CD 4645 PDF

ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA DE SISTEMAS
PLAN DE SEGURIDAD DE LA INFORMACIN BASADO EN EL

ESTNDAR ISO 13335 APLICADO A UN CASO DE ESTUDIO.
PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

SISTEMAS INFORMTICOS Y DE COMPUTACIN
VERNICA LUCIA CHAMORRO ALVARADO

vchamorroalvarado@gmail.com
DIRECTOR: ING. CARLOS MONTENEGRO

Carlos.Montenegro@epn.edu.ec
Quito, enero 2013
ii
DECLARACIN
Yo, Vernica Lucia Chamorro Alvarado, declaro bajo juramento que el trabajo
aqu descrito es de mi autora; que no ha sido previamente presentado para
ningn grado o calificacin profesional; y, que he consultado las referencias
bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedo mis derechos de propiedad intelectual
correspondiente a este trabajo, a la Escuela Politcnica Nacional, segn lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
____________________________
Vernica Lucia Chamorro Alvarado
iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Vernica Lucia Chamorro
Alvarado, bajo mi supervisin.
_______________________
Ing. Carlos Montenegro
DIRECTOR DE PROYECTO
AGRADECIMIENTOS
A ti por todo tu apoyo
VERNICA CHAMORRO
DEDICATORIA
A mi madre
VERNICA CHAMORRO
Contenido
SEGURIDAD INFORMTICA ................................................................................................................ 1

1.1
ESTNDARES DE SEGURIDAD INFORMTICA ...................................................................................... 1
1.1.1
SEGURIDAD INFORMTICA ........................................................................................................ 1
1.1.1.1
Confidencialidad.............................................................................................................................. 3
1.1.1.2
Integridad ........................................................................................................................................ 4
1.1.1.3
Disponibilidad.................................................................................................................................. 4
1.1.1.4
Autenticidad .................................................................................................................................... 4
1.1.1.5
Valor de la Informacin ................................................................................................................... 4
1.1.2
AMENAZAS EN LA SEGURIDAD INFORMTICA .......................................................................... 5
1.1.2.1
Amenaza.......................................................................................................................................... 5
1.1.2.2
Tipos de amenazas .......................................................................................................................... 6
1.1.2.3
La amenaza informtica del futuro ................................................................................................. 7
1.1.3
RIESGOS EN LA SEGURIDAD INFORMTICA ............................................................................... 8
1.1.3.1
Riesgo .............................................................................................................................................. 8
1.1.3.2
Riesgo e impacto ............................................................................................................................. 8
1.1.3.3
Tipos de riesgo ................................................................................................................................ 9
1.1.4
PRINCIPALES ESTNDARES DE SEGURIDAD INFORMTICA ....................................................... 9
1.1.4.1
El Estndar ISO/IEC 17799 ............................................................................................................... 9
1.1.4.2
EL Estndar ISO/IEC 27001:2005 ................................................................................................... 11
1.1.4.3
BS 7799-3:2006 Sistemas de Gestin de Seguridad de la Informacin - Parte 3: Guas para la
gestin de riesgos de seguridad de la informacin ............................................................................................ 13
1.2
DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD INFORMTICA EN EL ESTNDAR ISO 13335 ...... 14
1.2.1
DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD INFORMTICA ........................................ 16
1.2.1.1
Gua para la gestin de la seguridad de las TI segn la ISO TR 13335 ........................................... 16
1.2.1.2
Gestin del riesgo de seguridad de la informacin segn la ISO IEC 27005:2008 ......................... 18
1.2.1.3
Seguridad de la administracin, operacin y uso de redes de sistemas de informacin, y sus
interconexiones segn la ISO/IEC 18028-1......................................................................................................... 20
1.2.2
CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMTICA ..... 23
1.2.2.1
Elementos de seguridad ................................................................................................................ 23
1.2.2.2
Objetivos, Estrategias y Polticas de seguridad de la empresa ...................................................... 29
1.2.2.3
Aspectos organizativos de la seguridad informtica ..................................................................... 30
1.2.2.4
Gestin de la seguridad informtica ............................................................................................. 36
1.2.2.5
Anlisis estratgico del riesgo ....................................................................................................... 39
1.2.2.6
Recomendaciones de seguridad TI ................................................................................................ 43
1.2.2.7
Sistema de Polticas de seguridad TI ............................................................................................. 45
1.2.2.8
Plan de seguridad TI ...................................................................................................................... 46
1.2.2.9
Implementacin de seguridades ................................................................................................... 47
1.2.2.10
Importancia de la Seguridad del conocimiento ............................................................................. 48
1.2.2.11
Seguimiento .................................................................................................................................. 50
PLAN DE SEGURIDAD DE LA INFORMACIN ..................................................................................... 55

2.1
CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN DE SEGURIDAD INFORMTICO .................. 55
2.2
ELABORACIN DEL PLAN DE SEGURIDAD INFORMTICA .................................................................. 55
2.2.1
INTRODUCCIN ....................................................................................................................... 56
2.2.2
ALCANCE DEL PLAN .................................................................................................................. 56
2.2.3
POLTICAS DE SEGURIDAD INFORMTICA ............................................................................... 56
2.2.4
ENFOQUE PARA LA GESTIN DEL RIESGO ............................................................................... 57
2.2.5
PROCESO DE CLCULO DE RIESGO .......................................................................................... 57
2.2.5.1
Anlisis de Riesgo .......................................................................................................................... 57
2.2.5.2
Evaluacin del riesgo ..................................................................................................................... 58
2.2.6
ANLISIS DEL RIESGO ............................................................................................................... 58
2.2.6.1
Identificacin de activos................................................................................................................ 58
2.2.6.2
Identificacin de requerimientos legales y comerciales ............................................................... 59
2.2.6.3
Tasacin de activos ....................................................................................................................... 59
2.2.6.4
Identificacin de amenazas y vulnerabilidades ............................................................................. 60
2.2.6.5
Clculo de las Amenazas y Vulnerabilidades ................................................................................. 63
2.2.6.6
Anlisis del Riesgo y su Evaluacin ................................................................................................ 64
2.2.6.7
2.2.6.7 Tratamiento del riesgo y el proceso de toma de decisin gerencial ................................ 65
2.2.7
RIESGO RESIDUAL .................................................................................................................... 68
2.2.8
Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos ........................ 69
2.2.9
Preparacin de la Declaracin de Aplicabilidad ...................................................................... 69
2.2.9.1
Plan de Tratamiento del Riesgo..................................................................................................... 71
2.2.9.2
Mantenimiento y Monitoreo del plan de seguridad de la informacin ........................................ 71
2.2.9.3
Revisin de los Riesgos y Evaluacin ............................................................................................. 72
VALIDACIN DEL PLAN DE SEGURIDAD EN UN CASO DE ESTUDIO ................................................... 73

3.1
DESCRIPCIN DEL CASO DE ESTUDIO ................................................................................................ 73
3.1.1
SELECCIN ............................................................................................................................... 73
3.1.2
DESCRIPCIN DE LA EMPRESA ................................................................................................. 73
3.1.3
MISIN ..................................................................................................................................... 74
3.1.4
VISIN ...................................................................................................................................... 74
3.1.5
POLTICA DE CALIDAD .............................................................................................................. 74
3.1.6
VALORES-PRINCIPIOS ............................................................................................................... 75
3.1.7
ORGANIGRAMA ....................................................................................................................... 76
3.2
APLICACIN DEL PLAN ....................................................................................................................... 77
3.2.1
SITUACIN PREVIA DE LA SEGURIDAD INFORMTICA DEL CASO DE ESTUDIO ....................... 77
3.2.2
3.2.2.1
Alcance del plan de seguridad de la informacin .......................................................................... 79
3.2.2.2
Polticas del Plan de seguridad de la informacin ......................................................................... 79
3.2.2.3
Enfoque para la gestin del riesgo ................................................................................................ 79
3.2.2.4
Aspectos a contemplar al efectuar el anlisis del riesgo ............................................................... 80
3.2.2.5
Riesgo Residual ............................................................................................................................. 93
3.2.3
3.3
4
ESTABLECIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIN AL CASO DE ESTUDIO ... 78
IMPLEMENTACIN DEL PLAN DE SEGURIDAD DE LA INFORMACIN AL CASO DE ESTUDIO ... 96
3.2.3.1
Acuerdo de Confidencialidad ........................................................................................................ 97
3.2.3.2
Polticas de Seguridad Informtica .............................................................................................. 100
3.2.3.4
Asignacin de Responsabilidades ................................................................................................ 106
3.2.3.5
Uso Aceptable de los Activos de Informacin ............................................................................. 107
3.2.3.6
Inventario de Activos .................................................................................................................. 110
3.2.3.7
Instructivo para Etiquetado y Manejo de la Informacin ............................................................ 113
3.2.3.8
Instructivo para Revisin de las Polticas de Seguridad Informtica ........................................... 116
3.2.3.9
Registro de Compromiso de la Direccin con la Seguridad Informtica ..................................... 117
3.2.3.10
Registro de Contacto con Grupos de Intereses ........................................................................... 118
3.2.3.11
Registro de Contacto con las Autoridades .................................................................................. 119
3.2.3.12
Registro de Revisin Independiente de la Seguridad Informtica ............................................... 120
3.2.3.13
Registro de Seguimiento de las Polticas de Seguridad Informtica ............................................ 121
ANLISIS DE RESULTADOS DEL CASO DE ESTUDIO .......................................................................... 124
CONCLUSIONES Y RECOMENDACIONES ......................................................................................... 129

4.1
CONCLUSIONES ............................................................................................................................... 129
4.2
RECOMENDACIONES ....................................................................................................................... 131
BIBLIOGRAFA ......................................................................................................................................... 134

ANEXOSCD
ANEXO 1 ANALISIS PREVIO DE LA EMPRESA..CD
NDICE DE TABLAS
Tabla 1.1 Riesgo e impacto .................................................................................... 8
Tabla 2.1 Tasacin de activos de informacin ..................................................... 59
Tabla 2.2 Activos de Informacin y propietarios ................................................... 60
Tabla 2.3 Clasificacin de amenazas ................................................................... 61
Tabla 2.4 Escala de Likert .................................................................................... 61
Tabla 2.5 Mtodo para el clculo del riesgo ......................................................... 64
Tabla 2.6 Escala de riesgo para evaluar significado del riesgo ............................ 65
Tabla 2.7 Ejemplo de declaracin de aplicabilidad de un proceso ....................... 70
Tabla 3.1 Datos del caso de estudio .................................................................... 73
Tabla 3.2 Situacin previa de la Seguridad de la Informacin ............................. 78
Tabla 3.3 Activos de Informacin y Propietarios .................................................. 81
Tabla 3.4 Tasacin de activos de informacin ..................................................... 82
Tabla 3.5 Activos de Informacin de Sistemas y Soporte .................................... 83
Tabla 3.6 Amenazas y Vulnerabilidades .............................................................. 87
Tabla 3.7 Escala de riesgo y su evaluacin ......................................................... 90
Tabla 3.8 Tratamiento del Riesgo ........................................................................ 91
Tabla 3.9 Estrategias de tratamiento del riesgo ................................................... 92
Tabla 3.10 Declaracin de aplicabilidad ............................................................... 95
Tabla 3.11 Comparacin de la situacin previa y actual de la seguridad de la
informacin. ........................................................................................................ 127
NDICE DE FIGURAS
Ilustracin 1.1 Amenazas para la Seguridad Informtica ....................................... 6
Ilustracin 1.2 Modelo PDCA aplicado a los procesos SGSI ............................... 11
Ilustracin 1.3 Modelo de procesos de gestin de riesgos de BS 7799-3 ............ 14
Ilustracin 1.4 Modelo de procesos para la gestin de la Seguridad de la
Informacin........................................................................................................... 17
Ilustracin 1.5 Proceso de anlisis detallado de riesgos de ISO/IEC 13335 ........ 18
Ilustracin 1.6 Proceso de gestin de riesgos de seguridad de la informacin de
ISO/IEC 27005:2008 ............................................................................................ 20
Ilustracin 1.7 Proceso General De Identificacin Y Anlisis ............................... 22
Ilustracin 1.8 Relacin entre los elementos de seguridad .................................. 29
Ilustracin 2.1 Relacin causa-efecto entre elementos del anlisis de riesgo ...... 63
Ilustracin 2.2 Proceso de toma de decisiones para el tratamiento del riesgo ..... 68
Ilustracin 3.1 Organigrama ................................................................................. 76
INTRODUCCIN
Aplicar un plan de seguridad informtica es muy importante dado que en este se
establecen las directrices principales para la gestin de la seguridad informtica.
En el captulo 1 se describen los estndares de seguridad informtica. Adems se
indican las directrices del estndar ISO IEC 13335 que sern utilizadas para
realizar el plan de seguridad informtica.
En el captulo 2 se realiza el plan de seguridad informtica y las consideraciones
que se deben tomar en cuenta para realizar dicho plan.
En el captulo 3 se realiza una validacin del plan de seguridad de la informacin
aplicado a un caso de estudio especfico, al cual se lo describe, se evala y se
analiza los resultados que se obtienen.
En el captulo 4 se da a conocer las conclusiones y recomendaciones del trabajo
realizado.
RESUMEN
El presente trabajo tiene como objetivo aplicar el estndar ISO 13335 para
proponer un plan de seguridad de la informacin en un caso de estudio de una
empresa mediana de Desarrollo de Software.
El Plan de Seguridad de la Informacin es la definicin de las polticas de

seguridad informtica y su alineacin con la misin y visin de la empresa como
se not en este trabajo ya que las polticas son la parte medular de la seguridad
de la informacin.
Al obtener los resultados se pudo analizar cules son las polticas de seguridad
que requieren ms atencin para que este plan se pueda implementar
adecuadamente, el caso de estudio seleccionado permiti conocer las fortalezas y
debilidades que existen en cuanto a la seguridad informtica as como tambin
que polticas se deben implementar para mejorar el nivel de seguridad de la
informacin
de
las
empresas
de
desarrollo
software
del
Ecuador.
1 SEGURIDAD INFORMTICA
1.1 ESTNDARES DE SEGURIDAD INFORMTICA
Actualmente, a consecuencia de los avances tecnolgicos que las organizaciones
tienen a su disposicin y la cantidad de informacin que manejan, es necesaria
que toda esta informacin sea tratada de la forma adecuada considerndola como
uno de los activos de mayor valor para el progreso de la misma.
Dado que el uso de Internet se encuentra en aumento, cada vez ms
organizaciones permiten a sus socios y proveedores acceder a sus sistemas de
informacin. Por lo tanto, es fundamental saber qu recursos de la organizacin
necesitan proteccin para as controlar el acceso a los mismos y los permisos de
los usuarios del sistema de informacin. Los mismos procedimientos se aplican
cuando se permite el acceso a la organizacin a travs de Internet.
Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy
en da, el cual permite a los empleados conectarse a los sistemas de informacin
casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del
sistema de informacin fuera de la infraestructura segura de la organizacin.
La mayora de las organizaciones de nuestro pas no le dan la importancia que
merece a la seguridad informtica por lo que estn expuestos a grandes riesgos,
tales como prdida y fuga de informacin confidencial, documentos adulterados,
entre otras.
Ser lo que soy, no es nada sin la seguridad William Shakespeare (1546-1616)
aplicndolo a nuestros das, en las organizaciones se puede afirmar que al igual
que hace cientos de aos era importante la seguridad ms ahora que vivimos en
un mundo globalizado; para que las organizaciones sean pioneras y competitivas
deben asegurar su informacin.
1.1.1 SEGURIDAD INFORMTICA
Antes de hablar sobre estndares de seguridad informtica se debe tener claro
que es y para qu sirve la seguridad informtica, cuales sus campos de aplicacin
y sus ventajas.
La seguridad informtica se define como el rea de la informtica que se enfoca
en la proteccin de la infraestructura computacional y todo lo relacionado con esta
(incluyendo la informacin contenida). Para ello existen una serie de estndares,

protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la informacin. La seguridad informtica
comprende software, bases de datos, metadatos, archivos y todo lo que la
organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras
personas. Este tipo de informacin se conoce como informacin privilegiada o
confidencial. [1]
La seguridad informtica es una disciplina que se encarga de proteger la
integridad y la privacidad de la informacin almacenada en un sistema
informtico. De todas formas, no existe ninguna tcnica que permita asegurar la
inviolabilidad de un sistema.
Un sistema informtico puede ser protegido desde un punto de vista lgico (con el
desarrollo de software) o fsico (vinculado al mantenimiento elctrico, por
ejemplo). Por otra parte, las amenazas pueden proceder desde programas
dainos que se instalan en la computadora del usuario (como un virus) o llegar
por va remota (los delincuentes que se conectan a Internet e ingresan a los
distintos sistemas). [2]
Entre las herramientas ms usuales de la seguridad informtica, se encuentran
los programas antivirus, los cortafuegos o firewalls, la encriptacin de la
informacin y el uso de contraseas (contraseas). [2]
Un sistema seguro debe ser ntegro (con informacin modificable slo por las
personas autorizadas), confidencial (los datos tienen que ser legibles nicamente
para los usuarios autorizados), irrefutable (el usuario no debe poder negar las
acciones que realiz) y tener buena disponibilidad (debe ser estable).
De todas formas, como en la mayora de los mbitos de la seguridad, lo esencial
sigue siendo la capacitacin de los usuarios. Una persona que conoce cmo
protegerse de las amenazas sabr utilizar sus recursos de la mejor manera
posible para evitar ataques o accidentes. [2]
En base a las definiciones mencionadas se puede concluir que la Seguridad
Informtica se encarga de mantener la integridad, disponibilidad, control y
autenticidad de los recursos informticos tangibles e intangibles de una empresa
u organizacin para cumplir sus propsitos, es decir, que no estn daados o
alterados por circunstancias o factores tanto internos como externos. Adems

faculta a los usuarios para hacer un correcto uso de los medios a su disposicin.
Una vez que se ha definido la Seguridad Informtica y notado su importancia para
las organizaciones se debe conocer cules son los aspectos a tomar en cuenta en
la Seguridad Informtica.
1.1.1.1 CONFIDENCIALIDAD
La confidencialidad ha sido definida por la Organizacin Internacional de
Estandarizacin (ISO) en la norma ISO-17799 como: "garantizar que la
informacin es accesible slo para aquellos autorizados a tener acceso". Se debe
proteger la informacin contra lecturas no autorizadas y que pueden ser utilizadas
para inferir otros elementos de informacin confidencial.
1.1.1.1.1 Confidencialidad en Informtica
La confidencialidad se entiende en el mbito de la seguridad informtica, como
la proteccin de datos y de informacin intercambiada entre un emisor y uno o
ms destinatarios frente a terceros. Esto debe hacerse independientemente de la
seguridad del sistema de comunicacin utilizado, de hecho un problema es
garantizar la confidencialidad de la comunicacin cuando el sistema es
inherentemente inseguro (como Internet).[3]
En un sistema que garantice la confidencialidad, un tercero que entra en posesin
de la informacin intercambiada entre el remitente y el destinatario no es capaz de
extraer cualquier contenido inteligible.
Para garantizarla se utilizan mecanismos de cifrado y de ocultacin de la
comunicacin. Digitalmente se puede mantener la confidencialidad de un
documento con el uso de llaves asimtricas. Los mecanismos de cifrado
garantizan la confidencialidad durante el tiempo necesario para descifrar el
mensaje. Por esta razn, es necesario determinar durante cunto tiempo el
mensaje debe seguir siendo confidencial. No existe ningn mecanismo de
seguridad absolutamente seguro.
1.1.1.1.2 Informacin confidencial
Para las organizaciones, la tecnologa Web se ha convertido en una forma de
distribuir informacin con gran sencillez, tanto internamente, a sus propios
miembros, como de manera externa, a sus socios en todo el mundo. Esta

informacin confidencial es un blanco atractivo para sus competidores y
enemigos.
1.1.1.2 INTEGRIDAD
Es
necesario
proteger
la
informacin
mediante
medios
de
respaldo,
documentacin, transito de red, etc., contra modificaciones sin permiso las cuales
pueden ser producidas por errores de hardware, software y/o personas, de forma
intencional o accidental.
1.1.1.3 DISPONIBILIDAD
Se refiere a la continuidad operativa de la organizacin, la prdida de
disponibilidad puede implicar, la prdida de productividad o de credibilidad de la
organizacin. El sistema contiene informacin o proporciona servicios que deben
estar disponibles a tiempo para satisfacer requisitos o evitar prdidas importantes,
como sistemas esenciales de seguridad y proteccin de la vida.
1.1.1.4 AUTENTICIDAD
La autenticidad consiste en la confirmacin de la identidad de quien hace uso de
los recursos; es decir, la garanta para cada una de las partes son realmente
quien dicen ser. Un control de acceso permite (por ejemplo gracias a una
contrasea codificada) garantizar el acceso a recursos nicamente a los usuarios
autorizados.
1.1.1.5 VALOR DE LA INFORMACIN
Considerando la continuidad de la organizacin, lo mas critico que debera
protegerse son los datos (la informacin). La informacin constituye un recurso
que en muchos casos no se valora adecuadamente debido a su intangibilidad.
Toda organizacin est expuesta a riesgos y peligros que la hacen vulnerable a
sabotajes.
1.1.2 AMENAZAS EN LA SEGURIDAD INFORMTICA

1.1.2.1 AMENAZA
Se considera amenaza a cualquier evento que pueda provocar daos en los
sistemas de informacin, produciendo a la empresa prdidas materiales o
financieras.
Una vez que la programacin y el funcionamiento de un dispositivo de
almacenamiento (o transmisin) de la informacin se consideran seguras, todava
se debe tener en cuenta amenazas "no informticas" que pueden afectar a los
datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica
proteccin posible es la redundancia (en el caso de los datos) y la
descentralizacin por ejemplo mediante estructura de redes (en el caso de las
comunicaciones).[4]
Estos fenmenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema
informtico (porque no le importa, no se da cuenta o a propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informtico, un gusano informtico, un troyano,
una bomba lgica o un programa espa o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales
no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer,
entre otras.).
Un siniestro (robo, incendio, inundacin): una mala manipulacin o una mala
intencin derivan a la prdida del material o de los archivos.
El personal interno de sistemas: Las luchas de poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la seguridad
informtica.
En la Ilustracin 1.1 se muestra un resumen de las amenazas de seguridad.
Amenazas de la Seguridad
Desastres
Naturales
Humanas
Maliciosas
Incendios
Inundaciones
Terremotos
No Maliciosas
Internas
(Empleados
inconformes)
Externas
(hakers)
Empleados
Ignorantes
Ilustracin 1.1 Amenazas para la Seguridad Informtica

Fuente: Varios Autores
1.1.2.2 TIPOS DE AMENAZAS

El hecho de conectar una red a un entorno externo nos da la posibilidad de sufrir
un ataque, robo de informacin o alteracin del funcionamiento de la red. Sin
embargo el hecho de que la red no sea conectada a un entorno externo no nos
garantiza la seguridad de la misma. De acuerdo con el Instituto de Seguridad
Informtica (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de
los incidentes de red son causados dentro de la misma. Basado en esto podemos
decir que existen dos tipos de amenazas detalladas a continuacin.
1.1.2.2.1 Amenazas internas
Generalmente estas amenazas pueden ser ms serias que las externas por varias
razones como son:
Los usuarios conocen la red y saben cmo es su funcionamiento.
Tienen algn nivel de acceso a la red por las mismas necesidades de su

trabajo.
Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con

los que cuentan la mayora de las organizaciones a nivel mundial, y porque no
existe conocimiento relacionado con la planeacin de un esquema de seguridad
eficiente que proteja los recursos informticos de las actuales amenazas
combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o modificacin
de los datos sensibles de la organizacin, lo que puede representar perdidas para
la empresa de millones de dlares.
1.1.2.2.2 Amenazas externa
Son aquellas amenazas que se originan del exterior de la red. Al no tener
informacin certera de la red, un atacante tiene que realizar ciertos pasos para
poder conocer qu es lo que hay en ella y buscar la manera de atacarla. La
ventaja que se tiene en este caso es que el administrador de la red puede
prevenir una buena parte de los ataques externos.
1.1.2.3 LA AMENAZA INFORMTICA DEL FUTURO
Si en un momento el objetivo de los ataques fue cambiar las plataformas
tecnolgicas ahora las tendencias cibercriminales indican que la nueva modalidad
es manipular los significados de la informacin digital. El rea semntica, era
reservada para los humanos, se convirti ahora en el ncleo de los ataques
debido a la evolucin de la Web 2.0 y las redes sociales, factores que llevaron al
nacimiento de la generacin 3.0.
Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal
que pueden ser comprendidos por las computadoras, las cuales por medio de
tcnicas de inteligencia artificial son capaces de emular y mejorar la obtencin de
conocimiento, hasta el momento reservada a las personas. [1]
1.1.3 RIESGOS EN LA SEGURIDAD INFORMTICA

1.1.3.1 RIESGO
Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. El riesgo es una media de las posibilidades del
incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de
consecuencias: Ganancias o Prdidas. En informtica el riesgo solo tiene que ver
con la amenaza que la informacin puede sufrir, determinando el grado de
exposicin y la prdida de la misma. La ISO (Organizacin Internacional de
Estndares) define el riesgo informtico como: La posibilidad que una amenaza
se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos,
generndose as prdidas o daos. [6]
Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo
Si no hay vulnerabilidades no hay riesgo
1.1.3.2 RIESGO E IMPACTO
En la actualidad los riesgos informticos pueden ser por distintas causas, como
defectos tecnolgicos, negligencia por parte de los usuarios, desastres naturales
entre otros, los cuales se muestran en la Tabla 1.1 con los respectivos impactos
que producen en las organizaciones. [6]
Riesgo
Impacto
Robo de hardware
Alto
Robo de informacin
Alto
Vandalismo
Medio
Fallas en los equipos
Medio
Virus Informticos
Medio
Equivocaciones
Medio
Accesos no autorizados Medio

Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
Tabla 1.1 Riesgo e impacto

Fuente: Varios Autores
1.1.3.3 TIPOS DE RIESGO

1.1.3.3.1 Ataques hbridos
Son ataques en los que se mezclan ms de una tcnica:
DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones,
entre otras. Suelen ser de muy rpida propagacin y siempre se basan en alguna
vulnerabilidad de algn sistema. Por ejemplo los gusanos Blaster, Sasser, o
Slammer, Buffer Overflows, escaneado de direcciones, transmisin va Internet, y
mimetizacin en los sistemas, se propagaron por todo el planeta en cuestin de
pocas horas gracias a una mezcla de tcnicas de uso de vulnerabilidad
1.1.3.3.2 Ingeniera social
Son ataques en los que se intenta engaar a algn usuario para hacerle creer
como cierto algo que no lo es. Como el ejemplo que se muestra a continuacin:
Buenos das, es la secretaria del Director del Departamento?
Si dgame, que desea?
Soy Pedro, tcnico informtico del Centro de Apoyo a Usuarios y me han
informado para reparar un virus del ordenador del director pero la clave que me
han indicado para entrar no es correcta, podra ayudarme, por favor? [9]
Otros ataques de este tipo son:
Farming, SPAM, Pishing, a los cajeros automticos, entre otras.
1.1.4 PRINCIPALES ESTNDARES DE SEGURIDAD INFORMTICA
Dentro de cada una de las organizaciones que tengan su operatividad basada en
tecnologas de la informacin, es recomendable implementar buenas prcticas de
seguridad informtica, ya que en la mayora de casos en que no se sigue un
proceso de implementacin adecuado, se pueden generar vulnerabilidades que
aumenten la posibilidad de riesgos en la informacin. Para el efecto, se crean
normas y estndares internacionales de alto nivel para la administracin de la
seguridad informtica como son: la BS 7799, la ISO 17799 y la ISO/IEC 27001,
entre otras.
1.1.4.1 EL ESTNDAR ISO/IEC 17799
ISO/IEC 17799 denominada tambin como ISO 27002 es un estndar para la
seguridad de la informacin publicado por primera vez como ISO/IEC 17799:2000
10
por la Organizacin Internacional de Normalizacin y la Comisin Electrotcnica

Internacional en el ao 2000, con el ttulo de Tcnicas de Seguridad: Cdigo de
buenas prcticas para la gestin de seguridad de la informacin. Tras un periodo
de revisin y actualizacin de los contenidos del estndar, se public en el
ao 2005 el documento actualizado denominado ISO/IEC 17799:2005. El
estndar ISO/IEC 17799 tiene su origen en el Estndar Britnico BS 7799-1 que
fue publicado por primera vez en 1995.
1.1.4.1.1 Directrices del estndar ISO/IEC 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestin de la seguridad de la
informacin. La seguridad de la informacin se define en el estndar como "la
preservacin de la confidencialidad (asegurando que slo quienes estn
autorizados pueden acceder a la informacin), integridad (asegurando que la
informacin y sus mtodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la informacin y a sus
activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles
para la seguridad de la informacin. Para cada uno de los controles se indica de
11
la misma forma una gua para su implantacin. El nmero total de controles suma
133 entre todas las secciones aunque cada organizacin debe considerar
previamente cuntos sern realmente los aplicables segn sus propias
necesidades.
1.1.4.2 EL ESTNDAR ISO/IEC 27001:2005
El Estndar Internacional ISO/IEC 27001:2005 ha sido preparado para
proporcionar un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin.
Segn el Estndar la adopcin de un SGSI para una organizacin debe realizarse
como parte de las decisiones estratgicas, para lo cual es necesario el
compromiso de la gerencia para el establecimiento, implementacin, operacin,
monitoreo, revisin, mantenimiento y mejoramiento del SGSI. [1]
El Estndar toma el modelo de procesos Planear Hacer Chequear Actuar
(PDCA) que se muestra en la Ilustracin 1.2.
Planear
Mantener y
mejorar el
SGI
Partes
y expectativas
Partes
Interesadas
Desarrollar,
mantener y
mejorar el ciclo
Hacer
Requerimientos
Actuar
Interesadas
Establecer
el SGSI
de la seguridad
de la
informacin
Monitoriar y
revisar el
SGSI
Implementar
y operar el
SGSI
Seguridad de
la informacin
manejada
Chequear
Ilustracin 1.2 Modelo PDCA aplicado a los procesos SGSI
Fuente: Estndar ISO/IEC 27000: 2005
Tambin el Estndar utiliza los Lineamientos OECD19 que se aplican a las

polticas para la seguridad de los Sistemas y Redes de Informacin. Estos
principios son: Conciencia, Responsabilidad, Respuesta, Evaluacin del Riesgo,
Diseo e Implementacin de la Seguridad, Gestin de la Seguridad y
Reevaluacin.
Para la aplicacin de este Estndar se necesita a su vez el estndar ISO/IEC
17799:2005 que es el Cdigo de Prctica para la Gestin de la Seguridad de la
12
Informacin, el cual contiene un conjunto de objetivos de control y controles para

desarrollar estndares de seguridad organizacional y prcticas de seguridad
efectivas.
1.1.4.2.1 Beneficios
El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las
siguientes ventajas a la organizacin[12]:
Demuestra la garanta independiente de los controles internos y cumple los

requisitos de gestin corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas

que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los
requisitos contractuales y demostrar a los clientes que la seguridad de su
informacin es primordial.
Verifica independientemente que los riesgos de la organizacin estn

correctamente identificados, evaluados y gestionados al tiempo que
formaliza procesos, procedimientos y documentacin de proteccin de la
informacin.
Demuestra el compromiso de la cpula directiva de la organizacin con la

seguridad de la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente

el rendimiento y la mejora. Nota: las organizaciones que simplemente
cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del
cdigo profesional, ISO/IEC 17799 no logran estas ventajas.
1.1.4.2.2 Implantacin
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele
tener una duracin entre 6 y 12 meses, dependiendo del grado de madurez en
seguridad de la informacin y el alcance, entendiendo por alcance el mbito de la
organizacin que va a estar sometido al Sistema de Gestin de la Seguridad de la
Informacin elegido. En general, es recomendable la ayuda de consultores
externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus
sistemas de informacin y sus procesos de trabajo a las exigencias de las
normativas legales de proteccin de datos (por ejemplo, en Espaa la conocida
13
LOPD y sus normas de desarrollo, siendo el ms importante el Real Decreto

1720/2007, de 21 de diciembre de desarrollo de la Ley Orgnica de Proteccin de
Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la
informacin mediante la aplicacin de las buenas prcticas de ISO/IEC 27002,
partirn de una posicin ms ventajosa a la hora de implantar ISO/IEC 27001.
1.1.4.3 BS 7799-3:2006 SISTEMAS DE GESTIN DE SEGURIDAD DE LA
INFORMACIN - PARTE 3: GUAS PARA LA GESTIN DE RIESGOS
DE SEGURIDAD DE LA INFORMACIN
Se defini para soportar la implantacin de Sistemas de Gestin de Seguridad de
la Informacin basados en el estndar ISO/IEC 27001:2005 [BS7799-3.06]
[IS027001.05].
Los principales procesos de anlisis de riesgos que define son:

o Identificacin de activos.
o Identificacin de requerimientos legales y de negocio relevantes
para los activos identificados.
o Valoracin de los activos teniendo en cuenta los requerimientos
identificados
el
impacto
resultante
de
la
prdida
de
confidencialidad, integridad o disponibilidad.

o Identificacin de amenazas y vulnerabilidades relevantes para los
activos identificados.
o Valoracin de la posibilidad de que ocurran
las amenazas y
vulnerabilidades.
Evaluacin de riesgos:
o Calculo de riesgos
o Evaluacin de los riesgos teniendo en cuenta una escala de riesgos.
Tratamiento de riesgos y decisiones de la direccin.

o Determinacin de la estrategia de gestin de los riesgos:
Reducir
Aceptar
Transferir
Evitar
o Evaluacin del riesgo residual
14
o Definicin del plan de tratamiento de riesgos
Actividades de gestin continuo del riesgo:

o Mantenimiento y monitorizacin.
o Revisiones de la direccin,
o Revisiones y reevaluaciones de riesgos,
o Auditoras.
o Controles de documentacin,
o Acciones correctivas y preventivas,
o Reporting y comunicaciones
Los procesos propuestos para la gestin del riesgo definen un ciclo iterativo que
se puede comprobar en la Ilustracin 1.3.
Actividades de
gestin
contina de
riesgos
Mantener y
mejorar los
controles de
riesgos
Valoracin
de riesgos
Valorar y
evacuar los
riesgos
Monitorizar y
revisar los riegos
Seleccionar,
implementar y
operar controles
para tratar los
riesgos
Tratamiento de
riesgos y
decisiones de
direccin
Ilustracin 1.3 Modelo de procesos de gestin de riesgos de BS 7799-3

Fuente: Norma BS 7799-3:2006
1.2 DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD

INFORMTICA EN EL ESTNDAR ISO 13335
La ISO (Organizacin Internacional de Normalizacin) y el ICE (La Comisin
Electrotcnica Internacional) forman el sistema especializado para el desarrollo de
15
las Normas Internacionales, a travs de comits tcnicos establecidos para hacer

frente a determinados campos de la actividad tcnica.
Adems en circunstancias excepcionales, una comisin tcnica podr proponer la
publicacin de un Informe Tcnico de uno de los siguientes tipos:
Tipo 1, cuando el apoyo necesario no se puede obtener por la publicacin

de una norma internacional, a pesar de los varios esfuerzos.
Tipo 2, cuando el tema est todava en desarrollo tcnico requiriendo una

explicacin detallada, o cuando por cualquier razn es el futuro, pero no
una posibilidad inmediata de un acuerdo sobre una norma internacional.
Tipo 3, cuando la comisin tcnica ha recogido datos diferentes de los que

normalmente se publican en un estndar internacional ("estado del arte",
por ejemplo).
Los informes tcnicos de los tipos 1 y 2 estn sujetos a revisin dentro de tres
aos posterior a la publicacin, para decidir si se puede transformar en normas
internacionales. Los informes tcnicos del tipo 3 no necesariamente tienen que
ser revisados, hasta que los datos que proporcionan son considerados como no
vlidos o intiles.
El propsito del ISO / IEC TR 13335 es proporcionar una gua, no soluciones, en
aspectos de gestin de la seguridad informtica. Los individuos dentro de una
organizacin que son responsables de la seguridad de TI deben ser capaces de
adaptar el material de este informe para satisfacer sus necesidades especficas.
Sus principales objetivos son:
Definir y describir los conceptos relacionados con la gestin de la

seguridad informtica
Identificar las relaciones entre la seguridad de la gestin de las TI y la

gestin de las TI en general
Presentar varios modelos que se pueden utilizar para explicar la seguridad

de TI
Proporcionar una orientacin general sobre la gestin de la seguridad

informtica.
El documento se articula en las siguientes cinco partes:
16
ISO / IEC TR 13335 se compone de las siguientes partes, bajo el ttulo de la

tecnologa de informacin general - Directrices para la gestin de la seguridad
informtica:
Parte 1: Conceptos y modelos para la seguridad de las Tecnologas de la
Informacin. (Publicada en 2004) [ISO13335-1.04]
Parte 2: Planificacin y gestin de la seguridad de las Tecnologas de la
Informacin. (Publicada en 1997, ha quedado obsoleta por la publicacin de la
ltima versin de la parte 1) [ISO13335-2.97]
Parte 3: Tcnicas para la gestin de la seguridad de las Tecnologas de la
Informacin. (Publicada en 1998, ha quedado obsoleta por la publicacin de la
norma ISO/IEC 27005:2008) [ISO13335-3.98]
Parte 4: Seleccin de salvaguardas. (Publicada en 2000, ha quedado obsoleta
por la publicacin de la norma ISO/IEC 27005:2008) [ISO13335-4.00]
Parte 5: Salvaguardas para conexiones externas. (Publicada en 2001, ha
quedado obsoleta por la publicacin de la norma ISO/IEC 18028-1:2006)
[ISO13335-5.01][10]
1.2.1 DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD INFORMTICA
1.2.1.1 GUA PARA LA GESTIN DE LA SEGURIDAD DE LAS TI SEGN LA
ISO TR 13335
El modelo de procesos propuesto por el informe tcnico ISO/IEC 13335 para la
gestin de la Seguridad de la Informacin se resume en la Ilustracin 1.4.
17
Poltica, estrategia y objetivos de seguridad de TI

Objetivos y estrategias de seguridad de TI
Poltica corporativa de Seguridad de TI
Opciones de estrategia corporativa de anlisis de riesgos
Enfoque de
Referencia
Enfoque
Informal
Enfoque
Combinado
Enfoque
Detallado
Opciones de estrategia corporativa de anlisis de riesgos

Anlisis de riesgos de alto nivel
Anlisis de riesgos detallado
Enfoque de referencia
Seleccin de salvaguardias
Aceptacin de riesgos
Polticas de Seguridad de Sistemas de TI
Plan de seguridad de TI
Implementacin del plan de seguridad TI
Implementacin de
Salvaguardas
Concienciacin
de seguridad
Formacin de
seguridad
Aprobacin del Sistema TI

Seguimiento
Revisin de cumplimiento
de seguridad
Mantenimiento
Gestin de
cambios
Monitoreo
Gestin de
Incidentes
Ilustracin 1.4 Modelo de procesos para la gestin de la Seguridad de la Informacin

Fuente: ISO/IEC 13335
18
Los procesos de gestin de seguridad de la informacin incluyen el proceso de

anlisis detallado de riesgos, que se describe en la Ilustracin 1.5.
Anlisis de riesgos
Establecimiento del
alcance de la revisin
Identificacin de
activos
Valoracin de activos
Establecimiento de
dependencias
Valoracin de
Valoracin de
Enfoque
amenazas
vulnerabilidades
combinado
Valoracin de riesgos
Seleccin de
salvaguardas
NO
Identificacin/revisi
n de restricciones
Aceptacin
de riesgos
SI
Poltica de seguridad
de sistemas
Plan de seguridad de
TI
Ilustracin 1.5 Proceso de anlisis detallado de riesgos de ISO/IEC 13335

1.2.1.2 GESTIN DEL RIESGO DE SEGURIDAD DE LA INFORMACIN

SEGN LA ISO IEC 27005:2008
La norma ISO/IEC 27005:2008 est basada en los informes tcnicos ISO/IEC TR
13335-3:1998 [ISO 13335-3.98] e ISO/IEC TR 13335-4:2000 [ISO 13335-4.00]. El
proceso de gestin de riesgos se describe de la siguiente manera:
Establecimiento del contexto, en el que se definen los objetivos, el alcance

y la organizacin, para todo el proceso.
19
Valoracin de riesgos, en el que se obtiene toda la informacin necesaria

para conocer, valorar y priorizar los riesgos. Se divide en tres partes:
1. Identificacin de riesgos, que consiste en determinar qu puede
provocar prdidas a la organizacin.
2. Estimacin de riesgos, que consiste en utilizar mtodos cuantitativos
o cualitativos para obtener una cuantificacin de los riesgos
identificados, teniendo en cuenta los activos, las amenazas y las
salvaguardas.
3. Evaluacin de riesgos, que consiste en comparar los riesgos
estimados con los criterios de evaluacin y de aceptacin de riesgos
definidos en el establecimiento del contexto.
Tratamiento de riesgos, en el que se define la estrategia para abordar cada

uno de los riesgos valorados: reduccin, aceptacin, evitacin o
transferencia.
Aceptacin de riesgos, en el que se determinan los riesgos que se decide

aceptar, y la justificacin correspondiente a cada riesgo aceptado.
Comunicacin de riesgos, en la que todos los grupos de inters

intercambian informacin sobre los riesgos.
Monitorizacin y revisin de riesgos, en la que el anlisis de riesgos se

actualiza con todos los cambios internos o externos que afectan a la
valoracin de los riesgos.
El proceso de gestin de riesgos definido por la norma ISO/IEC 27005:2008

puede resumirse en la Ilustracin 1.6.
20
Establecimiento del contexto
Anlisis de
riesgos
Identificacin de riesgos
Monitorizacin y revisin de riesgos
Comunicacin de riesgos
Valoracin
de riesgos
Estimacin de riesgos
Evaluacin de riesgos
Valoracin
satisfactoria
Tratamiento de riesgos
Tratamiento satisfactorio
Aceptacin de riesgos
Ilustracin 1.6 Proceso de gestin de riesgos de seguridad de la informacin de ISO/IEC 27005:2008

Fuente: ISO/IEC 27005:2008
1.2.1.3 SEGURIDAD DE LA ADMINISTRACIN, OPERACIN Y USO DE

REDES
DE
SISTEMAS
DE
INFORMACIN,
SUS
INTERCONEXIONES SEGN LA ISO/IEC 18028-1

El propsito de ISO/IEC 18028 es proporcionar una gua detallada sobre los
aspectos de seguridad de la administracin, operacin y uso de redes de
sistemas de informacin, y sus interconexiones. La norma ISO / IEC 18028-1 es la
referencia para definir, orientar y describir los conceptos asociados con la gestin
de la seguridad de redes, incluida la forma de identificar y analizar las
comunicaciones relacionadas con factores que deben tenerse en cuenta para
establecer los requisitos de seguridad de red, con una introduccin a las reas de
21
control posibles y las reas tcnicas especficas (que se aborda en las diferentes
partes de la norma ISO/IEC 18028).
La norma ISO / IEC 18028-1 es relevante para cualquier persona involucrada en
la posesin, explotacin o uso de una red, incluyendo a los altos directivos,
adems de los gerentes y administradores que tienen responsabilidades
especficas para la seguridad de la informacin.
El documento ISO/IEC 18028-1 tiene las siguientes referencias de otras normas:
ISO / IEC 18028-2:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 2: Arquitectura de seguridad de red.
ISO / IEC 18028-3:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 3: Asegurar las comunicaciones entre
redes que utilizan Gateway de seguridad.
ISO / IEC 18028-4:2005, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 4: Asegurar el acceso remoto.
ISO / IEC 18028-5:2006, Tecnologas de la informacin- Tcnicas de seguridadLa seguridad informtica de la red- Parte 5: Asegurar las comunicaciones a travs
de redes con VPN
ISO / IEC 13335-1:2004, Tecnologas de la informacin- Tcnicas de seguridadGestin de la informacin y la seguridad de la tecnologa de comunicacionesParte 1: Conceptos y modelos de informacin y tecnologa de gestin de
seguridad de las comunicaciones.
ISO / IEC 17799:2005, Tecnologa de la informacin- Tcnicas de seguridadCdigo de prcticas para gestin de seguridad de tecnologas de la informacin.
ISO / IEC 18044:2004,- Tcnicas de seguridad- Seguridad de la informacin de
gestin de incidentes.
ISO / IEC 18043:2006, Tecnologa de la informacin- Tcnicas de seguridadSeleccin, despliegue y operaciones de sistemas de deteccin de intrusos.
La norma tiene un proceso general de identificacin y anlisis de los factores
relacionados con las comunicaciones que se debe tener en cuenta para
establecer los requisitos de seguridad y control de red. La Ilustracin 1.7 muestra
los pasos de este proceso.
Ilustracin 1.7 Proceso general de identificacin y Anlisis

Fuente: ISO / IEC 18043:2006
22
23
En la Ilustracin 1.7 las lneas de color negro solido representan el camino

principal del proceso, y la lnea de puntos negro indica donde los tipos de riesgo
para la seguridad pueden ser determinados con la ayuda de una evaluacin de
riesgos y sus resultados.
1.2.2 CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE
SEGURIDAD INFORMTICA
1.2.2.1 ELEMENTOS DE SEGURIDAD
Las organizacin debe definir los elementos de seguridad que se apliquen a su
caso, a continuacin se describen los elementos de seguridad.
1.2.2.1.1 Principios de Seguridad
Los siguientes principios de alto nivel de seguridad son fundamentales para el
establecimiento de un eficaz programa de Seguridad de TI.
1.2.2.1.2 La gestin del riesgo
Los activos de la empresa deben ser protegidos mediante la adopcin de
garantas. Las garantas deben ser seleccionadas y gestionadas sobre la base de
una adecuada metodologa de gestin del riesgo, que evale a la organizacin,
los bienes, las amenazas, las vulnerabilidades y el impacto que producen las
amenazas, para atender los riesgos y tomar en cuenta las limitaciones.
1.2.2.1.3 Compromiso
Se debe especificar los beneficios que obtendr la empresa al comprometerse
con la implementacin de seguridad de TI.
1.2.2.1.4 Funciones y responsabilidades
Los roles y responsabilidades para la seguridad de TI deben ser claramente
comunicadas.
1.2.2.1.5 Objetivos, estrategias y polticas
Los riesgos para la seguridad de TI deben ser manejados considerando los
objetivos, estrategias y polticas de la organizacin.
24
1.2.2.1.6 Activos
En relacin con la seguridad de la informacin, se refiere a cualquier informacin
o sistema relacionado con el tratamiento de la misma que tenga valor para la
organizacin. Segn [ISO/IEC 13335-1:2004]: Se debe determinar los activos
como cualquier cosa que tiene valor para la organizacin.
1.2.2.1.7 Bienes
La gestin adecuada de los activos es vital para el xito de la organizacin, y es
una de las principales responsabilidad de todos los niveles de gestin. Los activos
de una organizacin puede ser considerada lo suficientemente valioso como para
justificar un cierto grado de proteccin. Estos pueden incluir, sin limitarse a:
Los activos fsicos (por ejemplo, equipos informticos, instalaciones de

comunicaciones, edificios).
Informacin / datos (por ejemplo, documentos, bases de datos), software.
La capacidad de proporcionar un producto o servicio, personas.
Bienes intangibles (imagen de la empresa).
Desde una perspectiva de seguridad, no es posible implementar y mantener un

programa de seguridad con xito si los activos de la organizacin no se
identifican. El nivel de detalle para esta prctica se debe medir en trminos de
tiempo y costo en comparacin con el valor de los bienes. El nivel de detalle de
los bienes se determinar sobre la base de los objetivos de seguridad. Los
atributos de los bienes a ser considerados incluyen su valor y / o sensibilidad, y
las garantas que presentan.
1.2.2.1.8 Amenazas
Los activos estn sujetos a diversos tipos de amenazas. Una amenaza tiene el
potencial de causar dao a un activo y por lo tanto a una organizacin. Este dao
puede ocurrir a partir de un ataque a la informacin, causando destruccin no
autorizada, divulgacin, modificacin, la corrupcin y la falta de disponibilidad o
prdida.
Una amenaza tiene que explotar una vulnerabilidad existente del activo con el fin
de perjudicar a los activos. Las amenazas pueden ser de origen ambiental o
humano y, en este ltimo caso, puede ser accidental o deliberada. Amenazas
tanto accidental como intencionada deben ser identificadas y su nivel y
25
probabilidad de ocurrencia evaluada. Los datos estadsticos disponibles sobre

muchos tipos de las amenazas ambientales pueden ser obtenidos y utilizados por
una organizacin, mientras se evala las amenazas.
Las amenazas tienen caractersticas que definen sus relaciones con los
elementos de seguridad.
Al definir las amenazas se debe tomar en cuenta el entorno y la cultura en la que
se encuentra la empresa.
Las amenazas pueden ser calificados en trminos tales como Alta, Media y Baja,
en funcin del resultado de evaluacin de amenazas.
1.2.2.1.9 Vulnerabilidades
Una debilidad de un bien, o grupo de bienes, que puede ser explotado por una o
ms amenazas se conoce como una vulnerabilidad. Las vulnerabilidades
asociadas con bienes incluyen debilidades en el diseo fsico, organizacin,
procedimientos,
personal,
gestin,
administracin,
hardware,
software
informacin.
Una vulnerabilidad puede existir en ausencia de amenazas correspondiente. Una
vulnerabilidad no es ms que una condicin o un conjunto de condiciones que
pueden permitir que una amenaza afecte a un activo. Vulnerabilidades que surgen
de diferentes fuentes deben ser consideradas, por ejemplo, los. Intrnsecos o
extrnsecos al activo. Las vulnerabilidades deben ser evaluadas individualmente y
en conjunto para considerar el contexto operacional.
Dentro de un sistema u organizacin especfica, no todas las vulnerabilidades
sern susceptibles a una amenaza.
Vulnerabilidades que tienen un peligro son de inters inmediato. Sin embargo,
como el medio ambiente puede cambiar impredeciblemente, todas las
vulnerabilidades deben ser controladas para identificar a los que se han expuesto
a nuevas o re-emergentes amenazas.
Evaluar las vulnerabilidades es el examen de las debilidades que pueden ser
explotadas por las amenazas identificadas. Esta evaluacin debe tener en cuenta
el medio ambiente y las garantas existentes. La medida de una vulnerabilidad de
un sistema particular o bien, es una declaracin de la facilidad con la que el
sistema o bien puede resultar perjudicado.
26
Las vulnerabilidades pueden ser calificados en trminos tales como Alta, Media y
Baja, en funcin del resultado de la evaluacin de la vulnerabilidad.
1.2.2.1.10 Impacto
El impacto es el resultado de un incidente de seguridad de la informacin,
causada por una amenaza, que afecta a los bienes. El impacto podra ser la
destruccin de ciertos activos, daos en el sistema de TI, y compromiso de
confidencialidad, integridad, disponibilidad, no repudio, la rendicin de cuentas,
autenticidad o fiabilidad. Impacto indirecto incluye posibles prdidas financieras, y
la prdida de cuota de mercado o imagen de la empresa. La medicin del impacto
permite un equilibrio que se hizo entre los resultados previstos de un incidente y el
costo de las garantas de proteccin contra el incidente. Se debe tener en cuenta
la probabilidad de ocurrencia de un incidente.
Las mediciones cuantitativas y cualitativas del impacto se pueden lograr de varias
formas, como:
Establecer el costo financiero,
Asignar una escala emprica de la gravedad, por ejemplo, del 1 al 10, y
El uso de adjetivos seleccionados de una lista predefinida, por ejemplo,

Alta, Media y Baja.
1.2.2.1.11 Riesgo
El riesgo es la posibilidad de que una amenaza se aprovecha de las
vulnerabilidades de un activo o grupo de activos y por lo tanto cause dao a la
organizacin. Amenazas simples o mltiples pueden explotar una o mltiples
vulnerabilidades.
Para describir los riesgos dentro de la empresa se debe plantear escenarios
mediante los cuales se pueda explotar una determinada vulnerabilidad o un grupo
de vulnerabilidades que exponen los bienes de dao mediante una o varias
amenazas, caracterizando al riesgo por una combinacin de dos factores, la
probabilidad de que el incidente que se produzca y sus consecuencias
Cualquier cambio en los bienes, las amenazas, vulnerabilidades y garantas
pueden tener efectos significativos sobre los riesgos.
La deteccin temprana o el conocimiento de los cambios aumentan la oportunidad
para tomar las medidas adecuadas para tratar los riesgos. Opciones para el
27
tratamiento de riesgo incluyen la cobertura de riesgos, reduccin de riesgos, el

riesgo transferencia y aceptacin de riesgos.
1.2.2.1.12 Seguridades
Las seguridades son prcticas, procedimientos o mecanismos que pueden
proteger contra una amenaza, reducir la vulnerabilidad, limitar el impacto de un
incidente de seguridad de la informacin, detectar los incidentes y facilitar la
recuperacin.
Una seleccin apropiada de las seguridades es esencial para un plan de
seguridad implementado correctamente.
Una medida de seguridad puede servir para mltiples propsitos, por el contrario,
una funcin puede requerir varias seguridades. Estas estrategias pueden ser
consideradas para llevar a cabo una o ms de las siguientes funciones:
la prevencin,
la disuasin,
deteccin,
limitacin,
correccin,
la recuperacin,
el seguimiento y la
concienciacin.
Ejemplos de seguridades especficas son:
polticas y procedimientos,
acceso a los mecanismos de control,
software anti-virus,
cifrado,
firmas digitales,
seguimiento y anlisis de herramientas,
fuentes de alimentacin redundantes, y
copias de seguridad de informacin.
1.2.2.1.13 Limitaciones
Se deben describir Las restricciones que son normalmente establecidas o
reconocidas por la administracin de la organizacin y la influencia del entorno en
28
que opera la organizacin. Algunos ejemplos de restricciones que se deben

considerar son:
de organizacin,
de negocios,
financieros,
medio ambiente,
personal,
tiempo,
legal,
tcnica, y
cultural / social.
Estos factores deben ser considerados en la seleccin y la aplicacin de

seguridades, peridicamente, las limitaciones existentes y nuevas deben ser
revisadas.
1.2.2.1.14 Relacin entre los elementos de seguridad
Para describir los elementos de seguridad se debe tomar en cuenta la relacin
que existe entre los elementos de seguridad, como por ejemplo la Ilustracin 8
que presenta un modelo que muestra cmo los activos pueden ser objeto de un
nmero de amenazas. Este conjunto de amenazas que cambia constantemente
con el tiempo y slo es parcialmente conocido. Adems, el entorno cambia con el
tiempo y este cambio puede afectar a la naturaleza de las amenazas y la
probabilidad de su ocurrencia.
29
Ilustracin 1.8 Relacin entre los elementos de seguridad

El modelo de la ilustracin 1.8 representa:
un ambiente con restricciones y amenazas que cambian constantemente y

slo es parcialmente conocido,
los bienes de una organizacin,
las vulnerabilidades asociadas a los bienes,
garantas para proteger los bienes seleccionados, y
riesgos residuales aceptables para la organizacin.
1.2.2.2 OBJETIVOS, ESTRATEGIAS Y POLTICAS DE SEGURIDAD DE LA

EMPRESA
1.2.2.2.1 Objetivos y estrategias de seguridad
Los objetivos, las estrategias y las polticas de seguridad de la organizacin
deben ser formulados para garantizar la seguridad de TI. Los objetivos son lo que
se quiere lograr, las estrategias son cmo lograr estos objetivos y las polticas son
las reglas que deben observarse en la aplicacin de las estrategias. Con el fin de
30
lograr una efectiva seguridad de TI, es necesario alinear los diversos objetivos,
estrategias y polticas para cada nivel de organizacin y unidad de negocio.
1.2.2.2.2 Jerarqua de las Polticas
Todas las Polticas que se definan o estn definidas deben tener una jerarqua es
decir se las debe presentar de acuerdo a su importancia.
1.2.2.2.3 Elementos de las Polticas de seguridad corporativa de TI
La poltica de seguridad corporativa debe cubrir al menos los siguientes temas:
Requerimientos
de
seguridad,
por
ejemplo,
en
trminos
de
confidencialidad, integridad, disponibilidad, autenticidad, responsabilidad y

fiabilidad, especialmente en relacin con el punto de vista de los
propietarios de los activos,
La infraestructura de la organizacin y asignacin de responsabilidades.
La integracin de la seguridad en el desarrollo del sistema y su adquisicin.
Directrices y procedimientos,
Definicin de las clases para la clasificacin de la informacin,
Las estrategias de gestin de riesgos,
Planes de contingencia,
Poltica de personal, se debe prestar especial atencin al personal en

puestos que requieran de confianza, como personal de mantenimiento y los
administradores del sistema informtico,
Sensibilizacin y formacin,
Obligaciones legales y reglamentarias,
Subcontratacin de gestin, y
Manejo de incidentes
1.2.2.3 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD INFORMTICA

1.2.2.3.1 Funciones y responsabilidades
La seguridad informtica es un tema interdisciplinario y relevante para todos los
proyectos de TI y el sistema y los usuarios de TI en una organizacin. Una
distribucin adecuada y delimitacin de responsabilidades debe garantizar que
todas las tareas importantes se realizan de una manera eficiente.
31
Aunque este objetivo se puede lograr a travs de diversos esquemas de

organizacin, depende del tamao y de la estructura de una organizacin, para lo
cual se puede utilizar los siguientes medios:
Un comit de seguridad de TI que generalmente resuelve los problemas

interdisciplinarios y aprueba las directrices y normas, y
Un oficial de seguridad de TI quien acta como centro de todos los

aspectos de seguridad de TI en una organizacin.
Tanto el comit de seguridad de las TI como el oficial de seguridad de TI, deben

tener bien definidos los deberes y ser lo suficientemente claros como para
asegurar el compromiso con la poltica corporativa de seguridad de TI. La
organizacin facilitar unas lneas claras de comunicacin. La responsabilidad y la
autoridad del oficial de seguridad de la empresa de TI y los derechos deben ser
aprobadas por el foro de seguridad de TI. La realizacin de estas tareas puede
ser complementada con la utilizacin de consultores externos.
1.2.2.3.2 Comit de seguridad de TI
Ese comit debera involucrar a las personas con las habilidades adecuadas para
identificar las necesidades, la formulacin y los fines de las polticas, la
elaboracin del programa de seguridad, los logros y dirigir la empresa de TI
responsable de la seguridad. Es posible que sea un comit, o un comit de
seguridad de TI, por separado, si as se decide. El papel del comit es:
Asesorar al comit de direccin de TI en relacin con la planificacin

estratgica de seguridad,
Formular una poltica de seguridad corporativa de TI en apoyo de la

estrategia de TI y obtener la aprobacin del comit de direccin de TI.
Traducir la poltica de seguridad corporativa en un programa de seguridad

de TI.
Supervisar la aplicacin del programa de seguridad de TI.
Evaluar la efectividad de la poltica de seguridad corporativa de TI.
Promover el conocimiento de los problemas de seguridad de TI.
Asesorar sobre los recursos (personas, dinero, conocimiento, entre otras.)

necesarios para apoyar el proceso de planificacin y la ejecucin de los
programas de seguridad de TI.
32
Para ser eficaz, el comit debera incluir a miembros con experiencia en

seguridad y los aspectos tcnicos de los sistemas de TI, as como a
representantes de los proveedores y usuarios de los sistemas de TI.
Conocimientos y habilidades de todas estas reas son necesarios para desarrollar
una prctica poltica de seguridad corporativa.
1.2.2.3.3 Oficial de Seguridad de TI
Ya que la responsabilidad de la seguridad de TI es compartida, existe el riesgo de
que, al final, nadie se sienta responsable en absoluto. Para evitar esto, la
responsabilidad debe ser asignada a un individuo especfico. El oficial de
seguridad de TI debe actuar como el centro de todos los aspectos de la seguridad
de TI dentro de la organizacin. Puede existir una persona idnea que pueda
asumir las responsabilidades adicionales, aunque se recomienda que se designe
a un sustituto que lo remplace, de ser el caso. Es preferible seleccionar una
persona con experiencia en seguridad y en TI.
Las responsabilidades principales del jefe de la unidad son:
Supervisin de la aplicacin del programa de seguridad de TI.
Enlace en la presentacin de informes, entre el comit de seguridad de TI y

el oficial de seguridad.
Mantener la poltica de seguridad corporativa y las directrices.
La coordinacin de las investigaciones de incidentes.
La gestin de las organizaciones en todo el programa de conocimiento.
Determinar los trminos de referencia para los proyectos de TI y los

sistemas de seguridad de los oficiales (y de los relevantes agentes de
seguridad dentro del departamento de TI).
1.2.2.3.4 Usuarios de TI
Los Usuarios son responsables de:
utilizar los recursos de TI en conformidad con las polticas de TI, directrices

y procedimientos, y
proteger los activos de organizaciones de TIC en conformidad con las

polticas de seguridad de las TIC, las directivas y procedimientos.
33
1.2.2.3.5 Proyecto de Seguridad de los Oficiales de TI y Sistema de Seguridad de los

Oficiales de TI
Los proyectos individuales y los o sistemas deben tener a un responsable de la
seguridad, que generalmente se llama al agente de seguridad de TI. En algunos
casos, esto puede no ser una funcin de tiempo completo. La gestin funcional de
estos empleados estar a cargo del oficial de seguridad de TI (el departamento
oficial de seguridad de TI). El oficial de seguridad acta como punto focal para
todos los aspectos de seguridad de un proyecto, un sistema o un grupo de
sistemas. Las principales responsabilidades del puesto son:
Enlace en la presentacin de informes con el agente de seguridad

corporativa de TI (o, en su caso, con el departamento oficial de seguridad).
Emisin y mantenimiento de los proyectos de IT o de la poltica de

seguridad del sistema.
Desarrollo e implementacin del plan de seguridad.
Efectuar da a da el seguimiento de la aplicacin y el uso de las

seguridades de TI.
Iniciar y ayudar en las investigaciones de incidentes.
1.2.2.3.6 Compromiso
Es de vital importancia para la eficacia de la seguridad de TI que la gestin en
todos los niveles apoye los esfuerzos realizados por los individuos. El compromiso
de la organizacin con los objetivos de seguridad de TI incluye:
una comprensin de las necesidades globales de la organizacin
una comprensin de la necesidad de seguridad de TI dentro de una

organizacin
una demostracin del compromiso con la seguridad de TI,
disposicin para atender las necesidades de seguridad de TI,
la voluntad de asignar recursos para la seguridad de TI, y
la conciencia, al ms alto nivel, de lo que significa la seguridad y su

contenido en alcance o magnitud
Los objetivos de la seguridad informtica deben ser conocidos por toda la

organizacin. Cada empleado o contratista, debe saber su papel y su
34
responsabilidad frente a la seguridad informtica y se encargar de la

consecucin de esos objetivos.
1.2.2.3.7 Enfoque coherente
Un enfoque coherente de la seguridad informtica se debe aplicar a todas las
actividades de desarrollo, mantenimiento y funcionamiento. La proteccin debe
garantizarse en todo el ciclo de vida de la informacin y de los sistemas de TI,
desde la planificacin hasta la eliminacin.
Una estructura organizativa, como la que se ilustra en la figura 3, se puede apoyar
en un enfoque armonizado para la seguridad de TI en toda la organizacin. Esto
tiene que ser apoyado por un compromiso con el uso de estndares. Las normas
pueden incluir a sectores internacionales, nacionales y regionales de la industria y
los estndares corporativos o de las normas deben ser seleccionados y aplicados
de acuerdo con las necesidades de seguridad de TI de la organizacin. Las
normas tcnicas deben ser complementadas por las normas y directrices sobre su
aplicacin, uso y gestin.
Las ventajas de usar estndares incluyen:
Integracin de la seguridad,
Interoperabilidad,
Consistencia,
Portabilidad,
Las economas de escala, e
Interaccin entre las organizaciones.
1.2.2.3.8 Integracin de Seguridades de TI

Todas las actividades de seguridad de TI son ms eficaces si se producen de
manera uniforme en toda la organizacin y desde el principio del ciclo de vida de
cualquier sistema de TI. El proceso de seguridad de TI es en s un gran ciclo de
actividades y deben integrarse en todas las fases del ciclo de vida del sistema
TIC.
El ciclo de vida de un sistema de TI puede ser subdividido en cuatro fases
bsicas. Cada una de estas fases se relaciona con la seguridad de TI de la
siguiente manera:
35
Planificacin: las necesidades de seguridad de las TIC deben ser tratados

durante toda la planificacin y la toma de decisiones de las actividades.
Adquisicin: los requisitos de seguridad de TI deben integrarse en los procesos
en que los sistemas son diseados, desarrollados, comprados, actualizados o
construidos de otra manera.
Pruebas: Las pruebas del sistema de TI deben incluir pruebas de los
componentes de seguridad de TI, las caractersticas y servicios. Componentes de
seguridad nuevos o modificados deben ser evaluados por separado para
asegurarse de que funcione como est diseado, y ponerlas a prueba en el
entorno operativo, para asegurar que la integracin de las TIC en el sistema no
afecten las propiedades de seguridad o caractersticas.
Las pruebas deben ser regulares durante la vida operativa del sistema.
Operaciones: Las seguridad de TI deben integrarse en el entorno operativo.
Como un sistema TI se utiliza para realizar su misin prevista, debe mantenerse,
actualizarse, tambin se realizarn una serie de mejoras que incluyen la compra
de nuevo hardware componentes o la modificacin o la adicin de software.
Adems, el medio operacional cambia con frecuencia. Estos cambios en el medio
podran crear nuevas vulnerabilidades del sistema que deben ser analizados y
evaluados, y ya sea mitigado o aceptada.
1.2.2.3.9 Funciones de la Gestin de seguridad de las TIC
El xito de la gestin de seguridad de las TIC requiere que una serie de
actividades se llevarn a cabo. Estas actividades son las siguientes, que se
llevar a cabo como un proceso cclico:
Planificacin:
o determinar los requisitos de seguridad de las TIC de la organizacin,
o determinar los objetivos estrategias y polticas de seguridad de las
TIC de la organizacin,
o identificar los roles y responsabilidades dentro de la organizacin,
o desarrollo del plan de seguridad de las TIC,
o evaluacin de riesgos.
o las decisiones de tratamiento del riesgo y la seleccin de
seguridades, y
36
o planificacin de la continuidad
Implementacin:
o la aplicacin de seguridades,
o aprobacin de sistemas de TI,
o desarrollar e implementar un programa de concienciacin sobre la
seguridad, y
o revisar y supervisar la implementacin y operacin de las
salvaguardias,
Operacin y mantenimiento:
o configuracin de control y gestin del cambio,
o gestin de la continuidad,
o revisin, auditora y vigilancia, y cumplimiento de control de
seguridad, y
o seguridad de la informacin de gestin de incidentes.
1.2.2.3.10 Condiciones culturales y medio ambientales

Se debe tener en cuenta la cultura y el entorno en el que opera la organizacin,
ya que stas pueden tener un efecto significativo sobre el enfoque global de la
seguridad. Adems, la cultura y el medio ambiente pueden tener un impacto en
aquellos que se encargan de la proteccin de las partes especficas de la
organizacin
1.2.2.4 GESTIN DE LA SEGURIDAD INFORMTICA
1.2.2.4.1 Proceso de Planificacin y gestin
La planificacin y gestin de la seguridad es el proceso general de establecer y
mantener un programa de seguridad de TI en la empresa. Este proceso debe
adaptarse de acuerdo a la forma de gestin, tamao empresarial y diseo
organizacional. Las revisiones se las hacen conjuntamente con las actividades y
funciones.
Para definir correctamente la gestin de la seguridad informtica se debe tener
claro los objetivos de la empresa y se debe crear una estructura organizacional
que apoye el xito de los mismos.
37
1.2.2.4.2 Administracin de riesgos

La Gestin de Riesgos incluye las siguientes actividades:
1. Determinar una estrategia general de gestin de riesgos adecuada a la
empresa en el contexto de la poltica de seguridad corporativa de TI
2. Seleccionar las garantas para los sistemas individuales como resultado de
las actividades de anlisis de riesgos o de acuerdo a los controles de lnea
base
3. Formular
polticas
de
sistema
de
seguridad TI
partir
de las
recomendaciones de seguridad, y si es necesario la actualizacin de

la poltica de seguridad corporativa de TI (y por lo tanto, el departamento
de seguridad de TI)
4. Construir planes de seguridad de TI para aplicar las seguridades, basado
en las polticas del sistema de seguridad ya aprobado.
1.2.2.4.3 Implementacin
La aplicacin de las seguridades necesarias para cada sistema de TI tiene que
ser hecho de acuerdo con el plan de seguridad de TI. La mejora de la
concienciacin general de seguridad de TI, aunque muy a menudo descuidado, es
un aspecto importante para la eficacia de las garantas. Se debe dejar en claro
dos tareas, garantizar la aplicacin y poner en prctica un programa
de concienciacin sobre la seguridad.
1.2.2.4.4 Seguimiento
Las actividades que se deben llevar a cabo durante el seguimiento son:
Mantenimiento de
las
seguridades, para
asegurar su
funcionamiento
continuo y eficaz
Comprobar que las seguridades cumplan con las polticas y planes

aprobados
Control de activos, amenazas, vulnerabilidades y seguridades de los

diferentes cambios que se puedan detectar que pueden afectar los riesgos
Manejo de incidentes para asegurar la reaccin adecuada a los eventos no

deseados
El seguimiento es una tarea continua, que debe incluir la revisin de las

decisiones anteriores.
38
1.2.2.4.5 Integracin
La integracin de la seguridad informtica, todas las actividades de seguridad de
TI son ms efectivas si se producen de manera uniforme en toda la organizacin y
desde el inicio del ciclo de vida de cualquier sistema de TI. El proceso de
seguridad es en s misma un importante ciclo de actividades y deben integrarse
en todo lo que las fases del ciclo de vida del sistema. Mientras que la seguridad
es ms eficaz si se integra en los sistemas de nuevo desde el principio, los
sistemas heredados y las actividades comerciales se benefician de la integracin
de la seguridad en cualquier momento.
Un ciclo de vida del sistema de TI se puede subdividir en cuatro fases
bsicas. Cada una de estas fases se relaciona con la seguridad informtica de la
siguiente manera:
Planificacin: las necesidades de TI de seguridad deben ser tratados

durante toda la planificacin y las actividades de toma de decisiones.
Adquisicin: los requerimientos de seguridad deben integrarse en los

procesos por los cuales los sistemas se han diseado, desarrollado,
adquirido, mejorado o construido de otra manera. La integracin de los
requisitos de seguridad en las actividades asegura que las caractersticas
de seguridad econmica estn incluidas en los sistemas en el momento
adecuado y no despus.
Pruebas: Las pruebas de un sistema de TI debe incluir pruebas de los

componentes de seguridad de TI, las caractersticas y servicios. Los
componentes de seguridad nuevos o modificados deben ser evaluados por
separado para asegurar que funcione como est diseado, y ponerlas a
prueba en el entorno operativo, para asegurar que la integracin en el
sistema de TI no afecta a las propiedades o caractersticas de seguridad.
Las pruebas deben ser regulares durante la vida operativa del sistema.
Operaciones: Las seguridades de TI deben integrarse en el entorno

operativo. Como un sistema informtico se utiliza para realizar su misin
prevista, por lo general se somete a una serie de mejoras que incluye la
compra de nuevos componentes de hardware o la modificacin o la adicin
de software. Adems, el entorno operativo cambia con frecuencia. Estos
cambios en el medio ambiente puede crear nuevas vulnerabilidades del
39
sistema que deben ser analizados y evaluados, y ya sea mitigado o

aceptado. Igualmente importante es la eliminacin segura o la reasignacin
de los sistemas.
La seguridad de TI debe ser un proceso continuo de retroalimentacin dentro de y
entre las fases del ciclo de vida un sistema informtico.
1.2.2.5 ANLISIS ESTRATGICO DEL RIESGO
Cualquier organizacin que desee mejorar la seguridad debera poner en marcha
una estrategia para la gestin de riesgos que sea adecuada para su entorno, y
establecer los medios para hacer frente a los riesgos de manera efectiva. Es
necesaria una estrategia que centre sus esfuerzos de seguridad en donde se
precise as como un enfoque de costos y el tiempo requerido.
No es cuestin de recursos o de tiempo efectivo para llevar a cabo revisiones
detalladas en todos los sistemas, ni es eficaz, para hacer frente a graves riesgos.
Por tanto, un enfoque que ofrezca un equilibrio entre estos extremos implica la
realizacin de exmenes de alto nivel para determinar las necesidades de
seguridad de TI de los sistemas de anlisis, a una profundidad consistente con
estas necesidades. Los requerimientos de seguridad de cualquier organizacin
dependen de su tamao, del tipo de negocio que est haciendo y de su entorno y
la cultura. El anlisis de riesgos corporativos como opcin estratgica para ser
seleccionados, debe estar directamente relacionado con estos hechos.
En algunas situaciones, una organizacin puede decidir no hacer nada o aplazar
la aplicacin de las garantas. Esta decisin de la gerencia slo debe hacerse
despus de que la organizacin ha completado su examen de alto nivel. No
obstante, si se toma una decisin, la administracin debe ser plenamente
consciente de los riesgos e impactos adversos de los que pueden ser
responsables, y an la probabilidad de un incidente no deseado que tenga lugar.
Sin este conocimiento, la organizacin sin darse cuenta puede estar en violacin
de las leyes o reglamentos y puede exponerse a una posible prdida. La decisin
y la justificacin para no hacer algo o para posponer la aplicacin de garantas
deben adoptarse slo despus de una seria consideracin sobre estos asuntos y
otros posibles de efectos adversos.
40
Basndose en los resultados de los exmenes de alto nivel, las garantas para
mitigar los riesgos se pueden seleccionar con una de las cuatro opciones que se
describen a continuacin. Las clusulas siguientes ofrecen una explicacin de las
ventajas y desventajas que proporciona cada opcin:
1.2.2.5.1 Enfoque de referencia
La primera opcin es seleccionar un conjunto de garantas para lograr un nivel
bsico de proteccin para todos los sistemas. Una variedad de medidas de
seguridad estndar se sugiere en los documentos de referencia y cdigos de
prcticas. Despus de un examen de las necesidades bsicas, estas medidas de
seguridad tambin se pueden adaptar a otros sistemas tales como las normas
internacionales y nacionales, las normas de la industria del sector o
recomendaciones, o alguna otra empresa con similitudes apropiadas (como los
objetivos de negocio, tamao, sistemas informticos y aplicaciones).
Las ventajas de esta opcin son:
No existen los recursos necesarios para el anlisis detallado de riesgos y el

tiempo y esfuerzo dedicado a la seleccin de garantas se reduce.
Normalmente, no se necesitan considerables recursos para identificar a las
garantas de referencia.
Las garantas de referencia, iguales o similares, pueden ser adaptadas

para los sistemas de muchos de ellos sin gran esfuerzo. Si un nmero
apreciable de sistemas de una organizacin opera en un entorno comn, y
si las necesidades del negocio son comparables, las garantas de base
pueden ofrecer una solucin costo-efectiva.
Las desventajas de esta opcin son:
Si el nivel de referencia es demasiado alto, podra ser demasiado caro o

demasiado restrictivo de seguridad para algunos sistemas, y si el nivel de
referencia es demasiado bajo, podra no haber suficiente seguridad para
algunos sistemas.
Puede haber dificultades en la gestin de los cambios de seguridad

pertinentes. Por ejemplo, si se actualiza un sistema, puede ser difcil
determinar si las garantas de lnea de base original son todava
suficientes.
41
1.2.2.5.2 Enfoque informal

La segunda opcin es llevar a cabo un anlisis informal, pragmtico del riesgo
para todos los sistemas. Un enfoque informal no se basa en los mtodos
estructurados, pero aprovecha el conocimiento y la experiencia de los individuos.
Si la experiencia en seguridad interna no est disponible, los consultores externos
pueden hacer este anlisis.
1.2.2.5.3 La ventaja de esta opcin es:
No se requieren conocimientos adicionales. Es necesario aprender a

efectuar este anlisis informal, y se realiza ms rpido que un anlisis
detallado de riesgos. Por tanto, este enfoque podra ser rentable y
adecuado para las organizaciones pequeas.
1.2.2.5.4 Las des ventajas de esta opcin es:
Sin un enfoque estructurado, la posibilidad de no identificar algunos riesgos

y las reas de inters, aumenta.
Debido a la informalidad de este enfoque, los resultados pueden estar

influidos por las opiniones subjetivas y los prejuicios del evaluador.
Hay muy poca justificacin para las garantas seleccionadas, por tanto, los
gastos en materia de garantas seran de difcil justificacin.
Puede ser difcil de manejar los cambios de seguridad pertinentes en el

tiempo sin revisiones repetidas.
1.2.2.5.5 Anlisis detallado de riesgos

La tercera opcin es realizar un anlisis detallado de riesgos para todos los
sistemas. Anlisis detallado de riesgos implica la identificacin y valoracin de
activos y evaluacin de los niveles de amenazas a los activos y las
vulnerabilidades de esos activos. Esta entrada se utiliza para evaluar los riesgos.
Al hacer esto, el anlisis de riesgo compatible con la identificacin, seleccin y
adopcin de garantas, se justifica por los riesgos identificados a los activos y la
reduccin de los riesgos a un nivel aceptable, definido por la direccin. El anlisis
detallado de riesgos puede ser un proceso que consume muchos recursos y, por
tanto, las necesidades de cuidar el establecimiento de lmites y la atencin
constante de la gestin.
42
1.2.2.5.6 Las ventajas de esta opcin son:
Se identifica que un nivel de seguridad es apropiado para las necesidades

de seguridad de cada sistema.
La gestin de los cambios de seguridad pertinentes se beneficiar de la

informacin adicional obtenida a partir de un anlisis detallado de riesgos.
1.2.2.5.7 Las desventajas de esta opcin son:
Se necesita una cantidad considerable de tiempo, esfuerzo y experiencia

para obtener resultados viables.
1.2.2.5.8 Enfoque combinado

La cuarta opcin consiste en identificar primero los sistemas que estn en alto
riesgo o crticas para las operaciones de negocio, con un riesgo de elevado nivel
de enfoque en el anlisis. En base a estos resultados, los sistemas se dividen en
aquellos que requieren un anlisis detallado de riesgos para lograr una proteccin
adecuada y aquellos para los que la proteccin de lnea de base es suficiente.
Esta opcin es una combinacin de los mejores puntos de las opciones descritas
en el enfoque de referencia y en el anlisis detallado de riesgos. Por tanto,
proporciona un buen equilibrio entre la reduccin del tiempo y el esfuerzo en la
identificacin de las garantas, mientras que se asegura que todos los sistemas
estn protegidos adecuadamente.
1.2.2.5.9 Las ventajas de esta opcin son:
El uso de un mtodo simple de alto nivel para reunir la informacin

necesaria antes de que se hayan comprometido importantes recursos es
ms probable que se acepte el programa de gestin de riesgos.
Debe construirse una imagen inmediata estratgica del programa de

seguridad de la organizacin, que pueda ser usada como una ayuda para
una buena planificacin.
Los recursos y el dinero pueden ser aplicados en los que sern los
sectores ms beneficiosos y en los sistemas que puedan estar en alto
riesgo y deban ser tratados a tiempo.
43
1.2.2.5.10 La desventaja de esta opcin es:
Si el anlisis de un alto nivel de riesgo conduce a resultados errneos,

algunos sistemas para los cuales se necesita un anlisis detallado de
riesgos, puede ser que no haya sido utilizado. Esto es poco probable si los
resultados de los anlisis de nivel de riesgo elevado son controlados
adecuadamente, pero en cualquier caso, estos sistemas todava estaran
cubiertos por las garantas de referencia.
En muchos casos esta opcin ofrece el enfoque ms rentable y es una opcin de

anlisis de riesgo muy recomendable para la mayora de las organizaciones.
1.2.2.6 RECOMENDACIONES DE SEGURIDAD TI
Cualquiera de los enfoques anteriores debe proporcionar una serie de
recomendaciones para reducir los riesgos de seguridad a un nivel aceptable.
Estas recomendaciones han de ser aprobadas por la administracin y deben
incluir:
Los criterios para determinar los niveles aceptables de riesgo que los
sistemas de IT consideran,
La seleccin de las garantas que reduzcan los riesgos a un nivel

aceptable,
Los beneficios relacionados con la aplicacin de estas medidas de

seguridad, y la reduccin de riesgos alcanzados por las mismas, y
La aceptacin de los riesgos residuales que queden tras la implementacin

de todas estas garantas.
1.2.2.6.1 Seleccin de seguridades

Hay varios tipos de seguridades: las destinadas a prevenir, reducir, controlar,
detectar o corregir los incidentes no deseados, y las que permiten recuperarse de
ellas. La prevencin puede incluir la disuasin de acciones no deseadas y las
actividades que aumenten la conciencia de seguridad. Las principales reas,
donde las garantas son aplicables y se presentan algunos ejemplos para cada
rea:
El hardware (copia de seguridad, claves),
El software (firma electrnica, registro, herramientas anti-virus),
Comunicaciones (firewalls, encriptacin de datos),
44
Entorno fsico (vallas, placas),
El personal (la conciencia del personal, procedimientos para la solucin de

problemas de los empleados), y Administracin (autorizacin, disposicin
de control de licencias de hardware).
Las garantas no son independientes la una de la otra y con frecuencia trabajan

en combinacin. El proceso de seleccin debe considerar la garanta de las
interdependencias. Durante la seleccin de garantas, se debe comprobar que no
hay brechas restantes. Estas brechas permiten eludir las garantas existentes y no
detienen las amenazas que causan dao accidental.
Para los nuevos sistemas o cuando los cambios importantes se estn realizando
a los sistemas existentes, el hecho de garantizar la seleccin puede incluir una
arquitectura de seguridad. Una arquitectura de seguridad describe cmo los
requisitos de seguridad tienen que ser satisfechos por un sistema informtico, que
a su vez, sea parte de la arquitectura general del sistema. La misma se ocupa de
las cautelas tcnicas precisas, teniendo en cuenta los aspectos no tcnicos.
Todas las garantas requieren una gestin para garantizar un funcionamiento
eficaz y numerosas garantas necesitar el apoyo administrativo para su
mantenimiento. Estos factores deberan tenerse en cuenta durante el proceso de
seleccin de garantas.
Es importante que las garantas se apliquen eficazmente y sin causar un uso
indebido ni gastos de gestin. Si las garantas estn provocando cambios
significativos, su aplicacin debe estar vinculada a un programa de concienciacin
sobre la seguridad, la gestin de cambios y la configuracin de la gestin.
Aceptacin de Riesgo
Despus de la aplicacin de las garantas seleccionadas, siempre habr un riesgo
residual. Esto se debe a que ningn sistema puede ser absolutamente seguro, y a
que algunos activos se han dejado sin proteccin intencionalmente (por ejemplo,
debido al bajo riesgo asumido o a los altos costos de la proteccin recomendada
en relacin con el valor estimado del activo a proteger).
El primer paso del proceso de aceptacin del riesgo es la revisin de las garantas
seleccionadas para identificar y evaluar todos los riesgos residuales. El siguiente
paso consiste en clasificar los riesgos residuales entre los que se consideran
"aceptables" y los que son "inaceptables" para la organizacin.
45
Es obvio que no se pueden tolerar los riesgos inaceptables, por lo que las
garantas adicionales que limiten el impacto o las consecuencias de esos riesgos
deben ser considerados. En cada uno de estos casos, se debe hacer una decisin
de negocios. Ya sea que el riesgo o el costo de las garantas sea juzgado
"aceptable", esta situacin reduce el riesgo a un nivel aceptable.
1.2.2.7 SISTEMA DE POLTICAS DE SEGURIDAD TI
Las polticas desarrolladas por la seguridad del sistema deben estar basadas en
la poltica de seguridad corporativa y departamental. Estas polticas de seguridad
del sistema comprenden un conjunto de principios y normas para la proteccin de
los sistemas y servicios. Las polticas deben ser implementadas por la aplicacin
de las garantas adecuadas para los sistemas y servicios afn de asegurar que un
nivel adecuado de proteccin.
Las directivas del sistema de seguridad de TI deben ser aprobadas por la alta
direccin como establecen con carcter obligatorio los principios y normas que
garantizan que los recursos financieros y humanos estn comprometidos con su
aplicacin y cumplimiento.
Las cuestiones clave a considerar en la determinacin de la poltica de cada
sistema de seguridad de TI son:
Definicin de lo que se considerada sistema informtico y su lmite.
La definicin de los objetivos de negocio que se consiguen con el sistema,

ya que pueden tener un impacto en la poltica de seguridad para el sistema
y en la seleccin y aplicacin de las garantas.
Los impactos potenciales de negocios adversos:

o Falta de disponibilidad, la negacin o destruccin de los servicios o
bienes, incluyendo la informacin,
o La modificacin no autorizada de informacin o software, y
o La divulgacin no autorizada de la informacin, con consecuencias
cuantitativas, como la prdida de dinero directa o indirectamente, as
como las consecuencias cualitativas, tales como la prdida de clientela,
prdida o peligro para la vida, respeto a la privacidad personal, entre
otras.
Nivel de inversin en TI.
46
Una amenaza importante para el sistema de TI y la informacin que

maneja,
Vulnerabilidades, incluyendo el peligro de las amenazas identificadas y las

debilidades que deja el tema en el sistema de TI.
Garantas de seguridad necesarias, que son proporcionales a los riesgos

identificados.
Los costos de la seguridad informtica, es decir los gastos de la proteccin

de los activos de TI, el costo de la seguridad informtica debe ser
considerado como parte del costo de la propiedad del sistema informtico
Relacin con los principios de seleccin y para los proveedores de

subcontratacin (por ejemplo, centros de cmputo, el apoyo del PC).
La seguridad de TI necesita un enfoque planificado y no debe considerarse
de forma aislada, pues debera figurar en el proceso de planificacin
estratgica, lo que garantiza que la seguridad es planeada y diseada en el
sistema desde el principio. Aadir las garantas ms tarde, en la mayora
de las situaciones, ser ms costoso y menos prctico.
1.2.2.8 PLAN DE SEGURIDAD TI

Un plan de seguridad es un documento que define las acciones coordinadas para
llevar a cabo una poltica de seguridad de TI dentro de la organizacin. Este plan
debe contener las principales acciones que se emprendern en el corto, mediano
y largo plazos, y los costos asociados, en trminos de inversiones: costos de
operacin, la carga de trabajo, entre otras., y un calendario de aplicacin del
tiempo. Debe, en consecuencia, incluir:
Una arquitectura de seguridad global y su diseo,
Una breve resea del sistema de TI para mantener la coherencia con los
objetivos de seguridad de la organizacin, deber proteger e impedir que
se produzca un mximo de prdidas financieras, la vergenza, el deterioro
de la imagen de la empresa, entre otras.,
La identificacin de las garantas correspondientes a los riesgos evaluados,

se conserva y debe ser aprobada por la administracin,
Una evaluacin del nivel real de confianza en las garantas que incluye la
determinacin de su eficacia.
47
una descripcin general de la evaluacin de los riesgos residuales en el

contexto del sistema dado o de su aplicacin,
La identificacin y definicin de acciones prioritarias con sus respectivas

garantas con el fin de aplicarlas.
Un plan de trabajo detallado para la aplicacin de garantas, incluidos las

prioridades, el presupuesto y los horarios.
Las actividades de control de proyectos, que incluyan:
La comisin de recursos y asignacin de responsabilidades, y
La definicin de los procedimientos de los informes de progreso
La conciencia de seguridad y los requisitos de capacitacin para el

personal de TI y los usuarios finales
Requisitos para el desarrollo de operativos de seguridad y procedimientos

de administracin.
Adems, el plan debe incluir los procedimientos que definen las condiciones y
acciones para la validacin de cada uno de los puntos anteriores, incluyendo la
modificacin del propio plan.
1.2.2.9 IMPLEMENTACIN DE SEGURIDADES
Despus de haber establecido un plan de seguridad de TI, es necesario ponerlo
en prctica. Por lo general, el sistema oficial de seguridad de TI es responsable
de ello. Se deben tener en cuenta los objetivos durante la implementacin de
seguridad. Asimismo, debe asegurarse que:
El costo de las garantas permanezca dentro del rango aprobado.
Las garantas se ejecuten correctamente como lo exige el plan de

seguridad de TI.
Las garantas son operadas y administradas como lo requiere el plan de

seguridad de TI.
La
mayora
de
las
garantas
tcnicas
debe
complementarse
con
los
procedimientos operativos y administrativos, y no se pueden imponer por medios

puramente tcnicos. Por tanto, los procedimientos deben ser apoyados y
ejecutados por la lnea gerencial.
La concienciacin sobre la seguridad y la formacin tambin se consideran una
medida de garantas. Debido a su importancia, la conciencia de seguridad ser
48
estudiada ms adelante. Mientras que la conciencia de seguridad se aplica a todo

el personal, la formacin especfica de seguridad es necesaria para:
El personal responsable del desarrollo de sistemas de TI
El personal responsable de la operacin de los sistemas de TI
El proyecto de TI y los oficiales de seguridad del sistema
El personal responsable de la administracin de la seguridad, por

ejemplo, para el control de acceso.
El proceso formal para aprobar la aplicacin de las garantas especificadas en el

plan del sistema de seguridad de TI debe tener lugar, cuando la ejecucin del plan
de seguridad se ha completado. Cuando se obtenga la aprobacin es porque la
autorizacin est dada por el sistema informtico o servicio que se puso en
funcionamiento. El proceso de aprobacin, en algunas comunidades, se refiere a
la acreditacin del sistema de TI.
Cualquier cambio significativo en un sistema o servicio debe conducir a un nuevo
control, volver a comprobar y luego a la aprobacin del sistema o servicio.
1.2.2.10 IMPORTANCIA DE LA SEGURIDAD DEL CONOCIMIENTO
El programa de sensibilizacin de seguridad debe aplicarse en todos los niveles
de la organizacin, desde la alta direccin a los usuarios. Sin la aceptacin y
participacin del personal a nivel de usuario, el programa de concienciacin de
seguridad no puede tener xito. Los usuarios deben entender su importancia para
el xito del programa.
El programa de sensibilizacin debe pasar en el conocimiento de la poltica de
seguridad corporativa y asegurar una comprensin completa de las directrices de
seguridad y las acciones apropiadas. Adems, un programa de concienciacin de
seguridad debe cubrir los objetivos del plan de seguridad de la empresa. El
programa debe abordar al menos los siguientes temas:
Las necesidades bsicas de proteccin de la informacin.
Implicacin de los incidentes de seguridad para el usuario, as como la

organizacin.
Los objetivos detrs, y una explicacin de la poltica de seguridad de TI

corporativa y la estrategia de gestin de riesgos, lo que lleva a la
comprensin de los riesgos y medidas preventivas.
49
El plan de seguridad de TI para implementar y comprobar las garantas.
Clasificacin de la informacin
Las responsabilidades de los propietarios de los datos
Las responsabilidades, las descripciones de puestos y procedimientos
La necesidad de informar e investigar las violaciones de la seguridad o sus

intentos.
Las consecuencias de no actuar de una manera autorizada (incluyendo

acciones disciplinarias)
Verificar el cumplimiento de la seguridad
Gestin de cambios y configuracin.
Un efectivo programa de conciencia de la seguridad debe utilizar una amplia

variedad de medios de comunicacin, como folletos, manuales, afiches, videos,
boletines informativos, talleres, seminarios y conferencias. Es importante que la
aplicacin del programa de sensibilizacin considere los aspectos sociales,
culturales y psicolgicos y que se desarrolle una cultura que reconozca
plenamente la importancia de la seguridad.
La concienciacin sobre la seguridad debe preocupar a todos dentro de una
organizacin y debe influir en el comportamiento, y conducir a una mayor
responsabilidad de sus miembros. Un factor crtico es la gestin consciente de la
necesidad de la seguridad. Es parte del trabajo de los gerentes para garantizar la
concienciacin sobre seguridad por parte de su personal. Por tanto, tendr que
planificarse el presupuesto correspondiente. En el caso de las grandes
organizaciones, la responsabilidad de la conciencia de seguridad se le debe dar al
oficial de seguridad corporativa de TI.
El objetivo de un programa de sensibilizacin es convencer a las personas
afectadas que los riesgos significativos existen y que la prdida de informacin, o
la modificacin o divulgacin no autorizada, podra tener consecuencias
importantes para la organizacin y sus empleados.
Es preferible organizar sesiones de sensibilizacin relacionadas con el entorno de
la organizacin.
Algunos ejemplos relevantes se deben dar, es decir ejemplos de casos referidos a
la empresa, que sean fciles de entender y tengan un impacto mayor que los
50
casos denunciados por los medios de comunicacin. Estas sesiones tambin

proporcionan a los empleados mayores oportunidades para interactuar con el
instructor.
El cumplimiento del empleado de las garantas debe ser monitoreado para medir
el impacto de las sesiones de concienciacin sobre la seguridad y para evaluar el
contenido de la sesin. Si el resultado no es satisfactorio, el contenido de las
sesiones
de
concienciacin
sobre
la
seguridad
debe
modificarse,
en
consecuencia.
Las sesiones de
concienciacin
sobre la
seguridad
se
deben
repetir
peridicamente para actualizar tanto al personal existente cuanto para informar al

personal nuevo. Adems, cada nuevo empleado, cada persona recin transferida,
y cada empleado recin ascendido, deben ser instruidos en sus nuevas
responsabilidades. Tambin es aconsejable integrar en otros cursos los aspectos
de seguridad de TI. Se hace hincapi en que la conciencia de seguridad es un
proceso continuo y nunca puede ser considerado como completo.
Dado que el proceso de concienciacin de la seguridad es un proceso abierto
permanentemente a su continuidad es necesario establecer un mecanismo de
seguimiento para medir su grado de cumplimiento y de eficacia y as permitir,
incluso
los
reajustes
sustantivos
y de
procedimiento
al programa
de
concienciacin.
1.2.2.11 SEGUIMIENTO
Todas
las
seguridades
requieren
mantenimiento
para
garantizar
su
funcionamiento y seguir funcionando de una manera predecible y adecuada. Este

aspecto de la seguridad es uno de los ms importantes, pero por lo general
recibe la menor atencin. Muy a menudo, el sistema o servicio que ya existe y de
seguridad, se aade en el ltimo momento y luego se olvida. Hay una tendencia
a ignorar las salvaguardias que se han implementado y lo mejor de los casos, se
presta poca atencin al mantenimiento o la mejora de la seguridad. Por otra
parte, la obsolescencia de las salvaguardias deben ser descubiertos por las
acciones planificadas ms que tropez. Adems, el cumplimiento de control de
seguridad, el control de la entorno operativo, revisiones de registro de registro y
51
manejo de incidentes tambin son necesarias para garantizar de seguridad en

curso.
1.2.2.11.1 Mantenimiento
El mantenimiento de las salvaguardias, que incluye la administracin, es una
parte esencial de un
programa de seguridad de la organizacin.
Es
responsabilidad de todos los niveles de gestin para asegurar que:
Los recursos se asignan de la organizacin para el mantenimiento de las

garantas, Salvaguardias Peridicamente se re-validada para asegurarse
de que siguen para llevar a cabo segn lo previsto,
Garantas se actualizan cuando se descubren nuevas necesidades,
La responsabilidad para el mantenimiento de las garantas est claramente

establecida,
Modificaciones en el hardware y el software y las actualizaciones a un

sistema de TI no cambian el intencin de rendimiento de las garantas
existentes, y
Avanzar
en
la
tecnologa
no
introduce
nuevas
amenazas
vulnerabilidades.
Cuando las actividades de mantenimiento se llevan a cabo se ha descrito

anteriormente, las garantas existentes seguir para llevar a cabo segn lo
previsto y negativos impactos costosos evitarse.
1.2.2.11.2 Cumplimiento y Seguridad

Comprobacin de cumplimiento de la seguridad, tambin conocida como auditora
de seguridad o revisin de la seguridad es un muy actividades importantes que
se utilizan para asegurar la conformidad y el cumplimiento del sistema de
seguridad de TI plan.
Para asegurarse de que el nivel adecuado de seguridad de TI sigue siendo
eficaz, es esencial que implemente garantas para cumplir, y seguir ajustndose,
con las garantas especificadas en el proyecto o plan de seguridad del sistema de
TI. Para todos los proyectos de TI y los sistemas de esto debe ser cierto en:
Diseo y desarrollo,
La vida til, y
La sustitucin o eliminacin.
52
El cumplimiento de los controles de seguridad puede realizarse utilizando

personal externo o interno (por ejemplo, auditores) y se basan fundamentalmente
en el uso de listas de control en relacin con el proyecto de TI o el sistema
poltica de seguridad.
Comprobacin de cumplimiento de la seguridad debe ser planificada e integrada
con otras actividades previstas.
Controles sobre el terreno son especialmente tiles para determinar si el personal
de apoyo operativo y de los usuarios son conformes con los controles de
salvaguardias especficas y los procedimientos.
Los cheques deben hacerse para asegurar que las medidas de seguridad
correctas sean implementadas, se aplica correctamente, se usa correctamente y,
en su caso, la prueba.
Donde algunas garantas
se encuentran a no ser
conformes de seguridad, un plan de accin correctiva debe ser producido, que se

activa, y los resultados revisados.
1.2.2.11.3 Monitoreo
El monitoreo es una parte crucial del ciclo de seguridad de TI. Si se lleva a cabo
correctamente, se le da al encargado de la gestin una visin clara de:
Lo que se ha logrado en comparacin con las metas y los plazos

establecidos.
Si los logros son satisfactorios y las decisiones especficas se lograron.
Todos los cambios en los activos, las amenazas, vulnerabilidades y salvaguardas

podran tener un impacto significativo efecto sobre los riesgos y la deteccin
temprana de los cambios de los permisos de las medidas preventivas a adoptar.
Muchas medidas de produccin de los registros de la produccin de eventos de
seguridad pertinentes. Estos registros deben, en un mnimo, de forma peridica
visto, y si es posible analizar mediante tcnicas estadsticas que permitan la
deteccin temprana de los cambios de tendencia, y la deteccin de eventos
adversos recurrentes. El uso de la registros slo para el anlisis posterior al
evento es hacer caso omiso de un mecanismo de salvaguardia potencialmente
muy poderosa.
Incluir tambin a los procedimientos para informar al agente de seguridad de TI
relevantes y a la gestin sobre una base regular.
53
1.2.2.11.4 Manejo de Incidentes

Es inevitable que los incidentes de seguridad se producirn. Cada incidente debe
ser investigado a profundidad acorde con el dao causado por el incidente.
Manejo de incidentes proporciona una capacidad de reaccionar a la interrupcin
accidental o deliberada de la operacin normal del sistema de TI.
En
consecuencia, una notificacin de incidentes y el plan de investigacin deben ser

desarrollados, que es adecuado para el conjunto de los sistemas de TI de la
organizacin y servicios.
Adems, se debe considerar al Inter- esquemas de
organizacin de informacin para obtener una visin ms amplia de la ocurrencia

de los incidentes de seguridad y las amenazas relacionadas, y sus efectos
asociados sobre los activos de TI y operaciones de negocio.
Los objetivos fundamentales durante la investigacin de incidentes de seguridad
de TI son:
reaccionar a un incidente de una manera sensata y eficaz, y
aprender de los incidentes para que los futuros eventos adversos similares
pueden ser excluidos.
Un plan preparado de acciones predefinidas con las decisiones que permiten a

una organizacin para reaccionar en tiempo razonable para limitar an ms los
daos y en su caso continuar con el negocio reducido con medios auxiliares. Un
plan para el manejo de incidentes debe incluir la exigencia de una relacin
cronolgica documentacin de todos los eventos y acciones, lo que debera
conducir a la identificacin de la fuente del incidente.
Esta es una condicin
previa para alcanzar el segundo objetivo, es decir, para reducir el riesgo futuro la
mejora de las garantas. Un efecto positivo de un incidente es que aumenta la
disponibilidad para invertir en garantas.
Es importante que un anlisis de incidentes sea ejecutado y documentado, se
deben incluir las siguientes preguntas:
Qu ha sucedido, y en qu momento?
El personal de seguir el plan?
Fue la informacin requerida a disposicin del personal a tiempo?
Cul sera el personal se propone hacer de manera diferente la prxima

vez?
54
La respuesta a estas preguntas le ayudar a comprender el incidente. Esto a su

vez se debe utilizar para reducir los riesgos mediante la mejora de las
correspondientes polticas de seguridad y planes (por ejemplo, mejorar la
seguridad- guardias, reducir la vulnerabilidad y la adaptacin del programa de
sensibilizacin de seguridad).
55
2 PLAN DE SEGURIDAD DE LA INFORMACIN

2.1 CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN
DE SEGURIDAD INFORMTICO
El desarrollo del plan de seguridad de la informacin aplicado en el caso de
estudio est orientado a servir como una gua para las organizaciones
desarrolladoras de software, proporcionndole las directrices necesarias para la
gestin de su seguridad informtica, y permitir conocer como se gestiona
actualmente.
El plan se basar en la Norma ISO/IEC 13305, considerando las cinco partes de
este estndar como las directrices que fundamentaran el desarrollo del plan
tomando en cuenta las versiones actuales de las partes de este estndar y en los
estndares que reemplazaron algunas de estas partes.
El presente plan tratara de ser lo ms genrico posible para abarcar a las
pequeas y medianas organizaciones de desarrollo de software que posean una
infraestructura en Tecnologas de Informacin con un trfico de informacin
considerable, basndose en los problemas o deficiencias reales de nuestro medio
con respecto a la seguridad de la informacin. El plan se aplicar y validar a una
empresa mediana de desarrollo de software la cual ser el caso de estudio
especfico.
El presente plan procura servir de ayuda para que las organizaciones de
desarrollo de software puedan realizar un correcto anlisis del manejo de la
seguridad de la informacin y a su vez aportar a la seguridad que debera tener su
infraestructura,
de
manera
que
puedan
brindar
seguridad,
continuidad,
confiabilidad y servicio de calidad.
2.2 ELABORACIN DEL PLAN DE SEGURIDAD INFORMTICA

De acuerdo a las consideraciones mencionadas anteriormente se definir una
introduccin, alcance y objetivos, para luego continuar con el desarrollo del plan
de seguridad informtica.
56
2.2.1 INTRODUCCIN
El acelerado crecimiento que tienen las empresas de desarrollo de software hace
imprescindible el uso de Sistemas Informticos, y la definicin de planes de
Seguridad Informtica para salvaguardar su principal bien. Por tal motivo se ven
en la necesidad de usar estndares para definir y aplicar los Planes de Seguridad.
En este caso se plantea el uso de ISO 13335 que abarca procesos y definiciones
de estndares ya conocidos como ISO 17799, ISO 27000 entre otros.
El propsito de desarrollar un plan de seguridad informtica es que sirva de gua
para gestionar adecuadamente la informacin, adems da pautas de las
prioridades para manejar los riesgos de seguridad de la informacin.
El plan de seguridad informtica se debe aplicar tomando en cuenta la estructura
organizacional, el tamao y objetivo de la misma y el tipo de informacin
manejada por la misma.
Se debe tomar en cuenta que la implementacin de un plan de seguridad
informtica requiere grandes recursos, por ello las organizaciones que lo
implementen deben estar conscientes sobre sus razones para implementarlo. La
razn debe estar documentada con los costos y los beneficios que esta
implementacin supondr.
2.2.2 ALCANCE DEL PLAN
El alcance del plan depender totalmente de la organizacin a la que se aplique,
puede abarcar a toda la empresa, uno o varios departamentos, un proceso de la
organizacin o simplemente a un sistema de TI.
Luego de determinar el alcance se debe identificar los activos de informacin que
sern la parte esencial del plan ya que en base a estos se seleccionaran y
definirn las polticas de seguridad.
2.2.3 POLTICAS DE SEGURIDAD INFORMTICA
Una vez que se tiene claro el alcance, la empresa define las polticas de
seguridad para empezar la implementacin del plan de seguridad de la
informacin en la empresa.
57
En base al alcance que se haya definido, ya sea el gerente o el jefe del

departamento o el administrador del sistema de TI deben aprobar las polticas, y
asegurarse que estas se hayan difundido a todos los involucrados, se haya
entendido su efecto y se las lleve a cabo.
2.2.4 ENFOQUE PARA LA GESTIN DEL RIESGO
Dentro de los 3 tipos de enfoque que se pueden aplicar en base al estndar
13335 que se expusieron en el punto 1.2.2.5 se debe asegurar que el enfoque
seleccionado sea el apropiado para atender los requerimientos de la organizacin.
Se debe detallar claramente el clculo del riesgo para que atienda a los
requerimientos de la organizacin y objetivamente en base al alcance que se
haya definido ya que un enfoque muy genrico podra subestimar aspectos de
riesgos importantes y por otra parte el exceso de detalles podra tornarse en un
exceso de trabajo innecesario.
Se debe plantear un equilibrio entre la confidencialidad, disponibilidad e
integridad, ya que por ejemplo si la informacin de un computador est protegida
por demasiadas contraseas difciles de recordad o la persona que conoce las
contraseas de la informacin no se encuentra, se pierde la disponibilidad; en
cambio si esta informacin no tiene ninguna contrasea o seguridad y es
accesible por cualquier persona, se pierde confidencialidad.
2.2.5 PROCESO DE CLCULO DE RIESGO
El proceso del clculo del riesgo de seguridad informtica para la organizacin
incluye el anlisis y la evaluacin del riesgo.
2.2.5.1 ANLISIS DE RIESGO
Para el anlisis del riesgo se deben realizar las siguientes actividades:
Identificar los activos
Identificar requerimientos legales y comerciales que sean relevantes para

los activos identificados
Tasar los activos identificados considerando los requerimientos legales y

comerciales, as como los impactos resultantes de una perdida por
confidencialidad, integridad y disponibilidad
Identificar amenazas y vulnerabilidades para cada activo identificado
58
Calcular la posibilidad de que las amenazas y vulnerabilidades ocurran
2.2.5.2 EVALUACIN DEL RIESGO

Para el anlisis del riesgo se deben realizar las siguientes actividades:
Calcular el riesgo
Identificar el significado de los riesgos. Esta actividad se debe realizar

definiendo criterios y evaluando los riesgos en base a una escala que se
haya definido.
2.2.6 ANLISIS DEL RIESGO

2.2.6.1 IDENTIFICACIN DE ACTIVOS
Identificar los activos de informacin de la organizacin, que estn dentro del
alcance definido, ser el punto clave para la implementacin de un plan de
seguridad de informacin, ya que en base a estos se definirn las polticas de
seguridad.
Los activos de informacin son muy amplios por lo cual comprender claramente
que es un activo de informacin es fundamental para realizar el correcto anlisis y
evaluacin de los riesgos sobre el mismo.
Segn el estndar ISO 27005:2008 los activos de informacin se clasifican en las
siguientes categoras:
Activos de Informacin (datos, manuales de usuario, entre otros.)
Documentos de papel (contratos, acuerdos de confidencialidad, licencias,

entre otras.)
Activos de software (aplicaciones, software de sistemas, componentes,

entre otras.)
Activos fsicos (computadores, medios magnticos, equipos de hardware,

entre otras.)
Personal (clientes, empleados)
Imagen de la compaa
Servicios (comunicaciones, entre otras.)
El o los encargados de realizar la identificacin y tasacin de activos deben ser

personas que estn involucradas con los procesos que se encuentran dentro del
alcance definido para la aplicacin del plan, as como tambin los responsables
59
de los activos deben apoyar al momento de realizar la identificacin y tasacin de

los activos de informacin
2.2.6.2 IDENTIFICACIN
DE
REQUERIMIENTOS
LEGALES
COMERCIALES
Al momento de identificar los activos de informacin se debe analizar los
requerimientos contractuales de los activos para saber si existen requerimientos
legales o comerciales sobre estos activos identificados y de ser el caso se debe
revisar si dichos requerimientos legales involucran a otros activos de informacin.
2.2.6.3 TASACIN DE ACTIVOS
Una prctica comnmente utilizada al momento de realizar la tasacin de activos
es planteando la pregunta Cmo una falla o perdida en un activo especifico
afectan a la confidencialidad, la integridad y la disponibilidad?, para esto se debe
establecer una escala del 1 al 5, en la cual 1 significa muy poco y 5 significa
muy alto.
A continuacin en la tabla 2.1 se presenta un ejemplo de la tasacin de activos de
informacin.
Activos de
Confidencialidad
Integridad
Disponibilidad
Promedio
instalacin
Equipo de trabajo
telefnico
Tcnico
informacin
Administrador de
base de datos
Archivos de
configuracin
Base de
informacin
Discos de
Sistema
Tabla 2.1 Tasacin de activos de informacin

Fuente: Elaborada por la autora
60
Seguido de esto se debe realizar la identificacin de los propietarios de cada uno

de los activos identificados como muestra el ejemplo de la tabla 2.2.
Activos de informacin
Propietarios
Administrador de base de datos Software

Archivos de configuracin
Tecnologa
Base de informacin
Software
Discos de instalacin
Tecnologa
Equipo de trabajo
Servicios profesionales
Sistema telefnico
Administracin
Tcnico
Servicios profesionales
Tabla 2.2 Activos de Informacin y propietarios
Fuente: Elaborada por la autora
Como se mencion anteriormente es recomendable que el responsable o

propietario del activo de informacin se encargue de definir en los activos de
informacin los siguientes elementos:
la clasificacin de seguridad
los derechos de acceso a los activos
establecer los sistemas de control
las reglas para el uso del activo describiendo:

o acciones permitidas y
o acciones prohibidas en el uso cotidiano
2.2.6.4 IDENTIFICACIN DE AMENAZAS Y VULNERABILIDADES

Todos los activos identificados en una organizacin estn propensos a las
amenazas, las amenazas pueden clasificarse de varias formas de acuerdo a su
origen, su naturaleza, entre otras.
2.2.6.4.1 Clasificacin de las amenazas
Entre los tipos de clasificacin de las amenazas la ms recomendable es de
acuerdo a su naturaleza ya que esto facilita la ubicacin de la amenaza.
61
Amenaza
Ejemplo de amenaza
Amenaza
Inundaciones,
natural
tormentas, incendios forestales, entre otras.
tsunamis,
maremotos,
sismos,
tornados,
Amenazas a Fuego, explosin, perdida de energa, falla mecnica, dao por

instalaciones
agua, entre otras.
Amenazas
Huelgas, epidemias, problemas de transporte, perdida de
humanas
personal clave
Amenazas
Virus, hacking, perdida de datos fallas de hardware y software,
tecnolgicas
fallos de red, entre otras.
Amenazas
Crisis financiera, perdida de proveedores, falla de productos,
operacionales mala publicidad, entre otras.

Amenazas
Vandalismo, motines, protestas, sabotaje, violencia laboral,
sociales
entre otras.
Tabla 2.3 Clasificacin de amenazas
Fuente: Varios autores
Como se aprecia en la tabla 2.3, las amenazas pueden originarse de fuentes

accidentales o deliberadas, y para que cause dao a los activos de informacin
tendra que afectar una o ms vulnerabilidades.
Una vez identificadas las amenazas, se debe evaluar su posibilidad de ocurrencia.
La medicin de ocurrencia debe hacerla un grupo que tenga conocimiento de la
naturaleza de la amenaza y pueda consultar las estadsticas respectivas.
Se recomienda utilizar la Escala de Likert para medir la posibilidad de ocurrencia,
sus significados se muestran en la tabla 2.4.
Valor Significado
1
Muy bajo
Bajo
Medio
Alto
Muy alto
Tabla 2.4 Escala de Likert

Fuente: Dr. Likert
En este punto, la empresa debe tomar decisiones importantes en relacin con el

anlisis de las amenazas. La decisin sobre cules amenazas se descartan por
62
su baja probabilidad de ocurrencia debe revisarse con detenimiento. Puede ocurrir

que la amenaza con menor probabilidad de ocurrencia tenga las consecuencias
ms severas para la empresa.
2.2.6.4.2 Clasificacin de las Vulnerabilidades
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
informacin de una organizacin.
Las
vulnerabilidades
organizacionales
son
debilidades
en
las
polticas
organizacionales o prcticas que pueden resultar en acciones no autorizadas

Las vulnerabilidades NO causan dao, simplemente son condiciones que pueden
hacer que una amenaza afecte a un activo.
Las vulnerabilidades pueden clasificarse como:
Seguridad de los recursos humanos (falta de entrenamiento en seguridad,

carencia de toma de conciencia en seguridad, falta de mecanismos de
monitoreo,
falta
de
polticas
para
el
uso
correcto
de
las
telecomunicaciones, no eliminar los accesos al trmino del contrato de

trabajo, carencia de procedimientos que aseguren la entrega de activos al
trmino del contrato de trabajo, empleados desmotivados).
Control de acceso (segregacin inapropiada de redes, falta de poltica

sobre escritorio y pantalla limpia, falta de proteccin al equipo de
comunicacin mvil, poltica incorrecta para control de acceso, claves sin
modificarse).
Seguridad fsica y ambiental (control de acceso fsico inadecuado a

oficinas, salones y edificios, ubicacin en reas sujetas a inundaciones,
almacenes desprotegidos, carencia de programas para sustituir equipos,
mal cuidado de equipos, susceptibilidad de equipos a variaciones de
voltaje).
Gestin de operaciones y comunicacin (complicadas interfaces para

usuarios, control de cambio inadecuado, gestin de red inadecuada,
carencia de mecanismos que aseguren el envo y recepcin de mensajes,
carencia de tareas segregadas, carencia de control de copiado, falta de
proteccin en redes pblicas de conexin).
63
Mantenimiento, desarrollo y adquisicin de sistemas de informacin

(proteccin inapropiada de llaves criptogrficas, polticas incompletas para
el uso de criptografa, carencia de validacin de datos procesados,
carencia de ensayos de software, documentacin pobre de software, mala
seleccin de ensayos de datos).
Una vez identificadas las vulnerabilidades, por cada una de ellas, se debe evaluar
la posibilidad de que sean explotadas por la amenaza. Se recomienda utilizar la
escala de Likert para medir la posibilidad de ocurrencia, donde 1 significa muy
bajo y 5 significa muy alto como se muestra en la tabla 2.4.
Para que un activo pueda ser afectado, es necesario que la vulnerabilidad y la
amenaza se presenten en ese activo. La pregunta fundamental es: Qu
amenaza pudiese explotar cul de las vulnerabilidades?
Entre las amenazas, existen las vulnerabilidades, los riesgos y los activos de
informacin, una secuencia de relacin de causalidad y probabilidad de
ocurrencia. En la Ilustracin 2.1 se muestra la relacin causa-efecto entre activos,
riesgo, vulnerabilidad y amenaza.
En algn momento previo al inicio de las actividades del clculo del riesgo, o
antes de identificar las amenazas y vulnerabilidades, deben identificarse los
controles ya existentes en el sistema para medir su eficacia. Un control ineficaz es
una vulnerabilidad.
Amenaza
Causa
Vulnerabilidad
Probabilidad
Riesgo
Activos de
Informacin
Efecto
Ilustracin 2.1 Relacin causa-efecto entre elementos del anlisis de riesgo

Fuente: ISO 27001: 2005
2.2.6.5 CLCULO DE LAS AMENAZAS Y VULNERABILIDADES

Una vez identificadas las amenazas y vulnerabilidades es necesario calcular la
posibilidad de que puedan juntarse y causar un riesgo. El riesgo se define como:
La probabilidad de que una amenaza pueda explotar una vulnerabilidad en
particular; este clculo se realiza en base a la escala de Likert indicada en la
tabla 2.4.
64
Es muy conveniente calcular la posibilidad de la presencia de amenazas; para

este fin se deben considerar los siguientes aspectos de las amenazas:
Amenazas deliberadas.- La posibilidad de amenazas deliberadas en la
motivacin, conocimiento, capacidad y recursos disponibles para posibles
atacantes y la atraccin de los activos para sofisticados atacantes.
Amenazas accidentales.- La posibilidad de amenazas accidentales puede
estimarse utilizando la experiencia y la estadstica.
Incidentes del pasado.- Los incidentes ocurridos en el pasado ilustran los
problemas en el actual sistema de proteccin.
Nuevos desarrollos y tendencias.- Esto incluye informes, novedades y
tendencias obtenidas de diferentes medios, como Internet.
2.2.6.6 ANLISIS DEL RIESGO Y SU EVALUACIN
El anlisis del riesgo ayuda a identificar y calcular los riesgos basados en la
identificacin de los activos, y en el clculo de las amenazas y vulnerabilidades.
Los riesgos se calculan de la combinacin de los valores de los activos, que
expresan el impacto de prdidas por confidencialidad, integridad y disponibilidad y
del clculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se
junten y causen un incidente. (Tabla 2.5)
Los niveles de riesgo calculados sirven para poder priorizar e identificar los ms
problemticos.
Impacto
de la
amenaza
3
Probabilidad
de
ocurrencia
5
Medicin
del
riesgo
15
Software Falla de Energa
Tcnico
Accidente
Tcnico
Venta
16
Activo
Amenaza
Software Virus
de
Priorizacin
2
informacin
Tabla 2.5 Mtodo para el clculo del riesgo
Fuente: Elaborado por la autora
El mtodo que se utiliza en el presente trabajo consiste en relacionar los factores

del impacto de la amenaza y la probabilidad de ocurrencia de la amenaza. El
primer paso consiste en evaluar el impacto econmico de la amenaza; usando
65
una escala predefinida, se recomienda una escala de Likert, donde 1 es muy bajo
y 5 es muy alto como se muestra en la tabla 3.2
El paso siguiente consiste en utilizar la misma escala para medir la posibilidad de
ocurrencia de la amenaza. El tercer paso consiste en calcular la medicin del
riesgo, multiplicando los valores obtenidos del impacto econmico de la amenaza
y el de la posibilidad de ocurrencia de la amenaza. Finalmente, las amenazas
pueden ser priorizadas en orden, con base en su factor de exposicin al riesgo.
2.2.6.6.1 Evaluacin del Riesgo
Para realizar la evaluacin del riesgo, se debe determinar cules son aquellas
amenazas cuyos riesgos son los ms relevantes.
Para determinar los ms relevantes, se utiliza la escala de Likert (tabla 2.4) y los
siguientes criterios:
Impacto econmico del riesgo.
Tiempo de recuperacin de la empresa.
Posibilidad real de ocurrencia del riesgo.
Posibilidad de interrumpir las actividades de la empresa.
En la Tabla 2.6 se ilustra la forma en que se debe evaluar el significado del riesgo.
Amenazas
Activos
Riesgo
Criterio para evaluar la importancia del riesgo

Impacto
Tiempo de
Probabilidad
Probabilidad
econmico
recuperacin
de
de interrumpir
del riesgo
de la empresa
ocurrencia
actividades de
del riesgo
la empresa
TOTAL
Tabla 2.6 Escala de riesgo para evaluar significado del riesgo

2.2.6.7 2.2.6.7 TRATAMIENTO DEL RIESGO Y EL PROCESO DE TOMA DE

DECISIN GERENCIAL
Una vez efectuados el anlisis y la evaluacin del riesgo, se debe decidir las
acciones a tomar con esos activos.
2.2.6.7.1 Proceso de toma de decisiones
Cuando se ha calculado el riesgo, se debe iniciar un proceso de toma de
decisiones para determinar qu va a ocurrir con el riesgo, la decisin est
66
principalmente influenciada por los objetivos de la organizacin pero por lo

general siempre est ligada con estos dos factores:
El posible impacto si el riesgo se pone de manifiesto
Que tan frecuente puede suceder
2.2.6.7.2 Estrategias Posibles para el Tratamiento del Riesgo

2.2.6.7.3 Reduccin del Riesgo
Si la decisin de reducir el riesgo fue elegida, es importante determinar con
exactitud los controles que permiten cumplir con esta decisin. Los controles
reducen el riesgo de dos maneras:
Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la

amenaza.
Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos

no deseados, reaccionando y recuperndose de ellos.
No existe un mtodo general para seleccionar objetivos de control y controles.

Este
proceso
involucra
numerosas
decisiones
consultas,
usualmente
discusiones con distintas partes de la organizacin y con un determinado nmero

de personas clave. En fin, la seleccin de los controles debe producir un resultado
que ms se adece a la organizacin en trminos de sus requerimientos.
2.2.6.7.4 Objetivamente Aceptar el Riesgo
Algunas veces se presenta el caso en el cual la organizacin no encuentra
controles para mitigar el riesgo, y en la mayora de estas ocasiones la
implantacin de los controles tiene un costo mayor que las consecuencias del
riesgo. Con este panorama, la decisin de aceptar el riesgo es la ms adecuada.
Se debe documentar la aceptacin del riesgo y definir el criterio de aceptacin. La
gerencia debe aprobar y firmar la decisin de aceptacin del riesgo.
2.2.6.7.5 Transferencia del Riesgo
Cuando se presenta la situacin en la cual es difcil reducir o controlar el riesgo a
un nivel aceptable se puede transferir el riesgo a una tercera parte.
Se puede utilizar una aseguradora para la transferencia del riesgo, pero se debe
tener mucho cuidado con el riesgo residual. El contrato con las empresas
67
aseguradoras siempre tendr exclusiones y condiciones que se aplicarn de

acuerdo con la clase de ocurrencia.
Se debe analizar la transferencia del riesgo a la aseguradora para determinar
cunto del riesgo actual ser transferido; en muchas ocasiones, las empresas
aseguradoras no eliminan inmediatamente un suceso.
Si se utiliza la tercerizacin para que se manejen activos, se debe recordar que la
responsabilidad siempre est en la misma organizacin y no en la prestadora de
servicios.
2.2.6.7.6 Evitar el Riesgo
Por evitar el riesgo se entiende cualquier accin orientada a cambiar las
actividades, o la manera de desempear una actividad comercial en particular.
El riesgo puede evitarse por medio de:
No desarrollar ciertas actividades comerciales (la no utilizacin de Internet)
Mover los activos de un rea de riesgo
Decidir no procesar informacin crtica.
Se presenta en forma esquemtica el proceso de toma de decisiones para elegir

una opcin de tratamiento del riesgo (Ilustracin 2.2).
68
Opcin de
reduccin del
riesgo
Es
economicamente
factible implantar
los controles?
Se puede
presindir de los
procesos
involucrados en
este activo?
Los controles
permiten reducir
el riesgo a
niveles
aceptables
Opcin de
tranferencia del
riesgo
Implantar los
controles
Opcin de
aceptacin del
riesgo
Opcin de evitar
el riesgo
Ilustracin 2.2 Proceso de toma de decisiones para el tratamiento del riesgo

2.2.7 RIESGO RESIDUAL

El riesgo residual es el riesgo permanente que siempre est presente al
implementar las decisiones del tratamiento del riesgo. Puede ser difcil de calcular
pero al menos debe realizarse una evaluacin para asegurar que logra la
proteccin suficiente.
Si es inaceptable tener riesgo residual, deben tomarse decisiones para resolverlo.
Se puede aplicar ms controles, establecer arreglos con aseguradoras para lograr
reducir el riesgo a niveles aceptables.
En algunas situaciones, el reducir el riesgo a niveles aceptables puede no ser
posible o representar un costo exageradamente elevado. En este caso, se
aplicara la estrategia de aceptacin del riesgo.
69
La gerencia debe aprobar los riesgos residuales propuestos, y efectuar

evaluaciones a intervalos planeados, y revisar el nivel de riesgo residual y de
riesgo aceptable identificado.
2.2.8 SELECCIONAR OBJETIVOS DE CONTROL Y CONTROLES PARA EL
TRATAMIENTO DE RIESGOS
Una vez identificados los procesos de tratamiento del riesgo y haberlos evaluado,
se debe decidir qu objetivos de control y controles se van a implementar.
La seleccin de objetivos de control y controles debe hacerse tomando en cuenta
el criterio establecido para la aceptacin del riesgo, as como los requerimientos
legales, reguladores y contractuales.
2.2.9 PREPARACIN DE LA DECLARACIN DE APLICABILIDAD
La declaracin de aplicabilidad es un documento importante del Plan de seguridad
de la informacin, que debe incluir los objetivos de control y controles que sern
aplicados y los que sern excluidos. La declaracin de aplicabilidad da la
oportunidad a la empresa de que asegure que no ha omitido algn control.
70
Objetivos
de control
Documento
Poltica de Seguridad de Informacin
Aplicabilidad
Controles
de
Polticas
SI
de
Seguridad Informtica
Es
necesario
establecer polticas
de
seguridad,
revisarlas
peridicamente.
Se
Revisin de las Polticas de
debe
revisar
peridicamente
estas
polticas
para asegurar que

se
mantengan
adecuadas
Compromiso de la Direccin con
la Seguridad de la Informacin
Coordinacin de la Seguridad
Informtica
Asignacin de responsabilidades
para la Seguridad Informtica
Organizacin Interna
Justificacin
NO
X
X
X
Es necesario tener
Proceso de autorizacin para los
controles
servicios de procesamiento de
informacin
Acuerdos sobre confidencialidad
Contacto con las autoridades
Contactos con grupos de inters
especiales
Revisin independiente de la
Documento
de
polticas
de
polticas
para
el
manejo
de
la
Seguridad
de
la
Informacin dentro
de la organizacin
X
X
Tabla 2.7 Ejemplo de declaracin de aplicabilidad de un proceso

En la Tabla 2.7 se presenta un ejemplo de enunciado de aplicabilidad.
71
2.2.9.1 PLAN DE TRATAMIENTO DEL RIESGO

Una vez establecido el tratamiento del riesgo, se debe identificar y planear las
actividades. Cada actividad de implementacin debe ser identificada con claridad
y descomponerse en sub actividades para poder distribuir a las personas.
Las actividades que se consideran fundamentales para formular el plan de
tratamiento del riesgo son:
Identificar, con la precisin requerida, los factores limitadores del proyecto

y establecer la estrategia para debilitarlos.
Establecer las prioridades del proyecto.
Identificar con claridad las fechas de entrega, lo mismo que los hitos del
proyecto.
Estimar los requerimientos de recursos y a la vez identificar los recursos.
Identificar la ruta crtica del proyecto.
2.2.9.2 MANTENIMIENTO Y MONITOREO DEL PLAN DE SEGURIDAD DE

LA INFORMACIN
Todo proyecto debe ser revisado con regularidad, de igual forma ocurre con los
objetivos de control y controles que se implementan. Como se sabe, a medida
que transcurre el tiempo, los servicios o mecanismos se deterioran, por ello, el
monitoreo tiene el propsito de detectar el deterioro e iniciar las acciones
correctivas de lugar.
Como actividades de monitoreo y mantenimiento se tienen:
Detectar los eventos de seguridad, y evitar as los incidentes de seguridad,

al utilizar los indicadores.
Determinar si las acciones tomadas son efectivas para resolver una

violacin de seguridad.
Establecer criterios para medir la efectividad de los controles para verificar

que se hayan cumplido los requerimientos de seguridad.
Revisar las evaluaciones del riesgo a intervalos planeados, y revisar el

nivel del riesgo residual y el riesgo aceptable identificados.
Realizar auditoras internas a intervalos planeados.
Realizar revisiones gerenciales del plan para asegurar que el alcance es el

adecuado.
72
2.2.9.3 REVISIN DE LOS RIESGOS Y EVALUACIN

Se deben revisar los resultados del anlisis y la evaluacin del riesgo para
visualizar cualquier modificacin.
La constante evolucin de la empresa y la tecnologa hace que surjan nuevos
activos de informacin o sean alterados los ya existentes.
Las revisiones en la organizacin, medicin de la eficacia de los controles y la
aparicin de nuevas amenazas y vulnerabilidades puede afectar el escenario de
los riesgos.
Existen numerosas fuentes que pueden ocasionar la aparicin de nuevos riesgos,
cuando se detecta el nuevo riesgo se debe recalcular e identificar las alteraciones
en las opciones de tratamiento del mismo, as como las modificaciones
pertinentes en los objetivos de control y controles determinados y documentados.
73
3 VALIDACIN DEL PLAN DE SEGURIDAD EN UN CASO

DE ESTUDIO
3.1 DESCRIPCIN DEL CASO DE ESTUDIO
3.1.1 SELECCIN
Se ha elegido la empresa IDEBSYSTEMS como caso de estudio para validar el
plan de seguridad de la informacin ya que en esta Empresa no se lo ha aplicado
anteriormente. Si bien se cuenta con un Jefe de Sistemas con conocimiento en
cuanto al manejo de la gestin de seguridad que fue una de las causas para la
eleccin de la empresa para tener una retroalimentacin hacia la validacin del
plan, no se lo ha realizado previamente como un proceso formal de gestin de
seguridad en la empresa, ya que no se le ha prestado la atencin necesaria por
enfocarse en los objetivos del negocio.
Datos caso de estudio
Empresa
IDEBSYSTEMS CIA. LTDA.
Direccin
10 de Agosto N26-117 y Vicente Aguirre
Facilitador Ing. Jorge Ponce

Tabla 3.1 Datos del caso de estudio
3.1.2 DESCRIPCIN DE LA EMPRESA

La compaa tiene por objeto y finalidad, el desarrollo, distribucin y venta de
sistemas de informacin. La compaa, adems realizar actividades de
comercializacin,
instalacin
configuracin
de
equipos
informticos.
Desde sus inicios, IDEBSYSTEMS ofrece sus servicios analticos conjuntando

calidad tcnica con amabilidad y profesionalismo.
Los campos de actividad profesional son:
Aplicaciones Web
Intranets
Portales Web con Servicio de Host
74
3.1.3 MISIN
Somos un equipo de Profesionales calificados y comprometidos con la
satisfaccin total del cliente, utilizando tecnologa de vanguardia para los
diferentes sistemas, con precios justos y competitivos, que nos identifican con la
ms alta productividad. Nuestro ambiente de trabajo es seguro, productivo y se
caracteriza por el trato de igualdad, labor de equipo, comunicacin abierta,
responsabilidad personal, oportunidades de mejoramiento y desarrollo.
3.1.4 VISIN
IDEBSYSTEMS tiene como objetivo ser la empresa de desarrollo de Software
con mayor presencia y prestigio, reconocido por:
Las metas logradas y aquellas en proceso, que habrn de permitir a

IDEBSYSTEMS llegar a ser una empresa de excelencia con calidad total,
correspondiendo a la confianza de sus clientes.
Servicio efectivo, con trato amable.
Calidad Certificada.
Precios justos y competitivos.
Satisfaccin de las necesidades actuales y futuras de los servicios

requeridos.
3.1.5 POLTICA DE CALIDAD

Ofrecer un servicio de excelencia a empresas e instituciones, clientes
particulares sustentado en un grupo experimentado y altamente calificado de
profesionales comprometidos a:
Satisfacer los requerimientos de nuestros clientes.
Asegurarse que IDEBSYSTEMS, disponga de una capacidad tecnolgica y

administrativa suficiente y adecuada para responder a las necesidades del
personal y de nuestros usuarios.
Establecer y mantener un programa de mejora continua del Sistema de

Gestin de la Calidad Establecido, enfocado al fortalecimiento y
satisfaccin de los requerimientos y expectativas de nuestros usuarios.
Fomentar el Desarrollo y la capacitacin continua del Personal de

IDEBSYSTEMS, el cual permita mejorar y fortalecer la atencin brindada a
nuestros usuarios.
75
Todo esto dentro de un marco de mejora continua que mantiene la eficacia

del Sistema de Gestin de la Calidad.
Nuestro compromiso es mejorar continuamente la eficacia de nuestro

servicio y satisfacer los requerimientos de nuestros clientes con calidad,
profesionalismo y vanguardia, otorgndole un servicio confiable puntual y
oportuno".
3.1.6 VALORES-PRINCIPIOS
Deseo de trabajar
Integridad
Lealtad
Deseo de servir
Deseo de auto perfeccionarse
Iniciativa
Confiabilidad
Dedicacin
Inters por los dems
ORGANIGRAMA
Pasantes
Pasantes
Pasantes
Ingenieros
Ilustracin 3.1 Organigrama

Fuente: IDEBSYSTEMS
Ingenieros
Tcnicos
Coordinador de
Capacitacin
Capacitacin
Coordinador de
Soporte
Gerente
Software
Coordinador de
Desarrollo
Administrador
Recursos
Humanos
Servicios
Profesionales
IDEBSYSTEMS
Coordinador
Sistemas y
Soporte
Servicio al
Cliente
Presidencia
Ejecutiva
Gerencia
El Organigrama de IDEBSYSTEMS es el siguiente:
3.1.7
Gerentes de
Producto
Ventas
Importacin y
Ventas
Contabilidad
Administracin
76
77
3.2 APLICACIN DEL PLAN

Previo a la aplicacin del Plan de seguridad de la informacin es necesario
efectuar un anlisis de la situacin actual de polticas de Seguridad Informtica los
resultados de este anlisis se presentan en el siguiente punto, para realizar este
anlisis se solicito la informacin al Administrador del rea de Soporte y Sistemas
de la empresa IDEBSYSTEMS la cual se muestra completa en el Anexo 1.
3.2.1 SITUACIN PREVIA DE LA SEGURIDAD INFORMTICA DEL CASO
DE ESTUDIO
El departamento de Sistemas y Soporte de la empresa IDEBSYSTEMS es un
rea fundamental dentro de la organizacin, ya que de ella depende el
funcionamiento correcto de varias de las tecnologas de la informacin y la
informacin que se manejan dentro de la organizacin, razn por la cual se
requiere que la informacin y la seguridad de la misma sea tratada de una forma
organizada ya que actualmente no existen polticas de seguridad de la
informacin y todas las actividades se realizan sin seguir ningn lineamiento ni
registro de las mismas.
Para realizar este anlisis se evaluaron los siguientes aspectos:
Evaluacin de la seguridad lgica
Evaluacin de la seguridad de las comunicaciones
Evaluacin de seguridad en las aplicaciones
Evaluacin de seguridad fsica
Administracin del cuarto de equipos
Los resultados de las evaluaciones de la seguridad informtica de este anlisis se

muestran de manera resumida en la tabla 3.2, el anlisis de riesgos en la
seguridad de la informacin que se realizo se encuentra detallado en el (Anexo 1).
Los valores obtenidos en la evaluacin realizada estn basados en la escala de
Likert (tabla 2.4).
78
Aspectos Evaluados
Evaluacin de la seguridad
lgica
Evaluacin de la seguridad
de las comunicaciones
Nivel de Seguridad
Contraseas
Inactividad
Asignacin de funciones
Topologa de red
Conexiones externas
Configuracin
lgica
de
red
Mail
Antivirus
Firewall
Evaluacin de seguridad en Control de aplicaciones en

las aplicaciones
pcs
Equipamiento
Evaluacin
de
seguridad
fsica
Control
de
2
acceso
equipos
Dispositivos de soporte
Cableado estructurado
Administracin del cuarto

Administracin del cuarto de
equipos
de equipos
Capacitacin
Backup
Documentacin
Tabla 3.2 Situacin previa de la Seguridad de la Informacin

3.2.2 ESTABLECIMIENTO
DEL
PLAN
DE
SEGURIDAD
DE
LA
INFORMACIN AL CASO DE ESTUDIO

Con el precedente del plan de seguridad de la informacin al caso de estudio, se
pudo determinar cules polticas estn siendo aplicadas y cules podran hacer
falta. A continuacin se establece el Plan de Seguridad de la Informacin.
79
3.2.2.1 ALCANCE DEL PLAN DE SEGURIDAD DE LA INFORMACIN

El alcance del Plan de seguridad de la informacin abarcara al departamento de
Sistemas y Soporte de la compaa IDEBSYSTEMS.
3.2.2.2 POLTICAS DEL PLAN DE SEGURIDAD DE LA INFORMACIN
Las polticas definidas para apoyar la implementacin del Plan de Seguridad de la
Informacin son:
La tecnologa de informacin y los sistemas de informacin son de vital
importancia como activos de la compaa IDEBSYSTEMS.
Sin un sistema de informacin y sus respectivas tecnologas de informacin,
confiables y seguras, la compaa afectara su desarrollo de actividades y
operaciones tanto activas como pasivas.
La administracin del riesgo operacional y tecnolgico es directamente
proporcional a la gestin va polticas y controles de sus sistemas de informacin.
Los colaboradores de Sistemas y Soporte asumen una responsabilidad individual
respecto a los criterios de confidencialidad, integridad y disponibilidad de los
sistemas y tecnologas de informacin, as como del uso de informacin
privilegiada en la organizacin. Lo cual refleja un compromiso personal de cada
uno de ellos hacia los clientes externos e internos de la empresa. Estos conceptos
se utilizarn para establecer los criterios para la evaluacin del riesgo.
El rea de Sistemas y Soporte de la empresa IDEBSYSTEMS debe tener un Plan
de Seguridad de la Informacin, con la finalidad de mitigar riesgos operativos y de
tecnologa de informacin, fortalecer la cultura de administracin de riesgos en
funcin del desarrollo de valores ticos y morales respecto a la Seguridad de la
Informacin y fomentar en los colaboradores la responsabilidad del manejo de la
Seguridad de la Informacin, desde la perspectiva de la confidencialidad, la
integridad y la disponibilidad de la informacin."
3.2.2.3 ENFOQUE PARA LA GESTIN DEL RIESGO
El enfoque estar determinado por documentacin en la cual se registrarn los
siguientes aspectos:
Los criterios para la aceptacin del riesgo de la organizacin.
Identificacin de los niveles aceptables del riesgo para la organizacin.
80
Cobertura de los aspectos fundamentales de un plan de seguridad de la

informacin, de tal manera que incluya todas las directrices de la norma
ISO 13335.
La relacin costo-beneficio y verificar el buen balance entre el gasto en

recursos contra el deseado grado de proteccin, y asegurando que los
recursos gastados sean correlacionados con la potencial prdida y el valor
de los activos protegidos.
3.2.2.4 ASPECTOS A CONTEMPLAR AL EFECTUAR EL ANLISIS DEL

RIESGO
Se desarrolla el Anlisis y Evaluacin del riesgo que comprende:
Identificacin de Activos
Identificacin de requerimientos legales y comerciales
Tasacin de activos
Identificacin de amenazas, vulnerabilidades y probabilidad de ocurrencia
Anlisis del riesgo y su evaluacin
Aspectos a contemplar al efectuar la evaluacin del riesgo
81
3.2.2.4.1 Identificacin de Activos

En la tabla 3.1 se presentan los activos identificados en el rea de Software y
Sistemas.
tem Activos de Informacin
Propietarios
Administrador de Red
Sistemas y Soporte, Desarrollo
Central Telefnica
Administracin
Conexin a internet
Sistemas y Soporte
Correo
Desarrollo
Equipos de trabajo
Sistemas y Soporte
Help Desk
Desarrollo
Informacin
de
clientes
y Sistemas
Soporte,
proveedores
Ventas
Tcnicos
Sistemas y Soporte
Bases de Datos
Desarrollo
10
Repositorio de Software
Desarrollo
11
Backups
Desarrollo
12
Manuales
Desarrollo
13
Desarrollador
Desarrollo
14
Vendedor
Ventas
15
Contador
Administracin
16
Asistente
Administracin
17
Mensajero
Administracin
Desarrollo,
Tabla 3.3 Activos de Informacin y Propietarios

3.2.2.4.2 Identificacin de Requerimientos Legales y Comerciales Relevantes para los

Activos Identificados
Los equipos que se encuentran en Sistemas y Soporte suelen prestarse a clientes
para que reemplacen sus equipos en caso de fallas. Al momento no existen
contratos vigentes con clientes as que los equipos de Sistemas y Soporte no
deben cumplir ningn cumplimiento legal.
Referente al requerimiento comercial no existe en Sistemas y Soporte equipos
para la venta, estos equipos se encuentran inventariados en otra bodega y sta
pertenece al departamento de Ventas y Administracin.
82
3.2.2.4.3 Tasacin de Activos

En la tasacin de los activos se califica su confidencialidad, integridad y
disponibilidad siguiendo la escala de Likert que se muestra en la tabla 2.4
aplicando la siguiente pregunta Cmo una prdida o falla en un determinado
Confidencialidad
Integridad
Disponibilidad
activo afecta la confidencialidad, la integridad y la disponibilidad?
Total
Central Telefnica
Conexin a internet
Correo
Equipos de trabajo
Help Desk
Informacin de clientes y proveedores
Tcnico
Bases de Datos
10
Repositorio de Software
11
Backups
12
Manuales
13
Desarrollador
14
Vendedor
15
Contador
16
Asistente
17
Mensajero
tem
Activos de Informacin
Tabla 3.4 Tasacin de activos de informacin

83
Para el plan solo se tomaran en cuenta los activos de informacin que pertenecen
a Sistemas y Soporte como se muestra en la tabla 3.3
tem
Propietarios
Sistemas y Soporte, Desarrollo
Conexin a internet
Sistemas y Soporte
Equipos de trabajo
Sistemas y Soporte
Informacin
de
clientes
y Sistemas
Soporte,
proveedores
Ventas
Tcnicos
Sistemas y Soporte
Desarrollo,
Tabla 3.5 Activos de Informacin de Sistemas y Soporte

3.2.2.4.4 Identificacin de Amenazas, Vulnerabilidades y la Probabilidad de que la

Amenaza pueda Explotar la Vulnerabilidad
A continuacin se desarrolla la identificacin de las amenazas y vulnerabilidades
para cada uno de los activos de informacin que pertenece al rea de Sistemas y
Soporte.
Tcnico
Conexin a Red e Internet
Informacin de Clientes y Proveedores
Equipo de Trabajo
En la tabla 3.6 se presentan las Amenazas y Vulnerabilidades encontradas en el

rea de Sistemas y Soporte y la posibilidad de que la amenaza explote la
vulnerabilidad de la empresa IDEBSYSTEMS.
Administrador de red
Tcnico
tem
No cuidar la salud
muerte
1
3
2
1
1
3
1
1
No revisar a las personas que entran y salen

No definir deberes y responsabilidades
No tener experiencia
No tener empleado responsable
Empleado estresado o irritado
Armarios sin seguros
Muchas llaves sin Identificar
Accidente
N o cuidar la salud
Enfermedad o
muerte
3
1
Acceso sin restricciones

No revisar a las personas que entran y salen
informacin
No existe sistema de vigilancia
Fuga de
Cambio de empleo No tener buen sueldo
Robo de Equipos
Acceso sin restricciones
informacin
Dao Voluntario
No existe sistema de vigilancia
Vulnere
Posibilidad de que
Fuga de
Cambio de empleo No tener buen sueldo
Accidente
Vulnerabilidades
Enfermedad o
Amenazas
84
tem
Conexin a Red e Internet
Desastres
Hackers
Fallas de red
Virus
Robo de Equipos
Dao Voluntario
Amenazas
3
1
2
4
5
1
5
4
2
2
1
Armarios sin seguros

Muchas llaves sin Identificar
No tener instalado un antivirus
No actualizar el antivirus
No escanear los equipos regularmente
No disponer de licencia de anti virus
Cableado inadecuado no certificado
No monitorear frecuentemente
No tener enlace de backup
Fallas en UPS
Puertos no protegidos en el Firewall
Infraestructura inadecuada
Empleado estresado o irritado
No haber configurado seguridades en la red
No tener empleado responsable
Backdoors Habilitados
Vulnere
Posibilidad de que
No definir deberes y responsabilidades
Vulnerabilidades
85
tem
Equipo de trabajo
proveedores
Informacin de clientes y
Robo de Equipos
informacin
Fuga de
Daos Fsicos
Virus
Proveedor
Fallas de
naturales
Amenazas
5
1

No disponer de licencia de antivirus
2
2
2
3
Informacin exclusiva no est encriptada

No tomar precaucin en la calle
Equipos sin seguro en la Oficina
manuales
Todos tienen acceso a la informacin
No tener identificados los equipos y
Fallas de Hardware
encendidos
Equipos con informacin siempre
Vulnere
Posibilidad de que
Agreement)
No tener un convenio SLA (Service Level
No tener otro proveedor
Vulnerabilidades
86
tem
3
4
2
4
5
1
3
3
2
3
2
1
Inventarlo no actualizado
No disponer de licencia de antivirus
Equipos viejos
No dar mantenimiento preventivo
No existen normas de seguridad
No existen suficientes repuestos o respaldos
No existe capacitacin en caso de accidente
No tener infraestructura
Vulnere
Posibilidad de que
Todos tienen acceso a manuales de equipos
Vulnerabilidades
Tabla 3.6 Amenazas y Vulnerabilidades

Daos Fsicos
Virus
Amenazas
87
88
3.2.2.4.5 Aspectos a Contemplar al Efectuar la Evaluacin del Riesgo

3.2.2.4.6 Evaluacin del Riesgo
Para realizar la evaluacin del riesgo, se determinan aquellas amenazas cuyos
riesgos son los ms relevantes utilizando la escala de Likert y los siguientes
criterios:
Impacto econmico del riesgo.
Tiempo de recuperacin de la empresa.
Probabilidad real de ocurrencia del riesgo.
Probabilidad de interrumpir las actividades de la empresa.
Se ilustra en la tabla 3.7 la forma en que se debe evaluar la importancia del

riesgo.
Internet
Red de
Conexin a
Tcnico
de red
Administrador
Activos
Riesgo
5
2
3
3
3
Virus
Fallas de red
Hackers
Desastres naturales
Cambio de empleado
Robo de Equipos
Enfermedad
Robo de Equipos
Dao Voluntario
Dao Voluntario
Fuga de informacin
Fuga de informacin
Cambio de empleo
de La Empresa
Riesgo
2
Recuperacin
Econmico del
Enfermedad
Amenazas
Tiempo de
Impacto
Riesgo
Ocurrencia del
la Empresa
Actividades de
Interrumpir
Probabilidad de Probabilidad de
Criterio Para Evaluar La Importancia Del Riesgo
13
10
12
13
13
Total
89
3
3
3
4
2
Daos Fsicos
Fuga de Informacin
Robo de Equipos
Daos Fsicos
Virus
clientes y
proveedores
Trabajo
1
Criterio Para Evaluar La Importancia Del Riesgo
Tabla 3.7 Escala de riesgo y su evaluacin

Virus
Informacin
Equipo de
Fallas de Proveedor
Riesgo
11
12
90
91
3.2.2.4.7 Tratamiento del Riesgo y el Proceso de Toma de Decisin Gerencial

Para el tratamiento del riesgo se tiene la siguiente tabla 3.8 de evaluacin:
Criterio
Tratamiento del riesgo
De 4 hasta 7
Aceptar
De 8 hasta 12
Reducir
De 13 en adelante
Transferir
No existen niveles para evitar el riesgo
evitar
Tabla 3.8 Tratamiento del Riesgo

Se realiza el anlisis de los controles para determinar cules son aplicables.

Cuando se ha calculado el riesgo, se debe iniciar un proceso de toma de
decisiones para determinar qu va a ocurrir con el riesgo, la decisin est
principalmente influenciada por los objetivos de la organizacin pero por lo
general siempre est ligada con estos dos factores:
El posible impacto si el riesgo se pone de manifiesto.
Qu tan frecuente puede vulnerar.
92
Activos
Amenazas
Administrador de red
Tcnico
Conexin a Red e
Internet
Informacin de clientes y
proveedoras
Equipo de Trabajo
Total Tratamiento del riesgo
Enfermedad
Aceptar
Cambio de empleo
Aceptar
Fuga de informacin
Reducir
Dao Voluntario
Aceptar
Robo de Equipos
13
Transferir
Enfermedad
Aceptar
Cambio de empleo
Aceptar
Fuga de Informacin
Reducir
Dao Voluntario
Aceptar
Robo de Equipos
13
Transferir
Virus
Reducir
Fallas de red
12
Reducir
Hackers
10
Reducir
Desastres naturales
13
Transferir
Fallas de Proveedor
Reducir
Virus
Reducir
Daos Fsicos
Reducir
Fuga de informacin
12
Reducir
Robo de Equipos
Reducir
Daados Fsicamente
11
Reducir
Virus
Aceptar
Tabla 3.9 Estrategias de tratamiento del riesgo

Para el tratamiento del riesgo (tabla 3.9) se proceder de la siguiente manera:

El riesgo de los activos que va a ser Aceptado requiere de un registro en el cual la
gerencia demuestre que se acepta el riesgo asociado a estos activos.
Para el riesgo de los activos que va a ser Reducido se aplicar los controles de la
norma ISO/IEC 13335.
Para el riesgo de los activos que va a ser Transferido se contrat un seguro que
protege econmicamente a los activos contra los desastres naturales y robos
principalmente.
93
No existen activos con la opcin EVITAR, ya que todos son indispensables y no

se puede prescindir de ninguno.
3.2.2.5 RIESGO RESIDUAL
Se dejar un riesgo remanente debido a que para las amenazas identificadas es
evidente que no se pueden eliminar todas las vulnerabilidades.
El riesgo residual es aceptable para las diferentes amenazas identificadas y se
dispone de un registro de aceptacin de este riesgo remanente.
3.2.2.1.1 Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos
A continuacin se determina los controles que pueden ser implementados, una
vez identificados los procesos de tratamiento del riesgo y haberlos evaluado, se
debe decidir qu objetivos de control y controles se van a implementar.
3.2.2.1.2 Preparacin de la declaracin de aplicabilidad
La declaracin de aplicabilidad debe incluir los objetivos de control y controles que
sern aplicados y los que sern excluidos. La declaracin de aplicabilidad da la
oportunidad a la empresa de que asegure que no ha omitido algn control.
En la tabla 3.10 se presenta el enunciado de aplicabilidad.
Organizacin Interna
Revisin de las polticas de
Informtica
Revisin independiente de la
especiales
Contacto con las autoridades
Contactos con grupos de inters
NO
Aplicabilidad
Acuerdos sobre confidencialidad
informacin
servicios de procesamiento de
Proceso de autorizacin para los
para la Seguridad Informtica
Asignacin de responsabilidades
Informtica
Coordinacin de la Seguridad
Seguridad de la Informacin
Compromiso de la Direccin con la
Documento de polticas de
Controles
Polticas de Seguridad
Objetivos de Control
de la organizacin.
manejo de la Seguridad de la Informacin dentro
Es necesario tener controles y polticas para el
asegurar que se mantengan adecuadas
revisar peridicamente estas polticas para
seguridad, y revisarlas peridicamente. Se debe
Es necesario establecer las polticas de
Justificacin
94
la informacin
Clasificacin de
Responsabilidad
Entidades externas
Objetivos de Control
informacin
NO
apropiado.
informacin reciba un nivel de proteccin
Es necesario tener controles para asegurar que la
desapropiada de los activos organizacionales.
Es necesario tener controles para la proteccin
trasladados por terceros.
documentos muy confidenciales que son
requerimientos de seguridad porque hay
con entidades externas. Se debe establecer
No se necesitan controles para mitigar riesgos
Justificacin
Tabla 3.10 Declaracin de aplicabilidad
Etiquetado y manejo de la
X
Uso aceptable de los activos
Directrices de clasificacin
Aplicabilidad
Propietario de los activos
Inventario de Activos
acuerdos con terceras partes
Abordaje de seguridad en los
trata con clientes
Abordaje de seguridad cuando se
relacionados con partes externas
Identificacin de riesgos
Seguimiento de las Polticas de
Segundad Informtica
Controles
95
96
3.2.3 IMPLEMENTACIN
DEL
PLAN
DE
SEGURIDAD
DE
LA
INFORMACIN AL CASO DE ESTUDIO

La implementacin del plan de seguridad de la informacin y sus polticas de
Seguridad Informtica realizada en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS se deriva del anlisis del tratamiento del riesgo (en donde se
califican los activos de informacin y se determina si se acepta, reduce, transfiere
o evita el riesgo) versus el enunciado de aplicabilidad.
Esta implementacin genera los siguientes documentos:
Acuerdo de Confidencialidad
Polticas de Seguridad Informtica
Asignacin de Responsabilidades
Uso Aceptable de los Activos de Informacin
Inventario de Activos
Instructivo para Etiquetado y Manejo de la Informacin
Instructivo para Revisin de las Polticas de Seguridad Informtica
Registro de Compromiso de la Direccin con la Seguridad Informtica
Registro de Contacto con Grupos de Intereses
Registro de Contacto con las Autoridades
Registro de Revisin Independiente de la Seguridad Informtica
Registro de seguimiento de las Polticas de Seguridad Informtica
97
3.2.3.1 ACUERDO DE CONFIDENCIALIDAD

Titulo: Documento de Acuerdo de Confidencialidad
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
Revisado y Aprobado por:
I. INTRODUCCIN
A continuacin se define el acuerdo de confidencialidad establecido entre
IDEBSYSTEMS y los miembros de Sistemas y Soporte.
II. ACUERDO DE CONFIDENCIALIDAD
Entre los suscritos a saber, por una parte IDEBSYSTEMS una compaa
constituida bajo las leyes del Ecuador con domicilio en Quito, debidamente
representada por su Presidente Ejecutivo y representante legal Seor Jorge
Ponce, mayor de edad y domiciliado(a) en la ciudad de ___________,
identificado(a) como aparece al pie de su respectiva firma; y por la otra,
_____________, tambin mayor de edad y domiciliado en la ciudad de
__________, identificado(a) como aparece al pie de su firma , quien acta en
nombre de ______________, se ha acordado celebrar el presente Acuerdo de
Confidencialidad que se regir por las siguientes clusulas, previas las siguientes
CONSIDERACIONES
1. Las partes estn interesadas en________________________________
2. Debido a la naturaleza del trabajo, se hace necesario que stas manejen
informacin confidencial y/o informacin sujeta a derechos de propiedad
intelectual, antes, durante y en la etapa posterior.
CLUSULAS
PRIMERA. OBJETO. El objeto del presente acuerdo es fijar los trminos y
condiciones bajo los cuales las partes mantendrn la confidencialidad de los datos
e informacin intercambiados entre ellas, incluyendo informacin objeto de
derecho de autor, patentes, tcnicas, modelos, invenciones, know-how, procesos,
algoritmos,
programas,
ejecutables,
investigaciones,
detalles
de
diseo,
informacin financiera, lista de clientes, inversionistas, empleados, relaciones de
98
negocios y contractuales, pronsticos de negocios, planes de mercadeo y

cualquier informacin revelada sobre terceras personas.
SEGUNDA.
CONFIDENCIALIDAD.
Las
partes
acuerdan
que
cualquier
informacin intercambiada, facilitada o creada entre ellas en el transcurso de

______________________, ser mantenida en estricta confidencialidad. La parte
receptora correspondiente slo podr revelar informacin confidencial a quienes
la necesiten y estn autorizados previamente por la parte de cuya informacin
confidencial se trata. Se considera tambin informacin confidencial: a) Aquella
que como conjunto o por la configuracin o estructuracin exacta de sus
componentes, no sea generalmente conocida entre los expertos en los campos
correspondientes. b) La que no sea de fcil acceso, y c) Aquella informacin que
no est sujeta a medidas de proteccin razonables, de acuerdo con las
circunstancias del caso, a fin de mantener su carcter confidencial.
TERCERA. EXCEPCIONES. No habr deber alguno de confidencialidad en los
siguientes casos: a) Cuando la parte receptora tenga evidencia de que conoce
previamente la informacin recibida; b) Cuando la informacin recibida sea de
dominio pblico y, c) Cuando la informacin deje de ser confidencial por ser
revelada por el propietario.
CUARTA. DURACIN. Este acuerdo regir durante el tiempo que dure
_______________ hasta un trmino de tres aos contados a partir de su fecha.
QUINTA. DERECHOS DE PROPIEDAD. Toda informacin intercambiada es de
propiedad exclusiva de la parte de donde proceda. En consecuencia, ninguna de
las partes utilizar informacin de la otra para su propio uso.
SEXTA. MODIFICACIN O TERMINACIN. Este acuerdo solo podr ser
modificado o darse por terminado con el consentimiento expreso por escrito de
ambas partes.
SPTIMA. VALIDEZ Y PERFECCIONAMIENTO. El presente Acuerdo requiere
para su validez y perfeccionamiento la firma de las partes.
99
Si cualquier disposicin de este Acuerdo fuera juzgada por una corte competente
como nula o ilegal, las dems disposiciones continuarn en pleno vigor y efecto.
Todas las obligaciones creadas por este Acuerdo continuarn en vigencia an
despus de cualquier cambio o terminacin de la relacin profesional existente
entre las partes.
Para constancia, y en seal de aceptacin, se firma el presente acuerdo en ___
ejemplares, por las partes que en l han intervenido, en la ciudad de _________ a
los ______ (__) das del mes de _______ de ___________ (200_).
__________________
Firma
__________________
Documento de Identidad
__________________
Firma
__________________
Documento de Identidad
100
3.2.3.2 POLTICAS DE SEGURIDAD INFORMTICA

Titulo: Documentacin de Polticas de Seguridad Informtica
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento muestra las polticas que sern aplicadas en el rea de
Sistemas y Soporte de la empresa IDEBSYSTEMS
II. POLTICAS
Las polticas que se aplican en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS se estratifican en tres niveles, para la gerencia, para el
coordinador y para el tcnico y administrador de la red, stas son:
LA GERENCIA DEBE:
1. Aprobar un documento del Plan de Seguridad de la Informacin, con su
alcance y objetivo, el documento debe estar aprobado por la gerencia,
debidamente registrado e identificado.
2. Establecer un documento con las polticas de seguridad informtica para
ser aplicadas en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
3. Revisar el documento de las polticas de seguridad informtica mnimo una
vez al ao o cuando amerite (cambios tecnolgicos, jurdicos, entre otras.).
Se deben crear registros de las revisiones que incluyan datos como fecha
de revisin, novedades encontradas, personas involucradas en la revisin,
entre otros.
4. Aprobar un documento en el cual se demuestre el apoyo para implementar
las polticas, este documento debe ser registrado y etiquetado.
5. Designar una persona encargada de coordinar las actividades de seguridad
informtica, (en el documento se har mencin a esta persona solamente
como Coordinador).
6. Aprobar los procesos de autorizacin para medios de procesamiento de
informacin desarrollados por el coordinador, los medios pueden ser de la
empresa o ajenos.
101
7. Realizar una auditora interna mnimo cada seis meses o cuando se

considerase necesario, para verificar el estado del Plan de Seguridad de la
Informacin. Esta auditora debe estar a cargo de una persona ajena al
rea que tenga relacin con la seguridad informtica; debe adems ser
registrada y documentada.
8. Analizar y aprobar acuerdos de confidencialidad cuando el intercambio de
informacin con terceras partes as lo amerite. Se deber guardar el
documento o una copia del acuerdo.
9. Aprobar la documentacin creada por el Coordinador: para asignacin de
propietarios de activos de informacin, de responsabilidades y obligaciones
de los miembros del rea, para uso aceptable de los activos de
informacin, las sanciones correspondientes en caso de incumplimiento.
EL COORDINADOR DEBE:
1. Crear un Plan de Seguridad de la Informacin, con su alcance y objetivo, el
documento debe estar aprobado por la gerencia, debidamente registrado e
identificado.
2. Establecer las tareas y responsabilidades que sern asignadas a sus
subordinados, quienes debern aceptar el acuerdo de confidencialidad, de
derecho de propiedad intelectual u otro documento que la empresa
considere conveniente. Las tareas y responsabilidades deben ser lo ms
explicitas posibles para evitar confusin o malos entendidos entre ambas
partes.
3. Establecer procesos de autorizacin para medios de procesamiento de
informacin, los medios pueden ser de la empresa o ajenos. La aceptacin
del ingreso de este medio de procesamiento de informacin debe estar
registrada debidamente.
4. Establecer acuerdo de confidencialidad entre la empresa IDEBSYSTEMS y
los miembros de Sistemas y Soporte. Todos los miembros del rea deben
aceptar los acuerdos de confidencialidad establecidos con la empresa.
5. Mantener contacto con foros de seguridad o grupos de inters similares
para estar pendiente de las novedades referente a vulnerabilidades y
amenazas para la seguridad informtica. Las noticias ms relevantes
deben comunicrseles a todos los miembros del rea.
102
6. Apoyar activamente las auditoras internas que realice la gerencia, para

verificar el estado del Plan de Seguridad de la Informacin.
7. Autorizar acceso a los activos de informacin para terceras partes, todo
esto por escrito en un documento que resuma el tipo de informacin
(verificar Instructivo de clasificacin de activos de informacin) a ser
revelada, el tiempo de acceso y el motivo.
8. Realizar un inventario de activos de informacin cada seis meses o cuando
se considere necesario. En el inventario se deben clasificar todos los
activos de informacin que le correspondan al rea.
9. Crear documentacin: para asignacin de propietarios de activos de
informacin, de responsabilidades y obligaciones de los miembros del rea;
para uso aceptable de los activos de informacin, las sanciones
correspondientes en caso de incumplimiento.
10. Establecer criterios para clasificar la informacin en trminos de su valor,
sensibilidad, importancia para el rea y desarrollar un instructivo para
etiquetar la informacin y su adecuada manipulacin.
11. Notificar a gerencia cualquier novedad encontrada respecto a seguridad
informtica. La notificacin puede ser verbal pero se debe registrar en un
mail, de lo contrario se asume que la novedad no fue reportada.
EL ADMINISTRADOR DEBE:
1. Cuando es necesario adquirir un nuevo producto para el rea de Sistemas
y Soporte, debe determinar las caractersticas del producto (Numero de
parte, Compatibilidad de hardware y Software, Requerimientos de
hardware y software, entre otros).
2. Cuando equipo ajeno al rea debe conectarse a la red interna, debe
verificar que exista un antivirus instalado y actualizado, si es necesario se
debe instalar un antivirus trial y correrlo. Todo esto con el consentimiento
del dueo del equipo.
3. Comunicar al dueo del activo ajeno a la empresa que se debe revisar su
medio de informacin previo a la habilitacin del acceso. Si no acepta
entonces se debe comunicar inmediatamente al coordinador y gerencia
para que se niegue el acceso a la informacin.
4. Ser el responsable de instalar y actualizar el antivirus, revisar infecciones
103
detectadas en la red y tomar accin para eliminar el virus y evitar su

propagacin inmediata.
5. Si se presentase un caso en el que fuera necesario otorgar acceso a ms
de tres personas ajenas a la empresa, o cuando gerencia lo considere
necesario, debe realizar un documento detallando los riesgos que se
corren y sus posibles soluciones.
6. Elaborar, mantener y actualizar un documento con todas las contraseas
de los usuarios (Ingreso a dominio; ingreso a BIOS); las contraseas
excluidas de esta lista sern las contraseas de cuentas de correo de los
usuarios. Todas las contraseas deben ser cambiados mnimo cada seis
meses.
7. Elaborar un cronograma de mantenimiento para las PCs del rea, este
mantenimiento lo realizar con el tcnico designado.
8. Cuando un elemento procesador de datos esta encendido por el lapso no
mayor a diez minutos, debe activar un protector de pantalla u otra
configuracin que proteja los datos en pantalla de tal manera que sea
necesario ingresar una contrasea para ver la informacin nuevamente.
9. Etiquetar e identificar el cableado en el rea de Sistemas y Soporte; y tener
un documento en donde se especifique un diagrama de infraestructura y
puntos de red del rea.
10. Instalar Software que permita monitorear el estado de las interfaces de los
equipos de la red y que se generen alarmas en caso de falla de una de
stas. Las alarmas pueden incluir envo de mail, envo de sms entre otras.
11. Revisar peridicamente los elementos de conmutacin como switch y
Access Point para configurar, si es necesario, mayor seguridad en la red o
en otros casos aumentar la confiabilidad de la red creando enlaces
redundantes. Se debe monitorear peridicamente todos los elementos de
red principales, sea automticamente o fsicamente. Se deben configurar
servidores de Logs en los equipos que permitan hacerlo y se debe tener un
histrico con fecha de logs.
12. Obtener backup de los datos de Sistemas y Soporte (clientes, productos,
programas, entre otros), la validacin de datos de los cuales se debe
obtener respaldo la debe realizar con el coordinador y con gerencia. El
104
backup puede sacarse en DVDs, Cds o en otro medio que pertenezca a la

empresa. El backup tambin incluye archivos de configuracin de los
equipos de infraestructura con fechas indicadas.
13. En caso de encontrar llaves, debe verificar si pertenecen al rea y
clasificarla, en caso de que sea ajena al rea debe notificar y entregar al
departamento de administracin.
EL TCNICO DEBE:
1. El tcnico de soporte designado por el coordinador debe mantener
contacto con foros, y otros grupos de inters vinculados con la seguridad
de la informacin, para estar al tanto de los avances tecnolgicos,
amenazas y vulnerabilidades detectadas. Debe publicar al menos una vez
cada 15 das alguna noticia en la cartelera y dar una resumen a los
miembros del rea.
2. Apoyar a las actividades del administrador de la red sin que esto afecte sus
obligaciones y responsabilidades o cuando el coordinador as lo disponga.
3. Obtener un respaldo de la configuracin de los equipos de infraestructura
al menos una vez cada mes.
4. Revisar las configuraciones de los elementos del FIREWALL y ALLOT
peridicamente, esta revisin puede hacerla el administrador de la red en
conjunto con el coordinador.
5. Revisar el trfico cursado en la red cada mes o cuando la situacin lo
amerite
para
determinar
si
existen
comportamientos
anmalos
analizarlos.
6. Clasificar la informacin en trminos de su valor, sensibilidad e
importancia. Debe utilizar el instructivo para clasificacin de la informacin
que se encuentra en la documentacin de Sistemas y Soporte.
7. Revisar las polticas del Active Directory para otorgar o quitar permisos a
los diferentes usuarios; crear o eliminar usuarios para el dominio interno de
la empresa.
A ms de las polticas anteriormente descritas; cada usuario de Sistemas y
Soporte es responsable de respaldar su informacin, cuando se saquen respaldos
en medios externos, debe proteger su informacin bajo llave en su estacin de
trabajo.
105
Cada usuario de Sistemas y Soporte es responsable de mantener su estacin de

trabajo limpia y ordenada.
La responsabilidad de los activos de Sistemas y Soporte es responsabilidad de
todos los miembros del rea; por lo cual cada usuario debe cumplir las
obligaciones y responsabilidades, uso adecuado y aceptable de esta forma no se
comprometen los activos del rea, caso contrario se aplicaran las respectivas
sanciones.
El administrador de la red y tcnicos deben estar conformes con el acuerdo de
confidencialidad contrado con la empresa.
106
3.2.3.4 ASIGNACIN DE RESPONSABILIDADES

Titulo: Documento para asignacin de responsabilidades
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento detalla las responsabilidades que tendrn miembros de
II. ASIGNACIN DE RESPONSABILIDADES
Las responsabilidades del rea quedan distribuidas de la siguiente manera:
Actividades
Responsable
Realizar el inventario de activos
Ingeniero de Soporte
Realizar un listado de contraseas
Administrador de la red
Coordinar las actividades de seguridad
Coordinador
Etiquetar documentos
Networking
Realizar notas de entrega y pedido
Ingeniero de soporte
Etiquetar cableado
Depuracin de equipos de la red
Ingeniero de soporte
Monitoreo y Mantenimiento de equipos
Asignacin de responsabilidades y obligaciones Coordinador

Respaldo de informacin
Networking
Comunicar polticas a Networking
Coordinador
107
3.2.3.5 USO ACEPTABLE DE LOS ACTIVOS DE INFORMACIN

Titulo: Documento para Uso Aceptable de los Activos de informacin
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento detalla las responsabilidades que tendrn miembros de
II. ASIGNACIN DE RESPONSABILIDADES
Las responsabilidades del rea quedan distribuidas de la siguiente manera:
La empresa IDEBSYSTEMS dispone de activos de informacin para apoyar a
todos sus empleados en sus actividades diarias, estos activos deben ser
utilizados de manera aceptable. El uso correcto de ello se define en los siguientes
prrafos:
LINEAMIENTO PARA USO DEL CORREO INTERNO
1. Todo el personal de IDEBSYSTEMS, tiene derecho a una cuenta de correo
electrnico en el servidor de correo.
2. Es responsabilidad del usuario hacer buen uso de su cuenta, entendiendo
por buen uso:
El no mandar ni contestar cadenas de correo.
El uso de su cuenta con fines acadmicos y/o investigacin.
La depuracin de su INBOX del servidor (no dejar correos por largos

periodos en su buzn de correo).
El no hacer uso de la cuenta para fines comerciales.
El respetar las cuentas de otros usuarios Internos y Externos.
El uso de un lenguaje apropiado en sus comunicaciones.
3. Se asignar solamente una cuenta por usuario.

4. Las cuentas conmutadas para el personal administrativo sern asignas por
el administrador del servidor de correo.
5. Su cuenta de correo es personal e intransferible no permitindose que
segundas personas hagan uso de ella, (compaeros, amigos, hijos, entre
otras.). A menos que sea de asuntos primordiales relacionados con el
108
trabajo.
6. La cuenta se dar de baja cuando IDEBSYSTEMS lo considere
conveniente una vez que el personal deje de pertenecer a la empresa.
7. Es responsabilidad del usuario el cambiar su contrasea con regularidad,
cumpliendo con las normas que se definen en administracin de correo
acerca del manejo de contraseas seguros. El tiempo de vida de las
contraseas ser de seis meses.
8. El usuario ser responsable de la informacin que sea enviada con su
cuenta, por lo cual se asegurar de no mandar SPAMS de informacin, ni
de mandar anexos que pudieran contener informacin nociva para otro
usuario como virus o pornografa.
9. El usuario es responsable de respaldar sus archivos de correo
manteniendo en el INBOX (Buzn de correo) solamente documentos en
trnsito, sus dems comunicados deber mantenerlos en su equipo
personal o en su defecto en carpetas dentro de su cuenta en el servidor.
10. Al responder comunicados generales o para un grupo especfico de
usuarios, el usuario deber cuidar de no responder a TODOS los usuarios
salvo cuando sta sea la finalidad de la respuesta.
11. IDEBSYSTEMS se reserva el derecho de enviar al usuario la informacin
que considere necesaria como un medio de comunicacin empresarial.
12. La vigencia y espacio de las cuentas ser definida por el administrador del
Servidor de correo (con la autorizacin respectiva) de acuerdo a los
recursos disponibles, con base en las necesidades del usuario.
13. IDEBSYSTEMS se reservar el uso de monitorear las cuentas que
presenten un comportamiento sospechoso para la seguridad de la
empresa.
14. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de
software o reproducir informacin sin conocimiento del autor.
15. El incumplimiento por parte del usuario del buen uso de su cuenta puede
ocasionar la suspensin y posterior baja del sistema de su cuenta.
16. Se recomienda a los usuarios grabar sus trabajos en discos flexibles una
vez que su computadora haya revisado el disco con un antivirus
109
actualizado, para evitar cualquier prdida de informacin valiosa para ellos.

LINEAMIENTO DEL USO DE INTERNET
1. Desde el equipo asignado a cada usuario ser posible hacer uso de la red
Internet, nicamente para fines consultivos, definindose como consultivo a
todas aquellas bsquedas de informacin que apoyen al usuario a resolver
un problema o inconveniente.
2. El administrador de la red es el encargado de asignar una mquina al
usuario, quien ser responsable durante el tiempo que permanezca en su
poder.
3. IDEBSYSTEMS se reserva el derecho de revisin para verificar que el
software instalado tenga las licencias respectivas en el caso que amerite.
4. Cualquier
uso
que
cause
efectos
opuestos
la
operacin
de
IDEBSYSTEMS o ponga en riesgo el uso o rendimiento de la red, ser

analizado por esta administracin para tomar medidas.
5. En caso de usar la cuenta a travs de Internet se debe asegurar de salir
totalmente de la misma en cada sesin, cuando se desocupe el equipo.
LINEAMIENTO PARA USO DE EQUIPOS
1. Cuando exista la necesidad de sacar un equipo de IDEBSYSTEMS se
debe tener autorizacin del coordinador y de gerencia y la respectiva nota
de entrega.
2. No es permitido que los usuarios utilicen equipo de la empresa para
asuntos personales (como alquiler a terceros, pruebas personales, entre
otros).
3. Cuando se sale con equipos, es necesario disponer de transporte seguro
como puede ser un servicio de taxis a domicilio.
LINEAMIENTO PARA USO DE DOCUMENTOS
1. En la empresa existe documentacin de equipos que est a disposicin de
los empleados para realizar consultas o configuraciones. Los manuales de
los equipos deben ser utilizados solamente dentro de la empresa.
2. Si es necesario llevar un manual fuera de la oficina se debe notificar de
este hecho al coordinador mediante un correo electrnico.
Si el documento est en digital, se aplicar el acuerdo de confidencialidad.
110
3.2.3.6 INVENTARIO DE ACTIVOS

Titulo: Instructivo de Inventario de activos
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente instructivo permite realizar un inventario de los activos de informacin
que dispone el rea de Sistemas y Soporte de la empresa IDEBSYSTEMS.
II. PROCEDIMIENTO PARA REALIZAR EL INVENTARIO
Todos los activos deben ser registrados.
La siguiente tabla muestra las caractersticas que se deben tomar de cada activo
del rea. Se llenarn los datos que apliquen.
tem Equipo Producto Nmero Serial
Nmero de Parte
Descripcin
1
2
3
4
5
6
7
8
9
10
Cuando exista la necesidad de prestar o rentar un activo, entonces deber
llenarse una nota de entrega para tener un registro de movimiento del activo.
111
A continuacin se presenta el formato para solicitar equipos al rea.
NOTA DE PEDIDO
Fecha:
Nota de Pedido N:
Solicita:
Cliente:
Fecha de prstamo:
Das aproximados:
Fecha de devolucin:
Motivo de Prstamo
Autorizado Por:
Revisado Por:
Observaciones:
Listado de Equipos
tem
Equipo
Atentamente
Descripcin
Cantidad
Recib Conforme
112
A continuacin se presenta el formato para entregar equipos al rea.
NOTA DE ENTREGA
Fecha:
Nota de Entrega N:
Atencin:
Nota de Pedido N:
Cliente:
Fecha de prstamo:
Das aproximados:
Fecha de devolucin:
Observaciones:
Srvase encontrar adjunto a la presente lo siguiente

tem
Equipo
Atentamente
Descripcin
Cantidad
Recib Conforme
113
3.2.3.7 INSTRUCTIVO
PARA
ETIQUETADO
MANEJO
DE
INFORMACIN
Titulo: Instructivo para Etiquetado y Manejo de la Informacin
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Aqu se describe la metodologa a utilizar para la asignacin del cdigo o
serial, la cual aplicar el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS para identificar los documentos del Plan de Seguridad de la
Informacin.
II. PROCEDIMIENTO PARA ETIQUETAR DOCUMENTOS.
Todos los documentos emitidos en el Plan de Seguridad de la Informacin
sern identificados con una numeracin alfanumrica nica para cada
documento, este nmero ser conocido como el identificador del documento.
El primer carcter (desde la izquierda) corresponde a la funcin del
documento. A continuacin se detallan las diferentes funciones del
documento.
I Instruccin de trabajo.- Es un documento en donde se define paso a paso el
como de una actividad.
F Formulario.- Documento utilizado para anotar los resultados de cualquier
actividad, el cual podra convertirse en registro.
M Manual.- Es un documento compuesto por cierta extensin en cuanto a
nmero de pginas, que contiene informacin del Plan de Seguridad de la
Informacin.
P Procedimientos.- Es el documento que define quin hace qu y cundo.
Este documento describe la forma especfica para llevar a cabo una actividad
o proceso.
R Registros.- Son documentos que sirven como evidencia para demostrar a
terceros que un requisito del Plan Piloto de Polticas de Seguridad Informtica
est implantado y ha sido cumplido. Es un documento donde se mantienen
anotados los resultados de alguna actividad realizada. Los registros son las
LA
114
huellas del Plan de Seguridad de la Informacin; con ellos se puede

demostrar a otros que los DEBE o Actividades que exige la norma se han
realizado.
L Poltica (Lineamiento).- Es un documento que sirve de lineamiento o gua,
que se debe cumplir en el grupo. Las polticas son normas con las cuales hay
que cumplir, una actividad o algn aspecto de Sistemas y Soporte.
T Tablas.- Es un documento del Plan de Seguridad de la Informacin el cual
contiene informacin relevante de la organizacin. Su representacin grfica
podra ser un cuadro, una matriz, entre otras.
G Gua.- Es un documento que sirve como orientacin o consulta y permite
localizar fcilmente, en un solo documento, gran parte de los conceptos
relacionados con un aspecto en particular.
Los dos siguientes caracteres son numricos e identifican a cual rea de la
empresa pertenece el documento segn la siguiente lista:
01 Sistemas y Soporte
02 Capacitacin
03 Ventas
04 Presidencia
05 Legal
06 Software
07 Administracin
08 Atencin al cliente
Los tres siguientes dgitos muestran el orden secuencial del documento. El
siguiente carcter, que es alfanumrico, representa una modificacin al
documento. Se inicia con la primera letra del alfabeto y as hasta la ltima.
Siempre que se modifique un documento, al final se debe incluir un anexo,
donde se enumeren las razones por las cuales se ha modificado dicho
documento.
En dicho anexo, se especificar el (los) tipo (s) de cambio (s) aplicado(s) al
documento, segn:
A Aadido.- Se refiere a cuando se agrega algn prrafo o rengln al
documento.
F Fusionado.- Se refiere cuando se unifican dos o ms documentos en uno
115
solo.
M Modificado.- Se refiere a cuando el cambio solamente se efecta en
algunas partes del documento.
R Reemplazado.- Se refiere a cuando el documento es totalmente cambiado.
Cuando un documento sea modificado, se deber registrar la fecha en que se
aplicaron los cambios en el cuadro Fecha modificacin del formato del
documento, siempre se mantendr la Fecha de emisin intacta.
Si existe un documento que hace referencia a otro, se debe hacer referencia
solamente al nmero serial del equipo mas no a la parte de la modificacin;
esto es para evitar realizar cambios en todos los documentos que tengan
como referencia al documento modificado.
116
3.2.3.8 INSTRUCTIVO PARA REVISIN DE LAS POLTICAS DE SEGURIDAD

INFORMTICA
Titulo: Instructivo para revisin de las polticas de seguridad Informtica
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente instructivo para la revisin de las polticas de seguridad Informtica
evala la efectividad de las polticas de seguridad Informtica implementadas en
el rea de Sistemas y Soporte de la empresa IDEBSYSTEMS
II. REVISIN DE LAS POLTICAS DE SEGURIDAD INFORMTICA
Se debe revisar cada poltica implementada en el rea de Sistemas y Soporte con
base a la siguiente tabla.
Poltica
Efectividad de la Poltica
Excelente Buena
Mala
Observacin
Psima
Si existe documentacin de actividades relativas con las polticas, se debe tomar

en cuenta para evaluar la poltica y debe registrarse una observacin al respecto.
117
3.2.3.9 REGISTRO DE COMPROMISO DE LA DIRECCIN CON LA

SEGURIDAD INFORMTICA
Titulo: Registro de compromiso de la direccin con la seguridad informtica
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
En el presente documento se registra el compromiso que la direccin establece
con el Plan de Seguridad de la Informacin a implementarse en el rea de
II. COMPROMISO DE LA GERENCIA CON EL PLAN DE SEGURIDAD
INFORMTICA
La Gerencia de la empresa IDEBSYSTEMS ha ledo y se encuentra consiente
cun importante es el establecimiento de polticas de seguridad Informtica en el
rea de Sistemas y Soporte.
Es por esto que la Gerencia manifiesta el compromiso y el apoyo activo para con
el proyecto de implementacin de polticas de seguridad Informtica.
La Gerencia puede intervenir en el desarrollo e implementacin de las polticas,
incluso puede dar por terminado el desarrollo de la implementacin en caso de
considerarlo necesario.
118
3.2.3.10 REGISTRO DE CONTACTO CON GRUPOS DE INTERESES

Titulo: Registro de Contacto con grupos de Intereses
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Este registro permite verificar que la persona encargada del contacto con grupos
de inters est cumpliendo sus obligaciones.
II. REGISTRO DE CONTACTOS
Fecha de Contacto:
Tema Tratado:
Fuente de informacin:
119
3.2.3.11 REGISTRO DE CONTACTO CON LAS AUTORIDADES

Titulo: Registro de Contacto con las autoridades
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente documento es un registro de haber tenido contacto con el coordinador
y la gerencia acerca del Plan de Seguridad de la Informacin.
II. TEMAS TRATADOS
A continuacin se especifican los temas mencionados con las autoridades.
120
3.2.3.12 REGISTRO DE REVISIN INDEPENDIENTE DE LA SEGURIDAD

INFORMTICA
Titulo: Registro de revisin Independiente de la seguridad Informtica
Serial
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
Este documento es un registro de auditora interna que debe ser realizado una
vez cada seis meses en el rea de Sistemas y Soporte de la empresa
IDEBSYSTEMS.
II. DETALLE DE AUDITORA
A continuacin se presentan las novedades encontradas en la auditora interna.
121
3.2.3.13 REGISTRO DE SEGUIMIENTO DE LAS POLTICAS DE SEGURIDAD

INFORMTICA
Titulo: Registro de Seguimiento de las Polticas de Seguridad Informtica
Serial:
Fecha Emisin:
Elaborado por:
Fecha Modificacin:
Aprobacin:
I. INTRODUCCIN
El presente registro es para el seguimiento de las polticas de seguridad
Informtica, evala si las polticas de seguridad Informtica implementadas en el
rea de Sistemas y Soporte de la empresa IDEBSYSTEMS se estn llevando a
cabo y los resultados obtenidos.
II. SEGUIMIENTO DE LAS POLTICAS DE SEGURIDAD INFORMTICA
Se debe revisar cada poltica implementada en el rea de Sistemas y Soporte con
base a la siguiente tabla.
Polticas
Aplicabilidad de la Poltica
Observaciones/Sugerencias
Gerencia Si No Resultados
1
2
3
4
5
6
7
8
9
Polticas
Coordinador
Si
No Resultados
122
1
2
3
4
5
6
7
8
9
10
11
Polticas
Administrador
Si No Resultados
1
2
3
4
5
6
7
8
9
10
11
12
13
Polticas
Tcnico
Si
No
Resultados
123
1
2
3
4
5
6
7
Si existe documentacin de actividades relativas con las polticas, se debe tomar
en cuenta para evaluar la poltica y debe registrarse una observacin al respecto.
124
3.3 ANLISIS DE RESULTADOS DEL CASO DE ESTUDIO

De los resultados obtenidos a travs de todo el proceso de validacin del plan de
seguridad de la informacin planteado para este captulo, se obtiene que el
proyecto alcanza su propsito, es decir cumple sus objetivos ya que como se not
se logr implementar en una empresa donde nunca se lo haba realizado como un
proceso formal.
El plan denota en su implementacin varias fortalezas propias de su proceso, a
pesar que el alcance del plan no se extiende a todas las reas o departamentos
de la organizacin, al seleccionar el rea de Sistemas y Soporte la cual se
encarga de controlar la gestin de las tecnologas de la informacin dentro de la
empresa.
Luego de haber propuesto un plan de seguridad informtico los niveles de
seguridad en muchos aspectos cambian notablemente como se puede evidenciar
en la tabla 3.11, en la cual se presenta la situacin actual de la seguridad
informtica comparndola con la evaluacin de la situacin previa de la seguridad
informtica presentada en la parte 3.2.1 de este captulo.
Todos estos cambios que benefician notablemente a la seguridad de la
informacin de la empresa se basan principalmente en las Polticas de Seguridad
Informtica y en los documentos que genera la implementacin de este plan de
seguridad informacin.
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Seguridad Observacin
Actual
Se
revisan
administran
Evaluacin de la
seguridad lgica
Contraseas
y
las
polticas de Active
Directory,
Se
documentan
los
datos de acceso.
125
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Actual
Se
Inactividad
revisan
administran
y
las
polticas de Active
Directory,
Se
Asignacin de
funciones
definen
claramente
4
las
funciones
especificas
de
cada rol
Topologa de
red
Conexiones
externas
No se adquieren
4
dispositivos de red
Se
4
comunicaciones
definen
polticas
para
estas conexiones
Evaluacin de la
seguridad de las
nuevos
Se administra los
Configuracin
lgica de red
dispositivos
3
de
conmutacin
como se define en
las polticas
Se
Mail
tiene
un
lineamiento
para
uso
del
interno
correo
126
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Actual
Se define en las
polticas
la
adquisicin
administracin de
Antivirus
antivirus,
dependiendo
de
gerencia
la
adquisicin de los
mismos
Se define polticas
Firewall
para
revisar
las
configuraciones
del firewall
Evaluacin de
Control de
seguridad en las
aplicaciones en
aplicaciones
pcs
Se
2
tiene
un
lineamiento
para
uso
del
correo
interno
Se
Equipamiento
Evaluacin de
seguridad fsica
realiza
inventarios,
administracin de
equipos
Control de
acceso a
Se
2
equipos
Dispositivos de
soporte
definen
polticas para el
acceso a equipos
Se
capacita
personal
al
127
Nivel de
Aspectos Evaluados
Seguridad
Previo
Nivel de
Actual
Se
realiza
un
adecuado
Cableado
estructurado
etiquetado de los
4
dispositivos
cableado
del
y
la
documentacin
sobre la misma
Administracin
del cuarto de
La administracin
1
se define en los
roles y polticas
equipos
La
capacitacin
est definida en
los
roles
polticas,
Capacitacin
Administracin
depende
y
aun
de
la
disponibilidad
de
los encargados de
del cuarto de
realizar
equipos
la
capacitacin
Se define polticas
Backup
y se asigna roles
para
tareas
de
respaldos
Se
Documentacin
tiene
un
procedimiento
para etiquetar los
documentos
Tabla 3.11 Comparacin de la situacin previa y actual de la seguridad de la informacin.

128
Al realizar la comparacin de la situacin previa y actual de la seguridad de la

informacin se puede obtener un dato ms representativo de esta comparacin
realizando una sumatoria de todos los aspectos evaluados obteniendo un puntaje
total previo y actual de la situacin. se realiza una sumatoria de estos aspectos
obteniendo un puntaje de 42 para la situacin previa y 87 para la situacin actual,
con lo cual se puede apreciar que la seguridad de la informacin ha mejorado en
un 207,14%.
129
4 CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
Al haber estudiando los estndares de seguridad informtica se puede

apreciar como los requerimientos de un mundo globalizado han
empujado hacia la construccin de oficinas virtuales globalizadas,
apoyndose en recursos tecnolgicos que han llevado a la exposicin
de uno de los activos ms importantes de una organizacin a riesgos
antes inimaginables, generando con ello la necesidad de, en primer
lugar, tomar consciencia de la verdadera importancia de la informacin
de la organizacin y en segundo lugar a definir reglas claras que
permitan un manejo adecuado de esta y minimicen los riesgos a los que
se la somete en la carrera por brindar los recursos adecuados para la
toma de decisiones a los altos ejecutivos de las organizaciones.
La tecnologa actual permite al usuario acceder desde cualquier parte a

un sistema integrado de informacin y es por eso que la seguridad
informtica juega un rol determinan mediante la administracin
centralizada y las funciones de claves de seguridad en esa plataforma
de administracin como se pudo apreciar en el caso de estudio.
Del anlisis del caso de estudio se pudo notar la importancia de

considerar dentro de un sistema de seguridad informtico la deteccin
de espas ya que las redes gracias a la tecnologa actual son muy
vulnerables a ser atacadas por un hacker quien capturando informacin
puede acceder a datos confidenciales de la empresa.
Un aspecto elemental para el Plan de Seguridad de la Informacin es la

definicin de las polticas de seguridad informtica y su alineacin con
la misin y visin de la empresa como se noto en este trabajo ya que
las polticas son la parte medular de la seguridad de la informacin.
En cuanto a los riesgos identificados no se encontraron mayores

inconvenientes, sin embargo existe un porcentaje significativo de
riesgos de nivel medio, que pueden ser mitigados mediante la
aplicacin de los lineamientos de implementacin de los controles
aplicables a la empresa, que estn sealados en el Plan de Seguridad.
130
La mitigacin de los riesgos de bajo nivel detectados se pone a

consideracin del administrador del rea de Soporte y Sistemas, dado
que su impacto es mnimo son aceptados.
Un factor importante para evaluar los riesgos y determinar los

requerimientos de seguridad en este caso de estudio fue la definicin
de los criterios de seguridad aplicables a la empresa, dado que con
ellos se pudo tener un contexto de las necesidades de seguridad de la
empresa.
El Plan de Seguridad planteado en este trabajo propone un resumen de

las decisiones concernientes con el tratamiento del riesgo y con los
requerimientos organizacionales y legales.
Los documentos resultantes de la implementacin del plan de seguridad

de la informacin son especficos de este caso de estudio, pero
presentan una gran ventaja, ya que al ser la primera vez que se realiza
la implementacin de un plan de seguridad de la informacin en la
empresa como un proceso formal. Este plan presenta los aspectos
fundamentales de un plan de seguridad de la informacin para que
pueda ser adaptado para otras organizaciones que se encuentren en la
misma condicin.
Las Polticas de gestin de seguridad que se plantean en el caso de

estudio, luego del anlisis precedente de la organizacin, establecen un
gran avance en cuanto a la gestin de la seguridad de la informacin
dentro de la organizacin permitiendo llevar un mantenimiento y
seguimiento eficiente a los riesgos y vulnerabilidades, ya que evita que
se deba tomar medidas drsticas cuando una amenaza logra explotar
una vulnerabilidad.
Una de las ms claras evidencias para notar que la implementacin del

plan tuvo una gran aceptacin fue la definicin de los roles y
responsabilidades a los principales involucrados, permitiendo as que
cada uno se encargue de actividades especficas y no de una forma
arbitraria segn las demandas de cada situacin, permitiendo que
conjuntamente se mejore continuamente la Gestin de la Seguridad de
la Informacin dentro de la organizacin.
131
En base al anlisis de resultados se puede notar claramente como se

mejora la seguridad de la informacin de la empresa en ms de un
200% lo cual es una notable evidencia de que la aplicacin del plan
traer muchos beneficios como reducir riesgos y vulnerabilidades.
Dado que la empresa cuenta con una poltica de calidad, lo que se hizo
fue aumentar ciertos controles. La implementacin de estos controles
dar un importante aporte para el logro de los objetivos de la Empresa,
que es justamente la principal meta de este trabajo.
Para la aplicacin del estndar ISO/IEC 13335 en un proyecto como el

presente, es necesario un amplio equipo de trabajo para realizar cada
una de las fases comprendidas en el estndar. Sin embargo, el
entusiasmo y la dedicacin permitieron a la autora establecer un claro
enfoque sobre las tareas a llevar a cabo, saber organizarlas y
planificarlas para que su ejecucin finalmente lleve a la consecucin de
este trabajo, con el apoyo del Director.
4.2 RECOMENDACIONES
Es importante destacar que existen factores crticos de xito que deben

ser tomados en cuenta para la implementacin del Plan, entre ellos, a
partir de la experiencia de este trabajo, se recomiendan los siguientes:
o Establecimiento
de
Polticas,
objetivos
actividades
de
seguridad de informacin que reflejan los objetivos de la

Empresa.
o Realizar un enfoque y marco referencial para implementar,
mantener, monitorear y mejorar la seguridad de la informacin
que sea consistente con la cultura organizacional.
o Proporcionar soporte visible y compromiso de todos los
miembros de la Empresa.
o Alcanzar un buen entendimiento de los requerimientos de
seguridad de la informacin, evaluacin del riesgo y gestin del
riesgo.
132
o Socializacin de la seguridad de la informacin y distribucin de

lineamientos sobre la poltica y los estndares de seguridad de la
informacin con los miembros de la empresa.
o El aprovisionamiento de los recursos para las actividades de
gestin de la seguridad de la informacin.
o Proveer el conocimiento, capacitacin y educacin apropiados.
o Establecer un proceso de gestin de incidentes de seguridad de
la informacin.
o La implementacin de un sistema de medicin de fcil
comprensin como la escala de Likert que se utiliza en este
trabajo para evaluar el desempeo en la gestin de la seguridad
de la informacin y retroalimentacin de sugerencias para el
mejoramiento.
Se recomienda que las empresas de la industria del software en

Ecuador que no tienen establecido ningn Plan de Seguridad, o se
encuentran en la etapa de adopcin de algn plan tomen este modelo
como referencia ya que es un resumen de los estndares de seguridad.
Se recomienda adoptar un estndar de seguridad de la informacin con

las normas ISO 13335 o la familia de estndares 27000 que proponen
muchos beneficios para las pequeas y medianas empresas de nuestro
pas, ya que se le da a las tecnologas y a la informacin el trato y el
valor adecuado que estas tienen puesto que la informacin es uno de
los bienes primordiales de las organizaciones.
Se recomienda extender el modelo de polticas de Seguridad

Informtica desde el rea de Soporte y Sistemas a toda la empresa, por
supuesto debe contar con el total apoyo de la gerencia y debe ser un
objetivo planteado para la organizacin.
Se recomienda desarrollar y establecer un Sistema de Gestin de

Seguridad de Informacin (SGSI) cuyo alcance es ms extenso que el
Plan de Seguridad de la Informacin ya que involucra todos los
aspectos de seguridad de informacin que propone el estndar ISO
27000 que pueden ayudar a reducir an ms el riesgo de la
133
informacin, con el fin de robustecer y hacer ms confiable a la

empresa.
Se recomienda analizar las normas de la familia 27000, las nuevas

revisiones de estndar ISO 13335 y los nuevos modelos y estndares
de seguridad que peridicamente van saliendo para mantener un
mejoramiento contino del Plan de Seguridad de la Informacin.
Debido a que la informacin es muy importante, se recomienda que las

empresas capaciten al personal en lo referente a las normas de
Seguridad de la Informacin, y no verlo como un gasto sino como una
inversin ya que los beneficios obtenidos sobrepasan fcilmente a los
costos de inversin.
134
BIBLIOGRAFA
[1]. Seguridad
Informatica.http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica.
Mayo 2012
[2]. http://definicion.de/seguridad-informatica/ 2008-2012. . Mayo 2012
[3]. http://www.sinar.gov.ec/downloads/L_comercio.pdf. . Mayo 2012
[4]. http://catarina.udlap.mx/u_dl_a/tales/documentos/lis/jerez_l_ca/capitulo1.pd
f . Mayo 2012
[5]. http://www.segu-info.com.ar/politicas/riesgos.htm. Mayo 2012
[6]. http://es.wikipedia.org/wiki/Riesgo_(inform%C3%A1tica). . Mayo 2012
[7]. http://www.piramidedigital.com/Documentos/ICT/pdictsegurindadinformatica
riesgos.pdf.Mayo 2012
[8]. http://www.ciimurcia.es/informas/abr05/articulos/Analisis_gestion_riesgos_seguridad_sist
emas_informacion.pdf. Mayo 2012
[9]. http://www.dma.eui.upm.es/conferencias/contenido/seguridad_infor.pdf.
Mayo 2012
[10].
ISO/IEC 13335 Information technology Security techniques
Management of information and communications technology security. ISO

copyright office. 2004. Diciembre 2011
[11].
AREITIO Javier. Seguridad de la Informacin. Learning Parainfo.
Madrid 2008. Diciembre 2011

[12].
ISO/IEC 27001 Information technology - Security techniques -
Information security management systems Requirements. ISO copyright

office. 2005. Diciembre 2011
[13].
CALDERN LPEZ, Daro Xavier; SUNTAXI OA, Diana Karina.
Propuesta para el anlisis de la seguridad de la informacin en los

laboratorios de computacin de las facultades de Ingeniera de Sistemas
de las Universidades de Quito. Quito - EPN, Marzo 2009. Diciembre 2011
[14].
VASCO AGUAS, Mireya Isabel; VERDEZOTO SALTOS, Mercedes
Estefana. Plan de gestin de seguridad de la informacin basada en Tic's
135
para la Facultad de Ingeniera de Sistemas de la Escuela Politcnica

Nacional. Quito EPN, Marzo 2009. Diciembre 2011
[15].
MANOBANDA CAZA, Gabriela Alexandra. Procedimiento para
evaluar el rendimiento y seguridades de servidores Windows. Quito EPN,

Marzo 2009. Diciembre 2011
[16].
LPEZ,
Agustn.El
portal
de
ISO
27001
en
espaol.
http://www.iso27000.es.Mayo 2012
[17].
Annimo.
Planes
de
seguridad
http://www.textoscientificos.com/redes/firewalls-distribuidos/solucionesseguridad/politicas-seguridad/planes-seguridad.Mayo 2012
[18].
BORGHELLO, Cristian. Segu-Info. Tesis de Seguridad de la
Informacin. http://www.segu-info.com.ar/tesis.Julio 2012.

CD 4645 PDF

Cargado por

Copyright:

Formatos disponibles

También podría gustarte

CD 4645 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CD 4645 PDF

Cargado por

Copyright:

Formatos disponibles

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

PLAN DE SEGURIDAD DE LA INFORMACIN BASADO EN EL

PROYECTO PREVIO A LA OBTENCIN DEL TTULO DE INGENIERO EN

VERNICA LUCIA CHAMORRO ALVARADO

DIRECTOR: ING. CARLOS MONTENEGRO

Quito, enero 2013

SEGURIDAD INFORMTICA ................................................................................................................ 1

ESTNDARES DE SEGURIDAD INFORMTICA ...................................................................................... 1

SEGURIDAD INFORMTICA ........................................................................................................ 1

Valor de la Informacin ................................................................................................................... 4

AMENAZAS EN LA SEGURIDAD INFORMTICA .......................................................................... 5

Tipos de amenazas .......................................................................................................................... 6

La amenaza informtica del futuro ................................................................................................. 7

RIESGOS EN LA SEGURIDAD INFORMTICA ............................................................................... 8

Riesgo e impacto ............................................................................................................................. 8

Tipos de riesgo ................................................................................................................................ 9

PRINCIPALES ESTNDARES DE SEGURIDAD INFORMTICA ....................................................... 9

El Estndar ISO/IEC 17799 ............................................................................................................... 9

EL Estndar ISO/IEC 27001:2005 ................................................................................................... 11

BS 7799-3:2006 Sistemas de Gestin de Seguridad de la Informacin - Parte 3: Guas para la

gestin de riesgos de seguridad de la informacin ............................................................................................ 13

DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD INFORMTICA EN EL ESTNDAR ISO 13335 ...... 14

DIRECTRICES PARA LA GESTIN DE LA SEGURIDAD INFORMTICA ........................................ 16

Gua para la gestin de la seguridad de las TI segn la ISO TR 13335 ........................................... 16

Seguridad de la administracin, operacin y uso de redes de sistemas de informacin, y sus

interconexiones segn la ISO/IEC 18028-1......................................................................................................... 20

CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMTICA ..... 23

Elementos de seguridad ................................................................................................................ 23

Objetivos, Estrategias y Polticas de seguridad de la empresa ...................................................... 29

Aspectos organizativos de la seguridad informtica ..................................................................... 30

Gestin de la seguridad informtica ............................................................................................. 36

Anlisis estratgico del riesgo ....................................................................................................... 39

Recomendaciones de seguridad TI ................................................................................................ 43

Sistema de Polticas de seguridad TI ............................................................................................. 45

Plan de seguridad TI ...................................................................................................................... 46

Implementacin de seguridades ................................................................................................... 47

Importancia de la Seguridad del conocimiento ............................................................................. 48

PLAN DE SEGURIDAD DE LA INFORMACIN ..................................................................................... 55

CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN DE SEGURIDAD INFORMTICO .................. 55

ELABORACIN DEL PLAN DE SEGURIDAD INFORMTICA .................................................................. 55

ALCANCE DEL PLAN .................................................................................................................. 56

POLTICAS DE SEGURIDAD INFORMTICA ............................................................................... 56

ENFOQUE PARA LA GESTIN DEL RIESGO ............................................................................... 57

PROCESO DE CLCULO DE RIESGO .......................................................................................... 57

Anlisis de Riesgo .......................................................................................................................... 57

Evaluacin del riesgo ..................................................................................................................... 58

ANLISIS DEL RIESGO ............................................................................................................... 58

Identificacin de requerimientos legales y comerciales ............................................................... 59

Tasacin de activos ....................................................................................................................... 59

Identificacin de amenazas y vulnerabilidades ............................................................................. 60

Clculo de las Amenazas y Vulnerabilidades ................................................................................. 63

Anlisis del Riesgo y su Evaluacin ................................................................................................ 64

2.2.6.7 Tratamiento del riesgo y el proceso de toma de decisin gerencial ................................ 65

RIESGO RESIDUAL .................................................................................................................... 68

Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos ........................ 69

Preparacin de la Declaracin de Aplicabilidad ...................................................................... 69

Plan de Tratamiento del Riesgo..................................................................................................... 71