Manual SGSI Aplicada A La Gestion de Activos

ESCUELA SUPERIOR POLITCNICA DEL LITORAL
ESCUELA DE DISEO Y COMUNICACIN VISUAL

PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE:
ANALISTA DE SISTEMAS
TEMA:
IMPLANTACIN DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN APLICADA AL DOMINIO GESTIN DE ACTIVOS PARA LA
EMPRESA PLSTICOS INTERNACIONALES PLASINCA C.A.
AUTORES:
ALEJANDRA EUGENIO RIVAS
MIGUEL PARRALES ESPINOZA
PAL SABANDO SUDARIO
DIRECTOR:
MBA. VCTOR MUOZ CHACHAPOLLA
AO
2011
AGRADECIMIENTO
A Dios, a nuestros padres por todo su apoyo incondicional y confianza, y a
todas las personas que nos ayudaron a culminar nuestra carrera.
A nuestro Director de Tesis por su gran ayuda y colaboracin.
DEDICATORIA
A nuestras familias y todos nuestros amigos quienes siempre de alguna
manera nos ayudaron y apoyaron incondicionalmente.
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de Graduacin, me
corresponde exclusivamente; y el patrimonio intelectual de la misma a la
ESCUELA SUPERIOR POLITCNICA DEL LITORAL
(Reglamento de Graduacin de Pregrado de la ESPOL).
FIRMA DEL DIRECTOR DEL PROYECTO Y DE LOS MIEMBROS DEL

TRIBUNAL
___________________________________
Mba. Vctor Muoz Chachapolla
Director del Proyecto
___________________________________
Delegado
FIRMAS DE LOS AUTORES DEL PROYECTO DE GRADUACIN
___________________________________
Alejandra Eugenio Rivas
___________________________________
Miguel Parrales Espinoza
___________________________________
Pal Sabando Sudario
RESUMEN
La informacin es un activo vital para la continuidad y el xito en el mercado de
cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan, por lo tanto este documento propone implementar un Sistema de Gestin
de Seguridad de informacin (SGSI), aplicado al dominio Gestin de Activos. Basado en
las normas ISO 27000, ISO 27001 e ISO 27002, las cuales proporcionan medidas de
apoyo necesarias para proteger y mantener segura la informacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un
sistema que aborde esta tarea de una forma metdica, documentada y basada en
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
Permitiendo a la organizacin, identificar los riesgos en el entorno de trabajo, ya sean
existentes o latentes y determina la vulnerabilidad a la que estn expuestos;
recomendando las medidas apropiadas que deberan adoptarse para conocer,
prevenir, impedir y controlar los riesgos identificados y as reducir al mnimo sus
perjuicios.
NDICE GENERAL
CAPTULO I
I.
INTRODUCCIN .............................................................................................. 14
I.1 DEFINICIN .................................................................................................... 14

I.2 SITUACIN ACTUAL ........................................................................................ 14
I.3 ESTRUCTURA ORGANIZACIONAL ..................................................................... 15
I.3.1
MISIN ............................................................................................................ 15
I.3.2
VISIN ............................................................................................................. 15
I.3.3
POLTICAS DE CALIDAD ................................................................................... 15
I.3.4
POLTICAS DE SEGURIDAD .............................................................................. 15
I.4 DIAGRAMA DE PLANTA ................................................................................... 16

I.5 FUNCIONAMIENTO POR REA ........................................................................ 17
I.6 ORGANIGRAMA .............................................................................................. 18
CAPTULO II
II.
PLANEACIN DEL SGSI .................................................................................... 20
II.1 METODOLOGA DE EVALUACIN DE RIESGOS ................................................. 20

II.2 IDENTIFICACIN Y VALORACIN DE ACTIVOS .................................................. 21
II.2.1
IDENTIFICACIN DE ACTIVOS ......................................................................... 21
II.2.2
AGRUPACIN DE ACTIVOS .............................................................................. 23
II.2.3
DIMENSIONES DE VALORACIN ..................................................................... 24
II.2.4
CRITERIOS DE VALORACIN............................................................................ 25
II.2.5
VALORACIN DE ACTIVOS .............................................................................. 32
II.3 IDENTIFICAR AMENAZAS Y VULNERABILIDADES .............................................. 33

II.3.1
AMENAZAS POR ACTIVO ................................................................................. 33
II.4 IDENTIFICAR IMPACTOS .................................................................................. 35

II.4.1
IMPACTO POR AMENAZA ............................................................................... 36
II.5 ANLISIS Y EVALUACIN DE RIESGOS ............................................................. 38
VIII
CAPTULO III
III. EJECUCIN DEL SGSI ....................................................................................... 41
III.1 DEFINIR PLAN DE TRATAMIENTO DE RIESGO ................................................... 41
III.1.1
OPCIONES PARA EL TRATAMIENTO DEL RIESGO ............................................ 41
III.2 IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO ........................................ 43

III.2.1
CONTROLES SELECCIONADOS DE LA NORMA ISO 27002 ............................... 44
III.2.2
SALVAGUARDAS .............................................................................................. 46
III.3 IMPLEMENTAR LOS CONTROLES ..................................................................... 47

III.3.1
CONTROLES Y POLTICAS DE SEGURIDAD ....................................................... 47
III.3.2
DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA............................. 48
III.4 SELECCIN DE CONTROLES Y SOA ................................................................... 57

III.4.1
DECLARACIN DE APLICABILIDAD (SOA) ........................................................ 58
III.5 FORMACIN Y CONCIENCIACIN .................................................................... 61

III.5.1
CAPACITACIN ................................................................................................ 61
CAPTULO IV
IV. ANEXO ........................................................................................................... 63
IV.1 DEFINICIN DE SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN .... 63
IV.2 IMPLANTACIN .............................................................................................. 63
IV.3 CERTIFICACIN ............................................................................................... 63
IV.4 LA SERIE ISO 27000 ......................................................................................... 63
IV.5 MODELO A SEGUIR: PDCA ............................................................................... 64
IV.6 METODOLOGA: MAGERIT .............................................................................. 65
IV.7 DOMINIO, OBJETIVOS DE CONTROL Y CONTROLES .......................................... 65
IV.8 DEFINICIN DEL ALCANCE DEL SGSI ................................................................ 65
IV.9 DEFINICIN DE POLTICAS DE SEGURIDAD....................................................... 66
IV.9.1
UBICACIN Y PROTECCIN DEL EQUIPO (9.2.1)............................................. 66
IV.9.2
MANTENIMIENTO DE EQUIPO (9.2.4) ............................................................ 67
IV.9.3
SERVICIOS PBLICOS DE SOPORTE (9.2.2) ...................................................... 68
IV.9.4
ASPECTOS DE LA SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE LA

CONTINUIDAD DEL NEGOCIO (14.1) ............................................................... 69
IX
IV.9.5 DESARROLLAR E IMPLEMENTAR LOS PLANES DE CONTINUIDAD INCLUYENDO LA

SEGURIDAD DE LA INFORMACIN (14.1.3) ........................................................ 70
IV.9.6 PRUEBA,
MANTENIMIENTO
RE-EVALUACIN
DE
LOS
PLANES
DE
CONTINUIDAD DEL NEGOCIO (14.1.5) ................................................................ 72

IV.9.7 RESPONSABILIDADES Y PROCEDIMIENTOS (13.2.1) ............................................ 74
IV.9.8 CONOCIMIENTO, EDUCACIN Y CAPACITACIN EN SEGURIDAD DE LA
INFORMACIN (8.2.2) ......................................................................................... 76
IV.9.9 PROTECCIN CONTRA EL CDIGO MALICIOSO Y MVIL (10.4).......................... 77
IV.9.10 CONTROLES CONTRA CDIGOS MALICIOSOS (10.4.1) ....................................... 77
IV.9.11 REPORTE DE LOS EVENTOS Y DEBILIDADES DE LA SEGURIDAD DE LA
INFORMACIN (13.1) ......................................................................................... 79
IV.9.12 POLTICA DE SEGURIDAD DE LA INFORMACIN (5.1) ....................................... 80
IV.9.13 DOCUMENTO DE LA POLTICA DE SEGURIDAD DE LA INFORMACIN (5.1.1)... 80
IV.9.14 CUMPLIMIENTO DE LOS REQUERIMIENTOS LEGALES (15.1) ............................ 82
IV.9.15 DERECHOS DE PROPIEDAD INTELECTUAL (15.1.2) ............................................ 82
IV.9.16 PROTECCIN DE LA DATA Y PRIVACIDAD DE LA INFORMACIN PERSONAL
(15.1.4) .............................................................................................................. 84
IV.9.17 RESPONSABILIDAD POR LOS ACTIVOS (7.1) ...................................................... 85
IV.9.18 INVENTARIO DE LOS ACTIVOS (7.1.1) ................................................................ 86
IV.9.19 PROPIEDAD DE LOS ACTIVOS (7.1.2) ................................................................. 87
IV.9.20 USO ACEPTABLE DE LOS ACTIVOS (7.1.3) .......................................................... 88
IV.9.21 CLASIFICACIN DE LA INFORMACIN (7.2) ....................................................... 89
IV.9.22 LINEAMIENTOS DE CLASIFICACIN (7.2.1) ........................................................ 89
IV.9.23 ETIQUETADO Y MANEJO DE LA INFORMACIN (7.2.2) ..................................... 90
IV.10 TIPOS DE AMENAZAS .................................................................................. 92
IV.11 INVENTARIO GENERAL DE PLASTICOS INTERNACIONALES C.A ...................... 95
IV.12 FOTOS DE LA EMPRESA ..............................................................................108
IV.13 DIFERENTES INSTALACIONES DE LA EMPRESA.............................................109
IV.14 DIFERENTES PROBLEMAS ENCONTRADOS EN LA EMPRESA CON RESPECTO A
LA SEGURIDAD INFORMTICA ....................................................................111
NDICE DE FIGURA
FIGURA - 1 LOGO DE LA EMPRESA ................................................................................. 14
FIGURA - 2 ESTRUCTURA DE LA EMPRESA ..................................................................... 16
FIGURA - 3 ORGANIGRAMA DE LA EMPRESA ................................................................. 18
FIGURA - 4 MODELO PDCA ............................................................................................. 64
FIGURA - 5 LA EMPRESA ............................................................................................... 108
FIGURA - 6 REA DE COMPUTACIN ........................................................................... 109
FIGURA - 7 REA DE PRODUCCIN .............................................................................. 109
FIGURA - 8 REA DE ASISTENTE DE PRODUCCIN ....................................................... 109
FIGURA - 9 REA DE PRODUCCIN .............................................................................. 109
FIGURA - 10 REA DE PRODUCCIN ............................................................................ 109
FIGURA - 11 REA DE CONTABILIDAD .......................................................................... 109
FIGURA - 14 RECEPCIN 1 ............................................................................................ 110
FIGURA - 15 RECEPCIN 2 ............................................................................................ 110
FIGURA - 16 BODEGA 1 ................................................................................................. 110
FIGURA - 17 REA DE EXTRUSIN ................................................................................ 110
FIGURA - 18 IMPRESIN ............................................................................................... 110
FIGURA - 19 SELLADO ................................................................................................... 110
FIGURA - 20 DIFERENTES PROBLEMAS ENCONTRADOS ............................................... 111
XI
NDICE DE TABLAS
TABLA 1 - FUNCIONAMIENTO POR REA ....................................................................... 17
TABLA 2 - IDENTIFICACIN DE ACTIVOS ......................................................................... 23
TABLA 3 - ESCALA DE VALORES ..................................................................................... 25
TABLA 4 - JUSTIFICACIN ............................................................................................... 31
TABLA 5 - VALORACIN DE ACTIVOS.............................................................................. 32
TABLA 6 - AMENAZA POR ACTIVOS ................................................................................ 34
TABLA 7 - IMPACTOS ...................................................................................................... 35
TABLA 8 - IMPACTO POR AMENAZA ............................................................................... 37
TABLA 9 - FRECUENCIA ................................................................................................... 38
TABLA 10 - IMPACTO ...................................................................................................... 38
TABLA 11 - ANLISIS Y EVALUACIN DE RIESGO............................................................ 39
TABLA 12 - IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO ................................... 43
TABLA 13 - CONTROL DE SELECCIONES DE LA NORMA ISO 27002 ................................ 46
TABLA 14 - FORMATO DE INVENTARIO .......................................................................... 50
TABLA 15 - PLAN DE MANTENIMIENTO ANUAL ............................................................. 54
TABLA 16 - CONTROLES Y RAZONES ............................................................................... 57
TABLA 17 - DECLARACIN DE APLICABILIDAD (SOA) ..................................................... 60
TABLA 18 - AMENAZA SOBRE LOS ACTIVOS HARDWARE, SOFTWARE, INFORMACIN 94
TABLA 19 - INVENTARIO DE ACTIVOS ........................................................................... 107
XII
CAPTULO I
INTRODUCCIN
Proyecto de Graduacin
Sistema de Gestin de Seguridad de la Informacin Gestin de Activos
I. INTRODUCCIN
I.1
DEFINICIN
Plsticos Internacionales Plasinca C.A. es una empresa dedicada a la fabricacin de

empaques flexibles para el sector Agro Exportador y de Consumo. La planta industrial y
oficinas se encuentran ubicadas en el Km. 10
de la va a Daule, Lotizacin
Expogranos.
Figura - 1 Logo de la empresa
I.2
SITUACIN ACTUAL
En los actuales momentos cuenta con dos sistemas informticos: uno de produccin,
que se encarga de llevar el manejo de la fabricacin de productos y otro para la
administracin llamado Bi-moneda, que se encarga de la contabilidad. Estos sistemas
informticos generan una gran cantidad de informacin, la cual se deben mantener
segura tomando medidas o polticas de seguridad para salvaguardar su informacin.
La empresa no cuenta con un Sistema de Gestin de Seguridad de la Informacin, por
lo tanto estn expuestos a prdidas de activo muy valiosos, la cual perjudicara
funcionamiento de las actividades que realizan. A continuacin detallaremos los
principales inconvenientes que presenta la empresa:
La empresa no cuenta con un inventario actualizado.
Las laptops no estn apropiadamente aseguradas a algo rgido.
Solo existe un encargado en el rea de Sistemas.
Hay equipos que no cuentan con un debido regulador de energa.
Los computadores no tienen establecidos responsables.
Algunos computadores no tienen la climatizacin necesaria.
EDCOM
Captulo I - 14
ESPOL
I.3
ESTRUCTURA ORGANIZACIONAL
I.3.1 MISIN
Proveer a sus clientes productos y servicios que excedan sus expectativas, a un costo
competitivo en el mercado, de tal forma que represente un ahorro en materia
econmica y una ventaja en trminos de calidad, logrando satisfacer sus necesidades
establecidas.
I.3.2 VISIN
Ser reconocida como una empresa Lder en el mercado de los productos de su gnero
a
nivel
nacional
asegurar
una
competitividad
sostenible
rentable
permanentemente.
I.3.3
POLTICAS DE CALIDAD
Est orientada a implementar y mantener la mejora continua de los procesos del

sistema de gestin de calidad y de su talento humano con lo cual garantizan la
completa satisfaccin del cliente interno y externo.
I.3.4 POLTICAS DE SEGURIDAD

Plsticos Internacionales C.A. est enfocada a la produccin de material de empaque
primario y secundario seguros y de calidad, cumpliendo con los requisitos de sus
clientes, buscando su satisfaccin mediante el aumento del desempeo de la
seguridad alimentaria, a travs de la aplicacin de programas de mejora continua para
prevenir, reducir y/o eliminar los riesgos, peligros, aspectos e impactos asociados a la
seguridad alimentaria y el ambiente.
EDCOM
Captulo I - 15
ESPOL
I.4
DIAGRAMA DE PLANTA
Figura - 2 Estructura de la empresa
EDCOM
Captulo I - 16
ESPOL
I.5
FUNCIONAMIENTO POR REA
Contabilidad
Es el encargado de realizar los Balances Generales, Control de

Impuestos, Administracin de Finanzas y acuerdos con los bancos.
Recepcin
Hacen parte de la facturacin y llevan el control de las ventas.
Produccin
Realiza las rdenes de pedido, programa rdenes para el rea de

planta, validacin de reportes y despachos.
Recursos
Humanos
Inspeccin y monitoreo de los empleados, con la utilizacin de

nminas, fichas empleados, etc.
Sub-Gerencia
Lleva el control de la produccin y de las ventas, tambin realiza

funciones de ventas.
Extrusin
Encargado de la elaboracin de reportes y de salvaguardar las

mezclas para la fabricacin de los productos.
Sellado
Se centra en la elaboracin de fundas e ingresos a produccin.
Impresin
Elaboracin de reportes de la fabricacin de royos impresos,

laminados e ingresos a produccin.
Calidad
Verifica que los productos lleguen en condiciones adecuadas a los

clientes, tambin controla la manufactura de las areas anteriores
y adems el seguimiento de las devoluciones.
Bodega
Control de las existencias, seguimientos de las transferencias y

verifica que los despachos lleguen al cliente de manera correcta.
Tabla 1 - Funcionamiento por rea
EDCOM
Captulo I - 17
ESPOL
I.6
ORGANIGRAMA
Figura - 3 Organigrama de la empresa
EDCOM
Captulo I - 18
ESPOL
CAPTULO II
PLANEACIN DEL SGSI
II.
PLANEACIN DEL SGSI
II.1
METODOLOGA DE EVALUACIN DE RIESGOS
En este caso especfico usaremos el mtodo de investigacin de riesgos denominado

Magerit, la cual nos recomendar las medidas apropiadas para controlar los activos.
La metodologa Magerit nos muestra el grado de proteccin que tienen los activos con
respecto al ambiente en que se encuentran y cmo interactan con este, con el cual se
podr evaluar y posteriormente determinar la vulnerabilidad de estos equipos.
Adems de la implantacin de controles para mejorar la manipulacin y en lo posible
tratar de disminuir la ocurrencia de los factores maliciosos, los cuales se podran
transformar en un impacto desfavorable para la organizacin.
Esta tcnica nos proveer la mejor funcionalidad, adecuada para reconocer las
dependencias entre los activos ms importantes por medio de un anlisis algortmico y
un mtodo que implica el reconocimiento de los riesgos y su valoracin, para llegar a
un nivel tolerable de los mismos. Con un esquema que nos ayudar a concienciar a los
responsables de los activos de la existencia de los riesgos a la cual estn expuestos.
Permite a la organizacin, identificar los riesgos en el entorno de trabajo, ya sean

existentes o latentes y determina la vulnerabilidad a la que estn expuestos;
recomienda las medidas apropiadas que deberan adoptarse para conocer, prevenir,
impedir, y controlar los riesgos identificados y as reducir al mnimo sus perjuicios. Est
compuesta de cuatro etapas, que nos aclara la forma de trabajar en este mbito, que
son:
EDCOM
Captulo II - 20
ESPOL
La Planificacin se considera como el comienzo del proyecto y es donde se

define lo que se va a cumplir.
En el anlisis de riesgos, se identifican y se cuantifica los activos, obteniendo
una estimacin deseable que se pueda controlar.
La Gestin de riesgos identifica las funciones y servicios de salvaguardas
que sirven para reducir el riesgo e implantar restricciones para el uso de los
activos.
Seleccionar las salvaguardas que incluyen el plan de implantacin y los
procedimientos de seguimiento, y se obtienen los resultados finales a
diversos niveles.
II.2
IDENTIFICACIN Y VALORACIN DE ACTIVOS
II.2.1 IDENTIFICACIN DE ACTIVOS

Para la identificacin de los activos se utilizaron los datos proporcionados por el
Administrador de Sistemas, correspondientes al Inventario. Los activos de la empresa
Plsticos Internacionales C.A. son:
NO.
ACTIVO
USUARIO
WRKS-REC-001
Jennifer Rodrguez
FUNCIN
Elabora pedidos.
Valida reportes.
Control de despachos.
WRKS-REC-002
Mabel Arvalo
Control de rdenes de Pedido.

Clculos de precio de pedido.
WRKS-PRE-003
No asignado
WRKS-RRHH-004
Maritza Naranjo
EDCOM
Captulo II - 21
Exposiciones de charlas educativas

Contratacin de Personal.
ESPOL
Elaboracin
de
cuadros
de
amortizaciones y depreciaciones.
Flujos de caja.
5
WRKS-CON-005
Vctor Reyes
Cuadro de obligaciones bancarias.

Control de las importaciones de
materia prima.
Pago de Impuestos.
WRKS-CON-006
Vernica Plaza
Elaboracin
de
importaciones.
cuadros
de
Elaboracin de
transferencia.
formularios
de
Administrar la contabilidad.
Administrar
bancarios.
7
WRKS-CON-007
Adriana Serrano
los
movimientos
Girar cheques.
Proveedura.
WRKS-PRO-008
Silvia Sarmiento
Realizar liquidaciones.
Inventario de materia prima.
Elaborar cotizaciones.
WRKS-PRO-009
Carlos Stagg
Elaborar reporte de ventas.

Cobranzas.
Realizar compras
materia prima.
10
WRKS-PRO-010
Pedro Azules
WRKS-PRO-011
Jaime Rodrguez
12
WRKS-PRO-012
Luis Valle
13
WRKS-PRO-024
Javier Zambrano
EDCOM
Captulo II - 22
de
Realizar rdenes de mantenimiento

de maquinaria.
Administrar
produccin.
11
externas
el
proceso
de
Validar Reportes.
Programar tareas de produccin.
Elaboracin de cuadros de costos.
Realizar rdenes de produccin.
ESPOL
Realizar rdenes de extrusin.

Realizar rdenes de sellado.
Realizar frmulas de produccin.
14
WRKS-PRO-013
Silvana Quinde
15
WRKS-SEL-014
Vctor Cevallos
16
WRKS-IMP-015
Enrique Valle
17
WRKS-CAL-017
Mara del Carmen
18
WRKS-EXT-016
No asignado
19
WRKS-CAL-018
Andrs Cepeda
20
WRKS-BOD-019
Carlos Bailn
21
WRKS-BOD-020
Jos Bravo
Realizar cuadros de inventario de

productos terminados.
22
WRKS-SIS-022
Jos Rivera
Base de datos de los sistemas.
23
WRKS-SIS-023
Jos Rivera
Respaldo de los pasos de datos.
Control de estado de maquinarias.

Administrar el proceso de sellado.
Administrar
etiquetado
productos terminados.
de
Aprobar productos terminados.

Administrar
extrusin.
el
proceso
de
Realizar proceso de calidad.

Realizar cuadros de despachos.
Tabla 2 - Identificacin de Activos
II.2.2 AGRUPACIN DE ACTIVOS

La tarea clasifica los Activos identificados en las tipologas ofrecidas por Magerit y los
agrupa segn:
PC / Laptop
Servidores
Informacin / Datos
Aplicaciones (Software)
EDCOM
Captulo II - 23
ESPOL
II.2.3 DIMENSIONES DE VALORACIN

Son las caractersticas o atributos que hacen valioso un activo. Una dimensin es una
faceta o aspecto de un activo, independiente de otras.
Las dimensiones se utilizan para valorar las consecuencias de la materializacin de una
amenaza. La valoracin que recibe un activo en cierta dimensin es la medida del
perjuicio para la organizacin si el activo se ve daado con respecto a dicho aspecto.
Disponibilidad [D].- Disposicin de los servicios a ser usados cuando sea

necesario. La carencia de disponibilidad supone una interrupcin del servicio.
La disponibilidad afecta directamente a la productividad de las organizaciones.
Integridad [I].- Mantenimiento de las caractersticas de completitud y

correccin de los datos. Contra la integridad, la informacin puede aparecer
manipulada, corrupta o incompleta. La integridad afecta directamente al
correcto desempeo de las funciones de una Organizacin.
Confidencialidad [C].- Que la informacin llegue solamente a las personas

autorizadas. Contra la confidencialidad o secreto pueden darse fugas y
filtraciones
de
informacin,
as
como
accesos
no
autorizados.
La
confidencialidad es una propiedad de difcil recuperacin, pudiendo minar la

confianza de los dems en la organizacin que no es diligente en el
mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y
compromisos contractuales relativos a la custodia de los datos.
EDCOM
Captulo II - 24
ESPOL
II.2.4 CRITERIOS DE VALORACIN

Para valorar los activos, la siguiente escala de valores nos ofrece los siguientes
aspectos:
Escala comn para todas las dimensiones, permitiendo comparar riesgos.
Escala logartmica, centrada en diferencias relativas de valor.
Criterio homogneo que permita comparar anlisis realizados por separado.
Se ha elegido una escala detallada de diez valores, dejando en valor 0 como
determinante de lo que sera un valor sin relevancia alguna:
ESCALAS DE VALORES
VALOR
CRITERIO
10
Muy alto
Dao muy grave a la organizacin.
7a9
Alto
Dao grave a la organizacin.
4a6
Medio
Dao importante a la organizacin.
1a3
Bajo
Dao menor a la organizacin.
Ninguno
Irrelevante a efectos prcticos.
Tabla 3 - Escala de Valores
Lo ms normal es que un activo reciba una simple valoracin en cada dimensin en la

que es preciso. Este planteamiento puede y debe ser enriquecido en el caso de
dimensiones ms complejas, como es el caso de la disponibilidad, en la que las
consecuencias varan dependiendo del tiempo que dure la interrupcin. En estos
casos, la dimensin no recibe una nica calificacin, sino tantas como escalones se
hayan considerado relevantes.
Los criterios que siguen se aplican en cada escaln, pudiendo variar el motivo:
EDCOM
Captulo II - 25
ESPOL
CRITERIOS DE VALORIZACIN
VALOR
10
CRITERIO
[olm]
Probablemente cause un dao excepcionalmente serio a la eficacia o

seguridad de la misin operativa o logstica.
[iio]
Probablemente cause daos excepcionalmente graves a misiones

extremadamente importantes de inteligencia o informacin.
[si]
Seguridad: Probablemente sea causa de un incidente excepcionalmente

serio de seguridad o dificulte la investigacin de incidentes
excepcionalmente serios.
[ir]
Probablemente cause un impacto excepcionalmente grave en las

relaciones internacionales.
[lbl]
Datos clasificados como secretos.
[da]
Probablemente cause una interrupcin excepcionalmente seria de las

actividades propias de la Organizacin.
[adm]
Administracin y gestin: Probablemente impedira seriamente la

operacin efectiva de la organizacin, pudiendo llegar a su cierre.
[lg]
Probablemente causara una publicidad negativa generalizada por afectar

de forma excepcionalmente grave a las relaciones.
[lg.a] Las relaciones con otras organizaciones.

9
[lg.b] Las relaciones con otros pases.

[olm]
Probablemente cause un dao serio a la eficacia o seguridad de la misin

operativa o logstica.
[iio]
Probablemente cause serios daos a misiones muy importantes de

inteligencia o informacin.
[cei]
Intereses comerciales o econmico:
[cei.a] De enorme inters para la competencia.

[cei.b] De muy elevado valor comercial.
EDCOM
Captulo II - 26
ESPOL
[cei.c] Causa de prdidas econmicas excepcionalmente elevadas.

[cei.d]
Causa de muy significativas ganancias o ventajas para individuos u

organizaciones.
Constituye un incumplimiento excepcionalmente grave de las obligaciones

[cei.e] contractuales relativas a la seguridad de la informacin proporcionada por
terceros.
[lro]
Obligaciones legales: Probablemente cause

excepcionalmente grave de una ley o regulacin.
un
incumplimiento
[si]
Seguridad: Probablemente sea causa de un serio incidente de seguridad o

dificulte la investigacin de incidentes serios.
[ir]
Probablemente cause un serio impacto en las relaciones internacionales.
[lbl]
Datos clasificados como reservados.
[crm] Impida la investigacin de delitos graves o facilite su comisin.

8
[lbl]
Datos clasificados como confidenciales.
[da]
Probablemente cause una interrupcin seria de las actividades propias de

la Organizacin con un impacto significativo en otras organizaciones.
[adm]
Administracin y gestin: probablemente impedira la operacin efectiva

de la organizacin.
[olm]
Probablemente perjudique la eficacia o seguridad de la misin operativa o

logstica.
[iio]
Probablemente cause serios daos a misiones importantes de inteligencia

o informacin.
[cei]
Intereses comerciales o econmico:
[cei.a] De enorme inters para la competencia.

[cei.b] De muy elevado valor comercial.
[cei.c] Causa de prdidas econmicas excepcionalmente elevadas.
[cei.d]
EDCOM
Causa de muy significativas ganancias o ventajas para individuos u

organizaciones.
Captulo II - 27
ESPOL
Constituye un incumplimiento excepcionalmente grave de las obligaciones

[cei.e] contractuales relativas a la seguridad de la informacin proporcionada por
terceros.
[lro]
Obligaciones legales: Probablemente cause un incumplimiento grave de

una ley o regulacin.
[si]
Seguridad: Probablemente sea causa de un grave incidente de seguridad o

dificulte la investigacin de incidentes graves.
[ir]
Probablemente cause un impacto significativo en las relaciones

internacionales.
[lbl]
Datos clasificados como confidenciales.
[pi1]
Informacin personal: Probablemente afecte gravemente a un grupo de

individuos.
[pi2]
Informacin personal: Probablemente quebrante seriamente la ley o

algn reglamento de proteccin de informacin personal.
[ps]
Seguridad de las personas: probablemente cause daos de cierta

consideracin, restringidos a un individuo.
[po]
Orden pblico: probablemente cause manifestaciones, o presiones

significativas.
[lbl]
Datos clasificados como de difusin limitada.
[da]
Probablemente cause la interrupcin de actividades propias de la

Organizacin con impacto en otras organizaciones.
[adm]
Administracin y gestin: probablemente impedira la operacin efectiva

de ms de una parte de la organizacin.
[lg]
5
Probablemente sea causa una cierta publicidad negativa.
[lg.a] Por afectar negativamente a las relaciones con otras organizaciones.

[lg.b] Por afectar negativamente a las relaciones con el pblico.
EDCOM
[olm]
Probablemente merme la eficacia o seguridad de la misin operativa o

logstica ms all del mbito local.
[iio]
Probablemente dae a misiones importantes de inteligencia o

informacin.
Captulo II - 28
ESPOL
[pi1] Informacin personal: Probablemente afecte gravemente a un individuo.

[pi2]
Informacin personal: Probablemente quebrante seriamente leyes o

regulaciones.
[lro]
Obligaciones legales: Probablemente sea causa de incumplimiento de una

ley o regulacin.
[ir]
Probablemente tenga impacto en las relaciones internacionales.
[lbl]
[pi1] Informacin personal: Probablemente afecte a un grupo de individuos.

[pi2] Informacin personal: Probablemente quebrante leyes o regulaciones.
4
[ps]
Seguridad de las personas: Probablemente cause daos menores a varios

individuos.
[crm] Dificulte la investigacin o facilite la comisin de delitos.

[lbl]
[da]
Probablemente cause la interrupcin de actividades propias de la

Organizacin.
[adm]
Administracin y gestin: Probablemente impedira la operacin efectiva

de una parte de la organizacin.
[lg]
Probablemente afecte negativamente a las relaciones internas de la

Organizacin.
[olm]
Probablemente merme la eficacia o seguridad de la misin operativa o

logstica (alcance local).
[iio]
Probablemente cause algn dao menor a misiones importantes de

inteligencia o informacin.
[cei]
Intereses comerciales o econmicos:
[cei.a] De cierto inters para la competencia.

[cei.b] De cierto valor comercial.
[cei.c] Causa de prdidas financieras o merma de ingresos.
EDCOM
Captulo II - 29
ESPOL
[cei.d] Facilita ventajas desproporcionadas a individuos u organizaciones.

[cei.e]
Constituye un incumplimiento leve de obligaciones contractuales para

mantener la seguridad de la informacin proporcionada por terceros.
[pi1] Informacin personal: Probablemente afecte a un individuo.

[pi2]
Informacin personal: Probablemente suponga el incumplimiento de una

ley o regulacin.
[lro]
Obligaciones legales: Probablemente sea causa de incumplimiento leve o

tcnico de una ley o regulacin.
[si]
Seguridad: Probablemente sea causa de una merma en la seguridad o

dificulte la investigacin de un incidente.
[ps]
Seguridad de las personas: Probablemente cause daos menores a un

individuo.
[po]
Orden pblico: Causa de protestas puntuales.
[ir]
Probablemente cause un impacto leve en las relaciones internacionales.
[lbl]
[lg]
Probablemente cause una prdida menor de la confianza dentro de la

Organizacin.
[cei]
[cei.a] De bajo inters para la competencia.

[cei.b] De bajo valor comercial.
2
EDCOM
[pi1] Informacin personal: Pudiera causar molestias a un individuo.

[pi2]
Informacin personal: Pudiera quebrantar de forma leve leyes o

regulaciones.
[ps]
Seguridad de las personas: Pudiera causar dao menor a varios

individuos.
[lbl]
Datos sin clasificar.
[da]
Pudiera causar la interrupcin de actividades propias de la Organizacin.
Captulo II - 30
ESPOL
[adm]
Administracin y gestin: Pudiera impedir la operacin efectiva de una

parte de la organizacin.
[lg]
Pudiera causar una prdida menor de la confianza dentro de la

Organizacin.
[olm]
Pudiera mermar la eficacia o seguridad de la misin operativa o logstica

(alcance local).
[iio]
Pudiera causar algn dao menor a misiones importantes de inteligencia o

informacin.
[cei]
[cei.a] De pequeo inters para la competencia.

[cei.b] De pequeo valor comercial.
[pi1] Informacin personal: Pudiera causar molestias a un individuo.
[lro]
Obligaciones legales: Pudiera causar el incumplimiento leve o tcnico de

una ley o regulacin.
[si]
Seguridad: Pudiera causar una perjuicio en la seguridad o dificultar la

investigacin de un incidente.
[ir]
Pudiera tener un impacto leve en las relaciones internacionales.
[lbl]
Datos clasificados como sin clasificar.
[1]
No afectara a la seguridad de las personas.
[2]
Sera causa de inconveniencias mnimas a las partes afectadas.
[3]
Supondra prdidas econmicas mnimas.
[4]
No supondra dao a la reputacin o buena imagen de las personas u

organizaciones.
Tabla 4 - Justificacin
EDCOM
Captulo II - 31
ESPOL
II.2.5 VALORACIN DE ACTIVOS

Nombre del
Activo
Disponibilidad
Integridad
Confidencialidad Valor
Valor Justificacin Valor Justificacin Valor Justificacin Total
WRKS-REC-001
[crm]
[adm]
[lbl], [crm]
WRKS-REC-002
WRKS-PRE-003
WRKS-RHH-004
WRKS-CON-005
WRKS-CON-006
WRKS-CON-007
WRKS-PRO-008
WRKS-PRO-009
WRKS-PRO-010
WRKS-PRO-011
WRKS-PRO-012
WRKS-PRO-024
WRKS-PRO-013
WRKS-SEL-014
WRKS-IMP-015
WRKS-CAL-017
WRKS-EXT-016
WRKS-CAL-018
WRKS-BOD-019
WRKS-BOD-020
WRKS-SIS-022
WRKS-SIS-023
10
3
7
10
8
10
10
6
10
10
8
7
10
10
10
6
5
5
10
5
10
3
[olm]
[adm], [da]
[da]
[olm]
[crm]
[olm]
[olm]
[pi1]
[olm]
[olm]
[crm]
[da]
[olm]
[olm]
[olm]
[pi1]
[adm], [da]
[adm]
[olm]
[adm], [da]
[olm]
[adm], [da]
5
2
7
10
10
10
10
10
10
10
10
7
10
10
10
5
5
7
8
5
10
3
[olm]
[lg]
[adm]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[adm]
[iio]
[iio]
[iio]
[olm]
[olm]
[adm]
[crm]
[olm]
[iio]
[iio], [olm]
6
0
8
8
10
10
10
9
8
10
10
7
3
4
10
8
5
3
10
5
10
3
[lbl]
[4]
[lbl], [crm]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
7
2
7
9
9
10
10
8
9
10
9
7
8
8
10
6
5
5
9
5
10
3
Tabla 5 - Valoracin de Activos
EDCOM
Captulo II - 32
ESPOL
II.3
IDENTIFICAR AMENAZAS Y VULNERABILIDADES
Se denomina vulnerabilidad a la exposicin latente a un riesgo en el rea de

informtica, de los cuales podran ser del tipo lgica, como fsico; no obstante, con la
adopcin de nuevos medios tecnolgicos y de comunicacin, los riesgos evolucionan y
las conexiones se hacen menos seguras cada vez.
La definicin de amenaza est dada como un evento que puede ocurrir, producto de
un dao sobre los elementos de un sistema, las cuales pueden afectar, ya sea a la
integridad, disponibilidad, confidencialidad y autenticidad de los datos e informacin
con tcnicas tales como: el reconocimiento de puntos de entrada, fronteras de
privilegios y rboles de amenazas, se pueden identificar estrategias para mitigar las
posibles amenazas.
Es importante considerar que las amenazas permanecen siempre latentes y las
vulnerabilidades no desaparecern en su totalidad; por lo que los niveles de inversin
en el rea de seguridad en cualquier empresa debern ir acorde a la importancia de la
informacin en riesgo.
II.3.1 AMENAZAS POR ACTIVO

Activo
Amenaza
[N.1] Incendios.
[N.2] Inundaciones.
[N.3] Otro desastre natural.
PC /
LAPTOP
EDCOM
[I.3]
[I.4]
Contaminacin mecnica.
Avera de origen fsico.
Corte del suministro
[I.5]
elctrico.
Condiciones inadecuadas de
[I.6]
temperatura y/o humedad.
Errores de mantenimiento
[E.15] /Actualizacin de equipos
(hardware).
Captulo II - 33
Vulnerabilidad
Falta de proteccin contra fuego.
Falta de proteccin fsica
adecuada.
Condiciones locales donde los
recursos son fcilmente
afectados por desastres.
Falta de mantenimiento.
Funcionamiento no confiable del
UPS.
Funcionamiento no adecuado del
aire acondicionado.
Falta de control.
ESPOL
[A.17] Robo.
Falta de proteccin fsica.
[N.1] Incendios.
Falta de proteccin contra fuego.

Falta de proteccin fsica
adecuada.
Condiciones locales donde los
recursos son fcilmente
afectados por desastres.
Funcionamiento no confiable del
UPS.
[N.2] Inundaciones.
[N.3] Otro desastre natural.
[I.3]
[I.4]
SERVIDOR
[I.5]
Contaminacin mecnica.
Avera de origen fsico.
elctrico.
Condiciones inadecuadas de
temperatura y/o humedad.
Errores de mantenimiento
[E.15] /Actualizacin de equipos
(hardware).
Funcionamiento no adecuado del

aire acondicionado.
[A.17] Robo.
Falta de proteccin fsica.
[E.5]
Difusin de software daino.
Falta de control.
[E.9]
Introduccin de informacin
incorrecta.
Desconocimiento de la
aplicacin.
[I.6]
INFORMACIN
/ DATOS
[A.13] Destruccin la informacin.

Degradacin de la
[E.10]
informacin.
Falta de control.
Respaldo inadecuado.
[E.1]
Errores del administrador.
Falta de capacitacin del

administrador del sistema.
[E.2]
Errores de los usuarios.
Falta de conocimiento para el

uso de la aplicacin.
[E.3]
[E.9]
APLICACIONES
(SOFTWARE)
Falta de control.
Errores de monitorizacin
(log).
incorrecta.
Errores de mantenimiento /
[E.14] actualizacin de programas
(software).
[E.16]
Cada del sistema por

agotamiento de recursos.
[A.16] Denegacin de servicio.
Incapacidad de la aplicacin.
Falta de conocimiento para el
uso de la aplicacin.
Falta de procedimientos
aprobados.
Sobrecarga en la utilizacin de la
aplicacin.
Incapacidad para distinguir una
peticin real de una peticin
falsificada.
Tabla 6 - Amenaza por activos
EDCOM
Captulo II - 34
ESPOL
II.4
IDENTIFICAR IMPACTOS
Se considera impacto a todo hecho que se present y que resuelto o no, provoc algn
tipo de repercusin importante (sobre todo negativa) en la funcionalidad de alguna
parte de la organizacin; en nuestro caso especficamente a los activos fsicos y toda la
informacin que almacenan.
Estableciendo las prioridades a las diversas situaciones, se deben asignar valores a los
sistemas que pueden ser afectados por las potenciales amenazas, en base a esto se
pueden determinar cules deberan ser atendidas inmediatamente. Habr que analizar
todos los criterios de valorizacin, como son la confidencialidad, disponibilidad e
integridad, aplicando una tabla que nos cuantificar las incidencias. Adems de
identificar los impactos, hay que clasificarlos dependiendo el tipo de consecuencias
que las amenazas pueden producir en los activos:
IMPACTOS CON CONSECUENCIAS CUANTITATIVAS

C1
C2
C3
Prdidas econmicas
Prdidas inmateriales
Responsabilidad legal, civil o penal
IMPACTOS CON CONSECUENCIAS CUALITATIVAS ORGNICAS

L1
L2
L3
L4
Prdida de fondos patrimoniales

Incumplimiento de obligaciones legales
Perturbacin o situacin embarazosa poltico-administrativa
Dao a las personas
IMPACTOS CON CONSECUENCIAS CUALITATIVAS FUNCIONALES

[C]
[I]
[D]
Confidencialidad
Integridad
Disponibilidad
Tabla 7 Impactos
EDCOM
Captulo II - 35
ESPOL
II.4.1 IMPACTO POR AMENAZA
[N.1]
Incendios
[N.2]
Inundaciones
[N.3]
Otro desastre natural
[I.3]
Contaminacin
mecnica
[I.4]
Avera de origen fsico
[I.5]
[I.6]
[E.15]
[A.17]
Robo
[N.1]
Incendios
[N.2]
Inundaciones
[N.3]
[I.3]
Contaminacin
mecnica
[I.4]
[I.5]

elctrico
SERVIDOR
EDCOM

elctrico
Condiciones
inadecuadas de
temperatura y/o
humedad
Errores de
mantenimiento /
actualizacin de
equipos (hardware)
Captulo II - 36
FUNCIONAL
PC /
LAPTOP
AMENAZA
CUALITATIVA
ACTIVO
CUANTITATIVA
TIPOS DE
CONSECUENCIAS
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
[D]
Reduce la
disponibilidad
C1, C2
[D]
Reduce la
disponibilidad
C1, C2
L4
[D]
Reduce la
disponibilidad
C1, C2
[D]
C1, C2
,C3
L4
[D], [C]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
[D]
C1, C2
[D]
IMPACTO
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad,
confidencialidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
ESPOL
INFORMACIN
/ DATOS
[I.6]
Condiciones
inadecuadas de
temperatura y/o
humedad
Reduce la
disponibilidad
C1, C2
L4
[D]
[E.15]
Errores de
mantenimiento /
actualizacin de
equipos (hardware)
Reduce la
disponibilidad
C1, C2
[D]
L4
[D], [C]
L1
[D], [C],
[I]
L3
[I]
L1
[D]
L1
[I]
L3
[D], [C],
[I]
[D], [I]
[C]
L3
[I]
L3
[D], [I]
L1,
L3
[D]
[D]
[A.17]
Robo
[E.5]
Difusin de software
daino
[E.9]
Introduccin de
informacin incorrecta
Reduce la
C1, C2
disponibilidad,
,C3
confidencialidad
Reduce la
disponibilidad,
C2
confidencialidad
e integridad
Reduce la
integridad
Reduce la
C1, C2
disponibilidad
Reduce la
[E.10]
C2
integridad
Reduce la
Errores del
disponibilidad,
[E.1]
C2
administrador
confidencialidad
e integridad
Reduce la
[E.2] Errores de los usuarios disponibilidad e
C2
integridad
Errores de
Reduce la
[E.3]
C2
monitorizacin (log) confidencialidad
Introduccin de
Reduce la
APLICACIONES [E.9]
C1, C2
integridad
(SOFTWARE)
Errores de
Reduce la
mantenimiento /
[E.14]
disponibilidad e
C2
actualizacin de
integridad
programas (software)
Reduce la
[E.16]
agotamiento de
C1, C2
disponibilidad
recursos
Reduce la
[A.16] Denegacin de servicio
C2
disponibilidad
[A.13]
Destruccin la
informacin
Degradacin de la
informacin
C1,C2
Tabla 8 - Impacto por amenaza
EDCOM
Captulo II - 37
ESPOL
II.5
ANLISIS Y EVALUACIN DE RIESGOS
Se dedica a identificar las amenazas, vulnerabilidades y riesgos a los que estn

expuestos los equipos, sobre el entorno de trabajo y tecnolgico de la organizacin; y
posteriormente generar un plan de implementacin de los controles que aseguren un
ambiente informtico seguro, bajo los criterios de disponibilidad, confidencialidad e
integridad de la informacin.
Las dimensiones de valoracin estn dadas en base a la fuente de la amenaza, su
capacidad y la naturaleza de la vulnerabilidad. Con la finalidad de poder establecer las
medidas preventivas a aplicarse, es necesario identificar los riesgos en todas las
instalaciones de la empresa y determinar una evaluacin de stos en funcin a las
consecuencias que puedan ocasionar.
Es siguiente cuadro muestra nos muestra ms detallado un anlisis y evaluacin de
Riesgo de la empresa Plsticos Internaciones C.A.:
Los criterios de valoracin de Frecuencia son los siguientes:
Frecuencia
Casi nunca
Algunas veces
A menudo
Casi siempre
Siempre
2
3
4
5
Tabla 9 Frecuencia
Los criterios de valoracin del Impacto son los siguientes:

Impacto
Muy Bajo
Bajo
Medio
Alta
Muy alto
Tabla 10 - Impacto
EDCOM
Captulo II - 38
ESPOL
Tabla 11 - Anlisis y evaluacin de riesgo
EDCOM
Captulo II - 39
ESPOL
CAPTULO III
EJECUCIN DEL SGSI
III.
EJECUCIN DEL SGSI
III.1 DEFINIR PLAN DE TRATAMIENTO DE RIESGO

El Plan de Tratamiento de Riesgos (PTR) consiste en seleccionar y aplicar las medidas
ms adecuadas, con el fin de poder modificar el riesgo para evitar los daos intrnsecos
al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos.
III.1.1 OPCIONES PARA EL TRATAMIENTO DEL RIESGO

Para el tratamiento del riesgo existen cuatro estrategias:
Reduccin del Riesgo

Se deben implementar los apropiados controles para disminuirlos a los niveles de
aceptacin previamente identificados por la empresa.
Los controles pueden reducir los riesgos valorados en varias maneras:
Reduciendo la posibilidad de que la vulnerabilidad sea explotada por las
amenazas.
Reduciendo la posibilidad de impacto si el riesgo ocurre detectando eventos no
deseados, reaccionando o recuperndose de ellos.
La seleccin de cualquiera de estas maneras para controlar los riesgos depender de
una serie de factores, tales como: requerimientos comerciales de la organizacin, el
ambiente, y las circunstancias en que la firma requiere operar.
Aceptacin del Riesgo

Es probable que a la empresa se le presente situaciones donde no se pueden encontrar
controles ni tampoco es viable disearlos o el costo de implantar el control es mayor
que las consecuencias del riesgo. En estas circunstancias una decisin razonable
pudiera ser la de inclinarse por la aceptacin del riesgo, y vivir con las consecuencias si
el riesgo ocurriese.
EDCOM
Captulo III- 41
ESPOL
Transferencia del Riesgo

Es una opcin para la empresa, cuando es muy difcil, tanto tcnica como
econmicamente para la organizacin llevar al riesgo a un nivel aceptable. En estas
circunstancias podra ser econmicamente factible, transferir el riesgo a una
aseguradora.
Hay que tomar en cuenta, que con las empresas aseguradoras, siempre existe un
elemento de riesgo residual. Siempre existen condiciones con las aseguradoras de
exclusiones, las cuales se aplicarn dependiendo del tipo de ocurrencia, bajo la cual no
se provee una indemnizacin. La transferencia del riesgo por lo tanto, debe ser muy
bien analizada para as poder identificar con precisin, cunto del riesgo actual est
siendo transferido. Lo que debe estar claro, es que al tercerizar servicios, el riesgo
residual no se delega, es responsabilidad de la empresa.
Evitar el Riesgo
La opcin de evitar el riesgo, describe cualquier accin donde las actividades del
negocio, o las maneras de conducir la gestin comercial del negocio, se modifican,
para as poder evitar la ocurrencia del riesgo.
Las maneras habituales para implementar esta opcin son:
Dejar de conducir ciertas actividades.
Desplazar activos de informacin de un rea riesgosa a otra.
Decidir no procesar cierto tipo de informacin si no se consigue la proteccin
adecuada.
La decisin por la opcin de evitar el riesgo debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
EDCOM
Captulo III- 42
ESPOL
III.2 IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO

Los controles seleccionados basados en Gestin de Activos son los siguientes:
ACTIVO
AMENAZA
[I.3]
PC / LAPTOP

elctrico
Errores de mantenimiento /
[E.15]
actualizacin de equipos
(hardware)
[I.5]
APLICACIONES
(SOFTWARE)
PTR
Falta de
mantenimiento
Reduccin
Funcionamiento no
confiable del UPS
Reduccin
Falta de control
Reduccin
[I.3]
Contaminacin mecnica
Falta de
mantenimiento
Reduccin
[I.5]

elctrico
Funcionamiento no
confiable del UPS
Reduccin
[E.5]
Difusin de software daino
Falta de control
Reduccin
SERVIDORES
INFORMACIN
/ DATOS
Contaminacin mecnica
VULNERABILIDAD
Introduccin de informacin Desconocimiento de la

incorrecta
aplicacin
Falta de Proteccin
[A.13] Destruccin la informacin
Anti-Virus actualizada
Falta de capacitacin
[E.1]
Errores del administrador
del administrador del
sistema
Falta de conocimiento
[E.2]
Errores de los usuarios
para el uso de la
aplicacin
Falta de conocimiento
[E.9]
para el uso de la
incorrecta
aplicacin
[E.9]
Reduccin
Reduccin
Reduccin
Reduccin
Reduccin
Tabla 12 - Implementar plan de tratamiento de riesgo
Ya realizado el PTR sobre la organizacin, se deber de reconocer que por ms

eficiente que sea el PTR, existir siempre un riesgo residual. El riesgo residual es aquel
riesgo que queda en la empresa despus de un arduo anlisis de seguridad a travs de
un PTR. El riesgo residual no tiene proporciones ni estndares; es un estimado que est
en funcin del PTR que lleva la empresa para salvar su informacin.
EDCOM
Captulo III- 43
ESPOL
III.2.1 CONTROLES SELECCIONADOS DE LA NORMA ISO 27002

La norma ISO 27002 nos ofrece los controles ms apropiados para reducir todos estos
riesgos excesivos identificados. Los controles seleccionados son los siguientes:
ACTIVO
AMENAZA
VULNERABILIDAD
PTR
9.2.1 Ubicacin y proteccin
de los equipos.
[I.3]
Contaminacin
mecnica
Falta de
mantenimiento
7.1.3 Uso aceptable de los

equipos.
9.2.4 Mantenimiento de
equipos.
9.2.9.2 Servicios de
Suministro.
14.1 Aspectos de la
seguridad de la informacin
de la gestin de la
continuidad del negocio.
[I.5]
PC /
Laptop
Corte del
suministro
elctrico
Funcionamiento no 14.1.3 Desarrollar e

confiable del UPS implementar los planes de
continuidad incluyendo la
seguridad de la informacin.
14.1.5 Prueba,
mantenimiento y reevaluacin de los planes de
Errores de
mantenimiento
/ actualizacin
de equipos
(hardware)
Falta de control
[I.3]
Contaminacin
mecnica
Falta de
mantenimiento
[I.5]
Corte del
[E.15]
EDCOM
equipos.
13.2.1 Responsabilidades y
procedimientos
8.2.2 Conocimiento,
educacin y capacitacin en
equipos.
Funcionamiento no 9.2.9.2 Servicios de
Captulo III- 44
ESPOL
suministro
elctrico
confiable del UPS
Suministro.
14.1 Aspectos de la
seguridad de la informacin
de la gestin de la
14.1.3 Desarrollar e
implementar los planes de
continuidad incluyendo la
14.1.5 Prueba,
mantenimiento y reevaluacin de los planes de
10.4.1 Controles contra
cdigos maliciosos.
[E.5]
Difusin de
Falta de Antivirus o
10.4.2 Controles contra
software daino desactualizacin
cdigos mviles.
10.5 Respaldo o Back-Up.
8.1.1 Roles y
responsabilidades.
Informacin
/ Datos
[E.9]
Introduccin de
informacin
incorrecta
Desconocimiento
de la aplicacin
8.2.2 Conocimiento,
13.1 Reporte de los eventos
y debilidades de la seguridad
de la informacin.
[A.13]
EDCOM
Destruccin la
informacin

de la informacin.
Falta de control
Captulo III- 45
8.2.2 Conocimiento,
ESPOL
[E.1]
Aplicaciones
(Software)
[E.2]
Errores del
administrador
Errores de los
usuarios
Falta de
capacitacin del 13.2.1 Responsabilidades y
administrador del procedimientos.
sistema
de la informacin.
5.1 Poltica de seguridad de
Falta de
la informacin.
conocimiento para
el uso de la
5.1.1 Documento de poltica
aplicacin
de seguridad de la
informacin.
15.1 Cumplimiento con los
requisitos legales.
[E.9]
Introduccin de
informacin
incorrecta
Falta de
15.1.4 Proteccin de los
conocimiento para datos y de la privacidad de la
el uso de la
informacin personal.
aplicacin
Tabla 13 - Control de Selecciones de la norma ISO 27002
III.2.2 SALVAGUARDAS
Las salvaguardas permiten hacer frente a las amenazas. Hay diferentes aspectos en los
cuales puede actuar una salvaguarda para alcanzar sus objetivos de limitacin del
impacto y/o mitigacin del riesgo:
Procedimientos: Que siempre son necesarios; a veces bastan procedimientos, pero

otras veces son un componente de una salvaguarda ms compleja. Se requieren
procedimientos tanto para la operacin de las salvaguardas preventivas como para la
gestin de incidencias y la recuperacin tras las mismas.
Poltica de personal: Que es necesaria cuando se consideran sistemas atendidos por

personal.
Soluciones tcnicas: Frecuentes en el entorno de las tecnologas de la informacin,

que pueden ser:
EDCOM
Captulo III- 46
ESPOL
Aplicaciones (software)
Dispositivos fsicos
Proteccin de las comunicaciones
Seguridad fsica, de los locales y reas de trabajo
III.3 IMPLEMENTAR LOS CONTROLES

Una vez seleccionado los controles procedemos a su implementacin:
III.3.1 CONTROLES Y POLTICAS DE SEGURIDAD

GENERALIDADES
La seguridad informtica ha tenido un gran incremento, debido a las nuevas
plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de
redes ha abierto nuevos horizontes a las empresas para mejorar su productividad y
poder explorar ms en el ambiente internacional, lo cual lgicamente ha trado consigo
la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que
se enfrentan han llevado a que se desarrolle un documento de Polticas de Seguridad
que orienten el uso adecuado de estas destrezas tecnolgicas y recomendaciones para
obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo
cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la
compaa Plsticos Internacionales C.A.
En este sentido, las polticas de seguridad informtica definidas partiendo desde el
anlisis de los riesgos a los que se encuentra propensa la compaa surgen como una
herramienta organizacional para concienciar a los colaboradores de la organizacin
sobre la importancia y sensibilidad de la informacin; y servicios crticos que permiten
a la empresa crecer y mantenerse competitiva.
Ante esta situacin, el proponer nuestra poltica de seguridad requiere un alto
compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades
EDCOM
Captulo III- 47
ESPOL
en su aplicacin, y constancia para renovar y actualizar dicha poltica en funcin del

dinmico ambiente que rodea la compaa.
ALCANCE DE LAS POLTICAS

Este manual de polticas de seguridad es elaborado de acuerdo al anlisis de riesgos y
de vulnerabilidades encontradas a lo largo del estudio, por consiguiente el alcance de
estas polticas, se encuentra sujeto a la empresa.
OBJETIVOS
Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las
actividades para mantener y garantizar la integridad fsica de los recursos informticos,
as como resguardar los activos de la empresa".
Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad
son los siguientes:
Establecer un esquema de seguridad con perfecta claridad y transparencia bajo
la responsabilidad de la compaa en la administracin del riesgo.
Compromiso de todo el personal de la compaa con el proceso de seguridad,
agilizando la aplicacin de los controles con dinamismo y armona.
Que la prestacin del servicio de seguridad gane en calidad.
Todos los empleados se convierten en interventores del SGSI.
III.3.2 DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA

En esta seccin del documento se presenta una propuesta de polticas de seguridad,
como un recurso para mitigar los riesgos a los que la compaa se ve expuesta.
DISPOSICIONES GENERALES
Artculo 1
El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo
informtico de las diferentes reas de la compaa. Para los efectos de este
instrumento se entender por:
EDCOM
Captulo III- 48
ESPOL
COMIT
Al equipo integrado por la Gerencia, los Jefes de rea y el personal administrativo
(ocasionalmente) convocado para fines especficos como:
Adquisiciones de Hardware y software.
Establecimiento de estndares de la Compaa Plsticos Internacionales tanto
de hardware como de software.
Establecimiento de la Arquitectura Tecnolgica.
Establecimiento de lineamientos para concursos de ofertas.
Administracin de informtica.
Est integrada por la Gerencia y Jefes de rea, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las
diferentes reas.
Elaborar y efectuar seguimiento del Plan Maestro de Informtica.
Definir estrategias y objetivos a corto, mediano y largo plazo.
Mantener la Arquitectura tecnolgica.
Controlar la calidad del servicio brindado.
Mantener el Inventario actualizado de los recursos informticos.
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
Para los efectos de este documento, se entiende por Polticas en Informtica, al
conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables
del hardware y software existente en la compaa, siendo responsabilidad de la
Administracin de Informtica, vigilar su estricto cumplimiento en el mbito de su
competencia, tomando las medidas preventivas y correctivas para que se cumplan.
Artculo 2
Las Polticas en Informtica son el conjunto de ordenamientos y lineamientos
enmarcados en el mbito jurdico y administrativo. Estas normas inciden en la
EDCOM
Captulo III- 49
ESPOL
adquisicin y el uso de los Bienes y Servicios Informticos, las cuales se debern de

acatar invariablemente, por aquellas instancias que intervengan directa y/o
indirectamente en ello.
Artculo 3
La compaa deber contar con un Jefe o responsable, en el que recaiga la
administracin de los Bienes y Servicios, que vigilar la correcta aplicacin de los
ordenamientos establecidos por el Comit y dems disposiciones aplicables.
IDENTIFICACIN DE LOS EQUIPOS DE CMPUTO

Artculo 4
Se identificarn los activos importantes asociados a cada sistema de informacin, sus
respectivos propietarios, para luego elaborar un inventario con dicha informacin . La
identificacin de los activos fsicos de la empresa se los realizar en el siguiente
formato:
rea
Nombre del Equipo
Responsable
Cargo
CPU
Monitor Mouse Teclado Impresora
Serie No.
Serie No.
Marca
Marca
Memoria RAM
Modelo No.
Disco Duro
Procesador
Sistema Operativo
Observacin
Tabla 14 - Formato de Inventario
EDCOM
Captulo III- 50
ESPOL
INSTALACIONES DE LOS EQUIPOS DE CMPUTO

Artculo 5
La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos:
Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo
y trfico de personas.
La Administracin de Informtica, as como las reas operativas debern
contar con un croquis actualizado de las instalaciones elctricas y de
comunicaciones del equipo de cmputo en red.
Las instalaciones elctricas y de comunicaciones, estarn de preferencia fija o
en su defecto resguardadas del paso de personas o mquinas, y libres de
cualquier interferencia elctrica o magntica.
Las instalaciones se apegarn estrictamente a los requerimientos de los
equipos, cuidando las especificaciones del cableado y de los circuitos de
proteccin necesarios.
En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
La supervisin y control de las instalaciones se llevar a cabo en los plazos y mediante
los mecanismos que establezca el Comit.
FUNCIONAMIENTO DE LOS EQUIPOS DE CMPUTO

Artculo 6
Es obligacin de la Administracin de Informtica vigilar que el equipo de cmputo se
use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones
del rea a la que se asigne.
EDCOM
Captulo III- 51
ESPOL
Artculo 7
Los colaboradores de la empresa al usar el equipo de cmputo, se abstendrn de
consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del
mismo o deterioren la informacin almacenada.
Artculo 8
Mantener plizas de seguros de los recursos informticos en funcionamiento.
Artculo 9
En ningn caso se autorizar la utilizacin de dispositivos ajenos a los procesos
informticos del rea. Por consiguiente, se prohbe el ingreso y/o instalacin de
hardware y software particular, es decir que no sea propiedad de la compaa, excepto
en casos emergentes que la Direccin autorice.
ANTIVIRUS
Artculo 10
En todos los equipos de la empresa se debe instalar y correr el antivirus actualizado, el
mismo que debera cumplir con lo siguiente:
Detectar y controlar cualquier accin intentada por un software viral en tiempo
real.
Peridicamente ejecutar el Anlisis para detectar software viral almacenado en
la estacin de trabajo.
Hacer una revisin al menos diaria para actualizar la definicin del software
antivirus.
Debe ser un producto totalmente legal (con licencia o Software libre).
No deben usarse memorias extrables u otros medios de almacenamiento en cualquier
computadora de la empresa a menos que se haya previamente verificado que estn
libres de virus u otros agentes dainos. Deber existir un procedimiento formal a
seguir en caso que se detecte un virus en algn equipo del sistema.
EDCOM
Captulo III- 52
ESPOL
DISPOSITIVOS DE SOPORTE
Artculo 11
Debern existir los siguientes dispositivos de soporte en la empresa:
Aire acondicionado: en el centro de cmputos la temperatura debe
mantenerse entre 19 C y 20 C.
Matafuegos: debern ser dispositivos qumicos y manuales que cumplan las
especificaciones
para
extinguir
incendios
en
equipos
elctricos
de
computacin, debern estar instalados en lugares estratgicos de la empresa,

el centro de cmputos deber contar con uno propio ubicado en la habitacin
de los servidores.
UPS: (Uninterruptible, power, supply) deber existir al menos un UPS en el
centro de cmputos que atienda a los servidores, con tiempo suficiente para
que se apaguen de forma segura.
Luz de emergencia: deber existir una luz de emergencia que se active
automticamente ante una contingencia.
Debern existir procedimientos detallados a seguir por el personal en caso de
emergencias, indicando responsables, quines deben estar adecuadamente
capacitados.
RESPALDOS
Artculo 12
Se deber asegurar la existencia de un procedimiento aprobado para la generacin de
copias de resguardo sobre toda la informacin necesaria para las operaciones de la
organizacin, donde se especifique la periodicidad y el lugar fsico donde se deben
mantener las copias generadas.
Los archivos de respaldos deben tener un control de acceso lgico de acuerdo a la
sensibilidad de sus datos, adems de contar con proteccin fsica.
EDCOM
Captulo III- 53
ESPOL
Deben generarse copias de respaldo de las configuraciones de los servidores,

documentando las modificaciones realizadas para identificar las distintas versiones. Se
deber establecer un procedimiento de emergencia para dejar sin efecto los cambios
efectuados y poder recuperar las versiones autorizadas anteriores.
Se deber generar una copia de respaldo de toda la documentacin del centro de
cmputos, incluyendo el hardware, el software, la cual deber ser de acceso
restringido y estar fsicamente en un lugar distinto a los centros de procesamiento.
MANTENIMIENTO DE EQUIPOS
Artculo 13
Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e
integridad permanentes, para ello se debe considerar:
Someter el equipamiento a tareas de mantenimiento preventivo.
El responsable del rea informtica mantendr listado actualizado del
equipamiento con el detalle de la frecuencia en que se realizar el
mantenimiento preventivo.
Establecer que slo el personal de mantenimiento autorizado puede brindar
mantenimiento y llevar a cabo reparaciones en el equipamiento.
Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo
y correctivo realizado.
A continuacin se indica el perodo aconsejable para realizar los
mantenimientos de los activos:
EQUIPO
FRECUENCIA DE MANTENIMIENTO PERSONAL AUTORIZADO
SERVIDORES
3 meses
Jefe de Sistemas
ESTACIONES DE TRABAJO
6 meses
Jefe de Sistemas
IMPRESORAS
6 meses
Jefe de Sistemas
Tabla 15 - Plan de Mantenimiento anual
EDCOM
Captulo III- 54
ESPOL
USO APROPIADO DE LOS RECURSOS

Artculo 14
Los Recursos Informticos estn disponibles exclusivamente para cumplir las
obligaciones y propsito para lo que fueron diseados e implantados. Todo el personal
usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad en
su uso.
CONEXIONES EXTERNAS
Artculo 15
La conectividad a Internet ser otorgada para propsitos relacionados con el negocio y
mediante una autorizacin de la Gerencia.
Debe asegurarse que la totalidad del trfico entrante y saliente de la red interna, sea
filtrado y controlado por un firewall prohibiendo el pasaje de todo el trfico que no se
encuentre expresamente autorizado.
Todas las conexiones a Internet de la empresa deben traspasar un servidor Proxy una
vez que han traspasado el firewall.
PROPIEDAD DE LA INFORMACIN
Artculo 16
Con el fin de mejorar la productividad, Plsticos Internacionales promueve el uso
responsable de las comunicaciones en forma electrnica, en particular el telfono, el
correo de voz, el correo electrnico, y el fax. Los sistemas de comunicacin y los
mensajes generados y procesados por tales sistemas, incluyendo las copias de
respaldo, se deben considerar como propiedad de la empresa y no propiedad de los
usuarios de los servicios de comunicacin.
EDCOM
Captulo III- 55
ESPOL
QUEDA PROHIBIDO
Artculo 17
El uso de estos recursos para actividades no relacionadas con el propsito de la
compaa.
Artculo 18
Las actividades, equipos o aplicaciones que no estn directamente especificados
dentro de los Estndares de los Recursos Informticos propios la compaa.
Artculo 19
Introducir voluntariamente programas, virus, applets, controles ActiveX o cualquier
otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de
causar cualquier tipo de alteracin o dao en los Recursos Informticos.
EDCOM
Captulo III- 56
ESPOL
III.4 SELECCIN DE CONTROLES Y SOA

Cada da surgen nuevas formas de delitos informticos, los cuales el SGSI, tiene como
objetivo proteger toda la informacin de relevancia en un sistema, de acuerdo con el
plan establecido para la implementacin de controles:
Planificar la implantacin de los controles seleccionados.
Diseo de un Plan de Implantacin: Medidas a adoptar.
Prioridad de implantacin.
Fecha de implantacin.
Costos de implantacin, Recursos necesarios (humanos, tecnolgicos y
econmicos).
Responsable de la implantacin.
Definir el nivel de participacin necesario de las diferentes reas. Desarrollar un
Plan de Formacin y Concienciacin de usuarios.
CONTROLES Y RAZONES DE SELECCIN

LR:
CO:
BR /
BP:
RRA:
Requerimientos Legales.
Obligaciones Contractuales.
Requerimientos de Negocio/Adoptar las mejores
prcticas.
Resultados de la evaluacin de riesgos.
Tabla 16 Controles y Razones
EDCOM
Captulo III- 57
ESPOL
III.4.1 DECLARACIN DE APLICABILIDAD (SOA)
EDCOM
Captulo III- 58
ESPOL
EDCOM
Captulo III- 59
ESPOL
Tabla 17 - Declaracin de Aplicabilidad (SOA)
EDCOM
Captulo III- 60
ESPOL
III.5 FORMACIN Y CONCIENCIACIN

Las Polticas de Seguridad de la Informacin protegen de una amplia gama de
amenazas, a fin de garantizar la continuidad de los sistemas de informacin. Es
importante que los principios de la Poltica de Seguridad sean parte de la cultura
organizacional. Para esto, se debe asegurar un compromiso manifiesto de las mximas
Autoridades del Organismo y de los titulares de Unidades Organizativas para la
difusin, consolidacin y cumplimiento de la presente Poltica.
III.5.1 CAPACITACIN
Para la eficacia de las Polticas de Seguridad de la Informacin, todos los empleados de
la empresa, y cuando sea necesario, los usuarios externos y los terceros que
desempeen funciones en la empresa debern recibir una adecuada capacitacin y
actualizacin peridica en materia de la poltica de seguridad, normas y
procedimientos.
Esto
comprende
los
requerimientos
de
seguridad
las
responsabilidades legales, as como la capacitacin referida al uso correcto de las

instalaciones de procesamiento de informacin y el uso correcto de los recursos en
general.
El responsable del rea de Recursos Humanos ser el encargado de coordinar las
acciones de capacitacin que surjan de la Poltica.
Cada 6 meses se revisar el material correspondiente a la capacitacin, a fin de evaluar
la pertinencia de su actualizacin, de acuerdo al estado del arte de ese momento. El
personal que ingrese a la Corporacin recibir el material, indicndosele el
comportamiento esperado en lo que respecta a la seguridad de la informacin, antes
de serle otorgados los privilegios de acceso a los sistemas que correspondan. Adems
se otorgar una gua de usuario para que tengan un mejor conocimiento con respecto
a las amenazas informticas y sus posibles consecuencias dentro de la Corporacin de
tal manera que se llegue a concienciar y crear una cultura de seguridad de la
informacin.
EDCOM
Captulo III- 61
ESPOL
ANEXOS
IV.
ANEXO
IV.1
DEFINICIN DE SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN
Es un conjunto de polticas de administracin de la informacin, especifica los

requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de
Gestin de la Seguridad de la Informacin (SGSI) utilizando la estrategia de mejora
continua de calidad PDCA.
IV.2
IMPLANTACIN
La implantacin de ISO/IEC 27001 en una organizacin es un proyecto que suele tener

una duracin entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de
la informacin. El equipo de proyecto de implantacin debe estar formado por
representantes de todas las reas de la organizacin que se vean afectadas por el SGSI,
liderado por la direccin y asesorado por consultores externos especializados en
seguridad informtica.
IV.3
CERTIFICACIN
La certificacin de un SGSI es el proceso mediante el cual una entidad de certificacin

externa, independiente y acreditada audita el sistema, determinando su conformidad
con ISO/IEC 27001, su grado de implantacin real y su eficacia y, en caso positivo,
emite el correspondiente certificado.
IV.4
LA SERIE ISO 27000
La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares

ISO/IEC:
EDCOM
Captulo IV - 63
ESPOL
ISO 27000.- Contiene la descripcin general y vocabulario a ser empleado en

toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de
la serie y la relacin entre los diferentes documentos que la conforman.
ISO 27001.- Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos. Es la norma principal de requisitos de un Sistema de Gestin de
Seguridad de la Informacin. En su Anexo A, contempla una lista con los
objetivos de control y controles que desarrolla la ISO 27002.
ISO 27002.- Gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin con 11
dominios, 39 objetivos de control y 133 controles.
IV.5
MODELO A SEGUIR: PDCA
PDCA (Plan, Do, Check, Act), tambin conocido como "Crculo de Deming o crculo de
Gabo", es una estrategia de mejora continua de la calidad en cuatro pasos:
PLAN (PLANIFICAR).- es una fase de diseo del SGSI, realizando la evaluacin de
riesgos de seguridad de la informacin y la seleccin de controles adecuados.

DO (HACER).- es una fase que envuelve la implantacin y operacin de los
controles.
CHECK (VERIFICAR).- es una fase que tiene como objetivo revisar y evaluar el
desempeo (eficiencia y eficacia) del SGSI.
ACT (MEJORAR).- en esta fase se realizan cambios cuando sea necesario para
llevar de vuelta el SGSI a mximo rendimiento.
Figura - 4 Modelo PDCA
EDCOM
Captulo IV - 64
ESPOL
IV.6
METODOLOGA: MAGERIT
Es una metodologa de anlisis y gestin de riesgos de los Sistemas de Informacin

elaborada por el Consejo Superior de Administracin Electrnica para minimizar los
riesgos de la implantacin y uso de las Tecnologas de la Informacin, enfocada a las
Administraciones Pblicas. MAGERIT ofrece una aplicacin, pilar para el anlisis y
gestin de riesgos de un Sistema de Informacin.
IV.7
DOMINIO, OBJETIVOS DE CONTROL Y CONTROLES
Gestin de activos.
Responsabilidad sobre los activos.
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.
Clasificacin de la informacin
Directrices de clasificacin.
Marcado y tratamiento de la informacin.
IV.8 DEFINICIN DEL ALCANCE DEL SGSI

El documento propone alcanzar y mantener una proteccin adecuada de los
activos (Hardware y software que contengan informacin) de la organizacin.
Identificndolos y teniendo asignado un propietario responsable que estar a cargo del
cuidado del activo, maximizando su ciclo de vida.
EDCOM
Captulo IV - 65
ESPOL
IV.9 DEFINICIN DE POLTICAS DE SEGURIDAD

IV.9.1 UBICACIN Y PROTECCIN DEL EQUIPO (9.2.1)
Control
Se debiera ubicar o proteger el equipo para reducir las amenazas y peligros
ambientales y oportunidades para - acceso no-autorizado.
Lineamiento de implementacin
Se debieran considerar los siguientes lineamientos para la proteccin del equipo:
El equipo se debiera ubicar de manera que se minimice el acceso innecesario a
las reas de trabajo;
Los medios de procesamiento de la informacin que manejan data confidencia
debieran ubicarse de manera que se restrinja el ngulo de visin para reducir el
riesgo que la informacin sea vista por personas no autorizadas durante su uso;
y se debieran asegurar los medios de almacenaje para evitar el acceso no
autorizado;
Se debieran aislar los tems que requieren proteccin especial para reducir el
nivel general de la proteccin requerida;
Se debieran adoptar controles para minimizar el riesgo de amenazas
potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el
suministro de agua), polvo, vibracin, efectos qumicos, interferencias en el
suministro
elctrico,
interferencia
en
las
comunicaciones,
radiacin
electromagntica y vandalismo;
Se debieran establecer lineamientos sobre comer, beber y fumar en la
proximidad de los medios de procesamiento de informacin;
Se debieran monitorear las condiciones ambientales; tales como temperatura y
humedad, que pudiera afectar adversamente la operacin de los medios de
procesamiento de la informacin;
EDCOM
Captulo IV - 66
ESPOL
Se debiera aplicar proteccin contra rayos a todos los edificios y se debieran

adaptar filtros de proteccin contra rayos a todas las lneas de ingreso de
energa y comunicaciones;
Se debieran considerar el uso de mtodos de proteccin, como membranas de
teclado, para el equipo en el ambiente industrial;
Se debiera proteger el equipo que procesa la informacin confidencial para
minimizar el riesgo de escape de informacin debido a emanacin.
IV.9.2 MANTENIMIENTO DE EQUIPO (9.2.4)

Control
Se debiera mantener correctamente el equipo para asegurar su continua
disponibilidad e integridad.
Se debieran considerar los siguientes lineamientos para el mantenimiento de equipo:
El equipo se debiera mantener en concordancia con los intervalos y
especificaciones de servicio recomendados por el proveedor;
Slo el personal de mantenimiento autorizado debiera llevar a cabo las
reparaciones y dar servicio al equipo;
Se debieran mantener registros de todas las fallas sospechadas y reales, y todo
mantenimiento preventivo y correctivo;
Se debieran implementar los controles apropiados cuando se programa el
equipo para mantenimiento, tomando en cuenta si su mantenimiento es
realizado por el personal en el local o fuera de la organizacin; cuando sea
necesario, se debiera revisar la informacin confidencial del equipo, o se
debiera verificar al personal de mantenimiento;
Se debieran cumplir con todos los requerimientos impuestos por las plizas de
seguros.
EDCOM
Captulo IV - 67
ESPOL
IV.9.3 SERVICIOS PBLICOS DE SOPORTE (9.2.2)

Control
Se debiera proteger el equipo de fallas de energa y otras interrupciones causadas por
fallas en los servicios pblicos de soporte.
Todos los servicios pblicos de soporte; como electricidad, suministro de agua,
desage, calefaccin/ventilacin y aire acondicionado; debieran ser adecuados
para los sistemas que soportan. Los servicios pblicos de soporte debieran ser
inspeccionados regularmente y, conforme sea apropiado, probado para
asegurar su adecuado funcionamiento y para reducir cualquier riesgo por un
mal funcionamiento o falla. Se debiera proveer un suministro elctrico
adecuado que est de acuerdo a las especificaciones del fabricante del equipo.
Se recomienda un dispositivo de suministro de energa ininterrumpido (UPS)
para apagar o el funcionamiento continuo del equipo de soporta las
operaciones comerciales crticas. Los planes de contingencia para la energa
debieran abarcar la accin a tomarse en el caso de una falla de energa
prolongada. Se debiera considerar un generador de emergencia si se requiere
que el procesamiento continu en el caso de una falla de energa prolongada.
Se debiera tener disponible un adecuado suministro de combustible para
asegurar que el generador pueda funcionar durante un perodo prolongado. El
equipo UPS y los generados se debieran chequear regularmente para asegurar
que tengan la capacidad adecuada y para probar su concordancia con las
recomendaciones del fabricante. Adems, se debiera considerar al uso de
mltiples fuentes de energa, si el local es grande, una subestacin de energa
separada.
Se debieran colocar interruptores de energa de emergencia cerca de las salidas
de emergencia en las habitaciones donde se encuentra el equipo para facilitar
el cierre del paso de corriente en caso de una emergencia. Se debiera
EDCOM
Captulo IV - 68
ESPOL
proporcionar iluminacin de emergencia en caso de una falla en la fuente de

energa principal.
El suministro de energa debiera ser estable y adecuado para suministrar aire
acondicionado, equipo de humidificacin y los sistemas contra-incendios
(donde se utilicen). El mal funcionamiento del sistema de suministro de agua
pude daar el equipo y evitar que el sistema contra-incendios funcione
adecuadamente. Se debiera evaluar e instalar, si se requiere, un sistema de
alarma para detectar mal funcionamiento en los servicios pblicos de soporte.
El equipo de telecomunicaciones se debiera conectar al proveedor del servicio
mediante por lo menos dos rutas para evitar que la falla en una conexin evite
el desempeo de los servicios de voz. Los servicios de voz debieran ser
adecuados para cumplir con los requerimientos legales de las comunicaciones
de emergencia.
Otra informacin
Las opciones para lograr la continuidad de los suministros de energa incluyen
mltiples alimentaciones para evitar que una falla en el suministro de energa.
IV.9.4 ASPECTOS DE LA SEGURIDAD DE LA INFORMACIN DE LA GESTIN
DE LA CONTINUIDAD DEL NEGOCIO (14.1)

Objetivo
Contraatacar las interrupciones a las actividades comerciales y proteger los procesos
comerciales crticos de los efectos de fallas importantes o desastres en los sistemas de
informacin y asegurar su reanudacin oportuna.
Se debiera implementar el proceso de gestin de la continuidad del negocio para
minimizar el impacto sobre la organizacin y recuperarse de la prdidas de activos de
informacin (lo cual puede ser resultado de, por ejemplo, desastres naturales,
accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a travs
de una combinacin de controles preventivos y de recuperacin. Este proceso debiera
identificar los procesos comerciales crticos e integrar los requerimientos de gestin de
EDCOM
Captulo IV - 69
ESPOL
la seguridad de la informacin de la continuidad del negocio con otros requerimientos

de continuidad relacionados con aspectos como operaciones, personal, materiales,
transporte y medios.
Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la
disponibilidad del servicio debieran estar sujetas a un anlisis del impacto comercial.
Se debieran desarrollar e implementar planes para la continuidad del negocio para
asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la
informacin debiera ser una parte integral del proceso general de continuidad del
negocio, y otros procesos gerenciales dentro de la organizacin.
La gestin de la continuidad del negocio debiera incluir controles para identificar y
reducir los riesgos, adems del proceso general de evaluacin de riesgos, debiera
limitar las consecuencias de incidentes dainos y asegurar que est disponible la
informacin requerida para los procesos comerciales.
IV.9.5 DESARROLLAR E IMPLEMENTAR LOS PLANES DE CONTINUIDAD
INCLUYENDO LA SEGURIDAD DE LA INFORMACIN (14.1.3)

Control
Se debieran desarrollar e implementar planes para mantener restaurar las operaciones
y asegurar la disponibilidad de la informacin en el nivel requerido y en las escalas de
tiempo requeridas despus de la interrupcin, o falla, de los procesos comerciales
crticos.
El proceso de planeacin de la continuidad del negocio debiera considerar lo siguiente:
Identificar y acordar todas las responsabilidades y los procedimientos de
continuidad del negocio;
Identificar la prdida aceptable de la informacin y los servicios;
Implementacin de los procedimientos para permitir la recuperacin y
restauracin de las operaciones comerciales y la disponibilidad de la
EDCOM
Captulo IV - 70
ESPOL
informacin en las escalas de tiempo requeridas; se debiera prestar particular

atencin a la evaluacin de las dependencias comerciales internas y externas y
el establecimiento de los contratos debidos;
Los procedimientos operacionales a seguir dependiendo de la culminacin de la
recuperacin y restauracin;
Documentacin de los procesos y procedimientos acordados;
Educacin apropiada del personal en los procedimientos y procesos acordados,
incluyendo la gestin de crisis;
Prueba y actualizacin de los planes.
El proceso de planeacin debiera enfocarse en los objetivos comerciales requeridos;
por ejemplo, restaurar los servicios de comunicacin especficos a los clientes en una
cantidad de tiempo aceptable. Se debieran identificar los servicios y los recursos que
facilitan esto; incluyendo personal, recursos de procesamiento no-informacin; as
como los arreglos de contingencia para los medios de procesamiento de informacin.
Estos arreglos de contingencia pueden incluir acuerdos con terceros en la forma de
acuerdos recprocos, o servicios de suscripcin comercial.
Los planes de continuidad del negocio debieran tratar las vulnerabilidades
organizacionales y, por lo tanto, pueden contener informacin confidencial que
necesita protegerse apropiadamente. Las copias de los planes de continuidad del
negocio se debieran almacenar en locales remotos, a una distancia suficiente para
escapar de cualquier dao de un desastre en el local principal.
La gerencia debiera asegurarse que las copias de los planes de continuidad del negocio
estn actualizadas y protegidas con el mismo nivel de seguridad aplicado en el local
principal.
Otro material necesario para ejecutar los planes de continuidad tambin debiera
almacenarse en el local remoto.
EDCOM
Captulo IV - 71
ESPOL
Si se utilizan ubicaciones temporales alternativas, el nivel de los controles de seguridad

implementados en esos locales debiera ser equivalente al de los controles del local
principal.
Otra informacin
Se debiera notar que estos planes y actividades de gestin de crisis pueden ser
diferentes a los de la gestin de la continuidad del negocio; es decir, puede ocurrir una
crisis que puede ser acomodada por los procedimientos gerenciales normales.
IV.9.6 PRUEBA, MANTENIMIENTO Y RE-EVALUACIN DE LOS PLANES DE
CONTINUIDAD DEL NEGOCIO (14.1.5)

Control
Los planes de continuidad del negocio debieran ser probados y actualizados
regularmente para asegurar que sean actuales y efectivos.
Las pruebas del plan de continuidad del negocio debieran asegurar que todos los
miembros del equipo de recuperacin y otro personal relevante estn al tanto de los
planes y su responsabilidad con la continuidad del negocio y la seguridad de la
informacin, y que conozcan su papel cuando se invoque el plan.
El programa de pruebas para el(los) plan(es) de continuidad debieran indicar cmo y
cundo se debiera probar cada elemento del plan. Cada elemento del(los) plan(es)
debiera(n) ser probado(s) frecuentemente:
Prueba flexible de simulacin (table-top testing) de varios escenarios
(discutiendo los acuerdos de recuperacin comercial utilizando ejemplos de
interrupciones);
Simulaciones (particularmente para capacitar a las personas en sus papeles en
la gestin post-incidente/crisis).
Prueba de recuperacin tcnica (asegurando que los sistemas de informacin
puedan restaurarse de manera efectiva.
EDCOM
Captulo IV - 72
ESPOL
Prueba de recuperacin en el local alternativo (corriendo los procesos

comerciales en paralelo con las operaciones de recuperacin lejos del local
principal).
Pruebas de los medios y servicios del proveedor (asegurando que los servicios y
productos provistos externamente cumplan con el compromiso contrado).
Ensayos completos (probando que la organizacin, personal, equipo, medios y
procesos puedan lidiar con las interrupciones).
Estas tcnicas se pueden utilizar en cualquier organizacin. Esto se debiera aplicar de
una manera que sea relevante para el plan de recuperacin especfico. Los resultados
de las pruebas debieran ser registradas y, cuando sea necesario, se debieran tomar
acciones para mejorar los planes.
Se debiera asignar la responsabilidad de las revisiones regulares de cada plan de
continuidad del negocio. La identificacin de los cambios en los acuerdos comerciales
que an no se reflejan en los planes de continuidad del negocio debiera realizarse
mediante una actualizacin apropiada del plan. Este proceso formal de control de
cambios debiera asegurar que los planes de actualizacin sean distribuidos y
reforzados mediante revisiones regulares del plan completo.
Los ejemplos de los cambios que se debieran considerar cuando se actualizan los
planes de continuidad del negocio son la adquisicin de equipo nuevo, actualizacin de
los sistemas y cambios en:
Personal
Direcciones o nmeros de telfonos
Estrategia comercial
Local, medios y recursos
Legislacin
Contratistas, proveedores y clientes claves
Procesos, los nuevos o los eliminados
EDCOM
Captulo IV - 73
ESPOL
Riesgo (operacional y funcional)
IV.9.7 RESPONSABILIDADES Y PROCEDIMIENTOS (13.2.1)

Control
Se debieran establecer las responsabilidades y los procedimientos de la gerencia para
asegurar una respuesta rpida, efectiva y metdica ante los incidentes de la seguridad
de la informacin.
Lineamiento de la implementacin
Adems de reportar los eventos y debilidades en la seguridad de la, se debiera utilizar
el monitoreo del sistema, alertas y vulnerabilidades para detectar los incidentes en la
seguridad de la informacin. Se debieran considerar los siguientes lineamientos para
los procedimientos de gestin de incidentes en la seguridad de la informacin:
Se debieran establecer procedimientos para manejar los diferentes tipos de
incidentes en la seguridad de la informacin, incluyendo:
Fallas del sistema de informacin y prdida del servicio.
Cdigo malicioso.
Negacin del servicio.
Errores resultantes de data comercial incompleta o inexacta.
Violaciones de la confidencialidad e integridad.
Mal uso de los sistemas de informacin.
Adems de los planes de contingencia normales, los procedimientos tambin
debieran cubrir:
Anlisis e identificacin de la causa del incidente.
Contencin.
Planeacin e implementacin de la accin correctiva para evitar la
recurrencia, si fuese necesario.
EDCOM
Captulo IV - 74
ESPOL
Comunicaciones con aquellos afectados por o involucrados con la

recuperacin de un incidente.
Reportar la accin a la autoridad apropiada.
Se debiera recolectar y asegurar rastros de auditora y evidencia similar,
conforme sea apropiado para.
Anlisis interno del problema.
Uso como evidencia forense en relacin a una violacin potencial del
contrato o el requerimiento regulador o en el caso de una accin legal
civil o criminal; por ejemplo, bajo la legislacin sobre el mal uso de
computadoras o proteccin de data.
Negociacin para la compensacin de los proveedores del software y
servicio.
Se debieran controlar formal y cuidadosamente las acciones para la
recuperacin de las violaciones de la seguridad y para corregir las fallas en el
sistema; los procedimientos debieran asegurar que:
Slo el personal claramente identificado y autorizado tengan acceso a
los sistemas vivos y la data.
Se documenten en detalle todas las acciones de emergencia realizadas;
La accin de emergencia sea reportada a la gerencia y revisada de una
manera adecuada.
La integridad de los sistemas y controles comerciales sea confirmada
con una demora mnima.
Se debieran acordar con la gerencia los objetivos para la gestin de incidentes en la
seguridad de la informacin, y se debieran asegurar que aquellos responsables de la
gestin de incidentes en la seguridad de la informacin entiendan las prioridades de la
organizacin para el manejo de los incidentes en la seguridad de la informacin.
EDCOM
Captulo IV - 75
ESPOL
Otra informacin
Los incidentes en la seguridad de la informacin podran trascender fuera de las
fronteras organizacionales y nacionales. Para responder a estos incidentes se necesita
cada vez ms coordinar la respuesta y compartir informacin sobre estos incidentes
con organizaciones externas, conforme sea apropiado.
IV.9.8 CONOCIMIENTO, EDUCACIN Y CAPACITACIN EN SEGURIDAD DE
LA INFORMACIN (8.2.2)
Control
Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y
terceras personas debieran recibir una adecuada capacitacin en seguridad y
actualizaciones regulares sobre las polticas y procedimientos organizacionales
conforme sea relevante para su funcin laboral.
La capacitacin y el conocimiento debieran comenzar con un proceso de induccin
formal diseado para introducir las polticas y expectativas de seguridad de la
organizacin antes de otorgar acceso a la informacin o servicios.
La capacitacin constante debiera incluir los requerimientos de seguridad,
responsabilidades legales y controles comerciales, as como la capacitacin en el uso
correcto de los medios de procesamiento de informacin; por ejemplo, procedimiento
de registro, uso de paquetes de software e informacin sobre los procesos
disciplinarios.
Otra informacin
Las actividades de conocimiento, educacin y capacitacin debieran ser adecuados y
relevantes para el rol, responsabilidades y capacidades de la persona, y debieran
incluir informacin sobre amenazas conocidas, a quin contactar para mayor
consultora sobre seguridad y los canales apropiados para reportar los incidentes de
seguridad de informacin.
EDCOM
Captulo IV - 76
ESPOL
La capacitacin para aumentar la conciencia y conocimiento tiene como objetivo

permitir a las personas reconocer los problemas e incidentes de la seguridad de la
informacin, y responder de acuerdo a las necesidades de su rol en el trabajo.
IV.9.9 PROTECCIN CONTRA EL CDIGO MALICIOSO Y MVIL (10.4)

Objetivo:
Proteger la integridad del software y la integracin.
Se requiere tomar precauciones para evitar y detectar la introduccin de cdigos
maliciosos y cdigos mviles no-autorizados.
El software y los medios de procesamiento de la informacin son vulnerables a la
introduccin de cdigos maliciosos; como virus cmputo, virus de red, caballos
Troyanos y bombas lgicas. Los usuarios debieran estar al tanto de los peligros de los
cdigos maliciosos. Cuando sea apropiado, los gerentes debieran introducir controles
para evitar, detectar y eliminar los cdigos maliciosos y controlar los cdigos mviles.
IV.9.10
CONTROLES CONTRA CDIGOS MALICIOSOS (10.4.1)
Control
Controles de deteccin, prevencin y recuperacin para proteger contra cdigos
maliciosos y se debieran implementar procedimientos para el apropiado conocimiento
del usuario.
La proteccin contra cdigos maliciosos se debiera basar en la deteccin de cdigos
maliciosos y la reparacin de software, conciencia de seguridad, y los apropiados
controles de acceso al sistema y gestin del cambio. Se debieran considerar los
siguientes lineamientos:
Establecer una poltica formal prohibiendo el uso de software no-autorizado.
EDCOM
Captulo IV - 77
ESPOL
Establecer una poltica formal para proteger contra riesgos asociados con la
obtencin de archivos, ya sea a travs de redes externas o cualquier otro
medio, indicando las medidas de proteccin a tomarse.
Realizar revisiones regulares del software y contenido de data de los sistemas
que sostienen los procesos comerciales crticos; se debiera investigar
formalmente la presencia de cualquier activo no-aprobado o enmiendas noautorizadas.
La instalacin y actualizacin regular de software para la deteccin o reparacin
de cdigos maliciosos para revisar las computadoras y medios como un control
preventivo o una medida rutinaria; los chequeos llevados a cabo debieran
incluir:
Chequeo de cualquier archivo en medios electrnicos u pticos, y los
archivos recibidos a travs de la red para detectar cdigos maliciosos
antes de utilizarlo.
Chequear los adjuntos y descargas de los correos electrnicos para
detectar cdigos maliciosos antes de utilizarlos, este chequeo debiera
llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo
electrnico, computadoras desktop y cuando se ingresa a la red de la
organizacin.
Chequear las pginas Web para detectar cdigos maliciosos.
Definicin, gestin, procedimientos y responsabilidades para lidiar con la
proteccin de cdigos maliciosos en los sistemas, capacitacin en su uso,
reporte y recuperacin de ataques de cdigos maliciosos.
Preparar planes apropiados para la continuidad del negocio para recuperarse
de ataques de cdigos maliciosos, incluyendo toda la data y respaldo (back-up)
de software y procesos de recuperacin.
Implementar procedimiento para la recoleccin regular de informacin, como
suscribirse a listas de correos y/o chequear Web Sites que dan informacin
sobre cdigos maliciosos nuevos.
EDCOM
Captulo IV - 78
ESPOL
Implementar procedimientos para verificar la informacin relacionada con el

cdigo malicioso y para asegurar que los boletines de advertencia sean exactos
e informativos, los gerentes debieran asegurar que se utilicen fuentes
calificadas; por ejemplo, peridicos acreditados, sitios de Internet confiables o
proveedores que producen software para protegerse de cdigos maliciosos;
que diferencien entre bromas pesadas y cdigos maliciosos reales; todos los
usuarios debieran estar al tanto del problema de las bromas pesadas y qu
hacer cuando se reciben.
Otra informacin
El uso de dos o ms productos de software para protegerse de cdigos maliciosos a
travs del ambiente de procesamiento de la informacin de diferentes vendedores
puede mejorar la efectividad de la proteccin contra cdigos maliciosos.
Se puede instalar software para protegerse de cdigos maliciosos para proporcionar
actualizaciones automticas de archivos de definicin y motores de lectura para
asegurarse que la proteccin est actualizada. Adems, este software se puede instalar
en cada desktop para que realice chequeos automticos.
Se debiera tener cuidado de protegerse contra la introduccin de cdigos maliciosos
durante el mantenimiento y procedimientos de emergencia, los cuales pueden evadir
los controles de proteccin contra cdigos maliciosos normales.
REPORTE DE LOS EVENTOS Y DEBILIDADES DE LA SEGURIDAD

DE LA INFORMACIN (13.1)
IV.9.11
Objetivo: Asegurar que los eventos y debilidades de la seguridad de la informacin

asociados con los sistemas de informacin sean comunicados de una manera que
permita que se realice una accin correctiva oportuna.
Se debieran establecer procedimientos formales de reporte y de la intensificacin de
un evento. Todos los usuarios empleados contratistas y terceros debieran estar al
tanto de los procedimientos para el reporte de los diferentes tipos de eventos y
debilidades que podran tener un impacto en la seguridad de los activos
EDCOM
Captulo IV - 79
ESPOL
organizacionales. Se les debiera requerir que reporten cualquier evento y debilidad de

la seguridad de la informacin lo ms rpidamente posible en el punto de contacto
designado
IV.9.12
POLTICA DE SEGURIDAD DE LA INFORMACIN (5.1)
Objetivo: Proporcionar a la gerencia la direccin y soporte para la seguridad de la

informacin en concordancia con los requerimientos comerciales y las leyes y
regulaciones relevantes.
La gerencia debiera establecer claramente la direccin de la poltica en lnea con los
objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la
informacin, a travs de la emisin y mantenimiento de una poltica de seguridad de la
informacin en toda la organizacin.
DOCUMENTO DE LA POLTICA DE SEGURIDAD DE LA

INFORMACIN (5.1.1)
IV.9.13
Control
El documento de la poltica de seguridad de la informacin debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las partes externas
relevantes.
El documento de la poltica de seguridad de la informacin debiera enunciar el
compromiso de la gerencia y establecer el enfoque de la organizacin para manejar la
seguridad de la informacin. El documento de la poltica debiera contener enunciados
relacionados con:
Una definicin de seguridad de la informacin, sus objetivos y alcance
generales y la importancia de la seguridad como un mecanismo facilitador para
intercambiar informacin (ver introduccin).
EDCOM
Captulo IV - 80
ESPOL
Un enunciado de la intencin de la gerencia, fundamentando sus objetivos y los

principios de la seguridad de la informacin en lnea con la estrategia y los
objetivos comerciales.
Un marco referencial para establecer los objetivos de control y los controles,
incluyendo la estructura de la evaluacin del riesgo y la gestin de riesgo.
Una explicacin breve de las polticas, principios, estndares y requerimientos
de conformidad de la seguridad de particular importancia para la organizacin,
incluyendo.
Conformidad con los requerimientos legislativos, reguladores y
restrictivos.
Educacin, capacitacin y conocimiento de seguridad.
Gestin de la continuidad del negocio.
Consecuencias de las violaciones de la poltica de seguridad de la
informacin.
Una definicin de las responsabilidades generales y especficas para la gestin
de la seguridad de la informacin incluyendo el reporte de incidentes de
Referencias a la documentacin que fundamenta la poltica; por ejemplo,
polticas y procedimientos de seguridad ms detallados para sistemas de
informacin especficos o reglas de seguridad que los usuarios debieran
observar.
Esta poltica de seguridad de la informacin se debiera comunicar a travs de toda la
organizacin a los usuarios en una forma que sea relevante, accesible y entendible
para el lector objetivo.
EDCOM
Captulo IV - 81
ESPOL
Otra informacin
La poltica de seguridad de la informacin podra ser una parte del documento de
poltica general. Si la poltica de seguridad de la informacin se distribuye fuera de la
organizacin, se debiera tener cuidado de no divulgar informacin confidencial. Se
puede encontrar mayor informacin en ISO/IEC 13335-1:2004.
IV.9.14
CUMPLIMIENTO DE LOS REQUERIMIENTOS LEGALES (15.1)
Objetivo
Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual;
y cualquier requerimiento de seguridad.
El diseo, operacin, uso y gestin de los sistemas de informacin pueden estar
sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales.
Se debiera buscar la asesora sobre los requerimientos legales especficos de los
asesores legales de la organizacin o profesionales legales calificados adecuados. Los
requerimientos legislativos varan de un pas a otro y pueden variar para la
informacin creada en un pas que es transmitida a otro pas (es decir, flujo de data
inter-fronteras).
IV.9.15
DERECHOS DE PROPIEDAD INTELECTUAL (15.1.2)
Control
Se debieran implementar los procedimientos apropiados para asegurar el
cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el
uso del material con respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software patentado.
Se debieran considerar los siguientes lineamientos para proteger cualquier material
que se considere de propiedad intelectual:
EDCOM
Captulo IV - 82
ESPOL
Una poltica de cumplimiento de los derechos de propiedad intelectual y

publicacin que defina el uso legal de los productos de software e informacin.
Slo adquirir software a travs de fuentes conocidos y acreditados para
asegurar que no sean violados los derechos de autor.
Mantener el conocimiento de las polticas para proteger los derechos de
propiedad intelectual, y notificar de la voluntad de tomar una accin
disciplinaria contra el personal que los viole.
Monitorear los registros de activos apropiados, e identificar todos los activos
con los requerimientos para proteger los derechos de propiedad intelectual.
Mantener prueba y evidencia de la propiedad de las licencias, discos maestros,
manuales, etc.
Implementar controles para asegurar que no se exceda el nmero mximo de
usuarios permitidos.
Llevar a cabo chequeos para que slo se instalen software autorizados y
productos con licencia.
Proporcionar una poltica para mantener las condiciones de licencias
apropiadas.
Proporcionar una poltica para eliminar o transferir el software a otros.
Utilizar las herramientas de auditora apropiadas.
Cumplir con los trminos y condiciones del software e informacin obtenida de
redes pblicas.
No duplicar, convertir a otro formato o extraer de registros comerciales (audio,
vdeo), aparte de los permitidos por la ley de derechos de autor.
No copiar; completamente o en parte; libros, artculos, reportes u otros
documentos; aparte de aquellos permitidos por la ley de derechos de autor.
EDCOM
Captulo IV - 83
ESPOL
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos de autor, derechos de
diseo, marcas registradas, patentes y licencias de cdigo fuente de software o
documentos.
Los productos de software patentados usualmente son suministrados mediante un
contrato de licencia que especifica los trminos y condiciones de las licencias, por
ejemplo, limitando el uso de los productos a mquinas especficas o limitando el
copiado slo a la creacin de copias de respaldo. Se necesita aclarar la situacin IPR del
software desarrollado por la organizacin con el personal.
Los requerimientos legislativos, reguladores y contractuales pueden colocar
restricciones sobre el copiado de material patentado. En particular, ellos pueden
requerir que slo se pueda utilizar el material desarrollado por la organizacin, o que
sea licenciado o provisto por un diseador a la organizacin. La violacin de los
derechos de autor puede llevar a una accin legal, lo cual puede involucrar los trmites
judiciales.
PROTECCIN DE LA
INFORMACIN PERSONAL (15.1.4)
IV.9.16
DATA
PRIVACIDAD
DE
LA
Control
Se debiera asegurar la proteccin y privacidad de la data conforme lo requiera la
legislacin, regulaciones y, si fuesen aplicables, las clusulas contractuales relevantes.
Se debiera desarrollar e implementar una poltica de proteccin y privacidad de la
data. Esta poltica debiera ser comunicada a todas las personas involucradas en el
procesamiento de la informacin personal.
El cumplimiento de esta poltica y toda legislacin y regulacin de proteccin de data
relevante requiere una apropiada estructura y control gerencial. Con frecuencia esto
se logra asignando a una persona como responsable, por ejemplo un funcionario de
EDCOM
Captulo IV - 84
ESPOL
proteccin de data, quien debiera proporcionar lineamientos a los gerentes, usuarios y

proveedores de los servicios sobre sus responsabilidades individuales y los
procedimientos especficos que debieran seguir.
La responsabilidad por el manejo de la informacin personal y el reforzamiento del
conocimiento de los principios de proteccin de data debieran ser tratados en
concordancia con la legislacin y las regulaciones relevantes. Se debieran implementar
las apropiadas medidas tcnicas y organizacionales para proteccin la informacin
personal.
Otra informacin
Un nmero de pases han introducido una legislacin colocando controles sobre la
recoleccin, procesamiento y transmisin de data personal (generalmente la
informacin sobre personas vivas que pueden ser identificadas mediante esa
informacin). Dependiendo de la legislacin nacional respectiva, dichos controles
pueden imponer impuestos a aquellos que recolectan, procesan y difunden
informacin personal; y pueden restringir la capacidad para transferir la data a otros
pases.
IV.9.17
RESPONSABILIDAD POR LOS ACTIVOS (7.1)
Objetivo
Lograr y mantener una apropiada proteccin de los activos organizacionales.
Todos los activos debieran ser inventariados y contar con un propietario nombrado.
Los propietarios debieran identificar todos los activos y se debiera asignar la
responsabilidad por el mantenimiento de los controles apropiados. La implementacin
de controles especficos puede ser delegada por el propietario conforme sea
apropiado, pero el propietario sigue siendo responsable por la proteccin apropiada
de los activos.
EDCOM
Captulo IV - 85
ESPOL
IV.9.18
INVENTARIO DE LOS ACTIVOS (7.1.1)
Control
Se debieran identificar todos los activos y se debiera elaborar y mantener un
inventario de todos los activos importantes.
Una organizacin debiera identificar todos los activos y documentar la importancia de
estos activos. El inventario de los activos debiera incluir toda la informacin necesaria
para poder recuperarse de un desastre; incluyendo el tipo de activo, formato,
ubicacin, informacin de respaldo, informacin de licencias y un valor comercial. El
inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera
asegurar que el contenido est alineado.
Adems, se debiera acordar y documentar la propiedad y la clasificacin de la
propiedad para cada uno de los activos. Basados en la importancia del activo, su valor
comercial y su clasificacin de seguridad, se debieran identificar los niveles de
proteccin que se conmensuran con la importancia de los.
Otra informacin
Existen muchos tipos de activos, incluyendo:
Informacin: bases de datos y archivos de data, contratos y acuerdos,
documentacin del sistema, informacin de investigaciones, manuales del
usuario, material de capacitacin, procedimientos operacionales o de soporte,
planes de continuidad del negocio, acuerdos para contingencias, rastros de
auditora e informacin archivada.
Activos de software: software de aplicacin, software del sistema, herramientas
de desarrollo y utilidades.
Activos fsicos: equipo de cmputo, equipo de comunicacin, medios
removibles y otro equipo.
EDCOM
Captulo IV - 86
ESPOL
Servicios: servicios de computacin y comunicacin, servicios generales; por

ejemplo, calefaccin, iluminacin, energa y aire acondicionado.
Personas, y sus calificaciones, capacidades y experiencia.
Intangibles, tales como la reputacin y la imagen de la organizacin.
Los inventarios de los activos ayudan a asegurar que se realice una proteccin efectiva
de los activos, y tambin puede requerir de otros propsitos comerciales; como planes
de salud y seguridad, seguros o razones financieras (gestin de activos). El proceso de
compilar un inventario de activos es un pre-requisito importante de la gestin del
riesgo.
IV.9.19
PROPIEDAD DE LOS ACTIVOS (7.1.2)
Control
Toda la informacin y los activos asociados con los medios de procesamiento de
informacin debieran ser propiedad de una parte designada de la organizacin.
El propietario del activo debiera ser responsable de:
Asegurar que la informacin y los activos asociados con los medios de
procesamiento de la informacin sean clasificados apropiadamente.
Definir y revisar peridicamente las restricciones y clasificaciones de acceso,
tomando en cuenta las polticas de control de acceso aplicables.
La propiedad puede ser asignada a:
Un proceso comercial.
Un conjunto de actividades definido.
Una aplicacin.
Un conjunto de data definido.
EDCOM
Captulo IV - 87
ESPOL
Otra informacin
Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el
activo diariamente, pero la responsabilidad permanece con el propietario.
En los sistemas de informacin complejos podra ser til designar grupos de activos, los
cuales actan juntos para proporcionar una funcin particular como servicios. En
este caso el propietario es responsable de la entrega del servicio, incluyendo el
funcionamiento de los activos que los proveen.
IV.9.20
USO ACEPTABLE DE LOS ACTIVOS (7.1.3)
Control
Se debieran identificar, documentar e implementar reglas para el uso aceptable de la
informacin y los activos asociados con los medios del procesamiento de la
informacin.
Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso
aceptable de la informacin y los activos asociados con los medios del procesamiento
de la informacin, incluyendo:
Reglas para la utilizacin del correo electrnico e Internet.
Lineamientos para el uso de dispositivos mviles, especialmente para el uso
fuera del local de la organizacin.
La gerencia relevante debiera proporcionar reglas o lineamientos especficos. Los
empleados, contratistas y terceros que usan o tienen acceso a los activos de la
organizacin debieran estar al tanto de los lmites existentes para su uso de la
informacin y los activos asociados con los medios y recursos del procesamiento de la
informacin de la organizacin. Ellos debieran ser responsables por el uso que le den a
cualquier recurso de procesamiento de informacin, y de cualquier uso realizado bajo
su responsabilidad.
EDCOM
Captulo IV - 88
ESPOL
IV.9.21
CLASIFICACIN DE LA INFORMACIN (7.2)
Objetivo
Asegurar que la informacin reciba un nivel de proteccin apropiado.
La informacin debiera ser clasificada para indicar la necesidad, prioridades y grado de
proteccin esperado cuando se maneja la informacin.
La informacin tiene diversos grados de confidencialidad e importancia. Algunos tems
pueden requerir un nivel de proteccin adicional o manejo especial. Se debiera utilizar
un esquema de clasificacin de informacin para definir un conjunto apropiado de
niveles de proteccin y comunicar la necesidad de medidas de uso especiales
IV.9.22
LINEAMIENTOS DE CLASIFICACIN (7.2.1)
Control
Se debiera clasificar la informacin en trminos de su valor, requerimientos legales,
sensibilidad y grado crtico para la organizacin.
Las clasificaciones y los controles de proteccin asociados para la informacin debieran
tomar en cuenta las necesidades comerciales de intercambiar o restringir informacin
y los impactos comerciales asociados con dichas necesidades.
Los lineamientos de clasificacin debieran incluir protocolos para la clasificacin inicial
y la reclasificacin a lo largo del tiempo; en concordancia con alguna poltica predeterminada de control de acceso.
Debiera ser responsabilidad del propietario del activo definir la clasificacin de un
activo, revisarla peridicamente y asegurarse que se mantenga actualizada y en el
nivel apropiado.
Se debiera tener en consideracin el nmero de categoras de clasificacin y los
beneficios a obtenerse con su uso.
EDCOM
Captulo IV - 89
ESPOL
Los esquemas demasiado complejos pueden volverse engorrosos y anti-econmicos de

utilizar o pueden volverse poco prcticos. Se debiera tener cuidado al interpretar los
encabezados de la clasificacin en los documentos de otras organizaciones, los cuales
pueden tener definiciones diferentes para encabezados con el mismo nombre o
nombre similares.
Otra informacin
Se puede evaluar el nivel de proteccin analizando la confidencialidad, integridad y
disponibilidad, y cualquier otro requerimiento para la informacin considerada.
Con frecuencia, la informacin deja de ser sensible o crtica despus de cierto perodo
de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. Se debieran tomar
en cuenta estos aspectos, ya que la sobre-clasificacin puede llevar a la
implementacin de controles innecesarios resultando en un gasto adicional.
Agrupar documentos con requerimientos de seguridad similares cuando se asignan
niveles de clasificacin podra ayudar a simplificar la tarea de clasificacin.
En general, la clasificacin dada a la informacin es una manera rpida para
determinar cmo se est manejando y protegiendo la informacin.
IV.9.23
ETIQUETADO Y MANEJO DE LA INFORMACIN (7.2.2)
Control
Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para
el etiquetado y manejo de la informacin en concordancia con el esquema de
clasificacin adoptado por la organizacin.
Los procedimientos para el etiquetado de la informacin necesitan abarcar los activos
de informacin en formatos fsicos y electrnicos. El output de los sistemas
conteniendo informacin que es clasificada como sensible o crtica debiera llevar la
etiqueta de clasificacin apropiada (en el output). El etiquetado debiera reflejar la
clasificacin de acuerdo a las reglas establecidas en 7.2.1. Los tems a considerarse
EDCOM
Captulo IV - 90
ESPOL
incluyen reportes impresos, presentaciones en pantalla, medios de grabacin (por

ejemplo; cintas, discos, CDs), mensajes electrnicos y transferencia de archivos.
Para cada nivel de clasificacin, se debiera definir los procedimientos de manejo
seguros; incluyendo el procesamiento, almacenaje, transmisin, de-clasificacin y
destruccin. Esto tambin debiera incluir los procedimientos de la cadena de custodia
y el registro de cualquier incidente de seguridad relevante.
Los acuerdos con otras organizaciones que incluyen intercambio de informacin
debieran incluir procedimientos para identificar la clasificacin de esa informacin e
interpretar las etiquetas de clasificacin de otras organizaciones.
Otra informacin
El etiquetado y el manejo seguro de la informacin clasificada es un requerimiento
clave para los acuerdos de intercambio de informacin. Las etiquetas fsicas son una
forma comn de etiquetado. Sin embargo, algunos archivos de informacin, como
documentos en forma electrnica, no pueden ser etiquetados fsicamente y se
necesitan medios electrnicos para el etiquetado. Por ejemplo, la etiqueta de
notificacin puede aparecer en la pantalla. Cuando no es factible el etiquetado, se
pueden aplicar otros medios para designar la clasificacin de la informacin; por
ejemplo, mediante procedimientos o meta-data.
EDCOM
Captulo IV - 91
ESPOL
IV.10 TIPOS DE AMENAZAS

Se presenta a continuacin un catlogo de amenazas posibles sobre los activos de un
sistema de informacin:
AMENAZAS SOBRE LOS ACTIVOS HARDWARE / SOFTWARE
(APLICACIONES/DATOS/INFORMACIN)
DESASTRES NATURALES [N]
Sucesos que pueden ocurrir sin intervencin de los seres humanos como causa directa o indirecta.
[N.1]
Incendios
Posibilidad de que el fuego destruya o dae el activo.
[N.2]
Inundaciones
Posibilidad de que el agua Destruya o dae el activo.
Posibilidad de que otros incidentes tales como: rayo,

tormenta elctrica, terremoto, ciclones, avalancha,
corrimiento de tierras, etc. destruyan o daen el activo.
DE ORIGEN INDUSTRIAL [I]
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo
industrial. Estas amenazas pueden darse de forma accidental o deliberada.
Posibilidad de que el fuego acabe con los recursos del
[I.1]
Incendio
sistema.
Escapes, fugas,
[I.2]
Posibilidad de que el agua acabe con los recursos del sistema.
inundaciones
Contaminacin
[I.3]
Vibraciones, polvo, suciedad.
mecnica
Fallos en los equipos. Puede ser debida a un defecto de origen
o sobrevenida durante el funcionamiento del sistema. Las
[I.4]
consecuencias que se derivan, esta distincin no suele ser
relevante.
[I.5]
Cese de la alimentacin de potencia.
elctrico
Condiciones
Deficiencias en la aclimatacin de los locales, excediendo los
inadecuadas de
[I.6]
mrgenes de trabajo de los equipos: excesivo calor, excesivo
temperatura y/o
fro, exceso de humedad.
humedad
ERRORES Y FALLOS NO INTENCIONADOS [E]
Fallos no intencionales causados por las personas.
Errores del
Equivocaciones de personas con responsabilidades de
[E.1]
administrador
instalacin y operacin.
Equivocaciones de las personas cuando usan los servicios,
[E.2]
Errores de los usuarios
datos, etc.
Errores de
Inadecuado registro de actividades: falta de registros,
[E.3]
monitorizacin (log)
registros incompletos, registros incorrectamente fechados.
Introduccin de datos de configuracin errneos.
Prcticamente todos los activos dependen de su
[E.4]
Errores de configuracin configuracin y sta de la diligencia del administrador:
privilegios de acceso, flujos de actividades, registro de
actividad, encaminamiento, etc.
[N.3]
[E.5]
Difusin de software
daino
EDCOM
Propagacin inocente de virus, espas (spyware), gusanos,

troyanos, bombas lgicas, etc.
Captulo IV - 92
ESPOL
[E.7]
Escapes de informacin
[E.8]
Alteracin de la
informacin
[E.9]
Introduccin de
[E.10]
Degradacin de la
informacin
[E.11]
Destruccin de
informacin
[E.12]
Divulgacin de
informacin
[E.13]
Vulnerabilidades de los
La informacin llega accidentalmente al conocimiento de

personas que no deberan tener conocimiento de ella, sin
que la informacin en s misma se vea alterada.
Alteracin accidental de la informacin. Esta amenaza slo
se identifica sobre datos en general, pues cuando la
informacin est en algn soporte informtico, hay
amenazas especficas.
Insercin accidental de informacin incorrecta. Esta
amenaza slo se identifica sobre datos en general, pues
cuando la informacin est en algn soporte informtico,
hay amenazas especficas.
Degradacin accidental de la informacin. Esta amenaza
slo se identifica sobre datos en general, pues cuando la
Prdida accidental de informacin. Esta amenaza slo se
identifica sobre datos en general, pues cuando la
Revelacin por indiscrecin. Incontinencia verbal, medios
electrnicos, soporte papel, etc.
Defectos en el cdigo que dan pie a una operacin
defectuosa sin intencin por parte del usuario pero con
consecuencias sobre la integridad de los datos o la
capacidad misma de operar.
Errores de
Defectos en los procedimientos o controles de actualizacin
mantenimiento /
[E.14]
del cdigo que permiten que sigan utilizndose programas
actualizacin de
con defectos conocidos y reparados por el fabricante.
Errores de
Defectos en los procedimientos o controles de actualizacin
mantenimiento /
[E.15]
de los equipos que permiten que sigan utilizndose ms all
actualizacin de equipos
del tiempo nominal de uso.
(hardware)
La carencia de recursos suficientes provoca la cada del
[E.16]
agotamiento de recursos sistema cuando la carga de trabajo es desmesurada.
ATAQUES INTENCIONADOS [A]
Fallos deliberados causados por las personas.
Prcticamente todos los activos dependen de su
Manipulacin de la
configuracin y sta de la diligencia del administrador:
[A.1]
configuracin
privilegios de acceso, flujos de actividades, registro de
actividad, encaminamiento, etc.
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines
Suplantacin de la
[A.2]
propios. Esta amenaza puede ser perpetrada por personal
identidad del usuario
interno, por personas ajenas a la Organizacin o por personal
contratado temporalmente.
Cada usuario disfruta de un nivel de privilegios para un
Abuso de privilegios de determinado propsito; cuando un usuario abusa de su nivel
[A.3]
acceso
de privilegios para realizar tareas que no son de su
competencia, hay problemas.
Utilizacin de los recursos del sistema para fines no previstos,
tpicamente de inters personal: juegos, consultas personales
[A.4]
Uso no previsto
en Internet, bases de datos personales, programas
personales, almacenamiento de datos personales, etc.
EDCOM
Captulo IV - 93
ESPOL
[A.5]
Difusin de software
daino
[A.7]
Acceso no autorizado
[A.10]
Modificacin de la
informacin
[A.11]
Introduccin de falsa
informacin
[A.12]
Corrupcin de la
informacin
[A.13]
Destruccin la
informacin
[A.14]
Divulgacin de
informacin
[A.15]
Manipulacin de
programas
[A.16]
Denegacin de servicio
[A.17]
Robo
[A.18]
Ataque destructivo
[A.19]
Ocupacin enemiga
Propagacin intencionada de virus, espas (spyware), gusanos,

troyanos, bombas lgicas, etc.
El atacante consigue acceder a los recursos del sistema sin
tener autorizacin para ello, tpicamente.
Alteracin intencional de la informacin, con nimo de
obtener un beneficio o causar un perjuicio. Esta amenaza slo
informacin est en algn soporte informtico, hay amenazas
especficas.
Insercin interesada de informacin falsa, con nimo de
especficas.
Degradacin intencional de la informacin, con nimo de
especficas.
Eliminacin intencional de informacin, con nimo de
especficas.
Revelacin de informacin.
Alteracin intencionada del funcionamiento de los
programas, persiguiendo un beneficio indirecto cuando una
persona autorizada lo utiliza.
La carencia de recursos suficientes provoca la cada del
sistema cuando la carga de trabajo es desmesurada.
La sustraccin de equipamiento provoca directamente la
carencia de un medio para prestar los servicios, es decir una
indisponibilidad. El robo puede realizarlo personal interno,
personas ajenas a la Organizacin o personas contratadas
de forma temporal.
Vandalismo, terrorismo, accin militar. Esta amenaza puede
ser perpetrada por personal interno, por personas ajenas a la
Organizacin o por personas contratadas de forma temporal.
Cuando los locales han sido invadidos y se carece de control
sobre los propios medios de trabajo.
Tabla 18 - Amenaza sobre los activos Hardware, Software, Informacin
EDCOM
Captulo IV - 94
ESPOL
IV.11 INVENTARIO GENERAL DE PLASTICOS INTERNACIONALES C.A
EDCOM
Captulo IV - 95
ESPOL
EDCOM
Captulo IV - 96
ESPOL
EDCOM
Captulo IV - 97
ESPOL
EDCOM
Captulo IV - 98
ESPOL
EDCOM
Captulo IV - 99
ESPOL
EDCOM
Captulo IV - 100
ESPOL
EDCOM
Captulo IV - 101
ESPOL
EDCOM
Captulo IV - 102
ESPOL
EDCOM
Captulo IV - 103
ESPOL
EDCOM
Captulo IV - 104
ESPOL
EQUIPOS MVILES
EDCOM
Captulo IV - 105
ESPOL
EDCOM
Captulo IV - 106
ESPOL
Tabla 19 - Inventario de activos
EDCOM
Captulo IV - 107
ESPOL
IV.12 FOTOS DE LA EMPRESA
Figura - 5 La empresa
EDCOM
Captulo IV - 108
ESPOL
IV.13 DIFERENTES INSTALACIONES DE LA EMPRESA
Figura - 9 rea de Produccin
Figura - 6 rea de Computacin
Figura - 11 rea de Contabilidad
Figura - 8 rea de Asistente de Produccin
EDCOM
Captulo IV - 109
ESPOL

Figura - 16 Bodega 1
Figura - 17 rea de Extrusin
Figura - 14 Recepcin 1
Figura - 18 Impresin
Figura - 15 Recepcin 2
EDCOM
Figura - 19 Sellado
Captulo IV - 110
ESPOL
IV.14 DIFERENTES PROBLEMAS ENCONTRADOS EN LA EMPRESA CON

RESPECTO A LA SEGURIDAD INFORMTICA
Figura - 20 Diferentes Problemas Encontrados
EDCOM
Captulo IV - 111
ESPOL

Manual SGSI Aplicada A La Gestion de Activos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual SGSI Aplicada A La Gestion de Activos

Cargado por

Copyright:

Formatos disponibles

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

FIRMA DEL DIRECTOR DEL PROYECTO Y DE LOS MIEMBROS DEL

FIRMAS DE LOS AUTORES DEL PROYECTO DE GRADUACIN

I.1 DEFINICIN .................................................................................................... 14

POLTICAS DE CALIDAD ................................................................................... 15

POLTICAS DE SEGURIDAD .............................................................................. 15

I.4 DIAGRAMA DE PLANTA ................................................................................... 16

PLANEACIN DEL SGSI .................................................................................... 20

II.1 METODOLOGA DE EVALUACIN DE RIESGOS ................................................. 20

IDENTIFICACIN DE ACTIVOS ......................................................................... 21

AGRUPACIN DE ACTIVOS .............................................................................. 23

DIMENSIONES DE VALORACIN ..................................................................... 24

VALORACIN DE ACTIVOS .............................................................................. 32

II.3 IDENTIFICAR AMENAZAS Y VULNERABILIDADES .............................................. 33

AMENAZAS POR ACTIVO ................................................................................. 33

II.4 IDENTIFICAR IMPACTOS .................................................................................. 35

IMPACTO POR AMENAZA ............................................................................... 36

II.5 ANLISIS Y EVALUACIN DE RIESGOS ............................................................. 38

OPCIONES PARA EL TRATAMIENTO DEL RIESGO ............................................ 41

III.2 IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO ........................................ 43

CONTROLES SELECCIONADOS DE LA NORMA ISO 27002 ............................... 44

III.3 IMPLEMENTAR LOS CONTROLES ..................................................................... 47

CONTROLES Y POLTICAS DE SEGURIDAD ....................................................... 47

DEFINICIN DE POLTICAS DE SEGURIDAD INFORMTICA............................. 48

III.4 SELECCIN DE CONTROLES Y SOA ................................................................... 57

DECLARACIN DE APLICABILIDAD (SOA) ........................................................ 58

III.5 FORMACIN Y CONCIENCIACIN .................................................................... 61

UBICACIN Y PROTECCIN DEL EQUIPO (9.2.1)............................................. 66

MANTENIMIENTO DE EQUIPO (9.2.4) ............................................................ 67

SERVICIOS PBLICOS DE SOPORTE (9.2.2) ...................................................... 68

ASPECTOS DE LA SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE LA

IV.9.5 DESARROLLAR E IMPLEMENTAR LOS PLANES DE CONTINUIDAD INCLUYENDO LA

CONTINUIDAD DEL NEGOCIO (14.1.5) ................................................................ 72

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

Plsticos Internacionales Plasinca C.A. es una empresa dedicada a la fabricacin de

Figura - 1 Logo de la empresa

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

Est orientada a implementar y mantener la mejora continua de los procesos del

I.3.4 POLTICAS DE SEGURIDAD

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

Figura - 2 Estructura de la empresa

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

FUNCIONAMIENTO POR REA

Es el encargado de realizar los Balances Generales, Control de

Hacen parte de la facturacin y llevan el control de las ventas.

Realiza las rdenes de pedido, programa rdenes para el rea de

Inspeccin y monitoreo de los empleados, con la utilizacin de

Lleva el control de la produccin y de las ventas, tambin realiza

Encargado de la elaboracin de reportes y de salvaguardar las

Se centra en la elaboracin de fundas e ingresos a produccin.

Elaboracin de reportes de la fabricacin de royos impresos,

Verifica que los productos lleguen en condiciones adecuadas a los

Control de las existencias, seguimientos de las transferencias y

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

Figura - 3 Organigrama de la empresa

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

PLANEACIN DEL SGSI

METODOLOGA DE EVALUACIN DE RIESGOS

En este caso especfico usaremos el mtodo de investigacin de riesgos denominado

Permite a la organizacin, identificar los riesgos en el entorno de trabajo, ya sean

Sistema de Gestin de Seguridad de la Informacin Gestin de Activos

La Planificacin se considera como el comienzo del proyecto y es donde se