Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CD 4645 PDF
CD 4645 PDF
CD 4645 PDF
ii
DECLARACIN
Yo, Vernica Lucia Chamorro Alvarado, declaro bajo juramento que el trabajo
aqu descrito es de mi autora; que no ha sido previamente presentado para
ningn grado o calificacin profesional; y, que he consultado las referencias
bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedo mis derechos de propiedad intelectual
correspondiente a este trabajo, a la Escuela Politcnica Nacional, segn lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
____________________________
Vernica Lucia Chamorro Alvarado
iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Vernica Lucia Chamorro
Alvarado, bajo mi supervisin.
_______________________
Ing. Carlos Montenegro
DIRECTOR DE PROYECTO
AGRADECIMIENTOS
A ti por todo tu apoyo
VERNICA CHAMORRO
DEDICATORIA
A mi madre
VERNICA CHAMORRO
Contenido
1.1.1
1.1.1.1
Confidencialidad.............................................................................................................................. 3
1.1.1.2
Integridad ........................................................................................................................................ 4
1.1.1.3
Disponibilidad.................................................................................................................................. 4
1.1.1.4
Autenticidad .................................................................................................................................... 4
1.1.1.5
1.1.2
1.1.2.1
Amenaza.......................................................................................................................................... 5
1.1.2.2
1.1.2.3
1.1.3
1.1.3.1
Riesgo .............................................................................................................................................. 8
1.1.3.2
1.1.3.3
1.1.4
1.1.4.1
1.1.4.2
1.1.4.3
1.2
1.2.1
1.2.1.1
1.2.1.2
Gestin del riesgo de seguridad de la informacin segn la ISO IEC 27005:2008 ......................... 18
1.2.1.3
1.2.2
1.2.2.1
1.2.2.2
1.2.2.3
1.2.2.4
1.2.2.5
1.2.2.6
1.2.2.7
1.2.2.8
1.2.2.9
1.2.2.10
1.2.2.11
Seguimiento .................................................................................................................................. 50
2.2
2.2.1
INTRODUCCIN ....................................................................................................................... 56
2.2.2
2.2.3
2.2.4
2.2.5
2.2.5.1
2.2.5.2
2.2.6
2.2.6.1
Identificacin de activos................................................................................................................ 58
2.2.6.2
2.2.6.3
2.2.6.4
2.2.6.5
2.2.6.6
2.2.6.7
2.2.7
2.2.8
2.2.9
2.2.9.1
2.2.9.2
2.2.9.3
3.1.1
SELECCIN ............................................................................................................................... 73
3.1.2
3.1.3
MISIN ..................................................................................................................................... 74
3.1.4
VISIN ...................................................................................................................................... 74
3.1.5
3.1.6
VALORES-PRINCIPIOS ............................................................................................................... 75
3.1.7
ORGANIGRAMA ....................................................................................................................... 76
3.2
3.2.1
3.2.2
3.2.2.1
3.2.2.2
3.2.2.3
3.2.2.4
3.2.2.5
3.2.3
3.3
4
3.2.3.1
3.2.3.2
3.2.3.4
3.2.3.5
3.2.3.6
3.2.3.7
3.2.3.8
3.2.3.9
3.2.3.10
3.2.3.11
3.2.3.12
3.2.3.13
4.2
NDICE DE TABLAS
Tabla 1.1 Riesgo e impacto .................................................................................... 8
Tabla 2.1 Tasacin de activos de informacin ..................................................... 59
Tabla 2.2 Activos de Informacin y propietarios ................................................... 60
Tabla 2.3 Clasificacin de amenazas ................................................................... 61
Tabla 2.4 Escala de Likert .................................................................................... 61
Tabla 2.5 Mtodo para el clculo del riesgo ......................................................... 64
Tabla 2.6 Escala de riesgo para evaluar significado del riesgo ............................ 65
Tabla 2.7 Ejemplo de declaracin de aplicabilidad de un proceso ....................... 70
Tabla 3.1 Datos del caso de estudio .................................................................... 73
Tabla 3.2 Situacin previa de la Seguridad de la Informacin ............................. 78
Tabla 3.3 Activos de Informacin y Propietarios .................................................. 81
Tabla 3.4 Tasacin de activos de informacin ..................................................... 82
Tabla 3.5 Activos de Informacin de Sistemas y Soporte .................................... 83
Tabla 3.6 Amenazas y Vulnerabilidades .............................................................. 87
Tabla 3.7 Escala de riesgo y su evaluacin ......................................................... 90
Tabla 3.8 Tratamiento del Riesgo ........................................................................ 91
Tabla 3.9 Estrategias de tratamiento del riesgo ................................................... 92
Tabla 3.10 Declaracin de aplicabilidad ............................................................... 95
Tabla 3.11 Comparacin de la situacin previa y actual de la seguridad de la
informacin. ........................................................................................................ 127
NDICE DE FIGURAS
Ilustracin 1.1 Amenazas para la Seguridad Informtica ....................................... 6
Ilustracin 1.2 Modelo PDCA aplicado a los procesos SGSI ............................... 11
Ilustracin 1.3 Modelo de procesos de gestin de riesgos de BS 7799-3 ............ 14
Ilustracin 1.4 Modelo de procesos para la gestin de la Seguridad de la
Informacin........................................................................................................... 17
Ilustracin 1.5 Proceso de anlisis detallado de riesgos de ISO/IEC 13335 ........ 18
Ilustracin 1.6 Proceso de gestin de riesgos de seguridad de la informacin de
ISO/IEC 27005:2008 ............................................................................................ 20
Ilustracin 1.7 Proceso General De Identificacin Y Anlisis ............................... 22
Ilustracin 1.8 Relacin entre los elementos de seguridad .................................. 29
Ilustracin 2.1 Relacin causa-efecto entre elementos del anlisis de riesgo ...... 63
Ilustracin 2.2 Proceso de toma de decisiones para el tratamiento del riesgo ..... 68
Ilustracin 3.1 Organigrama ................................................................................. 76
INTRODUCCIN
Aplicar un plan de seguridad informtica es muy importante dado que en este se
establecen las directrices principales para la gestin de la seguridad informtica.
En el captulo 1 se describen los estndares de seguridad informtica. Adems se
indican las directrices del estndar ISO IEC 13335 que sern utilizadas para
realizar el plan de seguridad informtica.
En el captulo 2 se realiza el plan de seguridad informtica y las consideraciones
que se deben tomar en cuenta para realizar dicho plan.
En el captulo 3 se realiza una validacin del plan de seguridad de la informacin
aplicado a un caso de estudio especfico, al cual se lo describe, se evala y se
analiza los resultados que se obtienen.
En el captulo 4 se da a conocer las conclusiones y recomendaciones del trabajo
realizado.
RESUMEN
El presente trabajo tiene como objetivo aplicar el estndar ISO 13335 para
proponer un plan de seguridad de la informacin en un caso de estudio de una
empresa mediana de Desarrollo de Software.
Al obtener los resultados se pudo analizar cules son las polticas de seguridad
que requieren ms atencin para que este plan se pueda implementar
adecuadamente, el caso de estudio seleccionado permiti conocer las fortalezas y
debilidades que existen en cuanto a la seguridad informtica as como tambin
que polticas se deben implementar para mejorar el nivel de seguridad de la
informacin
de
las
empresas
de
desarrollo
software
del
Ecuador.
1 SEGURIDAD INFORMTICA
1.1 ESTNDARES DE SEGURIDAD INFORMTICA
Actualmente, a consecuencia de los avances tecnolgicos que las organizaciones
tienen a su disposicin y la cantidad de informacin que manejan, es necesaria
que toda esta informacin sea tratada de la forma adecuada considerndola como
uno de los activos de mayor valor para el progreso de la misma.
Dado que el uso de Internet se encuentra en aumento, cada vez ms
organizaciones permiten a sus socios y proveedores acceder a sus sistemas de
informacin. Por lo tanto, es fundamental saber qu recursos de la organizacin
necesitan proteccin para as controlar el acceso a los mismos y los permisos de
los usuarios del sistema de informacin. Los mismos procedimientos se aplican
cuando se permite el acceso a la organizacin a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy
en da, el cual permite a los empleados conectarse a los sistemas de informacin
casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del
sistema de informacin fuera de la infraestructura segura de la organizacin.
La mayora de las organizaciones de nuestro pas no le dan la importancia que
merece a la seguridad informtica por lo que estn expuestos a grandes riesgos,
tales como prdida y fuga de informacin confidencial, documentos adulterados,
entre otras.
Ser lo que soy, no es nada sin la seguridad William Shakespeare (1546-1616)
aplicndolo a nuestros das, en las organizaciones se puede afirmar que al igual
que hace cientos de aos era importante la seguridad ms ahora que vivimos en
un mundo globalizado; para que las organizaciones sean pioneras y competitivas
deben asegurar su informacin.
1.1.1 SEGURIDAD INFORMTICA
Antes de hablar sobre estndares de seguridad informtica se debe tener claro
que es y para qu sirve la seguridad informtica, cuales sus campos de aplicacin
y sus ventajas.
La seguridad informtica se define como el rea de la informtica que se enfoca
en la proteccin de la infraestructura computacional y todo lo relacionado con esta
necesario
proteger
la
informacin
mediante
medios
de
respaldo,
documentacin, transito de red, etc., contra modificaciones sin permiso las cuales
pueden ser producidas por errores de hardware, software y/o personas, de forma
intencional o accidental.
1.1.1.3 DISPONIBILIDAD
Se refiere a la continuidad operativa de la organizacin, la prdida de
disponibilidad puede implicar, la prdida de productividad o de credibilidad de la
organizacin. El sistema contiene informacin o proporciona servicios que deben
estar disponibles a tiempo para satisfacer requisitos o evitar prdidas importantes,
como sistemas esenciales de seguridad y proteccin de la vida.
1.1.1.4 AUTENTICIDAD
La autenticidad consiste en la confirmacin de la identidad de quien hace uso de
los recursos; es decir, la garanta para cada una de las partes son realmente
quien dicen ser. Un control de acceso permite (por ejemplo gracias a una
contrasea codificada) garantizar el acceso a recursos nicamente a los usuarios
autorizados.
1.1.1.5 VALOR DE LA INFORMACIN
Considerando la continuidad de la organizacin, lo mas critico que debera
protegerse son los datos (la informacin). La informacin constituye un recurso
que en muchos casos no se valora adecuadamente debido a su intangibilidad.
Toda organizacin est expuesta a riesgos y peligros que la hacen vulnerable a
sabotajes.
Amenazas de la Seguridad
Desastres
Naturales
Humanas
Maliciosas
Incendios
Inundaciones
Terremotos
No Maliciosas
Internas
(Empleados
inconformes)
Externas
(hakers)
Empleados
Ignorantes
Impacto
Robo de hardware
Alto
Robo de informacin
Alto
Vandalismo
Medio
Medio
Virus Informticos
Medio
Equivocaciones
Medio
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
10
11
la misma forma una gua para su implantacin. El nmero total de controles suma
133 entre todas las secciones aunque cada organizacin debe considerar
previamente cuntos sern realmente los aplicables segn sus propias
necesidades.
1.1.4.2 EL ESTNDAR ISO/IEC 27001:2005
El Estndar Internacional ISO/IEC 27001:2005 ha sido preparado para
proporcionar un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin.
Segn el Estndar la adopcin de un SGSI para una organizacin debe realizarse
como parte de las decisiones estratgicas, para lo cual es necesario el
compromiso de la gerencia para el establecimiento, implementacin, operacin,
monitoreo, revisin, mantenimiento y mejoramiento del SGSI. [1]
El Estndar toma el modelo de procesos Planear Hacer Chequear Actuar
(PDCA) que se muestra en la Ilustracin 1.2.
Planear
Mantener y
mejorar el
SGI
Partes
y expectativas
Partes
Interesadas
Desarrollar,
mantener y
mejorar el ciclo
Hacer
Requerimientos
Actuar
Interesadas
Establecer
el SGSI
de la seguridad
de la
informacin
Monitoriar y
revisar el
SGSI
Implementar
y operar el
SGSI
Seguridad de
la informacin
manejada
Chequear
Ilustracin 1.2 Modelo PDCA aplicado a los procesos SGSI
Fuente: Estndar ISO/IEC 27000: 2005
12
1.1.4.2.2 Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele
tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la
organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la
Informacin elegido. En general, es recomendable la ayuda de consultores
externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de informacin y sus procesos de trabajo a las exigencias de las
normativas legales de proteccin de datos (por ejemplo, en Espaa la conocida
13
el
impacto
resultante
de
la
prdida
de
las amenazas y
vulnerabilidades.
Evaluacin de riesgos:
o Calculo de riesgos
o Evaluacin de los riesgos teniendo en cuenta una escala de riesgos.
Reducir
Aceptar
Transferir
Evitar
14
Los procesos propuestos para la gestin del riesgo definen un ciclo iterativo que
se puede comprobar en la Ilustracin 1.3.
Actividades de
gestin
contina de
riesgos
Mantener y
mejorar los
controles de
riesgos
Valoracin
de riesgos
Valorar y
evacuar los
riesgos
Monitorizar y
revisar los riegos
Seleccionar,
implementar y
operar controles
para tratar los
riesgos
Tratamiento de
riesgos y
decisiones de
direccin
15
Los informes tcnicos de los tipos 1 y 2 estn sujetos a revisin dentro de tres
aos posterior a la publicacin, para decidir si se puede transformar en normas
internacionales. Los informes tcnicos del tipo 3 no necesariamente tienen que
ser revisados, hasta que los datos que proporcionan son considerados como no
vlidos o intiles.
El propsito del ISO / IEC TR 13335 es proporcionar una gua, no soluciones, en
aspectos de gestin de la seguridad informtica. Los individuos dentro de una
organizacin que son responsables de la seguridad de TI deben ser capaces de
adaptar el material de este informe para satisfacer sus necesidades especficas.
Sus principales objetivos son:
16
17
Enfoque
Informal
Enfoque
Combinado
Enfoque
Detallado
Enfoque de referencia
Seleccin de salvaguardias
Aceptacin de riesgos
Polticas de Seguridad de Sistemas de TI
Plan de seguridad de TI
Implementacin del plan de seguridad TI
Implementacin de
Salvaguardas
Concienciacin
de seguridad
Formacin de
seguridad
Monitoreo
Gestin de
Incidentes
18
Anlisis de riesgos
Establecimiento del
alcance de la revisin
Identificacin de
activos
Valoracin de activos
Establecimiento de
dependencias
Valoracin de
Valoracin de
Enfoque
amenazas
vulnerabilidades
combinado
Valoracin de riesgos
Seleccin de
salvaguardas
NO
Identificacin/revisi
n de restricciones
Aceptacin
de riesgos
SI
Poltica de seguridad
de sistemas
Plan de seguridad de
TI
19
20
Anlisis de
riesgos
Identificacin de riesgos
Comunicacin de riesgos
Valoracin
de riesgos
Estimacin de riesgos
Evaluacin de riesgos
Valoracin
satisfactoria
Tratamiento de riesgos
Tratamiento satisfactorio
Aceptacin de riesgos
DE
SISTEMAS
DE
INFORMACIN,
SUS
21
control posibles y las reas tcnicas especficas (que se aborda en las diferentes
partes de la norma ISO/IEC 18028).
La norma ISO / IEC 18028-1 es relevante para cualquier persona involucrada en
la posesin, explotacin o uso de una red, incluyendo a los altos directivos,
adems de los gerentes y administradores que tienen responsabilidades
especficas para la seguridad de la informacin.
El documento ISO/IEC 18028-1 tiene las siguientes referencias de otras normas:
ISO / IEC 18028-2:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 2: Arquitectura de seguridad de red.
ISO / IEC 18028-3:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 3: Asegurar las comunicaciones entre
redes que utilizan Gateway de seguridad.
ISO / IEC 18028-4:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 4: Asegurar el acceso remoto.
ISO / IEC 18028-5:2006, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 5: Asegurar las comunicaciones a travs
de redes con VPN
ISO / IEC 13335-1:2004, Tecnologas de la informacin- Tcnicas de seguridadGestin de la informacin y la seguridad de la tecnologa de comunicacionesParte 1: Conceptos y modelos de informacin y tecnologa de gestin de
seguridad de las comunicaciones.
ISO / IEC 17799:2005, Tecnologa de la informacin- Tcnicas de seguridadCdigo de prcticas para gestin de seguridad de tecnologas de la informacin.
ISO / IEC 18044:2004,- Tcnicas de seguridad- Seguridad de la informacin de
gestin de incidentes.
ISO / IEC 18043:2006, Tecnologa de la informacin- Tcnicas de seguridadSeleccin, despliegue y operaciones de sistemas de deteccin de intrusos.
La norma tiene un proceso general de identificacin y anlisis de los factores
relacionados con las comunicaciones que se debe tener en cuenta para
establecer los requisitos de seguridad y control de red. La Ilustracin 1.7 muestra
los pasos de este proceso.
22
23
24
1.2.2.1.6 Activos
En relacin con la seguridad de la informacin, se refiere a cualquier informacin
o sistema relacionado con el tratamiento de la misma que tenga valor para la
organizacin. Segn [ISO/IEC 13335-1:2004]: Se debe determinar los activos
como cualquier cosa que tiene valor para la organizacin.
1.2.2.1.7 Bienes
La gestin adecuada de los activos es vital para el xito de la organizacin, y es
una de las principales responsabilidad de todos los niveles de gestin. Los activos
de una organizacin puede ser considerada lo suficientemente valioso como para
justificar un cierto grado de proteccin. Estos pueden incluir, sin limitarse a:
25
personal,
gestin,
administracin,
hardware,
software
informacin.
Una vulnerabilidad puede existir en ausencia de amenazas correspondiente. Una
vulnerabilidad no es ms que una condicin o un conjunto de condiciones que
pueden permitir que una amenaza afecte a un activo. Vulnerabilidades que surgen
de diferentes fuentes deben ser consideradas, por ejemplo, los. Intrnsecos o
extrnsecos al activo. Las vulnerabilidades deben ser evaluadas individualmente y
en conjunto para considerar el contexto operacional.
Dentro de un sistema u organizacin especfica, no todas las vulnerabilidades
sern susceptibles a una amenaza.
Vulnerabilidades que tienen un peligro son de inters inmediato. Sin embargo,
como el medio ambiente puede cambiar impredeciblemente, todas las
vulnerabilidades deben ser controladas para identificar a los que se han expuesto
a nuevas o re-emergentes amenazas.
Evaluar las vulnerabilidades es el examen de las debilidades que pueden ser
explotadas por las amenazas identificadas. Esta evaluacin debe tener en cuenta
el medio ambiente y las garantas existentes. La medida de una vulnerabilidad de
un sistema particular o bien, es una declaracin de la facilidad con la que el
sistema o bien puede resultar perjudicado.
26
Las vulnerabilidades pueden ser calificados en trminos tales como Alta, Media y
Baja, en funcin del resultado de la evaluacin de la vulnerabilidad.
1.2.2.1.10 Impacto
El impacto es el resultado de un incidente de seguridad de la informacin,
causada por una amenaza, que afecta a los bienes. El impacto podra ser la
destruccin de ciertos activos, daos en el sistema de TI, y compromiso de
confidencialidad, integridad, disponibilidad, no repudio, la rendicin de cuentas,
autenticidad o fiabilidad. Impacto indirecto incluye posibles prdidas financieras, y
la prdida de cuota de mercado o imagen de la empresa. La medicin del impacto
permite un equilibrio que se hizo entre los resultados previstos de un incidente y el
costo de las garantas de proteccin contra el incidente. Se debe tener en cuenta
la probabilidad de ocurrencia de un incidente.
Las mediciones cuantitativas y cualitativas del impacto se pueden lograr de varias
formas, como:
1.2.2.1.11 Riesgo
El riesgo es la posibilidad de que una amenaza se aprovecha de las
vulnerabilidades de un activo o grupo de activos y por lo tanto cause dao a la
organizacin. Amenazas simples o mltiples pueden explotar una o mltiples
vulnerabilidades.
Para describir los riesgos dentro de la empresa se debe plantear escenarios
mediante los cuales se pueda explotar una determinada vulnerabilidad o un grupo
de vulnerabilidades que exponen los bienes de dao mediante una o varias
amenazas, caracterizando al riesgo por una combinacin de dos factores, la
probabilidad de que el incidente que se produzca y sus consecuencias
Cualquier cambio en los bienes, las amenazas, vulnerabilidades y garantas
pueden tener efectos significativos sobre los riesgos.
La deteccin temprana o el conocimiento de los cambios aumentan la oportunidad
para tomar las medidas adecuadas para tratar los riesgos. Opciones para el
27
la prevencin,
la disuasin,
deteccin,
limitacin,
correccin,
la recuperacin,
el seguimiento y la
concienciacin.
polticas y procedimientos,
software anti-virus,
cifrado,
firmas digitales,
1.2.2.1.13 Limitaciones
Se deben describir Las restricciones que son normalmente establecidas o
reconocidas por la administracin de la organizacin y la influencia del entorno en
28
de organizacin,
de negocios,
financieros,
medio ambiente,
personal,
tiempo,
legal,
tcnica, y
cultural / social.
29
30
lograr una efectiva seguridad de TI, es necesario alinear los diversos objetivos,
estrategias y polticas para cada nivel de organizacin y unidad de negocio.
1.2.2.2.2 Jerarqua de las Polticas
Todas las Polticas que se definan o estn definidas deben tener una jerarqua es
decir se las debe presentar de acuerdo a su importancia.
1.2.2.2.3 Elementos de las Polticas de seguridad corporativa de TI
La poltica de seguridad corporativa debe cubrir al menos los siguientes temas:
Requerimientos
de
seguridad,
por
ejemplo,
en
trminos
de
Directrices y procedimientos,
Planes de contingencia,
Sensibilizacin y formacin,
Subcontratacin de gestin, y
Manejo de incidentes
31
32
1.2.2.3.4 Usuarios de TI
Los Usuarios son responsables de:
33
1.2.2.3.6 Compromiso
Es de vital importancia para la eficacia de la seguridad de TI que la gestin en
todos los niveles apoye los esfuerzos realizados por los individuos. El compromiso
de la organizacin con los objetivos de seguridad de TI incluye:
34
Integracin de la seguridad,
Interoperabilidad,
Consistencia,
Portabilidad,
35
Planificacin:
o determinar los requisitos de seguridad de las TIC de la organizacin,
o determinar los objetivos estrategias y polticas de seguridad de las
TIC de la organizacin,
o identificar los roles y responsabilidades dentro de la organizacin,
o desarrollo del plan de seguridad de las TIC,
o evaluacin de riesgos.
o las decisiones de tratamiento del riesgo y la seleccin de
seguridades, y
36
o planificacin de la continuidad
Implementacin:
o la aplicacin de seguridades,
o aprobacin de sistemas de TI,
o desarrollar e implementar un programa de concienciacin sobre la
seguridad, y
o revisar y supervisar la implementacin y operacin de las
salvaguardias,
Operacin y mantenimiento:
o configuracin de control y gestin del cambio,
o gestin de la continuidad,
o revisin, auditora y vigilancia, y cumplimiento de control de
seguridad, y
o seguridad de la informacin de gestin de incidentes.
37
polticas
de
sistema
de
seguridad TI
partir
de las
Mantenimiento de
las
seguridades, para
asegurar su
funcionamiento
continuo y eficaz
38
1.2.2.4.5 Integracin
La integracin de la seguridad informtica, todas las actividades de seguridad de
TI son ms efectivas si se producen de manera uniforme en toda la organizacin y
desde el inicio del ciclo de vida de cualquier sistema de TI. El proceso de
seguridad es en s misma un importante ciclo de actividades y deben integrarse
en todo lo que las fases del ciclo de vida del sistema. Mientras que la seguridad
es ms eficaz si se integra en los sistemas de nuevo desde el principio, los
sistemas heredados y las actividades comerciales se benefician de la integracin
de la seguridad en cualquier momento.
Un ciclo de vida del sistema de TI se puede subdividir en cuatro fases
bsicas. Cada una de estas fases se relaciona con la seguridad informtica de la
siguiente manera:
39
40
Basndose en los resultados de los exmenes de alto nivel, las garantas para
mitigar los riesgos se pueden seleccionar con una de las cuatro opciones que se
describen a continuacin. Las clusulas siguientes ofrecen una explicacin de las
ventajas y desventajas que proporciona cada opcin:
1.2.2.5.1 Enfoque de referencia
La primera opcin es seleccionar un conjunto de garantas para lograr un nivel
bsico de proteccin para todos los sistemas. Una variedad de medidas de
seguridad estndar se sugiere en los documentos de referencia y cdigos de
prcticas. Despus de un examen de las necesidades bsicas, estas medidas de
seguridad tambin se pueden adaptar a otros sistemas tales como las normas
internacionales y nacionales, las normas de la industria del sector o
recomendaciones, o alguna otra empresa con similitudes apropiadas (como los
objetivos de negocio, tamao, sistemas informticos y aplicaciones).
Las ventajas de esta opcin son:
41
Hay muy poca justificacin para las garantas seleccionadas, por tanto, los
gastos en materia de garantas seran de difcil justificacin.
42
Los recursos y el dinero pueden ser aplicados en los que sern los
sectores ms beneficiosos y en los sistemas que puedan estar en alto
riesgo y deban ser tratados a tiempo.
43
Los criterios para determinar los niveles aceptables de riesgo que los
sistemas de IT consideran,
44
45
Es obvio que no se pueden tolerar los riesgos inaceptables, por lo que las
garantas adicionales que limiten el impacto o las consecuencias de esos riesgos
deben ser considerados. En cada uno de estos casos, se debe hacer una decisin
de negocios. Ya sea que el riesgo o el costo de las garantas sea juzgado
"aceptable", esta situacin reduce el riesgo a un nivel aceptable.
1.2.2.7 SISTEMA DE POLTICAS DE SEGURIDAD TI
Las polticas desarrolladas por la seguridad del sistema deben estar basadas en
la poltica de seguridad corporativa y departamental. Estas polticas de seguridad
del sistema comprenden un conjunto de principios y normas para la proteccin de
los sistemas y servicios. Las polticas deben ser implementadas por la aplicacin
de las garantas adecuadas para los sistemas y servicios afn de asegurar que un
nivel adecuado de proteccin.
Las directivas del sistema de seguridad de TI deben ser aprobadas por la alta
direccin como establecen con carcter obligatorio los principios y normas que
garantizan que los recursos financieros y humanos estn comprometidos con su
aplicacin y cumplimiento.
Las cuestiones clave a considerar en la determinacin de la poltica de cada
sistema de seguridad de TI son:
46
Una breve resea del sistema de TI para mantener la coherencia con los
objetivos de seguridad de la organizacin, deber proteger e impedir que
se produzca un mximo de prdidas financieras, la vergenza, el deterioro
de la imagen de la empresa, entre otras.,
Una evaluacin del nivel real de confianza en las garantas que incluye la
determinacin de su eficacia.
47
Adems, el plan debe incluir los procedimientos que definen las condiciones y
acciones para la validacin de cada uno de los puntos anteriores, incluyendo la
modificacin del propio plan.
1.2.2.9 IMPLEMENTACIN DE SEGURIDADES
Despus de haber establecido un plan de seguridad de TI, es necesario ponerlo
en prctica. Por lo general, el sistema oficial de seguridad de TI es responsable
de ello. Se deben tener en cuenta los objetivos durante la implementacin de
seguridad. Asimismo, debe asegurarse que:
La
mayora
de
las
garantas
tcnicas
debe
complementarse
con
los
48
49
Clasificacin de la informacin
50
de
concienciacin
sobre
la
seguridad
debe
modificarse,
en
consecuencia.
Las sesiones de
concienciacin
sobre la
seguridad
se
deben
repetir
los
reajustes
sustantivos
y de
procedimiento
al programa
de
concienciacin.
1.2.2.11 SEGUIMIENTO
Todas
las
seguridades
requieren
mantenimiento
para
garantizar
su
51
Es
Avanzar
en
la
tecnologa
no
introduce
nuevas
amenazas
vulnerabilidades.
Diseo y desarrollo,
La vida til, y
La sustitucin o eliminacin.
52
se encuentran a no ser
53
En
aprender de los incidentes para que los futuros eventos adversos similares
pueden ser excluidos.
previa para alcanzar el segundo objetivo, es decir, para reducir el riesgo futuro la
mejora de las garantas. Un efecto positivo de un incidente es que aumenta la
disponibilidad para invertir en garantas.
Es importante que un anlisis de incidentes sea ejecutado y documentado, se
deben incluir las siguientes preguntas:
Qu ha sucedido, y en qu momento?
54
55
de
manera
que
puedan
brindar
seguridad,
continuidad,
56
2.2.1 INTRODUCCIN
El acelerado crecimiento que tienen las empresas de desarrollo de software hace
imprescindible el uso de Sistemas Informticos, y la definicin de planes de
Seguridad Informtica para salvaguardar su principal bien. Por tal motivo se ven
en la necesidad de usar estndares para definir y aplicar los Planes de Seguridad.
En este caso se plantea el uso de ISO 13335 que abarca procesos y definiciones
de estndares ya conocidos como ISO 17799, ISO 27000 entre otros.
El propsito de desarrollar un plan de seguridad informtica es que sirva de gua
para gestionar adecuadamente la informacin, adems da pautas de las
prioridades para manejar los riesgos de seguridad de la informacin.
El plan de seguridad informtica se debe aplicar tomando en cuenta la estructura
organizacional, el tamao y objetivo de la misma y el tipo de informacin
manejada por la misma.
Se debe tomar en cuenta que la implementacin de un plan de seguridad
informtica requiere grandes recursos, por ello las organizaciones que lo
implementen deben estar conscientes sobre sus razones para implementarlo. La
razn debe estar documentada con los costos y los beneficios que esta
implementacin supondr.
2.2.2 ALCANCE DEL PLAN
El alcance del plan depender totalmente de la organizacin a la que se aplique,
puede abarcar a toda la empresa, uno o varios departamentos, un proceso de la
organizacin o simplemente a un sistema de TI.
Luego de determinar el alcance se debe identificar los activos de informacin que
sern la parte esencial del plan ya que en base a estos se seleccionaran y
definirn las polticas de seguridad.
2.2.3 POLTICAS DE SEGURIDAD INFORMTICA
Una vez que se tiene claro el alcance, la empresa define las polticas de
seguridad para empezar la implementacin del plan de seguridad de la
informacin en la empresa.
57
58
Calcular el riesgo
Imagen de la compaa
59
DE
REQUERIMIENTOS
LEGALES
COMERCIALES
Al momento de identificar los activos de informacin se debe analizar los
requerimientos contractuales de los activos para saber si existen requerimientos
legales o comerciales sobre estos activos identificados y de ser el caso se debe
revisar si dichos requerimientos legales involucran a otros activos de informacin.
2.2.6.3 TASACIN DE ACTIVOS
Una prctica comnmente utilizada al momento de realizar la tasacin de activos
es planteando la pregunta Cmo una falla o perdida en un activo especifico
afectan a la confidencialidad, la integridad y la disponibilidad?, para esto se debe
establecer una escala del 1 al 5, en la cual 1 significa muy poco y 5 significa
muy alto.
A continuacin en la tabla 2.1 se presenta un ejemplo de la tasacin de activos de
informacin.
Activos de
Confidencialidad
Integridad
Disponibilidad
Promedio
instalacin
Equipo de trabajo
telefnico
Tcnico
informacin
Administrador de
base de datos
Archivos de
configuracin
Base de
informacin
Discos de
Sistema
60
Propietarios
Tecnologa
Base de informacin
Software
Discos de instalacin
Tecnologa
Equipo de trabajo
Servicios profesionales
Sistema telefnico
Administracin
Tcnico
Servicios profesionales
Tabla 2.2 Activos de Informacin y propietarios
Fuente: Elaborada por la autora
la clasificacin de seguridad
61
Amenaza
Ejemplo de amenaza
Amenaza
Inundaciones,
natural
tsunamis,
maremotos,
sismos,
tornados,
Amenazas
humanas
personal clave
Amenazas
tecnolgicas
Amenazas
sociales
entre otras.
Tabla 2.3 Clasificacin de amenazas
Fuente: Varios autores
Muy bajo
Bajo
Medio
Alto
Muy alto
62
vulnerabilidades
organizacionales
son
debilidades
en
las
polticas
falta
de
polticas
para
el
uso
correcto
de
las
63
Una vez identificadas las vulnerabilidades, por cada una de ellas, se debe evaluar
la posibilidad de que sean explotadas por la amenaza. Se recomienda utilizar la
escala de Likert para medir la posibilidad de ocurrencia, donde 1 significa muy
bajo y 5 significa muy alto como se muestra en la tabla 2.4.
Para que un activo pueda ser afectado, es necesario que la vulnerabilidad y la
amenaza se presenten en ese activo. La pregunta fundamental es: Qu
amenaza pudiese explotar cul de las vulnerabilidades?
Entre las amenazas, existen las vulnerabilidades, los riesgos y los activos de
informacin, una secuencia de relacin de causalidad y probabilidad de
ocurrencia. En la Ilustracin 2.1 se muestra la relacin causa-efecto entre activos,
riesgo, vulnerabilidad y amenaza.
En algn momento previo al inicio de las actividades del clculo del riesgo, o
antes de identificar las amenazas y vulnerabilidades, deben identificarse los
controles ya existentes en el sistema para medir su eficacia. Un control ineficaz es
una vulnerabilidad.
Amenaza
Causa
Vulnerabilidad
Probabilidad
Riesgo
Activos de
Informacin
Efecto
64
Probabilidad
de
ocurrencia
5
Medicin
del
riesgo
15
Tcnico
Accidente
Tcnico
Venta
16
Activo
Amenaza
Software Virus
de
Priorizacin
2
informacin
Tabla 2.5 Mtodo para el clculo del riesgo
Fuente: Elaborado por la autora
65
una escala predefinida, se recomienda una escala de Likert, donde 1 es muy bajo
y 5 es muy alto como se muestra en la tabla 3.2
El paso siguiente consiste en utilizar la misma escala para medir la posibilidad de
ocurrencia de la amenaza. El tercer paso consiste en calcular la medicin del
riesgo, multiplicando los valores obtenidos del impacto econmico de la amenaza
y el de la posibilidad de ocurrencia de la amenaza. Finalmente, las amenazas
pueden ser priorizadas en orden, con base en su factor de exposicin al riesgo.
2.2.6.6.1 Evaluacin del Riesgo
Para realizar la evaluacin del riesgo, se debe determinar cules son aquellas
amenazas cuyos riesgos son los ms relevantes.
Para determinar los ms relevantes, se utiliza la escala de Likert (tabla 2.4) y los
siguientes criterios:
En la Tabla 2.6 se ilustra la forma en que se debe evaluar el significado del riesgo.
Amenazas
Activos
Riesgo
Tiempo de
Probabilidad
Probabilidad
econmico
recuperacin
de
de interrumpir
del riesgo
de la empresa
ocurrencia
actividades de
del riesgo
la empresa
TOTAL
66
proceso
involucra
numerosas
decisiones
consultas,
usualmente
67
68
Opcin de
reduccin del
riesgo
Es
economicamente
factible implantar
los controles?
Se puede
presindir de los
procesos
involucrados en
este activo?
Los controles
permiten reducir
el riesgo a
niveles
aceptables
Opcin de
tranferencia del
riesgo
Implantar los
controles
Opcin de
aceptacin del
riesgo
Opcin de evitar
el riesgo
69
70
Objetivos
de control
Documento
Poltica de Seguridad de Informacin
Aplicabilidad
Controles
de
Polticas
SI
de
Seguridad Informtica
Es
necesario
establecer polticas
de
seguridad,
revisarlas
peridicamente.
Se
Seguridad Informtica
debe
revisar
peridicamente
estas
polticas
mantengan
adecuadas
Compromiso de la Direccin con
la Seguridad de la Informacin
Coordinacin de la Seguridad
Informtica
Asignacin de responsabilidades
para la Seguridad Informtica
Organizacin Interna
Justificacin
NO
X
X
X
Es necesario tener
controles
servicios de procesamiento de
informacin
Acuerdos sobre confidencialidad
Contacto con las autoridades
especiales
Revisin independiente de la
Seguridad Informtica
Documento
de
polticas
Seguridad Informtica
de
polticas
para
el
manejo
de
la
Seguridad
de
la
Informacin dentro
de la organizacin
X
X
71
Identificar con claridad las fechas de entrega, lo mismo que los hitos del
proyecto.
72
73
Direccin
instalacin
configuracin
de
equipos
informticos.
Aplicaciones Web
Intranets
74
3.1.3 MISIN
Somos un equipo de Profesionales calificados y comprometidos con la
satisfaccin total del cliente, utilizando tecnologa de vanguardia para los
diferentes sistemas, con precios justos y competitivos, que nos identifican con la
ms alta productividad. Nuestro ambiente de trabajo es seguro, productivo y se
caracteriza por el trato de igualdad, labor de equipo, comunicacin abierta,
responsabilidad personal, oportunidades de mejoramiento y desarrollo.
3.1.4 VISIN
IDEBSYSTEMS tiene como objetivo ser la empresa de desarrollo de Software
con mayor presencia y prestigio, reconocido por:
Calidad Certificada.
75
3.1.6 VALORES-PRINCIPIOS
Deseo de trabajar
Integridad
Lealtad
Deseo de servir
Iniciativa
Confiabilidad
Dedicacin
ORGANIGRAMA
Pasantes
Pasantes
Pasantes
Ingenieros
Ingenieros
Tcnicos
Coordinador de
Capacitacin
Capacitacin
Coordinador de
Soporte
Gerente
Software
Coordinador de
Desarrollo
Administrador
Recursos
Humanos
Servicios
Profesionales
IDEBSYSTEMS
Coordinador
Sistemas y
Soporte
Servicio al
Cliente
Presidencia
Ejecutiva
Gerencia
3.1.7
Gerentes de
Producto
Ventas
Importacin y
Ventas
Contabilidad
Administracin
76
77
78
Aspectos Evaluados
Evaluacin de la seguridad
lgica
Evaluacin de la seguridad
de las comunicaciones
Nivel de Seguridad
Contraseas
Inactividad
Asignacin de funciones
Topologa de red
Conexiones externas
Configuracin
lgica
de
red
Mail
Antivirus
Firewall
pcs
Equipamiento
Evaluacin
de
seguridad
fsica
Control
de
2
acceso
equipos
Dispositivos de soporte
Cableado estructurado
de equipos
Capacitacin
Backup
Documentacin
3.2.2 ESTABLECIMIENTO
DEL
PLAN
DE
SEGURIDAD
DE
LA
79
80
Identificacin de Activos
Tasacin de activos
81
Propietarios
Administrador de Red
Central Telefnica
Administracin
Conexin a internet
Sistemas y Soporte
Correo
Desarrollo
Equipos de trabajo
Sistemas y Soporte
Help Desk
Desarrollo
Informacin
de
clientes
y Sistemas
Soporte,
proveedores
Ventas
Tcnicos
Sistemas y Soporte
Bases de Datos
Desarrollo
10
Repositorio de Software
Desarrollo
11
Backups
Desarrollo
12
Manuales
Desarrollo
13
Desarrollador
Desarrollo
14
Vendedor
Ventas
15
Contador
Administracin
16
Asistente
Administracin
17
Mensajero
Administracin
Desarrollo,
82
Confidencialidad
Integridad
Disponibilidad
Total
Administrador de Red
Central Telefnica
Conexin a internet
Correo
Equipos de trabajo
Help Desk
Tcnico
Bases de Datos
10
Repositorio de Software
11
Backups
12
Manuales
13
Desarrollador
14
Vendedor
15
Contador
16
Asistente
17
Mensajero
tem
Activos de Informacin
83
Para el plan solo se tomaran en cuenta los activos de informacin que pertenecen
a Sistemas y Soporte como se muestra en la tabla 3.3
tem
Activos de Informacin
Propietarios
Administrador de Red
Conexin a internet
Sistemas y Soporte
Equipos de trabajo
Sistemas y Soporte
Informacin
de
clientes
y Sistemas
Soporte,
proveedores
Ventas
Tcnicos
Sistemas y Soporte
Desarrollo,
Administrador de Red
Tcnico
Equipo de Trabajo
Activos de Informacin
Administrador de red
Tcnico
tem
No cuidar la salud
muerte
1
3
2
1
1
3
1
1
Enfermedad o
muerte
3
1
informacin
Fuga de
Robo de Equipos
informacin
Dao Voluntario
Vulnere
Posibilidad de que
Fuga de
Accidente
Vulnerabilidades
Enfermedad o
Amenazas
84
tem
Activos de Informacin
Desastres
Hackers
Fallas de red
Virus
Robo de Equipos
Dao Voluntario
Amenazas
3
1
2
4
5
1
5
4
2
2
1
Infraestructura inadecuada
No tener experiencia
Backdoors Habilitados
Vulnere
Posibilidad de que
Vulnerabilidades
85
tem
Equipo de trabajo
proveedores
Informacin de clientes y
Activos de Informacin
Robo de Equipos
informacin
Fuga de
Daos Fsicos
Virus
Proveedor
Fallas de
naturales
Amenazas
5
1
2
2
2
3
Fallas de Hardware
encendidos
No actualizar el antivirus
Vulnere
Posibilidad de que
Agreement)
Vulnerabilidades
86
tem
Activos de Informacin
3
4
2
4
5
1
3
3
2
3
2
1
Inventarlo no actualizado
No tener instalado un antivirus
No actualizar el antivirus
No escanear los equipos regularmente
No disponer de licencia de antivirus
Equipos viejos
No dar mantenimiento preventivo
No existen normas de seguridad
No existen suficientes repuestos o respaldos
No existe capacitacin en caso de accidente
No tener infraestructura
Vulnere
Posibilidad de que
Vulnerabilidades
Daos Fsicos
Virus
Amenazas
87
88
Internet
Red de
Conexin a
Tcnico
de red
Administrador
Activos
Riesgo
5
2
3
3
3
Virus
Fallas de red
Hackers
Desastres naturales
Cambio de empleado
Robo de Equipos
Enfermedad
Robo de Equipos
Dao Voluntario
Dao Voluntario
Fuga de informacin
Fuga de informacin
Cambio de empleo
de La Empresa
Riesgo
2
Recuperacin
Econmico del
Enfermedad
Amenazas
Tiempo de
Impacto
Riesgo
Ocurrencia del
la Empresa
Actividades de
Interrumpir
Probabilidad de Probabilidad de
13
10
12
13
13
Total
89
3
3
3
4
2
Daos Fsicos
Fuga de Informacin
Robo de Equipos
Daos Fsicos
Virus
clientes y
proveedores
Trabajo
1
Virus
Informacin
Equipo de
Fallas de Proveedor
Riesgo
11
12
90
91
De 4 hasta 7
Aceptar
De 8 hasta 12
Reducir
De 13 en adelante
Transferir
evitar
92
Activos
Amenazas
Administrador de red
Tcnico
Conexin a Red e
Internet
Informacin de clientes y
proveedoras
Equipo de Trabajo
Enfermedad
Aceptar
Cambio de empleo
Aceptar
Fuga de informacin
Reducir
Dao Voluntario
Aceptar
Robo de Equipos
13
Transferir
Enfermedad
Aceptar
Cambio de empleo
Aceptar
Fuga de Informacin
Reducir
Dao Voluntario
Aceptar
Robo de Equipos
13
Transferir
Virus
Reducir
Fallas de red
12
Reducir
Hackers
10
Reducir
Desastres naturales
13
Transferir
Fallas de Proveedor
Reducir
Virus
Reducir
Daos Fsicos
Reducir
Fuga de informacin
12
Reducir
Robo de Equipos
Reducir
Daados Fsicamente
11
Reducir
Virus
Aceptar
93
Organizacin Interna
Informtica
Revisin independiente de la
especiales
NO
Aplicabilidad
informacin
servicios de procesamiento de
Asignacin de responsabilidades
Informtica
Coordinacin de la Seguridad
Seguridad de la Informacin
Seguridad Informtica
Seguridad Informtica
Documento de polticas de
Controles
Polticas de Seguridad
Objetivos de Control
de la organizacin.
Justificacin
94
la informacin
Clasificacin de
Responsabilidad
Entidades externas
Objetivos de Control
informacin
NO
apropiado.
Justificacin
Etiquetado y manejo de la
X
Directrices de clasificacin
Aplicabilidad
Inventario de Activos
Identificacin de riesgos
Seguridad Informtica
Segundad Informtica
Controles
95
96
3.2.3 IMPLEMENTACIN
DEL
PLAN
DE
SEGURIDAD
DE
LA
Acuerdo de Confidencialidad
Asignacin de Responsabilidades
Inventario de Activos
97
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
A continuacin se define el acuerdo de confidencialidad establecido entre
IDEBSYSTEMS y los miembros de Sistemas y Soporte.
II. ACUERDO DE CONFIDENCIALIDAD
Entre los suscritos a saber, por una parte IDEBSYSTEMS una compaa
constituida bajo las leyes del Ecuador con domicilio en Quito, debidamente
representada por su Presidente Ejecutivo y representante legal Seor Jorge
Ponce, mayor de edad y domiciliado(a) en la ciudad de ___________,
identificado(a) como aparece al pie de su respectiva firma; y por la otra,
_____________, tambin mayor de edad y domiciliado en la ciudad de
__________, identificado(a) como aparece al pie de su firma , quien acta en
nombre de ______________, se ha acordado celebrar el presente Acuerdo de
Confidencialidad que se regir por las siguientes clusulas, previas las siguientes
CONSIDERACIONES
1. Las partes estn interesadas en________________________________
2. Debido a la naturaleza del trabajo, se hace necesario que stas manejen
informacin confidencial y/o informacin sujeta a derechos de propiedad
intelectual, antes, durante y en la etapa posterior.
CLUSULAS
PRIMERA. OBJETO. El objeto del presente acuerdo es fijar los trminos y
condiciones bajo los cuales las partes mantendrn la confidencialidad de los datos
e informacin intercambiados entre ellas, incluyendo informacin objeto de
derecho de autor, patentes, tcnicas, modelos, invenciones, know-how, procesos,
algoritmos,
programas,
ejecutables,
investigaciones,
detalles
de
diseo,
98
CONFIDENCIALIDAD.
Las
partes
acuerdan
que
cualquier
99
Si cualquier disposicin de este Acuerdo fuera juzgada por una corte competente
como nula o ilegal, las dems disposiciones continuarn en pleno vigor y efecto.
Todas las obligaciones creadas por este Acuerdo continuarn en vigencia an
despus de cualquier cambio o terminacin de la relacin profesional existente
entre las partes.
Para constancia, y en seal de aceptacin, se firma el presente acuerdo en ___
ejemplares, por las partes que en l han intervenido, en la ciudad de _________ a
los ______ (__) das del mes de _______ de ___________ (200_).
__________________
Firma
__________________
Documento de Identidad
__________________
Firma
__________________
Documento de Identidad
100
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento muestra las polticas que sern aplicadas en el rea de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. POLTICAS
Las polticas que se aplican en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS se estratifican en tres niveles, para la gerencia, para el
coordinador y para el tcnico y administrador de la red, stas son:
LA GERENCIA DEBE:
1. Aprobar un documento del Plan de Seguridad de la Informacin, con su
alcance y objetivo, el documento debe estar aprobado por la gerencia,
debidamente registrado e identificado.
2. Establecer un documento con las polticas de seguridad informtica para
ser aplicadas en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
3. Revisar el documento de las polticas de seguridad informtica mnimo una
vez al ao o cuando amerite (cambios tecnolgicos, jurdicos, entre otras.).
Se deben crear registros de las revisiones que incluyan datos como fecha
de revisin, novedades encontradas, personas involucradas en la revisin,
entre otros.
4. Aprobar un documento en el cual se demuestre el apoyo para implementar
las polticas, este documento debe ser registrado y etiquetado.
5. Designar una persona encargada de coordinar las actividades de seguridad
informtica, (en el documento se har mencin a esta persona solamente
como Coordinador).
6. Aprobar los procesos de autorizacin para medios de procesamiento de
informacin desarrollados por el coordinador, los medios pueden ser de la
empresa o ajenos.
101
102
103
104
para
determinar
si
existen
comportamientos
anmalos
analizarlos.
6. Clasificar la informacin en trminos de su valor, sensibilidad e
importancia. Debe utilizar el instructivo para clasificacin de la informacin
que se encuentra en la documentacin de Sistemas y Soporte.
7. Revisar las polticas del Active Directory para otorgar o quitar permisos a
los diferentes usuarios; crear o eliminar usuarios para el dominio interno de
la empresa.
A ms de las polticas anteriormente descritas; cada usuario de Sistemas y
Soporte es responsable de respaldar su informacin, cuando se saquen respaldos
en medios externos, debe proteger su informacin bajo llave en su estacin de
trabajo.
105
106
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento detalla las responsabilidades que tendrn miembros de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. ASIGNACIN DE RESPONSABILIDADES
Las responsabilidades del rea quedan distribuidas de la siguiente manera:
Actividades
Responsable
Ingeniero de Soporte
Administrador de la red
Coordinador
Etiquetar documentos
Networking
Ingeniero de soporte
Etiquetar cableado
Administrador de la red
Ingeniero de soporte
Administrador de la red
Networking
Coordinador
107
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento detalla las responsabilidades que tendrn miembros de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. ASIGNACIN DE RESPONSABILIDADES
Las responsabilidades del rea quedan distribuidas de la siguiente manera:
La empresa IDEBSYSTEMS dispone de activos de informacin para apoyar a
todos sus empleados en sus actividades diarias, estos activos deben ser
utilizados de manera aceptable. El uso correcto de ello se define en los siguientes
prrafos:
LINEAMIENTO PARA USO DEL CORREO INTERNO
1. Todo el personal de IDEBSYSTEMS, tiene derecho a una cuenta de correo
electrnico en el servidor de correo.
2. Es responsabilidad del usuario hacer buen uso de su cuenta, entendiendo
por buen uso:
108
trabajo.
6. La cuenta se dar de baja cuando IDEBSYSTEMS lo considere
conveniente una vez que el personal deje de pertenecer a la empresa.
7. Es responsabilidad del usuario el cambiar su contrasea con regularidad,
cumpliendo con las normas que se definen en administracin de correo
acerca del manejo de contraseas seguros. El tiempo de vida de las
contraseas ser de seis meses.
8. El usuario ser responsable de la informacin que sea enviada con su
cuenta, por lo cual se asegurar de no mandar SPAMS de informacin, ni
de mandar anexos que pudieran contener informacin nociva para otro
usuario como virus o pornografa.
9. El usuario es responsable de respaldar sus archivos de correo
manteniendo en el INBOX (Buzn de correo) solamente documentos en
trnsito, sus dems comunicados deber mantenerlos en su equipo
personal o en su defecto en carpetas dentro de su cuenta en el servidor.
10. Al responder comunicados generales o para un grupo especfico de
usuarios, el usuario deber cuidar de no responder a TODOS los usuarios
salvo cuando sta sea la finalidad de la respuesta.
11. IDEBSYSTEMS se reserva el derecho de enviar al usuario la informacin
que considere necesaria como un medio de comunicacin empresarial.
12. La vigencia y espacio de las cuentas ser definida por el administrador del
Servidor de correo (con la autorizacin respectiva) de acuerdo a los
recursos disponibles, con base en las necesidades del usuario.
13. IDEBSYSTEMS se reservar el uso de monitorear las cuentas que
presenten un comportamiento sospechoso para la seguridad de la
empresa.
14. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de
software o reproducir informacin sin conocimiento del autor.
15. El incumplimiento por parte del usuario del buen uso de su cuenta puede
ocasionar la suspensin y posterior baja del sistema de su cuenta.
16. Se recomienda a los usuarios grabar sus trabajos en discos flexibles una
vez que su computadora haya revisado el disco con un antivirus
109
uso
que
cause
efectos
opuestos
la
operacin
de
110
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente instructivo permite realizar un inventario de los activos de informacin
que dispone el rea de Sistemas y Soporte de la empresa IDEBSYSTEMS.
II. PROCEDIMIENTO PARA REALIZAR EL INVENTARIO
Todos los activos deben ser registrados.
La siguiente tabla muestra las caractersticas que se deben tomar de cada activo
del rea. Se llenarn los datos que apliquen.
tem Equipo Producto Nmero Serial
Nmero de Parte
Descripcin
1
2
3
4
5
6
7
8
9
10
Cuando exista la necesidad de prestar o rentar un activo, entonces deber
llenarse una nota de entrega para tener un registro de movimiento del activo.
111
NOTA DE PEDIDO
Fecha:
Nota de Pedido N:
Solicita:
Cliente:
Fecha de prstamo:
Das aproximados:
Fecha de devolucin:
Motivo de Prstamo
Autorizado Por:
Revisado Por:
Observaciones:
Listado de Equipos
tem
Equipo
Atentamente
Descripcin
Cantidad
Recib Conforme
112
NOTA DE ENTREGA
Fecha:
Nota de Entrega N:
Atencin:
Nota de Pedido N:
Cliente:
Fecha de prstamo:
Das aproximados:
Fecha de devolucin:
Observaciones:
Equipo
Atentamente
Descripcin
Cantidad
Recib Conforme
113
3.2.3.7 INSTRUCTIVO
PARA
ETIQUETADO
MANEJO
DE
INFORMACIN
Titulo: Instructivo para Etiquetado y Manejo de la Informacin
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Aqu se describe la metodologa a utilizar para la asignacin del cdigo o
serial, la cual aplicar el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS para identificar los documentos del Plan de Seguridad de la
Informacin.
II. PROCEDIMIENTO PARA ETIQUETAR DOCUMENTOS.
Todos los documentos emitidos en el Plan de Seguridad de la Informacin
sern identificados con una numeracin alfanumrica nica para cada
documento, este nmero ser conocido como el identificador del documento.
El primer carcter (desde la izquierda) corresponde a la funcin del
documento. A continuacin se detallan las diferentes funciones del
documento.
I Instruccin de trabajo.- Es un documento en donde se define paso a paso el
como de una actividad.
F Formulario.- Documento utilizado para anotar los resultados de cualquier
actividad, el cual podra convertirse en registro.
M Manual.- Es un documento compuesto por cierta extensin en cuanto a
nmero de pginas, que contiene informacin del Plan de Seguridad de la
Informacin.
P Procedimientos.- Es el documento que define quin hace qu y cundo.
Este documento describe la forma especfica para llevar a cabo una actividad
o proceso.
R Registros.- Son documentos que sirven como evidencia para demostrar a
terceros que un requisito del Plan Piloto de Polticas de Seguridad Informtica
est implantado y ha sido cumplido. Es un documento donde se mantienen
anotados los resultados de alguna actividad realizada. Los registros son las
LA
114
115
solo.
M Modificado.- Se refiere a cuando el cambio solamente se efecta en
algunas partes del documento.
R Reemplazado.- Se refiere a cuando el documento es totalmente cambiado.
Cuando un documento sea modificado, se deber registrar la fecha en que se
aplicaron los cambios en el cuadro Fecha modificacin del formato del
documento, siempre se mantendr la Fecha de emisin intacta.
Si existe un documento que hace referencia a otro, se debe hacer referencia
solamente al nmero serial del equipo mas no a la parte de la modificacin;
esto es para evitar realizar cambios en todos los documentos que tengan
como referencia al documento modificado.
116
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente instructivo para la revisin de las polticas de seguridad Informtica
evala la efectividad de las polticas de seguridad Informtica implementadas en
el rea de Sistemas y Soporte de la empresa IDEBSYSTEMS
II. REVISIN DE LAS POLTICAS DE SEGURIDAD INFORMTICA
Se debe revisar cada poltica implementada en el rea de Sistemas y Soporte con
base a la siguiente tabla.
Poltica
Efectividad de la Poltica
Excelente Buena
Mala
Observacin
Psima
117
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
En el presente documento se registra el compromiso que la direccin establece
con el Plan de Seguridad de la Informacin a implementarse en el rea de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD
INFORMTICA
La Gerencia de la empresa IDEBSYSTEMS ha ledo y se encuentra consiente
cun importante es el establecimiento de polticas de seguridad Informtica en el
rea de Sistemas y Soporte.
Es por esto que la Gerencia manifiesta el compromiso y el apoyo activo para con
el proyecto de implementacin de polticas de seguridad Informtica.
La Gerencia puede intervenir en el desarrollo e implementacin de las polticas,
incluso puede dar por terminado el desarrollo de la implementacin en caso de
considerarlo necesario.
118
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Este registro permite verificar que la persona encargada del contacto con grupos
de inters est cumpliendo sus obligaciones.
II. REGISTRO DE CONTACTOS
Fecha de Contacto:
Tema Tratado:
Fuente de informacin:
119
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento es un registro de haber tenido contacto con el coordinador
y la gerencia acerca del Plan de Seguridad de la Informacin.
II. TEMAS TRATADOS
A continuacin se especifican los temas mencionados con las autoridades.
120
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Este documento es un registro de auditora interna que debe ser realizado una
vez cada seis meses en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
II. DETALLE DE AUDITORA
A continuacin se presentan las novedades encontradas en la auditora interna.
121
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente registro es para el seguimiento de las polticas de seguridad
Informtica, evala si las polticas de seguridad Informtica implementadas en el
rea de Sistemas y Soporte de la empresa IDEBSYSTEMS se estn llevando a
cabo y los resultados obtenidos.
II. SEGUIMIENTO DE LAS POLTICAS DE SEGURIDAD INFORMTICA
Se debe revisar cada poltica implementada en el rea de Sistemas y Soporte con
base a la siguiente tabla.
Polticas
Aplicabilidad de la Poltica
Observaciones/Sugerencias
Gerencia Si No Resultados
1
2
3
4
5
6
7
8
9
Polticas
Coordinador
Aplicabilidad de la Poltica
Si
No Resultados
Observaciones/Sugerencias
122
1
2
3
4
5
6
7
8
9
10
11
Polticas
Administrador
Aplicabilidad de la Poltica
Observaciones/Sugerencias
Si No Resultados
1
2
3
4
5
6
7
8
9
10
11
12
13
Polticas
Tcnico
Aplicabilidad de la Poltica
Si
No
Resultados
Observaciones/Sugerencias
123
1
2
3
4
5
6
7
Si existe documentacin de actividades relativas con las polticas, se debe tomar
en cuenta para evaluar la poltica y debe registrarse una observacin al respecto.
124
Seguridad
Previo
Nivel de
Seguridad Observacin
Actual
Se
revisan
administran
Evaluacin de la
seguridad lgica
Contraseas
y
las
polticas de Active
Directory,
Se
documentan
los
datos de acceso.
125
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Seguridad Observacin
Actual
Se
Inactividad
revisan
administran
y
las
polticas de Active
Directory,
Se
Asignacin de
funciones
definen
claramente
4
las
funciones
especificas
de
cada rol
Topologa de
red
Conexiones
externas
No se adquieren
4
dispositivos de red
Se
4
comunicaciones
definen
polticas
para
estas conexiones
Evaluacin de la
seguridad de las
nuevos
Se administra los
Configuracin
lgica de red
dispositivos
3
de
conmutacin
como se define en
las polticas
Se
tiene
un
lineamiento
para
uso
del
interno
correo
126
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Seguridad Observacin
Actual
Se define en las
polticas
la
adquisicin
administracin de
Antivirus
antivirus,
dependiendo
de
gerencia
la
adquisicin de los
mismos
Se define polticas
Firewall
para
revisar
las
configuraciones
del firewall
Evaluacin de
Control de
seguridad en las
aplicaciones en
aplicaciones
pcs
Se
2
tiene
un
lineamiento
para
uso
del
correo
interno
Se
Equipamiento
Evaluacin de
seguridad fsica
realiza
inventarios,
administracin de
equipos
Control de
acceso a
Se
2
equipos
Dispositivos de
soporte
definen
polticas para el
acceso a equipos
Se
capacita
personal
al
127
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Seguridad Observacin
Actual
Se
realiza
un
adecuado
Cableado
estructurado
etiquetado de los
4
dispositivos
cableado
del
y
la
documentacin
sobre la misma
Administracin
del cuarto de
La administracin
1
se define en los
roles y polticas
equipos
La
capacitacin
est definida en
los
roles
polticas,
Capacitacin
Administracin
depende
y
aun
de
la
disponibilidad
de
los encargados de
del cuarto de
realizar
equipos
la
capacitacin
Se define polticas
Backup
y se asigna roles
para
tareas
de
respaldos
Se
Documentacin
tiene
un
procedimiento
para etiquetar los
documentos
128
129
4 CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
130
131
Dado que la empresa cuenta con una poltica de calidad, lo que se hizo
fue aumentar ciertos controles. La implementacin de estos controles
dar un importante aporte para el logro de los objetivos de la Empresa,
que es justamente la principal meta de este trabajo.
4.2 RECOMENDACIONES
de
Polticas,
objetivos
actividades
de
132
133
134
BIBLIOGRAFA
[1]. Seguridad
Informatica.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica.
Mayo 2012
[2]. http://definicion.de/seguridad-informatica/ 2008-2012. . Mayo 2012
[3]. http://www.sinar.gov.ec/downloads/L_comercio.pdf. . Mayo 2012
[4]. http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pd
f . Mayo 2012
[5]. http://www.segu-info.com.ar/politicas/riesgos.htm. Mayo 2012
[6]. http://es.wikipedia.org/wiki/Riesgo_(inform%C3%A1tica). . Mayo 2012
[7]. http://www.piramidedigital.com/Documentos/ICT/pdictsegurindadinformatica
riesgos.pdf.Mayo 2012
[8]. http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sist
emas_informacion.pdf. Mayo 2012
[9]. http://www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf.
Mayo 2012
[10].
135
LPEZ,
Agustn.El
portal
de
ISO
27001
en
espaol.
http://www.iso27000.es.Mayo 2012
[17].
Annimo.
Planes
de
seguridad
http://www.textoscientificos.com/redes/firewalls-distribuidos/solucionesseguridad/politicas-seguridad/planes-seguridad.Mayo 2012
[18].