Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUTORES:
ALEJANDRA EUGENIO RIVAS
MIGUEL PARRALES ESPINOZA
PAL SABANDO SUDARIO
DIRECTOR:
MBA. VCTOR MUOZ CHACHAPOLLA
AO
2011
AGRADECIMIENTO
A Dios, a nuestros padres por todo su apoyo incondicional y confianza, y a
todas las personas que nos ayudaron a culminar nuestra carrera.
A nuestro Director de Tesis por su gran ayuda y colaboracin.
DEDICATORIA
A nuestras familias y todos nuestros amigos quienes siempre de alguna
manera nos ayudaron y apoyaron incondicionalmente.
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de Graduacin, me
corresponde exclusivamente; y el patrimonio intelectual de la misma a la
ESCUELA SUPERIOR POLITCNICA DEL LITORAL
(Reglamento de Graduacin de Pregrado de la ESPOL).
___________________________________
Mba. Vctor Muoz Chachapolla
Director del Proyecto
___________________________________
Delegado
___________________________________
Alejandra Eugenio Rivas
___________________________________
Miguel Parrales Espinoza
___________________________________
Pal Sabando Sudario
RESUMEN
La informacin es un activo vital para la continuidad y el xito en el mercado de
cualquier organizacin. El aseguramiento de dicha informacin y de los sistemas que la
procesan, por lo tanto este documento propone implementar un Sistema de Gestin
de Seguridad de informacin (SGSI), aplicado al dominio Gestin de Activos. Basado en
las normas ISO 27000, ISO 27001 e ISO 27002, las cuales proporcionan medidas de
apoyo necesarias para proteger y mantener segura la informacin.
Para la adecuada gestin de la seguridad de la informacin, es necesario implantar un
sistema que aborde esta tarea de una forma metdica, documentada y basada en
objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
Permitiendo a la organizacin, identificar los riesgos en el entorno de trabajo, ya sean
existentes o latentes y determina la vulnerabilidad a la que estn expuestos;
recomendando las medidas apropiadas que deberan adoptarse para conocer,
prevenir, impedir y controlar los riesgos identificados y as reducir al mnimo sus
perjuicios.
NDICE GENERAL
CAPTULO I
I.
INTRODUCCIN .............................................................................................. 14
MISIN ............................................................................................................ 15
I.3.2
VISIN ............................................................................................................. 15
I.3.3
I.3.4
II.2.2
II.2.3
II.2.4
CRITERIOS DE VALORACIN............................................................................ 25
II.2.5
VIII
CAPTULO III
III. EJECUCIN DEL SGSI ....................................................................................... 41
III.1 DEFINIR PLAN DE TRATAMIENTO DE RIESGO ................................................... 41
III.1.1
III.2.2
SALVAGUARDAS .............................................................................................. 46
III.3.2
CAPACITACIN ................................................................................................ 61
CAPTULO IV
IV. ANEXO ........................................................................................................... 63
IV.1 DEFINICIN DE SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN .... 63
IV.2 IMPLANTACIN .............................................................................................. 63
IV.3 CERTIFICACIN ............................................................................................... 63
IV.4 LA SERIE ISO 27000 ......................................................................................... 63
IV.5 MODELO A SEGUIR: PDCA ............................................................................... 64
IV.6 METODOLOGA: MAGERIT .............................................................................. 65
IV.7 DOMINIO, OBJETIVOS DE CONTROL Y CONTROLES .......................................... 65
IV.8 DEFINICIN DEL ALCANCE DEL SGSI ................................................................ 65
IV.9 DEFINICIN DE POLTICAS DE SEGURIDAD....................................................... 66
IV.9.1
IV.9.2
IV.9.3
IV.9.4
MANTENIMIENTO
RE-EVALUACIN
DE
LOS
PLANES
DE
NDICE DE FIGURA
FIGURA - 1 LOGO DE LA EMPRESA ................................................................................. 14
FIGURA - 2 ESTRUCTURA DE LA EMPRESA ..................................................................... 16
FIGURA - 3 ORGANIGRAMA DE LA EMPRESA ................................................................. 18
FIGURA - 4 MODELO PDCA ............................................................................................. 64
FIGURA - 5 LA EMPRESA ............................................................................................... 108
FIGURA - 6 REA DE COMPUTACIN ........................................................................... 109
FIGURA - 7 REA DE PRODUCCIN .............................................................................. 109
FIGURA - 8 REA DE ASISTENTE DE PRODUCCIN ....................................................... 109
FIGURA - 9 REA DE PRODUCCIN .............................................................................. 109
FIGURA - 10 REA DE PRODUCCIN ............................................................................ 109
FIGURA - 11 REA DE CONTABILIDAD .......................................................................... 109
FIGURA - 12 REA DE CONTABILIDAD .......................................................................... 110
FIGURA - 13 REA DE CONTABILIDAD .......................................................................... 110
FIGURA - 14 RECEPCIN 1 ............................................................................................ 110
FIGURA - 15 RECEPCIN 2 ............................................................................................ 110
FIGURA - 16 BODEGA 1 ................................................................................................. 110
FIGURA - 17 REA DE EXTRUSIN ................................................................................ 110
FIGURA - 18 IMPRESIN ............................................................................................... 110
FIGURA - 19 SELLADO ................................................................................................... 110
FIGURA - 20 DIFERENTES PROBLEMAS ENCONTRADOS ............................................... 111
XI
NDICE DE TABLAS
TABLA 1 - FUNCIONAMIENTO POR REA ....................................................................... 17
TABLA 2 - IDENTIFICACIN DE ACTIVOS ......................................................................... 23
TABLA 3 - ESCALA DE VALORES ..................................................................................... 25
TABLA 4 - JUSTIFICACIN ............................................................................................... 31
TABLA 5 - VALORACIN DE ACTIVOS.............................................................................. 32
TABLA 6 - AMENAZA POR ACTIVOS ................................................................................ 34
TABLA 7 - IMPACTOS ...................................................................................................... 35
TABLA 8 - IMPACTO POR AMENAZA ............................................................................... 37
TABLA 9 - FRECUENCIA ................................................................................................... 38
TABLA 10 - IMPACTO ...................................................................................................... 38
TABLA 11 - ANLISIS Y EVALUACIN DE RIESGO............................................................ 39
TABLA 12 - IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO ................................... 43
TABLA 13 - CONTROL DE SELECCIONES DE LA NORMA ISO 27002 ................................ 46
TABLA 14 - FORMATO DE INVENTARIO .......................................................................... 50
TABLA 15 - PLAN DE MANTENIMIENTO ANUAL ............................................................. 54
TABLA 16 - CONTROLES Y RAZONES ............................................................................... 57
TABLA 17 - DECLARACIN DE APLICABILIDAD (SOA) ..................................................... 60
TABLA 18 - AMENAZA SOBRE LOS ACTIVOS HARDWARE, SOFTWARE, INFORMACIN 94
TABLA 19 - INVENTARIO DE ACTIVOS ........................................................................... 107
XII
CAPTULO I
INTRODUCCIN
Proyecto de Graduacin
I. INTRODUCCIN
I.1
DEFINICIN
de la va a Daule, Lotizacin
Expogranos.
I.2
SITUACIN ACTUAL
En los actuales momentos cuenta con dos sistemas informticos: uno de produccin,
que se encarga de llevar el manejo de la fabricacin de productos y otro para la
administracin llamado Bi-moneda, que se encarga de la contabilidad. Estos sistemas
informticos generan una gran cantidad de informacin, la cual se deben mantener
segura tomando medidas o polticas de seguridad para salvaguardar su informacin.
La empresa no cuenta con un Sistema de Gestin de Seguridad de la Informacin, por
lo tanto estn expuestos a prdidas de activo muy valiosos, la cual perjudicara
funcionamiento de las actividades que realizan. A continuacin detallaremos los
principales inconvenientes que presenta la empresa:
La empresa no cuenta con un inventario actualizado.
Las laptops no estn apropiadamente aseguradas a algo rgido.
Solo existe un encargado en el rea de Sistemas.
Hay equipos que no cuentan con un debido regulador de energa.
Los computadores no tienen establecidos responsables.
Algunos computadores no tienen la climatizacin necesaria.
EDCOM
Captulo I - 14
ESPOL
Proyecto de Graduacin
I.3
ESTRUCTURA ORGANIZACIONAL
I.3.1 MISIN
Proveer a sus clientes productos y servicios que excedan sus expectativas, a un costo
competitivo en el mercado, de tal forma que represente un ahorro en materia
econmica y una ventaja en trminos de calidad, logrando satisfacer sus necesidades
establecidas.
I.3.2 VISIN
Ser reconocida como una empresa Lder en el mercado de los productos de su gnero
a
nivel
nacional
asegurar
una
competitividad
sostenible
rentable
permanentemente.
I.3.3
POLTICAS DE CALIDAD
EDCOM
Captulo I - 15
ESPOL
Proyecto de Graduacin
I.4
DIAGRAMA DE PLANTA
EDCOM
Captulo I - 16
ESPOL
Proyecto de Graduacin
I.5
Contabilidad
Recepcin
Produccin
Recursos
Humanos
Sub-Gerencia
Extrusin
Sellado
Impresin
Calidad
Bodega
EDCOM
Captulo I - 17
ESPOL
Proyecto de Graduacin
I.6
ORGANIGRAMA
EDCOM
Captulo I - 18
ESPOL
CAPTULO II
PLANEACIN DEL SGSI
Proyecto de Graduacin
II.
II.1
La metodologa Magerit nos muestra el grado de proteccin que tienen los activos con
respecto al ambiente en que se encuentran y cmo interactan con este, con el cual se
podr evaluar y posteriormente determinar la vulnerabilidad de estos equipos.
Adems de la implantacin de controles para mejorar la manipulacin y en lo posible
tratar de disminuir la ocurrencia de los factores maliciosos, los cuales se podran
transformar en un impacto desfavorable para la organizacin.
Esta tcnica nos proveer la mejor funcionalidad, adecuada para reconocer las
dependencias entre los activos ms importantes por medio de un anlisis algortmico y
un mtodo que implica el reconocimiento de los riesgos y su valoracin, para llegar a
un nivel tolerable de los mismos. Con un esquema que nos ayudar a concienciar a los
responsables de los activos de la existencia de los riesgos a la cual estn expuestos.
EDCOM
Captulo II - 20
ESPOL
Proyecto de Graduacin
II.2
NO.
ACTIVO
USUARIO
WRKS-REC-001
Jennifer Rodrguez
FUNCIN
Elabora pedidos.
Valida reportes.
Control de despachos.
WRKS-REC-002
Mabel Arvalo
WRKS-PRE-003
No asignado
WRKS-RRHH-004
Maritza Naranjo
EDCOM
Captulo II - 21
ESPOL
Proyecto de Graduacin
Elaboracin
de
cuadros
de
amortizaciones y depreciaciones.
Flujos de caja.
5
WRKS-CON-005
Vctor Reyes
WRKS-CON-006
Vernica Plaza
Elaboracin
de
importaciones.
cuadros
de
Elaboracin de
transferencia.
formularios
de
Administrar la contabilidad.
Administrar
bancarios.
7
WRKS-CON-007
Adriana Serrano
los
movimientos
Girar cheques.
Proveedura.
WRKS-PRO-008
Silvia Sarmiento
Realizar liquidaciones.
Inventario de materia prima.
Elaborar cotizaciones.
WRKS-PRO-009
Carlos Stagg
10
WRKS-PRO-010
Pedro Azules
WRKS-PRO-011
Jaime Rodrguez
12
WRKS-PRO-012
Luis Valle
13
WRKS-PRO-024
Javier Zambrano
EDCOM
Captulo II - 22
de
11
externas
el
proceso
de
Validar Reportes.
Programar tareas de produccin.
Elaboracin de cuadros de costos.
Realizar rdenes de produccin.
ESPOL
Proyecto de Graduacin
WRKS-PRO-013
Silvana Quinde
15
WRKS-SEL-014
Vctor Cevallos
16
WRKS-IMP-015
Enrique Valle
17
WRKS-CAL-017
18
WRKS-EXT-016
No asignado
19
WRKS-CAL-018
Andrs Cepeda
20
WRKS-BOD-019
Carlos Bailn
21
WRKS-BOD-020
Jos Bravo
22
WRKS-SIS-022
Jos Rivera
23
WRKS-SIS-023
Jos Rivera
de
el
proceso
de
PC / Laptop
Servidores
Informacin / Datos
Aplicaciones (Software)
EDCOM
Captulo II - 23
ESPOL
Proyecto de Graduacin
de
informacin,
as
como
accesos
no
autorizados.
La
EDCOM
Captulo II - 24
ESPOL
Proyecto de Graduacin
ESCALAS DE VALORES
VALOR
CRITERIO
10
Muy alto
7a9
Alto
4a6
Medio
1a3
Bajo
Ninguno
EDCOM
Captulo II - 25
ESPOL
Proyecto de Graduacin
CRITERIOS DE VALORIZACIN
VALOR
10
CRITERIO
[olm]
[iio]
[si]
[ir]
[lbl]
[da]
[adm]
[lg]
[iio]
[cei]
EDCOM
Captulo II - 26
ESPOL
Proyecto de Graduacin
un
incumplimiento
[si]
[ir]
[lbl]
[da]
[adm]
[olm]
[iio]
[cei]
EDCOM
Captulo II - 27
ESPOL
Proyecto de Graduacin
[lro]
[si]
[ir]
[lbl]
[pi1]
[pi2]
[ps]
[po]
[lbl]
[da]
[adm]
[lg]
5
EDCOM
[olm]
[iio]
ESPOL
Proyecto de Graduacin
[lro]
[ir]
[lbl]
[ps]
[da]
[adm]
[lg]
[olm]
[iio]
[cei]
EDCOM
Captulo II - 29
ESPOL
Proyecto de Graduacin
[lro]
[si]
[ps]
[po]
[ir]
[lbl]
[lg]
[cei]
EDCOM
[ps]
[lbl]
[da]
Captulo II - 30
ESPOL
Proyecto de Graduacin
[adm]
[lg]
[olm]
[iio]
[cei]
[lro]
[si]
[ir]
[lbl]
[1]
[2]
[3]
[4]
EDCOM
Captulo II - 31
ESPOL
Proyecto de Graduacin
Disponibilidad
Integridad
Confidencialidad Valor
Valor Justificacin Valor Justificacin Valor Justificacin Total
WRKS-REC-001
[crm]
[adm]
[lbl], [crm]
WRKS-REC-002
WRKS-PRE-003
WRKS-RHH-004
WRKS-CON-005
WRKS-CON-006
WRKS-CON-007
WRKS-PRO-008
WRKS-PRO-009
WRKS-PRO-010
WRKS-PRO-011
WRKS-PRO-012
WRKS-PRO-024
WRKS-PRO-013
WRKS-SEL-014
WRKS-IMP-015
WRKS-CAL-017
WRKS-EXT-016
WRKS-CAL-018
WRKS-BOD-019
WRKS-BOD-020
WRKS-SIS-022
WRKS-SIS-023
10
3
7
10
8
10
10
6
10
10
8
7
10
10
10
6
5
5
10
5
10
3
[olm]
[adm], [da]
[da]
[olm]
[crm]
[olm]
[olm]
[pi1]
[olm]
[olm]
[crm]
[da]
[olm]
[olm]
[olm]
[pi1]
[adm], [da]
[adm]
[olm]
[adm], [da]
[olm]
[adm], [da]
5
2
7
10
10
10
10
10
10
10
10
7
10
10
10
5
5
7
8
5
10
3
[olm]
[lg]
[adm]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[iio]
[adm]
[iio]
[iio]
[iio]
[olm]
[olm]
[adm]
[crm]
[olm]
[iio]
[iio], [olm]
6
0
8
8
10
10
10
9
8
10
10
7
3
4
10
8
5
3
10
5
10
3
[lbl]
[4]
[lbl], [crm]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl], [crm]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
[lbl]
7
2
7
9
9
10
10
8
9
10
9
7
8
8
10
6
5
5
9
5
10
3
EDCOM
Captulo II - 32
ESPOL
Proyecto de Graduacin
II.3
Amenaza
[N.1] Incendios.
[N.2] Inundaciones.
[N.3] Otro desastre natural.
PC /
LAPTOP
EDCOM
[I.3]
[I.4]
Contaminacin mecnica.
Avera de origen fsico.
Corte del suministro
[I.5]
elctrico.
Condiciones inadecuadas de
[I.6]
temperatura y/o humedad.
Errores de mantenimiento
[E.15] /Actualizacin de equipos
(hardware).
Captulo II - 33
Vulnerabilidad
Falta de proteccin contra fuego.
Falta de proteccin fsica
adecuada.
Condiciones locales donde los
recursos son fcilmente
afectados por desastres.
Falta de mantenimiento.
Falta de mantenimiento.
Funcionamiento no confiable del
UPS.
Funcionamiento no adecuado del
aire acondicionado.
Falta de control.
ESPOL
Proyecto de Graduacin
[A.17] Robo.
[N.1] Incendios.
[N.2] Inundaciones.
[N.3] Otro desastre natural.
[I.3]
[I.4]
SERVIDOR
[I.5]
Contaminacin mecnica.
Avera de origen fsico.
Corte del suministro
elctrico.
Condiciones inadecuadas de
temperatura y/o humedad.
Errores de mantenimiento
[E.15] /Actualizacin de equipos
(hardware).
[A.17] Robo.
[E.5]
Falta de control.
[E.9]
Introduccin de informacin
incorrecta.
Desconocimiento de la
aplicacin.
[I.6]
INFORMACIN
/ DATOS
Falta de control.
Respaldo inadecuado.
[E.1]
[E.2]
[E.3]
[E.9]
APLICACIONES
(SOFTWARE)
Falta de control.
Errores de monitorizacin
(log).
Introduccin de informacin
incorrecta.
Errores de mantenimiento /
[E.14] actualizacin de programas
(software).
[E.16]
Incapacidad de la aplicacin.
Falta de conocimiento para el
uso de la aplicacin.
Falta de procedimientos
aprobados.
Sobrecarga en la utilizacin de la
aplicacin.
Incapacidad para distinguir una
peticin real de una peticin
falsificada.
EDCOM
Captulo II - 34
ESPOL
Proyecto de Graduacin
II.4
IDENTIFICAR IMPACTOS
Se considera impacto a todo hecho que se present y que resuelto o no, provoc algn
tipo de repercusin importante (sobre todo negativa) en la funcionalidad de alguna
parte de la organizacin; en nuestro caso especficamente a los activos fsicos y toda la
informacin que almacenan.
Estableciendo las prioridades a las diversas situaciones, se deben asignar valores a los
sistemas que pueden ser afectados por las potenciales amenazas, en base a esto se
pueden determinar cules deberan ser atendidas inmediatamente. Habr que analizar
todos los criterios de valorizacin, como son la confidencialidad, disponibilidad e
integridad, aplicando una tabla que nos cuantificar las incidencias. Adems de
identificar los impactos, hay que clasificarlos dependiendo el tipo de consecuencias
que las amenazas pueden producir en los activos:
Prdidas econmicas
Prdidas inmateriales
Responsabilidad legal, civil o penal
Confidencialidad
Integridad
Disponibilidad
Tabla 7 Impactos
EDCOM
Captulo II - 35
ESPOL
Proyecto de Graduacin
[N.1]
Incendios
[N.2]
Inundaciones
[N.3]
[I.3]
Contaminacin
mecnica
[I.4]
[I.5]
[I.6]
[E.15]
[A.17]
Robo
[N.1]
Incendios
[N.2]
Inundaciones
[N.3]
[I.3]
Contaminacin
mecnica
[I.4]
[I.5]
SERVIDOR
EDCOM
Captulo II - 36
FUNCIONAL
PC /
LAPTOP
AMENAZA
CUALITATIVA
ACTIVO
CUANTITATIVA
TIPOS DE
CONSECUENCIAS
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
[D]
Reduce la
disponibilidad
C1, C2
[D]
Reduce la
disponibilidad
C1, C2
L4
[D]
Reduce la
disponibilidad
C1, C2
[D]
C1, C2
,C3
L4
[D], [C]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
L4
[D]
C1, C2
[D]
C1, C2
[D]
IMPACTO
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad,
confidencialidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
Reduce la
disponibilidad
ESPOL
Proyecto de Graduacin
INFORMACIN
/ DATOS
[I.6]
Condiciones
inadecuadas de
temperatura y/o
humedad
Reduce la
disponibilidad
C1, C2
L4
[D]
[E.15]
Errores de
mantenimiento /
actualizacin de
equipos (hardware)
Reduce la
disponibilidad
C1, C2
[D]
L4
[D], [C]
L1
[D], [C],
[I]
L3
[I]
L1
[D]
L1
[I]
L3
[D], [C],
[I]
[D], [I]
[C]
L3
[I]
L3
[D], [I]
L1,
L3
[D]
[D]
[A.17]
Robo
[E.5]
Difusin de software
daino
[E.9]
Introduccin de
informacin incorrecta
Reduce la
C1, C2
disponibilidad,
,C3
confidencialidad
Reduce la
disponibilidad,
C2
confidencialidad
e integridad
Reduce la
integridad
Reduce la
C1, C2
disponibilidad
Reduce la
[E.10]
C2
integridad
Reduce la
Errores del
disponibilidad,
[E.1]
C2
administrador
confidencialidad
e integridad
Reduce la
[E.2] Errores de los usuarios disponibilidad e
C2
integridad
Errores de
Reduce la
[E.3]
C2
monitorizacin (log) confidencialidad
Introduccin de
Reduce la
APLICACIONES [E.9]
C1, C2
informacin incorrecta
integridad
(SOFTWARE)
Errores de
Reduce la
mantenimiento /
[E.14]
disponibilidad e
C2
actualizacin de
integridad
programas (software)
Cada del sistema por
Reduce la
[E.16]
agotamiento de
C1, C2
disponibilidad
recursos
Reduce la
[A.16] Denegacin de servicio
C2
disponibilidad
[A.13]
Destruccin la
informacin
Degradacin de la
informacin
C1,C2
EDCOM
Captulo II - 37
ESPOL
Proyecto de Graduacin
II.5
Algunas veces
A menudo
Casi siempre
Siempre
2
3
4
5
Tabla 9 Frecuencia
Bajo
Medio
Alta
Muy alto
Tabla 10 - Impacto
EDCOM
Captulo II - 38
ESPOL
Proyecto de Graduacin
EDCOM
Captulo II - 39
ESPOL
CAPTULO III
EJECUCIN DEL SGSI
Proyecto de Graduacin
III.
Captulo III- 41
ESPOL
Proyecto de Graduacin
Evitar el Riesgo
La opcin de evitar el riesgo, describe cualquier accin donde las actividades del
negocio, o las maneras de conducir la gestin comercial del negocio, se modifican,
para as poder evitar la ocurrencia del riesgo.
Las maneras habituales para implementar esta opcin son:
Dejar de conducir ciertas actividades.
Desplazar activos de informacin de un rea riesgosa a otra.
Decidir no procesar cierto tipo de informacin si no se consigue la proteccin
adecuada.
La decisin por la opcin de evitar el riesgo debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
EDCOM
Captulo III- 42
ESPOL
Proyecto de Graduacin
ACTIVO
AMENAZA
[I.3]
PC / LAPTOP
APLICACIONES
(SOFTWARE)
PTR
Falta de
mantenimiento
Reduccin
Funcionamiento no
confiable del UPS
Reduccin
Falta de control
Reduccin
[I.3]
Contaminacin mecnica
Falta de
mantenimiento
Reduccin
[I.5]
Funcionamiento no
confiable del UPS
Reduccin
[E.5]
Falta de control
Reduccin
SERVIDORES
INFORMACIN
/ DATOS
Contaminacin mecnica
VULNERABILIDAD
Reduccin
Reduccin
Reduccin
Reduccin
Reduccin
EDCOM
Captulo III- 43
ESPOL
Proyecto de Graduacin
AMENAZA
VULNERABILIDAD
PTR
9.2.1 Ubicacin y proteccin
de los equipos.
[I.3]
Contaminacin
mecnica
Falta de
mantenimiento
[I.5]
PC /
Laptop
Corte del
suministro
elctrico
Errores de
mantenimiento
/ actualizacin
de equipos
(hardware)
Falta de control
[I.3]
Contaminacin
mecnica
Falta de
mantenimiento
[I.5]
Corte del
[E.15]
EDCOM
9.2.4 Mantenimiento de
equipos.
13.2.1 Responsabilidades y
procedimientos
8.2.2 Conocimiento,
educacin y capacitacin en
seguridad de la informacin.
9.2.4 Mantenimiento de
equipos.
Captulo III- 44
ESPOL
Proyecto de Graduacin
suministro
elctrico
Suministro.
14.1 Aspectos de la
seguridad de la informacin
de la gestin de la
continuidad del negocio.
14.1.3 Desarrollar e
implementar los planes de
continuidad incluyendo la
seguridad de la informacin.
14.1.5 Prueba,
mantenimiento y reevaluacin de los planes de
continuidad del negocio.
10.4.1 Controles contra
cdigos maliciosos.
[E.5]
Difusin de
Falta de Antivirus o
10.4.2 Controles contra
software daino desactualizacin
cdigos mviles.
10.5 Respaldo o Back-Up.
8.1.1 Roles y
responsabilidades.
Informacin
/ Datos
[E.9]
Introduccin de
informacin
incorrecta
Desconocimiento
de la aplicacin
8.2.2 Conocimiento,
educacin y capacitacin en
seguridad de la informacin.
13.1 Reporte de los eventos
y debilidades de la seguridad
de la informacin.
[A.13]
EDCOM
Destruccin la
informacin
Captulo III- 45
8.2.2 Conocimiento,
educacin y capacitacin en
seguridad de la informacin.
ESPOL
Proyecto de Graduacin
[E.1]
Aplicaciones
(Software)
[E.2]
Errores del
administrador
Errores de los
usuarios
Falta de
capacitacin del 13.2.1 Responsabilidades y
administrador del procedimientos.
sistema
13.1 Reporte de los eventos
y debilidades de la seguridad
de la informacin.
5.1 Poltica de seguridad de
Falta de
la informacin.
conocimiento para
el uso de la
5.1.1 Documento de poltica
aplicacin
de seguridad de la
informacin.
15.1 Cumplimiento con los
requisitos legales.
[E.9]
Introduccin de
informacin
incorrecta
Falta de
15.1.4 Proteccin de los
conocimiento para datos y de la privacidad de la
el uso de la
informacin personal.
aplicacin
III.2.2 SALVAGUARDAS
Las salvaguardas permiten hacer frente a las amenazas. Hay diferentes aspectos en los
cuales puede actuar una salvaguarda para alcanzar sus objetivos de limitacin del
impacto y/o mitigacin del riesgo:
EDCOM
Captulo III- 46
ESPOL
Proyecto de Graduacin
Aplicaciones (software)
Dispositivos fsicos
Proteccin de las comunicaciones
Seguridad fsica, de los locales y reas de trabajo
Captulo III- 47
ESPOL
Proyecto de Graduacin
OBJETIVOS
Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las
actividades para mantener y garantizar la integridad fsica de los recursos informticos,
as como resguardar los activos de la empresa".
Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad
son los siguientes:
Establecer un esquema de seguridad con perfecta claridad y transparencia bajo
la responsabilidad de la compaa en la administracin del riesgo.
Compromiso de todo el personal de la compaa con el proceso de seguridad,
agilizando la aplicacin de los controles con dinamismo y armona.
Que la prestacin del servicio de seguridad gane en calidad.
Todos los empleados se convierten en interventores del SGSI.
DISPOSICIONES GENERALES
Artculo 1
El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo
informtico de las diferentes reas de la compaa. Para los efectos de este
instrumento se entender por:
EDCOM
Captulo III- 48
ESPOL
Proyecto de Graduacin
COMIT
Al equipo integrado por la Gerencia, los Jefes de rea y el personal administrativo
(ocasionalmente) convocado para fines especficos como:
Adquisiciones de Hardware y software.
Establecimiento de estndares de la Compaa Plsticos Internacionales tanto
de hardware como de software.
Establecimiento de la Arquitectura Tecnolgica.
Establecimiento de lineamientos para concursos de ofertas.
Administracin de informtica.
Est integrada por la Gerencia y Jefes de rea, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las
diferentes reas.
Elaborar y efectuar seguimiento del Plan Maestro de Informtica.
Definir estrategias y objetivos a corto, mediano y largo plazo.
Mantener la Arquitectura tecnolgica.
Controlar la calidad del servicio brindado.
Mantener el Inventario actualizado de los recursos informticos.
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
Para los efectos de este documento, se entiende por Polticas en Informtica, al
conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables
del hardware y software existente en la compaa, siendo responsabilidad de la
Administracin de Informtica, vigilar su estricto cumplimiento en el mbito de su
competencia, tomando las medidas preventivas y correctivas para que se cumplan.
Artculo 2
Las Polticas en Informtica son el conjunto de ordenamientos y lineamientos
enmarcados en el mbito jurdico y administrativo. Estas normas inciden en la
EDCOM
Captulo III- 49
ESPOL
Proyecto de Graduacin
Artculo 3
La compaa deber contar con un Jefe o responsable, en el que recaiga la
administracin de los Bienes y Servicios, que vigilar la correcta aplicacin de los
ordenamientos establecidos por el Comit y dems disposiciones aplicables.
Responsable
Cargo
CPU
Serie No.
Serie No.
Marca
Marca
Memoria RAM
Modelo No.
Disco Duro
Procesador
Sistema Operativo
Observacin
EDCOM
Captulo III- 50
ESPOL
Proyecto de Graduacin
EDCOM
Captulo III- 51
ESPOL
Proyecto de Graduacin
Artculo 7
Los colaboradores de la empresa al usar el equipo de cmputo, se abstendrn de
consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del
mismo o deterioren la informacin almacenada.
Artculo 8
Mantener plizas de seguros de los recursos informticos en funcionamiento.
Artculo 9
En ningn caso se autorizar la utilizacin de dispositivos ajenos a los procesos
informticos del rea. Por consiguiente, se prohbe el ingreso y/o instalacin de
hardware y software particular, es decir que no sea propiedad de la compaa, excepto
en casos emergentes que la Direccin autorice.
ANTIVIRUS
Artculo 10
En todos los equipos de la empresa se debe instalar y correr el antivirus actualizado, el
mismo que debera cumplir con lo siguiente:
Detectar y controlar cualquier accin intentada por un software viral en tiempo
real.
Peridicamente ejecutar el Anlisis para detectar software viral almacenado en
la estacin de trabajo.
Hacer una revisin al menos diaria para actualizar la definicin del software
antivirus.
Debe ser un producto totalmente legal (con licencia o Software libre).
No deben usarse memorias extrables u otros medios de almacenamiento en cualquier
computadora de la empresa a menos que se haya previamente verificado que estn
libres de virus u otros agentes dainos. Deber existir un procedimiento formal a
seguir en caso que se detecte un virus en algn equipo del sistema.
EDCOM
Captulo III- 52
ESPOL
Proyecto de Graduacin
DISPOSITIVOS DE SOPORTE
Artculo 11
Debern existir los siguientes dispositivos de soporte en la empresa:
Aire acondicionado: en el centro de cmputos la temperatura debe
mantenerse entre 19 C y 20 C.
Matafuegos: debern ser dispositivos qumicos y manuales que cumplan las
especificaciones
para
extinguir
incendios
en
equipos
elctricos
de
RESPALDOS
Artculo 12
Se deber asegurar la existencia de un procedimiento aprobado para la generacin de
copias de resguardo sobre toda la informacin necesaria para las operaciones de la
organizacin, donde se especifique la periodicidad y el lugar fsico donde se deben
mantener las copias generadas.
Los archivos de respaldos deben tener un control de acceso lgico de acuerdo a la
sensibilidad de sus datos, adems de contar con proteccin fsica.
EDCOM
Captulo III- 53
ESPOL
Proyecto de Graduacin
MANTENIMIENTO DE EQUIPOS
Artculo 13
Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e
integridad permanentes, para ello se debe considerar:
Someter el equipamiento a tareas de mantenimiento preventivo.
El responsable del rea informtica mantendr listado actualizado del
equipamiento con el detalle de la frecuencia en que se realizar el
mantenimiento preventivo.
Establecer que slo el personal de mantenimiento autorizado puede brindar
mantenimiento y llevar a cabo reparaciones en el equipamiento.
Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo
y correctivo realizado.
A continuacin se indica el perodo aconsejable para realizar los
mantenimientos de los activos:
EQUIPO
FRECUENCIA DE MANTENIMIENTO PERSONAL AUTORIZADO
SERVIDORES
3 meses
Jefe de Sistemas
ESTACIONES DE TRABAJO
6 meses
Jefe de Sistemas
IMPRESORAS
6 meses
Jefe de Sistemas
Tabla 15 - Plan de Mantenimiento anual
EDCOM
Captulo III- 54
ESPOL
Proyecto de Graduacin
CONEXIONES EXTERNAS
Artculo 15
La conectividad a Internet ser otorgada para propsitos relacionados con el negocio y
mediante una autorizacin de la Gerencia.
Debe asegurarse que la totalidad del trfico entrante y saliente de la red interna, sea
filtrado y controlado por un firewall prohibiendo el pasaje de todo el trfico que no se
encuentre expresamente autorizado.
Todas las conexiones a Internet de la empresa deben traspasar un servidor Proxy una
vez que han traspasado el firewall.
PROPIEDAD DE LA INFORMACIN
Artculo 16
Con el fin de mejorar la productividad, Plsticos Internacionales promueve el uso
responsable de las comunicaciones en forma electrnica, en particular el telfono, el
correo de voz, el correo electrnico, y el fax. Los sistemas de comunicacin y los
mensajes generados y procesados por tales sistemas, incluyendo las copias de
respaldo, se deben considerar como propiedad de la empresa y no propiedad de los
usuarios de los servicios de comunicacin.
EDCOM
Captulo III- 55
ESPOL
Proyecto de Graduacin
QUEDA PROHIBIDO
Artculo 17
El uso de estos recursos para actividades no relacionadas con el propsito de la
compaa.
Artculo 18
Las actividades, equipos o aplicaciones que no estn directamente especificados
dentro de los Estndares de los Recursos Informticos propios la compaa.
Artculo 19
Introducir voluntariamente programas, virus, applets, controles ActiveX o cualquier
otro dispositivo lgico o secuencia de caracteres que causen o sean susceptibles de
causar cualquier tipo de alteracin o dao en los Recursos Informticos.
EDCOM
Captulo III- 56
ESPOL
Proyecto de Graduacin
Requerimientos Legales.
Obligaciones Contractuales.
Requerimientos de Negocio/Adoptar las mejores
prcticas.
Resultados de la evaluacin de riesgos.
Tabla 16 Controles y Razones
EDCOM
Captulo III- 57
ESPOL
Proyecto de Graduacin
EDCOM
Captulo III- 58
ESPOL
Proyecto de Graduacin
EDCOM
Captulo III- 59
ESPOL
Proyecto de Graduacin
EDCOM
Captulo III- 60
ESPOL
Proyecto de Graduacin
III.5.1 CAPACITACIN
Para la eficacia de las Polticas de Seguridad de la Informacin, todos los empleados de
la empresa, y cuando sea necesario, los usuarios externos y los terceros que
desempeen funciones en la empresa debern recibir una adecuada capacitacin y
actualizacin peridica en materia de la poltica de seguridad, normas y
procedimientos.
Esto
comprende
los
requerimientos
de
seguridad
las
EDCOM
Captulo III- 61
ESPOL
ANEXOS
Proyecto de Graduacin
IV.
ANEXO
IV.1
IV.2
IMPLANTACIN
IV.3
CERTIFICACIN
IV.4
EDCOM
Captulo IV - 63
ESPOL
Proyecto de Graduacin
IV.5
PDCA (Plan, Do, Check, Act), tambin conocido como "Crculo de Deming o crculo de
Gabo", es una estrategia de mejora continua de la calidad en cuatro pasos:
PLAN (PLANIFICAR).- es una fase de diseo del SGSI, realizando la evaluacin de
controles.
CHECK (VERIFICAR).- es una fase que tiene como objetivo revisar y evaluar el
desempeo (eficiencia y eficacia) del SGSI.
ACT (MEJORAR).- en esta fase se realizan cambios cuando sea necesario para
llevar de vuelta el SGSI a mximo rendimiento.
EDCOM
Captulo IV - 64
ESPOL
Proyecto de Graduacin
IV.6
METODOLOGA: MAGERIT
IV.7
Gestin de activos.
Responsabilidad sobre los activos.
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.
Clasificacin de la informacin
Directrices de clasificacin.
Marcado y tratamiento de la informacin.
EDCOM
Captulo IV - 65
ESPOL
Proyecto de Graduacin
Lineamiento de implementacin
Se debieran considerar los siguientes lineamientos para la proteccin del equipo:
El equipo se debiera ubicar de manera que se minimice el acceso innecesario a
las reas de trabajo;
Los medios de procesamiento de la informacin que manejan data confidencia
debieran ubicarse de manera que se restrinja el ngulo de visin para reducir el
riesgo que la informacin sea vista por personas no autorizadas durante su uso;
y se debieran asegurar los medios de almacenaje para evitar el acceso no
autorizado;
Se debieran aislar los tems que requieren proteccin especial para reducir el
nivel general de la proteccin requerida;
Se debieran adoptar controles para minimizar el riesgo de amenazas
potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el
suministro de agua), polvo, vibracin, efectos qumicos, interferencias en el
suministro
elctrico,
interferencia
en
las
comunicaciones,
radiacin
electromagntica y vandalismo;
Se debieran establecer lineamientos sobre comer, beber y fumar en la
proximidad de los medios de procesamiento de informacin;
Se debieran monitorear las condiciones ambientales; tales como temperatura y
humedad, que pudiera afectar adversamente la operacin de los medios de
procesamiento de la informacin;
EDCOM
Captulo IV - 66
ESPOL
Proyecto de Graduacin
Lineamiento de implementacin
Se debieran considerar los siguientes lineamientos para el mantenimiento de equipo:
El equipo se debiera mantener en concordancia con los intervalos y
especificaciones de servicio recomendados por el proveedor;
Slo el personal de mantenimiento autorizado debiera llevar a cabo las
reparaciones y dar servicio al equipo;
Se debieran mantener registros de todas las fallas sospechadas y reales, y todo
mantenimiento preventivo y correctivo;
Se debieran implementar los controles apropiados cuando se programa el
equipo para mantenimiento, tomando en cuenta si su mantenimiento es
realizado por el personal en el local o fuera de la organizacin; cuando sea
necesario, se debiera revisar la informacin confidencial del equipo, o se
debiera verificar al personal de mantenimiento;
Se debieran cumplir con todos los requerimientos impuestos por las plizas de
seguros.
EDCOM
Captulo IV - 67
ESPOL
Proyecto de Graduacin
Lineamiento de implementacin
Todos los servicios pblicos de soporte; como electricidad, suministro de agua,
desage, calefaccin/ventilacin y aire acondicionado; debieran ser adecuados
para los sistemas que soportan. Los servicios pblicos de soporte debieran ser
inspeccionados regularmente y, conforme sea apropiado, probado para
asegurar su adecuado funcionamiento y para reducir cualquier riesgo por un
mal funcionamiento o falla. Se debiera proveer un suministro elctrico
adecuado que est de acuerdo a las especificaciones del fabricante del equipo.
Se recomienda un dispositivo de suministro de energa ininterrumpido (UPS)
para apagar o el funcionamiento continuo del equipo de soporta las
operaciones comerciales crticas. Los planes de contingencia para la energa
debieran abarcar la accin a tomarse en el caso de una falla de energa
prolongada. Se debiera considerar un generador de emergencia si se requiere
que el procesamiento continu en el caso de una falla de energa prolongada.
Se debiera tener disponible un adecuado suministro de combustible para
asegurar que el generador pueda funcionar durante un perodo prolongado. El
equipo UPS y los generados se debieran chequear regularmente para asegurar
que tengan la capacidad adecuada y para probar su concordancia con las
recomendaciones del fabricante. Adems, se debiera considerar al uso de
mltiples fuentes de energa, si el local es grande, una subestacin de energa
separada.
Se debieran colocar interruptores de energa de emergencia cerca de las salidas
de emergencia en las habitaciones donde se encuentra el equipo para facilitar
el cierre del paso de corriente en caso de una emergencia. Se debiera
EDCOM
Captulo IV - 68
ESPOL
Proyecto de Graduacin
Otra informacin
Las opciones para lograr la continuidad de los suministros de energa incluyen
mltiples alimentaciones para evitar que una falla en el suministro de energa.
Captulo IV - 69
ESPOL
Proyecto de Graduacin
Lineamiento de implementacin
El proceso de planeacin de la continuidad del negocio debiera considerar lo siguiente:
Identificar y acordar todas las responsabilidades y los procedimientos de
continuidad del negocio;
Identificar la prdida aceptable de la informacin y los servicios;
Implementacin de los procedimientos para permitir la recuperacin y
restauracin de las operaciones comerciales y la disponibilidad de la
EDCOM
Captulo IV - 70
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 71
ESPOL
Proyecto de Graduacin
Otra informacin
Se debiera notar que estos planes y actividades de gestin de crisis pueden ser
diferentes a los de la gestin de la continuidad del negocio; es decir, puede ocurrir una
crisis que puede ser acomodada por los procedimientos gerenciales normales.
Lineamiento de implementacin
Las pruebas del plan de continuidad del negocio debieran asegurar que todos los
miembros del equipo de recuperacin y otro personal relevante estn al tanto de los
planes y su responsabilidad con la continuidad del negocio y la seguridad de la
informacin, y que conozcan su papel cuando se invoque el plan.
El programa de pruebas para el(los) plan(es) de continuidad debieran indicar cmo y
cundo se debiera probar cada elemento del plan. Cada elemento del(los) plan(es)
debiera(n) ser probado(s) frecuentemente:
Prueba flexible de simulacin (table-top testing) de varios escenarios
(discutiendo los acuerdos de recuperacin comercial utilizando ejemplos de
interrupciones);
Simulaciones (particularmente para capacitar a las personas en sus papeles en
la gestin post-incidente/crisis).
Prueba de recuperacin tcnica (asegurando que los sistemas de informacin
puedan restaurarse de manera efectiva.
EDCOM
Captulo IV - 72
ESPOL
Proyecto de Graduacin
Captulo IV - 73
ESPOL
Proyecto de Graduacin
Lineamiento de la implementacin
Adems de reportar los eventos y debilidades en la seguridad de la, se debiera utilizar
el monitoreo del sistema, alertas y vulnerabilidades para detectar los incidentes en la
seguridad de la informacin. Se debieran considerar los siguientes lineamientos para
los procedimientos de gestin de incidentes en la seguridad de la informacin:
Se debieran establecer procedimientos para manejar los diferentes tipos de
incidentes en la seguridad de la informacin, incluyendo:
Fallas del sistema de informacin y prdida del servicio.
Cdigo malicioso.
Negacin del servicio.
Errores resultantes de data comercial incompleta o inexacta.
Violaciones de la confidencialidad e integridad.
Mal uso de los sistemas de informacin.
Adems de los planes de contingencia normales, los procedimientos tambin
debieran cubrir:
Anlisis e identificacin de la causa del incidente.
Contencin.
Planeacin e implementacin de la accin correctiva para evitar la
recurrencia, si fuese necesario.
EDCOM
Captulo IV - 74
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 75
ESPOL
Proyecto de Graduacin
Otra informacin
Los incidentes en la seguridad de la informacin podran trascender fuera de las
fronteras organizacionales y nacionales. Para responder a estos incidentes se necesita
cada vez ms coordinar la respuesta y compartir informacin sobre estos incidentes
con organizaciones externas, conforme sea apropiado.
LA INFORMACIN (8.2.2)
Control
Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y
terceras personas debieran recibir una adecuada capacitacin en seguridad y
actualizaciones regulares sobre las polticas y procedimientos organizacionales
conforme sea relevante para su funcin laboral.
Lineamiento de implementacin
La capacitacin y el conocimiento debieran comenzar con un proceso de induccin
formal diseado para introducir las polticas y expectativas de seguridad de la
organizacin antes de otorgar acceso a la informacin o servicios.
La capacitacin constante debiera incluir los requerimientos de seguridad,
responsabilidades legales y controles comerciales, as como la capacitacin en el uso
correcto de los medios de procesamiento de informacin; por ejemplo, procedimiento
de registro, uso de paquetes de software e informacin sobre los procesos
disciplinarios.
Otra informacin
Las actividades de conocimiento, educacin y capacitacin debieran ser adecuados y
relevantes para el rol, responsabilidades y capacidades de la persona, y debieran
incluir informacin sobre amenazas conocidas, a quin contactar para mayor
consultora sobre seguridad y los canales apropiados para reportar los incidentes de
seguridad de informacin.
EDCOM
Captulo IV - 76
ESPOL
Proyecto de Graduacin
IV.9.10
Control
Controles de deteccin, prevencin y recuperacin para proteger contra cdigos
maliciosos y se debieran implementar procedimientos para el apropiado conocimiento
del usuario.
Lineamiento de implementacin
La proteccin contra cdigos maliciosos se debiera basar en la deteccin de cdigos
maliciosos y la reparacin de software, conciencia de seguridad, y los apropiados
controles de acceso al sistema y gestin del cambio. Se debieran considerar los
siguientes lineamientos:
Establecer una poltica formal prohibiendo el uso de software no-autorizado.
EDCOM
Captulo IV - 77
ESPOL
Proyecto de Graduacin
Establecer una poltica formal para proteger contra riesgos asociados con la
obtencin de archivos, ya sea a travs de redes externas o cualquier otro
medio, indicando las medidas de proteccin a tomarse.
Realizar revisiones regulares del software y contenido de data de los sistemas
que sostienen los procesos comerciales crticos; se debiera investigar
formalmente la presencia de cualquier activo no-aprobado o enmiendas noautorizadas.
La instalacin y actualizacin regular de software para la deteccin o reparacin
de cdigos maliciosos para revisar las computadoras y medios como un control
preventivo o una medida rutinaria; los chequeos llevados a cabo debieran
incluir:
Chequeo de cualquier archivo en medios electrnicos u pticos, y los
archivos recibidos a travs de la red para detectar cdigos maliciosos
antes de utilizarlo.
Chequear los adjuntos y descargas de los correos electrnicos para
detectar cdigos maliciosos antes de utilizarlos, este chequeo debiera
llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo
electrnico, computadoras desktop y cuando se ingresa a la red de la
organizacin.
Chequear las pginas Web para detectar cdigos maliciosos.
Definicin, gestin, procedimientos y responsabilidades para lidiar con la
proteccin de cdigos maliciosos en los sistemas, capacitacin en su uso,
reporte y recuperacin de ataques de cdigos maliciosos.
Preparar planes apropiados para la continuidad del negocio para recuperarse
de ataques de cdigos maliciosos, incluyendo toda la data y respaldo (back-up)
de software y procesos de recuperacin.
Implementar procedimiento para la recoleccin regular de informacin, como
suscribirse a listas de correos y/o chequear Web Sites que dan informacin
sobre cdigos maliciosos nuevos.
EDCOM
Captulo IV - 78
ESPOL
Proyecto de Graduacin
Otra informacin
El uso de dos o ms productos de software para protegerse de cdigos maliciosos a
travs del ambiente de procesamiento de la informacin de diferentes vendedores
puede mejorar la efectividad de la proteccin contra cdigos maliciosos.
Se puede instalar software para protegerse de cdigos maliciosos para proporcionar
actualizaciones automticas de archivos de definicin y motores de lectura para
asegurarse que la proteccin est actualizada. Adems, este software se puede instalar
en cada desktop para que realice chequeos automticos.
Se debiera tener cuidado de protegerse contra la introduccin de cdigos maliciosos
durante el mantenimiento y procedimientos de emergencia, los cuales pueden evadir
los controles de proteccin contra cdigos maliciosos normales.
Captulo IV - 79
ESPOL
Proyecto de Graduacin
IV.9.12
Control
El documento de la poltica de seguridad de la informacin debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las partes externas
relevantes.
Lineamiento de implementacin
El documento de la poltica de seguridad de la informacin debiera enunciar el
compromiso de la gerencia y establecer el enfoque de la organizacin para manejar la
seguridad de la informacin. El documento de la poltica debiera contener enunciados
relacionados con:
Una definicin de seguridad de la informacin, sus objetivos y alcance
generales y la importancia de la seguridad como un mecanismo facilitador para
intercambiar informacin (ver introduccin).
EDCOM
Captulo IV - 80
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 81
ESPOL
Proyecto de Graduacin
Otra informacin
La poltica de seguridad de la informacin podra ser una parte del documento de
poltica general. Si la poltica de seguridad de la informacin se distribuye fuera de la
organizacin, se debiera tener cuidado de no divulgar informacin confidencial. Se
puede encontrar mayor informacin en ISO/IEC 13335-1:2004.
IV.9.14
Objetivo
Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual;
y cualquier requerimiento de seguridad.
El diseo, operacin, uso y gestin de los sistemas de informacin pueden estar
sujetos a requerimientos de seguridad estatutarios, reguladores y contractuales.
Se debiera buscar la asesora sobre los requerimientos legales especficos de los
asesores legales de la organizacin o profesionales legales calificados adecuados. Los
requerimientos legislativos varan de un pas a otro y pueden variar para la
informacin creada en un pas que es transmitida a otro pas (es decir, flujo de data
inter-fronteras).
IV.9.15
Control
Se debieran implementar los procedimientos apropiados para asegurar el
cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el
uso del material con respecto a los cuales puedan existir derechos de propiedad
intelectual y sobre el uso de productos de software patentado.
Lineamiento de implementacin
Se debieran considerar los siguientes lineamientos para proteger cualquier material
que se considere de propiedad intelectual:
EDCOM
Captulo IV - 82
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 83
ESPOL
Proyecto de Graduacin
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos de autor, derechos de
diseo, marcas registradas, patentes y licencias de cdigo fuente de software o
documentos.
Los productos de software patentados usualmente son suministrados mediante un
contrato de licencia que especifica los trminos y condiciones de las licencias, por
ejemplo, limitando el uso de los productos a mquinas especficas o limitando el
copiado slo a la creacin de copias de respaldo. Se necesita aclarar la situacin IPR del
software desarrollado por la organizacin con el personal.
Los requerimientos legislativos, reguladores y contractuales pueden colocar
restricciones sobre el copiado de material patentado. En particular, ellos pueden
requerir que slo se pueda utilizar el material desarrollado por la organizacin, o que
sea licenciado o provisto por un diseador a la organizacin. La violacin de los
derechos de autor puede llevar a una accin legal, lo cual puede involucrar los trmites
judiciales.
PROTECCIN DE LA
INFORMACIN PERSONAL (15.1.4)
IV.9.16
DATA
PRIVACIDAD
DE
LA
Control
Se debiera asegurar la proteccin y privacidad de la data conforme lo requiera la
legislacin, regulaciones y, si fuesen aplicables, las clusulas contractuales relevantes.
Lineamiento de implementacin
Se debiera desarrollar e implementar una poltica de proteccin y privacidad de la
data. Esta poltica debiera ser comunicada a todas las personas involucradas en el
procesamiento de la informacin personal.
El cumplimiento de esta poltica y toda legislacin y regulacin de proteccin de data
relevante requiere una apropiada estructura y control gerencial. Con frecuencia esto
se logra asignando a una persona como responsable, por ejemplo un funcionario de
EDCOM
Captulo IV - 84
ESPOL
Proyecto de Graduacin
Otra informacin
Un nmero de pases han introducido una legislacin colocando controles sobre la
recoleccin, procesamiento y transmisin de data personal (generalmente la
informacin sobre personas vivas que pueden ser identificadas mediante esa
informacin). Dependiendo de la legislacin nacional respectiva, dichos controles
pueden imponer impuestos a aquellos que recolectan, procesan y difunden
informacin personal; y pueden restringir la capacidad para transferir la data a otros
pases.
IV.9.17
Objetivo
Lograr y mantener una apropiada proteccin de los activos organizacionales.
Todos los activos debieran ser inventariados y contar con un propietario nombrado.
Los propietarios debieran identificar todos los activos y se debiera asignar la
responsabilidad por el mantenimiento de los controles apropiados. La implementacin
de controles especficos puede ser delegada por el propietario conforme sea
apropiado, pero el propietario sigue siendo responsable por la proteccin apropiada
de los activos.
EDCOM
Captulo IV - 85
ESPOL
Proyecto de Graduacin
IV.9.18
Control
Se debieran identificar todos los activos y se debiera elaborar y mantener un
inventario de todos los activos importantes.
Lineamiento de implementacin
Una organizacin debiera identificar todos los activos y documentar la importancia de
estos activos. El inventario de los activos debiera incluir toda la informacin necesaria
para poder recuperarse de un desastre; incluyendo el tipo de activo, formato,
ubicacin, informacin de respaldo, informacin de licencias y un valor comercial. El
inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera
asegurar que el contenido est alineado.
Adems, se debiera acordar y documentar la propiedad y la clasificacin de la
propiedad para cada uno de los activos. Basados en la importancia del activo, su valor
comercial y su clasificacin de seguridad, se debieran identificar los niveles de
proteccin que se conmensuran con la importancia de los.
Otra informacin
Existen muchos tipos de activos, incluyendo:
Informacin: bases de datos y archivos de data, contratos y acuerdos,
documentacin del sistema, informacin de investigaciones, manuales del
usuario, material de capacitacin, procedimientos operacionales o de soporte,
planes de continuidad del negocio, acuerdos para contingencias, rastros de
auditora e informacin archivada.
Activos de software: software de aplicacin, software del sistema, herramientas
de desarrollo y utilidades.
Activos fsicos: equipo de cmputo, equipo de comunicacin, medios
removibles y otro equipo.
EDCOM
Captulo IV - 86
ESPOL
Proyecto de Graduacin
IV.9.19
Control
Toda la informacin y los activos asociados con los medios de procesamiento de
informacin debieran ser propiedad de una parte designada de la organizacin.
Lineamiento de implementacin
El propietario del activo debiera ser responsable de:
Asegurar que la informacin y los activos asociados con los medios de
procesamiento de la informacin sean clasificados apropiadamente.
Definir y revisar peridicamente las restricciones y clasificaciones de acceso,
tomando en cuenta las polticas de control de acceso aplicables.
La propiedad puede ser asignada a:
Un proceso comercial.
Un conjunto de actividades definido.
Una aplicacin.
Un conjunto de data definido.
EDCOM
Captulo IV - 87
ESPOL
Proyecto de Graduacin
Otra informacin
Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el
activo diariamente, pero la responsabilidad permanece con el propietario.
En los sistemas de informacin complejos podra ser til designar grupos de activos, los
cuales actan juntos para proporcionar una funcin particular como servicios. En
este caso el propietario es responsable de la entrega del servicio, incluyendo el
funcionamiento de los activos que los proveen.
IV.9.20
Control
Se debieran identificar, documentar e implementar reglas para el uso aceptable de la
informacin y los activos asociados con los medios del procesamiento de la
informacin.
Lineamiento de implementacin
Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso
aceptable de la informacin y los activos asociados con los medios del procesamiento
de la informacin, incluyendo:
Reglas para la utilizacin del correo electrnico e Internet.
Lineamientos para el uso de dispositivos mviles, especialmente para el uso
fuera del local de la organizacin.
La gerencia relevante debiera proporcionar reglas o lineamientos especficos. Los
empleados, contratistas y terceros que usan o tienen acceso a los activos de la
organizacin debieran estar al tanto de los lmites existentes para su uso de la
informacin y los activos asociados con los medios y recursos del procesamiento de la
informacin de la organizacin. Ellos debieran ser responsables por el uso que le den a
cualquier recurso de procesamiento de informacin, y de cualquier uso realizado bajo
su responsabilidad.
EDCOM
Captulo IV - 88
ESPOL
Proyecto de Graduacin
IV.9.21
Objetivo
Asegurar que la informacin reciba un nivel de proteccin apropiado.
La informacin debiera ser clasificada para indicar la necesidad, prioridades y grado de
proteccin esperado cuando se maneja la informacin.
La informacin tiene diversos grados de confidencialidad e importancia. Algunos tems
pueden requerir un nivel de proteccin adicional o manejo especial. Se debiera utilizar
un esquema de clasificacin de informacin para definir un conjunto apropiado de
niveles de proteccin y comunicar la necesidad de medidas de uso especiales
IV.9.22
Control
Se debiera clasificar la informacin en trminos de su valor, requerimientos legales,
sensibilidad y grado crtico para la organizacin.
Lineamiento de implementacin
Las clasificaciones y los controles de proteccin asociados para la informacin debieran
tomar en cuenta las necesidades comerciales de intercambiar o restringir informacin
y los impactos comerciales asociados con dichas necesidades.
Los lineamientos de clasificacin debieran incluir protocolos para la clasificacin inicial
y la reclasificacin a lo largo del tiempo; en concordancia con alguna poltica predeterminada de control de acceso.
Debiera ser responsabilidad del propietario del activo definir la clasificacin de un
activo, revisarla peridicamente y asegurarse que se mantenga actualizada y en el
nivel apropiado.
Se debiera tener en consideracin el nmero de categoras de clasificacin y los
beneficios a obtenerse con su uso.
EDCOM
Captulo IV - 89
ESPOL
Proyecto de Graduacin
Otra informacin
Se puede evaluar el nivel de proteccin analizando la confidencialidad, integridad y
disponibilidad, y cualquier otro requerimiento para la informacin considerada.
Con frecuencia, la informacin deja de ser sensible o crtica despus de cierto perodo
de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. Se debieran tomar
en cuenta estos aspectos, ya que la sobre-clasificacin puede llevar a la
implementacin de controles innecesarios resultando en un gasto adicional.
Agrupar documentos con requerimientos de seguridad similares cuando se asignan
niveles de clasificacin podra ayudar a simplificar la tarea de clasificacin.
En general, la clasificacin dada a la informacin es una manera rpida para
determinar cmo se est manejando y protegiendo la informacin.
IV.9.23
Control
Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para
el etiquetado y manejo de la informacin en concordancia con el esquema de
clasificacin adoptado por la organizacin.
Lineamiento de implementacin
Los procedimientos para el etiquetado de la informacin necesitan abarcar los activos
de informacin en formatos fsicos y electrnicos. El output de los sistemas
conteniendo informacin que es clasificada como sensible o crtica debiera llevar la
etiqueta de clasificacin apropiada (en el output). El etiquetado debiera reflejar la
clasificacin de acuerdo a las reglas establecidas en 7.2.1. Los tems a considerarse
EDCOM
Captulo IV - 90
ESPOL
Proyecto de Graduacin
Otra informacin
El etiquetado y el manejo seguro de la informacin clasificada es un requerimiento
clave para los acuerdos de intercambio de informacin. Las etiquetas fsicas son una
forma comn de etiquetado. Sin embargo, algunos archivos de informacin, como
documentos en forma electrnica, no pueden ser etiquetados fsicamente y se
necesitan medios electrnicos para el etiquetado. Por ejemplo, la etiqueta de
notificacin puede aparecer en la pantalla. Cuando no es factible el etiquetado, se
pueden aplicar otros medios para designar la clasificacin de la informacin; por
ejemplo, mediante procedimientos o meta-data.
EDCOM
Captulo IV - 91
ESPOL
Proyecto de Graduacin
Incendios
[N.2]
Inundaciones
[E.5]
Difusin de software
daino
EDCOM
ESPOL
Proyecto de Graduacin
[E.7]
Escapes de informacin
[E.8]
Alteracin de la
informacin
[E.9]
Introduccin de
informacin incorrecta
[E.10]
Degradacin de la
informacin
[E.11]
Destruccin de
informacin
[E.12]
Divulgacin de
informacin
[E.13]
Vulnerabilidades de los
programas (software)
Errores de
Defectos en los procedimientos o controles de actualizacin
mantenimiento /
[E.14]
del cdigo que permiten que sigan utilizndose programas
actualizacin de
con defectos conocidos y reparados por el fabricante.
programas (software)
Errores de
Defectos en los procedimientos o controles de actualizacin
mantenimiento /
[E.15]
de los equipos que permiten que sigan utilizndose ms all
actualizacin de equipos
del tiempo nominal de uso.
(hardware)
Cada del sistema por
La carencia de recursos suficientes provoca la cada del
[E.16]
agotamiento de recursos sistema cuando la carga de trabajo es desmesurada.
ATAQUES INTENCIONADOS [A]
Fallos deliberados causados por las personas.
Prcticamente todos los activos dependen de su
Manipulacin de la
configuracin y sta de la diligencia del administrador:
[A.1]
configuracin
privilegios de acceso, flujos de actividades, registro de
actividad, encaminamiento, etc.
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines
Suplantacin de la
[A.2]
propios. Esta amenaza puede ser perpetrada por personal
identidad del usuario
interno, por personas ajenas a la Organizacin o por personal
contratado temporalmente.
Cada usuario disfruta de un nivel de privilegios para un
Abuso de privilegios de determinado propsito; cuando un usuario abusa de su nivel
[A.3]
acceso
de privilegios para realizar tareas que no son de su
competencia, hay problemas.
Utilizacin de los recursos del sistema para fines no previstos,
tpicamente de inters personal: juegos, consultas personales
[A.4]
Uso no previsto
en Internet, bases de datos personales, programas
personales, almacenamiento de datos personales, etc.
EDCOM
Captulo IV - 93
ESPOL
Proyecto de Graduacin
[A.5]
Difusin de software
daino
[A.7]
Acceso no autorizado
[A.10]
Modificacin de la
informacin
[A.11]
Introduccin de falsa
informacin
[A.12]
Corrupcin de la
informacin
[A.13]
Destruccin la
informacin
[A.14]
Divulgacin de
informacin
[A.15]
Manipulacin de
programas
[A.16]
Denegacin de servicio
[A.17]
Robo
[A.18]
Ataque destructivo
[A.19]
Ocupacin enemiga
EDCOM
Captulo IV - 94
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 95
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 96
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 97
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 98
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 99
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 100
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 101
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 102
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 103
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 104
ESPOL
Proyecto de Graduacin
EQUIPOS MVILES
EDCOM
Captulo IV - 105
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 106
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 107
ESPOL
Proyecto de Graduacin
Figura - 5 La empresa
EDCOM
Captulo IV - 108
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 109
ESPOL
Proyecto de Graduacin
Figura - 14 Recepcin 1
Figura - 18 Impresin
Figura - 15 Recepcin 2
EDCOM
Figura - 19 Sellado
Captulo IV - 110
ESPOL
Proyecto de Graduacin
EDCOM
Captulo IV - 111
ESPOL