repositorio.ug.edu.ecrepositorio.ug.edu.ec/bitstream/redug/20222/1/TESIS ING... · Web viewEl...
223
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE GRADUACIÓN TRABAJO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN TELEINFORMÁTICA ÁREA SEGURIDAD DE INFORMACIÓN TEMA "INVESTIGACIÓN PARA EL DESARROLLO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001 EN EL DEPARTAMENTO DE ASUNTOS REGULATORIOS DE LA EMPRESA AGRIPAC S.A." AUTORA CHÉRREZ SALAZAR ROSANA MARÍA DIRECTOR DEL TRABAJO
Transcript of repositorio.ug.edu.ecrepositorio.ug.edu.ec/bitstream/redug/20222/1/TESIS ING... · Web viewEl...
UNIVERSIDAD DE GUAYAQUILFACULTAD DE INGENIERÍA INDUSTRIAL
DEPARTAMENTO ACADÉMICO DE GRADUACIÓN
TRABAJO DE TITULACIÓNPREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN TELEINFORMÁTICA
ÁREASEGURIDAD DE INFORMACIÓN
TEMA"INVESTIGACIÓN PARA EL DESARROLLO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001
EN EL DEPARTAMENTO DE ASUNTOS REGULATORIOS DE LA EMPRESA AGRIPAC S.A."
AUTORACHÉRREZ SALAZAR ROSANA MARÍA
DIRECTOR DEL TRABAJOING. TELEC. VEINTIMILLA ANDRADE JAIRO G., MBA.
2015
GUAYAQUIL - ECUADOR
iii
DECLARACIÓN DE AUTORÍA
“La responsabilidad del contenido de este Trabajo de Titulación, me corresponde
exclusivamente; y el patrimonio Intelectual del mismo a la Facultad de Ingeniería
Industrial de la Universidad de Guayaquil”
Chérrez Salazar Rosana María
C.C. 0925796211
iv
DEDICATORIA
Para los 3 angelitos que jamás han dejado de acompañarme en mi largo
caminar; levantándome cada vez que he caído, acompañándome cada
vez que me he sentido sola y apoyándome cuando lo he visto todo
perdido. Los amé, los amo y los amaré con todas mis fuerzas hasta el
último día.
Héctor Armando Edmundo Salazar (+)
Celso Isaías Chérrez Noriega(+)
Rosa Georgina Betancourt Garzón (+)
v
AGRADECIMIENTO
A Dios y a todos los que jamás perdieron la confianza en mí. Gracias
infinitas.
vi
ÍNDICE GENERAL
N° Descripción Pág.PRÓLOGO
CAPÍTULO IMARCO TEÓRICO
N° Descripción Pág.1.1 Tema 2
1.2 Introducción 2
1.3 Objeto de investigación 4
1.4 Justificación 5
1.5 Objetivos 6
1.5.1 Objetivo general 6
1.5.2 Objetivos específicos 6
1.6 Antecedentes 6
1.7 Fundamentación teórica 11
1.7.1 ISO 27000 11
1.7.1.1 Origen 11
1.7.2 La serie Normas ISO 27000 12
1.7.3 ISO 27001:2005 15
1.7.3.1 Generalidades 15
1.7.4 Sistema de Gestión de la Seguridad de la Información 15
1.7.5Documentación del Sistema de Gestión de la Seguridad
de la Información 17
1.7.6 Control de la documentación 20
1.7.7 Implementación de un SGSI 21
1.7.7.1 Ventajas de implementar un SGSI 22
1.7.8 Revisión del SGSI 23
vii
N° Descripción Pág.1.7.9 Análisis y Evaluación del Riesgo 24
1.7.9.1 Tratamiento del Riesgo y la Toma de Decisiones
Gerenciales
25
1.7.9.2 Opciones para el Tratamiento del Riesgo 25
1.7.9.3 Reducción del Riesgo 25
1.7.9.4 Aceptación del Riesgo 26
1.7.9.5 Transferencia del Riesgo 27
1.7.9.6 Evitar el Riesgo 27
1.7.10 Controles de seguridad 28
1.8 Fundamentación Legal 30
CAPÍTULO IIMETODOLOGÍA
N° Descripción Pág.2.1 Antecedentes de la empresa 32
2.2 Organigrama parcial 33
2.3 Situación actual geográfica 34
2.4 Campo de investigación 34
2.5 Tipo de investigación 35
2.6 Método de investigación 36
2.7 Fuentes y técnicas de investigación 37
2.7.1 Fuentes 37
2.7.2 Técnicas 37
2.8 Procedimiento 39
2.8.1 Preparación de la auditoría 39
2.8.2 Gestión de Recursos 39
2.8.2.1 Actividades 39
2.8.2.2 Recursos 40
2.9 Presentación y Análisis de los Resultados 40
2.9.1 Resultados 40
viii
N° Descripción Pág.2.9.2 Análisis de resultados 44
CAPÍTULO IIICONCLUSIONES Y RECOMENDACIONES
N° Descripción Pág.3.1 Título 48
3.2 Objetivos 48
3.3 Desarrollo de la Propuesta 48
3.4 Planeación 49
3.5 Desarrollo 50
3.6 Implantación del Proyecto 42
3.7 Conclusiones 52
3.8 Recomendaciones 53
GLOSARIO DE TÉRMINOS 55
ANEXOS 57
BIBLIOGRAFÍA 130
ix
ÍNDICE DE GRÁFICOS
N° Descripción Pág.1 Familia ISO 27000 12
2 Riesgos SGSI 17
3 Documentación del SGSI 17
4 Organigrama parcial de Agripac S.A. 35
5 Resultado de la entrevista de nivel de seguridad 43
6 Resultado de Auditoría Requisitos Normativos 44
7 Resultado de la Auditoría - Controles 45
x
ÍNDICE DE TABLAS
N° Descripción Pág.
1Tabla Ciclo de Deming (PHVA) Aplicado a la Norma ISO
2700121
2 Cuadro de controles anexo a. 29
3Tabla de Resultado de la Entrevista de Nivel de
Seguridad42
4 Tabla Resultado de Auditoría Requisitos Normativos 44
5 Tabla de Resultado de la Auditoría - Controles 45
xi
ÍNDICE DE ANEXOS
N° Descripción Pág.1 Entrevista 57
2 Plan de Auditoría 58
3 Lista de Distribución para el diagnóstico Basado en
Requisitos Normativos ISO 27001:200562
4 Lista de Distribución para el diagnóstico Basado en
Controles Anexo A Normativos ISO 27001:200588
5 Anexo C Normativos ISO 27001:2005 128
xii
AUTOR: CHÉRREZ SALAZAR ROSANA MARÍATÍTULO: INVESTIGACIÓN PARA EL DESARROLLO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001 EN EL DEPARTAMENTO DE ASUNTOS REGULATORIO DE LA EMPRESA AGRIPAC S.A.
DIRECTOR: ING. VEINTIMILLA ANDRADE JAIRO GEOVANNY, MBA.
RESUMENEl objetivo del presente trabajo es proponer un diseño de un
Sistema de Gestión de Seguridad de la Información que cumpla los requisitos necesarios de la norma ISO 27001:2005, para el Departamento de Asuntos Regulatorios del edificio matriz de la empresa Agripac S.A. de la ciudad de Guayaquil. La norma es una herramienta que permitió obtener soluciones de una forma sistematizada, además facilitó el análisis de los resultados. Este Estándar Internacional ha sido diseñado para proporcionar un modelo para definir, efectuar, manejar, controlar, inspeccionar, conservar y optimizar un SGSI. Para efectos de levantamiento de información, análisis y conclusiones, se realizó una investigación diagnóstica del Sistema de Seguridad de Información vigente en el Departamento de Asuntos Regulatorios de la empresa Agripac S.A. bajo los lineamientos de la Norma ISO 27001:2005. Agripac S.A. es una empresa certificada bajo un Sistema de Gestión Integrado, y con los resultados obtenidos y la propuesta del diseño se pudo demostrar la importancia y los beneficios de implementar un Sistema de Gestión de Seguridad de información que asegure la continuidad del negocio por medio de la correcta administración, salvaguarda y manejo de uno de los activos más importantes de una compañía: su información.
Palabras claves: Seguridad, SGSI, Auditoria, Información, ISO 27001,
Diagnóstico.
xiii
Chérrez Salazar Rosana María Ing. Veintimilla Andrade Jairo Geovanny, MBA
C.C. 0925796211 Director de Trabajo
AUTHOR: CHÉRREZ SALAZAR ROSANA MARÍASUBJECT RESEARCH FOR THE DEVELOPMENT OF AN
INFORMATION SECURITY MANAGEMENT SYSTEM BASED ON THE INTERNATIONAL STANDARD ORGANIZATION 27001 FOR THE REGULATORY AFFAIRS DEPARTMENT OF THE AGRIPAC CORPORATION.
DIRECTOR: TELECOMMUNICATION ENGINEER VEINTIMILLA ANDRADE JAIRO GEOVANNY, MBA.
ABSTRACTThe aim of this academic study is to propose a design of an
Information Security Management System that meets the requirements of the International Standard Organization 27001: 2005 for the Regulatory Affair Department on the Agripac Corporation headquarters in the city of Guayaquil. The standard is a tool that allowed to obtain solutions in a systematic way, that also facilitates the analysis of the results. This international standard is designed to provide a model to define, perform, management, monitor, inspection, maintain and optimize an Information Security Management System. For purposes of information gathering, analysis and conclusions, a diagnostic investigation of the current System Information Security was performed at the Regulatory Affairs Department of the Agripac Corporation, under the guidelines of the International Standard Organization 27001:2005. Agripac Corporation is certified under an Integrated Management System, and with the results and the proposed design, could be demonstrated the importance and benefits of implementing an Information Security Management System to ensure business continuity through the proper administration, safeguarding and management of one of the most important assets of a company: Its information.
Key words: Security, Information Security Management System, Audit, Information, International Standard Organization 27001, Diagnostic.
xiv
Chérrez Salazar Rosana María Ing. Veintimilla Andrade Jairo Geovanny, MBA
I.D 0925796211 Director of Work
PRÓLOGO
El presente documento ha sido elaborado como trabajo de tesis
previa la obtención del título de Ingeniera en Teleinformática en la
Universidad de Guayaquil. En este proyecto se estableció como objetivo
general proponer una mejora sobre el Sistema de Gestión de Seguridad
de la Información vigente, para asegurar el Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Con la finalidad de que cumpla los requisitos necesarios de la
norma ISO 27001, se estudió la norma, se elaboraron listas de
distribución de acuerdo con los requisitos normativos y los controles de la
norma, además se diseñó un formato de entrevista a la jefe del
departamento, todo esto para poder evaluar la seguridad en los procesos
realizados en el área, identificar las vulnerabilidades y diseñar una
propuesta de mejora.
De acuerdo a los objetivos específicos, el proyecto marca su inicio
realizando una auditoría de diagnóstico del Sistema de Seguridad de
Información en uso en el Departamento de Asuntos Regulatorios de la
empresa Agripac S.A., para tales efectos, se utilizó el material antes
mencionado, el cual, permitió hallar las falencias, y, una vez encontrados
los incumplimientos de la norma, se desarrolló una propuesta de mejora
en el Sistema de Gestión actual, que es un Sistema de Gestión Integrado,
basado en las normas ISO 9001, 14001 y 18000, el cual, mediante la
propuesta, fue enfocado a la seguridad de información, enunciando los
principales beneficios de utilizar un Sistema de Gestión de Seguridad de
Información que de un valor agregado a los procedimientos realizados en
el Departamento de Asuntos Regulatorios.
CAPÍTULO IMARCO TEÓRICO
1.1. Tema
"Investigación para el desarrollo de un sistema de gestión de
seguridad de la información basado en la norma ISO 27001 en el
Departamento de Asuntos regulatorio del Grupo Agripac S.A."
1.2. Introducción
En toda organización, la información es un activo de vital
importancia, que como otros activos comerciales, es esencial para el
manejo y la continuidad del negocio, y como consecuencia de ello
necesita ser protegido adecuadamente, en especial en un ambiente
operativo que se encuentra cada vez más interconectado. (ISO/IEC,
NORMA ISO 17799/27002, 2005)
Debido al crecimiento de las redes informáticas, la información se
encuentra cada vez más expuesta a una gran variedad de posibles
amenazas y vulnerabilidades. En la actualidad, los últimos ataques sobre
información almacenada en la nube por parte de hackers, es lo que hace
preocupar a los usuarios y empresas sobre si existe la posibilidad de que
su información quede vulnerada de alguna manera. (Catteddu, 2010).
Las empresas toman decisiones sobre la inversión en seguridad
informática según como se maneje la vulnerabilidad de los datos.
(Hausken, 2006).
La norma ISO 27001 es una herramienta que permitirá obtener
resultados de una forma sistematizada, que facilite el análisis de los
mismos. Este Estándar Internacional ha sido desarrollado para proveer
requerimientos dedicados a establecer, implementar, mantener y mejorar
de manera continua un Sistema de Gestión de Seguridad de la
Información. (ISO/IEC, 2013)
Agripac S.A. es una empresa con más de 40 años de experiencia
en el Ecuador, con liderazgo en la actividad agrícola y otras áreas afines,
aportando productos de calidad y valor para el desarrollo del país. Entre
sus actividades se encuentran la producción, distribución y venta de
productos agrícolas, veterinarios, acuícolas, semillas y granos. (Agripac,
2015)
Por la actividad comercial que desarrolla Agripac, se necesita
mantener parcialmente la información en forma confidencial, así como
también mantener la confidencialidad de la información de sus clientes,
por lo que es responsabilidad de la empresa la apropiada salvaguarda de
dicha información y efectiva limitación del uso de la misma. Para llevar a
cabo las distintas actividades que Agripac realiza, debe cumplir con los
requisitos legales necesarios que solicitan las autoridades pertinentes del
país.
El Departamento de Asuntos Regulatorios es el encargado de
manejar y resguardar la información legal y técnica de los productos,
utilizada única y exclusivamente con fines profesionales, por lo que no
debe ser divulgada ni aún a miembros de la misma organización que no la
requieran para decisiones propias de la actividad que se desarrolla dentro
de la empresa.
Se conoce que actualmente el Departamento de Asuntos
Regulatorios no cuenta con un sistema de seguridad de información
establecido que devuelva los resultados que en función del negocio se
requiere, quedando expuesto a graves problemas de seguridad y riesgos
que comprometen información de suma importancia para la compañía.
Se necesita concentrar el procesamiento de datos e información
de una manera sistematizada y automática que garantice siempre la
disponibilidad, la confidencialidad e integridad de la misma.
Debido al gran volumen de información que posee el departamento
y a la necesidad de mantener la seguridad de la misma, se considera
importante se realice un diagnóstico de la situación actual basado en la
norma ISO 27001:2005 en los siguientes procedimientos propios del área:
Procedimiento para Obtener Certificado de Registro de un
Producto en Ecuador.
Procedimiento para Elaborar Artes de Etiquetas de Productos
Registrados.
Los resultados de la auditoria de diagnóstico son de suma utilidad
para el análisis de posibles mejoras que disminuyan o erradiquen los
riesgos presentes y mantengan protegidos los activos de información,
otorgando confianza y seguridad a las partes interesadas. El trabajo
propuesto está estructurado de la siguiente manera: En el capítulo I
tenemos las generalidades, definición del problema y justificación. En el
capítulo II se detalla el marco teórico.
En el capítulo III se establece la metodología y los resultados de la
auditoría de diagnóstico. En el capítulo IV se indican las conclusiones y
recomendaciones finales del presente trabajo de investigación.
1.1.1.1.2.
1.3. Objeto de la investigación
Realizar un estudio de investigación para plantear una propuesta
para el desarrollo de un Sistema de Gestión de Seguridad de la
Información basado en la Norma ISO 27001 en el departamento de
Asuntos Regulatorios del edificio matriz de Agripac S.A.
1.
1.1.
1.2.
1.3.
1.4. Justificación
El Departamento de Asuntos Regulatorios maneja grandes
volúmenes de información debido a los procedimientos que realiza, por lo
que se considera importante robustecer la seguridad de la misma por
medio de un Sistema de Gestión de Seguridad de la Información
utilizando la norma ISO 27001:2005.
Luego de realizado el respectivo diagnóstico, devolverá el valor de
la situación de la seguridad en la que el departamento se encuentra y se
propondrán opciones de mejora.
La información dentro de una empresa puede existir de muchas
formas. Puede estar impresa o escrita en papeles, almacenada en
archivadores o electrónicamente, transmitida por correo o utilizando
medios electrónicos, e inclusive hablada en una conversación.
Cualquiera que sea la forma que tome dicha información, o medio
por el cual sea almacenada o transmitida, debe siempre mantenerse bajo
una protección adecuada. Se desea definir, lograr mantener y mejorar la
seguridad de la información, puesto que es esencial para mantener una
ventaja competitiva, margen de utilidad, rentabilidad, liquidez, observancia
legal e imagen comercial; pero se debe tener en cuenta que la seguridad
que se vaya a implementar sea apoyada por la gestión y a los
procedimientos adecuados.
Para mantener la seguridad de la información se ha determinado:
Proporcionar las mejores prácticas de seguridad de la información.
Permitir diagnosticar, analizar y medir prácticas efectivas de
gestión de seguridad.
Proporcionar confianza en el tratamiento de la información.
Que sea aplicable a los procedimientos del Departamento.
Es importante recalcar que quienes conforman la empresa
incluyendo proveedores, clientes y terceros deben participar de la correcta
gestión de la seguridad. De demostrarse resultados positivos a la
propuesta de mejora dentro del departamento, se aplicaría el sistema
propuesto en otras áreas, con la finalidad de mantener una imagen
profesional y confiable de la empresa ante la competencia, lo cual dará
ventaja competitiva en el mercado.
1.5. Objetivos
1.5.1. Objetivo general
Desarrollar una propuesta de mejora que permita la
implementación de un Sistema de Gestión de Seguridad de la Información
en el Departamento de Asuntos Regulatorios de la empresa Agripac S.A.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.5.1.
1.5.2. Objetivos específicos
Realizar un diagnóstico, mediante una auditoría, del Sistema de
Seguridad de Información vigente en el Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Identificar a través de análisis de los resultados, las fortalezas y
debilidades del Sistema de seguridad de información vigente.
Proponer una mejora en el Sistema de Gestión actual, enfocado a
la seguridad de información.
1.6. Antecedentes
La finalidad de un Sistema de Gestión de Seguridad de la
Información no es mantener la seguridad en un 100%, puesto que no es
posible, ya que siempre habrá brechas de seguridad.
El propósito de este sistema de gestión es asegurar a la entidad en
donde se aplique, garantizando que los riesgos de seguridad de
información que se encuentren en el proceso de auditoría sean
conocidos, asumidos, gestionados y minimizados por la organización;
mismos que deben ser manejados a través de evidencia documentada,
facilitando la identificación estructurada y continua de estos.
Un SGSI facilita el establecimiento de políticas y procedimientos
alineados de manera directa a los objetivos del negocio de la compañía,
para mantener así un nivel de exposición que sea siempre menor al nivel
de los riesgos que la propia organización ha decidido asumir.
Con la ayuda de un SGSI, la organización está al tanto de los
riesgos a los que su información está expuesta y puede asumirlos,
minimizarlos, transferirlos o controlarlos mediante una política definida,
que esté documentada y que sea conocida por todos los que conforman
la compañía, y que sea revisada y mejorada constantemente.
Se han realizado y se siguen realizando estudios, a nivel nacional e
internacional, sobre el impacto que causa en una organización la
implementación de un SGSI. La información recolectada ha sido de gran
aporte para conocer los beneficios que provee implementar un SGSI a
una organización.
Entre los estudios a nivel internacional podemos destacar los
siguientes:
Juan David Aguirre Cardona y Catalina Aristizabal Betancourt, en
un estudio realizado en Pereira, Colombia, de un Diseño del Sistema de
Gestión de Seguridad de la Información para el Grupo Empresarial La
Ofrenda, concluyen que en una época en que la información tiene un
papel elemental en la gran mayoría de las organizaciones, es importante
contar con un Sistema de Gestión de Seguridad de la Información,
enfocado en las necesidades del negocio, para poder asegurar a un nivel
aceptable la información de la empresa, puesto que de quedar expuesta a
una catástrofe podría perderse, afectando la continuidad del negocio.
Recalcan también la importancia de implementar controles necesarios en
cada proceso crítico de la empresa cuando ya se hayan identificado los
riesgos. Mencionan también que el apoyo de la alta gerencia es
indispensable ya que se puede asegurar que todo el personal de la
organización va a seguir las políticas, procedimientos, controles,
lineamientos, estándares y demás que se definan en el SGSI. Con el
SGSI expuesto en su investigación, lograron evitar incidentes que puedan
afectar la operatividad diaria de la empresa brindando un nivel aceptable
de seguridad de la información que se maneja. (JUAN DAVID AGUIRRE
CARDONA, 2013)
En otro estudio, realizado en Lima - Perú, por el Ph.D Alberto G.
Alexander, sobre el Análisis del Riesgo y el Sistema de Gestión de
Seguridad de Información: El Enfoque ISO 27001:2005, el autor asegura
que el implementar un SGSI en una organización, tiene como
requerimiento básico la participación de la gerencia. Menciona también
que este estándar fue elaborado para gestionar un sistema de seguridad
de información, cuyo propósito fundamental es asegurar la información
manteniendo su confidencialidad, integridad y disponibilidad, conservando
como tema central la gestión del riesgo. Además considera que con las
nuevas reglas de comercio internacional y la globalización, para mantener
un nivel competitivo considerable a nivel del mercado local y mundial, se
tendrá que implementar la norma ISO 27001:2005. (Alexander, 2006)
Otra investigación que podemos mencionar es la realizada en
Barquisimeto - Venezuela por la Ing. Arelys Altagracia López M., sobre un
Diseño de un Plan de Gestión de Seguridad de la Información para la
Dirección de Informática de la Alcaldía del Municipio del Estado Lara,
evidencio a través de su estudio que en una organización que carece de
políticas y controles eficientes que resguarden y manejen la información
que se encuentre expuesta a riesgos que perjudiquen la continuidad de su
negocio, si existe factibilidad técnica económica y operativa, será posible
diseñar un Plan de Seguridad de Información que brinde un esquema de
seguridad más sólido y eficiente en el uso de sus Sistemas de
Información cuando sea implementado, mismo que, para obtener los
efectos que se requieren, deberá ser periódicamente evaluado y
mejorado. (Arelys Alttagracia, 2011)
De los estudios realizados a nivel nacional podemos destacar los
siguientes:
José Alfonso Aranda Segovia, en su investigación sobre la
Implementación del Primer Sistema de Gestión de Seguridad de la
Información, en el Ecuador, Certificado bajo la Norma ISO 27001:2005,
indica que la norma está orientada al tratamiento de la seguridad e
información mediante la gestión del riesgo, tanto para sus activos como
para sus procesos. Esto garantiza que ante recursos limitados las
inversiones sean bien focalizadas. Indica también que las decisiones
respecto al cumplimiento de las políticas del SGSI deben ser de carácter
jerárquico, impulsado por el director de la organización, quien debe
motivar a que el personal se adapte a los cambios que se presenten, e
incentivarlos para que tengan compromiso con el cumplimiento del SGSI
a establecerse. Recalca también que para tener una implantación exitosa
del SGSI, los objetivos del mismo deben estar alineados al negocio de la
compañía, caso contrario el valor que agrega no sería tangible. Afirma
también que tener implantado un SGSI no significa contar con seguridad
máxima en la información de la organización, significa que la empresa
cumple con los requerimientos y mejores prácticas establecidas en dicha
norma para que su SGSI funcione correctamente y pueda evolucionar
hacia la sofisticación, y finalmente concluye que el eslabón más débil de
la cadena son las personas, por tanto, el análisis y evaluación del riesgo
del SGSI debe hacer énfasis en considerar este tipo de amenazas.
(Aranda, 2009).
Continuando con los estudios realizados en el país, los autores
Diana Calderón Onofre, Estela Ochoa Martín y Manuel Flores Villamar,
realizaron una Implementación de Sistema de Gestión de Seguridad de la
Información aplicada al área de Recursos Humanos de la empresa
Decevale S.A., en la que exponen que el utilizar un SGSI en una
organización provee de herramientas y mecanismos necesarios para
poder afrontar riesgos.
Agregan además que el identificar los activos de información de la
empresa y definir políticas de seguridad claras y completas son factores
determinantes para la correcta implantación de un SGSI que defina
acciones de control y tratamiento de riesgos, sin tener q exponer los
activos de información de la empresa ante cualquier evento que se
presente.
Esto beneficia a la organización puesto que se satisfacen de mejor
manera los requerimientos de los clientes, proveedores y organismos de
control, formalizando responsabilidades operativas y legales de los
usuarios y cumpliendo las disposiciones legales correspondientes.
(Calderón Onofre, Estrella Ochoa, & Flores Villamarín, 2011).
Continuando con otras investigaciones realizadas, Oscar Eduardo
Campaña Tenesaca, en su Plan de propuesta para la implantación de la
norma de seguridad informática ISO 27001:2005 para el Grupo Social
Fondo Ecuatoriano Populorum Progressio (GSFEPP), afirma que la
implementación de un SGSI en una empresa no es simplemente una
imagen de sello útil, puesto que al implementarlo se presentan cambios
físicos, tecnológicos y en el recurso humano a nivel institucional,
presentando mejoras, estableciendo relaciones de confianza que
intensifican las actividades comerciales con sus clientes y empresas
colaboradoras, facilitando la propagación a clientes potenciales y
favoreciendo a la relación de la institución con sus empleados, ya que
reduce los niveles de posibles pérdidas económicas. (Campaña
Tenesaca, 2010).
Todos estos estudios realizados nos dan una idea de los beneficios
de implementar un SGSI y su impacto en una organización. Además nos
orienta a cuáles deben ser nuestros puntos de acción empleando las
tácticas pertinentes para su implementación.
Si se desea tener un SGSI que devuelva los resultados que la
seguridad de información demanda, es importante que esté alineado a la
norma ISO 27001, para tales efectos es importante conocer la norma, su
contenido, historia, estructura y demás características.
Además es importante conocer los conceptos y la terminología que
contiene. A continuación se analizarán los fundamentos teóricos de esta
investigación.
1.7. Fundamentación teórica
1.7.1. ISO 27000
1.7.1.1. Origen
Desarrollado en dos partes, la primera publicada en el año 1995
por el British Standards Institution bajo el nombre de BS-7799, la cual
estaba dirigida a buenas prácticas de seguridad de empresas británicas y
la segunda parte en el año 1998 por medio de la cual se establece los
requerimientos para el desarrollo de un SGSI.
En este contexto la BS-7799 sirvió de punto de origen en el año
2000 para el desarrollo de la Norma Internacional ISO-17799.
Posteriormente en el año 2005 se inicia el desarrollo de la Familia de
Normas ISO-27000.
Consecuentemente la norma ISO-17799 es renombrada como ISO-
27002, sirviendo como punto de partida para la creación del Comité
Técnico encargado de la creación de normativas ISO-27000. (Seguridad
Informática WordPress.com, 2013)
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.7.1.
1.7.2. La serie Normas ISO 27000
ISO/IEC 27000, es una familia de estándares enfocados en permitir
a las organizaciones a mantener seguros sus activos de información.
Establecen un marco para la correcta administración de la
seguridad de la información, siendo aplicable en cualquier organización
sea esta pública o privada gracias a la versatilidad provista en las normas.
(Seguridad Informática WordPress.com, 2013)
La familia de normas ISO 27000 especifica un conjunto de buenas
prácticas enfocadas en Seguridad de la información para el desarrollo,
implementación y mantenimiento continuo de especificaciones en los
SGSI. La familia de estándares 27000 está contemplada dentro de los
estándares ISO/EC como seguridad de la información:
FIGURA N° 1 FAMILIA ISO 27000
27007
2700627000
FAMILIA ISO 27000
27004
2700527001
27002
Fuente: https://seguridadinformaticaunivia.wordpress.com Elaborado por: Chérrez Salazar Rosana María
a) ISO 27000: Describe de forma general el vocabulario utilizado en el
conjunto de estándares 27000. Permite un mayor entendimiento de
la serie de normas y la relación que existe entre la documentación
presente en esta. (Seguridad Informática WordPress.com, 2013)
b) UNE-ISO/IEC 27001:2005: Establece los principales requisitos de
un SGSI. Describe que todo Sistema de Seguridad de la
Información será certificado mediante una auditoría externa a la
organización. Contiene un listado que responde a controles y
objetivos de control desarrollados la ISO 27002. (Seguridad
Informática WordPress.com, 2013)
c) ISO/IEC 27002: Sostiene una guía de buenas prácticas de gestión
de la seguridad de la información. Delinea controles y objetivos de
control divididos en dominios específicos. (Seguridad Informática
WordPress.com, 2013)
d) ISO/IEC 27003: Provee una guía práctica en el desarrollo del plan
de implementación de un SGSI dentro de la organización de
acuerdo con la ISO/IEC 27001. (Seguridad Informática
WordPress.com, 2013)
e) ISO/IEC 27004: Provee una guía en el desarrollo y uso de medidas
y medición con el fin de evaluar la eficacia del SGSI. Especifica un
27003
conjunto de controles y objetivos de control especificados en la
ISO/IEC 27001. (ISO, 2009)
f) ISO/IEC 27005: Provee guías con respecto a la gestión de riesgo
de la información. Mantiene los conceptos generales especificados
en ISO/EC 27001 y está designada a asistir la satisfactoria
implementación de seguridad de la información basado en un
enfoque de gestión de riesgo. (ISO, 2011)
g) ISO/IEC 27006 : Especifica los requisitos y proporciona orientación
para los organismos que realizan la auditoría y certificación de un
sistema de gestión de seguridad de la información, en adición a los
requerimientos contenidos en ISO/IEC 17021, ISO/IEC 27001.(ISO,
2011)
h) ISO/IEC 27007: – Proporciona una guía para auditar al SGSI. Es
aplicable a aquellos que necesitan comprender o realizar auditorías
internas o externas de un SGSI o para gestionar un programa de
auditoría SGSI. (Seguridad Informática WordPress.com, 2013)
Las normas de la familia ISO 27000, fundamentalmente la ISO/IEC
27001 e ISO/IEC 27002, tienen como principales objetivos:
Establecer un marco metodológico para un SGSI.
La adopción de controles proporcionales a los riesgos percibidos.
La documentación de políticas, procedimientos, controles y
tratamiento de riegos.
Identificación y asignación de responsabilidades al nivel adecuado.
Formalización, seguimiento y revisión de los controles y riesgos, de
forma sistemática (periódica) y metodológica.
Generación y preservación de evidencias.
Tratamiento de los incidentes de seguridad.
Revisión y mejora continua del SGSI.
Gestión de Riesgos
Uso de métricas para evaluar efectividad y eficiencia de los
controles y del propio SGSI.
Los lineamientos metodológicos y los requerimientos de la norma
ISO/IEC 27001 son propuestos bajo el enfoque del Ciclo de Deming:
Planificar – Hacer – Verificar – Actuar (PHVA). (Seguridad Informática
WordPress.com, 2013)
1.7.3. ISO 27001:2005
1.7.3.1. Generalidades
Este estándar internacional especifica los requerimientos para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar
un SGSI documentado dentro del contexto de los riesgos comerciales
generales de la organización. (ISO/IEC, 2005)
Por medio de este estándar se puede gestionar la seguridad de
información en una organización. En él, se escribe una metodología para
implementar dicha gestión en la organización. También permite que una
empresa pueda certificarse si esta gestión ha sido implementada con
éxito y bajo los requisitos del estándar 27001.
Esta norma se ha convertido en una de las principales
herramientas para asegurar la información y es utilizada en varias
organizaciones a nivel mundial, que han certificado su cumplimiento
logrando una apropiada salvaguarda y gestión de sus activos de
información.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.7.1.
1.7.2.
1.7.3.
1.7.4. Sistema de Gestión de la Seguridad de la Información
El SGSI es la idea bajo la que se desarrolla la ISO 27001. La
administración de la seguridad de la información se realiza bajo un
proceso debidamente estructurado, analizado y ampliamente
documentado por la organización. Mantener un nivel de protección total
dentro de una organización no es posible, incluso contando con un
presupuesto ilimitado. Por esto, el propósito final de un SGSI es el de
mantener el nivel de riesgo aceptable, garantizando de esta manera que
este sea conocido, administrado, aceptado, disminuido por la
organización de una forma documentada, registrada, metódica,
organizada, repetible, eficaz y acoplada a posibles cambios que se
produzcan en los riesgos, ambiente y tecnologías.. (WWW.ISO27000.ES,2012)
Según ISO 27001, la seguridad de la información está determinada
por la conservación de su confidencialidad, integridad y disponibilidad, de
igual manera con los sistemas que se encuentran inmersos en su
tratamiento en la organización.
Es de esta manera que bajo el concepto de estos tres términos se
constituye el fundamento de toda configuración de un SGSI:
Confidencialidad: La información se encuentra protegida y no es
revelada a intrusos o a accesos no autorizados, nunca es
dispuesta a personas, entidades o procesos.
Integridad: La información mantiene su estado original, sin ser
modificada o alterada.
Disponibilidad: Personas, entidades o procesos estructurados y
debidamente autorizados tienen la capacidad de acceder y usar la
información y sistemas de gestión de esta. (WWW.ISO27000.ES,2012)
Para que la seguridad de la información sea garantiza, la misma
debe ser administrada por medio de un proceso metódico, documentado y
ampliamente conocido por la organización, desde el punto de vista de
riesgo organizacional.
La concepción de un SGSI permite la creación de políticas y
procesos que estén estrechamente alineados con los objetivos de la
organización, obteniendo de esta manera un nivel de exposición
aceptable y manejable; el mismo que siempre se encontrará a un nivel
menor al esperado por la organización.
FIGURA N° 2 RIESGOS - SGSI
Fuente: (WWW.ISO27000.ES, 2012) Elaborado por: ISO27000
1.7.5. Documentación del Sistema de Gestión de la Seguridad de la Información
En el campo de la gestión de calidad de acuerdo a la norma ISO
9001, constantemente se ha expresado de forma gráfica la
documentación del sistema en una pirámide de cuatro niveles. Es viable
introducir dicho modelo a un SGSI fundamentado en ISO 27001 puesto
que hay similitudes entre estos dos estándares, y se puede exponer de la
siguiente manera:
FIGURA N° 3 DOCUMENTACIÓN DEL SGSI
Fuente: (WWW.ISO27000.ES, 2012) Elaborado por: ISO27000
a) Documentos de Nivel 1: Manual de seguridad: Es el instrumento
en el que se basa y rige la totalidad del sistema, es aquel que
presenta y establece los propósitos, alcance, objetivos, deberes,
reglamentos, normas principales, etc., del SGSI.
(WWW.ISO27000.ES, 2012)
b) Documentos de Nivel 2: Procedimientos: Documentos en el nivel
operacional, que aseveran que se efectúen de manera efectiva los
programas, la evolución y el monitoreo de los procesos de
seguridad de información. (WWW.ISO27000.ES, 2012)
c) Documentos de Nivel 3: Instrucciones, checklists y formularios:
Documentación que refiere como se ejecutan las labores y
movimientos específicos relacionados con la seguridad de
información. (WWW.ISO27000.ES, 2012)
d) Documentos de Nivel 4: Registros: Documentación que evidencia
el acatamiento de las obligaciones del SGSI; se encuentra
relacionada a la documentación de los tres niveles antes
mencionados como output que evidencia el cumplimiento de lo que
se indica en los mismos. (WWW.ISO27000.ES, 2012)
De forma concreta, ISO 27001 muestra que un SGSI debe estar
conformado por la siguiente documentación, difiriendo del formato y
medio en que se presente:
Alcance del SGSI: Ambiente de la Compañía que se somete al
SGSI, identificando de forma específica las dependencias, relaciones y
limitantes existentes entre el alcance y las partes no consideradas (en los
casos en los que el medio de dominio del SGSI estime una parte
determinada de la institución como delegaciones, divisiones,
departamentos, procesos, sistemas o actividades concretas).
Política y objetivos de seguridad: documentación que contiene
establecido en forma genérica las responsabilidades de la dirección y la
orientación de la institución sobre la gestión de la seguridad de
información.
Procedimientos y mecanismos de control que soportan al SGSI: aquellas tareas que regularizan el funcionamiento del SGSI.
Enfoque de evaluación de riesgos: explicación de los métodos a
utilizar (de qué forma se hará la valoración de las amenazas,
debilidades, posibilidades de ocurrencia e impactos de acuerdo a la
información propia contenida en el alcance selecto), elaboración de de
criterios de aceptación de riesgo y definición de niveles de riesgo
aceptables.
Informe de evaluación de riesgos: Estudio que resulta de la
aplicación de los métodos antes mencionados a los activos de
información de la institución.
Plan de tratamiento de riesgos: Documentación que define las
funciones de la dirección, los recursos las obligaciones y las prioridades
para tratar los riesgos de seguridad de información, de acuerdo con los
resultados obtenidos de la valoración de los riesgos,, de los objetivos de
control encontrados, de los recursos disponibles, etc.
Procedimientos documentados: son todos aquellos que se
necesitan para asegurar la planificación, ejecución y vigilancia de los
procesos de seguridad de la información, y para la medir de la eficacia de
los controles establecidos.
Registros: Documentación que evidencia el acatamiento de las
obligaciones del SGSI y la eficacia de su funcionamiento.
Declaración de aplicabilidad: Documentación conformada por los
objetivos de control y los controles contenidos por el SGSI, basada en los
resultados de los procesos de valoración y tratamiento de riesgos,
evidenciando inclusiones y exclusiones. (WWW.ISO27000.ES, 2012)
1.7.6. Control de la documentación
Para los documentos generados se debe establecer, documentar,
implantar y mantener un procedimiento que defina las acciones de gestión
necesarias para:
Garantizar la correcta documentación antes de ser emitida.
Verificar y renovar documentación cuando sea necesario y
actualizar su validez.
Establecer garantías sobre la identificación del estado actual y
cambios en la revisión de documentos.
Garantizar que las versiones notables de la documentación
presente esté dispuesta en los lugares de trabajo.
Asegurar que la respectiva documentación es legible y de fácil
identificación.
Garantizar la disponibilidad de la documentación para el personal
que la necesite; los mismos que son transmitidos, guardados y
eliminados acorde a procedimientos según su pertinente
clasificación.
Respaldar la identificación de documentos provenientes del
exterior.
Asegurar el control sobre la distribución de documentos.
Desechar documentos desactualizados y obsoletos.
Identificar apropiadamente documentos que hayan sido retenidos
con algún propósito. (WWW.ISO27000.ES, 2012)
1.7.7. Implementación un SGSI
Para este propósito se utiliza el círculo de mejora continua PDCA
(PHVA); el mismo es ampliamente utilizado por los Sistemas de Gestión
de Calidad y Sistemas de Gestión de Seguridad de la Información. En el
Cuadro 1, se especifican los principales procesos que indica la referida
norma, con las etapas del ciclo PHVA.
TABLA N° 1 CICLO DE DEMING (PHVA) APLICADO A LA NORMA ISO 27001
Ciclo PHVA Procesos
Planificar (Plan) Establecer el contexto. Alcance y Limites.
Definir Política del SGSI.
Definir Enfoque de Evaluación de Riesgos.
Identificación de riesgos.
Análisis y Evaluación de riesgos.
Evaluar alternativas para el Plan de tratamiento de
riesgos.
Aceptación de riesgos.
Declaración de Aplicabilidad.
Hacer (Do) Implementar plan de tratamiento de riesgos.
Implementar los controles seleccionados.
Definir las métricas.
Implementar programas de formación y
sensibilización.
Gestionar la operación del SGSI.
Gestionar recursos.
Implementar procedimientos y controles para la
gestión de incidentes de seguridad
Verificar
(Check)
Ejecutar procedimientos de seguimiento y revisión
de controles.
Realizar revisiones regulares de cumplimiento y
eficacia de los controles y del SGSI.
Medir la eficacia de los controles y verificación de
satisfacción de los requerimientos de seguridad.
Revisión de la evaluación de riesgos
periódicamente.
Realizar auditorías internas.
Revisión de alcance y líneas de mejoras del SGSI
por la Dirección.
Actualizar los planes de seguridad.
Registrar acciones que podrían impactar la
eficacia y/o eficiencia del SGSI
Actuar (Act) Implementar las mejoras identificadas para el
SGSI.
Implementar las acciones correctivas y preventivas
pertinentes.
Comunicar acciones y mejoras a todas las partes
involucradas.
Asegurarse que las mejoras logren los objetivos
previstos.
Fuente: (Mega, 2009)Elaborado por: Chérrez Salazar Rosana María
1.7.7.1. Ventajas de implementar un SGSI
Aumenta el compromiso de la organización.
Incrementa la confianza de los clientes, usuarios y otras partes
interesadas con respecto a la información que maneja la empresa.
Mejora la eficacia de las operaciones, personas y procesos
relacionados con la seguridad de la información;
Garantiza una mejor disponibilidad de los documentos, información
y datos.
Evita pérdidas, robos, descuidos, etc., con los activos de
información en la organización.
Garantiza la conformidad y el cumplimiento a las autoridades
competentes con respecto a la reglamentación y leyes aplicables,
pudiendo evidenciarlo mediante registros.
Facilita los procesos de formación y conocimiento del personal en
materia de seguridad de la información, siendo una herramienta
compatible y complementaria con otros Sistemas de Gestión (ISO
9001 e ISO 14001.
1.7.8. Revisión del SGSI
La dirección de la organización es la encargada de realizar el
trabajo de revisar el SGSI por lo menos una vez al año, asegurando que
mantenga su eficacia. Para realizar esta tarea, la dirección debe mantener
información actualizada que le permita tomar decisiones oportunas, entre
las que se encuentran:
Resultados y productos de auditorías y estudios del SGSI.
Análisis por medio de observaciones realizadas por las partes
interesadas.
Técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
Datos sobre el estado de acciones provisorias y correctivas.
Debilidades o amenazas que no han sido tomadas en cuenta o no
han sido tratadas en forma correcta en el análisis de resultados de
evaluaciones de riesgo previas.
Resultados de las mediciones de eficacia.
Condición de las acciones iniciadas a raíz de revisiones previas de
la dirección técnica.
Posibles cambios que podrían alterar al SGSI.
Sugerencias de mejora. (Montenegro & De la Cruz, 2008)
De acuerdo a lo propuesto por Montenegro & De la Cruz (2008),
tomando en cuenta todos estos puntos, la dirección técnica es la
encargada de revisar el SGSI y realizar la toma de decisiones
relacionadas a:
Aumento de la eficacia del SGSI.
Reajuste de la evaluación de riesgos y del plan de tratamiento de
riesgos.
Rectificación de los procedimientos y controles que intervienen en
la seguridad de la información, en consecuencia a cambios
internos y ajenos, con respecto a los intereses de negocio,
necesidades de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de
aceptación de riesgos.
Requerimientos de recursos.
Perfeccionamiento en la forma de establecer métricas y mediciones
enfocadas a la efectividad de los controles.
1.7.9. Análisis y Evaluación del Riesgo
Es un compendio de pasos estructurados establecidos por la
organización. Estos comprenden desde la identificación de activos de
información hasta el establecimiento de la prioridad de amenazas
clasificadas según su impacto en el riesgo de los activos. El fin del
análisis y evaluación de riesgo es determinar la magnitud del riesgo que
afecta de una u otra manera a los activos de información. De esta manera
se describe la secuencia de pasos estructurados que sigue el análisis y
evaluación de riesgo. (Montenegro & De la Cruz, 2008)
Los pasos para la metodología de análisis de riesgos son:
Identificación de activos de información.
Tasación de activos de información.
Identificación de amenazas y posibilidades de ocurrencia.
Identificación de vulnerabilidades.
Estimación de la exposición de la explosión al riesgo de los activos
de información.
Priorización de las amenazas por su exposición al riesgo.
(Montenegro & De la Cruz, 2008)
1.7.9.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales
Los riesgos deben ser administrados por medio de un conjunto de
combinaciones de controles y estrategias de aceptación. La alta gerencia
será la encargada de la toma de decisiones enfocadas al tratamiento del
riesgo; la misma utilizará como guía los siguientes factores:
Impacto del riesgo en caso de concretarse.
Probabilidad de su ocurrencia.
En caso de inminente impacto del riesgo sobre la situación
financiera de esta, la organización deberá tomar en cuenta el costo de
intervenir sobre alguna de las opciones de contingencia del riesgo.
1.7.9.2. Opciones para el Tratamiento del Riesgo
Para el tratamiento del riesgo existen cuatro estrategias que son
las más difundidas a nivel internacional. A continuación se hará una breve
descripción de cada una de ella:
1.7.9.3. Reducción del Riesgo
Para realizar el análisis de reducción de riesgo es necesaria la
serie de controles incluidas en la ISO 270001:2005 ANEXO A. Una vez
identificado el nivel de los controles es de vital importancia tomar en
cuenta las necesidades de seguridad relacionadas al riesgo, debilidades y
amenazas que hayan sido identificadas con anterioridad.
Los controles permiten de manera oportuna llegar a reducir los
riesgos de las siguientes formas:
Disminuyendo la probabilidad de que las debilidades sean
explotadas por posibles amenazas.
Disminuyendo la probabilidad de impacto si el riesgo es ejecutado
al momento de ser detectado, identificado, reaccionado y
recuperándose del mismo.
La selección de la forma en la cual se tratará el riesgo es de
responsabilidad de la organización, y la selección de la misma será
consecuencia de necesidades comerciales de la misma, ambiente y las
circunstancias en que la empresa desea operar. (Montenegro & De la
Cruz, 2008)
1.7.9.4. Aceptación del Riesgo
Muchas veces la organización se encontrará en situaciones en las
que no existen controles y no es factible la creación o diseño de los
mismos, incluso puede darse el caso en el que la implementación de un
control supere el costo de las consecuencias. Es en estas circunstancias
en las que es posible aceptar el riesgo y por consiguiente aceptar las
consecuencias de este.
Cuando las circunstancias hacen que el costo de disminuir el riesgo
por medio de la implementación de controles sea significativamente alto, o
las consecuencias del riesgo son catastróficas para la organización, se
debe tomar en cuenta las opciones de transferencia de riesgo o la de
evitar el riesgo. (Montenegro & De la Cruz, 2008)
1.7.9.5. Transferencia del Riesgo
Según lo expuesto por Montenegro & De la Cruz (2008), la
transferencia del riesgo es una posibilidad que la organización tiene
cuando la esta no está en capacidad de sobrellevar el riesgo a un nivel
aceptable, ni técnica ni económicamente. En este caso podría ser
económicamente aceptable transferir el riesgo a una aseguradora.
Por consiguiente la transferencia del riesgo tiene que ser estudiada
y analizada con cautela para de esta manera exponer con precisión,
cuando el riesgo está siendo trasferido.
Otra opción es la de tercerizar los servicios de administración de
activos o procesos en estado crítico. Si se opta por esta posibilidad hay
que tener en cuenta que el riesgo residual es de entera responsabilidad
de la organización.
1.7.9.6. Evitar el Riesgo
Corresponde a cualquier acción en el que las actividades de la
organización, o las formas de manejar la administración comercial de la
misma, son modificadas, logrando de esta forma evitar que se produzca
un riesgo. Las formas más comunes para implantar esta opción son:
Detener la ejecución de algunas actividades.
Mover activos de información de un área en riesgo a otra.
Decidir no procesar cierto tipo de información si no se consigue la
protección adecuada.
Si se decide optar por la opción de evitar el riesgo, esta debe ser
medida contra las necesidades comerciales y financieras de la
organización.. (Montenegro & De la Cruz, 2008)
1.7.9.7. Controles de seguridad
Los controles de seguridad están definidos como políticas, tareas o
procedimientos, prácticas y disposiciones organizacionales creadas para
avalar de forma razonable que los objetivos de la organización serán
alcanzados, teniendo en cuenta eventos no deseados que serán
oportunamente identificados y rectificados.
El objetivo de control en tecnologías de información está definido
como resultado del efecto o propósito que se tiene como meta obtener
implantando tareas de control en una actividad específica de tecnología
de información. La valoración del riesgo y las actividades referentes a
tratamiento de riesgo permitirán de manera oportuna la correcta selección
e implementación de controles de tratamiento del riesgo. (Montenegro &
De la Cruz, 2008)
El estándar especifica en su “Anexo A” el listado completo de cada
uno de ellos, agrupándolos en once dominios. Para cada uno de ellos
define el objetivo y lo describe brevemente.
El Anexo A suministra una suficiente base de referencia de
controles que no llega a ser exhaustiva. De esta manera los 133 controles
mostrados son los mínimos que se aplicarán o justificarán su no
aplicación. La implantación de los controles no garantiza la aplicación
completa de la norma si es que en el proceso de análisis de riesgo llega a
presentarse aspectos que no son cubiertos por algún tipo de control.
La creación de nuevos controles será determinada por medio de la
evaluación de riesgos, la implantación del SGSI impondrá la inclusión de
los mismos, sino seguramente el ciclo no estará cerrado y presentará
huecos claramente identificables. Los controles que el ANEXO A de esta
norma dispone dentro de su apartado quedan agrupados y numerados de
la siguiente forma:
TABLA N° 2CUABRO DE CONTROLES ANEXO A.
A.5 Política de seguridad
A5.1 Política de seguridad de la información
A.6 Organización de la información de seguridad
A.6.1 Organización interna
A.6.2 Terceros
A.7 Administración de recursos
A.7.1 Responsabilidad por los activos
A.7.2 Clasificación de la información
A.8 Seguridad de los recursos humanos
A.8.1 Antes del empleo
A.8.2 Durante el empleo
A.8.3 Terminación o cambio de empleo
A.9 Seguridad física y del entorno
A.9.1 Áreas aseguradas
A.9.2 Seguridad del equipo
A.10 Administración de las comunicaciones y operaciones
A.10.1Procedimientos y responsabilidades operativas
A.10.2 Gestión de servicios de terceros
A.10.3Planeamiento y aceptación de sistemas
A.10.4Protección contra código malicioso y código móvil
A.10.5Respaldo
A.10.6 Gestión de seguridad de redes
A.10.7 Manipulación de medios
A.10.8 Intercambio de información
A.10.9 Sistemas de información de negocios
A.10.10 Monitoreo
A.11 Control de accesos
A.11.1 Requisito de negocios para el control de acceso
A.11.2 Gestión del acceso de usuarios
A.11.3Responsabilidades de los usuarios
A.11.4 Control del acceso a redes
A.11.5Control de acceso al sistema operativo
A.11.6 Control del acceso a aplicación e información
A.11.7Computación móvil y teletrabajo
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.12.1Requisitos de seguridad para sistemas de información
A.12.2 Procesamiento correcto en aplicaciones
A.12.3Controles criptográficos
A.12.4 Seguridad de archivos del sistema
A.12.5 Seguridad en los procesos de desarrollo y soporte
A.12.6 Gestión de vulnerabilidades técnicas
A.13 Administración de los incidentes de seguridad
A.13.1Reportes de eventos y debilidades de seguridad de la información
A.13.2 Gestión de incidentes y mejoras de seguridad de la información
A.14 Administración de la continuidad de negocio
A.14.1Aspectos de seguridad de la información en la gestión de la
continuidad de negocios
A.15 Cumplimiento (legales, de estándares, técnicas y auditorias)A.15.1Cumplimiento de requisitos legales
A.15.2Cumplimiento de las políticas y normas de seguridad, y
cumplimiento técnico
A.15.3Consideraciones de auditoría de sistemas de información
Fuente: ISO-27001Elaborado por: Chérrez Salazar Rosana María
1.7.9.8. Fundamentación Legal
Reglamento unificado de régimen académico del sistema nacional de Educación Superior y reglamentos
Art. 37 "Los trabajos de graduación o titulación se definen de la
siguiente manera de acuerdo a los títulos de grados que se otorgan".
37.2 Para obtención del grado académico de licenciado o del Título
profesional universitario o politécnico, el estudiante debe realizar y
defender un proyecto de investigación conducente a una propuesta para
resolver un problema o situación práctica, con características de
viabilidad, rentabilidad y originalidad en los aspectos de acciones,
condiciones de aplicación, recursos, tiempos y resultados esperados".
Ley de comercio electrónico, firmas y mensajes de datos
Ley No. 67. R.O. Suplemento 557 de 17 de Abril del 2002.
Título preliminar
Artículo 1.- Objeto de la Ley .- "Esta Ley regula los mensajes de
datos, la firma electrónica, los servicios de certificación, la contratación
electrónica y telemática, la prestación de servicios electrónicos, a través
de redes de información, incluido el comercio electrónico y la protección a
los usuarios de estos sistemas".
Título I
De los mensajes de datos
Capítulo I
Principios generales
Artículo 9.- Protección de datos.- Para la elaboración,
transferencia o utilización de bases de datos, obtenidas directa o
indirectamente del uso o transmisión de mensajes de datos, se requerirá
el consentimiento expreso del titular de éstos, quien podrá seleccionar la
información a compartirse con terceros.
La recopilación y uso de datos personales responderá a los
derechos de privacidad, intimidad y confidencialidad garantizados por la
Constitución Política de la República y esta Ley, y podrán ser utilizados o
transferidos únicamente con autorización del titular u orden de autoridad
competente.
Ley Orgánica de Telecomunicaciones del Ecuador
Artículo 11. "Son servicios de valor agregado, aquellos que utilizan
servicios finales de telecomunicaciones e incorporan aplicaciones que
permiten transformar el contenido de la información trasmitida. Esta
transformación puede incluir un cambio neto entre los puntos extremos de
la transmisión en el código, protocolo o formato de la informa
CAPÍTULO IIMETODOLOGÍA
2.
2.1. Antecedentes de la empresa
El Grupo Agripac S.A. inicio sus operaciones comerciales en
Guayaquil en el año 1972 comenzado la venta y distribución de productos
relacionados a la agroindustria a lo largo del territorio ecuatoriano. A partir
de esto, la división inició la expansión a distintos sectores agrícolas a lo
largo de diversas provincias de Ecuador con el fin de satisfacer
necesidades específicas de los clientes.
El Grupo Agripac S.A. presenta una diversa gama de servicios y
con la finalidad de optimizar estos, la corporación se encuentra distribuida
en distintas áreas de acuerdo a su distinción. Actualmente existen siete
Divisiones, clasificadas en: Fertilizantes, Agrícola, Salud Animal,
Químicos Industriales, Consumo, Acuacultura y Semillas; las mismas se
encuentran presentes en la mayoría del territorio ecuatoriano.
Actualmente cuenta con una red de distribución más extensa del
Ecuador, permitiéndoles comercializar productos de alta calidad en sus
160 puntos de ventas.
Visión: Consolidar al Grupo Corporativo en el país y en toda
América Latina, enfocando su futuro en el cliente como base del éxito del
negocio.
Marco Teórico 40
Misión: Ofrecer soluciones integrales a través de la provisión de
insumos agropecuarios y de salud pública de alta calidad gracias a su
filosofía de servicio permanente.
Metodología 41
2.2. Organigrama parcial
FIGURA N° 4 ORGANIGRAMA PARCIAL DE AGRIPAC S.A.
Fuente: Agripac S.A.Elaborado por: Agripac S.A
ADMINISTRACIÓN DE BIENES
AEROAGRIPAC SUBGTE. AUDITORES
DPTO. LEGAL
GTE. SISTEMA
GTE. SEGURIDAD, AMBIENTE Y
CALIDAD
COORDINADORA
ASISTENTE
DISEÑADOR GRÁFICO
JEFATURA DE ASUNTOS
REGULATORIOS
JEFATURA DE IMPORTACIONES
SUBGERENCIA DE COMPRAS LOCALES
GERENCIA IMPORTACIONES
DIRECCIÓN COMERCIAL
DIRECCIÓN DE
COMPRAS
DIRECCIÓN DE
FINANZAS
DIRECCIÓN OPERACION
DIRECCIÓN RRHH
GERENCIA GENERAL
GERENCIA PTOS. VENTA
VICEPRESIDENCIA EJECUTIVA PRESIDENCIA
Metodología 42
2.3. Situación actual y geográfica
El presente trabajo de investigación se desarrolló en el Edificio
Matriz del Grupo Agripac S.A., ubicado en las calles General Córdova 623
y Padre Solano, centro de la ciudad de Guayaquil.
2.4. Campo de investigación
Para propósitos de estudio, se hará referencia al campo de la
seguridad de información, aplicado en el Departamento de Asuntos
Regulatorios y su personal, cuyas funciones se detallarán a continuación.
Jefe de Asuntos Regulatorios: Mantener actualizada la
documentación legal para el funcionamiento de la compañía, que permita
importar, fabricar, formular, almacenar, distribuir y exportar todos los
productos manejados por Agripac S.A.. Es responsable de cumplir con los
objetivos que determine la compañía a través de la Gerencia General
relacionadas con sus actividades. Es responsable de mantener el sistema
de registro de la compañía vigente.
Es responsable de mantener la documentación legal que permita el
funcionamiento de la compañía.
a) Asistente de Asuntos Regulatorios: Brindar el soporte y
colaboración necesarios para agilitar las actividades y
cumplimiento de los objetivos del área de Asuntos Regulatorios.
Colaborar con la elaboración de dossier de los productos a
registrar y trámites relacionados con registros de productos.
b) Diseñador Gráfico: Mantener actualizados y elaborar artes de
etiquetas de las líneas de productos registrados y que comercializa
Agripac S.A.. Es responsable de mantener el archivo de artes de
etiquetas de la compañía actualizado.
Metodología 43
c) Coordinadora de Asuntos Regulatorios: Garantizar el cumplimiento
de los objetivos planteados por el área de Asuntos Regulatorios.
Mantener toda la documentación, archivos e informes relacionados
con el área de manera organizada, ordenada y al día de tal manera
que se garantice que las actividades relacionadas con el
departamento se desarrollen con eficacia. Colaborar con la
elaboración de dossier de los productos a registrar.
2.5. Tipo de investigación
Investigación exploratoria.- Para explorar un tema, se dispone de
un amplio espectro de medios y técnicas para recolectar datos en
diferentes ciencias como son la revisión bibliográfica especializada,
entrevistas y cuestionarios, observación participante y no participante y
seguimiento de casos. Una vez recolectados dichos datos, y se tenga
conocimiento del tema, los resultados de la investigación exploratoria
permitirán conocer los argumentos a fondo y determinar qué factores son
relevantes al problema e investigarlos con mayor profundidad. (Calle,
2012)
Investigación de campo.- Corresponde a la fase en la que por
medio del método científico se obtiene nueva información en el campo de
la realidad social. Por otro lado se refiere al estudio de una situación en
particular con el fin de analizar necesidades y problemáticas como
consecuencia de aplicar la nueva información en una práctica real. Por lo
general a esta clase de investigación se la conoce también como
investigación in situ. Todo esto permite al investigador, profundizar en el
área de conocimiento correspondiente, debido a que con los datos
recolectados se puede aplicar diversidad de diseños explicativos,
descriptivos y experimentales. (Graterol, 2011)
Investigación analítica.- La investigación analítica tiene como
objetivo analizar un evento y comprenderlo en términos de sus aspectos
Metodología 44
menos evidentes, y consiste en identificar y reorganizar las sinergias de
un evento en base a patrones de relación implícitos o menos evidentes, a
fin de llegar a una comprensión más profunda del evento, descubriendo
nuevos significados y significaciones, tanto de éste como de sus
sinergias, en función de la nueva organización.
Para ello es necesario descubrir patrones de relación internos que
forman unidades de menor magnitud que la unidad total. (RIVERO, 2007)
En la presente investigación se utilizarán los tipos de investigación
mencionados, debido a que se emplearán técnicas de recolección de
datos para realizar un diagnóstico de la situación de gestión de seguridad
del departamento de Asuntos Regulatorios, en referencia a el material
bibliográfico revisado, lo cual nos será de utilidad para posteriormente
proponer mejoras a los problemas que hayan sido planteados.
2.6. Método de Investigación
Descriptivo.- El estudio descriptivo tiene como objetivo conocer los
escenarios, hábitos y cualidades que predominan por medio de la
descripción estricta de actividades, objetos, técnicas y sujetos. No se
basa únicamente en la recolección de información, sino en el pronóstico y
caracterización de la relación que podría existir entre variables.
En el estudio se recolecta la información basada en una hipótesis o
teoría, se describe y se sintetiza la información de forma metódica y luego
se examina cuidadosamente los resultados, con el objetivo de obtener
generalizaciones significativas que permitan aumentar el conocimiento.
(Meyer., 2006)
Cuantitativo.- Utiliza técnicas basadas en la estadística con el fin
de descubrir características particulares pertenecientes a la población en
Metodología 45
la cual se realiza la investigación. Se basa en el principio de que las
partes representan al todo; es decir que por medio del estudio de un
número específico de sujetos pertenecientes a la población, es posible
formular una idea de cómo es esta en general. De manera concreta, el fin
de esta técnica es conocer la distribución de ciertas variables presentes
en una población. Con el fin de observar dichas variables y recoger la
información se suele usar varias técnicas entre las que se puede
mencionar a las encuestas o a la medición. No es necesaria la
observación total de todos los sujetos de la población, con una simple
muestra de esta, es suficiente para establecer una métrica eficaz que
sustente una investigación fiel. Cuando la muestra sea escogida de
manera aleatoria, será factible definir hasta que instancia los resultados
conseguidos para la muestra son valederos para toda la población.
Aplicamos este método de investigación porque nos permite
cuantificar el cumplimiento de la seguridad informática conforme a los
debe de la norma 27001:2005. (Cascant, 2014)
2.7. Fuentes y técnicas de investigación
2.7.1. Fuentes
Manual del Sistema de gestión Integrado del Grupo Agripac S.A.
Procedimientos del Departamento de Asuntos regulatorios
Reglamento interno de seguridad de salud en el trabajo de Agripac
SA.
Norma 27001:2005
1.
2.
2.1.
Metodología 46
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.7.1.
2.7.2. Técnicas
Durante el periodo de investigación, se realizaron las actividades
de levantamiento y análisis de información. Para efecto de dichas
actividades, se utilizaron las siguientes técnicas de recopilación de
información: la entrevista y observación.
La entrevista es una técnica que permite al investigador adquirir
datos de forma oral y de manera personificada. La información
responderá a aspectos generales de los sujetos, como lo son
experiencias personales y características subjetivas de estos, como
opiniones, idiosincrasia y valores relacionados a la situación a la que
corresponde la investigación. (Torrecilla, 2009)
La observación es el método por el cual se establece una relación
concreta e intensiva entre el investigador y el hecho social o los actores
sociales, de los que se obtienen datos que luego se sintetizan para
desarrollar la investigación. (Fabbri, 2013)
Se realizó una entrevista a la Jefe del Dpto. de Asuntos
Regulatorios (Anexo 1) con la finalidad de conocer de manera general el
nivel de seguridad del departamento, evaluar las políticas de Seguridad
Metodología 47
Informática y conocer la percepción de la persona entrevistada y sus
opiniones evaluativas de esta actividad.
Para el levantamiento de información, se llevó a cabo una auditoría
de diagnóstico, detallada en el Plan de Auditoría (Anexo 2) que fue
presentado a la jefe del área con la previa autorización del representante
legal del Grupo Agripac S.A., además se diseñó un formato con los
requisitos normativos (Anexo 3) y controles (Anexo 4) de la norma ISO
27001:2005 en el Departamento de Asuntos regulatorios.
Se realizó un análisis cuantitativo de los resultados para determinar
el estado de seguridad de la información vigente que tiene el
departamento de Asuntos regulatorios de Agripac S.A.
1.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.2.8. Procedimiento
2.8.1. Preparación de la auditoría.
Podemos considerar la fase de preparación como la más crítica del
proceso de auditoría. Todo proceso de preparación eficaz, incluye los
siguientes pasos:
Metodología 48
Definir y comprender el alcance de la auditoría
Revisar las normas aplicables
Preparar un modelo de proceso
Revisar la documentación aplicable
Revisar los resultados de las auditorías anteriores
Realizar una reunión previa a la auditoría
Recopilar y verificar información.
Conclusiones de auditoría.
Reunión de cierre.
Se prepararon como documentos de trabajo:
Listas de verificación.
Formulario para registrar información
Checklist
Cuestionario para entrevista
1.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.8.1.
2.8.2. Gestión de Recursos
Metodología 49
2.8.2.1. Actividades:
Elaborar controles y requisitos para la auditoria de diagnóstico.
Realizar auditoría de diagnóstico de la situación actual de la
seguridad de información del Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Analizar los resultados obtenidos en la auditoria.
Exponer las vulnerabilidades y los riesgos encontrados.
Proponer un Sistema de Gestión de Seguridad que disminuya o
erradique los riesgos y vulnerabilidades encontrados.
1.2.
2.1.2.2.2.3.2.4.2.5.2.6.2.7.2.8.
2.8.1.2.8.2.
2.8.2.1.2.8.2.2. Recursos:
Humano: Estudiante, tutor, personal del departamento.
Materiales: impresiones, actas, permisos, textos y material de
consulta, la norma ISO 27001 y la norma ISO 17799, los papeles
de trabajo son todos aquellos apuntes, datos, e información
recopilada con relación a una auditoría y que conforman una
documentación y evidencia del trabajo realizado por el auditor.
Técnicos: Dispositivos de almacenamiento, internet, Pc.
Financieros: Capital para insumos y transporte.
2.9. Presentación y análisis de los resultados
Metodología 50
2.9.1. Resultados
A continuación se mostrarán los resultados de la investigación:
De la entrevista realizada sobre los niveles de seguridad de
información se obtuvieron los siguientes resultados:
TABLA N° 3
RESULTADO DE LA ENTREVISTA DE NIVEL DE SEGURIDAD
N° de Preguntas Respuestas Afirmativas
Respuestas Negativas
N/A
10 7 3 0
Fuente: Entrevista de nivel de SeguridadElaborado por: Chérrez Salazar Rosana María
FIGURA N° 5
RESULTADO DE LA ENTREVISTA DE NIVEL DE SEGURIDAD
70%
30%
Resultados de Entrevista
Respuestas AfirmativasRespuestas NegativasN/A
Metodología 51
Fuente: Entrevista de nivel de Seguridad Elaborado por: Chérrez Salazar Rosana María
Se auditó bajo la norma ISO 27001:2005, verificando el
cumplimiento de los requisitos normativos y los controles del Anexo A de
la norma mencionada. Agripac S.A. cuenta con un Sistema De Gestión
Integral, cuya última revisión se encuentra vigente desde el 2 de abril del
2013.
El sistema de gestión implementado está basado en los requisitos
de las Normas ISO definidos en:
ISO 9001:2008 "Sistemas de gestión de calidad. Requisitos"
ISO 14001:2004 "Sistemas de Gestión Ambiental. Requisitos"
OHSAS 18001:2007 "Sistema de Gestión de Seguridad y Salud
Ocupacional"
El SGI del Grupo AGRIPAC S.A. cubre los procesos que se llevan
a cabo en las Unidades Productivas del Grupo Agripac S.A. en las que se
encuentra incluido el Dpto. de Asuntos Regulatorios.
Teniendo presente la compatibilidad que el Estándar Internacional
ISO 27001 tiene con el ISO 9001 y el ISO 14001 (Anexo 5), y existiendo
la posibilidad de que se alinee o integre con los sistemas de gestión con
los que se relaciona, se tomó en cuenta los requerimientos satisfechos en
el SGI existente en la empresa al momento de realizar la auditoría.
A continuación se presentan los resultados de la auditoría basados
en nivel de cumplimiento de los requisitos normativos y los controles del
Estándar ISO 27001:2005.
TABLA N° 4
RESULTADO DE AUDITORIA - REQUISITOS NORMATIVOS
Requisito Normativo Cumpl No Parcia Total
Metodología 52
e cumple l4. Sistema de Gestión de Seguridad de Información
4 7 6 17
5. Responsabilidad de la Dirección 2 0 1 36. Auditorías Internas del SGSI 1 0 0 17. Revisión por la dirección del SGSI 1 0 1 28. Mejora del SGSI 3 0 0 3
TOTAL 11 7 8 26Fuente: Resultado de Auditoría-Requisitos normativosElaborado por: Chérrez Salazar Rosana María
FIGURA N° 6
RESULTADO DE AUDITORIA - REQUISITOS NORMATIVOS
Fuente: Resultado de Auditoría-Requisitos Normativos Elaborado por: Chérrez Salazar Rosana María
TABLA N° 5
RESULTADO DE AUDITORÍA - CONTROLES
CONTROLES ANEXO A NORMA ISO 27001:2005
Cumple No cumple
Parcial
Total
A5. Política de seguridad 0 2 0 2A6. Organización de la seguridad de la información
5 0 6 11
A7. Gestión de activos 5 0 0 5A8.Seguridad de recursos humanos 6 1 2 9A9. Seguridad física y ambiental 8 2 3 13A10. Gestión de comunicaciones y operaciones
9 6 14 29
A11. Control de accesos 12 7 6 25A12. Adquisición, desarrollo y mantenimiento de sistemas de información
8 3 4 15
A13. Gestión de incidente de seguridad de información
2 1 2 5
A14. Gestión de continuidad del negocio
0 0 1 1
A15. Cumplimiento 2 0 1 3TOTAL 57 22 39 118
42%
27%
31%
Diagnóstico basado en Requisito Normativo ISO 27001:2005
CumpleNo cumpleParcial
Metodología 53
Fuente: Resultado de Auditoría-ControlesElaborado por: Chérrez Salazar Rosana María
FIGURA N° 7
RESULTADO DE AUDITORÍA - CONTROLES
Fuente: Resultado de Auditoría-Controles Elaborado por: Chérrez Salazar Rosana María1.2.
2.1.2.2.2.3.2.4.2.5.2.6.2.7.2.8.2.9.
2.9.1.2.9.2. Análisis de los resultados
48%
19%
33%
Diagnóstico basado en Controles Anexo A Norma ISO 27001:2005
CumpleNo cumpleParcial
Metodología 54
Como se observa en la gráfica de resultados de la entrevista, con
un 70% de respuestas afirmativas sobre un 30% de respuestas negativas,
se puede determinar que existe un nivel de seguridad de información
considerable en el Dpto. de Asuntos Regulatorios.
A través de los resultados de la auditoría de diagnóstico que se
presentan en las gráficas de nivel de cumplimiento de los requisitos
normativos y de los controles, se pudo determinar el nivel de efectividad
de la seguridad de información existente.
De acuerdo con los resultados obtenidos en la auditoría de
diagnóstico podemos evidenciar que en los requisitos normativos el nivel
de cumplimiento es de un 42%, lo que demuestra que, a pesar de no
tener establecido un SGSI, hay seguridad de información, y existe el
interés por parte del departamento en mejorarla.
En la misma gráfica evidenciamos también un cumplimiento parcial
de los requisitos normativos en un 33% que recaen con mayor fuerza en
los puntos 4, 5 y 7 de la norma, convirtiéndose estos en los principales
puntos de acción a aplicar mejoramiento para aumentar el nivel de
cumplimiento.
Finalmente se muestra un 27% de no cumplimiento, que recae
sobre algunos aspectos del punto 4 de la norma, los cuales se convierten
en los puntos críticos sobre los que se debe trabajar un plan de acción
que devuelva al departamento los niveles de seguridad que requiere. La
gráfica del diagnóstico basado en los controles del Anexo A de la norma
demuestra que existe un nivel de cumplimiento del 48% en los controles
utilizados por el departamento para mantener la seguridad de su
información, frente a un 33% de cumplimiento parcial y un 19% de no
cumplimiento.
Metodología 55
Con estos valores, se justifica que no solo existe un nivel de
seguridad considerable, sino también el interés de los miembros del
departamento por mantener ese nivel y mejorarlo; y al mantener altos los
valores de conformidad con la norma ISO 27001, hacen que sea factible
emplear una propuesta de mejora que permita trabajar en el mejoramiento
de las falencias encontradas, aumentar el nivel de cumplimiento y poder
implementar a futuro un Sistema de Gestión de Seguridad de Información,
que cumpla con los requisitos que provee la norma ISO 27001 para
gestionar de forma efectiva la seguridad de información.
Es necesario también mencionar que el nivel de cumplimiento que
tiene el Departamento de Asuntos Regulatorios corresponde también al
cumplimiento posee con el SGI ya implementado, lo que nos conlleva a
proponer alinear la el SGSI de la norma ISO 27001 con el SGI de las
normas ISO 9001, 14001 y 180.
CAPÍTULO III
CONCLUSIONES Y RECOMENDACIONES
3.
3.1. Título
Propuesta de mejoramiento para el Sistema de Gestión de
Seguridad vigente en el Departamento de Asuntos Regulatorios de la
empresa Agripac S.A.
3.2. Objetivos
Objetivo General.
Mejorar el Sistema de Gestión de Seguridad vigente, de tal forma
que pueda alinearse al SGI ya implementado en el Departamento de
Asuntos Regulatorios.
Objetivos específicos.
Detallar el plan de trabajo para alinear el Sistema de Gestión de
Seguridad de Información al Sistema de Gestión Integral vigente en
el departamento de asuntos regulatorios.
Identificar los puntos de acción a fortalecer del SGSI.
Describir la propuesta de implementación
3.3. Desarrollo de la Propuesta
Conclusiones y Recomendaciones 57
Se debe elaborar un plan de trabajo en el cual consten las
actividades a realizar para el proceso de mejora del Sistema de Gestión
de seguridad actual.
Conclusiones y Recomendaciones 58
3.4. Planeación
a) Formar grupos de Trabajo: Debe estar conformado por un grupo de
empleados que conozcan las actividades y procesos del
Departamento. Deben ser personas responsables, proactivas, con
capacidad de liderazgo para fomentar en los demás el logro de los
objetivos y metas a proponerse. Dicho personal debe capacitarse
en todos los temas en los que van a trabajar. El grupo de trabajo
debe tener claro sus propósitos de trabajo, tener la capacidad de
solucionar problemas y tomar decisiones para que las metas y
objetivos puedan ser cumplidos dentro del periodo de tiempo
establecido en la planificación.
b) Elaborar un plan de trabajo: Se recomienda identificar todas las
tareas a realizarse, el tiempo en que deben realizarse, y los
responsables de llevarla a cabo.
c) Asignar responsabilidades: Se deben asignar responsabilidades a
las personas o grupos, de manera que puedan monitorearse las
tareas que se efectúan y el nivel de cumplimiento de las mismas,
además los responsables de realizar dichas tareas deben tener
conocimiento pleno de las mismas y su relación con tareas afines.
d) Elaborar un cronograma de actividades: Cuando se hayan
establecido todas las actividades a realizarse y los responsables de
las mismas, el grupo de trabajo debe elaborar un cronograma que
contenga las tareas en su respectivo orden de ejecución, con las
fechas de inicio y finalización y el encargado de cada tarea.
e) Definir los recursos: establecer cuáles serán los recursos humanos,
en este caso, los grupos de trabajo, también los recursos físicos y
técnicos como la infraestructura, equipos, documentos, y
Conclusiones y Recomendaciones 59
finalmente los financieros que hacen referencia al presupuesto
designado para llevar a cabo las actividades planificadas.
f) Capacitar: cuando ya se conozcan las actividades responsables,
cronogramas y recursos asignados, el personal que conforma los
grupos de trabajo debe ser debidamente capacitado de tal forma
que a través de la implementación de sus conocimientos puedan
alcanzarse los objetivos planteados. Además dicha capacitación
debe ser extendida a todos los miembros del Departamento, para
que, al conocer el proyecto puedan ponerlo en marcha acorde a los
requisitos de la norma a implementarse y la importancia y los
beneficios que aporta.
3.5. Desarrollo
En esta etapa se realiza el desarrollo de la situación actual del
Departamento, actividad que ya ha sido realizada y de la cual ya se tienen
resultados que ya han sido analizados.
Es importante que el soporte documental del Sistema de Gestión
este acorde a los requisitos que la norma requiera. De acuerdo al análisis
de la situación actual, los puntos de acción a trabajar son los de la
cláusula 4 de la norma ISO 27001, en los que se evidenciaron mayores
no cumplimientos o cumplimientos parciales, los cuales se detallan a
continuación:
Establecimiento y gestión del SGSI: Establecer alcances y limites
del SGSI según las características del negocio, la organización, su
ubicación, activos y tecnología.
Política del SGSI: Definir una política que incluya un marco para
establecer objetivos y fijar un sentido global de la dirección y los
principios para la acción con respecto a la seguridad de la
información.
Conclusiones y Recomendaciones 60
Implementación y operación del SGSI: Se debe formular un plan un
plan de tratamiento de riesgo, implementar el plan de tratamiento
de riesgo, implementar los controles que se seleccionen y definir
cómo se medirá la eficacia de los mismos, y gestionar la operación
y los recursos del SGSI.
Mantenimiento y mejora del SGSI: Implementar mejoras en el
SGSI, tomar acciones correctivas y preventivas apropiadas y
comunicarlas a las partes interesadas y asegurar que las mejoras
alcancen los objetivos propuestos.
Requisitos de la documentación: La documentación debe contener
registros de las decisiones de la dirección, asegurar que las
acciones son trazables a las decisiones y las políticas establecidas
y asegurar que los resultados registrados son reproducibles. Debe
mostrarse la relación entre los controles seleccionados los
resultados de la evaluación de riesgo y el proceso de mejoramiento
del riesgo, la política del SGSI y los objetivos.
Como existe ya un SGI implementado, deben enlistarse los
documentos, hacer una comparación de acuerdo a la correspondencia
con la norma ISO 27001, y adecuarla a los requisitos de esta norma,
teniendo el debido cuidado en que no se generen documentos duplicados,
de que no se omita información pertinente y de descartar la información
obsoleta. También se debe realizar una adecuada selección de los
controles que van a medir la efectividad del Sistema de Gestión, de
acuerdo con las actividades del departamento.
Se debe definir también qué documentación es útil para el proceso
de certificación, y mantener siempre informados a los miembros del
departamento y a la alta gerencia de todos los avances, cambios y
resultados que se van presentando a lo largo del proceso para que se
vayan involucrando con el proyecto y puedan revisarlo, hacer
correcciones de ser necesario y aprobarlo para dar paso a la
implementación.
Conclusiones y Recomendaciones 61
3.6. Implantación del proyecto
En esta etapa se recomienda hacer una adecuación del sistema
propuesto, contando con el visto bueno de la alta gerencia, teniendo en
cuenta las observaciones que se hayan realizado.
Cuando se hayan implantado los procesos que la norma requiere,
es recomendable hacer una nueva auditoría con base a los requisitos de
las normas implementadas. Previamente se debe haber capacitado con la
nueva norma a los auditores internos de la organización, para que puedan
detectar cualquier incumplimiento que se presente.
Con base en los resultados de la nueva auditoría, se deben iniciar
los programas de mejora continua, hasta alcanzar los niveles adecuados
e identificar donde se pueden establecer ciclos de mejora continua PHVA
que devuelvan resultados positivos.
Es de suma importancia que todo el personal del departamento de
asuntos regulatorios comprenda que es un proceso de cambios, que
habran ciclos de mejoras, y que no va a culminar rápidamente, además
deben comprometerse y trabajar con ahínco para lograr resultados
satisfactorios y lograr, de existir, el propósito de la certificación.
3.7. Conclusiones
Al finalizar el presente trabajo conforme a los objetivos establecidos
y desarrollar una propuesta de mejora que permita implementar un SGSI
en el Departamento de Asuntos Regulatorios se concluye lo siguiente:
La organización Agripac S.A., solicita un diagnóstico de nivel de
implementación de la norma de Seguridad de la Información ISO
27001:2005 para el área de Asuntos Regulatorios que incluye los
procesos:
Conclusiones y Recomendaciones 62
Procedimiento para Obtener Certificado de Registro de un
Producto en Ecuador.
Procedimiento para Elaborar Artes de Etiquetas de Productos
Registrados.
La auditoría se desarrolló los días 24 y 25 de febrero en las
instalaciones de la organización con la guía de la Jefe del Dpto. de
Asuntos Regulatorios y la Coordinadora del Dpto.
Es necesario enfatizar que realizar un diagnóstico implica
determinar el nivel de cumplimiento de la norma ISO 27001:2005, en este
caso puede resultar incoherente indicar que”no se evidencia
implementación” cuando la empresa siente que si tienen algo realizado
pero cara al requisito de la norma no cumple.
También es necesario mencionar que la empresa ya cuenta con un
Sistema de Gestión Integral SGI, y que se tomó en cuenta dicho sistema
para la auditoría.
El Departamento de Asuntos Regulatorios tiene controles de la
información a control de accesos de usuarios, administración de activos y
en los accesos a las oficinas, sin embargo es necesario fortalecer la
aplicación de los controles haciendo énfasis en que la seguridad de la
información debe ser una política aplicada en todos los niveles y que
todos deben de estar conscientes de la importancia de cumplir con las
políticas establecidas.
3.8 Recomendaciones
Importante fortalecer:
Determinar el alcance del sistema de gestión de seguridad de la
información.
Conclusiones y Recomendaciones 63
Establecimiento de política de seguridad de la información.
Suscribir convenios de confidencialidad de la información con el
personal interno y externo.
Revisar contratos con el personal con cláusulas de seguridad de la
información y propiedad intelectual.
Efectuar auditorias de cumplimiento de seguridad de la información
de manera sistemática.
Establecer una metodología de identificar de riesgos de objetivos
de control solo los riesgos identificados.
Establecer campañas de concientización a todo el personal de la
importancia de cumplir con las políticas de seguridad de la
información, y la determinación de procesos disciplinarios formales
cuando se incurre en casos de incumplimiento de las reglas de
seguridad de la información.
Determinar políticas de traslado de equipos.
Determinar políticas de uso de equipos portátiles fuera de las
instalaciones.
Establecer políticas para uso de escritorios y la información que se
deja en las oficinas.
Se debe trabajar en la definición del plan de continuidad del
negocio y con ello la consideración de la seguridad de la
información.
GLOSARIO DE TÉRMINOS
Confidencialidad: la propiedad que esa información está
disponible y no está divulgada a personas, entidades o procesos no
autorizados. (ISO/IEC, ISO 27001:2005, 2005)
Disponibilidad: la propiedad de estar disponible y utilizable
cuando lo requiera una entidad autorizada. (ISO/IEC, ISO 27001:2005,
2005)
IEC: International Electrotechnical Commission (Comisión
Electrotécnica Internacional).
Integridad: propiedad de salvaguardar la exactitud e integridad de
los activos. (ISO/IEC, ISO 27001:2005, 2005)
ISO: International Organization for Standardization (Organización
Internacional de Normalización).
PDCA: Siglas en inglés : Plan (planificar), Do (hacer), Check
(verificar), Act (actuar).
PHVA: Planificar, Hacer, Verificar, Actuar
SGSI: Sistema de Gestión de la Seguridad de la Información.
Sistema de gestión de seguridad de información SGSI: Parte
del sistema gerencial general, basada en un enfoque de riesgo comercial,
para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la información. (ISO/IEC, ISO 27001:2005, 2005)
Glosario de Términos 65
Seguridad de Información: Preservación de la confidencialidad,
integridad y disponibilidad de la información; además también pueden
estar involucradas otras propiedades como autenticidad, responsabilidad,
no-repudio y confiabilidad. (ISO/IEC, ISO 27001:2005, 2005)
ANEXOS
Anexos 67
ANEXO 1ENTREVISTA
Anexos 68
ANEXO 2
PLAN DE AUTORIA
Audit PlanPlan de Auditoría
Organization/ Organización::
Agripac S.A.
Address/ Dirección:
General Córdova 623 y Padre Solano
Visit Number/Numero de Visita:
1 Actual Visit Date/ Fecha Actual:
24 y 25 / Febrero /2015
Visit Due by Date/Fecha de Visita Planeada:
24/Febrero/2015 For auditor information only/ Solo Información para el Auditor
Lead Auditor/ Auditor Lider:
ROSANA CHERREZ SALAZAR (RCH)
Team Member(s)/ Miembros del Equipo Auditor:
-
Standard(s)/ Estándar:
ISO 27001:2005
Audit Language/Lenguaje de la Auditoria:
ESPAÑOL
Audit Scope/ Alcance de auditoría:
Asuntos Regulatorios
Objetivo de Auditoria: Obtener un diagnóstico de la situación actual de la gestión de seguridad de información de acuerdo con los requisitos de la normativa auditada.
Anexos 69
Date/ Fecha
Time/
Hora
Auditor/ Auditor
Area / Department / Process / Function
Área/ Departamento/ Proceso / Función
24 Febrero
9:00 RCH REUNIÓN INICIAL
9:15 RCH ORGANIZACIÓN DE SEGURIDAD DE INFORMACION
09:30 RCH GESTIÓN DE ACTIVOS
09:50 RCH SEGURIDAD DEL PERSONAL
10:10 RCH SEGURIDAD FÍSICA Y DEL ENTORNO
10:30 RCH GESTION DE COMUNICACIONES Y OPERACIONES
PROCEDIMIENTOS OPERACIONALES Y REPONSABILIDADES
11:00 RCH GESTION DE SERVICIOS ENTREGADOS POR TERCERAS PARTES
11:30 RCH PLANEACION Y ACEPTACION DEL SISTEMA
12:00 RCH CONTROLES CONTRA SOFTWARE MALICIOSO
12:30 RCH BACKUP-UP
14:00 RCH GESTION DE LOS MEDIOS
14:30 RCH INTERCAMBIO DE INFORMACION
15:00 RCH MONITOREO
15:30 RCH CONTROL DE ACCESO
REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESO
16:00 RCH ADMINISTRACION DE ACCESO DE USUARIOS
Anexos 70
Date/ Fecha
Time/
Hora
Auditor/ Auditor
Area / Department / Process / Function
Área/ Departamento/ Proceso / Función
16:30 RCH RESPONSABILIDADES DE LOS USUARIOS
17:00 RCH SALIDA PRIMER DÍA
25 Febrero
9:00 RCH CONTROL DE ACCESO A REDES
09:30 RCH CONTROL DE ACCESO AL SISTEMA OPERATIVO
10:00 RCH CONTROL DE ACCESO EN LA INFORMACION Y A LAS APLICACIONES
11:00 RCH ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
12:00 RCH SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA
13:00 RCH GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE INFORMACIÓN
14:30 RCH REPORTE DE INCIDENTES Y ANOMALIAS DE SEGURIDAD DE
INFORMACIÓN.15:00 RCH GESTION DE CONTINUIDAD DEL
NEGOCIO
ASPECTOS DE SEGURIDAD DE INFORMACION EN GESTION DE
CONTINUIDAD DEL NEGOCIO15:30 RCH CONFORMIDAD
CONFORMIDAD CON LOS REQUISITOS LEGALES
16:00 RCH CONFORMIDAD DE POLÍTICA DE SEGURIDAD, NORMAS Y EL
Anexos 71
CUMPLIMIENTO TÉCNICO16:30 RCH CONSIDERACIONES DE AUDITORIA
DE SISTEMAS DE INFORMACIÓN17:00 RCH REUNIÓN DE CIERRE
17:30 Fin de auditoria
Notes to Client/ Notas para el Cliente:
Times are approximate and will be confirmed at the opening meeting prior to commencement of the audit./ Los tiempos son aproximados y se confirmarán en la reunión de apertura antes de iniciar la auditoria .
Auditors reserve the right to change or add to the elements listed before or during the audit depending on the results of on-site investigation. / Los auditores se reservan el derecho de cambiar o adicionar los elementos indicados antes o durante la auditoria, dependiendo de los resultados de la investigación en sitio .
A private place for preparation, review and conferencing is requested for the auditor’s use. / Se requerirá un lugar privado para la preparación, revisión y comentarios entre el equipo auditor.
Please provide a light working lunch on-site each audit day. / Le agradeceremos proveer los alimentos necesarios para cada día de auditoria.
Job / Cert. n°:
EC/GYE Visit Type/ Tipo
de Visita:DIAGNOSTICO ISO 27001:2005
Visit n°/ Visita No.: 1
Document:
document.docxAgripac
Issue n°/ Revisión
No.:1 Page n°/ Página
No.: 71 of 158
Anexos 72
ANEXO 3
LISTA DE DISTRIBUCIÓN PARA EL DIAGNÓSTICO BASADO EN REQUISITOS NORMATIVOS ISO 27001:2005
DIAGNÓSTICO BASADO EN: ISO 27001:2005EMPRESA: Agripac S.A. , Dpto de Asuntos RegulatoriosFECHA:
REQUISITO NORMATIVO
CUMPLE
NO
CUMPLE
PARCIAL OBSERVACIÓN
4. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
4.1 Requisitos generales
La organización debe establecer, implementar, operar, realizar, seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de las actividades del negocio global de la organización y los riesgos que enfrenta.
4.2 Establecimiento y gestión del SGSI
4.2.1 Establecimiento de SGSI
a) Definir el alcance y los límites del SGSI en términos de las
Anexos 73
características del negocio, la organización, su ubicación activos y tecnología, e incluyendo los detalles y justificación por cualquier exclusión del alcance.
Política de SGSI
b) Definir una política de SGSI en términos de la características del negocio, la organización, su ubicación activos y tecnología, que:
1) Incluya un marco para fijar objetivos y establecer un sentido global de la dirección y los principios para la acción con respecto a la seguridad de la información;
2) Tome en cuenta los requisitos del negocio y los legales o reglamentarios, y las obligaciones de seguridad contractuales;
3) Se alineen en el contexto de la gestión estratégica del riesgo de la organización en el cual tendrá lugar el establecimiento y el mantenimiento del SGSI;
4) Establezca criterios contra el riesgo a ser evaluado (véase 4.2.1c); y
5) Haya sido aprobada
Anexos 74
por la dirección
c) Definir el enfoque de evaluación del riesgo de la organización.
1) Identificar la metodología de evaluación del riesgo que sea adecuada al SGSI, a la seguridad de la información del negocio identificada y a los requisitos legales y reglamentarios.
2) Desarrollar criterios para la aceptació de los riesgos e identificar los niveles aceptables de riesgo (véase 5.11).
La metodología de evaluación del riesgo seleccionada debe asegurar que las evaluaciones del riesgo producen resultados comparables y reproducibles.
d) identificar los riesgos
1) Identificar los activos dentro del alcance del SGSI y los dueños de esos activos.
2) Identificar las amenazas de esos activos.
3) Identificar las vulnerabilidades que podrían ser aprovechadas por las
Anexos 75
amenazas.
4) Identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad pueden tener sobre estos activos.
e) Analizar y evaluar los riesgos.
1) Evaluar los impactos del negocio sobre la organización que pueden resultar en fallas de seguridad, tomando en cuenta las consecuencias de una pérdida de la confidencialidad, integridad y disponibilidad de los activos.
2) Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo en cuenta las amenazas predominantes y vulnerabilidades e impactos asociados con estos activos y los controles implementados actualmente.
3) Estimar los niveles del negocio.
4) Determinar si los riesgos son aceptables y si requieren tratamiento utilizando los criterios para la aceptación de los riesgos establecidos en
Anexos 76
4,2,1c
f) Identificar y evaluar las opciones para el tratamiento de los riesgos.
Las posibles acciones incluyen:
1) Aplicar los controles apropiados.
2) Aceptar los riesgos consciente y objetivamente, siempre que satisfagan las políticas y criterios de la organización para la aceptación de los riesgos (véase 4.2.1c)2);
3) Evitar los riesgos, y
4)Transferir los riesgos asociados del negocio a otras partes por ejemplo aseguradores, proveedores.
g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos.
1) Los objetivos de control y controles deben seleccionarse e implementarse para cumplir con los requisitos identificados por la evaluación del riesgo y el proceso de tratamiento del riesgo. Esta selección debe tomar en cuenta los criterios para la aceptación de los
Anexos 77
riesgos (véase 4.2.1c)2), además de los requisitos legales, reglamentarios y contractuales.
2) Los objetivos de control y los controles del Anexo A deben seleccionare como parte de este proceso como adecuados para cubrir los requisitos identificados.
Los objetivos de control y los controles listados en el Anexo A no son exhaustivos y pueden también seleccionarse objetivos de control y controles adicionales.
h)Obtener la aprobación de los riesgos residuales propuesto por la dirección.
i)Obtener la autorización de la dirección para implementar y operar el SGSI.
j) Preparar una declaración de la aplicabilidad.
1) Debe presentarse una Declaración de la Aplicabilidad que incluya lo siguiente:
2) Los objetivos de control y los controles seleccionados en 4.2.1g) y las razones para su selección.
3) Los objetivos de
Anexos 78
control y los controles implementados actualmente (véase 4.2.1e)2);
4) La exclusión de cualesquiera de los objetivos de control y controles en el Anexo A y la justificación para su exclusión.
4.2.2 Implementación y operación el SGSI
La organización debe hacer lo siguiente:
a)Formular un plan de tratamiento del riesgo que identifique la acción de gestión, recursos, responsabilidades y prioridades aprobadas para dirigir los riesgos de seguridad de la información (véase capítulo 5).
b)Implementar el plan del tratamiento de riesgo a fin de alcanzar los objetivos de control identificados, que incluye la consideración del financiamiento y la asignación de los roles y las responsabilidades.
c)Implementar los controles seleccionados en 4.2.1g) para cumplir los objetivos de control.
d)Definir cómo medir la eficacia de los controles o grupos de controles seleccionados y
Anexos 79
especificar cómo serán utilizadas estas mediciones para evaluar la eficacia de control para producir los resultados comparables y reproducibles (véase 4.2.3c)).
e)Implementar los programas de formación y de toma de consciencia (véase 5.2.2).
f) Gestionar la operación del SGSI.
g) Gestionar los recursos para el SGSI (véase aparado 5.2)
h) Implementar los procedimientos y otros controles capaces de permitir la pronta dirección de los eventos de seguridad y la respuesta y los incidentes de seguridad (véase 4.2.3a)).
4.2.3 Realizar seguimiento y revisar el SGSI
La organización debe hacer lo siguiente:
a)Realizar el seguimiento y revisar los procedimientos y otros controles para:
1)Detectar inmediatamente los errores en los resultados del procesamiento.
2)Identificar prontamente
Anexos 80
los incidentes y violaciones a la seguridad.
3)Permitir la gestión para determinar si las actividades de seguridad delegadas a las personas o implementadas por tecnología de la información están desempeñándose como se esperaba;
4)Ayudar a detectar los eventos de seguridad y así prevenir los incidentes de seguridad mediante la utilización de indicadores;
5)Determinar si fueron eficaces las acciones tomadas para resolver una brecha de seguridad.
b)Llevar a cabo evaluaciones regulares de la eficacia del SGSI (incluyendo el cumplimiento de la política y objetivos del SGSI y la revisión de los controles de seguridad) tomando en cuenta los resultados de las auditorías de seguridad, los incidentes, los resultados de las mediciones de la eficacia, sugerencias y realimentación de todas las partes interesadas.
Anexos 81
c)Medir la eficacia de los controles para verificar que los requisitos de seguridad de los controles hayan sido cumplidos.
d)Revisar las evaluaciones del riesgo a intervalos planificados y revisar los riesgos residuales y los niveles de riesgos aceptables identificados, tomando en cuenta los cambios de:
1)la organización
2)la tecnología.
3)los objetivos y los procesos del negocio.
4)las amenazas identificadas.
5)la eficacia de los controles implementados, y
6)los eventos externos, tales como los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social.
e) Conducir las
Anexos 82
auditorías internas del SGSI a intervalos planificados.
f)Llevar a cabo una revisión por la dirección del SGSI sobre una base regular para asegurar que el alcance permanente adecuado y se identifican las mejoras en el proceso de SGSI (véase 7.1).
g)Actualizar los planes de seguridad tomando en cuenta los hallazgos del seguimiento y revisión de las actividades.
h)Registrar las acciones y los eventos que podrían tener un impacto sobre la eficacia o el desempeño del SGSI.
4.2.4 Mantenimiento y mejora del SGSI
a)La organización debe regularmente hacer lo siguiente:
b)Implementar las mejoras identificadas en el SGSI.
c)Tomar las acciones correctivas y preventivas apropiadas de acuerdo con 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la misma
Anexos 83
organización.
d)Comunicar las acciones y las mejoras a todas las partes interesadas con un nivel de detalle apropiado a las circunstancias y, cuando sea pertinente, acordar sobre cómo proceder.
e)Asegurar que las mejoras alcanzan sus objetivos propuestos.
4.3 Requisitos de la documentación
4.3.1 Generalidades
La documentación debe incluir los registros de las decisiones de la dirección, asegurar que las acciones son trazables a las decisiones de la dirección y a las políticas, y asegurar que son reproducibles los resultados registrados.
Es importante ser capaz de demostrar la relación entre los controles seleccionados, los resultados de la evaluación de riesgo y el proceso del tratamiento del riesgo y posteriormente la política de SGSI y los objetivos.
La documentación de SGSI debe incluir:
a)Declaraciones
Anexos 84
documentadas de la política de SGSI (véase apartado 4.2.1b)) y los objetivos;
b)El alcance del SGSI (véase apartado 4.2.1a));
c)Los procedimientos y controles que apoyan el SGSI;
d)Una descripción de la metodología de evaluación del riesgo (véase apartado 4.2.1c));
e)El informe de evaluación del riesgo
f) el plan de tratamiento del riesgo (véase apartado 4.2.2b));
g)Los procedimientos documentados necesitamos por la organización para asegurar la planificación, operación y control eficaces de sus procesos de seguridad de la información y describir cómo medir la eficacia de los controles (véase apartado 4.2.3c));
h)Los registros requeridos por esta Norma (véase apartado 4.3.3); e
i)La declaración de Aplicabilidad.
4.3.2 Control de documentos
Los documentos
Anexos 85
requeridos por el SGSI deben protegerse y controlarse. Debe establecerse un procedimiento documentado que defina las acciones de gestión necesarias para:
a)Aprobar los documentos en cuanto a su adecuación antes de su emisión;
b)Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente;
c)Asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos;
d)Asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los puntos de uso;
e)Asegurarse de que los documentos permanecen legibles y fácilmente identificables;
f)Asegurarse de que los documentos estén disponibles para quienes lo necesiten, y sean transferidos, almacenados y finalmente dispuestos de acuerdo con los procedimientos aplicables a su
Anexos 86
clasificación;
g)Asegurarse de que identifican los documentos de origen externo;
h)Asegurarse de que es controlada la distribución de los documentos;
i)Prevenir el uso no intencionado de documentos obsoletos, y
j)Aplicarles una identificación adecuada en el caso de que se mantengan por cualquier propósito.
4.3.3 Control de los registros.
Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad de los requisitos, así como de la operación eficaz del SGSI. Ellos deben protegerse y controlarse. El SGSI debe tomar en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fácilmente identificables y recuperables. Debe documentarse e implementarse los controles necesarios para la identificación, el
Anexos 87
almacenamiento, la protección, la recuperación el tiempo de retención y la disposición de los registros.
Deben mantenerse los registros del desempeño de los procesos como se muestra en el apartado 4.2 y de todas las ocurrencias de los incidentes de seguridad significativos relacionados con el SGSI.
5. RESPONSABILIDAD DE LA DIRECCIÓN
5.1 Compromiso de la dirección
La dirección debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI:
a)Estableciendo una política de SGSI;
b)Asegurando que se establecen los objetivo y planes del SGSI;
c)Estableciendo los roles y las responsabilidades para la seguridad de la información;
d)comunicando a la organización la importancia de satisfacer
Anexos 88
los objetivos de seguridad de la información y ajustar a la política de la seguridad de la información, a sus responsabilidades de acuerdo a la ley y la necesidad para la mejora continua;
e)Proporcionando los recursos suficientes para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI (véase apartados 5.2.1);
f)Diciendo los criterios para la aceptación de los riesgos y los niveles de riesgos aceptables;
g)Asegurando que son conducidas las auditorias internas del SGSI (véase capitulo 6); y
h)Conduciendo las revisiones por la dirección del SGSI (véase capítulo 7)
5.2 Gestión de los recursos
5.2.1 Provisión de recursos
La organización debe determinar y proporcionar los recursos necesarios para:
a)Establecer, implementar, operar, realizar seguimiento,
Anexos 89
revisar, mantener y mejorar el SGSI;
b)Asegurarse de que los procedimientos de seguridad de la información apoyan los requisitos del negocio;
c)Identificar y dar tratamiento a los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales;
d)Mantener adecuadamente la seguridad a través de la aplicación correcta de todos los controles implementados.;
e)Levar a cabo las revisiones cuando sea necesario y relacionar apropiadamente frente a los resultados de esas revisiones; y
f)Cuando sea requerido, mejorar la eficacia del SGSI.
5.2.2 Formación, toma de conciencia y competencia
La organización debe asegurarse de que todo el personal que tiene asignada responsabilidades definidas en el SGSI son competentes para desempeñar las tareas requeridas par:
Anexos 90
a)Determinar las competencias necesarias del personal que realiza trabajos que afectan el SGSI;
b)Proporcionar formación o tomar otras acciones (por ej empleando personal competentes) para satisfacer dichas necesidades;
c)Evaluar la eficacia de las acciones tomadas; y
d)Mantener los registros de la educación, formación, habilidades, experiencias y calificaciones (véase apartado 4.3.3.
e)La organización también debe asegurase de que todo el personal relevante es consciente de la pertinencia e importancia de sus actividades de seguridad de la información y de cómo contribuyen al logro de los objetivos del SGSI.
6. AUDITORIAS INTERNAS DEL SGSI
La organización debe llevar a cabo a intervalos planificados auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI;
Anexos 91
a)Están conforme con los requisitos de ésta norma y con la legislación o reglamentación pertinente;
b)Están conformes con los requisitos de seguridad de la información identificados;
c)Son implementados y mantenidos eficazmente;
d)Se desempañan como se esperaba.
Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas.
Se debe definir los criterios de auditorías, el alcance de la misma, su frecuencia y metodología. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditorías. Los auditores no deben auditar su propio trabajo.
Deben definirse, en un procedimiento documentado, las responsabilidades y requisitos para la planificación y la
Anexos 92
realización de auditorías, para informar de los resultados y para mantener los registros (véase apartado 4.3.3).
La dirección responsable del área que esté siendo auditada debe asegurarse de que se toman acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir las verificaciones de las acciones tomadas y el informe de los resultados de la verificación (véase apartado 8.5.2).
7 REVISIÓN POR LA DIRECCIÓN DEL SGSI
7.1 Generalidades
La dirección debe a intervalos planificados al menos una vez al año, revisar el SGSI de la organización, para asegurarse de su conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información. Los
Anexos 93
resultados de las revisiones deben documentarse claramente y deben mantenerse los registros (véase apartado 4.3.3).
7.2 Elementos de entrada para la revisión
La información de entrada para una revisión por la dirección debe incluir:
a)Los resultados de auditorías del SGSI y las revisiones,
b)La retroalimentación de las partes interesadas.
c)Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI;
d)El estado de las acciones correctivas y preventivas.
e)Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previo;
f)Los resultados de las revisiones de eficacia;
g)Las acciones de seguimiento de revisiones por la dirección previas,
Anexos 94
h)Cualquier cambio que pueda afectar el SGSI, y
i)Recomendaciones para la mejora.
7.3 Resultados de la revisión
Los resultados de la revisión por la dirección deben incluir cualquiera de las decisiones y acciones relacionadas con lo siguiente:
a)Mejora de la eficacia del SGSI.
b)Actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
c)Modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
1)Los requisitos del negocio;
2)Los requisitos de seguridad,
3)Los procesos del negocio que afectan los requisitos del negocio existentes;
4)Los requisitos
Anexos 95
reglamentarios o legales;
5)Las obligaciones contractuales; y
6)Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
d)Las necesidades de recursos.
e)La mejora de cómo está siendo medida la eficacia de los controles.
8 MEJORA DEL SGSI
8.1 Mejora continua.
La organización debe mejorar la eficacia del SGSI mediante el uso de la política de seguridad de la información, los objetivos de seguridad de la información, los resultados de las auditorías, el análisis de los eventos seguidos, las acciones correctivas y preventivas y la revisión por la dirección (véase capítulo 7)
8.2 Acción correctiva
La organización debe tomar acciones para eliminar la causa de las no conformidades con los requisitos del SBSI para prevenir su recurrencia. El procedimiento adecuado para las acciones correctivas debe definir
Anexos 96
los requisitos para:
a)Identificar las no conformidades;
b)Determinar las causas de las no conformidades;
c)Evaluar la necesidad de acciones para asegurarse de que las no conformidades no vuelvan a ocurrir;
d)Determinar e implementar las acciones correctivas necesarias;
e)Registrar los resultados de las acciones tomadas (véase apartado 4.3.3); y
f)Revisar las acciones correctivas tomadas.
8.3 Acción preventiva.
La organización debe determinar acciones para eliminar las causas de las no conformidades potenciales con los requisitos del SGSI para prevenir su ocurrencia. Las acciones preventivas deben ser apropiadas a los impactos de los problemas potenciales. el procedimiento documentado para las acciones preventivas debe definir los requisitos para:
a)Identificar las no conformidades y sus causas;
Anexos 97
b)Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformidades;
c)Determinar e implementar las acciones preventivas necesarias;
d)Registrar los resultados de las acciones tomadas (véase apartado 4.3.3); y
e)Revisar las acciones preventivas tomadas.
La organización debe identificar el cambio en los riesgos e identificar los requisitos de acción preventiva enfocando la atención en los riesgos cambiados significativamente.
La prioridad de las acciones preventivas debe determinarse sobre la base de los resultados de la evaluación del riesgo.
ANEXO 4
LISTA DE DISTRIBUCIÓN PARA EL DIAGNÓSTICO BASADO EN CONTROLES ANEXO A NORMATIVOS ISO 27001:2005
DIAGNÓSTICO BASADO EN: ISO 27001:2005EMPRESA:FECHA:
ANEXO A
REQUISITO NORMATIVO CUMPLENO
CUMPLEPARCIAL OBSERVACIÓ
N
Anexos 98
A.5 Política de seguridad
A.5.1 Política de seguridad de la información
Objetivo: Dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos del negocio, las leyes y reglamentos pertinentes.
A.5.1.1 Documento de la política de seguridad de la información.
Un documento de política de seguridad de información será aprobado por la dirección, publicado y comunicado a todos los empleados y partes externas pertinentes.
A.5.1.2 Revisión de la política de seguridad de la información.
La política de seguridad de la información debe realizarse a intervalos planificados o si ocurren cambios significativos asegurar su conveniencia, adecuación y eficacia continua.
A.6 Organización de la seguridad de la información.
A.6.1 Organización interna
Objetivo: Gestionar la seguridad de la información dentro de la organización.
Anexos 99
A.6.1.1 Compromiso de la dirección para la seguridad de la información.
La dirección debe apoyar activamente la seguridad dentro de la organización a través de la dirección clara, del compromiso demostrado, y la asignación explicita, y el reconocimiento de las responsabilidades de seguridad de la información.
A.6.1.2 coordinación de la seguridad de la información.
Las actividades de seguridad de la información deben coordinarse con representantes de diferentes partes de la organización con roles y funciones de trabajo pertinentes.
A.6.1.3 Asignación de responsabilidades sobre seguridad de la información.
Deben definirse claramente todas las responsabilidades de seguridad de la información.
A.6.1.4 Proceso de autorización para los recursos de procesamiento de la información.
Debe definirse e implementarse un proceso de autorización para cada nuevo recurso de procesamiento de la información.
Anexos 100
A.6.1.5 Acuerdos de confidencialidad.
Debe identificarse y regularmente revisarse los requisitos para los acuerdos de confidencialidad o no divulgación que reflejan las necesidades de la organización para la protección de la información.
A.6.1.6 Contacto con las autoridades.
Deben mantenerse los contactos apropiados con las autoridades pertinentes.
A.6.1.7 Contacto con grupos interesados especiales.
Deben mantenerse los contactos apropiados con grupos interesados especiales u otros foros especialistas de seguridad y asociaciones profesionales.
A.6.1.8 Revisión independiente de la seguridad de la información.
El enfoque de la organización para gestionar la seguridad de la información y su implementación (es decir, objetivo de control, controles, políticas, procesos, y procedimientos para la seguridad de la información) deben revisarse de forma independiente, a intervalos planificados, o cuando
Anexos 101
ocurre cambios significativos en la implementación de la seguridad.
A.6.2 Partes externas.
Objetivo: Mantener la seguridad de la información y recursos de procesamiento de la información de la organización que son accesados, procesados, comunicados o gestionados por partes externas.
A.6.2.1 Identificación de riesgos relacionados a partes externas.
Los riesgos a la información y recursos de procesamiento de la información de la Organización para los procesos del negocio que involucran partes externas deben identificarse y deben implementarse los controles apropiados antes de otorgar el acceso.
A.6.2.2 Tratamiento de la seguridad en las relaciones con clientes.
Todos los requisitos de seguridad identificados deben tratarse antes de dar el acceso al cliente a la información o posesiones de la información.
A.6.2.3 Tratamiento de la seguridad en los acuerdos de terceras partes.
Anexos 102
Los acuerdos con usuarios de terceras partes que involucran acceder, procesar, comunicar o gestionar la información de la organización o los recursos para el tratamiento de la información, o agregar productos o servicios a recursos para el tratamiento de la información deben cubrir todos los requisitos de seguridad pertinentes.
A.7 Gestión de activos.
A.7.1 Responsabilidad por los activos.
Objetivo: Alcanzar y mantener la protección apropiada de los activos de la organización.
A.7.1.1 Inventario de activos .
Todos los activos deben identificarse claramente, elaborarse y mantenerse el inventario de todos activos importantes.
A.7.1.2 Propiedad de los activos.
Toda información y activos asociados con las instalaciones de procesamientos de la información deben ser “dueño” por una parte designada de la organización.
A.7.1.3 Utilización aceptable de los activos.
Anexos 103
Deben identificarse, documentarse e implementarse las reglas para la utilización aceptable de la información y los activos asociados con las instalaciones de procesamiento de la información.
A.7.2 Clasificación de la información
Objetivo: Asegurar que la información reciba un nivel apropiado de protección.
A.7.2.1 Directrices de clasificación
La información debe clasificarse en r4elacion con su valor, requisitos legales, sensibilidad y criticidad para la organización
A.7.2.2 Etiquetado y manejo de la información
Un conjunto apropiado de procedimientos para etiquetar y manejar la información debe desarrollarse e implementarse de acuerdo con el esquema de clasificación adoptado por la organización.
A.8 seguridad de recursos humanos.
A.8.1 Antes del Trabajo.
Objetivo: Asegurar que los empleados los contratistas y usuarios de terceras partes comprendan sus
Anexos 104
responsabilidades, y que sean apropiados para los roles considerados, y para reducir el riesgo del robo, fraude o mal uso de los recursos.
A.8.1.1 Roles y responsabilidades
Los roles y responsabilidades de seguridad de los empleados, contratistas y usuarios terceras partes deben definirse y documentarse de acuerdo con la política de seguridad de la información de la organización
A.8.1.2 Selección
La verificación de los antecedentes sobre todos los candidatos para empleados, contratistas y usuarios de terceras partes deben llevarse a cabo con las leyes, reglamentaciones y ética pertinentes, y proporcionales a los requisitos del negocio, a la clasificación de la información a ser acezada, y los riesgos percibidos.
A.8.1.3Términos y condiciones de empleo
Como parte de su obligación contractual, los empleados contratistas y usuarios de terceras partes deben acordar y firmar los términos y condiciones de su contrato de trabajo, que debe declarar sus
Anexos 105
responsabilidades por la seguridad de la información de la organización.
A.8.2 Durante el empleo
Objetivo: Asegurar que todos los empleados, contratistas y usuarios de terceras partes son conscientes de las amenazas y aspectos relacionados con la seguridad de la información, sus responsabilidades y obligaciones, y que estén equipadas para respaldar la política de seguridad de la organización en el curso normal de su trabajo, y reducir el riesgo de error humano.
A.8.2.1 Responsabilidades de la dirección.
La dirección debe requerir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad de acuerdo con las políticas y procedimientos establecidos de la organización.
A.8.2.2Toma de consciencia, educación y formación en la seguridad de la información.
Todos los empleados de la organización y, cuando sea pertinente, los contratistas y usuarios de terceras partes deben recibir la formación en toma de consciencia y las actualizaciones regulares apropiadas en las
Anexos 106
políticas y procedimientos de la organización, como sea pertinente para su función de trabajo.
A.8.2.3 Proceso disciplinario.
Debe haber un proceso disciplinario formal para los empleados quienes cometan un incumplimiento de seguridad.
A.8.3 Terminación o cambio de empleo.
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes se retiran de una organización p cambian el empleo de una manera ordenada.
A.8.3.1 Responsabilidades de la terminación.
Debe definirse y asignarse claramente las responsabilidades para llevar a cabo la terminación o cambio de empleo.
A.8.3.2 Devolución de los activos.
Todos los empleados, contratistas y usuarios de terceras partes deben devolver todos los activos de la organización en su posesión una vez terminado su empleo, contrato o acuerdo.
A.8.3.3 Retiro de los derechos de acceso.
Anexos 107
Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras partes a la información y recursos para el procesamiento de la información deben retirarse una vez terminado su empleo, contrato o acuerdo o una vez ajustado el cambio.
A.9 Seguridad física y ambiental.
A.9.1 Áreas seguras.
Objetivo: Prevenir el acceso físico no autorizado daño e interferencia a las instalaciones e información de la organización.
A.9.1.1 Perímetro de seguridad física.
Los perímetros de seguridad (barreras tales como paredes, puertas de entrada controladas por tarjetas o puesto de recepción manual) deben utilizarse para proteger las áreas que contienen la información y las instalaciones de procesamiento de la información.
A.9.1.2 Controles físicos de entrada.
Las áreas de seguridad deben estar protegidas por controles de entrada apropiados que aseguren el permiso de acceso sólo al
Anexos 108
personal autorizado.
A.9.1.3 Seguridad de oficinas, habitaciones e instalaciones.
Debe diseñarse y aplicarse la seguridad física para oficinas, habitaciones e instalaciones.
A.9.1.4 Protección contra las amenazas externas y ambientales.
Debe diseñarse y aplicarse la protección física contra el daño por fuego, inundación, sismo, explosión, disturbios y las otras formas de desastre natural o hecho por los hombres.
A.9.1.5 Trabajo en áreas seguras
Debe diseñarse y aplicarse la protección física y las directrices para trabajar en áreas seguras.
A.9.1.6 Áreas de acceso al público, entrega y carga.
Los puntos acceso como las áreas de entrega y carga y otras donde las personas no autorizadas pueden entrar en las instalaciones deben controlarse y, si es posible, aislarse de instalaciones de procesamiento de la información para evitar el acceso no autorizado.
A.9.2 Seguridad de los equipos.
Anexos 109
Objetivo: Prevenir pérdidas, daños, robo o comprometer los activos e interrupción de las actividades de la organización.
A.9.2.1 Ubicación y protección del equipo.
El equipo debe ubicarse o protegerse para reducir los riesgos de amenazas y peligros ambientales, y oportunidades para el acceso no autorizado.
A.9.2.2 Servicio de apoyo.
El equipo debe protegerse contar fallas de energía y otras interrupciones eléctricas causadas por fallas en los servicios de apoyo.
A.9.2.3 Seguridad del cableado Control.
El cableado de enrgía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información debe protegerse contra interceptación o daño.
A.9.2.4 Mantenimiento de equipos.
Los equipos deben mantenerse adecuadamente para asegurar su continua disponibilidad e integridad.
A.9.2.5 Seguridad de equipos fuera de las
Anexos 110
instalaciones de la organización.
Debe aplicarse la seguridad a los equipos exteriores teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización.
A.9.2.6 Seguridad en la reutilización o eliminación de equipos.
Todos los elementos del equipo que contengan dispositivos de almacenamiento de datos deben controlarse para asegurar que cualquier dato sensible y software bajo licencia ha sido removido o tachado antes de su disposición.
A.9.2.7 Retiro de la propiedad.
No deben sacarse de las instalaciones sin autorización los equipos, la información o el software.
A.10 Gestión de comunicaciones y operaciones.
A.10.1 Procedimientos y responsabilidades de operación.
Objetivo: Asegurar la operación correcta y segura de los recursos de tratamiento de información.
A.10.1.1 Documentación de
Anexos 111
procedimientos operativos.
Los procedimientos operativos deben documentarse, mantenerse, y estar disponibles a todos usuarios que los necesitan.
A.10.1.2 Gestión de cambio.
Deben controlarse los cambios para los recursos y sistemas de procesamiento de la información.
A.10.1.3 Segregación de tareas.
Las tareas o áreas de responsabilidad deben segregarse par reducir las oportunidades de modificación no autorizada o mal uso de los activos de la organización.
A.10.1.4 Separación de los recursos para el desarrollo, prueba/ensayo y operación.
Deben separarse los recursos para el desarrollo prueba/ensayo y operación para reducir los riesgos del acceso no autorizado o cambios del sistema operativo.
A.10.2 Gestión de entrega de servicio de tercera parte.
Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de
Anexos 112
servicio de tercera parte.
A.10.2,1 Entrega del servicio.
Debe asegurase que los controles de seguridad, las definiciones del servicio y los niveles de entrega incluidos en el acuerdo de entrega de servicio de tercera parte son implementados, operados y mantenidos por la tercera parte.
A.10.2.2 Seguimiento y revisión de los servicios de tercera parte.
Los servicios, informes y registros suministrados por la tercera parte deben ser seguidos y revisados regularmente y deben ser llevados a cabo auditorías regularmente.
A10.2.3 Gestión de cambios para los servicios de tercera parte.
Los cambios para el suministro de servicio, incluyendo el mantenimiento y mejora de las políticas, procedimientos y controles de seguridad de información existentes, deben gestionarse, tomando en cuenta la criticidad del sistema del negocio y los procesos involucrados y la reevaluación de los riesgos.
Anexos 113
A.10.3 Planificación y aceptación del sistema.
Objetivo: Minimizar el riesgo de fallas de los sistemas.
A.10.3.1 Gestión de la capacidad.
Debe realizarse seguimiento, ajustes, y proyecciones de los requisitos de la capacidad futura de la utilización de los recursos, para asegurar el desempeño del sistema requerido.
A.10.3.2 Aceptación del sistema.
Deben establecerse los criterios de aceptación para los nuevos sistemas de información y versiones nuevas o mejoradas y deben desarrollarse pruebas adecuadas de los sistemas durante el desarrollo y antes de la aceptación.
A.10.4 Protección contra código malicioso y movible.
Objetivo: Proteger la integridad de software y de la información.
A.10.4.1 Controles contra códigos maliciosos.
Deben implementarse los controles de detección, prevención y recuperación para la protección contra código maliciosos, y
Anexos 114
procedimientos adecuados de toma de consciencia de los usuarios.
A.10.4.2 Control contra código movible
Donde la utilización de código movible está autorizada, la configuración debe asegurar que el código movible autorizado opera de acuerdo a una política de seguridad claramente definida y debe prevenirse el ejecutar el código movible no autorizado.
A.10.5 Copia de seguridad.
Objetivo: Mantener la integridad y la disponibilidad de la información y los recursos de procesamiento de la información.
A.10.5.1 Copia de seguridad de la información.
Las copias de seguridad de la información y software deben ser tomadas y probadas con regularidad de acuerdo con la política de copia de seguridad acordada.
A.10.6 Gestión de seguridad de la red.
Objetivo: Asegurar la protección de la información en las redes y la protección de su infraestructura.
Las tareas o áreas de
Anexos 115
responsabilidad deben segregarse para reducir las oportunidades de modificación no autorizada o mal uso de los activos de la organización.
A.10.1.4 Separación de los recursos para el desarrollo, prueba/ensayo y operación.
Deben separarse los recursos para el desarrollo, prueba/ensayo y operación para reducir los riesgos del acceso no autorizado o cambios al sistema operativo.
A.10.2 Gestión de entrega de servicio de tercera parte.
Objetivo: Implementar y mantener el nivel apropiado de3 seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicio de tercera parte.
A.10.2.1 Entrega de servicio.
Debe asegurarse de los controles de seguridad, las definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio de tercera parte son implementados, operados y mantenidos por la tercera parte.
A.10.2.2 Seguimiento y revisión de los servicios de tercera parte.
Anexos 116
Los servicios, informes y registros suministrados por la tercera parte deben ser seguidos y revisados regularmente, y deben ser llevados a cabo a auditorias regularmente.
A.10.2.3 Gestión de cambios para los servicios de tercera parte.
Los cambios para el suministro de servicios, incluyendo el mantenimiento y mejora de las políticas, procedimientos y controles de seguridad de información existentes, debe gestionarse, tomando en cuenta la criticidad del sistema del negocio y los procesos involucrados y la reevaluación de los riesgos.
A.10.3 Planificación y aceptación del sistema.
Objetivo: minimizar el riesgo de falla de los sistemas.
A.10.3.1 Gestión de la capacidad.
Debe realizarse seguimiento, ajustes, y proyecciones de los requisitos de la capacidad futura de la utilización de los recursos para asegurar el desempeño del sistema requerido.
A.10.3.2 Aceptación del sistema.
Deben establecerse los criterios de aceptación para
Anexos 117
los nuevos sistemas de información y versiones nuevas o mejoradas y deben desarrollarse pruebas adecuadas de los sistemas durante el desarrollo y antes de la aceptación.
A.10.4 Protección contra código malicioso y movible.
Objetivo: Proteger la integridad del software y de la información.
A.10.4.1 Controles contra códigos maliciosos.
Deben implementarse los controles de detección, prevención y recuperación para la protección contra código malicioso y procedimientos mal adecuados de toma de conciencia de los usuarios.
A.10.4.2 Control contra código movible
Donde la utilización de código movible está autorizada, la configuración debe asegurar el código movible autorizado opera de acuerdo a una política de seguridad claramente definida y debe prevenirse el ejecutar el código movible no autorizado.
A.10.5 Copia de seguridad.
Objetivo: Mantener la integridad y la disponibilidad
Anexos 118
de la información y los recursos de procesamiento de la información.
A.10.5.1 Copia de seguridad de la información.
Las copias de seguridad de la información y software deben ser tomadas y probadas con regularidad de acuerdo con la política de copia de seguridad acordada.
A.10.6 Gestión de seguridad de la red.
Objetivo: Asegurar la protección de la información en las redes y la protección de su infraestructura de soporte.
A.10.6.1 Controles de red.
Las redes deben gestionarse y controlarse adecuadamente, a fin de estar protegidas de las amenazas, y mantener la seguridad para los sistemas y aplicaciones que utiliza la red, incluyendo la información en tránsito.
A.10.6.2 Seguridad de servicios de red.
Las características de seguridad, los niveles del servicio, y los requisitos de gestión de todos los servicios en red deben identificarse e incluirse en cualquier acordado de servicio de red, ya sea que estos servicios sean
Anexos 119
proporcionados en la empresa o subcontratados.
A.10.7 Manejo de medios de información.
Objetivo: Prevenir la divulgación, modificación, eliminación, o destrucción no autorizada de los activos e interrupción de las actividades del negocio.
A.10.7.1 Gestión de medios removibles.
Deben existir procedimientos para la gestión de medios removibles.
A.10.7.2 Disposición de medios
Cuando ya no son requeridos, los medios de información deben eliminarse de forma segura y sin peligro, utilizando procedimientos formales.
A.10.7.3 Procedimientos de manejo de la información.
Se deben establecer Procedimientos para el manejo y almacenamiento de loa información para protegerla contra su uso inadecuado o divulgación no autorizada.
A.10.7.4 Seguridad de la documentación de sistemas.
La documentación de sistema debería protegerse contra el acceso no
Anexos 120
autorizado.
A.10.8 Intercambio de información.
Objetivo: Mantener la seguridad de la información y el software intercambiado dentro de una organización y con cualquier entidad externa.
A.10.8.1 Políticas y procedimientos de intercambio de información.
Deben establecerse políticas, procedimientos de intercambios formales, y controles para proteger el intercambio de información a través de la utilización de toda clase de recursos de comunicación.
A.10.8.2 Acuerdos de intercambio.
Deben establecerse acuerdos, para el intercambio de información y software entre la organización y partes externas.
A.10.8.3 Medios de información físicos en tránsito
Los medios que contienen la información deben protegerse contra el acceso no autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.
Anexos 121
A.10.8.4 Mensaje electrónico.
Debe estar apropiadamente protegida la información involucrada en el mensaje electrónico.
A.10.8.5 Sistema de información del negocio deben desarrollarse e implementarse las políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio.
A.10.9 Servicios de comercio electrónico
A.10.10 Seguimiento
Objetivo: Detectar las actividades de procesamiento de la información no autorizadas.
A.10.10.1 Registro de auditoria
Debe producirse y mantenerse los registros de auditoría que registren actividades , excepciones y eventos de seguridad de la información del usuario, durante un periodo definido para ayudar en futuras investigaciones y seguimiento del control de acceso.
A.10.10.2 Seguimiento de la utilización de los sistemas.
Deben establecerse los
Anexos 122
procedimientos para el seguimiento de la utilización de los recursos de procesamiento de la información y los resultados de las actividades de seguimiento realizadas regularmente.
A.10.10.3 Protección de la información de registro.
Deben protegerse los recursos de registro e información de registro contra el acceso manipulado y no autorizado.
A.10.10.4 Administrador y operado de registro
Deben registrarse las actividades del administrador del sistema y del operador del sistema.
A.10.10.5 Registro de falla
Las fallas deben registrarse, analizarse y tomarse las acciones apropiadas
A.10.10.6 Sincronización de relojes
Los relojes de todos los sistemas de procesamiento de la información pertinente dentro de una organización o dominio de seguridad deben sincronizarse con una fuente de tiempo exacta acordada.
A.11 Control de accesos
A.11.1 Requisitos del negocio para el control de
Anexos 123
accesos.
Objetivo: Controlar los accesos a la información
A.11.1.1 Política de control de accesos
Debe establecerse, documentarse y revisarse una política de control de accesos, basado en los requisitos del negocio y de seguridad para el acceso.
A.11.2 Gestión de acceso de usuarios.
Objetivo: Asegurar el acceso del usuario autorizado y prevenir el acceso no autorizado a los sistemas de información.
A.11.2.1 Registro de usuarios.
Debe existir un procedimiento formal de registro y des-registro de usuarios para conceder y revocar el acceso a todos los sistemas y servicios de información.
A.11.2.2 Gestión de privilegios.
Deben restringirse y controlarse la utilización y asignación de privilegios.
A.11.2.3 Gestión de contraseñas del usuario.
Debe controlarse la asignación de contraseñas a través de un proceso de
Anexos 124
gestión formal.
A.11.2.4 Revisión de los derechos de acceso de usuarios.
La dirección debe revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.
A.11.3 Responsabilidades de usuarios.
Objetivo: Prevenir el acceso de usuarios no autorizados y comprometer o robar la información y los recursos de procesamiento de información.
A.11.3.1 Usos de contraseñas.
Debe requerirse a los usuarios seguir las buenas prácticas de seguridad para la selección y uso de sus contraseñas.
A.11.3.2 Equipo desatendido.
Los usuarios deben asegurar que los equipos desatendidos estén debidamente protegidos.
A.11.3.3 Políticas de escritorios y pantallas limpias.
Para los recursos de procesamiento de información, debe adoptarse una política de escritorios limpios de papel y de dispositivos de
Anexos 125
almacenamiento removibles y una política de pantallas limpias.
A.11.4 Control de acceso a la red.
Objetivo: Prevenir el acceso no autorizado a los servicios de red.
A.11.4.1 Política de utilización de los servicios de red.
Los usuarios sólo deben tener acceso a los servicios que han sido específicamente autorizados a utilizar.
A.11.4.2 Autentificación de usuarios para conexiones externas.
Deben utilizarse métodos de autentificación apropiados para controlar el acceso por usuarios remotos.
A.11.4.3 Identificación de equipos en redes.
Debe considerarse la identificación de equipo automático como un medio de autentificar las conexiones de ubicaciones y equipos específicos.
A.11.4.4 Protección del diagnóstico remoto y de la configuración de puerto
Debe controlarse el acceso físico y lógico para el diagnóstico y configuración
Anexos 126
de los puertos.
A.11.4.5 Segregación en redes
Deben segregarse los grupos de los servicios de información, los usuarios y los sistemas de información en las redes.
A.11.4.6 Control de conexión de redes.
Para redes compartidas, especialmente aquellas que atraviesan las fronteras de la organización, la capacidad de usuarios a conectarse a la red deben restringirse, de acuerdo con la política de control de acceso y los requisitos de las aplicaciones del negocio (véase apartado 11.1)
A.11.4.7 Control de direccionamiento en la red.
Deben implementarse los controles de direccionamiento a redes para asegurar que las conexiones entre computadora y los flujos de información no violen la política de control de acceso de las aplicaciones del negocio.
A.11.5 Control de acceso al sistema operativo.
Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.
A.11.5.1 Procedimientos de
Anexos 127
conexión segura.
Debe controlarse el acceso a los sistemas operativos por un procedimiento de conexión segura.
A.11.5.2 Identificación y autenticación del usuario.
Todos los usuarios deben disponer de un identificador único (ID de usuario) sólo para su uso personal y debe seleccionarse una técnica de autentificación adecuada para probar la identidad declarada de un usuario.
A.11.5.3 Sistema de gestión de contraseñas
Los sistemas para la gestión de contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas.
A.11.5.4 Utilización de las prestaciones del sistema
Debe restringirse y controlarse estrechamente la utilización de programa de servicio que podrían ser capaces de eludir las medidas de control del sistema y de las aplicaciones.
A.11.5.5 Sesión inactiva
La sesiones inactivas deben apagarse después de un período definido de la inactividad.
Anexos 128
A.11.5.6 Limitación del tiempo de conexión
Las restricciones al horario de conexión deben ser utilizadas para proporcionar seguridad adicional a las aplicaciones de alto riesgo
A.11.6 Control de acceso a las aplicaciones e información
Objetivo: Prevenir el acceso no autorizado a la información contenida en los sistemas de aplicación.
A.11.6.1 Restricción de acceso a la información
El acceso a la información y a las funciones del sistema de aplicación por usuarios y personal de soporte debe restringirse de acuerdo con la política de control de acceso definida.
A.11.6.2 Aislamiento de sistemas sensibles
Los sistemas sensibles deben de tener un entorno informático dedicado (aislados).
A.11.7 Computación móvil y trabajo a distancia
Objetivo: Asegurar la seguridad de información cuando se utilizan recursos de computación móvil y de trabajo a distancia.
A.11.7.1 Computación móvil y comunicaciones.
Anexos 129
Debe implarse una política formal y deben adoptarse las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar recursos de computación móvil y de comunicación.
A.11.7.2 Trabajo a distancia
Deben desarrollarse e implementarse políticas, planes operacionales y procedimientos para las actividades de trabajo a distancia.
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información.
A.12.1 Requisitos de seguridad de los sistemas de información.
Objetivo: Asegurar que la seguridad es una parte integral de los sistemas de información.
A.12.1.1 Análisis y especificación de los requisitos de seguridad.
Las declaraciones de los requisitos del negocio para los nuevos sistemas de información o mejoras a los sistemas de información existentes deben especificar los requisitos de control de seguridad.
A.12.2 Procesamiento correcto en las aplicaciones.
Anexos 130
Objetivo Prevenir los errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones.
A.12.2.1 Validación de datos de entrada.
Deben validarse los datos de entrada a las aplicaciones para asegurarse de que éstos son correctos y apropiados.
A.12.2.2 Control de procesamiento interno.
Deben incorporarse a las aplicaciones las comprobaciones de validación para detectar cualquier corrupción de la información a través de los errores de procesamiento o actos deliberados.
A.12.2.3 Integridad de mensaje
Deben identificarse los requisitos para asegurar la autenticidad y proteger la integridad de mensajes en aplicaciones e identificarse e implementarse los controles apropiados.
A.12.2.4 Validación de los datos de salida.
Deben validarse los datos de salida de una aplicación para asegurarse de que el procesamiento de la información almacenada es correcto y apropiado a las
Anexos 131
circunstancias.
A.12.3 Controles criptográficos.
Objetivo: Proteger la confidencialidad, autenticidad o integridad de la información por los medios criptográficos.
A.12.3.1 Política sobre la utilización de controles criptográficos.
Debe desarrollarse e implementarse una política sobre la utilización de controles criptográficos para la protección de la información.
A.12.3.2 Gestión de las claves.
Debe establecerse la gestión de clave para dar apoyo a la utilización por la organización de técnicas criptográficas.
A.12.4 Seguridad de los archivo del sistema.
A.12.4.1 Control de software operativo.
Deben existir procedimientos establecidos para controlar la instalación de software en sistemas en funcionamiento.
A.12.4.2 Protección de los datos de prueba del sistema.
Deben seleccionarse cuidadosamente y
Anexos 132
protegerse y controlarse los datos de prueba.
A.12.4.3 Control de acceso al código fuente del programa.
Debe restringirse el acceso al código fuente del programa.
A.12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad de software y la información del sistema de aplicación
A.12.5.1 Procedimientos de control de cambios.
La implementación de los cambios debe ser controlada por la utilización de procedimientos formales de control de cambio.
A.12.5.2 Revisión técnica de aplicaciones después de los cambios de sistema operativo.
Cuando los sistemas operativos son cambiados, deben revisarse y probarse las aplicaciones críticas del negocio para asegurar de que no hay impacto adverso sobre las operaciones o la seguridad de la organización.
A.12.5.3 Restricciones a los cambios a los paquetes de software
Anexos 133
Las modificaciones a paquetes de software deben ser desalentadas, limitadas a los cambios necesarios y todo cambio debe controlarse estrictamente.
A.12.5.4 Fuga de información.
Deben prevenirse las oportunidades de fuga de información.
A.12.5.5 Desarrollo de software contratado externamente.
La organización debe supervisar y realizar seguimiento al desarrollo de software contratado externamente.
A.12.6 Gestión de vulnerabilidad técnica.
Objetivo: Reducir los riesgos que resultan de la explotación de las vulnerabilidades técnicas publicadas.
A.12.6.1 Control de las vulnerabilidades técnicas.
Debe obtenerse la información oportuna sobre las vulnerabilidades técnicas del sistema de información que está siendo utilizado, evaluarse la exposición de la organización a tales vulnerabilidades y tomarse las medidas apropiadas para tratar el riesgo
Anexos 134
asociado.
A.13 Gestión de incidente de seguridad de la información
A.13.1 Reportar los eventos y debilidades de seguridad de la información
Objetivo: Asegurar que los eventos y debilidades de seguridad de la información asociadas con los sistemas de información sean comunicados de una manera tal que permita que la acción correctiva sea tomada oportunamente.
A.13.1.1 Reporte de los eventos de seguridad de información.
Deben reportarse los eventos de seguridad de la información a través de los canales de gestión apropiados tan rápidamente como sea posible.
A.13.1.2 Reporte de debilidades de seguridad.
Debe requerirse a todos los empleados contratistas y usuarios de terceras partes de los sistemas y servicios de información, detectar e informar cualquier debilidad en la seguridad de los sistemas o servicios que haya sido observada o sospechada.
A.13.2 Gestión de los incidentes y mejoras de
Anexos 135
seguridad de la información.
Objetivo: Asegurar que un enfoque coherente y eficaz es aplicado a la gestión de los incidentes de seguridad de la información.
A.13.2.1 Responsabilidades y procedimientos.
Deben establecerse las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de información.
A.13.2.2 Aprendizaje de los incidentes de seguridad de la información.
Deben establecerse mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad de información.
A.13.2.3 Recolección de evidencias
Cuando una acción de seguimiento contra una persona u organización, después de un incidente de seguridad de la información que involucra acciones legales (civiles o criminales), deben recolectarse, conservarse y presentarse evidencias conforme a las reglas establecidas por la
Anexos 136
legislación aplicable o por el tribunal que sigue el caso.
A.14 Gestión de continuidad del negocio.
A.14.1 Aspectos de seguridad de la información de la gestión de continuidad del negocio.
Objetivo: Contrarrestar las interrupciones de las actividades del negocio y proteger los procesos críticos del negocio de los efectos de fallas significativas o desastres de los sistemas de información y asegurar su reanudación oportuna.
A.14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio.
Un proceso dirigido debe ser desarrollado y mantenido para la continuidad del negocio a través de la organización que trate los requisitos de seguridad de la información necesarios para la continuidad del negocio de la organización
A.15 Cumplimiento
A.15.1 Cumplimiento de requisitos legales.
Objetivo: Evitar incumplimientos de cualquier ley, estatuto, obligación reglamentaria o
Anexos 137
contractuales y de cualquier requisito de seguridad.
A.15.1.1 Identificación de la legislación aplicable.
Deben definirse, documentarse y mantenerse actualizados todos los requisitos legales, reglamentarios y contractuales pertinentes y el enfoque de la organización que cumplan estos requisitos para cada sistema de información y de la organización.
A.15.1.2 Derechos de propiedad intelectual (DPI)
Deben implementarse los procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material protegido por derechos de propiedad intelectual y sobre el uso de productos de software reservados.
A.15.3 Consideraciones y auditorías de los sistemas de información
Objetivo: Maximizar la efectividad y minimizar las interferencias en el proceso de auditoría del sistema de la información.
Anexos 138
ANEXO 5
Anexos 139
Bibliografía 140
BIBLIOGRAFÍA
Agripac. (2015). Recuperado el 01 de 02 de 2015, de http://www.agripac.com.ec/grupo_agripac.html
ALEGSA. (s.f.). Diccionario de informática y tecnología. Obtenido de http:/
/www.alegsa.com.ar/Dic/transceptor.php#sthash.oriSdzGw.dpuf
Alexander, A. G. (2006). Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005. Lima, Perú.
Alfaro, C. (s.f.). Investigación correlacional e investigación explicativa. Recuperado el 3 de abril de 2015, de https://www.academia.edu/7377686/Investigaci%C3%B3n_correlacional_e_investigaci%C3%B3n_explicativa
Anderson, J. M. (2003). Why we need a new definition of information security. Computers & Security, 22(4), 308-313.
Aranda, J. A. (2009). Implementación del primer Sistema de Gestión de Seguridad de la Informacion, en el Ecuador, Certificado bajo la Norma ISO 27001:2005. Ecuador.
Arelys Alttagracia, L. M. (2011). Diseño de un Plan de Gestión de la Seguridad de la Información. Caso: Dirección Informática de la Alcaldía del Municipio Jiménez del Estado Lara. Barquisimeto, Venezuela.
Baray, H. L. (s.f.). Investigación No Experimental. En INTRODUCCIÓN A LA METODOLOGÍA DEL LA INVESTIGACIÓN. Mexico.
Bravo, M. P. (2011). Obtenido de http://www.buenastareas.com/ensayos/M%C3%A9todos-Descriptivos/2324769.htmlCalderón Onofre, D., Estrella Ochoa, M., & Flores Villamarín, M. (2011). Implementación de un Sistema de Gestión de Seguridad de Información aplicada al área de Recursos Humanos de la empresa Decevale S.A. Guayaquil, Ecuador.
Calle, D. J. (30 de octubre de 2012). UNAD. Recuperado el 4 de abril de 2015, de Investigación Exploratoria, Descriptiva, Correlacional y Explicativa:
Bibliografía 141
http://datateca.unad.edu.co/contenidos/100104/100104_EXE/leccin_6_investigacin__exploratoria_descriptiva_correlacional_y_explicativa.htmlCampaña Tenesaca, O. E. (2010). Plan de propuesta para la implantación de la norma de seguridad informática ISO 27001:2005 para el Grupo Social Fondo Ecuatoriano Populorum Progressio (GSFEPP). Quito, Ecuador.
Cascant, A. H. (28 de febrero de 2014). Riunet. Recuperado el 3 de abril de 2015, de Metodología y Técnicas cuantitativas de investigación: https://riunet.upv.es/bitstream/handle/10251/17004/Metodolog%25C3%25ADa%2520y%2520t%25C3%25A9cnicas%2520cuantitativas%2520de%2520investigaci%25C3%25B3n_6060.pdf?sequence=3
Catteddu, D. (2010). Cloud Computing: Benefits, Risks and Recommendations for Information Security. En C. Serrão, Web Application Security (pág. 17). Springer Berlin Heidelberg.
Dr. Lamberto Vera Vélez, U. P. (2008). http://www.ponce.inter.edu. Obtenido de http://www.ponce.inter.edu/cai/Comite-investigacion/investigacion-cualitativa.html
Fabbri, P. M. (14 de noviembre de 2013). fhumyar. Recuperado el 14 de marzo de 2015, de Las técnicas de investigación: la observación.: http://www.fhumyar.unr.edu.ar/escuelas/3/materiales%20de%20catedras/trabajo%20de%20campo/solefabri1.htm
Garza, A. (1998). Manual de Técnicas de Investigación para Estudiantes de Ciencias Sociales. Mexico: El Colegio de Mexico.
Graterol, R. (24 de marzo de 2011). Wordpress. Recuperado el 4 de abril de 2015, de Metodología de la Investigación: https://jofillop.files.wordpress.com/2011/03/metodos-de-investigacion.pdf
Hausken, K. (2006). Returns to information security investment: The effect of alternative information security breach functions on optimal investment and sensitivity to vulnerability. Information Systems Frontiers, 8(5), 338-349.
ISO/IEC. (15 de 10 de 2005). ISO 27001:2005. TECNOLOGÍA DE LA INFORMACIÓN-TÉCNICAS DE SEGURIDAD-SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN- Requerimientos. Ginebra, Suiza.
ISO/IEC. (2005). Patente nº ISO/IEC 17799:2005.
ISO/IEC. (2005). NORMA ISO 17799/27002. GINEBRA, SUIZA.
Bibliografía 142
Jeimy J. Cano, P. C. (2011). http://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx.JUAN DAVID AGUIRRE CARDONA, C. A. (2013). DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. Pereira, Colombia.
land, S. I. (2 de 01 de 2013). https://seguridadinformaticaunivia.wordpress.com/2013/01/02/el-isoiec-27000-es-tu-amigo/. Recuperado el 15 de 2 de 2015, de https://seguridadinformaticaunivia.wordpress.com/2013/01/02/el-isoiec-27000-es-tu-amigo/.
López, E. A. (2011). http://www.eumed.net/tesis-doctorales/2012/eal/metodologia_cuantitativa.html.
Mega, G. P. (2009). www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf. Recuperado el 02 de 2015, de www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf.
Meyer., D. B. (12 de septiembre de 2006). Blogia. Recuperado el 2 de abril de 2015, de LA INVESTIGACIÓN DESCRIPTIVA: http://noemagico.blogia.com/2006/091301-la-investigacion-descriptiva.php
Montenegro, C. W. (JUNIO de 2008). http://www.buenastareas.com/ensayos/Usat-Tesis/69793648.html. Recuperado el 15 de FEBRERO de 2015, de http://www.buenastareas.com/ensayos/Usat-Tesis/69793648.html.
Morales, F. (2010). Obtenido de http://manuelgross.bligoo.com/conozca-3-tipos-de-investigacion-descriptiva-exploratoria-y-explicativa
Morales, F. (28 de enero de 2015). Conozca 3 tipos de investigación: Descriptiva, Exploratoria y Explicativa. Recuperado el 3 de abril de 2015, de http://www.creadess.org/index.php/informate/de-interes/temas-de-interes/17300-conozca-3-tipos-de-investigacion-descriptiva-exploratoria-y-explicativa
RIVERO, M. L. (2 de octubre de 2007). Eumed. Recuperado el 2 de abril de 2015, de LAS POLÍTICAS FISCALES Y SU IMPACTO EN EL BIENESTAR SOCIAL DE LA POBLACIÓN VENEZOLANA. UN ANÁLISIS DESDE EL PARADIGMA CRÍTICO. PERIODO: 1988-2006: http://www.eumed.net/tesis-doctorales/2010/lmr/politicas%20fiscales%20en%20Venezuela%20tipo%20y%20diseno%20de%20investigacion.htm
Rodriguez, M. (diciembre de 2011). Métodos de investigación cualitativa. Recuperado el 1 de abril de 2015, de
Bibliografía 143
http://www.cide.edu.co/ojs/index.php/silogismo/article/view/64/53
Rudy Mendoza Palacios. (2006). Investigación cualitativa y cuantitativa - Diferencias y limitaciones. Recuperado el 12 de marzo de 2015, de https://www.prospera.gob.mx/Portal/work/sites/Web/resources/ArchivoContent/1351/Investigacion%20cualitativa%20y%20cuantitativa.pdf
Santaella, L. (13 de Octubre de 2014). Definición de Método Cuantitativo. Recuperado el 30 de marzo de 2015, de http://conceptodefinicion.de/metodo-cuantitativo/
SGS. (2005). Patente nº ISO/IEC 27001:2005. Ginebra, Suiza. Shuttleworth, M. (26 de septiembre de 2008). Diseño de Investigación Descriptiva. Recuperado el 2 de abril de 2015, de https://explorable.com/es/diseno-de-investigacion-descriptiva
Tamayo, M. (2007). El proceso de la investigación científica. México: Limusa.
Taylor, & Bogdan. (s.f.). Introducción a los métodos cualitativos de investigación. Recuperado el 29 de marzo de 2015, de http://201.147.150.252:8080/xmlui/bitstream/handle/123456789/1216/bogdan1988.pdf?sequence=1
Torrecilla, J. M. (21 de noviembre de 2009). uca. Recuperado el 12 de marzo de 2015, de Metodología de Investigación Avanzada: http://www.uca.edu.sv/mcp/media/archivo/f53e86_entrevistapdfcopy.pdf
UAM. (s.f.). Universidad Autónoma de Madrid. Recuperado el 3 de Marzo de 2015, de LONWORK: http://odisea.ii.uam.es/esp/recursos/Lonwork.htm
WWW.ISO27000.ES. (s.f.). www.iso27000.es/download/doc_sgsi_all.pdf. Recuperado el 15 de 04 de 2015, de www.iso27000.es/download/doc_sgsi_all.pdf.
Bibliografía 144
