You are on page 1of 50

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE
ANALISTA DE SISTEMAS

IMPLEMENTACIN DE
SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN APLICADA AL REA DE RECURSOS
HUMANOS DE LA EMPRESA DECEVALE S.A.

AUTORES:
CALDERN ONOFRE DIANA
ESTRELLA OCHOA MARTN
FLORES VILLAMARN MANUEL

DIRECTOR:
ING. VICTOR MUOZ CHACHAPOLLA

AO:
2011
AGRADECIMIENTO

Agradecemos a Dios por haber pensado en nosotros antes de nacer y


habernos dado sabidura e inteligencia en su infinito amor para con nosotros
porque sin l no hubiera sido posible llegar a la meta que nos hemos
propuesto.

Tambin les damos gracias a nuestros padres y familia por haber sido nuestro
gua en todo este tiempo, por su amor incondicional e incomparable, sabiendo
entendernos y apoyarnos en nuestros momentos ms difciles.

A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de


cada da para ensearme todo lo que en el futuro me sirva para ser personas
de bien.
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

DEDICATORIA

Este trabajo se lo dedico a mis Padres, porque ellos siempre han estado a mi
lado en todo momento siempre aconsejndonos, ayudndonos y sobre todo
guindonos para seguir adelante.

Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas


que como el Ing. Vctor Muoz, ha sabido poner en m todos sus conocimientos
para que pueda culminar con xito este trabajo.

A nuestros Abuelos que desde muy pequeos nos han enseado a hacer lo
bueno y no lo malo, a ser fuerte porque as llegaremos a las metas propuestas.

EDCOM 3 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

DECLARACIN EXPRESA

La responsabilidad del contenido de este Trabajo Final de Graduacin, nos


corresponde exclusivamente, como miembros elaboradores de la misma; y el
patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral.

EDCOM 4 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

FIRMA DEL DIRECTO DEL PROYECTO


Y MIEMBROS DEL TRIBUNAL

___________________________________

MAE. VICTOR MUZ CHACHAPOLLA

DIRECTOR

__________________________________

MAE. ENRIQUE SALAZAR MEZA

DELEGADO

EDCOM 5 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

FIRMA DE LOS AUTORES


DEL PROYECTO DE GRADUACIN

___________________________________

DIANA XIOMARA CALDERN ONOFRE

__________________________________

CARLOS MARTN ESTRELLA OCHOA

____________________________________

MANUEL ALEJANDRO FLORES VILLAMARN

EDCOM 6 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

RESUMEN GENERAL

El presente Trabajo de Graduacin se enfoca en la reorganizacin del


departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la empresa e indispensable para el desarrollo de sus actividades.

La implementacin de un sistema de gestin de seguridad de informacin en


una empresa busca un avance significativo en la confianza de sus clientes para
con ellos. Al conocer de la obtencin de una certificacin o la ejecucin de la
misma, la empresa crea una imagen de prestigio y de inters en resaltar entre
las dems.

Se decidi la aplicacin de la gestin de seguridad de informacin en el


departamento de personal debido a la importancia que tiene la informacin en
la empresa escogida. DECEVALE S.A. es una empresa que maneja datos
correspondientes a las Bolsas de Valores que funcionan en el Ecuador. Se
considero relevante aplicar procedimientos a la etapa de Aplicacin de
Funciones (Durante el empleo) debido a que existan situaciones tratadas sin
lineamientos que solucionen los posibles problemas que atentaban la
integridad de la informacin.

A continuacin, se determinan las generalidades de la empresa, los conceptos


principales de sistema de gestin de seguridad de informacin (ISO 27002), la
planeacin total aplicada a la empresa y el desarrollo de los lineamientos a
cada procedimiento segn la norma.

El esfuerzo empleado en realizar este trabajo de graduacin garantiza la


calidad del contenido. Exponemos, por ltimo, que el elaborar dicho
instrumento y adentrarlos en la aplicacin de la norma, nos ha dejado grandes
experiencias sobre distintos temas competentes y realidades desconocidas
sobre el ambiente laboral y el tratamiento con recurso humano para transmitir
ideas y tecnologas.

ndice General
EDCOM 7 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAPTULO 1: Marco Referencial...............................................................................13


1. Marco Referencial....................................................................................................14
CAPTULO 2: Generalidades de la Empresa............................................................16
2. Generalidades de la Empresa:.................................................................................17
2.1 Antecedentes de la empresa:.................................................................................17
2.2 Descripcin del funcionamiento del rea Recursos Humanos...............................18
2.2.1 Seleccin de personal.............................................................................. 18
2.2.2 Contratacin de personal..........................................................................18
2.2.4 Durante el empleo................................................................................... 19
2.2.5 Cambio o reubicacin del empleado...........................................................19
2.2.6 Separacin del empleado.........................................................................19
CAPTULO 3: Etapa 1: Planeacin............................................................................20
3. Etapa 1: Planeacin.................................................................................................21
3.1 Definicin de la Norma ISO 27002.........................................................................21
3.1.1 Seguridad Informtica:............................................................................. 21
3.1.2 Gestin de Seguridad de la informacin......................................................21
3.1.3 International Organization for Standarization (ISO):......................................22
3.1.4 ISO 27000, aplicada a la seguridad de la informacin:..................................22
3.1.5 ISO 27001.............................................................................................. 23
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar).......................................................24
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)...........................27
3.1.8 ISO 27002.............................................................................................. 28
3.2 Polticasde la Empresa DECEVALE S.A., aplicadas a Recursos Humanos...........29
3.2.1Reclutamiento, seleccin e ingreso de personal............................................29
3.2.2 Capacitacin de personal..........................................................................29
3.2.3Calificacin de personal............................................................................ 29
3.2.4Transporte y Alimentacin..........................................................................29
CAPTULO 4: Anlisis de Riesgo..............................................................................30
4. Anlisis de Riesgo....................................................................................................31
4.1 Valoracin de Activos.............................................................................................31
4.1.1 Determinacin de Activos:...................................................................................31
4.1.2 Ponderacin de la Dimensiones de los Activos:..................................................32

EDCOM 8 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

4.1.3 Determinacin de las Amenazas por Activo:.......................................................33


4.1.4 Clculo de riesgo:...............................................................................................35
4.2Plan de tratamiento de riesgo.................................................................................38
4.3Declaracin de Aplicacin.......................................................................................43
CAPTULO 5: Etapa 2: Hacer.....................................................................................46
5. Etapa 2: Hacer.........................................................................................................47
5.1 Alcance y Lmites de la Gestin de Seguridad.......................................................47
5.1.1 Control: Supervisin de las obligaciones.....................................................47
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin..................47
5.1.3 Control: Procedimiento disciplinario............................................................47
5.2 Objetivos................................................................................................................48
5.2.1 Objetivo General:..................................................................................... 48
5.2.2 Objetivos Especficos:.............................................................................. 48
5.3Definicin de Polticas de Seguridad.......................................................................49
5.3.1 Polticas de Confiabilidad..........................................................................49
5.3.2 Polticas de integridad.............................................................................. 49
5.3.3 Polticas de disponibilidad.........................................................................50
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo)....................50
5.5 Procedimientos segn el sistema de gestin:........................................................51
5.5.1 Procedimiento para verificar que las polticas y procedimientos de seguridad de
la informacin estn siendo aplicados................................................................51
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de seguridad
de la informacin y sus actualizaciones..............................................................53
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de
seguridad de la empresa.................................................................................. 56
Conclusiones y Recomendaciones........................................................................632
Anexos ........ 64
ANEXO 1: Definiciones y Trminos.............................................................................65
ANEXO 2: Descripcin de cada puesto de trabajo.......................................................67
ANEXO 3: Perfil o Requisitos de los diferentes cargos................................................70
ANEXO 4: Organigrama de la empresa.......................................................................78
ANEXO 5: Escala de Valoracin de los Activos...........................................................79
Anexo5.1Escala de Valoracin de Dimensiones:..................................................79
Anexo5.2Escala de Valoracin de Frecuencia:.....................................................79

EDCOM 9 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Anexo5.3Escala de Valoracin de Impacto:.........................................................79


ANEXO 6: Formulario de Aplicabilidad de las Polticas de Seguridad..........................80
ANEXO 7: Registro de Inconformidades......................................................................82
ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades.................................83
ANEXO 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad.....................85
ANEXO 10: Formulario de Control de Asistencia de Verificacin de Aplicabilidad.......86
ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin..................................87
ANEXO 12: Carta de convocatoria a empleados.........................................................88
ANEXO 13: Formulario de Control de Asistencia a Capacitacin.................................90
ANEXO 14: Formulario de Infraccin de Polticas de Seguridad..................................91
ANEXO 15: Seguimiento de la Aplicacin de los Procedimientos Disciplinarios..........92
BIBLIOGRAFA........................................................................................................... 93

EDCOM 10 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

ndice de Ilustraciones

CAPITULO 3: Etapa 1: Planeacin


Ilustracin 3. 1 Fase Planificacin......................................................................24
Ilustracin 3. 2 Fase Hacer............................................................................... 25
Ilustracin 3. 3 Fase Chequear..........................................................................26
Ilustracin 3. 4 Fase Actuar............................................................................... 27

EDCOM 11 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

ndices de Tablas

CAPITULO 4: Anlisis de Ries


Tabla 4. 1 Determinacin de Activos...................................................................31
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio...............................32
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos..................................32
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones........................32
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos.............32
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones....33
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal..............................33
Tabla 4. 8 Determinacin de Amenazas Activo Servicio.........................................33
Tabla 4. 9 Determinacin de Amenazas Activo Datos............................................34
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones.................................34
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos.....................35
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones.............35
Tabla 4. 13 Determinacin de Amenazas Activo Personal......................................35
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos...................................38
Tabla 4. 15 Plan de Tratamiento de Riesgo.........................................................42
Tabla 4. 16 Declaracin de Aplicabilidad.............................................................45
CAPITULO 5: Etapa 2: HacerY
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad..................................58
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad......59
ANEXOS
Tabla Anexo. 1Descripcin de cada puesto de trabajo...........................................69
Tabla Anexo. 2Perfil de Cargo Gerente...............................................................70
Tabla Anexo. 3Perfil de Cargo Asesor Legal........................................................70
Tabla Anexo. 4 Perfil de Cargo Jefe Nacional Administrativo..................................71
Tabla Anexo. 5 Perfil de Cargo Asistente Administrativo........................................71
Tabla Anexo. 6 Perfil de Cargo Ayudante de Administracin...................................72
Tabla Anexo. 7 Perfil de Cargo Mensajero...........................................................72
Tabla Anexo. 8 Perfil de Cargo Representante de la Direccin...............................73
Tabla Anexo. 9 Perfil de Cargo Contador.............................................................73
Tabla Anexo. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones................................................................74
Tabla Anexo. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones. 74
Tabla Anexo. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho...75
Tabla Anexo. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho.........75
Tabla Anexo. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin.......76
Tabla Anexo. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin..............76
Tabla Anexo. 16 Perfil de Cargo Jefe de Sistemas................................................77
Tabla Anexo. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador...................77
Tabla Anexo. 18 Escala de Valoracin de Dimensiones.........................................79
Tabla Anexo. 19 Escala de Valoracin de Frecuencia............................................79
Tabla Anexo. 20 Escala de Valoracin de Impacto................................................79
EDCOM 12 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

EDCOM 13 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAPTULO 1
MARCO REFERENCIAL

1. Marco Referencial

Las normas ISO surgen para armonizar la gran cantidad


de normas sobre gestin de calidad y seguridad que
estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de
normalizacin de cada pas producen normas que
resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO
surgen del consenso entre representantes de los
distintos pases integrados a la I.S.O.

Uno de los activos ms valiosos que hoy en da posee


las diferentes empresas, es la informacin y parece ser
que cada vez ms sufre grandes amenazas en cuanto a
su confiabilidad y su resguardo, de igual forma la
informacin es vital para el xito y sobrevivencia de las
empresas en cualquier mercado. Con todo esto todo
parece indicar que uno de los principales objetivos de
toda organizacin es el aseguramiento de dicha
informacin, as como tambin de los sistemas que la
procesan.

Para que exista una adecuada gestin de la seguridad


de la informacin dentro de las organizaciones, es
necesario implantar un sistema que aborde esta tarea
de una forma metdica y lgica, documentada y basada en unos objetivos
claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.

EDCOM 14 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.

El objetivo de desarrollar un sistema de gestin de seguridad de la informacin


para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
violacin de la privacidad de los empleados, los empleados deshonestos,
intercepcin de transmisin de datos o comunicaciones y/o fallas tcnicas de
manera voluntaria o involuntariamente.

La importancia de realizar el anlisis referente a la gestin de Recursos


Humanos, radica en conocer el manejo de la informacin correspondiente a
esta rea y su flujo dentro de la empresa. De esta manera, se establece que
personas conocen o manejan que informacin y se establecen los
procedimientos a seguir para resguardar dicha informacin. Al implementar
estos procedimientos se deben realizar controles u observaciones de su
funcionamiento dentro del rea dispuesta, los cuales permitirn desarrollar
cambios en los mismos.

La empresa DECEVALE requiere implementar un sistema de gestin de


seguridad de la informacin con respecto a los recursos humanos debido a que
regiran lineamientos que permitirn reclutar personal calificado de acuerdo al
rol a desempear. La empresa maneja informacin de vital importancia para
sus clientes, la cual se considera delicada y no se puede arriesgar a incorporar
personal que pueda hacer mal uso, voluntaria o involuntariamente, de sta.

DECEVALE considera que una seleccin adecuada de su personal evitara


problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La empresa desea ser pionera en la implementacin de dicho

EDCOM 15 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

sistema, ya que dentro de su mercado es muy escaso el conocimiento del


tema.

EDCOM 16 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAPTULO 2
GENERALIDADES DE LA EMPRESA

2. Generalidades de la Empresa:

2.1 Antecedentes de la empresa:


La Compaa Depsito Centralizado de Compensacin y
Liquidacin de Valores S.A., se constituy con la
denominacin Depsito Centralizado de Valores
DECEVALE S.A., mediante Escritura Pblica autorizada
por el Notario Dcimo Sptimo de Guayaquil, Abogado
Nelson Gustavo Caarte Arboleda, el cuatro de Enero de
mil novecientos noventa y cuatro, inscrita en el Registro
Mercantil del Cantn Guayaquil el treinta y uno de marzo
del mismo ao, con un capital suscrito y pagado de diez
millones de sucres (S/.10.000.000,00) y un capital
autorizado de veinte millones de sucres
(S/.20.000.000.00).

La Junta General de Accionistas de la Compaa, en sesin


del veintiuno de agosto del dos mil uno, decidi convertir en
dlares el capital de la compaa resultando que el capital
actual es de USD$240,000.00 (doscientos cuarenta mil
dlares de los Estados Unidos de Amrica), y atribuir a
cada accin el valor de un dlar de los Estados Unidos de
Amrica. Se realizaron varios aumentos al capital llegando, finalmente a un
capital autorizado, suscrito y pagado de la compaa es de Ochocientos
ochenta mil dlares de los Estados Unidos de Amrica (US$ 880,000.00)
dividido en 880,000 acciones ordinarias y nominativas de Un dlar de los
Estados Unidos de Amrica (US$ 1.00).

DECEVALE es una Sociedad Annima autorizada y controlada por la


Superintendencia de Compaas a travs de la Intendencia de Mercado de

EDCOM 17 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Valores que se encuentra a nivel nacional en operacin y autorizado por la Ley


del Mercado de Valores del Ecuador. En la actualidad liquida las operaciones
negociadas en las dos Bolsas de Valores existentes en el Ecuador. Su casa
matriz est ubicada en la ciudad de Guayaquil en las calles Pichincha 334 y
Elizalde. Su sucursal mayor est ubicada en la capital del Ecuador, la ciudad de
Quito en la Av. Amazonas y Av. Naciones Unidas

DECEVALE, opera y brinda sus servicios al amparo de:

La Ley de Mercado de Valores,

Su Reglamento General,

El Reglamento para el Funcionamiento de Depsitos Centralizados de


Valores expedido por el Consejo Nacional de Valores CNV,

En su reglamentacin interna y Manuales Operativos.

Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin


accionara:

Las Bolsas de Valores

Las Casas de Valores

Las Instituciones Financieras

Las Instituciones Pblicas

Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE


S.A. tiene una certificacin ISO9001:2008 en los siguientes procesos:
Custodia
Compensacin
Liquidacin y registro de las transferencia de valores inscritos en el registro
de mercado de valores y que se negocian en el mercado burstil y
extraburstil.

EDCOM 18 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

2.2 Descripcin del funcionamiento del rea Recursos


Humanos

2.2.1 Seleccin de personal

Se recibe una carpeta o CV y se analiza los datos del postulante y si lo


considera apto para alguna de las posiciones de la empresa. Se archiva para
posterior contratacin, en caso de que se requiera.

Antes de iniciar el reclutamiento de personal, se analiza si dentro de la


empresa no hay algn colaborador que pueda ser promovido o reasignado para
ocupar la vacante.

En caso de realizar el reclutamiento de personal, se preseleccionan algunos


CV y se realizan entrevistas.

2.2.2 Contratacin de personal

Califica al candidato que apruebe la entrevista, tomando como base la


informacin del perfil del cargo 1. Una vez finiquitada la contratacin se coordina
la presentacin de los documentos para archivo en la Carpeta de Personal. Se
elabora el contrato de trabajo y se procede a la obtencin de la firma de ambas
partes.

2.2.3 Iniciacin del cargo

Se realiza una breve presentacin de la empresa informndole entre otros,


sobre los siguientes aspectos: ubicaciones, misin y visin de la empresa,
reglamentos, horarios de trabajo, beneficios, organigrama 2, entre dems
detalles que ayudaran a un mejor desempeo de sus actividades.

Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su


Manual de Funciones, donde se especifica la descripcin de cada cargo 3,

1Revisar Anexo 3: Perfil o Requisitos de los diferentes cargos.

2Revisar Anexo 4: Organigrama.

EDCOM 19 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

supervisando su lectura y comprensin y despejando cualquier duda que tenga


al respecto.

2.2.4 Durante el empleo

El empleado realiza las funciones de forma correcta y honesta. A cada


empleado es asignado un equipo informtico con su respectiva informacin de
acceso al sistema, para el proceso de autenticacin.

2.2.5 Cambio o reubicacin del empleado

En caso de cambio de cargo o reubicacin del empleado no existe


documentacin que detalle o deje constancia de lo sucedido. Se notifica,
oralmente al empleado; el rea de recursos humanos realiza en el sistema el
cambio de cargo y por ende, de sueldo, y el empleado se acerca al
departamento de sistema para comunicar su cambio de rol ya que ste puede
conllevar que se le concedan o restringen permisos dentro del sistema.

2.2.6 Separacin del empleado

El Gerente de la empresa comunica al empleado de la finalizacin de la


relacin laboral. En este proceso se finiquita el contrato laboral y se inactiva la
informacin de acceso correspondiente a dicho empleado. Los trmites de
liquidacin son llevados como un procedimiento perteneciente a la empresa.

3Revisar Anexo 2: Descripcin de cada puesto de trabajo.

EDCOM 20 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAPTULO 3
ETAPA 1: PLANEACIN

EDCOM 21 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3. Etapa 1: Planeacin

3.1 Definicin de la Norma ISO 27002

3.1.1 Seguridad Informtica:

Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de


la empresa. Este tipo de seguridad es importante para la compaa, ya que se
encarga de precautelar por el perfecto estado y funcionamiento de los equipos
informticos donde fluye la informacin. La informacin reside en medios como
estos equipos, soportes de almacenamiento y redes de datos, y teniendo en
cuenta estos aspectos, se hace vital mantener la seguridad informtica a travs
de lineamientos de proteccin.

3.1.2 Gestin de Seguridad de la informacin

La seguridad de la informacin es la proteccin de los activos de la informacin


de un rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Estos activos se pueden detallar como:
correos electrnicos, pginas web, imgenes, base de datos,
telecomunicaciones, contratos, documentos, etc.

La seguridad de estos activos de la informacin se logra implementando un


adecuado conjunto de controles; incluyendo polticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los
objetivos de seguridad y comerciales especficos.

La gestin de seguridad de la informacin apunta a mantener la estabilidad en


los siguientes aspectos con respecto a estos activos:

Confiabilidad: Acceso solo de personal autorizados.

Integridad: Exactitud y completitud de la informacin y procesos.

Disponibilidad: Acceso a la informacin y procesos por parte del personal


autorizado, cuando lo requieran.

EDCOM 22 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.1.3 International Organization for Standarization (ISO):

La ISO4 es una federacin internacional con sede en Ginebra (Suiza) de los


institutos de normalizacin de 157 pases (uno por cada pas). Es una
organizacin no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalizacin nacionales
es diferente en cada pas (entidad pblica, privada).

Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.

3.1.4 ISO 27000, aplicada a la seguridad de la informacin:

Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de
los sistemas que la procesan.

Para que exista una adecuada gestin de la seguridad de la informacin dentro


de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.

4 Revisar Anexo 1: Definiciones y Trminos

EDCOM 23 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC 5. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.

3.1.4.1 Serie ISO 27000

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas


con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en
ella la primera de la serie (ISO 27001), las dems son:

ISO27000 (trminos y definiciones),


ISO27002 (objetivos de control y controles),
ISO27003 (se centra en aspectos crticos en la implementacin SGSI),
ISO27004 (desarrollo y utilizacin de mtricas y tcnicas de medida de la
efectividad de un SGSI),
ISO27005 (directivas gua para la gestin del riesgo de seguridad de la
informacin)
ISO27006 (proceso de acreditacin de entidades de auditoras, certificacin
y el registro de SGSI).
ISO/IEC 27007 Gua de Auditoria de un SGSI

3.1.5 ISO 27001

Es un estndar ISO que proporciona un modelo para establecer, implementar,


operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA
(Planear-Hacer-Verificar-Actuar) de mejora continua, al igual que otras normas
de sistemas de gestin.

5 Revisar Anexo 1: Definiciones y Trminos

EDCOM 24 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Este estndar es certificable, es decir, cualquier organizacin que tenga


implantado un SGSI segn este modelo, puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir la
certificacin en ISO 27001.

El origen de la Norma ISO27001 est en el estndar britnico BSI (British


StandardsInstitution) BS7799- Parte 2, estndar que fue publicado en 1998 y
era certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
El enfoque del proceso para la gestin de la seguridad de la informacin
presentado en este estndar internacional fomenta que sus usuarios enfaticen
la importancia de:

Entender los requerimientos de seguridad de la informacin de una


organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la seguridad de
la informacin.
Monitorear y revisar el desempeo del SGSI
Realizar mejoramiento continuo en base a la medicin del objetivo

3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)

El modelo de proceso PDCA, se detalla a continuacin a travs de cada una de


sus fases:

EDCOM 25 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.1.6.1 PLANIFICACIN

Ilustracin 3. 1 Fase Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio,


organizacin, localizacin, activos y tecnologa, los lmites del SGSI. El
SGSI no tiene por qu abarcar toda la organizacin; de hecho, es
recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos
de seguridad de la informacin de la organizacin, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad.
Definir el enfoque de evaluacin de riesgos: definir una metodologa de
evaluacin de riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de riesgos y determinar el
nivel de riesgo aceptable.
Inventario de activos: todos aquellos activos de informacin que tienen
algn valor para la organizacin y que quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos
del inventario.
Identificar los impactos: los que podra suponer una prdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo
de seguridad y la probabilidad de ocurrencia del fallo; estimar el nivel de
riesgo resultante y determinar si el riesgo es aceptable o requiere
tratamiento.

EDCOM 26 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede


reducido, eliminado, aceptado o transferido.
Seleccin de controles: seleccionar controles para el tratamiento el riesgo
en funcin de la evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de
implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar
decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

3.1.6.2 IMPLEMENTACIN (HACER)

Ilustracin 3. 2 Fase Hacer

Definir plan de tratamiento de riesgos: que identifique las acciones,


recursos, responsabilidades y prioridades en la gestin de los riesgos
de seguridad de la informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los
objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase
anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la
seguridad de la informacin.
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le
asignen.
Implantar procedimientos y controles de deteccin y respuesta a
incidentes de seguridad.

EDCOM 27 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.1.6.3 SEGUIMIENTO (CHEQUEAR)

Ilustracin 3. 3 Fase Chequear

Ejecutar procedimientos y controles de monitorizacin y revisin: para


detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, y comprobar si las acciones tomadas para
resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados
de auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios
en la organizacin, tecnologa, procesos y objetivos de negocio,
amenazas, eficacia de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los
controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o
el rendimiento del SGSI.

EDCOM 28 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.1.6.4 MEJORA CONTINA (ACTUAR)

Ilustracin 3. 4 Fase Actuar

Implantar mejoras: poner en marcha todas las mejoras que se hayan


propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la
eficacia de cualquier accin, medida o cambio debe comprobarse
siempre.

3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)

El Sistema de Gestin de Seguridad de la Informacin es el concepto central


sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, como el sistema de calidad para la seguridad de la
informacin.

Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el


caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.
EDCOM 29 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.1.8 ISO 27002

ISO/IEC 27002 es un estndar para la seguridad de la informacin publicado


por primera vez como ISO/IEC 17799:2000 por la ISO e IEC en el ao 2000.
Tras un periodo de revisin y actualizacin de los contenidos del estndar, se
public en el ao 2005 el documento actualizado denominado ISO/IEC
17799:2005.

ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la


gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones 6
principales:

1. Poltica de Seguridad de la Informacin.


2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.

Dentro de cada seccin, se especifican los objetivos de los distintos controles


para la seguridad de la informacin. Para cada uno de los controles se indica,
asimismo, una gua para su implantacin.

6 Revisar Anexo 1: Definiciones y Trminos

EDCOM 30 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3.2 Polticas de la Empresa DECEVALE S.A., aplicadas a


Recursos Humanos

3.2.1 Reclutamiento, seleccin e ingreso de personal

POLTICA

Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por el
Gerente, previo al inicio de cualquier proceso de reclutamiento.

3.2.2 Capacitacin de personal

POLTICA

Se promueve la capacitacin del personal, con nfasis el entrenamiento


interno y continuo que cada Jefe de rea debe dar.

3.2.3 Calificacin de personal

POLTICA

Definir la forma de calificar el personal que labora en la empresa.

3.2.4 Transporte y Alimentacin

POLTICA

Normar el pago que por concepto de movilizacin y alimentacin que se


debe efectuar a los colaboradores que por motivo de trabajo deban
permanecer en la institucin. No aplica a Gerentes.

EDCOM 31 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

EDCOM 32 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAPTULO 4
ANLISIS DE RIESGO

4. Anlisis de Riesgo

4.1 Valoracin de Activos

La valoracin de activos comprende el proceso de


determinacin de activos, establecimiento de las
amenazas sobre los activos y clculo del impacto a partir
de varias escalas de valoracin.

4.1.1 Determinacin de Activos:

Los activos que intervienen en el rea de Recursos Humanos


de la empresa DECEVALE S.A. son los siguientes:

Tipo de Activo Activo


Servicios Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos Datos de Gestin Interna
Datos de Carcter Personal
Aplicaciones Software Utilitario
Sistemas Operativos
Navegador Web
Sistema de Backup Open KM
Antivirus
Equipos Informticos Informtica Personal
Perifricos
Soporte de Red
Redes de Comunicaciones Central Telefnica
Equipos de Acceso a Internet
Personal rea Gestin de Calidad
rea Direccin
rea Compensacin y Liquidacin

EDCOM 33 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

rea Custodia y Ejercicio de Derecho


rea Gestin de Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa y Recursos
Humanos
rea Contabilidad
rea Legal
Tabla 4. 1 Determinacin de Activos

4.1.2 Ponderacin de la Dimensiones de los Activos:

Los activos enlistados sern ponderados en base a la escala correspondiente7. Las


dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuacin, se detalla los activos y se estipula la ponderacin de las dimensiones
segn el levantamiento de informacin:

Activo: Servicio Disponibilida Confiabilida Integrida Total


d d d
Servicio de Internet 5 4 4 13
Correo Electrnico 5 4 5 14
Interno
Gestin de 5 5 5 15
Identidades
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio

Activo: Datos Disponibilida Confiabilida Integrida Total


d d d
Datos de Gestin 5 5 4 14
Interna
Datos de Carcter 5 3 3 11
Personal
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos

Activo: Aplicaciones Disponibilida Confiabilida Integrida Total


d d d
Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9

7Revisar Anexo 5: Escala de Valoracin de los Activos

EDCOM 34 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Sistema Backup 4 5 5 14
OPEN KM
Antivirus 4 4 4 12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones

Activo: Equipos Disponibilida Confiabilida Integrida Total


Informticos d d d
Informtica Personal 5 4 4 13
Perifricos 5 4 3 12

Soporte de Red 5 4 4 13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos

Activo: Redes de Disponibilida Confiabilida Integrida Total


Comunicaciones d d d
Central Telefnica 5 5 4 14
Equipo de Acceso a 5 5 5 15
Internet
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones

Activo: Personal Disponibilida Confiabilida Integrida Total


d d d
rea Gestin de 5 5 5 15
Calidad
rea Direccin 5 5 5 15
rea Compensacin 5 5 5 15
y Liquidacin
rea Custodia y 5 5 5 15
Ejercicio de Derecho
rea Gestin de 5 5 5 15
Cobro y Libro de
Acciones
rea Sistemas 4 5 4 15
rea Administrativa 5 5 5 15
y Recursos
Humanos
rea Contabilidad 5 5 5 15

rea Legal 4 5 4 15
EDCOM 35 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal

4.1.3 Determinacin de las Amenazas por Activo:


Activo: Servicio Amenazas
Servicio de Internet Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Correo Electrnico Usurpacin de identidad
Interno Falta de servicio
Acceso no autorizado
Reencaminamiento de mensajes
Uso no previsto
Gestin de Uso no previsto
Identidades Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Usurpacin de identidad
Robo o perdida de la credencial de acceso
Tabla 4. 8 Determinacin de Amenazas Activo Servicio

Activo: Datos Amenazas


Datos de Gestin Alteracin de la informacin
Interna Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Datos de Carcter Errores de los usuarios
Personal Acceso no autorizado
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin

Tabla 4. 9 Determinacin de Amenazas Activo Datos

Activo: Aplicaciones Amenazas


Software Utilitario Ataque de virus
Manipulacin de programas
Errores de usuario
Sistema Operativo Suplantacin de la identidad de usuario
Errores de administracin
EDCOM 36 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Propagacin de software malicioso


Acceso no autorizado
Navegador Web Abuso de privilegio de acceso
Manipulacin de configuracin de red
Manipulacin de programas
Sistema Backup Suplantacin de la identidad de usuario
OPEN KM Manipulacin de programas
Cada del servidor web Open KM
Errores de usuario
Antivirus Desactualizacin de antivirus
Errores de administracin
Manipulacin de programas

Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones

Activo: Equipos Amenazas


Informticos
Informtica Personal Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Falta de energa elctrica
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo
Perifricos Acceso no autorizado
Accidentes imprevistos
Cambio de ubicacin no autorizado
Soporte de Red Manipulacin de la configuracin de red
Errores de administracin
Falta de energa elctrica
Ausencia de puntos de red
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos

Activo: Redes de Amenazas


Comunicaciones
Central Telefnica Manipulacin de la asignacin de las Ips
Falta de energa elctrica
Accidentes imprevistos
Cada del servidor de la central telefnica
Equipo de Acceso a Manipulacin de la configuracin
Internet Accidentes imprevistos
Cada del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administracin

EDCOM 37 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Falta de energa elctrica

Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones

Activo: Personal Amenazas


rea Gestin de Desconocimiento de sus funciones
Calidad
Mala organizacin
rea Direccin
rea Compensacin y Indisponibilidad del personal
Liquidacin Divulgacin de la informacin
rea Custodia y
Ejercicio de Derecho Extorsin
rea Gestin de Cobro Manipulacin de la informacin
y Libro de Acciones
rea Sistemas Destruccin de la informacin
rea Administrativa y
Recursos Humanos
rea Contabilidad
rea Legal
Tabla 4. 13 Determinacin de Amenazas Activo Personal

4.1.4 Clculo de riesgo:


A partir del levantamiento de informacin, donde se arrojo el nivel de frecuencia
e impacto8 al activo mediante la amenaza se han calculado los riesgos por
cada una:

Activo Amenazas Frecuencia Impacto Total


Servicio de Uso inapropiado 3 3 9
Internet Acceso no autorizado 2 4 8
Falta de servicio 1 5 5
Interferencia 2 4 8

Correo Usurpacin de 2 4 8
Electrnico identidad
Interno Falta de servicio 1 4 4
Acceso no 4 3 12
autorizado
Reencaminamiento 4 3 12
de mensajes
Uso no previsto 3 3 9
Gestin de Uso no previsto 2 4 8
Identidades Manipulacin de la 3 5 15
credencial de acceso

8Revisar Anexo 5: Escala de Valoracin de Activos

EDCOM 38 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Falta de energa 4 2 8
elctrica
Manipulacin de la 2 2 4
configuracin del
aplicativo
Usurpacin de 3 4 12
identidad
Robo o perdida de la 4 5 20
credencial de acceso
Datos de Alteracin de la 2 5 10
Gestin Interna informacin
Destruccin de la 3 5 15
informacin
Manipulacin de la 2 5 10
configuracin
Divulgacin de 4 4 16
informacin
Datos de Errores de los 4 4 16
Carcter usuarios
Personal Acceso no 3 3 9
autorizado
Destruccin de 2 5 10
informacin
Degradacin de la 2 5 10
informacin
Divulgacin de 2 3 6
informacin
Software Ataque de virus 2 2 4
Utilitarios Manipulacin de 3 2 6
programas
Errores de usuario 4 4 16
Sistemas Suplantacin de 3 3 9
Operativos identidad de usuario
Errores de 3 4 12
administracin
Propagacin de 2 3 6
software malicioso
Acceso no 3 4 12
autorizado
Navegador Web Abuso de privilegios 4 3 12
de acceso
Manipulacin de 2 3 6
configuracin de red

EDCOM 39 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Manipulacin de 2 2 4
programas
Sistema de Manipulacin de 2 2 4
BackUp programas
Open KM Suplantacin de 2 2 4
identidad de usuario
Cada del servidor 2 2 4
web Open KM
Errores de usuario 3 2 6

Antivirus Desactualizacin de 1 2 2
antivirus
Errores de 2 2 4
administracin
Manipulacin de 2 2 4
programas
Informtica Acceso no 3 2 6
Personal autorizado
Modificacin de la 3 2 6
asignacin del
equipo
Accidentes 3 2 6
imprevistos
Falta de energa 3 2 6
elctrica
Manipulacin de las 3 2 6
propiedades del
equipo
Ingreso no 2 3 6
autorizado de equipo

Perifricos Acceso no 5 3 15
Impresoras autorizado
Scanners Accidentes 4 3 12
imprevistos
Cambio de ubicacin 3 3 9
no autorizado
Soporte de Red Manipulacin de 2 4 8
configuracin de red
Errores de 2 4 8
administracin
Falta de energa 4 5 20
elctrica
EDCOM 40 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Ausencia de puntos 4 4 16
de red

Central Manipulacin de 2 4 8
Telefnica asignacin de Ips
Falta de energa 3 5 15
elctrica
Accidentes 3 3 9
imprevistos
Cada del servidor 4 4 16
de la central
telefnica
Equipo de Manipulacin de 2 4 8
Acceso a configuracin
Internet Accidentes 2 4 8
imprevistos
Cada del servidor 2 4 8
proveedor
Problemas con las 2 4 8
conexiones del
proveedor
Errores de 2 4 8
administracin
Falta de energa 3 5 15
elctrica
Personal: Desconocimientos 4 4 16
Diferentes reas de sus funciones
Mala organizacin 3 3 9
Indisponibilidad del 2 2 4
personal
Divulgacin de 3 3 9
informacin
Extorsin 3 2 6
Manipular 4 4 16
informacin
Destruir informacin 4 4 16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos

4.2 Plan de tratamiento de riesgo


ACTIVOS AMENAZAS VULNERABILIDADES PTR

EDCOM 41 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Servicio Uso inapropiado No respetar los lmites de Aceptar


de acceso
Internet Falta de capacitacin Reducir
sobre los lmites de
acceso
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Falta de servicio Problemas del Transferir
proveedor de internet
Interferencia Falta de proteccin de Aceptar
la red
Correo Usurpacin de identidad Falta de control en el Reducir
Electrnic acceso
o Interno Divulgacin de la Reducir
informacin de acceso
Falta de servicio Falta del servicio de Transferir
Internet
Interferencia con el Reducir
servidor interno de
correo
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Usurpacin de identidad Reducir

Reencaminamiento de Falta de seguridad en la Aceptar


mensajes transferencia de
mensajes
Uso no previsto Falta de polticas Reducir
Gestin de Uso no previsto Falta de polticas Reducir
Identidades Manipulacin de la Falta de Reducir
credencial de acceso implementacin de
mayor seguridades en
la credencial
Falta de energa elctrica Falta de generador Aceptar
elctrico
Manipulacin de la Falta de polticas Reducir
configuracin del
aplicativo
Usurpacin de identidad Falta de control en el Reducir
acceso
Robo o perdida de la Falta de mtodo de Reducir
credencial de acceso apoyo para el caso

EDCOM 42 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Datos de Alteracin de la Insuficiente Reducir


Gestin informacin entrenamiento de
Interna empleados
Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Cambio de ubicacin de Falta de proteccin Reducir
la informacin fsica adecuada
Manipulacin de la Falta de un debido Reducir
configuracin control de acceso a
usuarios
Divulgacin de la Almacenamiento no Reducir
informacin protegido
Errores de los usuarios Falta de conocimiento y Reducir
oportuno entrenamiento
Datos de Acceso no autorizado Falta de polticas y Reducir
Carcter proteccin fsica
Personal Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Degradacin de la Falta de mantenimiento Reducir
informacin adecuado
Divulgacin de la Almacenamiento no Aceptar
informacin protegido

Ataque de virus Falta de proteccin Aceptar


contra aplicaciones
dainas
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Software Errores de usuario Falta de conocimiento y Reducir
Utilitario oportuno entrenamiento
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Sistema Propagacin de software Falta de proteccin y Aceptar
Operativo malicioso controles en las

EDCOM 43 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

configuraciones de la
red

Acceso no autorizado Falta de polticas y Reducir


proteccin fsica
Abuso de privilegio de Falta de conocimiento y Reducir
acceso oportuno entrenamiento
Manipulacin de Falta de control de Aceptar
configuracin de red acceso
Navegador Manipulacin de Insuficiente Aceptar
Web programas entrenamiento de
empleados
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso

Cada del servidor web Instalacin de SW no Aceptar


Open KM Autorizado

Sistema Errores de usuario Falta de conocimiento y Aceptar


Backup oportuno entrenamiento
OPEN KM
Desactualizacin de Falla del servicio de red Aceptar
antivirus
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Antivirus Acceso no autorizado Falta de polticas Reducir

Modificacin de la Falta de control de Aceptar


asignacin del equipo Acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Informtica Falta de energa elctrica Falta de acuerdos bien Aceptar
Personal definidos con terceras
partes
Manipulacin de las Falta de control de Aceptar
propiedades del equipo acceso
Ingreso no autorizado del Falta de control de Aceptar
equipo acceso
Acceso no autorizado Falta de control de Reducir

EDCOM 44 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

acceso

Accidentes imprevistos Condiciones locales Reducir


donde los recursos son
fcilmente afectados
Cambio de ubicacin no Falta de proteccin Aceptar
autorizado fsica adecuada
Perifricos Manipulacin de la Falta de control de Aceptar
configuracin de red seguridad
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
Soporte Ausencia de puntos de Capacidad insuficiente Reducir
de Red red de los recursos
Manipulacin de la Falta de control de Aceptar
asignacin de las Ips acceso
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Central Cada del servidor de la Falta de acuerdos bien Reducir
Telefnica central telefnica definidos con terceras
partes
Manipulacin de la Falta de control de Aceptar
configuracin acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente
afectados
Cada del servidor Falta de acuerdos bien Transferir
proveedor definidos con terceras
partes
Equipo de Problemas con las Falta de acuerdos bien Transferir
Acceso a conexiones del proveedor definidos con terceras
Internet partes
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
EDCOM 45 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Falta de energa elctrica Falta de capacitacin Reducir


del administrador
Desconocimiento de sus Falta de conocimiento y Reducir
funciones oportuno entrenamiento
Mala organizacin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Indisponibilidad del Falta de conocimiento y Aceptar
personal oportuno entrenamiento
Recursos Divulgacin de la Almacenamiento no Reducir
Humanos informacin protegido
Extorsin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Manipulacin de la Insuficiente Reducir
informacin entrenamiento de
empleados
Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Falla en la eleccin del Falta de Reducir
personal especificaciones con
respecto a la seleccin
de personal
Tabla 4. 15 Plan de Tratamiento de Riesgo

4.3 Declaracin de Aplicacin

A continuacin, se detallara la Declaracin de Aplicacin (SOA) para determinar


las responsabilidades del control a realizar a travs del sistema de gestin de
seguridad de la informacin:

EDCOM 46 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

Observa Controles Observaciones


ISO 27001: 2005 Cont ciones seleccionados y (Descripcin
Controles roles (Justific las razones para la general de la
Utiliz acin de seleccin aplicacin)
ados exclusi L C BR RR
n) R O /B A
P
Clau S Objetivo de
sula ec control/Con
. troles
8. Antes del
Segu 1 Empleo
EDCOM 47 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

ridad 8. Roles y Control


de 1. Responsa es
los 1 bilidades desarrol
Recu lados
rsos
por otra
Hum
ISO
anos
8. Deteccin Control
1. es
2 desarrol
lados
por otra
ISO
8. Trminos Control
1. y es
3 condicione desarrol
s del lados
empleado
por otra
ISO
8. Durante el
2 Empleo
8. Responsa X X X Se debe detallar
2. bilidad de los
1 la procedimientos
Direccin para controlar
que las polticas
de seguridad de
la empresa se
estn aplicando
en las labores
diarias.
8. Formacin X X X Definir las
2. y actividades a
2 capacitaci realizar para
n en aplicar el
seguridad
control y
de la
transmitir las
informaci
n polticas de
seguridad o
actualizaciones
de las mismas.
8. Comunica X X X Se debe
2. cin de estructurar un
EDCOM 48 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

3 eventos y procedimiento
debilidade a seguir en
s de la caso de que
seguridad alguna poltica
de la
sea infringida
informaci
por los
n
usuarios.
8. Terminaci
3 n y
Cambio
de Empleo
8. Terminaci Desarro
3. n de las llado
1 responsab por otro
ilidades grupo
8. Restituci Desarro
3. n de llado
2 activos por otro
grupo
8. Remover Desarro
3. los llado
3 permisos por otro
de acceso grupo

Tabla 4. 16 Declaracin de Aplicabilidad

EDCOM 49 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin
de la Informacin a Empresa DECEVALE

CAP

EDCOM 50 ESPOL