UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD SISTEMAS MERCANTILES

CARRERA SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TITULO DE

INGENIERO EN SISTEMAS E INFORMÁTICA.

TEMA:

PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA ISO 27002 Y LA

GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO DE TIC DE LA

UNIANDES EXTENSIÓN BABAHOYO.

AUTOR: FIGUEROA LEYTON JOSE LUIS.

TUTOR: Lsi. JORDÁN CORDONES FREDY MAXIMILIANO, MIE

Babahoyo – Ecuador

2019

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quien redacta, legalmente CERTIFICO QUE: El actual Proyecto de Investigación

elaborado por el señor Figueroa Leyton José Luis, estudiante de la Carrera de Sistema,

Facultad de Sistemas Mercantiles, titulado “PLAN DE SEGURIDAD INFORMÁTICA

BASADO EN LA NORMA ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN

PARA EL DEPARTAMENTO DE TIC DE LA UNIANDES EXTENSIÓN

BABAHOYO”, ha si sido analizado y desempeña con todos los requerimientos

determinados en el procedimiento pertinente de la Universidad Autónoma Regional de Los

Andes UNIANDES, por lo que se certifica su presentación

Babahoyo, Febrero de 2019

Lsi. Fredy M. Jordán Cordonez, MIE

TUTOR

DECLARACIÓN DE AUTENTICIDAD

Yo, Figueroa Leyton José Luis, estudiante de la Carrera de Sistemas, Facultad de Sistemas

Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de

investigación, previo la obtención del título de INGENIERO EN SISTEMAS, son

absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de

mi exclusiva responsabilidad.


____________________________

Sr. Figueroa Leyton José Luis

CI. 1205018441

AUTOR

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Ing. Laura Marlene Ochoa Escobar, Mg en calidad de Lector del Proyecto de

Titulación.

CERTFICO:

Que el presente trabajo de titulación realizado por el estudiante Figueroa Leyton José Luis

sobre el tema: “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA

ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO

DE TIC DE LA UNIANDES EXTENSIÓN BABAHOYO”, ha sido cuidadosamente

revisado por el suscrito, por lo que he podido constatar que cumple con todos los requisitos

de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para

esta clase de trabajos, por lo que autorizo su presentación.


__________________________________

Ing. Laura Marlene Ochoa Escobar, Mg

LECTORA

DERECHOS DE AUTOR

Yo, Figueroa Leyton José Luis, declaro que conozco y acepto la disposición

constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional

Autónoma de Los Andes, que en su parte pertinente textualmente dice: El

Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre

las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y

consultaría que se realicen en la Universidad o por cuenta de ella.


____________________________

Sr. Figueroa Leyton José Luis

CI. 1205018441

AUTOR

DEDICATORIA.

Este trabajo lo dedico a Dios por haberme brindado llegar hasta aquí obteniendo sabiduría y

amor por lo que voy a ejercer sobre todo lleno de salud en cada instante para poder lograr

todos mis objetivos puestos como persona y como profesional.

A mis padres y hermanos quienes me apoyaron desde un principio de mi vida en mi

crecimiento como persona los mismos quienes me han guiado lograr una etapa más en mi

vida lo cual estoy muy contento por ello.

A mis profesores por haberme aportado de sus conocimientos adquiridos quienes

compartieron una etapa universitaria.

Figueroa Leyton José Luis.

AGRADECIMIENTO.

En primer lugar, agradezco a Dios por haberme brindado herramientas necesarias para poder

lograr el desarrollo de la tesis lo cual estoy muy satisfecho por alcanzar un meta más lo cual

es el principio de muchas.

En segundo lugar, agradezco a mis padres y hermanos quienes estuvieron siempre

formándome como persona obteniendo su apoyo incondicional y a las demás personas como

profesores y amigos por ser parte de esta etapa universitaria en la cual aportaron mucho en

este proceso

Figueroa Leyton José Luis.

RESUMEN EJECUTIVO.

El presente trabajo investigativo tiene como objetivo desarrollar un plan de seguridad

informática basado en la norma ISO 27002 para el departamento de Tecnologías de la

Información y la Comunicación de la Universidad Regional Autónoma de Los Andes

“UNIANDES” extensión Babahoyo con la finalidad de mejorar la gestión de información.

El departamento de Tecnologías de la Información y la Comunicación de la Universidad

cuenta con una infraestructura tecnológica que satisface las demandas de las diferentes

unidades académicas con que cuenta esta institución, pero carece de vigilancia en

determinados servicios como por ejemplo: no existe un monitoreo de control que dé

cumplimiento a las especificaciones técnicas en cuanto se refiere al acceso a internet y datos,

no posee un control de acceso del personal administrativo a los deferentes equipos

informáticos de la institución, el acceso a los laboratorios de computo carece de seguridad en

las puertas de acceso, no se dispone de un inventario de software, falta de reportes o informes

técnicos de la infraestructura de red. Se realizó una Fundamentación Teórica respecto a la

Gestión de la Información al plan de seguridad informática. Se implementó además el Diseño

Metodológico y Diagnóstico de la investigación y se aplicó una encuesta a estudiantes y

docentes de la Uniandes. Finalmente, se planteó una propuesta el desarrollo de un plan de

seguridad informática basado en la norma ISO 27002.

ABSTRACT

The objective of this research is to develop a computer security plan based on the ISO 27002

standard for the Department of Information and Communication Technologies of the

Uniandes in its Babahoyo brand, with the aim of improving information management. The

Department of Information Technology and Communication of the University, has a

technological infrastructure that satisfy the demands of the different academic units that this

institution has, but lacks surveillance in certain services such as: there is no control that

complies with the technical specifications in terms of access to internet and data, does not

have access control of administrative staff to the different computer equipment of the

institution, the Computer labs does not have a security doors, there is no software inventory,

lack of reports or technical reports of the network infrastructure. It was carried out a

Theoretical Foundation on Information Management and computer security plan. It was used

a Methodological Design and Diagnosis of the research, and there were applied surveys to

students and teachers of the Uniandes. Finally, it was proposed the development of a

computer security plan based on the ISO 27002 standard.

ÍNDICE GENERAL

CARATULA

APROBACION DEL TUTOR

DECLARACIÓN DE AUTENTICIDAD

CERTIFICACION DEL LECTOR

DERECHOS DE AUTOR

DEDICATORIA

AGRADECIMIENTO

RESUMEN EJECUTIVO

ABSTRACT

INTRODUCCIÓN

Actualidad e Importancia .................................................................................... 1

Problema de Investigación ................................................................................. 1

Objetivo General................................................................................................. 3

Objetivos Especificos ......................................................................................... 3

CAPITULO I. FUNDAMENTACIÓN TEÓRICA.

Antecedentes de la Investigación ....................................................................... 4

Actualidad del objeto de estudio de la Investigación ........................................... 5

Software….......................................................................................................... 5

Hardware…. ....................................................................................................... 6

¿Qué es Dato? ................................................................................................... 6

Que es Información ............................................................................................ 7

Importancia de la Información............................................................................. 8

Gestión de la Información………...…………………………………………………....8

Seguridad…. ...................................................................................................... 9

Vulnerabilidades ................................................................................................. 9

Amenazas…………………………..…………………………………………….……10

Confidencialidad……………………………………………………………………....10

Disponibilidad. .................................................................................................. 10

Incidentes de Seguridad ................................................................................... 11

Riesgos ............................................................................................................ 11

Análisis de Riesgos……………………………………………………………...…….12

Seguridad de la Información……………………...…………………………..……...12

Norma ISO 27002………………………..……………………….………………..….13

Plan de Seguridad Informática ………………………………..…………………....15

Los diferentes tipos de Disponibilidad………………………………………..….…..16

Gestión de Seguridad………………..…………………………………………...…..17 CAPITULO II. DISEÑO METODOLOGICO Y DIAGNOSTICO

Tipo de investigación ........................................................................................ 19

Procedimiento para la búsqueda y procesamiento de los datos. ...................... 20

Resultados del diagnóstico de la situación actual. ............................................ 21

Resumen de las principales insuficiencias…. ................................................... 31

CAPITULO III. PROPUESTA DE SOLUCIÓN AL PROBLEMA

Nombre de la propuesta. .................................................................................. 32

Objetivos de la propuesta. ................................................................................ 32

Elementos que conforman la propuesta. .......................................................... 32

Explicación de cómo la propuesta contribuye a solucionar las insuficiencias

identificadas en el diagnóstico………………………………………………….……36

Aplicación práctica total de la propuesta…………………………….……...………71

Acuerdo Confidencial ....................................................................................... 71

Compromiso de la Gerencia con el Plan de Seguridad Informatica..…………….75

Detalle de la Auditoria.………..…………………………………….…………………75

CONCLUSIONES ............................................................................................... 84

RECOMENDACIONES ........................................................................................ 85

BIBLIOGRAFÍA

ANEXOS

ÍNDICE DE TABLAS.

Tabla 1. Población y Muestra………………………………………………..... 20

Tabla 2. Resultados encuesta pregunta 1……………………………………. 21

Tabla 3. Resultados encuesta pregunta 2. …………………………………... 22








Tabla 11. Resultado encuesta pregunta 10. …………………………………... 30

Tabla 12. Identificación de Activos. …………………………………................ 34

Tabla 13. Valoración de Activos. ………………………………….................... 35

Tabla 14. Identificación de Amenazas, vulnerabilidades……………………... 36

Tabla 15. Identificación de Amenazas, vulnerabilidades……………………... 40

Tabla 16. Probabilidad que ocurra la amenaza……………………………….. 44

Tabla 17. Amenazas y vulnerabilidades y probabilidad de ocurrencia……… 45

Tabla 18. Tabla de evaluación de Riesgo……………………………………… 50

Tabla 19. Tratamiento del Riesgo………………………………………………. 51

Tabla 20.

Tabla 21.

Calcular Riesgo………………………………………………………..

Preparación de la declaración de aplicabilidad…………………….

52

62

ÍNDICE DE GRÁFICOS.

Figura 1. Gráfico estadístico Pregunta 1……………………………….. 21

Figura 2. Gráfico estadístico Pregunta 2. …………………………….. 22









Figura 11. Resumen Principales Insuficiencias. …………………… 31

1

INTRODUCCIÓN.

Actualidad e Importancia.

Hoy en día la información es un recurso vital para todas las empresas, la buena

administración de esta significa la diferencia entre el éxito o fracaso para todos

los proyectos que se inicien dentro de una empresa que busca el crecimiento y

el éxito, en este sentido las instituciones deben optar por el empleo de

herramientas tecnológicas que gestionen la información.

En la actualidad la ciudad de Babahoyo capital de la provincia de Los Ríos se ha

transformado al desarrollo tanto económico como social, es por ello que gran

cantidad de instituciones públicas y privadas se han asentado es esta ciudad, las

funciones y operaciones de la mayoría de estas instituciones se encuentran

respaldadas en sistemas informáticos, de ahí surge la necesidad imperiosa de

implementar planes de seguridad informática en las empresas para prevenir y

controlar accesos indebidos y perdida de información.

Por todos estos aspectos expuestos nace la importancia de que toda institución

posea un plan de seguridad informático para asegurar una buena gestión de la

información, UNIANDES extensión Babahoyo asumiendo su responsabilidad de

preservar toda la información de sus estudiantes actualiza su infraestructura

tecnológica y por ende la necesidad de establecer lineamientos y normativas

para el correcto uso de estos.

Problema de Investigación.

Las Tecnologías de la Información y Comunicación avanzan rápidamente en el

mundo actual, constituyéndose en un recurso primordial para las instituciones en

el procesamiento de los datos referentes a las áreas administrativas y

financieras, por ende, se debe tomar las medidas de seguridad oportunas para

proteger la integridad física y lógica de estos.

El 98,5% de los riesgos bancarios en América Latina son informáticos, la falta de

seguridad informática es una de las primordiales causas que originan los

2

problemas en el control, gestión y administración de la información dentro de las

instituciones.

Según diario el Telégrafo, en el Ecuador un alto porcentaje de los delitos

informáticos ocurre por descuido de los usuarios, la mayoría corresponde a

apropiación fraudulenta de información por medios electrónicos. Un estudio

elaborado por la Policía Nacional, Interpol, el centro de respuesta a Incidentes

Informáticos de Ecuador (Ecucert), con el soporte de organismos similares de

América Latina, indica que el 85% de los ataques a los sistemas informáticos son

causados por errores de los consumidores, quienes no toman precauciones al

acceder a las redes sociales, utilizar el correo electrónico, y en el uso de usuario

y contraseña.

La Universidad Regional Autónoma de Los Andes “UNIANDES” extensión

Babahoyo, cuenta con una infraestructura tecnológica que satisface las

demandas de las diferentes Unidades con que cuenta esta institución, pero

carece de vigilancia en determinados servicios como, por ejemplo no existe un

monitoreo de control que dé cumplimiento a las especificaciones técnicas en

cuanto se refiere al acceso a internet y datos, no posee un control de acceso del

personal administrativo a los deferentes equipos informáticos de la institución, el

acceso a los laboratorios de computo carece de seguridad en las puertas de

acceso, no se dispone de un inventario de software, falta de reportes o informes

técnicos de la infraestructura de red.

La institución no cuenta con licencias en la mayoría del software antivirus, lo que

provoca que persistentemente haya infecciones por virus en los equipos

informáticos y en la red de comunicación entre ellos, la institución no cuenta con

un plan de respaldo (backup) de información a pesar de que existen servidores

de datos que trabajan los 360 días del año.

Todo esto conlleva a concluir que Uniandes extensión Babahoyo no cuenta con

un plan de seguridad informática acorde con las debilidades descritas

anteriormente, provocando diversos problemas en el acceso indebido a la

información de la institución, accesos físicos a equipos informáticos no

3

autorizados, robo de hardware y materiales, los empleados no conocen las

políticas de seguridad informática con que debería contar la institución, la perdida

de información es inmutable en las diferentes unidades de la institución por no

existir un plan de backup, no existe un control de acceso de los diferentes

recursos de la red de la institución, no existe un control de acceso a los recursos

compartidos de la red esto aprueba que cualquier usuario acceda y modifique

cualquier recurso a su capricho.

Objetivo General.

Desarrollar un plan de seguridad informática basado en la norma ISO 27002 para

mejorar la gestión de información en el departamento de TIC de la Uniandes

extensión Babahoyo.

Objetivos Específicos:

• Fundamentar teóricamente los aspectos referentes a la gestión de la

información y plan de seguridad informática en base a referencias de

autores nacionales e internacionales.

• Diagnosticar el estado actual de la gestión de información en el

departamento de TIC de la Uniandes Babahoyo.

• Elaborar un plan de seguridad informática basada en la norma ISO 27002.

• Validar la propuesta mediante el método del criterio de expertos.

4

CAPITULO I. Fundamentación Teórica.

Antecedentes de la Investigación.

En una investigación preliminar en el repositorio institucional de la Universidad

Autónoma de Los Andes “Uniandes” se ha encontrado algunos trabajos de grado

a nivel de pregrado y postgrado, relacionados al área del conocimiento del

presente trabajo investigativo, así tenemos:

La tesis de grado del Magister Mejía Viteri, José, (2015). “Plan de seguridad

informática del departamento de Tecnologías de la Información y Comunicación

de la Universidad Técnica de Babahoyo para mejorar la gestión en la

confidencialidad e integridad de la información”, en este trabajo se hace énfasis

en la importancia de la seguridad informática hoy en día en las empresas tanto

públicas como privadas.

La tesis de grado del Magister Santacruz Fernández, Ángel. (2013). “Plan de

seguridad informática y los riesgos operativos en el municipio descentralizado de

Quevedo provincia de Los Ríos”, el autor afirma que: La seguridad informática

se va convirtiendo en una necesidad cada vez más latente en las instituciones.

Es sabido que la tecnología optimiza los procesos y acelera los servicios, pero

también ha dado paso a la manifestación de nuevas formas de delito, con la

finalidad de obtener información o desvíos financieros en forma electrónica.

En el mismo repositorio se encontró el trabajo del señor Rigoberto Gonzalo

Ñauta Benavides, (2015). “Plan de seguridad Informática para mejorar la gestión

de la Información en la Sociedad financiera VISIONFUND-FODEMI de la ciudad

de Ibarra”, el objetivo del presente trabajo es realizar una auditoría informática,

basada el estándar ISO-IEC 27002 como norma establecida para implementar

un plan de seguridad informática.

Investigación en varios repositorios digitales de instituciones de educación

superior del país, se localizaron algunos trabajos que aportaran como

antecedente previo al presente trabajo, entre ellos podemos mencionar:

5

El trabajo de investigación del ingeniero Quirumbay Yagual Daniel, (2015).

“Desarrollo del esquema de seguridad, plan de recuperación ante desastres

informáticos y solución para el nivel de exposición de amenazas y

vulnerabilidades aplicada a los servidores y equipos de comunicación del centro

de datos de la municipalidad de la ciudad de Guayaquil”, de la Escuela Superior

politécnica del Litoral. El autor manifiesta que: El Implementar Seguridad

Informática a las infraestructuras tecnológicas concretamente para el Centro de

Procesamiento de Datos se ha convertido en necesarias debido a que si se logra

estimar la frecuencia con la cual se materializan los riesgos o vulnerabilidades,

así como determinar la magnitud de sus posibles consecuencias

considerando las debidas precauciones, 35 podemos de modo preventivo

tomar medidas para reducir su impacto y evitar la paralización de las

organizaciones o empresas.

Actualidad del objeto de estudio de la investigación.

Software

“El Software son los programas de aplicación y los sistemas operativos que

permiten que la computadora pueda desempeñar tareas inteligentes, dirigiendo

a los componentes físicos o hardware con instrucciones y datos a través de

diferentes tipos de programas.” (Milenium, 2019)

Según Enciclopedia de conceptos (2018) “el software está compuesto por un

conjunto de programas que son diseñados para cumplir una determinada función

dentro de un sistema, ya sean estos realizados por parte de los usuarios o por

las mismas corporaciones dedicadas a la informática.” (Enciclopedia de

Conceptos, 2018)

Tipos de software

• Software de Sistema

• Software de Programación

• Software de Aplicación.

6

Hardware

“Se define al hardware como el conjunto de los componentes que conforman

la parte material (física) de una computadora, a diferencia del software que

refiere a los componentes lógicos (intangibles).” (Julian Perez Porto y Maria

Merino, 2008)

Según (Julian Perez Porto y Maria Merino, 2008) argumenta que:

En el caso de la informática y de las computadoras personales, el

hardware permite definir no sólo a los componentes físicos

internos (disco duro, placa madre, microprocesador, circuitos,

cables, etc.), sino también a los periféricos (escáner, impresoras).

El hardware suele distinguirse entre básico (los dispositivos

necesarios para iniciar el funcionamiento de un ordenador)

y complementario (realizan ciertas funciones específicas).

En cuanto a los tipos de hardware, pueden mencionarse a

los periféricos de entrada (permiten ingresar información al

sistema, como el teclado y el mouse), los periféricos de

salida (muestran al usuario el resultado de distintas operaciones

realizadas en la computadora.

¿Qué es Dato?

Según (Patricia Dip, 2009) argumenta que:

Los datos son números, letras o símbolos que describen objetos,

condiciones o situaciones. Son el conjunto básico de hechos

referentes a una persona, cosa o transacción de interés para

distintos objetivos, entre los cuales se encuentra la toma de

decisiones. Desde el punto de vista de la computación, los datos

se representan como pulsaciones o pulsos electrónicos a través de

la combinación de circuitos (denominados señal digital). Pueden

ser:

• Datos Alfabéticos (las letras desde A a la Z).

• Datos Numéricos (por ejemplo del 0 al 9).

https://definicion.de/software/

7

• Datos Simbólicos o de Caracteres Especiales (por ejemplo %,

$, @, #, etc.).

Según (Enciclopedia de Conceptos, 2018) argumenta que:

Un dato es la representación de una variable que puede ser

cuantitativa o cualitativa, indican un valor que se le asigna a las

cosas. Los datos son información. Los datos describen en

su conjunto nos hablan de hechos empíricos. Un dato por sí solo

no puede demostrar demasiado, siempre se evalúa el conjunto

para poder examinar los resultados. Para examinarlos, primero hay

que organizarlos o tabularlos.

En informática, en programación, un dato es la expresión general

que va a describir aquellas características de la entidad sobre la

que opera. En la estructura de datos, un dato es la más mínima

parte de la información.

Dentro de los archivos también encontramos datos. Estos datos

consisten generalmente en paquetes más pequeños de otros

datos, que son llamados registros. Estos datos están reunidos por

características iguales o similares.

¿Qué es Información?

Según Idalberto Chiavenato, información "es un conjunto de datos con

un significado, o sea, que reduce la incertidumbre o que aumenta el conocimiento

de algo. En verdad, la información es un mensaje con significado en un

determinado contexto, disponible para uso inmediato y que proporciona

orientación a las acciones por el hecho de reducir el margen de incertidumbre

con respecto a nuestras decisiones" (Idalberto, 2006, pág. 110).

Para Ferrell y Hirt, la información "comprende los datos y conocimientos que se

usan en la toma de decisiones" (Ferrell & Geoffrey, 2004, pág. 121)

https://concepto.de/que-es-un-conjunto/

https://concepto.de/informatica/

https://concepto.de/programacion/

8

Ambos autores ven a la información como un grupo de datos que tienen un

significado dentro de un contexto, facilitando la toma de decisiones.

Importancia de la Información.

La relación indisoluble que se establece entre la información, el conocimiento, el

pensamiento y el lenguaje se explica a partir de comprender que la información

es la forma de liberar el conocimiento que genera el pensamiento humano. Dicha

liberación se produce mediante el lenguaje oral, escrito, gesticular, etc. Un

sistema de señales y símbolos que se comunican de alguna manera. (Alonso,

1997, pág. 109).

La información "consiste en datos seleccionados y ordenados con un propósito

específico. (Czinkota & Kotabe , 2001, pág. 115)

En todas las épocas la información ha sido considerada como algo vital en la

actividad del hombre. Así como el uso y la generación de la misma siendo uno

de los activos más importantes de cualquier empresa.

Gestión de la información.

“Gestión de Información incluye el planeamiento de la política informativa de toda

la organización, el desarrollo y mantenimiento de sistemas y servicios

integrados, la optimización de los flujos de información y el fortalecimiento de las

tecnologías para satisfacer los requerimientos funcionales de los usuarios”

(Ponjuán Dante, 2011)

La gestión de la información “se puede identificar como la disciplina que se

encargaría de todo lo relacionado con la obtención de la información adecuada,

en la forma correcta, para la persona indicada, al coste adecuado, en el momento

oportuno, en el lugar apropiado y articulando todas estas operaciones para el

desarrollo de una acción correcta” (Pérez-Montoro, 2009).

Ambos autores mencionan que la gestión de la información trata de recopilar e

identificar los datos necesarios para de esta forma poder cumplir y llegar a

satisfacer las distintas necesidades que el usuario o la empresa lo requieran.

9

Seguridad

David A. Baldwin, aborda la conceptualización de la seguridad desde una

perspectiva realista, aplicada al actual contexto de la seguridad internacional,

que requiere resolver los problemas que afectan a los diversos países que

integran la Comunidad Mundial, los que necesariamente requieren comprender

los fundamentos que debiesen sustentar las acciones que cada Estado necesita

adoptar para llegar a soluciones viables y sustentables. (BALDWIN A. , 1997,

pág. 5).

Según Jesús rodea (1994). Seguridad un estado de cualquier sistema

(informático o no) que nos indica que ese sistema está libre de peligro, daño o

riesgo.

Seguridad significa mantener de forma íntegra cualquier información o dato ya

sea usando sistemas de seguridad informática que ayudaran a mantener segura

la información.

Vulnerabilidades.

Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un

sistema de información que pone en riesgo la seguridad de la información

pudiendo permitir que un atacante pueda comprometer la integridad,

disponibilidad o confidencialidad de la misma. (Instituto Nacional de

Ciberseguridad, 2017).

Todos los puntos débiles o frágiles que se considera que tiene un programa

determinado y que pueden hacer que aquel sea atacado por virus de diversa

tipología. (Perez Porto & Merino, 2010)

Las vulnerabilidades son estados, características de los sistemas que hacen

posible ser sensibles a las amenazas.

10

Amenazas.

Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar

contra la seguridad de un sistema de información. (Instituto Nacional de

Ciberseguridad, 2017)

Se puede definir como amenaza a todo elemento o acción capaz de atentar

contra la seguridad de la información. (Luan, s.f.)

En cuanto a amenazas se menciona como un acto de aprovecharse de las

vulnerabilidades de cualquier sistema, pudiendo ser este sujeto a fallos debido a

las debilidades que se pudieren presentar.

Confidencialidad.

La información debe estar disponible solamente para aquellos usuarios

autorizados a usarla. (Gehrkea, Pfitzmann, & Kai, 1992).

El término 'confidencial' hace referencia a "Que se hace o se dice en confianza

o con seguridad recíproca entre dos o más personas." (Mifsud, 2012)

Confidencialidad se refiere a la forma en la que el usuario puede ingresar a cierta

información, pasando por un filtro de seguridad la cual asegure que la

información que será mostrada al usuario mediante previa autorización y de una

forma controlada.

Disponibilidad.

En general, el término 'disponibilidad' hace referencia a una cualidad de

'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que

está lista para usarse o utilizarse." (Mifsud, 2012)

En términos de seguridad de la información, la disponibilidad hace referencia a

que la información del sistema debe permanecer accesible a elementos

autorizados. (Mifsud, 2012).

11

La disponibilidad no es más que tener la información de primera mano y al

momento deseado, garantizando también de esta forma el acceso íntegro y

seguro.

Incidentes de seguridad.

Un incidente de seguridad de la información se define como un acceso, intento

de acceso, uso, divulgación, modificación o destrucción no autorizada de

información; un impedimento en la operación normal de las redes, sistemas o

recursos informáticos; o una violación a la Política de Seguridad de la

Información. (Universidad Nacional de Lujan, 2008).

Según la norma ISO 27035, un Incidente de Seguridad de la Información es

indicado por un único o una serie de eventos seguridad de la información

indeseada o inesperada, que tienen una probabilidad significativa de

comprometer las operaciones de negocio y de amenazar la seguridad de la

información. (Organización Internacional de Normalización, ISO., 2011).

Los incidentes a la seguridad no es más que un intento de acceder, modificar,

utilizar de forma no autorizada la información.

Riesgo.

Riesgo se refieren a la probabilidad de ocurrencia de un evento dado. (SURA,

2011).

El riesgo es la probabilidad de que se produzca un incidente de seguridad,

materializándose una amenaza y causando pérdidas o daños. (Instituto Nacional

de Ciberseguridad, 2017)

Se dice que un riesgo es básicamente cuando ocurre cierto evento, cuando

alguna vulnerabilidad fue explotada y sucede un evento el mismo que producirá

algún tipo de daño o impacto.

12

Análisis del Riesgo.

El análisis de riesgos es la herramienta a través de la cual se puede obtener una

visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene

como propósito identificar los principales riesgos a los que una entidad está

expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos

introducidos por el propio personal. (Huerta, 2012)

El análisis de los riesgos determinará cuáles son los factores de riesgo que

potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto,

deben ser gestionados por el emprendedor con especial atención. (Madrid ORG,

s.f.)

El análisis de riesgo es tener en cuenta el alcance del proyecto, así como

también los activos de información, seguidamente identificar las amenazas que

pueden afectar a esos activos y de esta forma mejorar la seguridad y las medidas

para salvaguardar la información.

Seguridad de la información.

La Seguridad de la Información, según ISO27001, se refiere a la

confidencialidad, la integridad y la disponibilidad de la información y los datos

importantes para la organización, independientemente del formato que tengan,

estos pueden ser: Electrónicos, en papel, audio y vídeo, etc. (ISOTools

Excellence, 2015).

La Seguridad de la Información consiste en asegurar que los recursos del

Sistema de Información de una empresa se utilicen de la forma que ha sido

decidido y el acceso de información se encuentra contenida, así como controlar

que la modificación solo sea posible por parte de las personas autorizadas para

tal fin y por supuesto, siempre dentro de los límites de la autorización. (ISO Tools,

2015).

13

La seguridad de la información tiene como fin resguardar los activos de

información, de esta forma no se permite violaciones de seguridad permitiendo

mantener a los datos íntegros, seguros y confiables.

Norma ISO 27002

La ISO 27002 es una norma internacional enfocada a todo tipo de empresas,

la cual permite el aseguramiento, la confidencialidad e integridad, tanto de los

datos como de los procesos que se manejan.

Según (ISOTools, 2017) argumenta que:

La norma ISO 27002 (anteriormente denominada ISO 17799) es

un estándar para la seguridad de la información que ha publicado

la organización internacional de normalización y la comisión

electrotécnica internacional. La versión más reciente de la norma

ISO 27002:2013.

La norma ISO 27002 proporciona diferentes recomendaciones de

las mejores prácticas en la gestión de la seguridad de la

información a todos los interesados y responsables para iniciar,

implementar o mantener sistemas de gestión de la seguridad de la

información. La seguridad de la información se define en el

estándar como “la preservación de la confidencialidad, integridad y

disponibilidad. Para saber más sobre los demás dominios puede

leer La norma ISO 27002 complemento para la ISO 27001.

La norma ISO 27002 se encuentra enfocada a todo tipo de

empresas, independientemente del tamaño, tipo o naturaleza.

La norma ISO 27002 se encuentra organizado en base a los 14

dominios, 35 objetivos de control y 114 controles.

El contenido de las políticas se basa en el contexto en el que opera

una empresa y suele ser considerado en su redacción todos los

fines y objetivos de la empresa, las estrategias adoptadas

para conseguir sus objetivos, la estructura y los

procesos utilizados.

http://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-para-la-iso-27001/

14

La política de alto nivel se encuentra relacionada con un Sistema

de Gestión de Seguridad de la Información que suele estar

apoyada por políticas de bajo nivel, específicas para aspectos

concretos en temáticas como el control de accesos, la clasificación

de la información, la seguridad física y ambiental, utilizar activos,

dispositivos móviles y protección contra los malware.

Según (Gupta, 2005) determina los siguientes controles de seguridad:

• Seguridad Física y ambiental

• Seguridad en las Operativas

• Seguridad en las Telecomunicaciones

• Control de accesos

• Gestión de activos

• Cifrados

• Políticas de seguridad

• Aspectos organizativos

• Seguridad ligada a los recursos humanos

• Relaciones con los Suministradores

• Gestión de Incidentes

• Gestión de la Continuidad de Negocio

• Cumplimiento

• Adquisición, desarrollo y mantenimiento de los sistemas de información

Según (Fernández & Álvarez, 2012) El objetivo principal es:

Servir de guía para el desarrollo de pautas de seguridad internas y

prácticas efectivas de gestión de la seguridad. Por ello, la elección

de los controles permanece sujeta a lo detectado en un análisis de

riesgos previo, y el grado de implementación de cada uno de los

controles se llevará a cabo de acuerdo a los requisitos de seguridad

identificados y a los recursos disponibles de la organización para

alcanzar así un balance razonable entre seguridad y coste.

15

Plan de Seguridad Informática.

Según Kimball (2011): “Un plan de seguridad es de naturaleza estratégica y es

la base del programa de seguridad, y proporciona un marco para el cumplimiento

constante y futuro de puntos de respuesta de seguridad pública” (Kimball, 2011).

Según Valencia (2018): “Un plan de seguridad informática te permite entender

donde puedes tener vulnerabilidades en tus sistemas informáticos, para una vez

detectadas, tomar las medidas necesarias para prevenir esos problemas”

(Valencia, 2018).

Pasos para elaborar un plan de seguridad informática:

• Identificación

• Evaluación de riesgos

• Prioriza Protección

• Tomar las preocupaciones adecuadas

(Martagmx, 2015) Argumenta que: “La seguridad informática tiene técnicas o

herramientas llamados mecanismos que se utilizan para fortalecer la

confidencialidad, la integridad y/o la disponibilidad de un sistema informático”.

Lo que se describe en un plan de seguridad informática es como de definen las

políticas, que medidas y que procedimientos se implementan para garantizar que

tanto la estructura física como la información estén seguras. Es por ello, que los

especialistas de seguridad de las empresas, definen que es muy importante

definir el alcance de seguridad informática, estableciendo prioridades y que

acciones se deben tomar según los recursos informáticos con la que cuente la

organización. Si lugar a dudas tanto la seguridad física y lógica constituyen dos

importantes aspectos del plan de seguridad informática, siendo necesarios para

brindar seguridad a la empresa.

Según (TBS, 2008) argumenta que:

Un programa de seguridad nunca se “termina”, siempre está

en el proceso de iterar a través del ciclo de vida del programa

para todas las áreas que define. Evalúa riesgos, hace planes

para mitigarlos, implementa soluciones, supervisa para

16

asegurarse de que funcionan como se espera y utiliza esa

información como información para su próxima fase de

evaluación. Del mismo modo, el documento del programa de

seguridad tiene incorporado este ciclo de vida, ya que

especifica con qué frecuencia volverá a evaluar los riesgos

que enfrenta y actualizará el programa en consecuencia.

Los diferentes tipos de disponibilidad.

La disponibilidad de la información va mucho más allá de que esta esté ahí

cuando se necesite. La disponibilidad conlleva en poner en marcha mecanismos

de seguridad que garanticen que las personas autorizadas puedan acceder a

esa información de manera rápida y sencilla en cualquier momento y en cualquier

lugar.

Para entender el amplio concepto de la disponibilidad, se tiene que abordar

ciertos conceptos, para tener claro este concepto de vital importancia para la

seguridad de la información.

La accesibilidad, va de la mano con la disponibilidad, porque garantiza que solo

usuarios autorizados a los procesos, servicios o procesos con los que se

disponen en la organización sin riesgo de que este pueda ser alterada.

La prevención, se refiere a desarrollar diferentes mecanismos que eviten un

ataque de negación de servicios, que provoca que terceras personas hagan que

el sistema de accesibilidad puesto en marcha falle. Es por ello que en la

prevención se diseñan diversos protocolos que impidan este tipo de ataques y

además dar solución en caso de que ocurran.

La seguridad, establece que sólo personas autorizadas por la organización

pueden tener acceso a la información, donde se deben utilizar protocolos de

seguridad determinados que depende de las necesidades de la empresa, y que

son necesarios para evitar que el sistema sea vulnerado por intrusos.

17

La disponibilidad informática forma parte en cada proceso que se realiza en la

empresa, es por eso que se deben establecer estrategias para que se garantice

la seguridad de la información para que esta sea de calidad, proceso que debe

ser crucial para cualquier empresa.

En pocas palabras, se puede decir que la disponibilidad de la información trabaja

en que se garantice que solo personas que estén autorizadas puedan acceder a

ella, donde se implementan procesos de seguridad necesarios para evitar un

ataque, puesto que la información es un recurso que muchas empresas deben

empezar a valorar primordialmente.

En general, la disponibilidad de los datos se logra a través de la redundancia

que implica dónde se almacenan los datos y cómo se puede alcanzar. Algunos

proveedores describen la necesidad de tener un centro de datos y

un almacenamiento centrado en lugar de una filosofía y un entorno centrados en

el servidor.

Existen dos tipos de disponibilidad: “la ideal o predecida y la ajustada u

operacional.” (Rouse, Data Availability, s.f.)

Gestión de la seguridad.

El autor Álvaro Gómez, en su obra Enciclopedia de la Seguridad Informática,

define el Sistema de Gestión de la Seguridad de la Información

(SGSI) como: “aquella parte del sistema general de gestión que comprende la

política, la estructura organizativa, los recursos necesarios, los procedimientos y

los procesos necesarios para implantar la gestión de la seguridad de la

información en una organización.” (Gomez, 2011)

Según la ISO, gestión de la seguridad es: garantizar que los riesgos de la

seguridad de la información sean conocidos, asumidos, gestionados y

minimizados por la organización de una forma documentada, sistemática,

estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en

los riesgos, el entorno y las tecnologías. (ISO 27000.es)

18

Hay que destacar que en la práctica no se garantiza una seguridad al cien por

ciento en la información, ya que resulta muy complejo eliminar todos los riesgos

que existan. Lo que sí se puede hacer es gestionarlos, de esta forma los riesgos

son reducidos al mínimo poniendo en marcha tareas, procedimientos, programas

y políticas que permitan asegurar la información en una organización. (ISO

27000.es)

19

Capitulo II. Diseño metodológico y Diagnóstico.

Para el desarrollo del presente trabajo investigativo, se empleará los siguientes

tipos de investigación:

• Bibliográfica: Este tipo de investigación nos permitirá recopilar la

información existente en libros, revistas e internet, con ello se desarrolla

el marco teórico donde se fundamentará científicamente las siguientes

variables: Plan de seguridad informática y la gestión de información.

• De campo: Esta investigación se lleva a cabo en el departamento de TIC

de la Uniandes Babahoyo en donde se recopila los síntomas de la

problemática. Este proceso investigativo se lo desarrollo llevando a cabo

encuestas y una entrevista a los involucrados en la problemática.

• Aplicada: Este tipo de investigación nos permite fusionar el aspecto

teórico con lo práctico del trabajo de grado.

La investigación de campo sé llevara a cabo utilizando los siguientes métodos:

• Histórico – Lógico: La historicidad de la gestión de información del

departamento de TIC de la Uniandes Babahoyo es muy importante para

el diagnóstico de la problemática.

• Analítico – Sintético: Este par dialectico será útil, el momento de elaborar

el fundamento científico que sustenta la solución del problema.

• Inductivo – Deductivo: En el desarrollo del trabajo investigativo se induce

una solución particular para deducir una solución general a la

problemática.

Población y Muestra.

Se les considera como población a todos los sujetos inmersos en la gestión de

la información en el departamento de TIC de la Uniandes extensión Babahoyo,

y está estará estructurada de la siguiente forma:

20

Tabla 1: Población y muestra. Fuente: Autor del proyecto de investigación.

En nuestro caso la población es pequeña por lo que se trabajara con toda ella.

El plan de recolección de la información para el presente trabajo será el

siguiente: En lo que se refiere a las técnicas que se aplicaran en este proceso

investigativo son: las encuestas que se llevó a cabo al personal administrativo y

directivos.

Los instrumentos investigativos asociados a las técnicas son: los

cuestionarios que se utilizarán para las encuestas orientado a los administrativos

y directivos.

Procesamiento y Análisis de la información recabada mediante las encuestas

aplicadas al personal administrativo y directivos de la Uniandes extensión

Babahoyo es la siguiente:

FUNCIÓN NÚMERO

Administrativos. 20

Directivos. 5

TOTAL 25

21

Pregunta No. 1.

¿Considera usted que en el departamento donde labora existen medidas de

seguridad para el manejo de la información?

RESPUESTA FRECUENCIA PORCENTAJE

Si 4 61%

No 21 39%

Total 25 100%

Tabla 2. Pregunta No 1

Fuente: Autor del Proyecto de Investigación

Figura 1. Gráfico Estadístico Pregunta No 1


Análisis e Interpretación.

En esta pregunta podemos observar que el 84% de los encuestados indica que

no existe medidas de seguridad en el departamento que labora y el 16% indica

que sí. Podemos concluir que los encuestados no tienen conocimiento sobre

medidas de seguridad informativa para el manejo de la información en la

institución.

16%

84%

Pregunta No. 1

Si No

22

Pregunta No. 2.

¿Usted tienen conocimiento de la existencia de alguna normativa que determine

el tiempo en que se debe respaldar la información que usted maneja en la

institución?


Si 0 00%

No 25 100%

Total 25 100%






En esta pregunta podemos observar que el 100% de los encuestados

manifiestan que no existe una normativa que indique cada que tiempo se debe

respaldar la información. Podemos concluir que la institución no posee políticas

de seguridad para la gestión de la información.

100%

Pregunta No. 2

Si No

23

Pregunta No. 3.

¿En el departamento que usted labora, el personal que accede a la información

es debidamente autorizado?


Si 5 20%

No 20 80%

Total 25 100%






En esta pregunta podemos observar que el 80% de los encuestados manifiestan

que el acceso a la información no es restringido y el 20% dice que sí. Podemos

concluir que no existe mecanismos que restringa el acceso a la información por

parte del personal que labora en los diferentes departamentos de la institución.

20%

80%

Pregunta No. 3

Si No

24

Pregunta No. 4.

¿Usted algún momento ha proporcionado su clave y contraseña a otra persona

para que acceda algún servicio o información dentro o fuera de la institución?


Si 15 60%

No 10 40%

Total 25 100%






Podemos observar en esta pregunta que el 60% de los encuestados han

facilitado su credencial para que otras personas aun sin pertenecer a la

institución accedan a servicios o a la información, el 40% restante manifiesta que

nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir

que la mayoría del personal no tiene preceptos sobre la seguridad que ellos

deben tener sobre la gestión de la información.

60%

40%

Pregunta No. 4

Si No

25

Pregunta No. 5.

¿Usted tiene conocimiento que su contraseña de acceso debe ser cambiada o

modificada en determinados periodos de tiempo por seguridad?


Si 3 12%

No 22 88%

Total 25 100%






Podemos observar en esta pregunta que el 60% de los encuestados han

facilitado su credencial para que otras personas aun sin pertenecer a la

institución accedan a servicios o a la información, el 40% restante manifiesta que

nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir

que la mayoría del personal no tiene preceptos sobre la seguridad que ellos

deben tener sobre la gestión de la información.

12%

88%

Pregunta No. 5

Si No

26

Pregunta No. 6.

¿En el departamento que usted labora, ejecutan algún procedimiento que

permita detectar y eliminar virus de los diferentes dispositivos de

almacenamiento externos, antes de la utilización en los computadores de la

institución?


Si 7 28%

No 18 72%

Total 25 100%






En esta pregunta podemos observar que el 72% de los encuestados no realizan

un análisis y eliminación de virus a los dispositivos externos antes de su

utilización en las computadoras de la institución, el 28% restante manifiesta que

si ejecutan este procedimiento. Podemos concluir que la mayoría del personal

no tiene el conocimiento sobre medidas a tomar para asegurar la gestión de la

información.

28%

72%

Pregunta No. 6

Si No

27

Pregunta No. 7.

¿Cuál de los siguientes servicios informáticos son los más utilizados en su

departamento para la gestión de la información?


Internet. 11 44%

Correo Electrónico. 6 24%

Redes Sociales. 3 12%

Páginas Web. 4 16%

Aplicaciones

Contables.

1 4%

Total 25 100%






En esta pregunta podemos observar que los servicios más utilizados por el

personal encuestado para el desarrollo de sus actividades cotidianas es el

Internet con el 44% y el correo electrónico con un 24%.

44%

24%

12%

16%

4%

Pregunta No. 7

Internet. Correo Electrónico. Redes Sociales.

Páginas Web. Aplicaciones Contables.

28

Pregunta No. 8.

¿En el departamento que usted labora, existe alguna restricción en la navegación

por internet?


Si 1 4%

No 24 96%

Total 25 100%






En esta pregunta podemos observar que el 96% de los encuestados manifiestan

que no existe un control en la navegación por internet dentro de los

departamentos de la institución, el 4% restante manifiesta que alguna vez le

mencionaron que no se debe acceder a algunas páginas web. Podemos concluir

que la navegación en internet es utilizada por todo el personal y no existe alguna

medida de seguridad que restringa el acceso a páginas o direcciones peligrosas.

4%

96%

Pregunta No. 8

Si No

29

Pregunta No. 9.

¿Recuerda usted si algún momento en la ejecución de sus actividades cotidianas

dentro de la institución, ha sufrido de perdida de información o contagio de virus

informáticos?


Si 23 92%

No 2 8%

Total 25 100%






En esta pregunta podemos observar que el 92% de los encuestados han

experimentado alguna vez robo de información o contagio con virus informáticos

en el desarrollo de sus actividades dentro de la institución, el 8% restante

manifiesta que no. Podemos concluir que se debe implementar políticas de

seguridad para el manejo de la tecnología informática.

92%

8%

Pregunta No. 9

Si No

30

Pregunta No. 10.

¿Usted está de acuerdo que se debe incorporar un plan de seguridad informático

el cual establezca políticas para el manejo de la Tecnología Informática en los

de gestión de la información?


Si 25 100%

No 0 0%

Total 25 100%






En esta pregunta podemos observar que la totalidad de los encuestados están

de acuerdo que se incorpore un plan de seguridad informático para regularizar

el uso de la tecnología informática y mejorar la gestión de la información en la

institución.

100%

Pregunta No. 10

Si No

31

Resumen de las principales insuficiencias detectadas con la aplicación de los

métodos investigativos.

Figura 11. Resumen Principales Insuficiencias


Gestión de información en el departamento

de TIC de la Uniandes extensión Babahoyo

No posee un control de acceso del personal a los

deferentes equipos informáticos.

No existe un monitoreo que

permita controlar el acceso a

internet y datos.

No cuenta con licencias en la mayoría del

software antivirus.

No cuenta con un plan de respaldo

(backup) de información .

No existe un reglamento para el uso de claves y

contraseñas.

32

Capitulo III. Propuesta de solución al problema.

Desarrollo de un Plan de seguridad de la información para el departamento de

TIC de la Uniandes Extensión Babahoyo a través de implementación de

controles de la Norma ISO 27002.

Objetivos:

Objetivo General.

Desarrollar un Plan de Seguridad de la Información con la aplicación de controles

de la Norma ISO 27002.

Objetivos Específicos:

• Determinar el Hardware y software que se utiliza para la gestión de la

información del departamento de TIC de la Unidades Extensión

Babahoyo.

• Realizar el análisis de riesgo de la información basado en la Norma ISO

27002

• Desarrollar el plan de seguridad aplicando los dominios, objetivo y

controles de la Norma ISO 27002.

Elementos que la conforman la propuesta.

Situación previa de la seguridad informática en el caso de estudio.

El departamento de tecnologías de la información y comunicación de la extensión

Babahoyo se encuentran varios dispositivos y software que provee de servicios

a sus empleados, docentes y estudiantes, por eso es indispensable implementar

medidas de seguridad, pero de una forma organizada para asegurar la

información, porque como se demuestra en el diagnostico existe riesgo de

afectar los tres pilares de la seguridad (confidencialidad, integridad y

disponibilidad).

Análisis de Riesgo.

Consiste en realizar los siguientes procedimientos:

• Identificación de los activos

33

• Identificación de requerimientos legales y comerciales

• Valoración de Activos

• Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia

• Análisis de riesgo y su evaluación.

El riesgo se obtiene a través de la Norma 27002 que establece de forma

detallada el procedimiento para poder realizar este análisis al hardware y

software de la infraestructura, demás brinda un listado detallado de amenazas y

vulnerabilidades que través de la observación puede ser aplicada a la

infraestructura.

Criterio de evaluación del riesgo.

Para evaluar el riesgo está determinado por documentación donde existirá la

siguiente información:

• Los criterios con que se evaluara el riesgo.

• Realizar la valoración del riesgo y establecer un plan de tratamiento del

riesgo.

• Identificación de los niveles de riesgo aceptados por las autoridades.

• Definir e implementar las políticas y los procedimientos que incluyan la

implementación de los controles seleccionados. (ISO 27002,2009).

Enfoque para el cálculo del Riesgo

Esta dado por los requisitos de la organización, previamente se define el alcance,

este se debe definir para limitar el plan de seguridad, en caso contrario

podríamos abordar aspectos innecesarios y exceso detalles que complican la

implementación. Porque la disponibilidad, la confidencialidad e integridad deben

estar en equilibrio, esto quiere decir por ejemplo si la información de un equipo

está protegida por muchas contraseñas difíciles de recordar se pierde la

disponibilidad en caso contrario que esta información no posea una clave y sea

accesible por cualquier persona se pierde la confidencialidad. (Mejía José,2014).

Proceso para el cálculo del riesgo.

Este se obtiene siguiendo los siguientes procesos:

34

Identificación de los activos.

Según la norma ISO 27002 tenemos:

Activos Primarios.

Son aquellos que implican procesos del negocio.

Información.

Activos de Soporte. Estos dependen los elementos primarios del alcance, de

todos los tipos: Hardware, software, redes, personal, sitio, estructura de la

organización.

Identificación de los Activos.

En este proceso se realiza un levantamiento de todo el hardware, software y

documentación de la infraestructura seleccionada y se le asigna el área

responsable de su gestión y mantenimiento.

ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN

SWICH REDES Y TELECOMUNICACIONES

TRANSEIVER REDES Y TELECOMUNICACIONES

FIBRA OPTICA REDES Y TELECOMUNICACIONES

ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES

ROUTERS REDES Y TELECOMUNICACIONES

ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES

ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES

CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES

SERVIDOR MANTENIMIENTO Y SOPORTE

EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE

INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE

CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE

DISCOS DUROS DE SERVIDOR MANTENIMIENTO Y SOPORTE

35

UPS MANTENIMIENTO Y SOPORTE

SISTEMA OPERATIVO WINDOWS SERVER 2008(R2)

MANTENIMIENTO Y SOPORTE

ANTIVIRUS MANTENIMIENTO Y SOPORTE

CORREO ELECTRONICO DESARROLLO

MOODLE DESARROLLO

WEB SITE DESARROLLO

SEGUIMIENTO GRADUADOS DESARROLLO

ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES

TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTE

Tabla 12. Identificación Activos


Valoración de los activos.

En esta etapa se toma en cuenta la funcionalidad de cada hardware y software,

es decir cómo afectaría a la totalidad de mi infraestructura si llegase a ocurrir una

amenaza.

La norma ISO 27002 establece varios criterios para la valoración de activos, pero

el seleccionado es el que se detalla a continuación.

PARAMETROS

VALORACION

DEPENDENCIA FUNCIONALIDAD INTEGRIDAD,

CONFIDENCIALIDAD Y DISPONIBILIDAD

1 MUY BAJO

Este activo es independiente de otro, no afecta la infraestructura o servicios.

Este activo tiene funcionalidades muy limitadas.

La difusión, alteración y no disponibilidad de su configuración afecta de forma insignificante a los servicios.

2 BAJO

Existen activos que dependen de este, pero no afecta en gran medida.

Este activo tiene funcionalidades limitadas.

La difusión, alteración y no disponibilidad de su configuración afecta

36

Tabla 13. Valoración de Activos.

Fuente: ISO 27002

Para la valoración de los activos que es el primer proceso para iniciar el análisis

de riesgo se procederá a valorarlo debido a la perdida de uno o varios de los tres

factores que determinan la seguridad de la información como resultado de un

incidente la calificación en este caso será cuantitativa.

Explicación de cómo la propuesta contribuye a solucionar las

insuficiencias identificadas en el diagnóstico.

A través de la identificación de las amenazas y vulnerabilidades que afectan a

la infraestructura tecnología podremos realizar una valoración de riesgo y luego

implementar controles para mitigar ese riesgo.

Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia.

En este proceso es muy importante la participación de todo el personal de TIC

porque se encuentran en contacto diario con la infraestructura, además se debe

realizar inspección física y revisión de documentos como por ejemplo las

licencias de los equipos.

de forma en parte la entrega de servicios.

3 MEDIO

Una mínima cantidad de servicios y demás activo dependen de él.

Este activo tiene funcionalidades avanzadas.

La difusión, alteración y no disponibilidad de su configuración afecta significativamente la entrega de servicios.

4 ALTO

Una gran cantidad de servicios y otros activos se ven afectados por su mala funcionalidad.

Este activo tiene funcionalidades muy avanzadas.

La difusión, alteración y no disponibilidad de su configuración afecta de forma grave la entrega de servicios.

5 CRITICO

Todos los servicios e infraestructura dependen de este activo.

Este activo tiene funcionalidades de última generación.

La difusión, alteración y no disponibilidad de su configuración afecta de forma total entrega de servicios.

37

ACTIVOS DE SOPORTE FUNCIONES CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD PROMEDIO

SWICH

controla conectividades hacia los equipos de los empleados y laboratorios si existe una falla se puede cambiar, pero se pierde el servicio.

3 3 3 3

TRANSEIVER

realiza funciones de recepción de una comunicación, que permite un procesamiento para también realizar la Transmisión de esta información.

2 2 5 3

FIBRA OPTICA

provee la conexión de servicios de internet de los proveedores y hacia las diferentes dependencias de la Universidad.

2 2 5 3

ROUTER INALAMBRICO provee de servicios de internet al campus universitario

3 5 5 5

ROUTERS poseen configuradas las redes de las diferentes dependencias y unidades de la Uniandes

4 5 5 5

ARMARIO RACKEABLE mantiene organizado y estable toda la parte física de la infraestructura tecnológica

3 3 3 3

ORGANIZADORES DE CABLE mantiene organizados los cables identificados a quienes les provee conectividad

1 1 1 1

CABLEADO ESTRUCTURADO provee de conectividad a las estaciones de trabajo y dispositivos

5 3 3 4

38

SERVIDOR

contiene la configuración de los software y servicios de la Universidad y tienen alojada base de datos

4 4 5 4

EQUIPOS DE ESCRITORIO permite acceder a los servicios y acceso a las redes

5 5 4 5

INSTALACION ELECTRICA da energía a todos los equipos de la universidad

2 2 3 3

CENTRAL DE AIRE

mantiene en clima apropiado a los dispositivos de la data center para evitar daños por calentamiento

2 4 3 3

DISCOS DUROS DE SERVIDORES

mantiene la información de la configuración e información de los softwares de la universidad

3 4 5 4

UPS mantiene energía de reserva hasta por seis horas en caso de fallas eléctricas

2 2 5 3

SISTEMA OPERATIVO WINDOWS SERVER

permite ejecutar las aplicaciones y accesos a los equipos de escritorio a estos servicios

5 5 5 5

ANTIVIRUS permite mantener alertas y limpieza de amenazas en los equipos de escritorio

1 3 2 2

CORREO ELECTRONICO permite enviar y recibir correo electrónico

2 2 2 2

WEB SITE espacio de información a la comunidad universitaria hacia el público en general

4 5 4 4

ADMINISTRADOR DE RED persona que este cargo y tiene conocimiento sobre la gestión y configuración de la red

5 4 5 5

39

TECNICO DE SOPORTE

persona que se encarga de dar mantenimiento y soporte a las fallas de la infraestructura tecnológica

5 4 3 4

ACTIVOS DE INFORMACIÓN

LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2

documento que otorga el serial para la activación del software del equipo

5 4 4 4

GARANTIAS DE SERVIDORES documento que establece criterios y tiempo de garantía de los equipos

5 4 4 4

GARANTIAS DE ROUTER Y SWICH CISCO

documento que establece criterios y tiempo de garantía de los equipos

5 4 4 4

GARANTIAS DE SWICH HP documento que establece criterios y tiempo de garantía de los equipos

5 4 4 4

Tabla 14. Identificación de Amenazas, vulnerabilidades.

Fuente: Autor del Proyecto de Investigación.

40

Luego de Realizar la valoración del activo se procede a seleccionar de la lista que

proporciona ISO 27002 las amenazas y vulnerabilidades que podrían afectar su correcto

funcionamiento, a continuación, se detalla el listado.

Tipos Ejemplos de

vulnerabilidades Ejemplos de amenazas

Hardware

Mantenimiento insuficiente/instalación fallida de los medios de almacenamiento.

Incumplimiento en el mantenimiento del sistema de información

Falta de esquemas de reemplazo periódico. Susceptibilidad a la humedad, el polvo y la suciedad

Destrucción del equipo o los medios. Polvo, corrosión, congelamiento

Sensibilidad a la radiación electromagnética

Radiación electromagnética

Falta de control de cambio con configuración eficiente

Error en el uso

Susceptibilidad a las variaciones de tensión

Pérdida del suministro de energía

Susceptibilidad a las variaciones de temperatura

Fenómenos meteorológicos

Almacenamiento sin protección Hurto de medios o documentos

Falta de cuidado en la disposición final

Hurto de medios o documentos

Copia no controlada Hurto de medios o documentos

Software

Falta o insuficiencia de la prueba del software

Abuso de los derechos

Defectos bien conocidos en el software


Falta de "terminación de la sesión" cuando se abandona la estación de trabajo


Disposición o reutilización de los medios de almacenamiento sin borrado adecuado


Falta de pruebas de auditoría Abuso de los derechos

Distribución errada de los derechos de acceso


Software de distribución amplia Corrupción de datos

Utilización de los programas de aplicación a los datos errados en términos de tiempo

Corrupción de datos

Interfase de usuario complicada

Error en el uso

Falta de documentación Error en el uso

Configuración incorrecta de parámetros

Error en el uso

Fechas incorrectas Error en el uso

41

Falta de mecanismos de identificación y autentificación, como la autentificación de usuario

Falsificación de derechos

Software

Tablas de contraseñas sin protección


Gestión deficiente de las contraseñas


Habilitación de servicios innecesarios

Procesamiento ilegal de datos

Software nuevo o inmaduro Mal funcionamiento del software

Especificaciones incompletas o no claras para los desarrolladores

Mal funcionamiento del software

Falta de control eficaz del cambio

Mal funcionamiento del software

Descarga y uso no controlados de software

Manipulación con software

Falta de copias de respaldo Manipulación con software

Falta de protección física de las puertas y ventanas de la edificación


Falla en la producción de informes de gestión

Uso no autorizado del equipo

Red

Falta de prueba del envío o la recepción de mensajes

Negación de acciones

Líneas de comunicación sin protección

Escucha subrepticia

Tráfico sensible sin protección Escucha subrepticia

Conexión deficiente de los cables.

Falla del equipo de telecomunicaciones

Punto único de falla Falla del equipo de telecomunicaciones

Falta de identificación y autentificación de emisor y receptor


Arquitectura insegura de la red Espionaje remoto

Transferencia de contraseñas autorizadas

Espionaje remoto

Gestión inadecuada de la red (capacidad de recuperación del enrutamiento)

Saturación del sistema de información

Conexiones de red pública sin protección


Personal

Ausencia del personal Incumplimiento en la disponibilidad del personal

Procedimientos inadecuados de contratación

Destrucción de equipos o medios

Entrenamiento insuficiente en seguridad

Error en el uso

Uso incorrecto de software y hardware

Error en el uso

Falta de conciencia acerca de la seguridad

Error en el uso

Falta de mecanismos de monitoreo

Procesamiento ilegal de los datos

Trabajo no supervisado del personal externo o de limpieza


42

Falta de políticas para el uso correcto de los medios de telecomunicaciones y mensajería


Lugar Uso inadecuado o descuidado del control de acceso físico a las edificaciones y los recintos

Destrucción de equipo o medios

Ubicación en un área susceptible de inundación

Inundación

Red energética inestable Pérdida del suministro de energía

Falta de protección física de las puertas y ventanas de la edificación

Hurto de equipo

Organización

Falta de procedimiento formal para el registro y retiro del registro de usuario


Falta de proceso formal para la revisión

Abuso de los derechos (supervisión) de los derechos de acceso

Falta o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los clientes y/o terceras partes


Falta de procedimiento de monitoreo de los recursos de procesamiento información


Falta de auditorías (supervisiones) regulares


Falta de procedimientos de identificación y evaluación de riesgos


Falta de reportes sobre fallas incluidos en los registros de administradores y operador


Respuesta inadecuada de mantenimiento del servicio


Falta o insuficiencia en el acuerdo a nivel de servicio


Falta de procedimiento de control de cambios


Falta de procedimiento formal para el control de la documentación del SGSI


Falta de procedimiento formal para la supervisión del registro del SGSI


Falta de procedimiento formal para la autorización de la información disponible al público

Datos provenientes de fuentes no confiables

Falta de asignación adecuada de responsabilidades en la seguridad de la información

Negación de acciones

Falta de planes de continuidad Falla del equipo

Falta de políticas sobre el uso del correo electrónico

Error en el uso

43

Falta de procedimientos para la introducción del software en los sistemas operativos

Error en el uso

Falta de registros en las bitácoras*(logs) de administrador y operario.

Error en el uso

Falta de procedimientos para el manejo de información clasificada

Error en el uso

Falta de responsabilidades en la seguridad de la información en la descripción de los cargos

Error en el uso

Falta o insuficiencia en las disposiciones (con respecto a la seguridad de la información) en los contratos con los empleados

Procesamiento ilegal de datos

Falta de política formal sobre la utilización de computadores portátiles

Hurto de equipo

Falta de control de los activos que se encuentran fuera de las instalaciones

Hurto de equipo

Falta o insuficiencia de política sobre limpieza de escritorio y de pantalla


Falta de autorización de los recursos de procesamiento de la información


Falta de mecanismos de monitoreo establecidos para las brechas en la seguridad


Falta de revisiones regulares por parte de la gerencia


Falta de procedimientos para la presentación de informes sobre las debilidades en la seguridad


Falta de procedimientos del cumplimiento de las disposiciones con los derechos intelectuales

Uso de software falso o copiado

Tabla 15. Identificación de amenazas, vulnerabilidades

Fuente: ISO 27002

En el siguiente proceso de selección de las amenazas y vulnerabilidades es

importante la participación de todo el personal de TIC para lograr una buena

selección y cálculo de la probabilidad que ocurran, para este proceso debemos

realizar una tabla para el análisis cualitativo de la probabilidad de ocurrencia se

detalla a continuación.

44

Tabla 16 Probabilidad que ocurra la amenaza

Fuente: ISO 27002

En la siguiente se establece las amenazas y vulnerabilidades y probabilidad de

ocurrencia sobre los activos.

PARAMETROS - VALORACION DESCRIPCIÓN

1 BAJO Amenazas cuya probabilidad de explotar vulnerabilidades es muy baja.

2 MEDIO Amenazas que con poca frecuencia explotan vulnerabilidades.

3 ALTO Amenazas que frecuentemente explotan vulnerabilidades.

45

ACTIVOS AMENAZAS VULNERABILIDAD PROBABILIDAD

OCURRA LA AMENZA

FACILIDAD DE EXPLOTACIÓN

SWICH

INCUMPLIMIENTO EN EL MANTENIMIENTO

MANTENIMIENTO INSUFICIENTE ALTA MEDIA

ERROR EN EL USO FALTA DE REEMPLAZO PERIODICO, SUCEPTIBILIDAD AL POLVO LA HUMEDAD Y SUCIEDAD

ALTA MEDIA

PERDIDA DE SUMINISTRO DE ENERGÍA

SUSEPTIBILIDAD A LAS VARIACIONES DE TENSIÓN

MEDIA BAJA

HURTO DE MEDIOS O DOCUMENTOS

ALMACENAMIENTO SIN PROTECCION

MEDIA ALTA

FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL

MEDIA MEDIA

TRANSEIVER


MANTENIMIENTO INSUFICIENTE MEDIA BAJA


ALTA MEDIA



ALTA MEDIA



MEDIA BAJA


MEDIA BAJA

FIBRA OPTICA





ALTA MEDIA


MEDIA ALTA

ROUTER INALAMBRICO





MEDIA ALTA


MEDIA MEDIA

ESCUCHA SUBRECEPTIVA LINEAS DE COMUNICACIÓN SIN PROTECCIÓN

ALTA ALTA

46

TRAFICO SENSIBLE SIN PROTECCIÓN

ALTA MEDIA

FALSIFICACIÓN DE DERECHOS FALTA DE IDENTIFICACIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR

ALTA MEDIA

ESPIONAJE REMOTO ARQUITECTURA INSEGURA DE LA RED

ALTA ALTA

NEGACIÓN DE ACCIONES FALTA DE PRUEBA DEL ENVÍO O LA RECEPCIÓN DE MENSAJES

MEDIA MEDIA

USO NO AUTORIZADO DEL EQUIPO CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN

ALTA MEDIA

ROUTER


MANTENIMIENTO INSUFICIENTE MEDIA MEDIA



MEDIA ALTA


MEDIA MEDIA

ESCUCHA SUBRECEPTIVA

LINEAS DE COMUNICACIÓN SIN PROTECCIÓN

MEDIA BAJA


ALTA ALTA

FALSIFICACIÓN DE DERECHOS FALTA DE IDENTIFICAIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR

MEDIA MEDIA


MEDIA BAJA


MEDIA MEDIA

USO NO AUTORIZADO DEL EQUIPO CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN

BAJA MEDIA

ARMARIO RACKEABLE


MANTENIMIENTO INSUFICIENTE BAJA BAJA


BAJA BAJA

ORGANIZADORES DE CABLE


MANTENIMIENTO INSUFICIENTE BAJA BAJA


BAJA MEDIA

47

CABLEADO ESTRUCTURADO


MANTENIMIENTO INSUFICIENTE MEDIA ALTA


BAJA BAJA

SERVIDOR



ERROR DE USO

FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION

ALTA ALTA

FALTA DE DOCUMENTACIÓN ALTA ALTA

ABUSO DE DERECHOS

FALTA DE TERMINACION DE LA SESIÓN

BAJA MEDIA

DISPOSICION O REUTILIZACIÓN DE LOS MEDIOS DE ALMACENAMIENTO SIN BORRADO ADECUADO

MEDIA MEDIA

FALTA DE PRUEBAS DE AUDITORIA ALTA ALTA

EQUIPOS DE ESCRITORIO


MANTENIMIENTO INSUFICIENTE ALTA ALTA


COPIA NO CONTROLADA ALTA ALTA

ALMACENAMIENTO SIN PROTECCIÓN

ALTA ALTA

ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION

MEDIA MEDIA



MANTENIMIENTO INSUFICIENTE/INSTALACIÓN FALLIDA

ALTA MEDIA

HURTO DE MEDIOS O DOCUMENTOS FALTA DE CUIDADO EN LA DISPOSICIÓN FINAL

MEDIA BAJA

UPS INCUMPLIMIENTO EN EL MANTENIMIENTO


MEDIA ALTA

INSTALACION ELECTRICA INCUMPLIMIENTO EN EL MANTENIMIENTO


MEDIA ALTA

CENTRAL DE AIRE INCUMPLIMIENTO EN EL MANTENIMIENTO


MEDIA MEDIA

ABUSO DE DERECHOS FALTA DE PRUEBAS DE AUDITORÍA MEDIA MEDIA

48


DISTRIBUCIÓN ERRADA DE LOS DERECHOS DE ACCESO

MEDIA ALTA

ERROR DE USO

FALTA DE DOCUMENTACIÓN DE LOS SERVICIOS

ALTA MEDIA

CONFIGURACIÓN INCORRECTA DE PARAMETROS

BAJA BAJA

FECHAS INCORRECTAS BAJA BAJA

PROCESAMIENTO ILEGAL DE DATOS HABILITACIÓN DE SERVICIOS INNESESARIOS

ALTA MEDIA

FALSIFICACION DE DERECHOS GESTIÓN DEFICIENTE DE CONTRASEÑAS

ALTA ALTA

MANIPULACION CON SOFTWARE FALTA DE COPIAS DE RESPALDO ALTA ALTA

USO NO AUTORIZADO DEL EQUIPO FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN

MEDIA MEDIA

ANTIVIRUS MANIPULACION CON SOFTWARE DESCARGA Y USO NO CONTROLADOS DE SOFTWARE

BAJA BAJA

CORREO ELECTRONICO(SOFTWARE)

ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESION CUANDO SE ABANDONA LA ESTACION DE TRABAJO

MEDIA MEDIA

ADMINISTRADOR DE RED

INCUMPLIMIENTO EN LA DISPONIBILIDAD

AUSENCIA DEL PERSONAL MEDIA BAJA

ERROR DE USO USO INCORRECTO DE SOFTWARE, HARDWARE Y SEGURIDAD

BAJA BAJA

PROCESAMIENTO ILEGAL DE LOS DATOS

FALTE DE MECANISMO DE MONITOREO

BAJA BAJA

HURTO DE MEDIOS O DOCUMENTOS TRABAJO NO SUPERVISADO DEL PERSONAL EXTERNO

MEDIA MEDIA

USO NO AUTORIZADO DEL EQUIPO FALTA DE POLITICAS PARA EL USO CORRECTO DE LOS MEDIOS DE COMUNICACIÓN

ALTA ALTA

DESARROLLADOR




BAJA BAJA



BAJA BAJA


MEDIA MEDIA

49


ALTA ALTA

TECNICO DE SOPORTE




BAJA BAJA



BAJA BAJA


MEDIA MEDIA


ALTA ALTA


HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN

MEDIA MEDIA

GARANTIAS DE SERVIDORES HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN

MEDIA MEDIA


HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN

MEDIA MEDIA

GARANTIAS DE SWICH HP HURTO DE MEDIOS O DOCUMENTOS FALTA DE RESGUARDO DE LA DOCUMENTACIÓN

MEDIA MEDIA

Tabla 17 Amenazas y vulnerabilidades y probabilidad de ocurrencia.

Fuente: ISO 27002

50

Evaluación del riesgo.

La siguiente actividad es determinar las amenazas para cada activo para habilitar

la evaluación de los niveles de amenazas (probabilidad de ocurrencia) y niveles

de vulnerabilidades ( facilidad de explotación por parte de las amenazas para

causar consecuencias adversas).

Cada respuesta a un interrogante suscita un puntaje. Estos puntajes se

acumulan a través de una base de conocimientos y se compara con los rangos.

Esto identifica los niveles de amenaza en una escala de alto a bajo y los niveles

de vulnerabilidad ( ISO 27 0 02 , 20 0 9) .

Los valores del activo, y los niveles de amenaza y vulnerabilidad, para cada

combinación realizada a cada hardware, software o documento de más activos

identificados se constatan en una matriz para cada combinación realizada y

obtenemos una medida pertinente del riesgo con valores cuantitativos del 1 al 8.

Probabilidad de

ocurrencia - Amenaza

Baja

Media

Alta

Facilidad de explotación

Baja Media Alta Baja Media Alta Baja Media Alta

VALORACIÓN DEL ACTIVO

1 0 1 2 1 2 3 2 3 4

2 1 2 3 2 3 4 3 4 5

3 2 3 4 3 4 5 4 5 6

4 3 4 5 4 5 6 5 6 7

5 4 5 6 5 6 7 6 7 8

Tabla 18 Tabla de Evaluación del Riesgo

Fuente: ISO 27002

Cálculo del riesgo según norma ISO 27002.

En la siguiente tabla se muestra el riesgo para cada amenaza y vulnerabilidad

seleccionada para cada activo.

51

Para identificar de acuerdo con el valor obtenido le asignaremos una marca de

color que en la siguiente tabla se detalla:

Tabla 19 Tratamiento del Riesgo

Fuente: (Mejía J, 2015).

Procedemos a calcular el riesgo y a identificarlo a continuación se detalla los

valores obtenidos.

Valores Nivel de riego Descripción del riesgo y

acciones necesarias

8 ALTO

Requiere fuertes medidas correctivas. Planes de tratamiento implementados en corto tiempo, reportados y controlados con atención directa de alta dirección

6-7 MEDIO ALTO

Requiere vigilancia de alta dirección con planes de tratamiento implementados y reportados a los

gerentes de unidades

4-5 MEDIO

Se requieren acciones correctivas controladas por grupos de manejo de incidentes en periodo de tiempo

razonable

2-3 MEDIO BAJO

Riego aceptable- Administrado por los grupos de incidentes bajo procedimientos normales de

control

0-1 BAJO El propietario del activo lo

administra con procedimientos rutinarios o decide aceptar el riego

52

ACTIVOS AMENAZAS VULNERABILIDAD VALOR ACTIVO

PROBABILIDAD Q OCURRA LA

AMENZA

FACILIDAD DE EXPLOTACIÓN

RIESGO

SWITCH.


MANTENIMIENTO INSUFICIENTE 3 ALTA MEDIA 5


3 ALTA MEDIA 5



3 MEDIA BAJA 3



3 MEDIA ALTA 5


3 MEDIA MEDIA 4

TRANSEIVER


MANTENIMIENTO INSUFICIENTE 3 MEDIA BAJA 3


3 ALTA MEDIA 5

53



3 ALTA MEDIA 5



3 MEDIA BAJA 3


3 MEDIA BAJA 3

FIBRA OPTICA





3 ALTA MEDIA 5


3 MEDIA ALTA 5

ROUTER INALAMBRICO





5 MEDIA ALTA 7


5 MEDIA MEDIA 6


5 ALTA ALTA 8

54


5 ALTA MEDIA 7

FALSIFICACIÓN DE DERECHOS

FALTA DE IDENTIFICACIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR

5 ALTA MEDIA 7


5 ALTA ALTA 8


5 MEDIA MEDIA 6

USO NO AUTORIZADO DEL EQUIPO

CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN

5 ALTA MEDIA 7

ROUTER


MANTENIMIENTO INSUFICIENTE 5 MEDIA MEDIA 6



5 MEDIA ALTA 7


5 MEDIA MEDIA 6


5 MEDIA BAJA 5

55


5 ALTA ALTA 8

FALSIFICACIÓN DE DERECHOS

FALTA DE IDENTIFICAIÓN Y AUTENTICACIÓN DE EMISOR Y RECEPTOR

5 MEDIA MEDIA 6


5 MEDIA BAJA 5


5 MEDIA MEDIA 6


CONEXIONES DE RED PÚBLICA SIN PROTECCIÓN

5 BAJA MEDIA 5

ARMARIO RACKEABLE


MANTENIMIENTO INSUFICIENTE 2 BAJA BAJA 1


2 BAJA BAJA 1

ORGANIZADORES DE CABLE INCUMPLIMIENTO EN EL MANTENIMIENTO

MANTENIMIENTO INSUFICIENTE 2 BAJA BAJA 1

56


2 BAJA MEDIA 2

CABLEADO ESTRUCTURADO


MANTENIMIENTO INSUFICIENTE 2 MEDIA ALTA 4


2 BAJA BAJA 1

SERVIDOR



ERROR DE USO

FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION

5 ALTA ALTA 8

FALTA DE DOCUMENTACIÓN 5 ALTA ALTA 8

ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESIÓN

5 BAJA MEDIA 5

57

DISPOSICION O REUTILIZACIÓN DE LOS MEDIOS DE ALMACENAMIENTO SIN BORRADO ADECUADO

5 MEDIA MEDIA 6

FALTA DE PRUEBAS DE AUDITORIA 5 ALTA ALTA 8

EQUIPOS DE ESCRITORIO


MANTENIMIENTO INSUFICIENTE 5 ALTA ALTA 8


COPIA NO CONTROLADA 5 ALTA ALTA 8

ALMACENAMIENTO SIN PROTECCIÓN

5 ALTA ALTA 8

ERROR DE USO FALTA DE CONTROL DE CAMBIO EN LA CONFIGURACION

5 MEDIA MEDIA 6




5 ALTA MEDIA 7



5 MEDIA BAJA 5

58

UPS INCUMPLIMIENTO EN EL MANTENIMIENTO


3 MEDIA ALTA 5

INSTALACION ELECTRICA INCUMPLIMIENTO EN EL MANTENIMIENTO


3 MEDIA ALTA 5

CENTRAL DE AIRE INCUMPLIMIENTO EN EL MANTENIMIENTO


3 MEDIA MEDIA 4


ABUSO DE DERECHOS

FALTA DE PRUEBAS DE AUDITORÍA 4 MEDIA MEDIA 5

DISTRIBUCIÓN ERRADA DE LOS DERECHOS DE ACCESO

4 MEDIA ALTA 6

ERROR DE USO

FALTA DE DOCUMENTACIÓN DE LOS SERVICIOS

4 ALTA MEDIA 6

CONFIGURACIÓN INCORRECTA DE PARAMETROS

4 BAJA BAJA 3

FECHAS INCORRECTAS 4 BAJA BAJA 3

59

PROCESAMIENTO ILEGAL DE DATOS

HABILITACIÓN DE SERVICIOS INNESESARIOS

4 ALTA MEDIA 6

FALSIFICACION DE DERECHOS

GESTIÓN DEFICIENTE DE CONTRASEÑAS

4 ALTA ALTA 7

MANIPULACION CON SOFTWARE

FALTA DE COPIAS DE RESPALDO 4 ALTA ALTA 7


FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN

4 MEDIA MEDIA 5


FALLA EN LA PRODUCCION DE INFORMES DE GESTIÓN

4 MEDIA MEDIA 5

ANTIVIRUS MANIPULACION CON SOFTWARE

DESCARGA Y USO NO CONTROLADOS DE SOFTWARE

2 BAJA BAJA 1

CORREO ELECTRONICO (SOFTWARE)

ABUSO DE DERECHOS FALTA DE TERMINACION DE LA SESION CUANDO SE ABANDONA LA ESTACION DE TRABAJO

2 MEDIA MEDIA 2

60



FALTA DE RESGUARDO DE LA DOCUMENTACIÓN

4 MEDIA MEDIA 5

GARANTIAS DE SERVIDORES HURTO DE MEDIOS O DOCUMENTOS


4 MEDIA MEDIA 5




4 MEDIA MEDIA 5

GARANTIAS DE SWICH HP HURTO DE MEDIOS O DOCUMENTOS


4 MEDIA MEDIA 5

Tabla 20. Calcular del Riesgo

Fuente: ISO 27002

61

Tratamiento de Riesgo y toma de decisiones Gerencial.

La aceptación de riesgo declarados por el departamento de TIC de la Uniandes

extensión Babahoyo, establece riesgos de niveles “Alto” y “Medio Alto” son no

aceptables y deben tratarse de manera inmediata para los niveles medio y bajo

son aceptados por la Unidad de TI, para disminuir estos niveles de riesgos, se

aplicará los controles de la Norma ISO 27002.

Riesgo Residual.

Es el riesgo que no se puede eliminar por más medidas de seguridad y controles

implementados, siempre existe un riesgo remanente porque no se pueden

eliminar todas las vulnerabilidades de la infraestructura.

El riesgo residual es aceptable para las diferentes amenazas identificadas y se

dispone de un registro de aceptación de este riesgo remanente.

Seleccionar Objetivos de Control y Controles para el Tratamiento de

Riesgos.

Una vez que se determina que controles se realizara la implementación

después de identificar los procesos de riesgo y evaluarlos y con la norma

27002 se seleccionara de acuerdo con el Dominio Objetivo los controles.

Preparación de la declaración de aplicabilidad.

Esta declaración se basa a un proceso de selección de controles que serán

aplicados a los activos y también se especifican los que no.

Esta declaración de aplicabilidad a la extensión que no se omitan los controles.

62

CONTROL ISO 27002 CONTROLES APLICABILIDAD

SI NO

5. POLÍTICA DE SEGURIDAD.

5.1 Política de seguridad de la información.

5.1.1 Documento de política de seguridad de la información. X

5.1.2 Revisión de la política de seguridad de la información. X

6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA

INFORMACION.

6.1 Organización interna.

6.1.1 Compromiso de la Dirección con la seguridad de la información. X

6.1.2 Coordinación de la seguridad de la información. X

6.1.3 Asignación de responsabilidades relativas a la seguridad de la información.

X

6.1.4 Proceso de autorización de recursos para el tratamiento de la información

X

6.1.5 Acuerdos de confidencialidad. X

6.1.6 Contacto con las autoridades. X

6.1.7 Contacto con grupos de especial interés. X

6.1.8 Revisión independiente de la seguridad de la información.

6.2 Terceros.

6.2.1 Identificación de los riesgos derivados del acceso de terceros. X

6.2.2 Tratamiento de la seguridad en la relación con los clientes. X

6.2.3 Tratamiento de la seguridad en contratos con terceros. X

7. GESTIÓN DE ACTIVOS.

63

7.1 Responsabilidad sobre los activos.

7.1.1 Inventario de activos. X

7.1.2 Propiedad de los activos. X

7.1.3 Uso aceptable de los activos. X

7.2 Clasificación de la información.

7.2.1 Directrices de clasificación. X

7.2.2 Etiquetado y manipulado de la información. X

8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.

8.1 Antes del empleo. X

8.1.1 Funciones y responsabilidades. X

8.1.2 Investigación de antecedentes. X

8.1.3 Términos y condiciones de contratación. X

8.2 Durante el empleo. X

8.2.1 Responsabilidades de la Dirección. X

8.2.2 Concienciación, formación y capacitación en seguridad de la información.

X

8.2.3 Proceso disciplinario. X

8.3 Cese del empleo o cambio de puesto de trabajo. X

8.3.1 Responsabilidad del cese o cambio. X

8.3.2 Devolución de activos. X

8.3.3 Retirada de los derechos de acceso. X

64

9. SEGURIDAD FÍSICA Y DEL ENTORNO.

9.1 Áreas seguras. X

9.1.1 Perímetro de seguridad física. X

9.1.2 Controles físicos de entrada. X

9.1.3 Seguridad de oficinas, despachos e instalaciones. X

9.1.4 Protección contra las amenazas externas y de origen ambiental. X

9.1.5 Trabajo en áreas seguras. X

9.1.6 Áreas de acceso público y de carga y descarga.

9.2 Seguridad de los equipos.

9.2.1 Emplazamiento y protección de equipos. X

9.2.2 Instalaciones de suministro. X

9.2.3 Seguridad del cableado. X

9.2.4 Mantenimiento de los equipos. X

9.2.5 Seguridad de los equipos fuera de las instalaciones. X

9.2.6 Reutilización o retirada segura de equipos. X

9.2.7 Retirada de materiales propiedad de la empresa. X

10. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

10.1 Responsabilidades y procedimientos de operación.

10.1.1 Documentación de los procedimientos de operación. X

10.1.2 Gestión de cambios. X

10.1.3 Segregación de tareas. X

10.1.4 Separación de los recursos de desarrollo, prueba y operación. X

10.2 Gestión de la provisión de servicios por terceros. X

65

10.2.1 Provisión de servicios. X

10.2.2 Supervisión y revisión de los servicios prestados por terceros. X

10.2.3 Gestión del cambio en los servicios prestados por terceros. X

10.3 Planificación y aceptación del sistema. X

10.3.1 Gestión de capacidades. X

10.3.2 Aceptación del sistema. X

10.4 Protección contra el código malicioso y descargable.

10.4.1 Controles contra el código malicioso. X

10.4.2 Controles contra el código descargado en el cliente. X

10.5 Copias de seguridad.

10.5.1 Copias de seguridad de la información. X

10.6 Gestión de la seguridad de las redes.

10.6.1 Controles de red. X

10.6.2 Seguridad de los servicios de red. X

10.7 Manipulación de los soportes.

10.7.1 Gestión de soportes extraíbles. X

10.7.2 Retirada de soportes. X

10.7.3 Procedimientos de manipulación de la información. X

10.7.4 Seguridad de la documentación del sistema. X

10.8 Intercambio de información.

10.8.1 Políticas y procedimientos de intercambio de información. X

66

10.8.2 Acuerdos de intercambio. X

10.8.3 Soportes físicos en tránsito. X

10.8.4 Mensajería electrónica. X

10.8.5 Sistemas de información empresariales. X

10.9 Servicios de comercio electrónico.

10.9.1 Comercio electrónico.

10.9.2 Transacciones en línea.

10.9.3 Información públicamente disponible.

10.10 Supervisión.

10.10.1 Registros de auditoría. X

10.10.2 Supervisión del uso del sistema. X

10.10.3 Protección de la información de los registros. X

10.10.4 Registros de administración y operación. X

10.10.5 Registro de fallos. X

10.10.6 Sincronización del reloj. X

11. CONTROL DE ACCESO.

11.1 Requisitos de negocio para el control de acceso.

11.1.1 Política de control de acceso. X

11.2 Gestión de acceso de usuario.

11.2.1 Registro de usuario. X

11.2.2 Gestión de privilegios. X

11.2.3 Gestión de contraseñas de usuario. X

67

11.2.4 Revisión de los derechos de acceso de usuario. X

11.3 Responsabilidades de usuario.

11.3.1 Uso de contraseñas. X

11.3.2 Equipo de usuario desatendido. X

11.3.3 Política de puesto de trabajo despejado y pantalla limpia. X

11.4 Control de acceso a la red.

11.4.1 Política de uso de los servicios en red. X

11.4.2 Autenticación de usuario para conexiones externas. X

11.4.3 Identificación de los equipos en las redes. X

11.4.4 Protección de los puertos de diagnóstico y configuración remotos.

X

11.4.5 Segregación de las redes. X

11.4.6 Control de la conexión a la red. X

11.4.7 Control de encaminamiento (routing) de red. X

11.5 Control de acceso al sistema operativo.

11.5.1 Procedimientos seguros de inicio de sesión. X

11.5.2 Identificación y autenticación de usuario. X

11.5.3 Sistema de gestión de contraseñas. X

11.5.4 Uso de los recursos del sistema. X

11.5.5 Desconexión automática de sesión. X

11.5.6 Limitación del tiempo de conexión. X

11.6 Control de acceso a las aplicaciones y a la información. X

68

11.6.1 Restricción del acceso a la información. X

11.6.2 Aislamiento de sistemas sensibles. X

11.7 Ordenadores portátiles y teletrabajo. X

11.7.1 Ordenadores portátiles y comunicaciones móviles. X

11.7.2 Teletrabajo. X

12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACION.

12.1 Requisitos de seguridad de los sistemas de información.

12.1.1 Análisis y especificación de los requisitos de seguridad. X

12.2 Tratamiento correcto de las aplicaciones.

12.2.1 Validación de los datos de entrada. X

12.2.2 Control del procesamiento interno. X

12.2.3 Integridad de los mensajes.

12.2.4 Validación de los datos de salida.

12.3 Controles criptográficos.

12.3.1 Política de uso de los controles criptográficos.

12.3.2 Gestión de claves. X

12.4 Seguridad de los archivos de sistema.

12.4.1 Control del software en explotación. X

12.4.2 Protección de los datos de prueba del sistema. X

12.4.3 Control de acceso al código fuente de los programas. X

12.5 Seguridad en los procesos de desarrollo y soporte.

69

12.5.1 Procedimientos de control de cambios. X

12.5.2 Revisión técnica de las aplicaciones tras efectuar cambios en el X

Sistema operativo. X

12.5.3 Restricciones a los cambios en los paquetes de software. X

12.5.4 Fugas de información. X

12.5.5 Externalización del desarrollo de software. X

12.6 Gestión de la vulnerabilidad técnica.

12.6.1 Control de las vulnerabilidades técnicas. X

13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

13.1 Notificación de eventos y puntos débiles de seguridad de la información

13.1.1 Notificación de los eventos de seguridad de la información. x

13.1.2 Notificación de puntos débiles de seguridad. x

13.2 Gestión de incidentes y mejoras de seguridad de la información.

13.2.1 Responsabilidades y procedimientos. x

13.2.2 Aprendizaje de los incidentes de seguridad de la información. x

13.2.3 Recopilación de evidencias. x

14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

14.1 Aspectos de seguridad de la información en la gestión de la

Continuidad del negocio. x

14.1.1 Inclusión de la seguridad de la información en el proceso de x

Gestión de la continuidad del negocio. x

14.1.2 Continuidad del negocio y evaluación de riesgos. x

70

14.1.3 Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la información.

x

14.1.4 Marco de referencia para la planificación de la cont. del negocio. X

14.1.5 Pruebas, mantenimiento y reevaluación de planes de continuidad.

x

15. CUMPLIMIENTO.

15.1 Cumplimiento de los requisitos legales. x

15.1.1 Identificación de la legislación aplicable. x

15.1.2 Derechos de propiedad intelectual (DPI). x

15.1.3 Protección de los documentos de la organización. x

15.1.4 Protección de datos y privacidad de la información de carácter Personal.

x

15.1.5 Prevención del uso indebido de recursos de tratamiento de la información

x

15.1.6 Regulación de los controles criptográficos. x

15.2 Cumplimiento de las políticas y normas de seguridad y Cumplimiento técnico.

x

15.2.1 Cumplimiento de las políticas y normas de seguridad. x

15.2.2 Comprobación del cumplimiento técnico. x

15.3 Consideraciones sobre las auditorías de los sistemas de información.

x

15.3.1 Controles de auditoría de los sistemas de información. x

15.3.2 Protección de las herramientas de auditoría de los sistemas de información.

x

Tabla 21. Preparación de la declaración de aplicabilidad.

Fuente: ISO 27002

71

Desarrollo del plan de seguridad informática al caso de estudio.

El desarrollo del plan de seguridad al Departamento de tecnologías de la

información de la Universidad Regional Autónoma de los Andes se deriva del

análisis del tratamiento del riesgo donde se califica a cada uno de los activos en

base a las amenazas y vulnerabilidades contra el cuadro de aplicabilidad tal

como lo menciona la norma ISO 27001 por tanto todas las políticas de seguridad

se derivan de la norma ISO 27002.

La implementación de este plan de seguridad informática genera las siguientes

documentaciones:

• Acuerdo de Confidencialidad

• Registro de Compromiso de la Dirección con la Seguridad Informática

• Registro de Contacto con Grupos de Intereses

• Registro de Contacto con las Autoridades

• Registro de Revisión Independiente de la Seguridad Informática

• Registro de seguimiento de las Políticas de Seguridad Informática

• Políticas de Seguridad Informática

Aplicación Práctica parcial o total de la propuesta.

Aquí crearemos la política de seguridad y documentación necesaria para

cumplir con cada uno de los Objetivos de control.

Acuerdo de Confidencialidad.

ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE

INFORMACIÓN, QUE CELEBRAN POR UNA PARTE Departamento de TIC

(UNIANDES) QUIEN EN LO SUCESIVO SE DENOMINARÁ “EL RECEPTOR”

REPRESENTADO EN ESTE ACTO POR Nombre de la persona Y POR LA

OTRA, LA EMPRESA _________________________, A QUIEN EN LO

SUCESIVO SE LE DENOMINARÁ “EL DIVULGANTE” REPRESENTADA EN

ESTE ACTO POR _______________________, EN SU CARÁCTER DE

REPRESENTANTE LEGAL, AL TENOR DE LAS DECLARACIONES Y

CLÁUSULAS SIGUIENTES:

72

PRIMERA. - Objeto. El presente Acuerdo se refiere a la información que EL

DIVULGANTE proporcione al RECEPTOR, ya sea de forma oral, gráfica o escrita

y, en estos dos últimos casos, ya esté contenida en cualquier tipo de documento,

para identificar una (las) propuesta(s) de innovación, o en su caso, para

estructurar un(los) proyecto(s) de innovación, que se están desarrollando que

se van a desarrollar.

SEGUNDA. - 1. EL RECEPTOR únicamente utilizará la información facilitada por

EL DIVULGANTE para el fin mencionado en la Estipulación anterior,

comprometiéndose EL RECEPTOR a mantener la más estricta confidencialidad

respecto de dicha información, advirtiendo de dicho deber de confidencialidad y

secreto a sus empleados, asociados y a cualquier persona que, por su relación

con EL RECEPTOR, deba tener acceso a dicha información para el correcto

cumplimiento de las obligaciones del RECEPTOR para con EL DIVULGANTE.

2. EL RECEPTOR o las personas mencionadas en el párrafo anterior no podrán

reproducir, modificar, hacer pública o divulgar a terceros la información objeto

del presente Acuerdo sin previa autorización escrita y expresa del

DIVULGANTE.

3. De igual forma, EL RECEPTOR adoptará respecto de la información objeto de

este Acuerdo las mismas medidas de seguridad que adoptaría normalmente

respecto a la información confidencial de su propia Empresa, evitando en la

medida de lo posible su pérdida, robo o sustracción.

TERCERA. - Sin perjuicio de lo estipulado en el presente Acuerdo, ambas partes

aceptan que la obligación de confidencialidad no se aplicará en los siguientes

casos:

a) Cuando la información se encontrará en el dominio público en el momento

de su suministro al RECEPTOR o, una vez suministrada la información,

ésta acceda al dominio público sin infracción de ninguna de las

Estipulaciones del presente Acuerdo.

73

b) Cuando la información ya estuviera en el conocimiento del RECEPTOR

con anterioridad a la firma del presente Acuerdo y sin obligación de

guardar confidencialidad.

c) Cuando la legislación vigente o un mandato judicial exija su divulgación.

En ese caso, EL RECEPTOR notificará al DIVULGANTE tal eventualidad

y hará todo lo posible por garantizar que se dé un tratamiento confidencial

a la información.

d) En caso de que EL RECEPTOR pueda probar que la información fue

desarrollada o recibida legítimamente de terceros, de forma totalmente

independiente a su relación con EL DIVULGANTE.

CUARTA. - Los derechos de propiedad intelectual de la información objeto de

este Acuerdo pertenecen al DIVULGANTE y el hecho de revelarla al RECEPTOR

para el fin mencionado en la Estipulación Primera no cambiará tal situación.

En caso de que la información resulte revelada o divulgada o utilizada por EL

RECEPTOR de cualquier forma distinta al objeto de este Acuerdo, ya sea de

forma dolosa o por mera negligencia, habrá de indemnizar al DIVULGANTE los

daños y perjuicios ocasionados, sin perjuicio de las acciones civiles o penales

que puedan corresponder a este último.

QUINTA. - Las partes se obligan a devolver cualquier documentación,

antecedentes facilitados en cualquier tipo de soporte y, en su caso, las copias

obtenidas de los mismos, que constituyan información amparada por el deber de

confidencialidad objeto del presente Acuerdo en el supuesto de que cese la

relación entre las partes por cualquier motivo.

SEXTA. - El presente Acuerdo entrará en vigor en el momento de la firma de

este por ambas partes, extendiéndose su vigencia hasta un plazo de 5 años

después de finalizada la relación entre las partes o, en su caso, la prestación del

servicio.

74

SÉPTIMA. - En caso de cualquier conflicto o discrepancia que pueda surgir en

relación con la interpretación y/o cumplimiento del presente Acuerdo, las partes

se someten expresamente a los Juzgados y Tribunales de la Republica, con

renuncia a su fuero propio, aplicándose la legislación vigente.

Y en señal de expresa conformidad y aceptación de los términos recogidos en el

presente Acuerdo, lo firman las partes por duplicado ejemplar y a un solo efecto

en el lugar y fecha al comienzo indicados.

________________________

POR EL RECEPTOR

________________________

POR EL DIVULGANTE

LAS PRESENTES FIRMAS CORRESPONDEN AL ACUERDO DE

CONFIDENCIALIDAD Y NO DIVULGACIÓN DE INFORMACIÓN EN TRES

FOJAS ÚTILES QUE CELEBRAN, TIC UNIANDES.

Compromiso de la Dirección con la seguridad de la información.

Título: Registro de compromiso de la dirección con la Seguridad Informática

Serial: Fecha Emisión: Fecha Modificación: Aprobación:

Elaborado por: Revisado y Aprobado por:

INTRODUCCIÓN.

En el presente documento se registra el compromiso que la dirección establece

con el Plan de Seguridad de la Información a implementarse en el área de

Tecnologías de la información y comunicación.

75

COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD

INFORMÁTICA.

El Rector(a) de la Uniandes ha leído y se encuentra consiente cuán importante

es el establecimiento de políticas de seguridad Informática en el área

Tecnologías de la información y comunicación.

Es por esto que el rectorado manifiesta el compromiso y el apoyo activo para

con el proyecto de implementación de políticas de seguridad Informática.

El rectorado puede intervenir en el desarrollo e implementación de las políticas,

incluso puede dar por terminado el desarrollo de la implementación en caso de

considerarlo necesario.

________________________

Director T.I.C.

________________________

Rector(a)

INTRODUCCIÓN. Este documento es un registro de auditoría interna que debe ser realizado

una vez cada seis meses en el departamento de TIC de la Uniandes.

DETALLE DE AUDITORÍA. A continuación, se presentan las novedades encontradas en la auditoría interna.

Seguridad de los equipos.

Protección de equipos y emplazamiento.

Políticas:

Mantenimiento de equipos.

1. La dirección de tecnologías de la información y comunicación establecerá

un cronograma de mantenimientos de los departamentos de la Uniandes

Extensión Babahoyo, donde se establecerá 2 mantenimientos anuales

como mínimo para preservar la vida útil de los equipos.

76

2. Solo el personal autorizado por el departamento de TIC puede realizar las

debidas reparaciones de equipos, para esto los usuarios deben solicitar

la credencial respectiva.

3. Previamente al envió de reparación de un equipo el usuario deberá sacar

el respaldo de toda su información y borrar la información considerada

como sensible para prevenir la perdida involuntaria de la información, para

realizar este proceso podrá solicitar asesoramiento técnico.

Gestión de cambios.

Política:

En la gestión de cambios para el departamento de TIC de la Uniandes Extensión

Babahoyo podrá realizar los empleados tomando en cuenta lo siguiente:

1. Para implementar mejoras en algún servicio se deberá registrar la fecha

del cambio realizado y guardar la fecha antigua de los archivos

modificados.

2. Para realizar algún cambio de debe realizar las notificaciones al personal

que interviene en el cambio y una socialización de la razón del cambio.

Copias de Seguridad.

Copias de seguridad de la información.

Políticas:

Para todo usuario para la seguridad de su información de los equipos podrán

realizar respaldos de la información de dependiendo de la importancia y

frecuencia del cambio y el personal de soporte deberá configurar un directorio

en la unidad D: donde se realizará el respaldo.

Gestión de la seguridad de las redes.

Controles de la Red.

Políticas:

1. Está prohibido instalar o configurar software de escaneo de la red,

cualquier exploración de los recursos en la red serán considerados como

ataques porque estos programas realizan escaneo vulnerabilidades en los

recursos de la red.

77

2. Se deben realizar escaneo de seguridad por parte del departamento de

tecnologías de la información y comunicación, por lo menos una vez

trimestralmente para poder detectar cualquier vulnerabilidad y subsanarla

a través de las siguientes acciones.

• Rechazar conexiones a servicios comprometidos.

• Permitir cierto tipo de tráfico.

• Ocultar información sobre los dispositivos y cuentas de usuarios

internos.

• Para hacer uso de la red inalámbrica se debe registrar los usuarios

que deseen este servicio y presentando el dispositivo que se conectará

a la red inalámbrica, para así registrar su dirección MAC, se deberá

emplear autenticación tipo WPA”

• No se permite la operación ni instalación de ningún punto de acceso

(Access point) conectados a la red cableada sin la debida autorización

del departamento de Tecnologías de la Información.

3. Es totalmente prohibido configurar tarjetas de red en modo promiscuo o

equipos como puntos de acceso, el departamento de TIC al momento de

identificar este tipo de errores inmediatamente procederá a bloquear el

equipo de la red.

Seguridad de los servicios de Red.

1. Se debe incorporar en los servidores tecnologías de protección como

servicios de firewall, encriptación en la autenticación.

2. Antes de poner cualquier servicio en producción en los servidores se debe

realizar un hardening que incluya medidas de seguridad que

salvaguarden la integridad confidencialidad de la información y su alta

disponibilidad.

3. El acceso remoto de realizarán a través de VPN para tener acceso a ala

red privada.

78

Manipulación de los soportes.

Gestión de soportes extraíbles.

Políticas:

1. Se permite el uso de dispositivos extraíbles de los usuarios tomando en

cuenta las siguientes políticas.

2. En ningún caso está permitido almacenar información de carácter

reservado por perdida del dispositivo en caso de necesitar traslado deberá

pedir asesoramiento de cifrado de esa información por parte del

departamento de TIC de la Uniandes.

3. En caso de los empleados dl departamento de TI puede hacer uso de

medios extraíble siempre y cuando exista orden por escrito del director de

TIC y este dispositivo no puede abandonar las instalaciones de la

Uniandes Extensión Babahoyo.

4. En caso de traslado del dispositivo con información se debe realizar la

cadena de custodia con un empleado del departamento de TIC para evitar

fugas de información.

Retirada de los soportes.

Políticas:

1. Al seleccionar una herramienta de borrado, elegir aquella que permita la

obtención de un documento que identifique claramente que el proceso de

borrado se ha realizado, detallando cuándo y cómo ha sido realizado.

2. En el caso de que la destrucción lógica no se realice correctamente por

fallo del dispositivo, este hecho debe documentarse claramente y utilizar

métodos de destrucción física de dicho soporte, asegurando que se

realice de forma respetuosa con el medio ambiente.

Procedimiento de manipulación de la información.

Políticas:

Se debe incorporar a os usuarios software para cifrar la información

especialmente a los departamentos que tienen información crítica incluyendo la

del departamento de TIC.

79

Seguridad en la documentación del sistema.

Políticas:

La información generada por los sistemas informáticos se deberá tratar como

uso restringido, los accesos a esta deberán ser autorizada por el responsable

del área previa consulta al director de TIC, toda esta información estará ubicada

en el data center para asegurar la disponibilidad al personal autorizado.

Supervisión.

Registros de Auditoría.

Políticas:

Para detectar cualquier tipo de actividad anormal en el procesamiento de la

información se deberá mantener registros de transacciones de las actividades y

eventos de seguridad de la información de los usuarios para investigación de

incidentes.

Supervisión del uso de sistemas y servicios.

Políticas:

Se deberá implementar software que permita registrar la información de los

sistemas y servicios que corren en la red y se deberá la siguiente información.

Usuario, fechas detalles de eventos, los registros de intento de acceso a datos u

otro servicio, inicio y cierre de sesión.

Cambios de configuración en los equipos, uso de privilegios aplicaciones y

archivos accedidos por estos.

Control de Acceso.

Política de control de acceso.

Política:

1. Todos los usuarios con acceso a la red para acceder los servicios tendrán

una única autorización de acceso a través de usuario y password.

2. Para recibir las credenciales de acceso a un equipo y servicios el usuario

deberá firmar un acta aceptando las políticas de seguridad establecidas.

3. La contraseña será de una longitud mínima de 10 caracteres deberá tener

por lo menos una mayúscula números letras minúsculas.

80

4. En caso de usuarios temporales se deberá realizar una solicitud y

aprobados por el director o jefe de área y supervisados por el director de

TIC, se deberá establecer fecha inicial y final con horas y minutos de

acceso.

Gestión de acceso a usuarios.

Registro de Usuario

Política:

1. Para realizar el registro de un usuario se lo deberá realizar a través de

una solicitud dirigida al director de TIC donde se indique los nombres y

apellidos y las acciones que va a realizar en el departamento para

establecer servicios que deben ser accedidos por el usuario.

2. Al entregar el usuario y contraseña, se deberá revisar la firma de

compromisos de confidencialidad y notificación de uso adecuado de

recursos.

3. En caso de que culmine una persona su relación laboral con el Uniandes

Extensión Babahoyo se deberá notificar inmediatamente al departamento

de TI para su baja correspondiente de sus credenciales.

Gestión de privilegios.

Política:

1. Los directores o jefes de áreas deben establecer los privilegios asociados

a cada recurso o software y/o aplicación.

2. Se debe realizar o establecer grupos de usuarios para poder asignar roles

en los servicios para la asignación de privilegios a los recursos.

3. Para las cuentas con rol de administrador serán empleadas

exclusivamente para la administración de recursos y tendrán mayor grado

de complejidad sus contraseñas.

4. El responsable de cuentas de administrador será el director del área de

TIC.

81

Gestión de contraseñas de usuario.

Políticas:

1. Los usuarios tienen total responsabilidad sobre las contraseñas de sus

cuentas y deben cumplir el compromiso de confidencialidad, en el primer

acceso a todos los usuarios creados recientemente deberán cambiar sus

contraseñas.

2. Se le obligará a cada usuario al momento de asignación de contraseña un

grado de complejidad que cumpla con las políticas de asignación de

nuevas contraseñas.

3. Estas contraseñas se almacenarán en forma codificada y en sistemas

informáticos protegidos ejemplo: Active Directory de Windows Server.

4. Para el caso de contraseñas de con privilegios de administrador se

asignará una contraseña con mínimo 14 caracteres de longitud entre

letras mayúsculas y minúsculas, números y caracteres especiales.

Responsabilidades de usuario.

Uso de contraseñas.

Políticas:

1. Todos los usuarios deberán mantener sus contraseñas en secreto.

2. El usuario debe solicitar reinicio de contraseña cuando exista una posible

divulgación de esta.

3. Las contraseñas no deben estar registradas en lugares de fáciles

accesos.

4. Cambiar la contraseña cada vez que el sistema los solicite.

5. Se debe notificar por escrito ante el director de TI cada vez que exista un

indicio de robo de contraseña, para realizar el reinicio inmediato.

Equipo de usuario desatendido.

Políticas:

En todos los equipos de cómputo de establecerá contraseñas al activar el

protector de pantalla cuando exista un determinado tiempo de inactividad.

82

Control de acceso a la red

Identificación de los equipos de las redes.

Políticas:

1. Se debe establecer un esquema de identificación de equipos que se

conecte en la red, esto se lo realizará a través de un software que se a

capaz de brindar esos detalles de identificación.

2. Se debe implementar la autenticación de equipos a través de direcciones

Mac, para que cada equipo este identificado en la red y registrar su

actividad.

3. Todos los nodos de la red deben estar dotado con protecciones físicas.

Protección de los puertos de diagnóstico y configuración remotos.

Políticas:

1. La habilitación de los puertos remotos de los equipos de

telecomunicaciones como de los servicios deberá de ser controlados,

para evitar que se los aproveche como medio de acceso no autorizado

queda prohibido la habilitación de servicios telnet ya que no proporciona

cifrado y su servicio es muy sensible a fallos de seguridad.

2. El director de tecnologías de la información generara acuerdos con el

proveedor de internet, para generar un marco de protección para la

comunicación de los sistemas de diagnóstico remoto.

Control de la conexión a la red.

Políticas:

1. Las carpetas o archivos compartidos de la red serán gestionados, para

que solo puedan acceder los usuarios autorizados para esto se solicitará

autorización al director o jefe del área que pertenece el archivo o carpeta

compartida.

2. Para los equipos de escritorio se establecerá horarios de acceso a los

equipos de acuerdo a la jornada laboral si algún empleado desea laborar

por más periodo de tiempo deberá solicitar la correspondiente

autorización de su director o jefe de área.

83

Control de encaminamiento (routing) de red.

Políticas:

1. En las redes y subredes de la Uniandes extensión Babahoyo se instalarán

controles de ruteo para que las conexiones puedan acceder a recursos

autorizados según al segmento de red que pertenece.

2. Los mecanismos de control de accesos a las redes contemplarán

verificación de dirección de origen y destino y listas de control de acceso.

Control de acceso al sistema operativo.

Políticas:

Se establece que luego de 5 intentos de sesión fallidos el usuario será notificado

y su cuenta bloqueada, para volver a tener acceso deberá solicitar reinicio de

clave al departamento de soporte.

84

CONCLUSIONES Y RECOMENDACIONES.

Conclusiones:

• La implementación del plan de seguridad informático permitiría mejorar

la gestión de información en el departamento TIC.

• El personal que labora en la extensión Babahoyo de la Uniandes no

cuenta con políticas de seguridad, frecuentemente comenten muchas

incoherencias de forma inconsciente y estas pueden perjudicar los

activos de la institución y provocar perdida de información.

• La falta de políticas de seguridad ha permitido que personas ajenas a la

institución acedan a los equipos de cómputo y manipulen la información

sin que nadie se de cuenta ni tome medidas adecuadas para

salvaguardar este activo institucional.

• El plan de seguridad informático implementado en el departamento de

TIC de la Uniandes extensión Babahoyo, reducirá los errores, tiempo y

recurso, para una mejor gestión de la información.

• El plan de seguridad informático instituirá lineamientos que abarquen las

siguientes áreas: Seguridad de la Información, optimización de procesos,

plan de auditoria, plan de archivos, plan de respaldo de la información,

etc.

85

Recomendaciones:

• Implementar evaluaciones periódicas al plan de seguridad informática

para aumentar los controles necesarios y así alcanzar una certificación

de seguridad informática.

• Cuanto se implemente el plan de seguridad informática se debe efectuar

en base a los objetivos y lineamiento de la institución, de tal modo que se

logre evaluar en forma correcta los riesgos de seguridad.

• Mantener actualizado la normativa y los controles de seguridad en la

institución de acuerdo con los avances tecnológicos.

• Establecer compromisos entre el personal administrativo para el

acatamiento de los lineamientos establecidos en el plan de seguridad

informático.

• Generar la documentación completa del plan de seguridad informático

propuesto en este trabajo investigativo, para que de esta manera sirva de

base para el personal que ingresa a trabajar en la institución.

BibliografíaAlonso, V. (1997). Lenguaje e Informacion . Ciene Inform.

BALDWIN A. , D. (1997). The concept of security. Review of International

Studies, 23.

Czinkota , M., & Kotabe , M. (2001). Administración de Mercadotecniav.

International Thomson Editores.

Enciclopedia de Conceptos. (2018). Concepto.de. Obtenido de Concepto.de:

https://concepto.de/dato/

Enciclopedia de Conceptos. (2018). Concepto.de. Obtenido de Enciclopedia de

Conceptos: https://concepto.de/software/

Event Tracker. (s.f.). Obtenido de ISO 27002:

https://www.eventtracker.com/capabilities/compliance/iso-27002/

Evera. (2018). Alta Disponibilidad: Qué es y Cómo se logra. Obtenido de

https://everac99.wordpress.com/2008/08/19/alta-disponibilidad-que-es-y-

como-se-logra/

Fernández, L. G., & Álvarez, A. A. (2012). Guía de aplicación de la Norma

UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para

pymes. academia.edu, 18.

Ferrell , O., & Geoffrey, H. (2004). Introducción a los Negocios en un Mundo

Cambiante. McGraw-Hill Interamericana.

Gehrkea, M., Pfitzmann, A., & Kai, R. (1992). Information Technology Security

Evaluation Criteria (ITSEC) - a Contribution to Vulnerability?

semanticscholar.

Gomez, A. (2011). ENCICLOPEDIA DE LA SEGURIDAD INFORMATICA. RA-

MA EDITORIAL.

Gupta, P. (2005). El portal de ISO 27002. Obtenido de El portal de ISO 27002:

http://www.iso27000.es/iso27002.html

Huerta, A. (30 de Marzo de 2012). Security Artwork. Obtenido de Introducción

al análisis de riesgos – Metodologías (I):

https://www.securityartwork.es/2012/03/30/introduccion-al-analisis-de-

riesgos-metodologias-i/

Idalberto, C. (2006). Introducción a la Teoría General de la Administración (Vol.

Septima Edicion). McGraw-Hill Interamericana.

Instituto Nacional de Ciberseguridad. (20 de Marzo de 2017). Amenaza vs

Vulnerabilidad. Obtenido de INCIBE.

ISO 27000.es. (s.f.). Sistema de Gestión de la Seguridad de la Informacion.

Obtenido de http://www.iso27000.es/download/doc_sgsi_all.pdf

ISO Tools. (21 de Mayo de 2015). Sistemas de Gestión de Riesgos y

Seguridad. Obtenido de Software ISO Riesgos y Seguridad:

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

ISOTools. (3 de Agosto de 2017). ISOTools. Obtenido de ISOTools:

https://www.eventtracker.com/capabilities/compliance/iso-27002/

ISOTools Excellence. (21 de Mayo de 2015). ISO 27001: ¿Qué significa la

Seguridad de la Información? Obtenido de https://www.pmg-

ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-la-informacion/

Julian Perez Porto y Maria Merino. (2008). Definicion.de. Obtenido de

Definicion.de: https://definicion.de/hardware/

Kimball, R. (26 de Enero de 2011). Cyber Security: The Importance of a

Security Plan. Obtenido de

https://kimball.typepad.com/lrkimball/2011/01/cyber-security-the-

importance-of-a-security-plan.html

Luan, U. N. (s.f.). Amenazas a la Seguridad de la Información. Obtenido de

Amenzas: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12

Madrid ORG. (s.f.). Análisis y cuantificación del Riesgo. Obtenido de

http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/p

ages/pdf/metodologia/4AnalisisycuantificaciondelRiesgo%28AR%29_es.

pdf

Martagmx. (8 de Noviembre de 2015). Diarium. Obtenido de Diarium:

http://diarium.usal.es/martagmx/2015/11/08/introduccion-a-la-seguridad-

informatica/

Mifsud, E. (26 de Marzo de 2012). MONOGRÁFICO: Introducción a la

seguridad informática. Obtenido de Observatorio Tecnologico:

http://recursostic.educacion.es/observatorio/web/ca/software/software-

general/1040-introduccion-a-la-seguridad-informatica?start=1

Milenium. (2019). Milenium. Obtenido de Mileniun:

https://www.informaticamilenium.com.mx/es/temas/que-es-software.html

Organización Internacional de Normalización, ISO. (2011). Norma ISO 27035.

Obtenido de ecnología de la información - Técnicas de seguridad -

Gestión de incidentes de seguridad de la información:

https://www.iso.org/standard/44379.html

Patricia Dip. (1 de Agosto de 2009). Tecnologia e Informatica . Obtenido de

Tecnologia e Informatica:

http://latecnologiavirtual.blogspot.com/2009/08/datos.html

Perez Porto, J., & Merino, M. (2010). Definicion.De. Obtenido de

Vulnerabilidades: https://definicion.de/vulnerabilidad/

Pérez-Montoro, M. (2009). Information Management. Business Informatics,

Bussiness Management, Information Society, TIC.

Ponjuán Dante, G. (2011). La gestión de información y sus modelos

representativos. Valoraciones. Ciencias de la Información, 8.

Rouse, M. (s.f.). Data Availability. Obtenido de Search Storage:

https://searchstorage.techtarget.com/definition/data-availability

Rouse, M. (s.f.). ISO 27002 (International Organization for Standardization

27002). Obtenido de

https://searchcompliance.techtarget.com/definition/ISO-27002-

International-Organization-for-Standardization-27002

SURA, A. d. (2011). Glosario de Terminos. Medellin.

TBS. (2008). Every company needs to have a security program. Obtenido de

https://www.appliedtrust.com/resources/security/every-company-needs-

to-have-a-security-program

Universidad Nacional de Lujan. (2008). Reporte de Incidente de Seguridad de

la Informacion. Obtenido de UNLU:

http://www.unlu.edu.ar/doc/seginfo/Como_reportar_un_incidente_de_SI.

pdf

Valencia, E. d. (21 de Marzo de 2018). VIU. Obtenido de VIU:

https://www.universidadviu.com/crear-plan-seguridad-informatica-

facilmente/

ANEXOS.

Data center deUNIANDES.

Extintores en el Centro de Cómputo.

Alarma contra incendios

Cámaras de seguridad en el interior del Data Center y en el exterior.

Rack de Backbone de fibra y Enlace de Radio provisto de armario con puerta conllave.

.

Rack del Laboratorio 1

Rack del Laboratorio 3

Rack de Sala Docentes 1

Oficinas de Soporte TI destinada para actividades, como: Soporte, Desarrollo.

Aulas Virtuales de la UNIANDES.

UTM FORTINET.

Controles Fortinet sobre Ancho de Banda.

Configuración de las Vlan y Segmentos de red en Fortinet

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS...