Montoya Nelson Diseño Sistema Gestion Seguridad Informacion Centro Cultural Binacional

PONTIFICIA UNIVERSIDAD CATLICA DEL PER
FACULTAD DE CIENCIAS E INGENIERA
DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE

INFORMACIN PARA UN CENTRO CULTURAL BINACIONAL
Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el bachiller:
Nelson Kal Montoya Pachas
ASESOR: Moiss Antonio Villena Aguilar
Lima, Diciembre de 2012
Resumen
La seguridad de informacin es un tema que muchas organizaciones deben ser
capaces de manejar, ya que esto asegura que la organizacin tenga la capacidad para
minimizar los efectos negativos que puedan verse reflejados en sus activos de
informacin, producto de los riesgos a los que estn expuestos dichos activos.
Debern definirse reglas para poder asegurar que la informacin que maneja la
organizacin sea confidencial, ntegra, disponible y auditable en trminos de seguridad.
Caso contrario uno de los activos ms importantes para una organizacin, como es la
informacin, seguir siendo vulnerable ante las amenazas, lo que podra provocar
severas prdidas para la empresa, as como tambin daos a la reputacin de la
misma por no manejar dichas reglas para el buen tratamiento de la informacin.
Esta situacin no es ajena para un centro cultural binacional, ya que dichas

organizaciones manejan informacin de todos los miembros que pertenecen a estas,
as como tambin manejan informacin de sus procesos, la cual les vendra bien a
pequeas empresas que buscan emular las actividades brindadas por estos centros y
as lograr ser ms competitivas en el sector.
Esto motiva a que en el presente proyecto de fin de carrera se disee un Sistema de

Gestin de Seguridad de Informacin segn el estndar internacional ISO/IEC
27001:2005 para un centro cultural binacional, con el propsito de proteger sus activos
de informacin ante las amenazas a las cuales estn expuestos, y de esta manera dar
un tratamiento a los riesgos de informacin presentes en los procesos de la institucin.
Dedicatoria
A mi querida familia, en especial a mi madre, Margarita, por
ensearme con sus acciones a dar lo mejor de m. A mi padre,
Luis, por educarme de la mejor manera. A mi amiga, mi
compaera, Natalia, por motivarme siempre.
Agradecimientos
Agradezco a mi asesor, el Ingeniero Moiss Villena, por el
apoyo brindado. Quiero agradecer al Coordinador de la
especialidad, el Doctor Manuel Tupia, por su perseverancia al
difundir las diversas reas de conocimiento de la especialidad en la
universidad.
TABLA DE CONTENIDO
INTRODUCCIN ____________________________________________________________ 1
1.
GENERALIDADES _______________________________________________________ 2
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.9.1.
1.9.2.
1.10.
1.11.
2.
CARACTERSTICAS DE UN CENTRO CULTURAL BINACIONAL PARA EL SGSI ___ 31

2.1.
2.2.
2.3.
3.
DEFINICIN DE LA PROBLEMTICA __________________________________________ 3

OBJETIVO GENERAL ____________________________________________________ 4
OBJETIVOS ESPECFICOS _________________________________________________ 4
RESULTADOS ESPERADOS ________________________________________________ 5
ALCANCE Y LIMITACIONES ________________________________________________ 5
MTODOS Y PROCEDIMIENTOS _____________________________________________ 8
JUSTIFICACIN Y VIABILIDAD ______________________________________________ 9
PLAN DE PROYECTO ___________________________________________________ 11
MARCO CONCEPTUAL __________________________________________________ 13
DEFINICIONES ______________________________________________________ 13
NORMAS Y PRCTICAS ________________________________________________ 16
REVISIN DEL ESTADO DEL ARTE ________________________________________ 27
DISCUSIN SOBRE LOS RESULTADOS DEL ESTADO DEL ARTE ____________________ 29
MODELAMIENTO DE LOS PROCESOS DEL CENTRO CULTURAL BINACIONAL ____________ 31

IDENTIFICACIN DE LOS ACTIVOS DE INFORMACIN _____________________________ 35
VALORACIN DE LOS ACTIVOS DE INFORMACIN _______________________________ 36
IDENTIFICACIN Y EVALUACIN DE RIESGOS _____________________________ 39

3.1. MAPA DE RIESGOS ____________________________________________________
3.1.1. MATRIZ DE RIESGOS _________________________________________________
3.2. PLAN DE TRATAMIENTO DE RIESGOS ________________________________________
3.3. MAPEO DE LOS CONTROLES DE LA NORMA ISO/IEC 27002 Y EL MARCO COBIT 5 ______
4.
ENTREGABLES DE UN SGSI _____________________________________________ 62

4.1.
5.
39
52
53
54
DECLARACIN DE APLICABILIDAD __________________________________________ 62
OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES__________________ 64

5.1.
5.2.
5.3.
OBSERVACIONES _____________________________________________________ 64
CONCLUSIONES ______________________________________________________ 65
RECOMENDACIONES Y TRABAJOS FUTUROS __________________________________ 66
REFERENCIAS BIBLIOGRFICAS ____________________________________________ 67
Anexos
Anexo A:
Anexo B:
Anexo C:
Anexo D:
Anexo E:
Anexo F:
Inventario de Activos del Centro Cultural

Valorizacin de Activos del Centro Cultural
Amenazas y Vulnerabilidades identificadas por Activo de
Informacin
Matriz de Riesgos
Tratamiento de los Riesgos
Mapeo entre COBIT 5 y los controles seleccionados de la norma
ISO/IEC 27002
Anexo G:
Anexo H:
Anexo I:
Anexo J:
Anexo K:
Anexo L:
Anexo M:
Anexo N:
Declaracin de aplicabilidad
Modelamiento del Proceso de Matrcula
Modelamiento del Proceso de exmenes de cursos
Modelamiento del Proceso de Programacin acadmica
Modelamiento del Proceso para el servicio de actividades
culturales
Modelamiento del Proceso para el servicio de exmenes
internacionales
Modelamiento del Proceso para el servicio de traducciones Online
Modelamiento del Proceso para el servicio de traducciones Sede
NDICE DE FIGURAS
Figura 1.1 Plan de proyecto _____________________________________________ 11

Figura 1.2 EDT del proyecto ____________________________________________ 12
Figura 1.3Ciclo de Deming ______________________________________________ 18
Figura 1.4. Dominios de la norma ISO/IEC 27002 ____________________________ 20
Figura 1.5. Clusulas de la norma ISO/IEC 27003 ___________________________ 21
Figura 1.6. Ciclo de vida del Riesgo_______________________________________ 23
Figura 1.7. Principios de COBIT__________________________________________ 26
Figura 1.8. Modelo de referencia de los procesos de COBIT ___________________ 27
Figura 1.9. Distribucin de organizaciones certificadas a nivel mundial ___________ 28
Figura 1.10.Organizaciones certificadas en el Per___________________________ 29
Figura 3.1. Cascada de objetivos de COBIT 5 _______________________________ 55
Figura 3.2. Objetivos de gobierno de COBIT 5 ______________________________ 56
NDICE DE TABLAS
Tabla 1.1 Objetivos especficos ___________________________________________ 4

Tabla 1.2 Resultados esperados __________________________________________ 5
Tabla 2.1 Criterios de escala cualitativa____________________________________ 37
Tabla 3.1 Criterios de impacto ___________________________________________ 41
Tabla 3.2 Criterios de probabilidad _______________________________________ 41
Tabla 3.3 Lista de amenazas ____________________________________________ 43
Tabla 3.4 Lista de amenazas de causa humana _____________________________ 44
Tabla 3.5 Lista de vulnerabilidades _______________________________________ 46
Tabla 3.6 Nivel de riesgo _______________________________________________ 50
Tabla 3.7 Descripcin de nivel de riesgo ___________________________________ 51
Tabla 3.8 Relacin de Objetivos de Gobierno y TI____________________________ 57
Tabla 3.9 Procesos con relacin primaria __________________________________ 59
Tabla 3.10 Procesos con relacin secundaria _______________________________ 60
Introduccin
Hoy en da la Seguridad de Informacin est tomando ms participacin en las
organizaciones, ya sea por cultura propia o por diversas regulaciones a las cuales
estn obligadas. Con esta herramienta metodolgica de TI se puede atender las
necesidades para ejecutar un adecuado tratamiento a los riesgos que est expuesta la
organizacin.
Por otro lado, en la mayora de las organizaciones se lucha contra una gran resistencia
al cambio y de esto se desprende la falta de compromiso a la hora de intentar generar
cultura de Seguridad en las mismas. Por este motivo, se opta por agrupar todas las
pequeas medidas tomadas por la seguridad y hacer un gran esfuerzo para realizar
actividades y trabajos conjuntos para poder establecer un Sistema de Gestin de
Seguridad de Informacin (SGSI).
En el Per no se tiene una gran presencia de Centros Culturales Binacionales, es por

ello que se ve como oportunidad a este tipo de organizacin y se toma como base
terica para realizar el diseo de un SGSI con el cual se pueda elaborar el correcto
tratamiento para los riesgos presentes en el da a da de esta organizacin.
A lo largo de este proyecto se entendern los aspectos necesarios a considerar para

poder establecer el diseo de un Sistema de Gestin de Seguridad de Informacin
para un Centro Cultural Binacional. Se abarcarn actividades desde los primeros pasos
a realizar como la contextualizacin de la empresa elegida, teniendo en cuenta la
definicin de una serie de criterios y anlisis de la organizacin, as como tambin se
realizara la idnea evaluacin y tratamiento de riesgos para la organizacin.
Con este conjunto de actividades y anlisis a realizar se busca presentar la manera de

poder brindar el camino adecuado para asegurar los activos de informacin de un
Centro
Cultural
Binacional.
1
1. Generalidades
En el presente captulo se presenta:
La problemtica del proyecto.
El objetivo general del proyecto.
Los objetivos especficos que se desprenden del objetivo general.
Los resultados esperados que se tendrn al cumplir con cada objetivo

especfico.
El alcance y las limitaciones para el proyecto.
Los mtodos y procedimientos que se usarn para obtener los resultados

esperados como desarrollo de los objetivos especficos.
La justificacin del proyecto.
La planificacin del proyecto.
El
marco
conceptual
para
que
brinde
definiciones
para
el
correcto
entendimiento del proyecto.
El estado del arte para proyectos similares y la discusin del mismo.
1.1. Definicin de la problemtica
Hoy en da, la informacin se ha convertido en un activo que al igual que otros activos
importantes del negocio, representa un valor significativo para toda organizacin. En
consecuencia, requiere de un tratamiento que asegure su adecuada proteccin. Esto
es muy importante en un creciente ambiente interconectado de negocios, ya que
producto de esto la informacin est expuesta a un mayor rango de amenazas, y
encara un mayor nmero de vulnerabilidades propias del entorno organizacional, que
se generan debido a las diversas formas que puede adoptar la informacin (impresa,
escrita en papel, almacenada electrnicamente, transmitida por correo electrnico o
por medios electrnicos, mostrada en un video o hablada en una conversacin).
Independientemente de la forma que tome la informacin o el medio por el que se
distribuya, debe protegerse. [ISO 27002]
La seguridad de informacin se logra implementando un conjunto de controles, que

pueden
tomar
la
forma
de
polticas,
prcticas,
procedimientos,
estructuras
organizativas y funciones de software y hardware. Estos controles necesitan ser

establecidos, implementados, monitoreados, revisados y mejorados donde sea
necesario, para asegurar que se cumplan los objetivos especficos de seguridad y
negocios de la organizacin. [ISO 27002]
Por otro lado, algo que pone en riesgo de prdida de informacin, reputacional y
econmica, es la poca importancia que se le da al rea de tecnologa de informacin
(TI) en las organizaciones, la misma que es vista como un rea de Soporte y no como
una parte importante de la organizacin que genera valor y que maneja todos los
procesos de la organizacin de manera que estn siempre a disposicin y puedan
brindar facilidades generando herramientas tecnolgicas para el da a da de la
organizacin. [TUPIA 2010]
A lo anterior debemos agregar que la cultura organizacional en el Per no es

abundante en el mbito de seguridad de informacin, y mucho menos en el caso de los
Centros Culturales Binacionales, tal es as que tampoco toman en cuenta aspectos
administrativos como la propia modelacin de sus procesos (lo cual es importante para
3
la realizacin de sus actividades), ya que al tratarse de labores que realizan siempre,

no lo ven como algo que pueda servirles, presentndose situaciones en las que dejan
pasar los aos y no logran evolucionar en ese aspecto.
A partir de lo expuesto previamente, en el presente proyecto de fin de carrera se tiene

como propsito elaborar un Sistema de Gestin de Seguridad de Informacin (SGSI)
segn el estndar internacional ISO/IEC 27001:2005 para un Centro Cultural
Binacional, con el fin de proteger sus activos de informacin ante las amenazas a las
cuales estn expuestos, y de esta manera dar un tratamiento adecuado a los riesgos
de informacin presentes en los procesos ms importantes del Centro Cultural.
1.2. Objetivo general
Disear un Sistema de Gestin de Seguridad de Informacin (SGSI) para un Centro

Cultural Binacional siguiendo las normas internacionales ISO/IEC 27001:2005 e
ISO/IEC 27002:2005.
1.3. Objetivos especficos
Tabla 1.1 Objetivos especficos
ID
OBJETIVO ESPECFICO
OB1
Modelar los procesos de negocio del Centro Cultural

Binacional que forman el alcance del SGSI.
OB2
Identificar y realizar la valorizacin de los activos de

informacin de los procesos de negocio que conforman el
alcance.
OB3
Identificar, analizar y evaluar los riesgos a los cuales estn

expuestos los activos identificados en el punto anterior.
OBJETIVO ESPECFICO
ID
OB4
Seleccionar
objetivos
de
control
controles
para
el
tratamiento de los riesgos identificados en los procesos

principales.
OB5
Elaborar la Declaracin de Aplicabilidad.
OB6
Elaborar
la
documentacin
requerida
por
las
normas
adoptadas para el SGSI.
1.4. Resultados esperados

Tabla 1.2 Resultados esperados
ID
RESULTADOS ESPERADOS
RE1
Modelo de los procesos de negocio del Centro Cultural

Binacional que forman el alcance del SGSI [OB1].
RE2
Inventario de los activos de informacin crticos presentes en

los procesos de negocio que conforman el alcance [OB2].
RE3
Reporte de anlisis del riesgo [OB3].
RE4
Plan de tratamiento del riesgo [OB4].
RE5
Enunciado de Aplicabilidad [OB5].
RE6
Documentacin completa para el SGSI solicitada por el

estndar ISO/IEC 27001:2005 segn el alcance del proyecto
[OB6].
1.5. Alcance y limitaciones

El presente proyecto pretende elaborar el diseo de un Sistema de Gestin de
Seguridad de Informacin para un Centro Cultural Binacional, que le permita a dicha
organizacin, gestionar la seguridad de sus activos, con el objetivo de darles un

tratamiento adecuado frente a los riesgos a los que se encuentran expuestos.
La eleccin del tipo de organizacin est basada en el hecho que dicha institucin
maneja informacin de un negocio no muy comn y que por ende depende de su
confidencialidad como fuente de su ventaja competitiva. Y tambin al promocionar la
cultura manejan informacin personal de sus miembros.
Para el caso de este proyecto el sector se circunscribe a un Centro Cultural Binacional

de tamao mediano con sede en Lima, debido a la facilidad que se quiere tener para el
levantamiento de informacin, y basado en que Lima es la ciudad capital del pas
(motivo por el cual es una de las ciudades ms activas en cuanto a turismo).
Los procesos del Centro Cultural Binacional abarcan una serie de temas que van
desde lo cultural, ya sean exposiciones de arte, teatro y danza; hasta aspectos como el
aprendizaje de la lengua nativa y certificaciones en la misma.
Es por ese motivo que en acuerdo con el Centro se incluyen los siguientes procesos
como parte del alcance para la realizacin del diseo del SGSI:
Proceso de Matrcula.
Proceso de exmenes de cursos.
Proceso de Programacin acadmica.
Proceso para el servicio de actividades culturales
Proceso para el servicio de exmenes internacionales.
Proceso para el servicio de traducciones.
Siendo todos del tipo operativo dentro de un mapa de procesos.
Durante el levantamiento de informacin se llevarn a cabo entrevistas con la empresa

perteneciente al sector descrito previamente, con el objetivo de recolectar los aspectos
necesarios que se debern tenerse en cuenta para el modelamiento de los procesos
con los que se identificarn activos para el presente proyecto.
Para el desarrollo de este proyecto se seguirn los lineamientos propuestos en las

normas internacionales ISO/IEC 27001:2005 e ISO/IEC 27002:2005. Esta decisin se
toma debido a que dichas normas son reconocidas a nivel mundial y que se puede
realizar una certificacin con la norma ISO/IEC 27001:2005 como trabajo futuro.
El desarrollo de este proyecto demanda a su autor la necesidad de conocer a fondo los

procesos mencionados previamente, de manera que ser necesario hacer visitas a la
organizacin donde se adquirir la informacin sobre la cual se basar el
modelamiento de los procesos pertenecientes al alcance de este proyecto. Por esta
razn se crea una dependencia hacia los representantes de la organizacin, de los
cuales se obtendr la informacin, quedando el proyecto supeditado a la disposicin
que brinden dichos representantes, de manera que de no contarse con el apoyo de
estos, el proyecto se ver afectado debido al retraso en el desarrollo de sus
actividades. Y esto podr mermar en la posible reprogramacin de fechas de entregas.
Otra particularidad similar a la anterior es que los representantes de la empresa se

nieguen a brindar informacin sobre los subprocesos que ellos manejan, debido a un
posible recelo por esta informacin, siendo este influenciado por el miedo de que est
informacin caiga en manos de organizaciones del mismo rubro que son parte de la
competencia que existe en el sector.
Como se mencion previamente, este proyecto est limitado a tratar slo los aspectos
de Diseo ya que para una posible implementacin sera necesaria una inversin en
recursos de tiempo, monetarios y de personas por parte de la empresa, situacin algo
difcil para el autor del proyecto. Tambin es motivo de esta acotacin el hecho que no
se dispone del tiempo necesario para poder realizar un proyecto ms ambicioso como
lo mencionado previamente.
1.6. Mtodos y procedimientos
En esta seccin del captulo se presentarn los distintos mtodos y procedimientos que
se debern llevar a cabo para cumplir con los objetivos especficos planteados en este
proyecto.
Primero se presenta la metodologa que se seguir para la conduccin del presente

proyecto de fin de carrera. Luego de esto, se presentarn los mtodos y
procedimientos a realizarse con motivo ya mencionado.
1.6.1.Metodologa para el proyecto
Como lo indica el objetivo general del proyecto, la conduccin del proyecto ser
realizado siguiendo lo propuesto en la norma internacional ISO/IEC 27001:2005 para
elaborar el diseo de un SGSI donde se establezcan una poltica, objetivos, procesos y
procedimientos para el SGSI, relevantes para manejar el riesgo y mejorar la seguridad
de la informacin, para entregar resultados en concordancia con las polticas y
objetivos generales de la organizacin.
1.6.2. Mtodos a realizarse en las distintas actividades para el cumplimiento de

los objetivos especficos
Se presenta como un primer objetivo el modelamiento de los procesos que intervienen

en el alcance, para esta labor se realizarn entrevistas con los representantes de la
empresa, para poder definir las entradas, salidas y tareas para dichos procesos. Luego
de esto, se procesar la informacin recopilada y se proceder a realizar el
modelamiento utilizando la notacin BPMN 2.0.
Acorde a lo anterior, tambin se realizar la identificacin de los activos involucrados
en dichos procesos, para lograr este objetivo se utilizarn los diagramas obtenidos en
el punto anterior y se utilizar la norma ISO/IEC 27005:2008 para poder realizar una
correcta identificacin y valoracin de dichos activos.
Se deber definir una metodologa para identificar, analizar y evaluar los riesgos de
informacin presentes en los procesos pertenecientes al alcance. Una vez definida la
metodologa se deber realizar un anlisis de los riesgos para cada uno de los
procesos utilizando dicha metodologa.
Se dar un tratamiento a los riesgos encontrados utilizando los controles propuestos en

la norma ISO/IEC 27002:2005. El marco COBIT se emplear como contenedor de las
normas ISO de seguridad.
Finalmente se elaborar la declaracin de aplicabilidad segn lo indicado en la norma

ISO/IEC 27001:2005 y se concluir la documentacin requerida para la etapa de
diseo de un SGSI segn esta norma.
1.7. Justificacin y viabilidad
Este proyecto tiene como objetivo elaborar el diseo de un SGSI para un Centro
Cultural Binacional. Este SGSI permitir, a dicha organizacin, gestionar la seguridad
de la informacin que maneja, de manera que se pueda cumplir con la preservacin de
la confidencialidad, integridad y disponibilidad de la informacin.
En cuanto a las implicaciones prcticas, este proyecto pretende ofrecer una

herramienta que gestione la seguridad, y de los activos de informacin presentes en
los principales procesos de un Centro Cultural Binacional, tales como los mencionados
en el alcance del presente proyecto. Por esto, el presente proyecto se circunscribe a un
Centro Cultural Binacional que satisfaga dicho alcance. Se realizar el correspondiente
levantamiento de informacin de esta organizacin, y se adoptar la lgica de negocio
manejada en ella para los procesos incluidos en el alcance.
En cuanto al valor terico, se puede desprender el aporte generado en este proyecto

para lo que se refiere al diseo de un SGSI para este tipo de organizaciones,
quedando documentado todo el procedimiento necesario para tal ejecucin en el
9
presente documento. Esto es importante ya que en el pas no existe precedente para

este tipo de diseo con este tipo de organizaciones.
La viabilidad en el aspecto tcnico para el proyecto est asegurada ya que se usarn

herramientas para su desarrollo que no incurrir en gastos extras para el ejecutante.
As mismo, hay que agregarle el uso de estndares internacionales para la ejecucin
de las actividades necesarias en el del proyecto, lo que dar una pauta segura y
comprobada para seguir en este proyecto lo que garantiza un correcto desarrollo de las
actividades requeridas y buen uso de los recursos y herramientas con las que se
cuentan.
En trminos econmicos tambin se rescata la viabilidad del proyecto. Como se

mencion, el ejecutante ya cuenta con ciertas herramientas que le permitirn
desarrollar el proyecto sin problema alguno; debido a que se trata de un proyecto de fin
de carrera, el ejecutante dispone de ciertos beneficios por parte de la institucin
acadmica a la cual presentar el proyecto a su finalizacin, siendo esta institucin un
apoyo en cuanto a la obtencin de herramientas para el desarrollo se refiere, tales
como los estndares, normas o marcos necesarios para la elaboracin del diseo.
La institucin acadmica que exige el desarrollo de un proyecto como parte de su malla

de cursos, otorga un periodo de 4 meses para la ejecucin de este, lo cual, teniendo en
cuenta el alcance del proyecto, se puede asegurar la viabilidad en trminos
temporales. Vale mencionar, que el alumno asume su responsabilidad como nico
ejecutante y asegura contar con el tiempo y la dedicacin necesaria para el desarrollo
del proyecto, ya sea liberndose de otras cargas o por el contrario haciendo una no
asuncin de las mismas.
10
1.8. Plan de proyecto
A continuacin se presenta el cronograma de actividades en diagrama de Gantt.
Figura 1.1 Plan de proyecto
11
A continuacin se muestra el EDT obtenido.
Figura 1.2 EDT del proyecto
12
1.9. Marco conceptual
A continuacin se presentarn conceptos que enmarcan un mejor contexto para lo

tratado en el presente proyecto:
1.9.1.
Definiciones
Activo
Algo que tenga valor para lo organizacin. [ISO 13335]
Control
Herramienta de la gestin del riesgo, incluido: polticas, pautas, estructuras
organizacionales, que pueden ser de naturaleza administrativa, tcnica, gerencial o
legal. [ISO 27002]
Pauta
Descripcin que aclara que es lo que se debe hacer y cmo se hace, con el fin de
alcanzar los objetivos planteados en las polticas. [ISO 13335]
Instalaciones de proceso de informacin

Sistemas de informacin, servicio o infraestructura, o locaciones fsicas que los
almacena. [ISO 27002]
Seguridad de la informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la informacin, as
mismo, otras propiedades como la autenticidad, no rechazo, contabilidad y
confiabilidad tambin pueden ser consideradas. [ISO 27002]
Evento de seguridad de informacin

Es una ocurrencia identificada de un sistema, servicio, o red el cual indica una posible
brecha de la poltica de seguridad de informacin o fallas de las salvaguardias o una
situacin desconocida que puede ser relevante para la seguridad. [ISO 18044]
13
Incidente de seguridad de informacin

Es indicado por una o varias series de eventos inesperados y no deseados que tienen
una gran probabilidad de comprometer las operaciones de negocios y de amenazar la
seguridad de informacin. [ISO 18044]
Poltica
Direccin general y formal expresada por la gerencia. [ISO 73]
Terceros
Persona que es reconocida por ser independiente de las partes involucradas
concerniente al tema en cuestin. [ISO 73]
Amenaza
Causa potencial de un incidente no deseado que puede resultar en dao al sistema u
organizacin. [ISO 13335]
Vulnerabilidad
Debilidad de un activo o grupo de activos que pueden ser explotados por una o ms
amenazas. [ISO 13335]
Riesgo
Combinacin de la probabilidad de un evento y sus consecuencias. [ISO 73]
Anlisis del riesgo

Uso sistemtico de la informacin para identificar fuentes y estimar el riesgo. [ISO 73]
Valoracin del riesgo

Proceso de comparacin del riesgo estimado contra el criterio del riesgo dado para
determinar el significado de este. [ISO 73]
14
Gestin del riesgo

Actividades coordinadas para dirigir y controlar una organizacin considerando el
riesgo. Gestin del riesgo incluye tpicamente evaluacin del riesgo, tratamiento del
riesgo, aceptacin del riesgo y comunicacin del riesgo. [ISO 73]
Tratamiento del riesgo

Proceso de seleccin e implementacin de medidas para modificar el riesgo. [ISO 73]
Evaluacin del riesgo

Proceso de comparar el riesgo estimado con el criterio de riesgo dado para determinar
la importancia del riesgo. [ISO 73]
Riesgo residual
El riesgo remanente despus del tratamiento del riesgo. [ISO 73]
Aceptacin de riesgo
Decisin de aceptar el riesgo. [ISO 73]
Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada.
[ISO 13335]
Confidencialidad
La propiedad que esa informacin est disponible y no sea divulgada a personas,
entidades o procesos no-autorizados. [ISO 13335]
Integridad
La integridad es la garanta de que los datos sean correctos y de la completitud de la
informacin. [TUPIA 2010]
15
Auditabilidad
Garanta de que en todo momento es posible identificar el origen (autor) de la
transaccin / operacin, la fecha de realizacin y los medios empleados para la misma.
[TUPIA 2010]
Enunciado de aplicabilidad
Enunciado documentado que describe los objetivos de control y los controles que son
relevantes y aplicables al SGSI de la organizacin. [ISO 27001]
1.9.2.
Normas y prcticas
Familia de normas ISO/IEC 27000:2005
La adecuada gestin de la seguridad de la informacin hace necesario implantar un

sistema que aborde esta tarea de una forma metdica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida
la informacin de la organizacin.
La familia de normas ISO/IEC 27000 es un conjunto de estndares desarrollados por

ISO
(International
Organization
for
Standardization)
IEC
(International
Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad

de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande
o pequea.
Dentro de dichos estndares se tienen:
ISO/IEC 27001:2005
Es el estndar principal de la serie y contiene los requisitos para el desarrollo de

un sistema de gestin de seguridad de la informacin. Se bas en la BS 7799-
16
2:2002 (no vigente). Los SGSI se certifican actualmente contra este estndar
por auditores externos a las organizaciones.
Este estndar internacional promueve la adopcin de un enfoque del proceso

para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el
SGSI de una organizacin. [ISO 27001]
Este estndar internacional fomenta que sus usuarios enfaticen la importancia

de [ISO 27001]:
Entender los requerimientos de seguridad de la informacin de una
organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la seguridad
de la informacin.
Monitorear y revisar el desempeo y la efectividad del SGSI.
Mejoramiento continuo en base a la medicin del objetivo.
El estndar adopta el modelo PDCA o tambin conocido como el Ciclo de

Deming (Figura 1.3).
Presenta lo siguiente para cada etapa [ISO 27001]:

Planear (establecer el SGSI): Establecer la poltica, objetivos, procesos y
procedimientos para el SGSI relevantes para manejar el riesgo y mejorar
la
seguridad
de
la
informacin,
para
entregar
resultados
en
concordancia con las polticas y objetivos generales de la organizacin.

Hacer (implementar y operar el SGSI): Implementar y operar la poltica,
controles, procesos y procedimientos para el SGSI.
Chequear (monitorear y revisar el SGSI): Evaluar y, donde sea aplicable,
medir el desempeo del proceso en comparacin con la poltica,
objetivos y experiencias prcticas del SGSI y reportar los resultados a la
gerencia para su revisin.
17
Actuar (mantener y mejorar el SGSI): Tomar acciones correctivas y

preventivas, basadas en los resultados de la auditora interna SGSI y la
revisin gerencial u otra informacin relevante, para lograr el
mejoramiento continuo del SGSI.
Figura 1.3Ciclo de Deming [ISO 27001]
ISO/IEC 27002:2005
Es una gua de prcticas que describe los objetivos de control y los controles
recomendables en cuanto a seguridad de la informacin. Desde el ao 2007 es
la nueva denominacin de la norma ISO/IEC 17799 y por lo tanto, no es
certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11
dominios. La norma ISO 27001 contiene un anexo que resume los controles de
ISO/IEC 27002:2005. [ISO 27002]
Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de

la informacin que pueden utilizarse por los responsables de iniciar, implantar o
mantener y mejorar la seguridad en una organizacin. Persigue proporcionar
una base comn para desarrollar normas de seguridad dentro de las
organizaciones y ser una prctica eficaz de la gestin de la seguridad. [ISO
27002]
18
La norma puede servir como una gua prctica para desarrollar estndares
organizacionales de seguridad y practicas efectivas de la gestin de seguridad.
Igualmente,
permite
proporcionar
confianza
en
las
relaciones
entre
organizaciones. Las recomendaciones que se establecen en esta norma

deberan elegirse y utilizarse de acuerdo con la legislacin aplicable en la
materia. [ISO 27002]
Presenta la siguiente estructura [ISO 27002]:

Poltica de seguridad.
Organizando la seguridad de informacin.
Gestin de activos.
Seguridad en recursos humanos.
Seguridad fsica y ambiental.
Gestin de comunicaciones y operaciones.
Control de acceso.
Adquisicin, desarrollo y mantenimiento de sistemas de informacin.
Gestin de incidentes de los sistemas de informacin.
Gestin de la continuidad del negocio.
Cumplimiento.
19
Figura 1.4. Dominios de la norma ISO/IEC 27002 [ISO 27002]
ISO/IEC 27003:2010
Este Estndar Internacional se enfoca en los aspectos crticos que se necesitan

para lograr el diseo e implementacin satisfactoria de un SGSI segn la
ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo de un
SGSI desde la concepcin hasta la elaboracin de los planes de
implementacin. Este estndar describe el proceso para la obtencin del apoyo
de la alta gerencia de la organizacin para la implementacin del SGSI, provee
una gua sobre como planificar el SGSI, obteniendo como resultado un plan de
implementacin para el SGSI. [ISO 27003]
20
Este estndar internacional propone recomendaciones y aclaraciones, no

especifica ningn requerimiento. Est hecho para trabajar en conjunto con la
ISO/IEC 27001:2005 e ISO/IEC 27002:2005, pero no para modificar y/o reducir
los requerimientos especificados en la norma ISO/IEC 27001:2005 o las
recomendaciones propuestas en ISO/IEC 27002:2005. [ISO 27003]
Presenta las siguientes clausulas [ISO 27003]:

Obtencin de la aprobacin de la alta gerencia para iniciar el SGSI.
Definir el alcance y la poltica para el SGSI.
Conduccin del anlisis de la organizacin.
Conduccin de la valorizacin y el plan de tratamiento de riesgos.
Disear el SGSI.
Figura 1.5. Clusulas de la norma ISO/IEC 27003 [ISO 27003]
21
ISO/IEC 27005:2008
Este estndar internacional provee lineamientos para la gestin del riesgo de la

la seguridad de informacin apoyando los conceptos generales especificados
en el ISO/IEC 27001:2005 y est diseado para asistir la implementacin
adecuada de la seguridad basada en un enfoque del riesgo. Proporciona
directrices para la gestin del riesgo, sin embargo, no proporciona ninguna
metodologa especfica para el anlisis del mismo. [ISO 27005]
El estndar presenta la siguiente estructura de clusulas [ISO 27005]:

Alcance.
Normativa asociada.
Trminos y definiciones.
Estructura del estndar.
Background.
Generalidades sobre el proceso de gestin de riesgos de seguridad de
informacin.
Estableciendo el contexto.
Ciclo de vida de la gestin de riesgos.
Tratamiento del riesgo de seguridad de informacin.
Aceptacin del riesgo de seguridad de informacin.
Comunicacin del riesgo de seguridad de informacin.
Monitoreo y revisin de la gestin de riesgos de seguridad de
informacin.
22
Figura 1.6. Ciclo de vida del Riesgo [ISO 27005]
Ley 29733 - Proteccin a los datos personales
La Ley 29733 se promulg con el objetivo de garantizar el derecho fundamental a la

proteccin de los datos personales, previsto en el artculo 2 numeral 6 de la
Constitucin Poltica del Per, el cual seala que toda persona tiene derecho: A que
los servicios informticos, computarizados o no, pblicos o privados, no suministren
informaciones que afecten la intimidad personal y familiar. Esta proteccin se pretende
lograr a travs de un adecuado tratamiento, en un marco de respeto de los dems
derechos fundamentales que en la Constitucin Poltica del Per se reconocen.
23
El mbito de aplicacin de la Ley es hacia los datos personales contenidos o

destinados a ser contenidos en bancos de datos personales de administracin pblica
y de administracin privada, cuyo tratamiento se realiza en el territorio nacional. Son
objeto de especial proteccin los datos sensibles. [CRP 2011]
La ley presenta la siguiente estructura [CRP 2011]:

Ttulo I: Principios rectores.
Ttulo II: Tratamiento de datos personales.
Ttulo III: Derechos del titular de datos personales.
Ttulo IV: Obligaciones del titular y del encargado del banco de datos
personales.
Ttulo V: Bancos de datos personales.
Ttulo VI: Autoridad Nacional de Proteccin de Datos Personales.
Ttulo VII: Infracciones y sanciones administrativas.
COBIT 5
Es la ltima edicin de este marco mundialmente aceptado, el cual proporciona una

visin empresarial del Gobierno de TI que tiene a la tecnologa y a la informacin como
protagonistas en la creacin de valor para las empresas. ISACA lanz el 10 de abril
de 2012 la nueva versin de este marco de referencia.
El marco empieza su introduccin indicando que la informacin es un recurso clave

para todas las empresas, y desde el momento en que la informacin se ha creado
hasta el momento en que se destruye, la tecnologa juega un papel importante. Por
otro lado increpa que la Tecnologa de la Informacin es cada vez ms avanzada y se
ha extendido en las empresas y en entornos pblicos, sociales y de negocios.
Se presenta a COBIT 5 como un marco integral que facilita la labor de las empresas
para que de esta manera sean capaces de alcanzar sus objetivos de gobierno y de
gestin de las TI. Dicho de otra manera, ayuda a las empresas a crear valor ptimo de
24
las TI manteniendo un balance entre la obtencin de beneficios y la optimizacin de los

niveles de riesgo y el uso de los recursos. [ISACA 2012]
Este marco permite que las TI se rijan y administren de manera integral para toda la
empresa, tomando a la empresa de extremo a extremo y a las reas funcionales de
responsabilidad de TI, teniendo en cuenta los intereses que tienen en las TI, los grupos
de inters externos e internos. [ISACA 2012]
COBIT se basa en cinco (5) principios (Figura 1.7) para el gobierno y la administracin
de las TI en las empresas [ISACA 2012]:
Identificar las necesidades de los grupos de inters: COBIT provee todos los
procesos necesarios para dar soporte a la creacin de valor en la empresa a
travs del uso de las TI. Este marco puede ser aterrizado al contexto en el que
se encuentra la empresa de manera que los objetivos del negocio se puedan
trasladar a objetivos especficos y manejables para las TI y se utilicen los
procesos propuestos en l.
Cubrir y conocer al negocio: Se trata de integrar el Gobierno de TI con el
Gobierno de la empresa. De esta manera se acerca al rea de TI con todos los
procesos de la empresa.
Aplicar un marco integrado simple (se sugiere COBIT).
Habilitar un enfoque holstico: Se trata de ver a las TI como un todo y no como
entidades separadas una de las otras.
Separa Gobierno de Gestin: COBIT hace una clara distincin entre gobierno y
administracin. Estas disciplinas enmarcan distintos tipos de actividades,
requieren distintas estructuras organizacionales y sirven a distintos propsitos.
Estos cinco (5) principios permiten que la empresa pueda elaborar un marco de
gobierno y administracin efectivo que optimice la inversin y el uso en TI para el
beneficio de los grupos de inters.
25
Figura 1.7. Principios de COBIT [ISACA 2012]
COBIT, tomando como base cada uno de estos principios, y a la vez la inclusin de
procesos de los marcos Risk IT y Val IT, propone distintos procesos de gobierno y
administracin, agrupados en los siguientes dominios (Figura 1.8):
Evaluar, Dirigir y Monitorear (EDM).
Alinear, Planificar y Organizar (APO).
Construir, Adquirir e Implementar (BAI).
Difundir, Servir e Soportar (DSS).
Monitorear, evaluar y valorar (MEA).
26
Figura 1.8. Modelo de referencia de los procesos de COBIT [ISACA 2012]
1.10. Revisin del estado del arte
Para el proyecto bastar con la realizacin del diseo de un SGSI basndonos en la

norma ISO/IEC 27001:2005. Pero se presentar a continuacin la situacin mundial en
cuanto a certificaciones sobre dicha norma, es decir casos completos con
implementacin del SGSI en la organizacin.
A la fecha existen 7940 organizaciones certificadas con la norma ISO/IEC 27001:2005,

siguen la distribucin mostrada en la Figura 1.9.
27
Japan
4152
Netherlands
24
Belgium
UK
573
Saudi Arabia
24
Gibraltar
India
546
UAE
19
Lithuania
Taiwan
461
Bulgaria
18
Macau
China
393
Iran
18
Albania
Germany
228
Portugal
18
Bosnia Herzegovina
Czech Republic
112
Argentina
17
Cyprus
Korea
107
Philippines
16
Ecuador
USA
105
Indonesia
15
Jersey
Italy
82
Pakistan
15
Kazakhstan
Spain
72
Colombia
14
Luxembourg
Hungary
71
Russian Federation
14
Macedonia
Malaysia
66
Vietnam
14
Malta
Poland
61
Iceland
13
Mauritius
Thailand
59
Kuwait
11
Ukraine
Greece
50
Canada
10
Armenia
Ireland
48
Norway
10
Bangladesh
Austria
42
Sweden
10
Belarus
Turkey
35
Switzerland
Bolivia
Turkey
35
Bahrain
Denmark
France
34
Peru
Estonia
Hong Kong
32
Chile
Kyrgyzstan
Australia
30
Egypt
Lebanon
Singapore
29
Oman
Moldova
Croatia
27
Qatar
New Zealand
Slovenia
26
Sri Lanka
Sudan
Mexico
25
South Africa
Uruguay
Slovakia
25
Dominican Republic
Yemen
Brazil
24
Morocco
Total
7940
Figura 1.9. Distribucin de organizaciones certificadas a nivel mundial [IIUG 2012]
De las 7940 organizaciones certificadas a nivel mundial se puede apreciar que el

nombre de Per figura con 7 certificaciones en su haber (al 13 de Septiembre de
2012), siendo dichas organizaciones las mostradas en la Figura 1.10.
28
Name of the Organization
Certificate
Country
Number
Certification
Body
Standard BS
7799-2:2002 or
ISO/IEC
27001:2005
GMD
Peru
SAC 0705104
LRQA
ISO/IEC
27001:2005
HERMES TRANSPORTES
BLINDADOS S.A.
Peru
GB12/85495
SGS United
Kingdom Ltd
ISO/IEC
27001:2005
Hochschild Minning PLC
Peru
IS 525891
ISO/IEC
27001:2005
Oficina de Normalisacacin Previsonal

Peru
(ONP)
01 153 04012
TV Rheinland
ISO/IEC
27001:2005
Telefonica del Peru
Peru
179684
Bureau Veritas
Certification
ISO/IEC
27001:2005
Telefonica Empresas
Peru
179684
Bureau Veritas
Certification
ISO/IEC
27001:2005
TELEFONICA GESTION DE
SERVICIOS COMPARTIDOS PERU
S.A.C.
Peru
GB10/79313
SGS United
Kingdom Ltd
ISO/IEC
27001:2005
Figura 1.10.Organizaciones certificadas en el Per [IIUG 2012]
1.11. Discusin sobre los resultados del estado del arte
En los acpites anteriores, se ha observado definiciones, descripciones de normas y

marcos de las cuales se puede entender que existe numerosa informacin en cuanto a
temas de seguridad de la informacin y la gestin de los riesgos. Tambin se ha
vislumbrado el hecho que una cantidad considerable de empresas estn certificadas
con la norma ISO/IEC 27001:2005 a nivel mundial.
Pero en contraposicin a esto, el Per no es uno de los pases que presenta alto
nmero de organizaciones certificadas, por el contrario slo 7 organizaciones a nivel
nacional estn certificas, de las cuales ninguna es un Centro Cultural Binacional o
29
afn. Situacin que se da por diversos factores tales como la cultura o estructura
organizacional que tienen las empresas en el pas, lo que no permite el acoplamiento
de diversos marcos de gobierno y por ende no se aplican o se logra con dificultad.
Podemos desprender de lo expuesto la novedad que representa realizar el diseo de

un Sistema de Gestin de Seguridad de Informacin para un Centro Cultural Binacional
en este pas como tema de este proyecto de fin de carrera.
30
2. Caractersticas de un Centro Cultural Binacional para el SGSI

En el presente captulo se har la presentacin oficial de los procesos indicados en el
alcance, para tal labor se har una descripcin de los mismos, as como tambin se
presentar su moldeamiento con la notacin BPMN 2.0. Posterior a esto, se elaborar
la identificacin y valoracin de los activos de informacin presentes en dichos
procesos.
2.1.
Modelamiento de los procesos del Centro Cultural Binacional
Como se entiende el primer paso para el diseo del SGSI es realizar el moldeamiento
de los procesos incluidos en el alcance, pertenecientes al Centro Cultural binacional.
Para los procesos que se mencionarn, se tiene como dueo del proceso al Director
General de la organizacin, ya que este es quien determina los resultados para estos,
as como tambin las actividades que se debern realizar para lograr dichos
resultados. Los procesos son los siguientes:
31
Proceso de Matrcula
Es uno de los principales procesos que generan casi la totalidad de los ingresos
para la organizacin. El objetivo de este proceso es realizar las actividades
necesarias para lograr concretar la matrcula de un alumno en uno de los
cursos que ofrece la organizacin. El gerente de este proceso es el Supervisor
de Servicios Administrativos.
Este proceso inicia con la intencin de un cliente (alumno) de participar en uno

de los cursos pertenecientes a los programas ofrecidos por la organizacin. En
l se debe asignar una reserva de horario para realizar un pago posterior y as
concretar la matrcula. Para dicha reserva es necesario que el alumno tenga un
nivel de cursos asociado, en caso de no tener un nivel asociado, el alumno
podr rendir un examen de clasificacin para de esta manera asociarle un nivel
o registrar sus datos y empezar desde el nivel ms bsico.
Existe tambin la posibilidad de hacer una modificacin en dicha matrcula

dentro de un periodo establecido por la organizacin para as poder brindar las
facilidades necesarias al alumno de manera que pueda vivir una mejor
experiencia en la organizacin.
El modelamiento de este proceso se encuentra en el Anexo H.
Proceso de exmenes de cursos
El objetivo de este proceso es administrar las evaluaciones para los cursos que
se dictan en la organizacin de manera que se logre satisfacer la demanda de
estas. El gerente de este proceso es el Supervisor de Servicios Administrativos.
Este proceso inicia con el abastecimiento de nuevas evaluaciones y hojas de

respuestas por parte de las sedes, es decir con la solicitud que se realiza a
32
Imprenta, abarca actividades de actualizacin de plantillas y exmenes, as

como tambin el almacenamiento de los mismos por parte de las sedes.
Como se indica, tambin se presentan actividades para distribucin de las

evaluaciones y el retorno de los mismos, as como el registro de notas
obtenidas por parte del alumnado.
El modelamiento de este proceso se encuentra en el Anexo I.
Proceso de Programacin acadmica
El objetivo de este proceso es satisfacer la demanda mensual de cursos que se

presenta en la organizacin. El gerente de este proceso es el Supervisor de
Servicios Administrativos.
En este proceso se vislumbra la manera en la que la organizacin dictar los

cursos mes a mes.
El proceso inicia con la elaboracin de la lista de los cursos que se dictarn, a

su vez se ven actividades para la asignacin de profesores y aulas segn los
criterios que la organizacin maneja.
Se ejecutan tambin actividades de actualizacin debido a la demanda real que

se vive en la organizacin, ya que este proceso est ligado al proceso de
matrcula.
El modelamiento de este proceso se encuentra en el Anexo J.
Proceso para el servicio de actividades culturales
El objetivo de este proceso es preparar una agenda cultural anual para la

promocin de actividades culturales que se llevarn a cabo en las sedes
33
pertenecientes a la organizacin, as como la gestin necesaria para la

realizacin de dichas actividades. El gerente de este proceso es el Director
Cultural.
El proceso inicia con la preparacin de la agenda cultural anual, para lo cual se

definen una serie de eventos en acuerdos con distintos artistas. Posterior a esto
se debe definir la forma en la cual se dar el servicio de entradas a los eventos
ya que la organizacin puede tomar la decisin de trabajar en acuerdo con una
empresa dedicada a la venta de entradas. Finalmente se evala la recaudacin
lograda y se definen los pagos que se realizarn a los artistas por concepto de
los servicios brindados en los eventos.
El modelamiento de este proceso se encuentra en el Anexo K.
Proceso para el servicio de exmenes internacionales
El objetivo de este proceso es brindar el servicio de certificacin en el manejo

de otro idioma a distintos clientes o grupos de clientes, como pueden ser
organizaciones o colegios. Este servicio tambin es necesario para aquellos
que quieren ser profesores de los cursos que brinda el Centro Cultural. El
gerente de este proceso es el Director Acadmico.
El proceso inicia con la inscripcin de un participante para las evaluaciones

programadas. Como se mencion este servicio puede prestarse tambin a
grupos o colegios para lo cual ser necesario realizar un acuerdo con la
Direccin de Exmenes Internacionales de la organizacin.
Se ven tambin las actividades que se realizarn para la calificacin de dichas

evaluaciones ya que se emitirn certificados a nombre de instituciones
internacionales.
El modelamiento de este proceso se encuentra en el Anexo L.
34
Proceso para el servicio de traducciones
El objetivo de este proceso es brindar un servicio de traduccin de documentos

al pblico en general. Se traducen documentos especiales o documentos
generales como partidas de nacimiento, diplomas, etc. El gerente de este
proceso es el Director Acadmico.
Este servicio se puede realizar tambin por Internet, sin necesidad que el
cliente se aproxime a las inmediaciones de la organizacin. Inicia con la
solicitud de traduccin de algn documento, abarca actividades que se realizan
para la elaboracin de la cotizacin de dichos documentos, as como tambin el
proceso de traduccin en s.
En la empresa existen 2 formas de ofrecer este servicio, motivo por el cual el

modelamiento se realizar en 2 diagramas distintos.
El modelamiento de este proceso se encuentra en los Anexos M y N.
Para todos los procesos presentados se entiende que los operativos del proceso
(personas encargadas de llevar a cabo las actividades del proceso) sern las que
aparezcan en los diagramas del modelamiento.
2.2.
Identificacin de los activos de informacin
No se puede proteger lo que no se conoce est simple pero muy importante frase,
que menciona [TUPIA 2010], nos incita a repasar el por qu se realiz el modelamiento
de los procesos en el acpite anterior. Pues bien, la respuesta a ello es poder
determinar en cada proceso los activos involucrados, esto permitir poder realizar una
35
buena gestin de riesgos asociados a los procesos de negocio del Centro Cultural
Binacional.
En el Anexo A se presenta el inventario de activos realizado en el Centro Cultural a

manera de tabla conteniendo las siguientes columnas:
ID: Ser el identificador del activo.
Activo: Es el nombre del activo o la manera en la que se le identifica en el

Centro Cultural.
Proceso: Proceso al cual pertenece el activo o en el que participa.
Tarea: Tarea del proceso en la que est presente el activo.
Descripcin: Descripcin del activo
Tipo: Indica si el activo es primario o secundario.
Tangible: Indica si el activo es tangible o no.
2.3.
Valoracin de los activos de informacin
Posterior a la identificacin de activos se debe establecer la escala a utilizar y los

criterios para la asignacin de un lugar determinado en dicha escala a cada activo,
sobre la base de la valoracin.
Debido a la diversidad de activos que se encuentren dentro de la mayora de las

organizaciones es probable que algunos activos que tienen un valor monetario
conocido se valoren monetariamente, mientras que otros que tienen un valor ms
cualitativo se les puede asignar un valor en dicha escala que vaya, de "muy bajo" a
"muy alto".
La decisin de utilizar una escala cuantitativa versus una escala cualitativa es

realmente una cuestin de preferencia organizacional. Ambos tipos de valoracin
podran ser utilizados para el mismo activo. [ISO 27005]
36
Para realizar la valoracin de los activos de informacin debemos primero definir una
escala para cada criterio que tendremos en cuenta. Los criterios sern: disponibilidad,
integridad, confidencialidad.
La escala cualitativa se puede apreciar en la Tabla 2.1.

Tabla 2.1 Criterios de escala cualitativa
Criterio
ValordelActivo
Segnel
Criterio
0
1
Disponibilidad
2
1
Integridad
2
Confidencialidad
0
1
Clase
Descripcin
Noaplica/Noes
relevante
Sepuedetolerarqueelactivo
noestdisponible
Bajadisponibilidad
Sepuedetolerarqueelactivo
noestdisponiblepormsde
unda
Disponibilidadmediana Sepuedetolerarqueelactivo
noestdisponiblepormximo
medioounda
Altadisponibilidad
Nosepuedetolerarqueel
activonoestdisponiblepor
unoshorasoinclusivemenos
Noaplica/Noes
Eldaoomodificacinno
relevante
autorizadanogeneraimpacto
negativoenlaempresa
Bajaintegridad
Eldaoomodificacinno
autorizadageneraunimpacto
insignificanteomenorenla
empresa
Integridadmediana
Eldaoomodificacinno
significativoenlaempresa
Integridadalta
Eldaoomodificacinno
importanteenlaempresay
podraconllevarafallagraveo
totaldeempresa
Noaplica/Noes
relevante
Activodevoxppuli
Disponiblealpblico
Parausointerno
solamente
Activodisponibleparael
pblicoengeneral
Activodisponibledentrodela
organizacinconrestricciones
variadasconbaseenlas
necesidadesdelaempresa
37
Criterio
ValordelActivo
Segnel
Criterio
3
Clase
Estrictamente
confidencial
Descripcin
Activodisponibleslosobrela
basedelanecesidadestricta
delconocimiento
Para finalizar la valoracin se obtendr como valor del activo la suma de los valores
por criterio que obtenga cada uno. Los activos que se tendrn en cuenta para la
realizacin del proyecto sern los que obtengan un valor mayor o igual a 5 de acuerdo
al apetito de riesgo del Centro Cultural.
En el Anexo B se vuelven a presentar los activos a manera de tabla pero esta vez se
mostrar su valor segn los criterios previamente definidos, esta tabla presentar las
siguientes columnas:
ID: Identificador de activo.
Activo: Nombre del activo o como se le denomina en el Centro Cultural.
Disponibilidad: Valor del criterio de disponibilidad del activo.
Integridad: Valor del criterio de integridad del activo.
Confidencialidad: Valor del criterio de confidencialidad del activo.
Valor: Valor cualitativo estimado del activo.
38
3. Identificacin y evaluacin de Riesgos

En el presente captulo se elaborar el mapa de riesgos adecuado a los activos
seleccionados para ser tratados en el presente proyecto, para esto se debern definir
previamente la metodologa de riesgos a utilizar. De igual manera una vez definida la
metodologa se realizar el anlisis de riesgo pertinente. Posteriormente, una vez
realizado el anlisis se determinarn controles para el tratamiento tomando como base
los indicados en la ISO/IEC 27002. Finalmente se realizar un mapeo entre los
controles seleccionados para el tratamiento y los procesos del marco COBIT 5, para
mostrar la relacin entre la norma y el marco.
3.1.
Mapa de riesgos
Como se indica en la introduccin de este captulo, el primer paso ser definir una
metodologa para la gestin de los riesgos. Dentro de las posibilidades existentes se ha
39
rescatado el uso de la norma ISO/IEC 27005. Esta norma proporciona directrices para
la gestin del riesgo en la seguridad de la informacin en una organizacin, dando
soporte particular a los requisitos de un sistema de gestin de seguridad de la
informacin (SGSI) de acuerdo con la norma ISO/IEC 27001 (usada como gua para la
elaboracin de este proyecto), y es por este motivo el que se cree conveniente el uso
de la misma como metodologa de riesgos. Sin embargo, esta norma no brinda ninguna
metodologa especfica para la gestin del riesgo en la seguridad de la informacin,
pero proporciona en sus clusulas un proceso para la gestin de riesgos, es por ello
que la norma puede utilizarse como metodologa en s. [ISO 27005]
Una vez aceptada la norma como metodologa, se procede a realizar el anlisis de la

misma para ejecutar las indicaciones que en ella encontramos. Como primera instancia
la norma menciona que se debe establecer el contexto para la gestin de riesgo. Este
contexto determina los criterios bsicos para la gestin del riesgo. Dentro de estos
criterios se encuentran los criterios de impacto y probabilidad.
Como marco inicial para estos conceptos de criterios se debe entender el significado
de un escenario de incidente, es la descripcin de una amenaza que explota una
vulnerabilidad determinada o un conjunto de vulnerabilidades en un incidente de
seguridad de informacin. Los conceptos de impacto y probabilidad estn asociados a
este de escenario de incidente, de manera tal que se ve a la probabilidad de ocurrencia
como una amenaza que explota una vulnerabilidad con una probabilidad determinada,
y al impacto como el impacto que afecta en el negocio en caso de produjese dicho
escenario de incidente. [ISO 27005]
Para ambos conceptos se presenta una escala desde un nivel llamado Muy bajo/a
hasta el denominado Muy alto/a, y para cada uno se ha tomado en cuenta lo que
pretende expresar el Centro Cultural con cada una de estas denominaciones, tal y
como lo indica la norma, acerca de la contextualizacin de los criterios.
A continuacin se presenta el significado de tales denominaciones para cada criterio,

en la Tabla 3.1 y en la Tabla 3.2.
40
Tabla 3.1 Criterios de impacto
ID Valor
Impactoproducidoporelescenario
Descripcin
1 MuyBajo
Losprocesosrelacionadosnoseveranafectadosysepodran
continuarnormalmenteconsudesarrollo.
2 Bajo
Losprocesosrelacionadosseveranafectadosyserequerira
depocomenosdeunahoraparapodercontinuarconsu
desarrollo.
3 Medio
depocashorasparapodercontinuarconsudesarrollo.
4 Alto
depocosdasparapodercontinuarconsudesarrollo.
5 MuyAlto
Losprocesosrelacionadosseveranafectadosportiempo
indefinidosuperioraunasemanaparapodercontinuarconsu
desarrollo.
Tabla 3.2 Criterios de probabilidad
ID Valor
Probabilidaddeocurrenciadelescenario
Descripcin
1 MuyBaja
Elescenarioenmencinocurreraravezenlaempresa.Enel
aspectotemporalsepuededecirquesucedeunavezcada
cincoaos.
2 Baja
Elescenarioenmencinocurreocasionalmenteenla
empresa.Enelaspectotemporalsepuededecirquesucede
unavezalao.
3 Media
Elescenarioenmencinocurreeventualmenteenlaempresa.
Enelaspectotemporalsepuededecirquesucedeunavezal
mes.
4 Alta
Elescenarioenmencinocurreconfrecuenciaenlaempresa.
Enelaspectotemporalsepuededecirquesucedeunavezala
semana.
41
Elescenarioenmencinocurreconnotablecontinuidadenla
empresa.Enelaspectotemporalsepuededecirquesucede
msdeunavezalasemana.
La norma indica, como siguiente paso, que se realice la valoracin del riesgo de
5 MuyAlta
seguridad de informacin. Remarca que los riesgos se deberan identificar, describir

cuantitativa o cualitativamente y priorizar frente a los criterios de evaluacin del riesgo
y los objetivos relevantes para la organizacin. [ISO 27005]
Un riesgo es una combinacin de consecuencias que se presentaran despus de la

ocurrencia de un evento indeseado y de su probabilidad de ocurrencia. La valoracin
del riesgo cuantifica o describe cualitativamente el riesgo y permite a los directores
priorizar los riesgos de acuerdo con su gravedad percibida u otros criterios
establecidos. El propsito de la identificacin del riesgo es determinar qu podra suceder
que cause una prdida potencial, y llegar a comprender el cmo, dnde y por qu podra
ocurrir esta prdida.[ISO 27005]
En base ello, el siguiente paso es realizar la identificacin de los riesgos, para lo cual
previamente se debern identificar los eventos que podran desencadenar el riesgo y
por ende se deben detallar las amenazas y vulnerabilidades que conforman los
escenarios de estos eventos.
Una amenaza puede causar daos a activos tales como informacin, procesos y
sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de origen
natural o humano y podran ser accidentales o deliberadas. Es recomendable
identificar tanto los orgenes de las amenazas accidentales como de las deliberadas.
Una amenaza puede tener su origen dentro o fuera de la organizacin y algunas
pueden afectar a ms de un activo, generando distintos impactos en cada escenario.
[ISO 27005]
Se presenta en la norma una lista de posibles amenazas a encontrarse en las

organizaciones, la cual ser tomada como lista de posibles amenazas para el Centro
Cultural.
42
La siguiente lista, reflejada en la Tabla 3.3, muestra para cada tipo de amenaza donde
D (deliberado), A (accidental), E (ambiental) es relevante. D se utiliza para todas las
acciones deliberadas dirigidas a los activos de informacin, A se utiliza para todas las
acciones humanas que pueden daar accidentalmente los activos de informacin, y E
se utiliza para todas las incidencias que no se basan en las acciones humanas.
Tabla 3.3 Lista de amenazas
Tipo
Dao Fsico
Eventos naturales
Prdida de servicios
esenciales
Amenaza
Fuego
A,D,E
Daosporagua
A,D,E
Contaminacindelmedioambiente
A,D,E
Accidentegrave
Destruccindelosequiposomediosde
comunicacin
Polvo,corrosin,congelacin
A,D,E
A,D,E
A,D,E
Fenmenoclimtico
Fenmenossmico
Fenmenovolcnico
Fenmenometeorolgico
Inundacin
Fallodelsistemadesuministrodeaire
acondicionadoodeagua
Prdidadelsuministrodeenerga
Falladeequiposdetelecomunicaciones
Perturbacin debido a
radiacin
Origen
A,D
A,D,E
A,D
Radiacinelectromagntica
A,D,E
Radiacintrmica
A,D,E
Pulsoselectromagnticos
A,D,E
Compromiso de informacin Interceptacindeseales
Espionajeremoto
Escuchailegal
Robodemultimediaodocumentos
Robodeequipos
Recuperacindemultimediarecicladoso
desechados
Divulgacin
Datosprocedentesdefuentesno
confiables
D
A,D
A,D
43
Tipo
Amenaza
Fallas tcnicas
Manipulacindehardware
Manipulacindesoftware
A,D
Deteccindeposicin
Fallodeequipo
Malfuncionamientodeequipo
Saturacindelsistemadeinformacin
A,D
Malfuncionamientodesoftware
Incumplimientodemantenimientodel
sistemadeinformacin
Usodeequiposinautorizacin
Copiafraudulentadesoftware
Acciones no autorizadas
Usodesoftwarefalsificadoocopiado
A,D
D
D
A,D
Datoscorruptos
Tratamientoilegaldedatos
Erroreneluso
Abusodelosderechos
Compromiso de funciones
Origen
A,D
Falsificacindederechos
Negacindeacciones
Incumplimientodeladisponibilidadde
personal
D
A,D,E
Tambin se presenta una lista de amenazas con fuente de causas humana, se puede
ver en la Tabla 3.4.
Tabla 3.4 Lista de amenazas de causa humana
Origen de la amenaza
Amenaza
Hacking
Hacker, cracker
Ingenierasocial
Intrusin,accesosforzadosalsistema
Accesonoautorizadoalsistema
Crimencomputacional
Actosfraudulentos
Criminal de computacin
Informacincorrupta
Suplantacindeidentidad
Intrusionesenelsistema
44
Origen de la amenaza
Amenaza
Bomba
Guerradeinformacin
Terrorista
Ataquesalsistema
Penetracinalsistema
Manipulacindelsistema
Ventajadedefensa
Ventajapoltica
Explotacineconmica
Espionaje industrial
Robodeinformacin
Intrusinainformacinpersonal
Ingenierasocial
Penetracinalsistema
Accesonoautorizadoalsistema
Asaltoaempleado
Chantaje
Intromisinainformacinpersonal
Abusodelordenador
Fraudeyrobo
Informacincorrupta
Intrusos
Ingresodedatoscorruptosofalsos
Intercepcin
Cdigomalicioso
Ventadeinformacinpersonal
Erroresenelsistema
Intromisinalsistema
Sabotajealsistema
Una vulnerabilidad no causa dao por s misma, dado que es necesario que haya una
amenaza presente para explotarla. Una vulnerabilidad que no tiene una amenaza
correspondiente puede no requerir de la implementacin de un control, pero es
recomendable reconocerla y monitorearla para determinar los cambios. [ISO 27005]
45
De la misma forma realizada para las amenazas, se debe hacer una identificacin de
las vulnerabilidades existentes para cada activo. En la Tabla 3.5 se muestra una lista
de estas.
Tabla 3.5 Lista de vulnerabilidades
Tipos
Ejemplos de vulnerabilidades
Mantenimientoinsuficiente/instalacinfallidadelos
mediosdealmacenamiento.
Faltadeesquemasdereemplazoperidico
Susceptibilidadalahumedad,elpolvoylasuciedad
Sensibilidadalaradiacinelectromagntica
Hardware
Faltadecontroldecambioconconfiguracineficiente
Susceptibilidadalasvariacionesdetensin
Susceptibilidadalasvariacionesdetemperatura
Almacenamientosinproteccin
Faltadecuidadoenladisposicinfinal
Copianocontrolada
Software
Faltaoinsuficienciadelapruebadelsoftware
Defectosbienconocidosenelsoftware
Faltade"terminacindelasesin"cuandoseabandonala
estacindetrabajo
Disposicinoreutilizacindelosmediosdealmacenamiento
sinborradoadecuado
Faltadepruebasdeauditora
Distribucinerradadelosderechosdeacceso
Softwarededistribucinamplia
Utilizacindelosprogramasdeaplicacinalosdatoserrados
entrminosdetiempo
Interfazdeusuariocomplicada
Faltadedocumentacin
Configuracinincorrectadeparmetros
Fechasincorrectas
Faltademecanismosdeidentificacinyautentificacin,como
laautentificacindeusuario
Tablasdecontraseassinproteccin
Gestindeficientedelascontraseas
Habilitacindeserviciosinnecesarios
Softwarenuevooinmaduro
Especificacionesincompletasonoclarasparalos
desarrolladores
46
Tipos
Faltadecontroleficazdelcambio
Descargayusonocontroladosdesoftware
Faltadecopiasderespaldo
Faltadeproteccinfsicadelaspuertasyventanasdela
edificacin
Fallaenlaproduccindeinformesdegestin
Faltadepruebadelenvoolarecepcindemensajes
Lneasdecomunicacinsinproteccin
Trficosensiblesinproteccin
Conexindeficientedeloscables.
Red
Puntonicodefalla
Faltadeidentificacinyautentificacindeemisory
receptor
Arquitecturainseguradelared
Transferenciadecontraseasautorizadas
Gestininadecuadadelared(capacidadderecuperacindel
enrutamiento)
Conexionesderedpblicasinproteccin
Ausenciadelpersonal
Procedimientosinadecuadosdecontratacin
Entrenamientoinsuficienteenseguridad
Usoincorrectodesoftwareyhardware
Personal
Faltadeconcienciaacercadelaseguridad
Faltademecanismosdemonitoreo
Lugar
Organizacin
Trabajonosupervisadodelpersonalexternoodelimpieza
Faltadepolticasparaelusocorrectodelosmediosde
telecomunicacionesymensajera
Usoinadecuadoodescuidadodelcontroldeaccesofsicoalas
edificacionesylosrecintos
Ubicacinenunreasusceptibledeinundacin
Redenergticainestable
Faltadeproteccinfsicadelaspuertasyventanasdela
edificacin
Faltadeprocedimientoformalparaelregistroyretirodel
registrodeusuario
Faltadeprocesoformalparalarevisin
(supervisin)delosderechosdeacceso
Faltaoinsuficienciadedisposiciones(conrespectoala
seguridad)enloscontratosconlosclientesy/oterceras
partes
47
Tipos
Faltadeprocedimientodemonitoreodelosrecursosde
procesamientoinformacin
Faltadeauditoras(supervisiones)regulares
Faltadeprocedimientosdeidentificacinyevaluacinde
riesgos
Faltadereportessobrefallasincluidosenlosregistrosde
administradoresyoperador
Respuestainadecuadademantenimientodelservicio
Faltaoinsuficienciaenelacuerdoaniveldeservicio
Faltadeprocedimientodecontroldecambios
Faltadeprocedimientoformalparaelcontroldela
documentacindelSGSI
Faltadeprocedimientoformalparalasupervisindel
registrodelSGSI
Faltadeprocedimientoformalparalaautorizacindela
informacindisponiblealpblico
Faltadeasignacinadecuadaderesponsabilidadesenla
seguridaddelainformacin
Faltadeplanesdecontinuidad
Faltadepolticassobreelusodelcorreoelectrnico
Faltadeprocedimientosparalaintroduccindelsoftwareen
lossistemasoperativos
Faltaderegistrosenloslogsdeadministradoryoperario.
Faltadeprocedimientosparaelmanejodeinformacin
clasificada
Faltaderesponsabilidadesenlaseguridaddela
informacinenladescripcindeloscargos
Faltaoinsuficienciaenlasdisposiciones(conrespectoala
seguridaddelainformacin)enloscontratosconlos
empleados
Faltadeprocesosdisciplinariosdefinidosenelcasode
incidentesdeseguridaddelainformacin
Faltadepolticaformalsobrelautilizacindecomputadores
porttiles
Faltadecontroldelosactivosqueseencuentran
fueradelasinstalaciones
Faltaoinsuficienciadepolticasobrelimpiezadeescritorioy
depantalla
Faltadeautorizacindelosrecursosdeprocesamiento
delainformacin
Faltademecanismosdemonitoreoestablecidosparalas
brechasenlaseguridad
Faltaderevisionesregularesporpartedelagerencia
48
Tipos
Faltadeprocedimientosparalapresentacindeinformes
sobrelasdebilidadesenlaseguridad
Faltadeprocedimientosdelcumplimientodelas
disposicionesconlosderechosintelectuales
Para esto se tomarn los activos valorizados que satisfacen el apetito de riesgo del
Centro Cultural y se realizarn para ellos una identificacin de las amenazas y
vulnerabilidades correspondientes para dichos activos. Esta asignacin se apreciar en
la tabla del Anexo C que cuenta con las columnas:
IDV: identificacin de activo en la valorizacin.
Proceso: Proceso al cual pertenece el activo.
Activo: Activo de informacin que satisface exigencias de la valorizacin de

activos.
Vulnerabilidad: Posible vulnerabilidad del activo.
Amenaza: Amenaza a la cual est expuesta el activo.
Posteriormente, con las vulnerabilidades y amenazas identificadas, se puede realizar la

identificacin de las consecuencias. Una consecuencia puede ser la prdida de la
eficacia, condiciones adversas de operacin, prdida del negocio, reputacin, dao, etc.
[ISO 27005]
Cabe definir previamente la manera en la que se estimarn los riesgos. Una

metodologa de estimacin puede ser cualitativa o cuantitativa, o una combinacin de
ellas, dependiendo de las circunstancias. En la prctica, con frecuencia se utiliza la
estimacin cualitativa en primer lugar para obtener una indicacin general del nivel del
riesgo y revelar los riesgos ms importantes. La forma del anlisis debera ser
consistente con los criterios de evaluacin del riesgo desarrollados como parte del
establecimiento del contexto.
La estimacin cualitativa utiliza una escala de atributos calificativos para describir la

magnitud de las consecuencias potenciales (para el caso del presente proyecto se
utilizarn los definidos previamente) y la probabilidad de que ocurran dichas
49
consecuencias. Una ventaja de la estimacin cualitativa es su facilidad de comprensin

por parte de todo el personal pertinente, mientras que una desventaja es la
dependencia en la seleccin subjetiva de la escala. [ISO 27005]
Para realizar esta estimacin se tomar como base un enfoque proporcionado en la

norma, el cual enfrenta al impacto de un escenario contra la probabilidad de ocurrencia
de dicho escenario, para de esta manera lograr otorgarle un valor al riesgo asociado a
dichos grados de impacto y probabilidad. Se obtiene una tabla de nivel de riesgo.
Tabla 3.6 Nivel de riesgo
Impactoen
elnegocio
Probabilidadde
unescenariode
incidente
MuyBaja
(1)
Baja
(2)
Media
(3)
Alta
(4)
MuyAlta
(5)
MuyBajo
(1)
Bajo
(2)
Medio
(3)
Alto
(4)
MuyAlto
(5)
En la Tabla 3.7, se muestran 4 niveles de riesgo que sern claves para la evaluacin,
dentro de los cuales tenemos: Bajo, medio, alto y crtico. Estos niveles se obtienen
determinando primero un nivel de probabilidad de ocurrencia de un escenario de
incidente (desde muy baja hasta muy alta) y por otro lado determinando un nivel de
impacto en el negocio (desde muy bajo hasta muy alto) con lo que se logra ubicar el
escenario de incidente en uno de los 4 niveles de riesgo mencionados. A manera de
ejemplo se asume que se tiene un escenario con probabilidad de ocurrencia media (3)
50
y un impacto alto (4), eso nos dara in nivel de riesgo 6 para lo que se obtiene que el
nivel de riesgo sea alto, como se muestra en la siguiente tabla de nivel de riesgo.
Tabla 3.8 Descripcin de nivel de riesgo
Nivelde
riesgo
1,2,3
Bajo
4,5
Medio
6,7
Alto
8,9
Crtico
Para poder realizar el anlisis de riesgo se tomarn en cuenta los activos de

informacin que estn dentro de lo especificado por el Centro Cultural, es decir los que
obtuvieron un valor igual o superior a 5 en dicha valorizacin.
Para todos y cada uno de ellos se determinarn posibles escenarios de incidentes, con
los cuales se obtendr una estimacin de nivel de riesgo y de esa manera poder
determinar los riesgos ms peligrosos para el Centro Cultural y con ellos poder
elaborar un plan de tratamiento de riesgos.
Para evaluar los riesgos se utilizar una escala numrica del 1 al 5 donde el menor
valor representa al riesgo con mayor prioridad (esto se ver representado para la parte
de tratamiento de riesgos), en el caso de coincidir con el nivel encontrado se tomar la
decisin de priorizar los riesgos que presenten un mayor impacto en el negocio.
51
El paso siguiente es elaborar la matriz de riesgos correspondiente para dichos activos

seleccionados como parte del anlisis.
3.1.1. Matriz de riesgos
En este apartado se elaborar la matriz de riesgos utilizando los criterios antes

definidos para la probabilidad de ocurrencia de un escenario de incidente y el impacto
que este tendra en la organizacin, as como tambin se toman en cuenta las listas de
amenazas y vulnerabilidades sugerida por la ISO/IEC 27005 para elaborar dicho
anlisis.
Esta tabla utilizar las siguientes columnas:
IDV: identificacin de activo en la valorizacin.
Proceso: Proceso al cual pertenece el activo.
Activo: Activo de informacin que satisface exigencias de la valorizacin de

activos.
Vulnerabilidad: Posible vulnerabilidad del activo.
Amenaza: Amenaza a la cual est expuesta el activo.
IDR: Identificacin del posible escenario de incidente.
Riesgo: Consecuencia del escenario.
Impacto: Valor cualitativo del impacto del escenario de incidente.
Probabilidad: Probabilidad de ocurrencia del escenario de incidente.
Valor: Es el valor cualitativo del escenario de incidente obtenido utilizando el

enfoque de la norma ISO/IEC 27005.
En el Anexo D se muestra la tabla con el anlisis.
Este anlisis permitir determinar el nivel de riesgo que se incluir en el tratamiento de

riesgos, estos sern los riesgos con un nivel crtico o alto.
52
3.2.
Plan de tratamiento de riesgos
Luego de haber obtenido el nivel de riesgo se deber seleccionar controles para

reducir, retener, evitar o transferir los riesgos (que obtuvieron un nivel crtico o alto) y
se deber definir un plan para el tratamiento del riesgo.
Las opciones para este tratamiento se deberan seleccionar con base en el resultado
de la evaluacin del riesgo, ya que con esta se priorizarn los riesgos, el costo
esperado para implementar estas opciones y los beneficios esperados como resultado
de tales opciones. Cuando se pueden obtener reducciones grandes en los riesgos con
un costo relativamente bajo, se deberan implementar esas opciones. Las opciones
adicionales para las mejoras pueden no ser econmicas y es necesario estudiarlas
para determinar si se justifican o no. [ISO 27005]
Por los motivos anteriores es necesario realizar la labor de asignacin de controles en

conjunto con el Centro Cultural para poder plasmar sus expectativas en cuanto a
reduccin del riesgo.
En general, los controles pueden brindar uno o ms de los siguientes tipos de

proteccin: correccin, eliminacin, prevencin, minimizacin del impacto, disuasin,
deteccin, recuperacin, monitoreo y concienciacin. Durante la seleccin del control
es importante ponderar el costo de adquisicin, implementacin, administracin,
operacin, monitoreo y mantenimiento de los controles en comparacin con el valor de
los activos que se protegen; adems, el retorno de la inversin en trminos de
reduccin del riesgo y el potencial para explotar nuevas oportunidades de ejecucin
que brindan algunos controles tambin se deberan tomar en consideracin. Tambin
conviene considerar las habilidades especializadas que pueden ser necesarias para
definir e implementar nuevos controles o modificar los existentes. [ISO 27005]
Para la seleccin de controles se utilizarn los propuestos en la norma ISO/IEC 27002

ya que esta norma proporciona informacin detallada de los mismos y son adecuados
para el trabajo que se viene realizando con la norma ISO/IEC 27001.
53
En el Anexo Ese presenta una tabla con los controles que seran convenientes aplicar
para la reduccin de riesgos asocindolos con dichos riesgos. Dicha tabla cuenta con
las siguientes columnas:
IDR: Identificador del riesgo identificado.
Riesgo: Riesgo identificado y estimado.
Evaluacin: Priorizacin del riesgo segn los criterios de evaluacin.
Control: Control de la norma ISO/IEC 27002.
Detalle: Detalle del control de la norma ISO/IEC 27002.
3.3.
Mapeo de los controles de la norma ISO/IEC 27002 y el marco COBIT 5
En esta seccin se analizar el marco COBIT para realizar un alineamiento de los

controles de la norma ISO/IEC 27002, seleccionados en el apartado anterior como
parte del tratamiento de los riesgos, hacia los procesos de dicho marco.
Se realiza este alineamiento ya que los controles propuestos en el tratamiento cubren

reas especficas y pueden ser mapeados al marco de referencia COBIT,
proporcionando as una jerarqua de materiales de orientacin en TI para el Centro
Cultural, ya que los controles de dicho marco son modelos de procesos de TI. [ISACA
2008]
Tal cual se present en la seccin de estado del arte, el marco COBIT presenta
procesos para el gobierno de TI agrupados en los siguientes dominios:
Evaluar, Dirigir y Monitorear (EDM).
Alinear, Planificar y Organizar (APO).
Construir, Adquirir e Implementar (BAI).
Difundir, Servir e Soportar (DSS).
54
Monitorear, evaluar y valorar (MEA).
Figura 3.1. Cascada de objetivos de COBIT 5
Para poder realizar el mapeo usaremos la manera de descender haca los procesos
habilitadores que se muestra en la cascada de objetivos del marco, la cual se muestra
en la Figura 3.1. La manera de realizar este proceso ser identificando primero los
objetivos de gobierno propuestos por el marco que apliquen al Centro Cultural.
El marco COBIT propone 17 objetivos de gobierno, como se muestra en la Figura 12.

De estos objetivos se han seleccionado los siguientes como aplicables al caso del
Centro Cultural:
55
Riesgos empresariales gestionados.
Continuidad y disponibilidad de los servicios de negocio.
Cumplimiento de polticas internas.
Figura 3.2. Objetivos de gobierno de COBIT 5
El marco cuenta con unos anexos para lograr el descenso donde proporciona unas
tablas en las que se relacionan los objetivos de gobierno con los objetivos relacionados
a TI (tambin 17) que propone.
Utilizando esta tabla se logr obtener los objetivos relacionados a TI que se pueden
desprender de los objetivos de gobierno seleccionados previamente para el caso del
Centro Cultural. Esta relacin se muestra en la Tabla 3.8.
56
Tabla 3.9 Relacin de Objetivos de Gobierno y TI
ID
ObjetivoEmpresarial
ID
4
Riesgosempresariales
gestionados
10
16
4
Continuidady
disponibilidaddelos
serviciosdenegocio
10
14
2
15
Cumplimientodepolticas
internas
10
15
ObjetivorelacionadoaTI
Riesgosempresarialesrelacionadosa
TIgestionados
Seguridaddeinformacin,
infraestructuradeprocesamientoy
aplicaciones
PersonaldenegocioyTImotivadoy
competente
Riesgosempresarialesrelacionadosa
TIgestionados
aplicaciones
Disponibilidaddeinformacin
confiableytilparalatomade
decisiones
CumplimientoyapoyodeTIparael
cumplimientoempresarialdelas
leyesyreglamentosexternos
aplicaciones
CumplimientodeTIconpolticas
internas
Segn la cascada de objetivos de COBIT 5, una vez identificados los objetivos

relacionados a TI, se podr hacer uso de otros de los anexos el cual nos muestra la
relacin entre los objetivos relacionados a TI y los procesos habilitadores (agrupados
por dominios) que satisfacen el logro de dichos objetivos, de ser implantados.
57
Para tal relacin el marco COBIT muestra una escala con dos niveles P y S.
P representa la relacin primaria, cuando existe una relacin importante, es decir, el

proceso de COBIT 5 es un soporte principal para la consecucin del objetivo
relacionado con a TI.
S representa la relacin secundaria, cuando todava hay una fuerte, pero menos
importante, relacin, es decir, el proceso de COBIT 5 es un soporte secundario para el
objetivo relacionado con a TI.
A continuacin se muestran 2 tablas en las cuales se muestran los procesos de cada

dominio, representados por el nmero que se les ha otorgado como identificador en el
dominio del marco. Los dominios aparecen como columnas y los objetivos relacionados
a TI obtenidos previamente, aparecen como filas de cada tabla.
En la Tabla 3.9 se muestran los procesos que satisfacen la relacin con el nivel P.
58
Tabla 3.10 Procesos con relacin primaria
ID
ObjetivodeTI
Cumplimientoy
apoyodeTIparael
cumplimiento
2
empresarialdelas
leyesyreglamentos
externos
Riesgos
empresariales
4
relacionadosaTI
gestionados
Seguridadde
informacin,
10 infraestructurade
procesamientoy
aplicaciones
Disponibilidadde
informacin
14 confiableytilpara
latomade
decisiones
CumplimientodeTI
15
conpolticasinternas
Personaldenegocio
16 yTImotivadoy
competente
DominioCOBIT
CONDICIN:"P"
Compilado
EDM
APO
BAI
DSS
MEA
1,12,13
10
2,3
10,12,13
1,6
1,2,3,4
,5,6
1,2,3
12,13
9,13
4,10
3,4
1,2
1,7
1,2
3,4
1,7,9,10,
1,2,3,4
1,4,6,10
12,13
,5,6
1,2,3
59
En la Tabla 3.10 se muestran los procesos que satisfacen la relacin con nivel S.
Tabla 3.11 Procesos con relacin secundaria
DominioCOBIT
CONDICIN:"S"
ID
ObjetivodeTI
Cumplimientoy
apoyodeTIparael
cumplimiento
2
empresarialdelas
leyesyreglamentos
externos
Riesgosempresariales
4 relacionadosaTI
gestionados
Seguridadde
informacin,
10 infraestructurade
procesamientoy
aplicaciones
EDM
APO
BAI
DSS
MEA
1,3,5
7,10,11
2,9
1,3,4,6
1,4
1,2,3,4,
2,3,4,7,
5,6,7,8,
9,10
9,11
1,3,7,9, 2,8,9,1
10
0
1,2,4,6
1,2,3
Disponibilidadde
1,2,3,4,
informacinconfiable
2,3,6,7,
14
1,2,3,5 10,11,1
1,2,5,6
ytilparalatomade
8,9
2
decisiones
15
CumplimientodeTI
conpolticasinternas
Personaldenegocioy
16 TImotivadoy
competente
1,5
1,2,3
1,2
2,7,8,9,
6,7,9,1 1,2,3,4,
10,11,1
0
5,6
2
2,8,11,
12
1,8
1,4,6
1,2,3,4,
1,2,3,4,
1,2,3,4, 5,6,7,8,
1,2,3,4,
Compilado
6,7,8,9,
5
5,6
9,10,11
10
,12
1,2,3
60
Finalmente se logr obtener los procesos del marco que podran satisfacer el
cumplimiento de los objetivos de gobierno del Centro Cultural (los seleccionados de
entre los propuestos por el marco) y de esta manera ser ms fcil identificar cules
son los procesos que cubren lo detallado por los controles de la norma ISO/IEC 27002
que forman parte del tratamiento de riesgos del proyecto.
Para el mapeo en s se mostrar el tipo de cobertura del proceso del marco COBIT, se
identificar con la letra A (algunos aspectos) a aquellos controles del marco que
cubren de manera abierta y general al control de la norma, y con la letra C (cubierto)
a aquellos que por el contrario cubren gran parte del control de la norma.
En el Anexo F se muestra una tabla en la cual se detalla el mapeo a manera de tabla y

para cada control se identifica el proceso que lo abarca y la manera de la cobertura.
61
4. Entregables de un SGSI
En el presente captulo se presentarn los entregables de un SGSI correspondientes al

diseo y que estn considerados dentro del alcance.
4.1. Declaracin de aplicabilidad
Corresponde hacer una declaracin de aplicabilidad tal como lo exige la norma

ISO/IEC 27001, este documento describe los controles relevantes y aplicables al
alcance del SGSI del Centro Cultural. En ella se entender el porqu de la aplicabilidad
de cada control dando primero una adaptacin del control de la norma ISO/IEC 27002
al caso del Centro Cultural y posteriormente explicando que tan factible sera su
implementacin. Se presentar a manera de tabla en el Anexo G para cada control:
El control propiamente dicho, que viene a ser la clusula de la norma en la cual

se hace referencia al tema relacionado al riesgo que se quiere tratar.
62
El detalle del control, que es la descripcin del control, a manera de

indicaciones, las cuales pueden ser aplicadas a la empresa, dependiendo de la
situacin de esta.
La adaptacin al caso del Centro Cultural, que es la contextualizacin del

control a la organizacin, con la cual se podr tomar la decisin sobre si es o no
factible la implementacin de dicho control como medida de seguridad en la
empresa.
La aplicabilidad, se indica si el control aplica o no.
La justificacin, es el porqu de la aplicabilidad de control.
63
5. Observaciones, Conclusiones y Recomendaciones

En este captulo se presentarn las observaciones, conclusiones, recomendaciones y
trabajos futuros correspondientes al diseo de un SGSI para un Centro Cultural.
5.1. Observaciones
Se encontr una primera gran dificultad al no contar con la documentacin

correspondiente a los procesos que forman parte del alcance del proyecto, lo que
oblig al autor a indagar sobre temas de modelamiento de procesos con la notacin
BPMN 2.0.Esta situacin que fue resarcida gracias a algunas consultas bibliogrficas y
al apoyo del asesor del presente proyecto, quien es un conocedor del tema de
modelamiento de procesos.
64
La falta de documentos sobre los procesos tambin oblig al autor a acordar muchas
reuniones con la institucin para el levantamiento de informacin sobre los procesos,
que de haber contado con la documentacin, hubieran sido innecesarias.
Otro aspecto fundamental fue el conjunto de reuniones que se tuvieron con la empresa
para concretar la definicin de los distintos criterios usados en el proyecto, como
tambin para las valorizaciones que se realizaron en el mismo.
5.2. Conclusiones
Tal como se presenta en este proyecto, la gestin de la seguridad de informacin no es

un tema de mediana envergadura, sino que por el contrario es algo que debe estar ya
incluido en la cultura organizacional de las empresas (en este caso el Centro Cultural),
lo cual no se podr lograr sin el apoyo de la alta gerencia como promotor activo de la
seguridad en la empresa.
Del mismo modo, se debe establecer que los dueos de los procesos que fueron
incluidos en este proyecto, miren de manera diferente la seguridad de la informacin, y
que velen para que de alguna manera se pueda levantar los riesgos encontrados
dentro de sus actividades ya que no es seguro que este diseo se logre implementar, y
por ello debera ser labor de ellos el tratar de eliminar dichos riesgos.
Debe tenerse en cuenta que el diseo de SGSI presentado se adapta a los objetivos
actuales del Centro Cultural en el cual se ha basado el proyecto, y que este podra (y
es probable que lo haga) variar ya que los objetivos de gobierno cambiarn y por ello
algunos procesos que forman parte del alcance del proyecto, tambin lo harn.
Se concluye as que el Centro Cultural, y las organizaciones en general deben tomar

en cuenta la seguridad de la informacin de la empresa, y de esta forma proteger su
activo ms importante, la informacin, ante las amenazas que estn presentes en
todos los ambientes organizacionales, es con este activo con el que lograrn alcanzar
sus objetivo y tambin es irrecuperable en algunas ocasiones, en caso de prdida o
robo.
65
5.3. Recomendaciones y trabajos futuros
En primera instancia se recomienda al Centro Cultural que en base al diseo

presentado en este proyecto, se preocupe en concientizar a todas las personas que
forman parte de dicha empresa, sobre la seguridad de la informacin y su importancia.
Luego, se recomienda la bsqueda para lograr realizar la implementacin de este
diseo y que en el futuro se pueda gestionar la seguridad de informacin de tal manera
que se pueda aspirar a una certificacin, ya que el diseo ha sido realizado con la
norma ISO/IEC 27001, la cual es certificable.
Como trabajos futuros se pueden realizar diseos similares para el centro cultural en
los cuales se utilicen otras metodologas para la gestin de riesgos. De manera similar
sera interesante que se elabore un plan de continuidad de negocio para un Centro
Cultural, lo que permitir reforzar la seguridad en la empresa. Otra opcin, si se
contar con la disposicin y apoyo total de la alta gerencia, sera la de lograr realizar la
implementacin de un SGSI para un Centro Cultural y poder alcanzar la certificacin de
dicho sistema.
66
Referencias Bibliogrficas
[IIUG 2012]
ISMS International User Group.

2012 International Register of ISMS Certificates. Consulta: 13
de Septiembre de 2012.
<http://www.iso27001certificates.com/>
[ISO 73]
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2002 ISO/IEC Guide 73:2002. Risk management - Vocabulary Guidelines for use in standards.
[ISO 13335]

2004 ISO/IEC 13335-1:2004. Information technology -- Security
technique - Management of information and communications
technology security - Part 1: Concepts and models for information
and communications technology security management.
[ISO 18044]

2004 ISO/IEC
TR
18044:2004.
Information
technology
Security techniques - Information security incident management.
[ISO 27001]

2005 ISO/IEC 27001:2005. Information technology - Security
techniques - Information security management systems Requirements.
[ISO 27002]

67

techniques
Code
of
practice
for
information
security
management.
[ISO 27003]

2010 ISO/IEC 27003:2010.Information technology - Security
techniques
Information
security
management
systems
implementation guidance.
[ISO 27005]

techniques - Information security risk management.
[TUPIA 2010]
TUPIA, Manuel
2010 Administracin de la Seguridad de Informacin.
Primera edicin. Lima: Tupia Consultores y Auditores S.A.C.
[ISACA 2012]
Information Systems Audit and Control Association

2012 COBIT 5.Control Objectives for Information and Related
Technologies. 10 de Abril.
[CRP 2011]
CONGRESO DE LA REPBLICA DEL PER

2011 Ley 29733. Ley de proteccin de datos personales. 03 de
Julio.
[ISACA 2008]
Information Systems Audit and Control Association

2008 Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en
beneficio de la empresa.
68

Montoya Nelson Diseño Sistema Gestion Seguridad Informacion Centro Cultural Binacional

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Montoya Nelson Diseño Sistema Gestion Seguridad Informacion Centro Cultural Binacional

Cargado por

Copyright:

Formatos disponibles

PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE

Nelson Kal Montoya Pachas

ASESOR: Moiss Antonio Villena Aguilar

Lima, Diciembre de 2012

Esta situacin no es ajena para un centro cultural binacional, ya que dichas

Esto motiva a que en el presente proyecto de fin de carrera se disee un Sistema de

CARACTERSTICAS DE UN CENTRO CULTURAL BINACIONAL PARA EL SGSI ___ 31

DEFINICIN DE LA PROBLEMTICA __________________________________________ 3

MODELAMIENTO DE LOS PROCESOS DEL CENTRO CULTURAL BINACIONAL ____________ 31

IDENTIFICACIN Y EVALUACIN DE RIESGOS _____________________________ 39

ENTREGABLES DE UN SGSI _____________________________________________ 62

DECLARACIN DE APLICABILIDAD __________________________________________ 62

OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES__________________ 64

REFERENCIAS BIBLIOGRFICAS ____________________________________________ 67

Inventario de Activos del Centro Cultural

Figura 1.1 Plan de proyecto _____________________________________________ 11

Tabla 1.1 Objetivos especficos ___________________________________________ 4

En el Per no se tiene una gran presencia de Centros Culturales Binacionales, es por

A lo largo de este proyecto se entendern los aspectos necesarios a considerar para

Con este conjunto de actividades y anlisis a realizar se busca presentar la manera de

La problemtica del proyecto.

El objetivo general del proyecto.

Los objetivos especficos que se desprenden del objetivo general.

Los resultados esperados que se tendrn al cumplir con cada objetivo

El alcance y las limitaciones para el proyecto.

Los mtodos y procedimientos que se usarn para obtener los resultados

La justificacin del proyecto.

La planificacin del proyecto.

entendimiento del proyecto.

El estado del arte para proyectos similares y la discusin del mismo.

1.1. Definicin de la problemtica

La seguridad de informacin se logra implementando un conjunto de controles, que

organizativas y funciones de software y hardware. Estos controles necesitan ser

A lo anterior debemos agregar que la cultura organizacional en el Per no es

la realizacin de sus actividades), ya que al tratarse de labores que realizan siempre,

A partir de lo expuesto previamente, en el presente proyecto de fin de carrera se tiene

1.2. Objetivo general

Disear un Sistema de Gestin de Seguridad de Informacin (SGSI) para un Centro

1.3. Objetivos especficos

Tabla 1.1 Objetivos especficos

Modelar los procesos de negocio del Centro Cultural

Identificar y realizar la valorizacin de los activos de

Identificar, analizar y evaluar los riesgos a los cuales estn

tratamiento de los riesgos identificados en los procesos

Elaborar la Declaracin de Aplicabilidad.

adoptadas para el SGSI.

1.4. Resultados esperados

Modelo de los procesos de negocio del Centro Cultural

Inventario de los activos de informacin crticos presentes en

Reporte de anlisis del riesgo [OB3].

Plan de tratamiento del riesgo [OB4].

Enunciado de Aplicabilidad [OB5].

Documentacin completa para el SGSI solicitada por el

1.5. Alcance y limitaciones

organizacin, gestionar la seguridad de sus activos, con el objetivo de darles un

Para el caso de este proyecto el sector se circunscribe a un Centro Cultural Binacional

Proceso de exmenes de cursos.

Proceso de Programacin acadmica.

Proceso para el servicio de actividades culturales

Proceso para el servicio de exmenes internacionales.

Proceso para el servicio de traducciones.

Siendo todos del tipo operativo dentro de un mapa de procesos.