas entre el losdel departamento deTI y el Vicerrectorado
L4
diferentes partes de laorganización con suscorrespondientes roles yfunciones de trabajo.
Administrativo y laDirectora de Escuelade Sistemas.
6.1.3 Asignación deresponsabilidadesrelativas a laseguridad de lainformación
Deberían definirse claramentetodas las responsabilidadesrelativas a la seguridad de lainformación.
Se encuentrandefinidas lasresponsabilidadespero solo estánparticipando personasdel departamento deTI.
L4
6.1.4 Proceso deautorización derecursos para eltratamiento de lainformación
Para cada nuevo recurso detratamiento de la información,debería definirse e implantarseun proceso de autorización porparte de la Dirección.
Existe un procesodefinido pero noimplementado L2
6.1.5 Acuerdos deconfidencialidad
Debería determinarse yrevisarse periódicamente lanecesidad de estableceracuerdos de confidencialidad ono revelación, que reflejen lasnecesidades de la organizaciónpara la protección de lainformación.
Se encuentra definidoy se encuentra enetapa deimplementación detodos los empleadosde la U.T.B.
L3
6.1.6 Contacto con lasautoridades
Deberían mantenerse loscontactos adecuados con lasautoridades competentes.
Existe un documentodefinido paracontactos con lasautoridades.
L4
6.1.7 Contacto congrupos de especialinterés
Deberían mantenerse loscontactos adecuados congrupos de interés especial, uotros foros, y asociacionesprofesionales especializadasen seguridad.
El director mantienecontactos con gruposde interésespecialmente enforos y demásUniversidades y existedocumentos deregistro
L4
6.1.8 Revisiónindependiente de laseguridad de lainformación
El enfoque de la organizaciónpara la gestión de la seguridadde la información y suimplantación (es decir, losobjetivos de control, loscontroles, las políticas, losprocesos y los procedimientospara la seguridad de lainformación), deberíasometerse a una revisiónindependiente a intervalosplanificados o siempre que seproduzcan cambiossignificativos en laimplantación de la seguridad
Existe documento derevisión de laspolíticas por parte dela dirección de TI
L4
6.2 Terceros
6.2.1 Identificación delos riesgosderivados delacceso de terceros
Deberían identificarse losriesgos para la información ypara los dispositivos detratamiento de la informaciónde la organización derivadosde los procesos de negocio que
El acceso de tercerosestá recogido en losprocedimientos deGestión de Accesos,Gestión de Riesgos y
L4
requieran de terceros, eimplantar los controlesapropiados antes de otorgar elacceso.
en el documento deContratación.
6.2.2 Tratamiento de laseguridad en larelación con losclientes
Deberían tratarse todos losrequisitos de seguridadidentificados, antes de otorgaracceso a los clientes a losactivos o a la información dela organización
Existe requisitos alingreso a laboresexiste documento porescrito en eldepartamento deActivos Fijos de losequipos del cual esresponsable elempleado.
L5
6.2.3 Tratamiento de laseguridad encontratos conterceros
Los acuerdos con terceros queconlleven acceso, procesado,comunicación o gestión, biende la información de laorganización, o de los recursosde tratamiento de lainformación, o bien laincorporación de productos oservicios a los recursos detratamiento de la información,deberían cubrir todos losrequisitos de seguridadpertinentes.
Contemplado en elprocedimiento deCompras de productosy Servicios y en elDocumento deconfidencialidad delcontrato yreglamentación deINCOP
L3
Dominio Gestión de Activos.
7GESTIÓN DE ACTIVOS
7.1 Responsabilidad sobre los activos
7.1.1 Inventario deactivos
Todos los activos deberían estarclaramente identificados y deberíaelaborarse y mantenerse un inventario detodos los activos importantes.
Se mantiene un Inventariode los Activos y existemanual para identificación.
L3
7.1.2 Propiedad de losactivos
Toda la información y activos asociadoscon los recursos para el tratamiento de lainformación deberían tener unpropietario que forme parte de laorganización y haya sido designadocomo propietario.
Los propietarios de losactivos están identificadosen el inventario de activos.
L5
7.1.3 Uso aceptablede los activos
Se deberían identificar, documentar eimplantar las reglas para el uso aceptablede la información y de los activosasociados con los recursos para eltratamiento de la información.
Existe reglamento para eluso de los Activos.
L3
7.2 Clasificación de la información
7.2.1 Directrices declasificación
La información debería ser clasificadasegún su valor, los requisitos legales, susensibilidad y criticidad para laorganización
Existe manual declasificación deinformación y se encuentraen proceso deimplementación.
L3
7.2.2 Etiquetado ymanipulado dela información
Se debería desarrollar e implantar unconjunto adecuado de procedimientospara etiquetar y manejar la información,de acuerdo con el esquema declasificación adoptado por laorganización
Actualmente existe manualde clasificación ymanipulación de lainformación.
L3
Dominio Seguridad Ligada a los Recursos Humanos.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
8SEGURIDAD LIGADA A LOS RECURSOSHUMANOS
8.1 Antes del Empleo
8.1.1 Funciones yresponsabilidades
Las funciones yresponsabilidades deseguridad de los empleados,contratistas y terceros sedeberían definir ydocumentar de acuerdo conla política de seguridad de lainformación de laorganización.
Hay un perfil detrabajo establecidopara cada miembro dela U.T.B. Ese perfil seestablece previamentea la contratación y seevalúan a los posiblescandidatos conforme aéste.
L5
8.1.2 Investigación deantecedentes
La comprobación de losantecedentes de todos loscandidatos a un puesto detrabajo, de los contratistas ode los terceros, se deberíallevar a cabo de acuerdo conlas legislaciones, normativasy códigos éticos que sean deaplicación y de una maneraproporcionada a losrequisitos del negocio, laclasificación de lainformación a la que seaccede y a los riesgosconsiderados.
En el procedimiento decontratación seestablece laverificación del CV através de lasreferencias incluidas.
L5
8.1.3 Términos ycondiciones decontratación
Como parte de susobligaciones contractuales,los empleados, loscontratistas y los tercerosdeberían aceptar y firmar lostérminos y condiciones de sucontrato de trabajo, quedebería establecer susresponsabilidades y las de laorganización en lo relativo aseguridad de la información.
Está establecido en elprocedimiento decontratación que a losnuevos contratados seles presenten lostérminos de sucontratación, pero nolos términos deseguridad a través de lafirma de un documentode confidencialidad
L2
8.2 Durante el Empleo
8.2.1 Responsabilidadesde la Dirección
La Dirección debería exigir alos empleados, contratistas yterceros, que apliquen laseguridad de acuerdo con laspolíticas y procedimientosestablecidos en laorganización.
se han realizadocharlas de incentivo ala seguridad de lainformación por partede talento humano
L3
8.2.2 Concienciación,formación ycapacitación enseguridad de lainformación
Todos los empleados de laorganización y, cuandocorresponda, los contratistasy terceros, deberían recibiruna adecuada concienciacióny formación, conactualizaciones periódicas,sobre las políticas yprocedimientos de laorganización, segúncorresponda con su puesto detrabajo.
No existe actualmentela elaboración de unproyecto deconcientización de laseguridad deinformación
L3
8.2.3 Procesodisciplinario
Debería existir un procesodisciplinario formal para losempleados que hayanprovocado alguna violaciónde la seguridad
Se ha elaborado ydocumentado unmanual de ética dondese manifiesta sancionescuando un empleadocomete algún actoindebido.
L5
8.3 Cese del Empleo o cambio de puesto de trabajo
8.3.1 Responsabilidad delcese o cambio
Las responsabilidades paraproceder al cese en el empleoo al cambio de puesto detrabajo deberían estarclaramente definidas yasignadas.
Está establecido comoparte delprocedimiento decontratación
L3
8.3.2 Devolución deactivos
Todos los empleados,contratistas y tercerosdeberían devolver todos losactivos de la organizaciónque estén en su poder alfinalizar su empleo, contratoo acuerdo.
Establecido como partedel procedimiento decontratación y ligadoal proceso de gestiónde cambios.
L3
8.3.3 Retirada de losderechos de acceso
Los derechos de acceso a lainformación y a los recursosde tratamiento de lainformación de todos losempleados, contratistas yterceros deberían serretirados a la finalización delempleo, del contrato o delacuerdo, o bien deberían seradaptados a los cambiosproducidos.
Establecido como partedel procedimiento decontratación y ligadoal proceso de gestiónde cambios.
L4
Dominio seguridad Física y del Entorno.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
9SEGURIDAD FÍSICA Y DEL ENTORNO
9.1 Áreas seguras
9.1.1 Perímetro deseguridad física
Se deberían utilizarperímetros de seguridad(barreras, muros, puertas deentrada con control de accesoa través de tarjeta, o puestosde control) para proteger lasáreas que contienen lainformación y los recursos detratamiento de la información.
Las dependencias estánseparadas por puertas.Está prevista lainstalación de un accesoa través de llave a lassalas de producción delos administradores deBBDD y Sistemas perono para losdesarrolladores
L3
9.1.2 Controles físicosde entrada
Las áreas seguras deberíanestar protegidas por controlesde entrada adecuados, paraasegurar que únicamente sepermite el acceso al personalautorizado.
El accesos seguro alcuarto de servidores estese encuentra bajo llave yel único que tiene accesoes el director y lasecretaria
L3
9.1.3 Seguridad deoficinas,despachos einstalaciones
Se deberían diseñar y aplicarlas medidas de seguridadfísica para las oficinas,despachos e instalaciones
Los despachos de losresponsables estáncerrados con llave. Elacceso a la oficina de lasvisitas se controla através de cámaras
L3
9.1.4 Proteccióncontra lasamenazasexternas y deorigen ambiental
Se debería diseñar y aplicaruna protección física contra eldaño causado por fuego,inundación, terremoto,explosión, revueltas sociales yotras formas de desastresnaturales o provocados por elhombre.
Existe un plan decontinuidad del negociodonde se establecencomo actuar frente aestas amenazas.
L4
9.1.5 Trabajo en áreasseguras
Se deberían diseñar eimplantar una protecciónfísica y una serie dedirectrices para trabajar en lasáreas seguras
Las áreas de lasdiferentes dependenciases segura y está vigiladapor cámaras deseguridad
L5
9.1.6 Áreas de accesopúblico y decarga y descarga
Deberían controlarse lospuntos de acceso tales comolas áreas de carga y descargay otros puntos, a través de losque personal no autorizadopueda acceder a lasinstalaciones, y si es posible,dichos puntos se deberíanaislar de las instalaciones detratamiento de la informaciónpara evitar accesos noautorizados.
No aplica
L6
9.2 Seguridad de los equipos
9.2.1 Emplazamientoy protección deequipos
Los equipos deberían situarseo protegerse de forma que sereduzcan los riesgosderivados de las amenazas ypeligros de origen ambientalasí como las ocasiones de quese produzcan accesos noautorizados.
Los servidores seencuentran en un áreasegura. Los equiposindividuales seencuentran dentro de lasoficinas, donde en áreascomo departamentofinanciero se haimplementado acceso através de chapaseléctricas que accedenprevia autorización deljefe departamental
L3
9.2.2 Instalaciones desuministro
Los equipos deberían estarprotegidos contra fallos dealimentación y otrasanomalías causadas por fallosen las instalaciones desuministro.
se cuenta con UPS de5KVA que protege a losservidores en caso decaída del suministroeléctrico
L5
9.2.3 Seguridad delcableado
El cableado eléctrico y detelecomunicaciones quetransmite datos o que dasoporte a los servicios deinformación debería estarprotegido frente ainterceptaciones o daños.
El cableado eléctricoestá canalizado pordebajo del suelo técnicode las oficinas. Hay unapolítica deinfraestructura definida
L5
9.2.4 Mantenimientode los equipos
Los equipos deberían recibirun mantenimiento correctoque asegure su disponibilidady su integridad
El mantenimiento de losequipos se lleva a cabocuando se sucede unincidente y además loestablecido dentro delplan de mantenimientopreventivo y correctivo.
L3
9.2.5 Seguridad de losequipos fuera delas instalaciones
Teniendo en cuenta losdiferentes riesgos queconlleva trabajar fuera de lasinstalaciones de laorganización, deberíanaplicarse medidas deseguridad a los equipossituados fuera de dichasinstalaciones.
Existe control paraautorizaciones por salidade equipos fuera de laU.T.B.
L4
9.2.6 Reutilización oretirada segurade equipos
Todos los soportes dealmacenamiento deberían sercomprobados para confirmarque todo dato sensible y todaslas licencias de software sehan eliminado o bien se hanborrado o sobrescrito demanera segura, antes de suretirada.
Existe un proceso paradar de baja a los equiposinformáticos establecido,pero no es eficiente.
L3
9.2.7 Retirada dematerialespropiedad de laempresa
Los equipos, la información oel software no deberíansacarse de las instalaciones,sin una autorización previa
Existe autorización porel jefe departamental
L5
Dominio Gestión de Comunicaciones y Operaciones.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
10GESTIÓN DE COMUNICACIONES YOPERACIONES
10.1Responsabilidades y procedimientos deoperación
10.1.1 Documentaciónde losprocedimientosde operación
Deberían documentarse ymantenerse losprocedimientos de operacióny ponerse a disposición detodos los usuarios que losnecesiten.
Los procedimientos deoperación se encuentrandefinidos, escritos y adisposición del personalen el contrato
L3
10.1.2 Gestión decambios
Deberían controlarse loscambios en los recursos y enlos sistemas de tratamientode la información
Existen lineamientosdefinidos en la gestión decambio de la informaciónen el proceso tales comosoftware.
L4
10.1.3 Segregación detareas
Las tareas y áreas deresponsabilidad deberíansegregarse para reducir laposibilidad de que seproduzcan modificacionesno autorizadas o nointencionadas o usosindebidos de los activos dela organización.
Existe un área de activosfijos donde supervisa quecada activo este en el áreacorrespondiente.
L3
10.1.4 Separación delos recursos dedesarrollo,prueba yoperación
Deberían separarse losrecursos de desarrollo, depruebas y de operación, parareducir los riesgos de accesono autorizado o los cambiosen el sistema en producción.
existe un servidor dondese realiza todas laspruebas necesarias antesde poner algún softwareen producción
L5
10.2Gestión de la provisión de servicios porterceros
10.2.1 Provisión deservicios
Se debería comprobar quelos controles de seguridad,las definiciones de losservicios y los niveles deprovisión, incluidos en elacuerdo de provisión deservicios por terceros, hansido implantados, puestos enoperación y son mantenidospor parte de un tercero
Antes de que un serviciocontratado como el deinternet sea cancelado serealiza un informe porparte del director del TIpara constatación de quese cumple según elrequerimiento delcontrato, también existeun control de los serviciospor parte sophos UTM
L4
10.2.2 Supervisión yrevisión de losserviciosprestados porterceros
Los servicios, informes yregistros proporcionados porun tercero deberían serobjeto de supervisión yrevisión periódicas, ytambién deberían llevarse acabo auditorias periódicas.
No existe definido unprocesos pero existe unaherramienta sophos, querealiza la supervisión delservicio
L2
10.2.3 Gestión delcambio en losserviciosprestados porterceros
Se deberían gestionar loscambios en la provisión delos servicios, incluyendo elmantenimiento y la mejorade las políticas, losprocedimientos y loscontroles de seguridad de lainformación existentes,teniendo en cuenta lacriticidad de los procesos ysistemas del negocioafectados así como la re-evaluación de los riesgos.
Aunque se lleva a cabouna gestión del cambio,cuando éstos afectan aterceros, no hay unprocedimiento formalpara la reevaluación delos riesgos. L2
10.3 Planificación y aceptación del sistema
10.3.1 Gestión decapacidades
La utilización de los recursosse debería supervisar yajustar así como realizarproyecciones de losrequisitos futuros decapacidad, para garantizar elrendimiento requerido delsistema.
La gestión de capacidadesde los sistemas formaparte de las tareas de laorganización, ya que sesolicitan cambiosautorizados y gestionadoshacia la máxima autoridadestá definido en manualde procesos de compraspúblicas, cambios se losproyecta en el plan anualde contratación.
L4
10.3.2 Aceptación delsistema
Se deberían establecer loscriterios para la aceptaciónde nuevos sistemas deinformación, de lasactualizaciones y de nuevasversiones de los mismos, yse deberían llevar a cabopruebas adecuadas de lossistemas durante eldesarrollo y previamente a laaceptación
Hay una políticaestablecida para laaceptación de sistemasnuevos donde se definenlos criterios de aceptaciónde éstos así como laspruebas que se han dellevar a cabo, por partedel área de tecnologías y anivel de procesos porparte del área requirente
L5
10.4Protección contra el código malicioso ydescargable
10.4.1 Controles contrael códigomalicioso
Se deberían implantarcontroles de detección,prevención y recuperaciónque sirvan como proteccióncontra el código malicioso yse deberían implantarprocedimientos adecuadosde concienciación delusuario.
En la política de uso deequipos personales seestablece el uso deAntivirus y se previenecontra el uso deprogramas no autorizados.Se planifica un proyectode formación del personalen Seguridad de lainformación
L3
10.4.2 Controles contrael códigodescargado en elcliente
Cuando se autorice el uso decódigo descargado en elcliente, la configuracióndebería garantizar que dichocódigo autorizado funcionade acuerdo con una políticade seguridad claramentedefinida, y se debería evitar
En la política de uso deequipos personales seestablece el uso deAntivirus y se previenecontra la descarga y usode programasdescargables. Se planificaun proyecto de formación
L3
que se ejecute el código noautorizado.
del personal en Seguridadde la información
10.5 Copias de seguridad
10.5.1 Copias deseguridad de lainformación
Se deberían realizar copiasde seguridad de lainformación y del software,y se deberían probarperiódicamente conforme ala política de copias deseguridad acordada.
Existe una políticadefinida por parte deldepartamento de TI pararealizar backups de losservidores en producción.
L3
10.6 Gestión de la seguridad de las redes
10.6.1 Controles de red Las redes deberían estaradecuadamente gestionadasy controladas, para que esténprotegidas frente a posiblesamenazas y para mantener laseguridad de los sistemas yde las aplicaciones queutilizan estas redes,incluyendo la informaciónen tránsito.
Dentro de Activedirectory se aplicaronpolíticas de grupo dondecada usuario tieneasignado suscaracterísticas y accesosal Sistema Windows 7.
L4
10.6.2 Seguridad de losservicios de red
Se deberían identificar lascaracterísticas de seguridad,los niveles de servicio, y losrequisitos de gestión detodos los servicios de red yse deberían incluir en todoslos acuerdos relativos aservicios de red, tanto siestos servicios se prestandentro de la organizacióncomo si se subcontratan
Existe control sobre lasUnidades de Red para losArchivos departamentalesmediante la aplicación depermisos con Activedirectory, y acceso a losperiféricos de entrada ysalida.
L3
10.7 Manipulación de los soportes
10.7.1 Gestión desoportesextraíbles
Se deberían establecerprocedimientos para lagestión de los soportesextraíbles
Existe procedimientodefinido pero se constataque solo es aplicado en laUnidad de TI.
L2
10.7.2 Retirada desoportes
Los soportes deberían serretirados de forma seguracuando ya no vayan a sernecesarios, mediante losprocedimientos formalesestablecidos
Está definida una políticapero no se pudo constatarsi se está aplicando.
L3
10.7.3 Procedimientosde manipulaciónde lainformación
Deberían establecerseprocedimientos para lamanipulación y elalmacenamiento de lainformación, de modo que seproteja dicha informacióncontra la revelación noautorizada o el uso indebido.
Se definen controlesaplicados a los backupsque se realizan en laoficina.Los backups de la páginaweb son responsabilidaddel proveedor de hosting.
L5
10.7.4 Seguridad de ladocumentacióndel sistema
La documentación delsistema debería estarprotegida contra accesos noautorizados.
La documentación delsistema se ubica en elservidor de ficheros, quesolo tiene acceso laUnidad de TI y la física semantiene bajo llave en elData Center, en los demásdepartamentos enarchivadores bajo llave
L3
10.8 Intercambio de información
10.8.1 Políticas yprocedimientosde intercambiode información
Deberían establecersepolíticas, procedimientos ycontroles formales queprotejan el intercambio deinformación mediante el usode todo tipo de recursos decomunicación
Se especifican dentro delas políticas de uso deequipos personales
L5
10.8.2 Acuerdos deintercambio
Deberían establecerseacuerdos para el intercambiode información y de softwareentre la organización y losterceros
Se establecen los acuerdosde confidencialidad en loscontratos con terceros L5
10.8.3 Soportes físicosen tránsito
Durante el transporte fuerade los límites físicos de laorganización, los soportesque contengan informacióndeberían estar protegidoscontra accesos noautorizados, usos indebidoso deterioro
En el manual deoperaciones existencontroles pero noformales
L3
10.8.4 Mensajeríaelectrónica
La información que seaobjeto de mensajeríaelectrónica debería estaradecuadamente protegida
se utiliza el correo degoogle con el dominio dela U.T.B.
L5
10.8.5 Sistemas deinformaciónempresariales
Deberían formularse eimplantarse políticas yprocedimientos para protegerla información asociada a lainterconexión de lossistemas de informaciónempresariales.
No existe interconexióncon los sistemas
L5
10.9 Servicios de comercio electrónico
10.9.1 Comercioelectrónico
La información incluida enel comercio electrónico quese transmita a través de redespúblicas debería protegersecontra las actividadesfraudulentas, las disputascontractuales, y la revelacióno modificación no autorizadade dicha información.
L6
10.9.2 Transacciones enlínea
La información contenida enlas transacciones en líneadebería estar protegida paraevitar transmisionesincompletas, errores dedireccionamiento,alteraciones no autorizadas
L6
de los mensajes, larevelación, la duplicación ola reproducción noautorizadas del mensaje.
10.9.3 Informaciónpúblicamentedisponible
La integridad de lainformación puesta adisposición pública sedebería proteger para evitarmodificaciones noAutorizadas.
La información de lapágina web se actualizasiguiendo el proceso degestión de cambios. Lagestión de la seguridaddel servidor web la lleva acabo la empresa delhosting
L5
10.10 Supervisión
10.10.1 Registros deauditoría
Se deberían generar registrosde auditoría de lasactividades de los usuarios,las excepciones y eventos deseguridad de la información,y se deberían mantener estosregistros durante un periodoacordado para servir comoprueba en investigacionesfuturas y en la supervisióndel control de acceso.
La auditoría de lossistemas operativos estáactivada, a través deActive Directory pero noes supervisada.
L2
10.10.2 Supervisión deluso del sistema
Se deberían establecerprocedimientos parasupervisar el uso de losrecursos de tratamiento de lainformación y se deberíanrevisar periódicamente losresultados de las actividadesde supervisión
Se supervisan loscontroles de acceso a losactivos, se monitorea losaccesos a los sistemaspero no existe una políticadefinida.
L1
10.10.3 Protección de lainformación delos registros
Los dispositivos de registroy la información de losregistros deberían estarprotegidos contramanipulaciones indebidas yaccesos no autorizados.
Sólo los administradoresdel sistema tienen accesoa los registros deauditoría. Éstos estánprotegidos por lasherramientas queproporciona el sistemaoperativo Windows
L5
10.10.4 Registros deadministración yoperación
Se deberían registrar lasactividades deladministrador y del operadordel sistema.
Las actividades de losadministradores quedanregistradas en los registrosde auditoría del sistemaoperativo Windows.
L5
10.10.5 Registro defallos
Los fallos deberían serregistrados y analizados y sedeberían tomar lascorrespondientes acciones
En las aplicacionesdesarrolladas por lacompañía se lleva a caboun registro de los erroresobservados y reportadosen éstas para su análisis ycorrección.
L5
10.10.6 Sincronizacióndel reloj
Los relojes de todos lossistemas de tratamiento de lainformación dentro de unaorganización o de un
la sincronización no se larealiza pero se controla enlos sistemas a través de
L3
dominio de seguridad,deberían estar sincronizadoscon una única fuente precisay acordada de tiempo
una sincronización de lahora del servidor.
Dominio Control de Acceso.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
11CONTROL DE ACCESO
11.1Requisitos de negocio para el control deacceso
11.1.1 Política de controlde acceso
Se debería establecer,documentar y revisar unapolítica de control de accesobasada en los requisitos delnegocio y de seguridad parael acceso.
Existe una política decontrol de cambiosdonde se detalla elprocedimiento.
L3
11.2 Gestión de acceso de usuario
11.2.1 Registro deusuario
Debería establecerse unprocedimiento formal deregistro y de anulación deusuarios para conceder yrevocar el acceso a todos lossistemas y servicios deinformación.
Existe políticaimplementada
L5
11.2.2 Gestión deprivilegios
La asignación y el uso deprivilegios deberían estarrestringidos y controlados.
Está definido elprocedimiento y soncontrolados a través deActive Directory
L3
11.2.3 Gestión decontraseñas deusuario
La asignación de contraseñasdebería ser controlada através de un proceso degestión formal.
Está definido el procesoy además se encuentraimplementado en activedirectory
L4
11.2.4 Revisión de losderechos deacceso de usuario
La Dirección debería revisarlos derechos de acceso deusuario a intervalosregulares y utilizando unproceso formal.
Está definido pero noexiste revisión.
L2
11.3 Responsabilidades de usuario
11.3.1 Uso decontraseñas
Se debería requerir a losusuarios el seguir las buenasprácticas de seguridad en laselección y el uso de lascontraseñas.
Existe procedimientodefinido y tambiénincorporado en lasPolíticas de Grupo deactive Directory
L4
11.3.2 Equipo de usuariodesatendido
Los usuarios deberíanasegurarse de que el equipo
Existe el procedimientoimplementado que un L3
desatendido tiene laprotección adecuada
intervalo de 5 minutos sedesactiva la sesión.
11.3.3 Política de puestode trabajodespejado ypantalla limpia
Debería adoptarse unapolítica de puesto de trabajodespejado de papeles y desoportes de almacenamientoextraíbles junto con unapolítica de pantalla limpiapara los recursos detratamiento de lainformación
Existe procedimientomuy simple y dependedel usuario no esautomático
L2
11.4 Control de acceso a la red
11.4.1 Política de uso delos servicios enred
Se debería proporcionar a losusuarios únicamente elacceso a los servicios paraque los que hayan sidoespecíficamente autorizados.
existe políticas definidase implementadas a travésde Active Directory L3
11.4.2 Autenticación deusuario paraconexionesexternas
Se deberían utilizar losmétodos apropiados deautenticación para controlarel acceso de los usuariosremotos
No existes conexionesremotas todas se lasrealiza in- situ L1
11.4.3 Identificación delos equipos en lasredes
La identificación automáticade los equipos se deberíaconsiderar como un mediode autenticación de lasconexiones provenientes delocalizaciones y equiposespecíficos
Existe políticas y sedesignan mediantenúmero de equipo ydepartamento. L3
11.4.4 Diagnósticoremoto yprotección de lospuertos deconfiguración
Se debería controlar elacceso físico y lógico a lospuertos de diagnóstico y deconfiguración
La administraciónremota de los equiposestá deshabilitada pero lade los equiposcontrolada solo con unaIp que la tiene el jefe delárea de soporte
L3
11.4.5 Segregación delas redes
Los grupos de servicios deinformación, usuarios ysistemas de informacióndeberían estar segregados enredes.
si existe dos entornos dered definidos
L5
11.4.6 Control de laconexión a la red
En redes compartidas,especialmente en aquellasque traspasen las fronterasde la organización, deberíarestringirse la capacidad delos usuarios para conectarsea la red, esto debería hacersede acuerdo a la política decontrol de acceso y a losrequisitos de las aplicacionesempresariales (véase 11.1).
Existe definida laspolíticas y se encuentranimplementadas enActive Directory
L3
11.4.7 Control deencaminamiento(routing) de red
Se deberían implantarcontroles de encaminamiento(routing) de redes paraasegurar que las conexionesde los ordenadores y los
En el UTB sophos seencuentranimplementadas políticasde encaminamiento entreredes y la agregado de
L4
flujos de información noviolan la política de controlde acceso de las aplicacionesempresariales.
los equipos a esas redeses mediante control dedirección MAC.
11.5 Control de acceso al sistema operativo
11.5.1 Procedimientosseguros de iniciode sesión
El acceso a los sistemasoperativos se deberíacontrolar por medio de unprocedimiento seguro deinicio de sesión.
Es controlado por laspolíticas e implementadaen Active Directory. L3
11.5.2 Identificación yautenticación deusuario
Todos los usuarios deberíantener un identificador único(ID de usuario), para su usopersonal y exclusivo, y sedebería elegir una técnicaadecuada de autenticaciónpara confirmar la identidadsolicitada del usuario.
Existen políticasdefinidas y solo sepermiten cinco vecescomo máximo deintentos de inicio desesión en caso contrarioel usuario es bloqueado
L4
11.5.3 Sistema degestión decontraseñas
Los sistemas para la gestiónde contraseñas deberían serinteractivos y establecercontraseñas de calidad
Existe políticas degestión de contraseñas yes administradas porActive Directory
L3
11.5.4 Uso de losrecursos delsistema
Se debería restringir ycontrolar de una manerarigurosa el uso de programasy utilidades que puedan sercapaces de invalidar loscontroles del sistema y de laaplicación.
En el caso de losservidores, la instalaciónde software se lleva acabo bajo el responsabledel áreaEn el caso de equipos seencuentra deshabilitadala acción de instalaciónmediante dispositivosextraíbles además quesolo se puede realizarcon la cuenta deAdministrador deDominio.
L4
11.5.5 Desconexiónautomática desesión
Las sesiones inactivasdeberían cerrarse después deun periodo de inactividaddefinido
Se encuentra definidoque en 5 minutosautomáticamente secierra la sesión.
L3
11.5.6 Limitación deltiempo deconexión
Para proporcionar seguridadadicional a las aplicacionesde alto riesgo, se deberíanutilizar restricciones en lostiempos de conexión.
Se implementan laspolíticas y además todoel personal puedeacceder a sus equiposhasta media horadespués de su hora delabores luego decumplido este tiempodebe solicitarautorización al jefe delárea.
L4
11.6Control de acceso a las aplicaciones y a lainformación
11.6.1 Restricción delacceso a lainformación
Se debería restringir elacceso a la información y alas aplicaciones a losusuarios y al personal de
No se implementadoningún control pero si sesolicita por escrito unoficio por parte del
L3
soporte, de acuerdo con lapolítica de control de accesodefinida.
director del área para lainstalación y accesos alos programas
11.6.2 Aislamiento desistemas sensibles
Los sistemas sensiblesdeberían tener un entornodedicado (aislado) deordenadores
El servidor de correo ylos servidores deproducción seencuentran segregadosdel resto de entornos.
L5
11.7 Ordenadores portátiles y teletrabajo
11.7.1 Ordenadoresportátiles ycomunicacionesmóviles
Se debería implantar unapolítica formal y se deberíanadoptar las medidas deseguridad adecuadas para laprotección contra los riesgosde la utilización deordenadores portátiles ycomunicaciones móviles
No existe política perodeben solicitar acceso alos equipos por el jefedepartamental pararealizar conexiones a lared y servicios einstalación de algúnprograma.
L3
11.7.2 Teletrabajo Se debería redactar eimplantar, una política deactividades de teletrabajo,así como los planes yprocedimientos de operacióncorrespondientes
No existe política perono muestra interés eldirector por controlar elacceso y de actividades
L5
Dominio Adquisición. Desarrollo y Mantenimiento de los Sistemas de Información.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
12
ADQUISICIÓN, DESARROLLO YMANTENIMIENTO DE LOS SISTEMASDE INFORMACIÓN
12.1Requisitos de seguridad de los sistemas deinformación
12.1.1 Análisis yespecificación delos requisitos deseguridad
En las declaraciones de losrequisitos de negocio paralos nuevos sistemas deinformación, o para mejorasde los sistemas deinformación ya existentes,se deberían especificar losrequisitos de los controlesde seguridad.
Se lleva a cabo unestudio de los requisitosde seguridad de losnuevos sistemas, tanto desoftware como dehardware, aunque no seaprecia que se hanespecificado requisitosde seguridad pero no seencuentranimplementados.
L2
12.2 Tratamiento correcto de las aplicaciones
12.2.1 Validación de losdatos de entrada
La introducción de datos enlas aplicaciones deberíavalidarse para garantizarque dichos datos soncorrectos y adecuados
Se dictan unas pautas aseguir en la instrucciónde desarrollo ymantenimiento deSoftware y se ha
L4
definido Selenium Idepara validación de datosde entrada.
12.2.2 Control delprocesamientointerno
Para detectar cualquiercorrupción de lainformación debida aerrores de procesamiento oactos intencionados, sedeberían incorporarcomprobaciones devalidación en lasaplicaciones.
Se dictan unas pautas aseguir en la instrucciónde desarrollo ymantenimiento deSoftware y se haimplementado pruebas alas aplicaciones conFirebug,
L3
12.2.3 Integridad de losmensajes
Se deberían identificar losrequisitos para garantizar laautenticidad y para protegerla integridad de losmensajes en lasaplicaciones y se deberíanidentificare implantar loscontroles adecuados.
Se especificaninstrucciones referente ala validación deinformación y se guardanauditorias de lasaplicaciones
L5
12.2.4 Validación de losdatos de salida
Los datos de salida de unaaplicación se deberíanvalidar para garantizar queel tratamiento de lainformación almacenada escorrecto y adecuado a lascircunstancias.
Se dictan unas pautas aseguir en la instrucciónde desarrollo ymantenimiento deSoftware.
L5
12.3 Controles criptográficos
12.3.1 Política de uso delos controlescriptográficos
Se debería formular eimplantar una política parael uso de los controlescriptográficos para protegerla información.
Existe política pero noestá implementada
L2
12.3.2 Gestión de claves Debería implantarse unsistema de gestión de clavespara dar soporte al uso detécnicas criptográficas porparte de la organización.
Existe política pero noestá implementada
L2
12.4 Seguridad de los archivos del sistema
12.4.1 Control delsoftware enexplotación
Deberían estar implantadosprocedimientos paracontrolar la instalación desoftware en los sistemas enproducción o enexplotación.
Contemplado en laGestión de Cambios.
L5
12.4.2 Protección de losdatos de prueba delsistema
Los datos de prueba sedeberían seleccionarcuidadosamente y deberíanestar protegidos ycontrolados
Aplica solamente alsoftware desarrollado ensistemas internos. Secontempla en la plantillade requerimientos ypruebas.
L3
12.4.3 Control de accesoal código fuente delos programas
Se debería restringir elacceso al código fuente delos programas.
Se gestionan accesoslocales y solo esautorizado por elDirector de TI
L3
12.5Seguridad en los procesos de desarrollo ysoporte
12.5.1 Procedimientos decontrol de cambios
La implantación de cambiosdebería controlarsemediante el uso deprocedimientos formales decontrol de cambios.
Existe políticaimplementada de controlde cambios L3
12.5.2 Revisión técnicade las aplicacionestras efectuarcambios en elsistema operativo
Cuando se modifiquen lossistemas operativos, lasaplicaciones empresarialescríticas deberían serrevisadas y probadas paragarantizar que no existenefectos adversos en lasoperaciones o en laseguridad de laorganización.
En el caso de lossistemas de la U.T.B. seincluye esta revisión enla gestión de cambios.
L4
12.5.3 Restricciones a loscambios en lospaquetes desoftware
Se deberían desaconsejarlas modificaciones en lospaquetes de software,limitándose a los cambiosnecesarios, y todos loscambios deberían ser objetode un control riguroso.
Lo realiza el director encompañía del área dedesarrollo
L6
12.5.4 Fugas deinformación
Deberían evitarse lassituaciones que permitanque se produzcan fugas deinformación
Se han implementado loscontroles de acceso a losactivos de informaciónen el área de TI pero noal resto dedepartamentos.
L3
12.5.5 Externalización deldesarrollo desoftware
La externalización deldesarrollo de softwaredebería ser supervisada ycontrolada por laorganización
No aplica porque no esempresa de desarrollo desoftware L6
12.6 Gestión de la vulnerabilidad técnica
12.6.1 Control de lasvulnerabilidadestécnicas
Se debería obtener lainformación adecuadaacerca de lasvulnerabilidades técnicas delos sistemas de informaciónque están siendo utilizados,evaluar la exposición de laorganización a dichasvulnerabilidades y adoptarlas medidas adecuadas paraafrontar el riesgo asociado.
No se lleva a cabo peroexiste control por partedel Director TI.
L3
Dominio Gestión de Incidentes de Seguridad de la Información.
13GESTIÓN DE INCIDENTES DE SEGURIDAD DE LAINFORMACIÓN
13.1Notificación de eventos y puntos débiles de seguridad de lainformación
13.1.1 Notificación deeventos de seguridadde la información
Los eventos de seguridad de lainformación se deberían notificar através de los canales adecuados degestión lo antes posible.
Se realiza através de unsoftware degestión deincidentes
L3
13.1.2 Notificación depuntos débiles deseguridad
Todos los empleados, contratistas, yterceros que sean usuarios de lossistemas y servicios de informacióndeberían estar obligados a anotar ynotificar cualquier punto débil queobserven o que sospechen exista, endichos sistemas o servicios.
Los empleadosdeclaran tenerconocimiento dela obligación denotificarcualquier puntodébil ovulnerabilidadque se detecte.Estas secanalizan através de lostécnicos deSoporte
L3
13.2Gestión de incidentes de seguridad de la información ymejoras
13.2.1 Responsabilidades yprocedimientos deoperación
Se deberían establecer lasresponsabilidades y procedimientos degestión para garantizar una respuestarápida, efectiva y ordenada a losincidentes de seguridad de lainformación
La gestión deincidentes de SIse lleva a cabo através delproceso degestión deincidencias queen este casoincluyenotificación alos técnicos desoporte.
L3
13.2.2 Aprendizaje de losincidentes deseguridad de lainformación
Deberían existir mecanismos quepermitan cuantificar y supervisar lostipos, volúmenes y costes de losincidentes de seguridad de lainformación.
El proceso degestión deincidentesincluye unprocesamientode lainformaciónrecogida para seranalizada y, ental caso,incorporada auna base dedatos deconocimientosque sirva dereferencia , perono lo utilizatodos los
L3
empleados de laU.T.B.
13.2.3 Recopilación deevidencias
Cuando se emprenda una acción contrauna persona u organización, después deun incidente de seguridad de lainformación, que implique accioneslegales (tanto civiles como penales),deberían recopilarse las evidencias, yconservarse y presentarse conforme alas normas establecidas en lajurisdicción correspondiente.
Se constata quesolamente elgrupo deAdministradoresde Sistemasconoce lanecesidad derecopilarevidencias encaso dedetección dealgún tipo deactividadmalintencionada.
L3
Dominio Gestión de la continuidad del negocio.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
14GESTIÓN DE LA CONTINUIDAD DELNEGOCIO
14.1
Aspectos de seguridad de la información en lagestión de la continuidad del negocio
14.1.1 Inclusión de laseguridad de lainformación en elproceso de gestiónde la continuidaddel negocio
Debería desarrollarse ymantenerse un proceso para lacontinuidad del negocio en todala organización, que gestionelos requisitos de seguridad de lainformación necesarios para lacontinuidad del negocio.
Existe actualmenteun plan decontinuidad delnegocio L3
14.1.2 Continuidad delnegocio yevaluación deriesgos
Deberían identificarse loseventos que puedan causarinterrupciones en los procesosde negocio, así como laprobabilidad de que seproduzcan tales interrupciones,sus efectos y sus consecuenciaspara la seguridad de lainformación
En el plan decontinuidad delnegocio estacontemplados.
L4
14.1.3 Desarrollo eimplantación deplanes decontinuidad queincluyan la
Deberían desarrollarse eimplantarse planes paramantener o restaurar lasoperaciones y garantizar ladisponibilidad de la información
Esta elaborado elPlan y está incluidala informacióncrítica para darcontinuidad a los
L4
seguridad de lainformación
en el nivel y en el tiemporequerido, después de unainterrupción o un fallo de losprocesos críticos de negocio.
procesos yservicios.
14.1.4 Marco dereferencia para laplanificación de lacontinuidad delnegocio
Debería mantenerse un únicomarco de referencia para losplanes de continuidad delnegocio, para asegurar quetodos los planes seancoherentes, para cumplir losrequisitos de seguridad de lainformación de maneraconsistente y para identificar lasprioridades de realización depruebas y del mantenimiento
Hay definido unplan pero no se handadomodificaciones omantenimiento almismo L2
14.1.5 Pruebas,mantenimiento yreevaluación de losplanes decontinuidad delnegocio
Los planes de continuidad delnegocio deberían probarse yactualizarse periódicamentepara asegurar que están al día yque son efectivos.
No existe ningúndocumento deresultados deresultados de pruebadel Plan decontinuidad delNegocio.
L2
Dominio Cumplimiento.
Control enla
Normativa Sección Control Estado Actual Cumplimiento
15CUMPLIMIENTO
15.1 Cumplimiento de los requisitos legales
15.1.1 Identificación dela legislaciónaplicable
Todos los requisitospertinentes, tanto legales comoreglamentarios o contractuales,y el enfoque de laorganización para cumplirdichos requisitos, deberíanestar definidos, documentadosy mantenerse actualizados deforma explícita para cadasistema de información de laorganización.
Se mantiene un listadolegislativo con las leyesy normativas aplicablesa la U.T.B.
L3
15.1.2 Derechos depropiedadintelectual (IPR)
Deberían implantarseprocedimientos adecuadospara garantizar elcumplimiento de los requisitoslegales, reglamentarios ycontractuales sobre el uso dematerial, con respecto al cualpuedan existir derechos depropiedad intelectual y sobreel uso de productos desoftware propietario.
Se mantiene un listadode licencias de softwareen la U.T.B. y segestiona a través delportal de compraspúblicas la renovación L3
15.1.3 Protección de losdocumentosde laorganización
Los documentos importantesdeberían estar protegidoscontra la pérdida, destruccióny falsificación de acuerdo conlos requisitos legales,reglamentarios, contractuales yempresariales.
Al ser instituciónpública existeinformación que debeser publicada en elportal web según laLotaip (Ley Orgánicade Acceso Informaciónpública).
L3
15.1.4 Protección dedatos yprivacidad de lainformación decarácter personal
Debe garantizarse laprotección y la privacidad delos datos según se requiera enla legislación y lareglamentación aplicables y,en su caso, en las cláusulascontractuales pertinentes.
se debe regir por lafirma de documentosde confidencialidad, ydemás políticas que sedeben realizar en elplan de seguridad
L3
15.1.5 Prevención deluso indebido delos recursos detratamiento de lainformación
Se debería disuadir a losusuarios de utilizar losrecursos de tratamiento de lainformación para fines noautorizados
Está establecidosdentro de la LOTAIPpero no se ha dadocapacitación a losUsuarios.
L2
15.1.6 Regulación de loscontrolescriptográficos
Los controles criptográficos sedeberían utilizar de acuerdocon todos los contratos, leyesy reglamentaciones pertinentes
No existeimplementadoscontrolescriptográficos.
L0
15.2Cumplimiento de las políticas y normas deseguridad y cumplimiento técnico
15.2.1 Cumplimiento delas políticas ynormas deseguridad
Los directores deberíanasegurarse de que todos losprocedimientos de seguridaddentro de su área deresponsabilidad se realizancorrectamente con el fin decumplir las políticas y normasde seguridad.
La dirección explica através de los técnicosde soporte loslineamientos y existedifusión del plan deseguridad.
L3
15.2.2 Comprobacióndel cumplimientotécnico
Debería comprobarseperiódicamente que lossistemas de informacióncumplen las normas deaplicación para laimplantación.
Se estableciendoauditoría a los SI perono regularmente.
L3
15.3Consideraciones sobre la auditoría de lossistemas de información
15.3.1 Controles deauditoría de lossistemas deinformación
Los requisitos y lasactividades de auditoría queimpliquen comprobaciones enlos sistemas en produccióndeberían ser cuidadosamenteplanificados y acordados paraminimizar el riesgo deinterrupciones en los procesosdel negocio
A los 7 meses deaplicación de este planexiste una auditoría querefleja la aplicación decada uno de loscontroles.
L3
15.3.2 Protección de lasherramientas deauditoría de lossistemas deinformación
El acceso a las herramientas deauditoría de los sistemas deinformación debería estarprotegido para evitar cualquierposible peligro o uso indebido.
Sólo losadministradores de losSistemas y el directorde TI tienen acceso alas Auditorías.
L2
Resumen de cumplimiento por Dominios.
Dominio % deEfectividad
# NCMayores
# NCMenores Control OK
5.- PolíticaDe Seguridad 95% 0 0 26.- AspectosOrganizativosde la SI 92% 0 3 87.- Gestión de activos 92% 0 4 18.- Seguridad ligadaA RRHH 89% 0 3 49.- Seguridad físicaY del entorno 94% 0 6 610.- Comunic.y Operaciones 88% 1 14 1511.- ControlDe acceso 88% 1 14 1012.- Adquisición,Desarrollo yMantenimiento
De los SI 82% 0 9 513.- Gestión deIncidentes deSI 90% 0 5 014.- ContinuidadDel negocio 76% 0 3 215.- Cumplimiento 76% 1 9 0
Tabla Nro.9
Elaborado por: José mejía Viteri.
Grafica Nro.1
Elaborado Por: José Mejía Viteri.
0
2
4
6
8
10
12
14
16
5.- P
olíti
caD
e Se
gurid
ad
6.- A
spec
tos
Org
aniz
ativ
osde
la S
I
7.- G
estió
n de
activ
os
8.- S
egur
idad
ligad
aA
RR
HH
9.- S
egur
idad
físic
aY
del
ent
orno
10.-
Com
unic
.y
Ope
raci
ones
11.-
Con
trol
De
acce
so
12.-
Adqu
isic
ión,
Des
arro
llo y
Man
teni
mie
nto…
13.-
Ges
tión
deIn
cide
ntes
deS
I
14.-
Con
tinui
dad
Del
neg
ocio
15.-
Cum
plim
ient
o
Control OK # NC Menores
Informe de la Auditoría.
En la evaluación de los procedimientos implementados por la U.T.B. de acuerdo a su
política implementada a través de comunicaciones realizadas por el departamento de TI se
presentan los hallazgos en los dominios de acuerdo a las características y necesidades de la
institución.
La Auditoría Informática ha permitido evaluar el uso de la tecnología de la información en
los procesos institucionales, y determinar que dominios de la norma 27002 se encuentra
implementado, mostrando así los puntos fortalecidos mediante la aplicación del plan de
seguridad informática, para emitir recomendaciones que permitan mantener una
optimización constante de la tecnologías de la información en la institución.
Los temas que han sido objeto de la auditoría corresponden a los 11 Dominios, 39 Objetivos
de Control y 133 Controles.
La Auditoría ha atendido estos temas a través de matrices que registran indicadores
cuantitativos, para su construcción se emplean diversas técnicas de auditoría como
observación, indagación.
El análisis general y los resultados de los 133 controles agrupados 39 Objetivos de Control
y 11 Dominios se muestran en las siguientes tablas, donde cada tabla sintetiza
Dominio, el porcentaje de cumplimiento, Causa, efecto, Conclusión y recomendación.
Resultados de Auditoría sobre los Dominios de la Norma ISO 27002.
Dominio: Política de Seguridad% de efectividad 95%Criterio:Existe un Plan de seguridad de la información con los controles definidos se encuentrande manera formal y son notificados por escrito y se encuentran en un documento oficial.
Causa:Los usuarios tienen la responsabilidad sobre los activos por escrito de la U.T.B., losusuarios se encuentran capacitados sobre medidas básicas de seguridad..
Efecto:Afecta a la administración de TI ya que cuenta con procesos definidos pero existeresistencia al cambio por parte del personal administrativo.
Conclusión:Existen implementación de políticas y control de su aplicación sin embargo aun falta deimplementar controles que en el análisis de riesgo se propusieron como riesgo aceptable.
Recomendación:Llevar un mejor control sobre el plan de seguridad y realizar un nuevo análisis de riesgosobre los activos para poder establecer los nuevos controles a implementarse.
Dominio: Aspectos Organizativos de la Seguridad de laInformación
% de efectividad 92%Causa:Falta de contacto con las autoridades existe pero es muy escaso a partir de la adquisiciónhardware y software para implementación de plan de seguridad.
Efecto:No exista un mayor apoyo por parte de las autoridades debido a la falta de informacióny reuniones de evaluación de avance del Plan.
Conclusión:Existe roles asignados con la seguridad de la información, pero por falta de reunión conlas autoridades para evaluación del Plan puede llevar a que retiren el apoyo.
Recomendación:Realizar reuniones periódicas por lo menos cada tres meses con el VicerrectorAdministrativo para que este a su vez notifique al Sr. Rector sobre los avances respectoa la seguridad de la Información.
Dominio: Gestión de los Activos.
% de efectividad 92%Causa:Los Activos de la U.T.B. se encuentran inventariados con responsables y asignados paralas actividades que le corresponde sin embargo no se realiza controles de rutina por partede los jefe departamentales sobre el uso del equipo.
Efecto:Que el usuario no realice actividades relativas a sus funciones.
Conclusión:Al no existir controles de rutinas sobre los activos de la U.T.B. estos están propensos aser utilizados para labores ajenas a los intereses de la institución.
Recomendación:Que los jefes y directores departamentales realicen controles rutinarios a los activos delos departamentos para efectivizar su utilización.
Dominio: Seguridad ligada a los recursos Humanos.
% de efectividad 89%Causa:El personal que se va a realizar su contratación se realizan sus respectivos análisis a travésdel ministerio de trabajo
Efecto:Falta de control sobre el personal que la labora en la U.T.B. por lo que es susceptible aque no se cumplan ciertas disposiciones por su desconocimiento.
Conclusión:Existe control sobre el personal de la U.T.B. pero no se lleva a cabo la firma de unacuerdo de confidencialidad está en revisión para su implementación
Recomendación:Que se implemente en las nuevas firmas de contrato y renovación la firma del acuerdode confidencialidad.
Dominio: Seguridad física y del entorno
% de efectividad 94%Causa:Existe reguladores en los equipos sin embargo se encuentran dañados lo que produce quese apaguen directamente.
Efecto:Daños inesperados en los equipos de los empleados dela U.T.B. fallas de memoria ydiscos duros.
Conclusión:No se puede garantizar el normal funcionamiento de los equipos hasta que no sesolvente el problema de los UPS.
Recomendación:Se debe realizar la adquisición de UPS por secciones esto quiere decir por piso deadministración Central, actualmente existe un estudio de los KVA necesarios parasolventar este inconveniente en la institución.
Dominio: Comunicación y Operaciones
% de efectividad 88%Causa:Las copias de seguridad que se realizan no se encuentran protegidas contra códigomalicioso y existe falta de supervisión sobre los mismos para ir eliminando las copiasrealizadas con anterioridad,
Efecto:Que el servidor de backups se encuentre en algún momento lleno de información.
Conclusión:Existen políticas de respaldo sin embargo no se realizan en el centro de cómputoalternativo ya que se encuentra implementado pero falta la compra del servidor para quecumpla esta función.
Recomendación:Que se realice la adquisición de este servidor para solventar lo más pronto posible elinconveniente de los backups.
Dominio: Control de acceso
% de efectividad 88%Causa:Existe una política de acceso externos para los servicios de administración de los equipossin embargo no se encuentra implementada.
Efecto:Riesgo de que accedan terceros a los equipos sin consentimiento del departamento detecnologías debido a que las conexiones remotas no se encuentran aseguradas.
Conclusión:Existen posibilidades de infiltración por medio de las conexiones remotas.
Recomendación:Se deben asegurar las conexiones remotas con algún cifrado de las conexiones y lautilización de redes virtuales privadas.
Dominio: Adquisición, Desarrollo y Mantenimiento
% de efectividad 82%Causa:No existen controles criptográficos en las aplicaciones realizada por los desarrolladores
Efecto:Las aplicaciones realizadas por los desarrolladores de la U.T.B. puedan ser capturadassus contraseñas con algún sniffer de red.
Conclusión:Al no poseer las aplicaciones algún tipo de cifrado son susceptibles a que los usuariospueden interceptar información confidencialidad como usuarios y contraseñas de lossistemas.
Recomendación:Que se implementen en los procesos críticos de las aplicaciones de la U.T.B. envíos decontraseñas temporales a las cuentas de correo electrónico o adquirir para las aplicacionescertificado para cifrar la información y el viaje de la información sea seguro.
Dominio: Gestión de incidentes de seguridad de lainformación.
% de efectividad 90%Causa:No existe un procedimiento formal que asegure el reporte a la Alta Gerenciade los incidentes que puedan poner en riesgo la seguridad de la información.
Efecto:Que se produzcan incidentes de seguridad que pueden afectar a la integridad,Confidencialidad y disponibilidad de la información, pero en medidas menorespor la falta de comunicación hacia la alta gerencia.
Conclusión:Al no existir un procedimiento para reportar los incidentes de seguridad, a laalta gerencia no existe una inmediata corrección de estos eventos.
Recomendación:Crear políticas y procedimientos formales para la gestión de incidentes, asícomo la asignación de la responsabilidad de reportarlos a la Alta Gerencia.
Dominio: Continuidad del Negocio
% de efectividad 76%Causa:No existe evaluaciones periódicas del plan de continuidad desde su creación noexiste ninguna documentación sobre las pruebas realizadas.
Efecto:Que existan fallas al momento de implementación.
Conclusión:Existe un plan de continuidad del negocio pero no se encuentra pruebasrealizadas lo que puede ocasionar que este desactualizado.
Recomendación:Se debe implementar un proceso de evaluación del plan de continuidad delnegocio para garantizar su efectividad al momento de ocurrir algunacontingencia.
Dominio: Cumplimiento
% de efectividad 76%Causa:Se debe realizar auditoria sobre los procesos del plan y sobre la documentacióngenerada por la institución una vez al año.
Efecto:Falta de gestión en el proceso de publicación de información de acuerdo a lasleyes y regulaciones de las instituciones públicas.
Conclusión:La no inclusión de controles en el plan de seguridad produce que exista pocaprotección en los documentos de la organización.
Recomendación:Se debe incorporar en el plan de seguridad informática procesos de revisión, yauditorías a la protección de información confidencial de la institución.
Conclusiones.
La implementación del Plan de seguridad informática permitió elevar en un grado
muy significativo la seguridad en los 11 dominios de la norma ISO 27002
Existe procesos que debe ser sometidos nuevamente a una evaluación de riesgo para
incrementar los controles y disminuir el riesgo aceptado por la alta gerencia.
La implementación del plan de seguridad informática ayudo a mejorar la
confidencialidad, integridad y disponibilidad de los servicios de la U.T.B.
Existen aún ciertos controles pendientes de implementar del plan de seguridad que
se irán realizando durante un tiempo debido al gasto que llevan implicado.
Recomendaciones.
Desarrollar evaluaciones periódicas al plan de seguridad informática para
incrementar los controles necesarios y así alcanzar la meta de obtención de
certificación ISO 27001.
Desarrollar informes periódicos a las autoridades sobre el avance de la seguridad de
la información para que continúen apoyando las iniciativas y proyectos que la
mejoren.
Las auditorías deben someterse cada vez a controles más rigurosos para incrementar
el porcentaje de los indicadores por dominio.
Una vez realizada las auditorías se deben realizar implementación de nuevos
controles para ir obteniendo las mejoras correspondientes en cada uno de los
dominios de la norma ISO 27002.
ANEXOS.
Data center de la U.T.B.
Extintores en el Centro de Cómputo.
Alarma contra incendios
Cámaras de seguridad en el interior del data Center y en el exterior.
Rack de Servidores provisto de armario con puerta con llave.
Rack del Backbone de Fibra de Comunicación de toda la U.T.B.
Área de soporte TI.
Oficinas de Soporte TI. Se encuentra destinadas oficinas para actividades, como:
Soporte, Desarrollo, Telecomunicaciones.
Software para gestión de Incidencias a través de Tickets.
Sistema de Gestión de Documentos.
Aulas Virtuales de la U.T.B.
Controlador de Dominio con active Directory
UTM SOPHOS.
Controles Sophos sobre Ancho de Banda.
Reglas de Control del Tráfico de Red Sophos.
Controles de Acceso web SOPHOS.
Control sobre los Segmentos de la red con UTM Sophos.
Anexo 19.
Universidad Técnica de Babahoyo.
La siguiente encuesta tiene por objetivo recopilar información sobre la existencia de
políticas, normas y procedimientos a seguir en caso de que exista algún problema con los
servicios informáticos y seguridad de la información de sus equipos de cómputo
utilizados en sus labores en la Institución.
1.- ¿Existe en su departamento procedimientos a seguir en caso de ocurrir algún
problema con su computador o servicios informáticos que necesita para sus labores?
Sí No
2.- Existe en su departamento alguna política que indique en qué periodo tiempo se
debe respaldar la información de su equipo.
Sí No
3.- ¿De la pregunta anterior en caso de realizar el respaldo de información indiquecada que tiempo lo realiza.
Cada mes
Cada Tres meses
Cada seis meses
Cada año o más
4.- ¿Ha facilitado a otra persona dentro o fuera de la institución contraseñas dealguno de los servicios que usted utiliza (equipo, software, correo electrónico, etc.)?
SI NO
Por qué:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5.- ¿Existe alguna exigencia por parte de los encargados de la Tecnología o del jefedepartamental para el cambio de su contraseña en su computador cada ciertoperiodo de tiempo?
SI NO
6.- De la pregunta anterior si existe alguna política o exigencia con qué frecuencialo realiza.
Cada mes
Cada Tres meses
Cada seis meses
Cada año o más
7.- ¿Controla usted quien y cuando utiliza dispositivos de almacenamiento en sucomputador?
SI NO
En caso de afirmativa detalle el proceso que realiza.
…………………………………………………………………………………………….
8.- De los siguientes servicios ¿cuál de ellos incide más en sus labores en la oficina?
Internet
Correo electrónico
Página Web
Software contable.
Software de gestión de Calificaciones.
Aulas Virtuales
Repositorio de Documentos.
Software de Gestión de Bibliotecas
Software de planificación
Software de Ayuda.
9.- ¿Ha existido suspensión de algún servicio que usted necesita para realizar sutrabajo diario en la oficina?
SI NO
10.- ¿De la pregunta anterior señale con una X con que periodicidad ha sufrido lapérdida de este servicio?
Muy Poco
Poco
Frecuentemente
Muy frecuentemente
Siempre
11- ¿Conoce usted de algún plan de seguridad de la información del departamento
de Tecnologías?
Si NO
12.- ¿Está de acuerdo que la Universidad Técnica de Babahoyo incorpore Plan de
Seguridad Informática donde existan las políticas de seguridad donde se detalle los
procedimientos en caso de fallas de los servicios informáticos?
SI NO