(PD) Publicaciones - Octave S

www.piramidedigital.
com
www.elmayorportaldegerencia.com
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA PIRMIDE DIGITAL

CIA. LTDA
RESUMEN EJECUTIVO
Esta Tesis tiene como Objetivo General aplicar la norma Octave-S en la empresa Pirmide
Digital para realizar una evaluacin del manejo de riesgos en seguridad informtica.
El Captulo Uno sirve como marco terico en donde se menciona y explican conceptos
generales sobre anlisis de riesgos, anlisis de seguridades y cmo el enfoque OCTAVE
utiliza una valoracin de evaluacin de riesgos basada en los activos a ms de un cuadro
comparativo entre OCTAVE-S, ISO 1779 y COBIT 4.1 y se justifica con esta tabla por qu
se seleccion a OCTAVE-S para realizar el anlisis de riesgos en la empresa.
En el Captulo Dos se justifica el uso de COBIT 4.1 para evaluar la situacin actual de la
empresa en base al cuadro comparativo presentado en el Captulo Uno, se describe la
caracterizacin de la empresa y a travs de matrices de madurez se evalan los cuatro
dominios que propone COBIT 4.1: planeacin y organizacin, adquisicin e implementacin,
entrega y soporte y monitoreo y evaluacin; para esto se escogieron once procesos:
PO1: Definir el plan estratgico de TI
PO3: Determinar la direccin tecnolgica
PO4: Definir procesos, organizacin y relaciones de TI
PO9: Evaluar y administrar riesgos de TI
AI5: Instalar y acreditar sistemas
AI6: Administrar cambios
DS1: Definir y administrar niveles de servicio
DS5: Garantizar la seguridad de los sistemas
DS10: Administrar los datos
ME1: Monitorear el desempeo de TI
ME2: Monitorear y evaluar el control interno
En el Captulo Tres se aplica la norma OCTAVE-S antes de iniciar la evaluacin, se

describen los roles, responsabilidades y habilidades del equipo de trabajo, se indica el perfil
de los altos directivos, directivos de reas operativas y del personal en general para que se
pueda seleccionar al equipo de trabajo que colaborar en la evaluacin.
Oficina
Matriz:
Av. 12 de Octubre y Cordero.

Ed World Trade Center, Torre B, Oficina 702
Tel. +(593)2 255 66 22, 255 66 23
Fax +(593)2 255 98 88 Cel (593)991 699699
Quito Ecuador
Skype:PiramideDigital
Centro de
Capacitacin
Gerencial:
Juan Pascoe y Myriam de Sevilla. Campos Verdes.

Cuendina. Pichincha, Ecuador.
Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 2875771 Cel (593)99 9922000
Sangolqu Ecuador
Skype:pdccgec
www.piramidedigital.com
Una vez que se seleccion al equipo de trabajo, se inici la evaluacin utilizando la

metodologa que propone OCTAVE-S la cual se divide en tres fases; en la Fase Uno se
construye un perfil de amenaza basado en los activos de la empresa, esta fase cuenta con los
siguientes procesos: identificar la informacin organizacional y crear perfiles de amenazas,
para los que se desarrollan las siguientes actividades: establecer el impacto de los criterios de
la evaluacin, identificar activos organizaciones, evaluar practicas organizacionales,
seleccionar activos crticos, identificar requerimientos de seguridad e identificar amenazas a
los activos crticos.
La Fase Dos sirve para identificar vulnerabilidades de la infraestructura y cuenta con un solo
proceso en el que se examina la infraestructura computacional en relacin a los activos
crticos para lo que se definen las siguientes actividades: examinar rutas de acceso y analizar
los procesos relacionados con tecnologa.
Finalmente, en la Fase Tres se desarrollan planes y estrategias de seguridad a travs de los
siguientes procesos: identificar y analizar los riesgos y desarrollar estrategias y planes de
mitigacin para lo que se cuenta con las siguientes actividades: evaluar el impacto de las
amenazas, establecer criterios basados en la frecuencia, evaluar probabilidades de amenaza,
describir la estrategia de proteccin actual, desarrollar un plan de mitigacin, identificar
cambios a la estrategia de proteccin e identificar siguientes pasos.
En el Captulo Cuatro, se presenta un informe preliminar y un informe ejecutivo dirigidos y
validados por el Gerente General de la empresa Pirmide Digital Ca. Ltda.
Finalmente en el Captulo Cinco se presentan las conclusiones y recomendaciones a las que
se han llegado una vez concluido el proyecto de titulacin realizado.
Oficina
Matriz:
Av. 12 de Octubre y Cordero.

Ed World Trade Center, Torre B, Oficina 702
Tel. +(593)2 255 66 22, 255 66 23
Fax +(593)2 255 98 88 Cel (593)991 699699
Quito Ecuador
Skype:PiramideDigital
Centro de
Capacitacin
Gerencial:
Juan Pascoe y Myriam de Sevilla. Campos Verdes.

Cuendina. Pichincha, Ecuador.
Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 2875771 Cel (593)99 9922000
Sangolqu Ecuador
Skype:pdccgec
El mayor portal de Gerencia en espaol
CAPITULO UNO
1.1 Anlisis de Riesgos
Los diferentes casos relacionados con la necesidad de mejorar la seguridad de la informacin de las
empresas aumentan diariamente; las amenazas siempre han existido, la nica diferencia es que
actualmente, estas amenazas son mucho ms difciles de detectar y mucho, ms rpidas. Por estas
razones, las empresas deben estar siempre en alerta y conocer qu sistemas de seguridad puede
implementar, realizando previamente un anlisis de riesgos que permita evitar o minimizar las
consecuencias no deseadas y no esperadas. Es importante tener en cuenta que previamente a
implementar un sistema de seguridad, se debe conocer de forma detallada el entorno de los procesos
de negocio de la organizacin, lo que permitir priorizar las acciones de seguridad que se deben
aplicar a los procesos clave del negocio, los ms crticos y los que estn vinculados a cumplir los
objetivos de la organizacin.
El anlisis permite rastrear las distintas amenazas que pueden afectar a activos vulnerables y permite
que se generen recomendaciones las que hacen ms sencilla la correccin de los activos y qu se
debe hacer para protegerlos, este anlisis tiene como fin detectar los riesgos de los cuales los activos
pueden ser vctimas y que probabilidad de ocurrencia existe. Toda amenaza se puede convertir en
realidad, es por ello que el momento que se la detecte debe ser eliminada al mximo para que el
ambiente que se busaca proteger se encuentre libre de riesgos de incidentes de seguridad.
El anlisis de riesgos, se define como:
Una actividad centrada en la identificacin de fallas de seguridad que evidencien vulnerabilidades que pueden
ser explotadas por amenazas, provocando impactos en los negocios de la organizacin: es una actividad de
anlisis que pretende, a travs del rastreo, identificar los riesgos a los cuales los activos se encuentran
expuestos. 1
Adems, es una actividad que busca encontrar la consolidacin de las vulnerabilidades que permitan
identificar los pasos que se deben seguir para su correccin, identificar las amenazas que pueden
explotar las vulnerabilidades para corregirlas o eliminarlas, identificar los impactos potenciales que
pudieran tener los incidentes, aprovechar las vulnerabilidades encontradas y determinar las
recomendaciones para que las amenazas sean corregidas o reducidas.
El anlisis de riesgos como el primer elemento de la accin de seguridad, es un factor determinante
para los distintos procesos crticos en los que se analizan todas las amenazas de las que pueden ser
vctimas. De esta manera, son considerados y analizados todos los activos de la organizacin, para
que estn libres de vulnerabilidades, con el propsito de reducir los riesgos.
Un anlisis de riesgos tradicional se construye por medio de un conjunto de actividades
preestablecidas que tiene como objetivo: identificar el proceso a considerar, saber cules son sus
elementos o partes constituyente y cules son los equipos necesarios para efectuarlo. 2
El primer paso para realizar un anlisis de riesgos es identificar la relevancia de cada uno de los
procesos de la empresa, para priorizar las acciones de seguridad e iniciar el trabajo de
implementacin de seguridad en las reas estratgicas que puedan generar un mayor impacto en la
organizacin, si se llegara a presentar un incidente.
1
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
2
Oficinas Corporativas
Av. 12 de Octubre y Cordero. Ed.World Trade Center, Torre B, Oficina 702
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Centro de Capacitacin Gerencial

Juan Pascoe No.36 y Myriam de Sevilla. Campos Verdes.
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cuendina, Pichincha. Ecuador.
El segundo paso, es determinar la relevancia de los activos determinantes para el proceso del
negocio, lo cual marca un rumbo definitivo de las acciones de seguridad en la empresa, se debe
asegurar que los activos cumplan con su propsito, en cuanto a la seguridad de la informacin y
garantizar su confidencialidad, integridad y disponibilidad.
El anlisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar
normas de seguridad para que puedan cumplir los siguientes propsitos:
Identificar los puntos dbiles, para que sean corregidos y as disminuir las vulnerabilidades presentes en
los activos de los procesos de negocios.
Conocer los elementos constituyentes de la infraestructura de comunicacin, procesamiento y

almacenamiento de la informacin, para dimensionar dnde sern hechos los anlisis y cules elementos
sern considerados.
Conocer el contenido de la informacin manipulada por los activos, con base en los principios de la
confidencialidad, integridad y disponibilidad.
Dirigir acciones para incrementar los factores tecnolgicos y humanos en las reas crticas y
desprotegidas.
Permitir una gestin peridica de seguridad, con el objetivo de identificar nuevas amenazas y
vulnerabilidades, adems de la verificacin de la eficacia de las recomendaciones provistas 3
El enfoque Octave define al anlisis de riesgos como:

Un anlisis efectivo que considera tanto los aspectos organizativos y tecnolgicos, examinando cmo la gente
usa la infraestructura informtica de su organizacin en una base diaria. La evaluacin es de vital importancia
para cualquier iniciativa de mejora de la seguridad, ya que genera una vista de toda la organizacin de los
riesgos de seguridad de la informacin, proporcionando una base para la mejora. 4
Hay muchas normas, prcticas y mtodos disponibles para hacer frente a los riesgos de seguridad de
la informacin. Seleccionar la opcin correcta de una organizacin, depende de leyes y reglamentos,
las metas, los objetivos organizacionales, las prcticas de gestin y las polticas de la organizacin
que definen los parmetros, dentro de los cuales, el riesgo de la seguridad del proceso de gestin
debe respetar.
Hay muchas metodologas que se ocupan de las partes individuales de las necesidades de una
organizacin de gestin de riesgos. Las organizaciones pueden mirar lo que otros dentro de su
dominio han utilizado como opciones viables, centrndose en las leyes y reglamentos. Las
organizaciones pueden tener el mandato de aplicar las normas especficas para lograr el
cumplimiento normativo. Adems, el tamao de la organizacin y los recursos financieros ayudarn
a determinar las opciones apropiadas.
Por ejemplo, la adopcin de una norma general de diligencia debida, como la Organizacin
Internacional de Normalizacin (ISO) 17799, puede ser prohibitivamente costoso y no garantiza que
4
Alberts, Christopher. Introduction to the Octave approach. Internet. www.itgovernanceusa.com/files/ Octave.pdf
Acceso: (10 de enero de 2013)
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
los problemas de seguridad de una organizacin especfica sean abordados5. Cada organizacin
debe entender el riesgo y el plan de proteccin adecuado.
Un riesgo comprende un evento, la incertidumbre y una consecuencia. El evento bsico en el que
estamos interesados es una amenaza. La incertidumbre se manifiesta en gran parte de la informacin
que se ha recopilado durante la evaluacin.
La incertidumbre se refiere a si existe una amenaza a desarrollar, as como si la organizacin est
suficientemente protegida contra el factor amenaza, en muchas metodologas de riesgo, la
incertidumbre se representa con probabilidad de ocurrencia.
Para hacer frente a la incertidumbre inherente a los riesgos, se propone una tcnica de anlisis sobre
la base de la planificacin de escenarios.
Por ltimo, la consecuencia que en definitiva importa en el riesgo de seguridad de la informacin, es
el impacto resultante en la organizacin debido a una amenaza. El impacto describe cmo la
organizacin podra verse afectada segn los resultados de las siguientes amenazas:
Revelacin de un activo crtico
Modificacin de un activo crtico
Prdida / destruccin de un activo crtico
Interrupcin de un activo crtico 6
Los resultados mencionados anteriormente estn directamente relacionados con los activos y
describen el efecto de la amenaza sobre un activo.
El enfoque OCTAVE utiliza una valoracin de evaluacin de riesgos basada en los activos. El riesgo
de seguridad debe ser considerado cuidadosamente sobre la base de las vulnerabilidades
organizacionales y tecnolgicas que ponen en peligro a un grupo de activos. Al tener en cuenta ms
que slo las vulnerabilidades tecnolgicas que un conjunto de herramientas de hardware puede
identificar una organizacin e infraestructura de software, el enfoque OCTAVE aborda las siguientes
preguntas:
Qu activos requieren proteccin?
Qu nivel de proteccin se necesita?
Cmo podra estar en peligro un bien?
Cul es el impacto si la proteccin falla?7
Un enfoque completo de evaluacin del riesgo cuenta con las siguientes caractersticas:
Incorpora activos, amenazas y vulnerabilidades
Permite a las personas encargadas de tomar decisiones establecer prioridades sobre la base de lo que es
importante para la organizacin
Incorpora las cuestiones de organizacin relacionadas con cmo la gente usa la infraestructura de
computacin para satisfacer los objetivos de negocio de la organizacin?
Incorpora aspectos tecnolgicos relacionados con la configuracin de la infraestructura informtica
Woody, Carol, PhD. Applying Octave: Practitioners report. CMU/SEI-2006-TN-010,(Mayo 2006) Pittsburg PA, 2006
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 123-127
7
Dorofee, Audrey. Asset-Based information security risk assessments, Cutter Consortium, Enterprise Risk Management
and Governance Executive Report. Vol. 2, No. 6. (Marzo 2009 )Arlington MA, 2009
6
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se debe utilizar un mtodo flexible que puede ser usado especficamente en funcin de cada
organizacin8
Mediante el uso de un enfoque equilibrado que combina consideraciones tecnolgicas con otras
organizaciones, a travs de un segmento razonable de la organizacin, la cual debe ser capaz de
evitar sobreproteger algunas reas mientras que baje el nivel de proteccin de los dems.
La figura 1 proporciona una representacin humorstica pero frecuentemente cierta de la gestin de
seguridad de la informacin en una organizacin que slo considera una parte de los riesgos de
seguridad que pueden afectar a su organizacin.
Figura 1: Administracin de riesgos de seguridad no balanceado
Realizado por: Bieber, David. The critical success factor method. Internet.
www.cert.org/archive/pdf/04tr010.pdf Acceso (24 de enero de 2013)
Actualmente, los riesgos informticos deben ser considerados dentro del contexto del negocio y dado
que cada organizacin tiene una misin, se debe considerar en ella, la administracin del riesgo
informtico, pues juega un rol crtico y fundamental que contribuye y sustenta el cumplimiento de
las metas institucionales.
1.2 Anlisis de Seguridades

Desde el surgimiento de la raza humana en el planeta, la informacin estuvo presente bajo diversas
formas y tcnicas. El hombre buscaba representar sus hbitos, costumbres e intenciones, mediante
8
Professional, 2002, 118
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
diversos medios que pudiesen ser utilizados por l y por otras personas, adems de la posibilidad de
ser llevados de un lugar a otro. La informacin valiosa era registrada en objetos preciosos y
sofisticados, que se almacenaban con mucho cuidado en locales de difcil acceso, a cuya forma y
contenido solo tenan acceso quienes estuviesen autorizados o listos para interpretarla.
Actualmente, la informacin es el objeto de mayor valor para las empresas, con el avance y progreso
de la informtica y las redes de comunicacin se presenta un nuevo escenario, donde los objetos del
mundo real se representan por bits y bytes, que ocupan lugar en otra dimensin y poseen formas
diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.9
Por esto y otros motivos, la seguridad de la informacin es un asunto tan importante para todos, pues
afecta directamente a los negocios de una empresa. La seguridad de la informacin tiene como
propsito proteger la informacin registrada, independientemente del lugar en que se localice.
Seguridad de la informacin es mucho ms que la instalacin de un firewall, la aplicacin de parches para
reparar las vulnerabilidades recientemente descubiertas en el software del sistema o cerrar con seguro la caja
con sus cintas de copia de seguridad. Seguridad de la informacin es determinar lo que hay que proteger y por
qu, lo que necesita ser protegido de, y cmo proceder durante el tiempo que exista una amenaza. 10
El propsito de un anlisis de seguridad es el proteger los elementos que forman parte de la

comunicacin, por lo que es necesario identificar los elementos un anlisis de seguridad debe
proteger:
La informacin
Los equipos que la soportan
Las personas que la utilizan11
El anlisis de seguridad tiene como objetivo: proteger a los activos de una empresa con base en la
preservacin de tres principios bsicos:
Integridad: garantiza que la informacin no haya sido alterada en su contenido y que por lo tanto,
sea ntegra. Una informacin es ntegra, cuando no ha sido alterada de forma indebida o no
autorizada. Cuando ocurre una alteracin no autorizada de la informacin en un documento, quiere
decir que el documento ha perdido su integridad, la integridad de la informacin es fundamental para
el xito de la comunicacin.
Buscar la integridad es asegurarse que slo las personas autorizadas puedan hacer alteraciones en la
forma y contenido de una informacin, as como en el ambiente en el cual, es almacenada y por el
cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario
que todos los elementos que componen la base de gestin de la informacin se mantengan en sus
condiciones originales definidas por sus responsables y propietarios. En resumen, garantizar la
integridad es uno de los principales objetivos para la seguridad de la informacin, de un individuo o
de una empresa.
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.

www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/
Acceso:
(20 de enero de 2013)
10
Professional, 2002, 5
11
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.
www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/
Acceso:
(20 de enero de 2013)
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Confidencialidad: el principio de la confidencialidad de la informacin tiene como propsito

asegurar que exclusivamente la persona correcta, acceda a la informacin que queremos distribuir.
La informacin que se intercambia entre individuos y empresas, no siempre deber ser conocida por
todo el mundo. Mucha de la informacin generada por las personas se destina a un grupo especfico
de individuos y muchas veces, a una nica persona. Eso significa que estos datos debern ser
conocidos solo por un grupo controlado de personas, definido por el responsable de la informacin.
La prdida de confidencialidad, implica prdida de secreto, si una informacin es confidencial, es
secreta, se deber guardar con seguridad y no deber ser divulgada para personas no autorizadas.
Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las
tareas ms difciles de implementar, pues involucra a todos los elementos que forman parte de la
comunicacin de la informacin, desde su emisor, el camino que ella recorre, hasta su receptor. Se
deber considerar a la confidencialidad, con base en el valor que la informacin tiene para la
empresa o la persona y los impactos que podra causar su divulgacin indebida. Siendo as, debe ser
accedida, leda y alterada solo por aquellos individuos que poseen permisos para ejecutar tales
acciones. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues
no todas las informaciones sensibles de la empresa son confidenciales. Pero para poder garantizar lo
anterior, solo la confidencialidad de las informaciones no es suficiente, es importante que adems de
ser confidenciales, las informaciones tambin deben ser ntegras. Por lo tanto, se debe mantener la
integridad de una informacin, segn el principio bsico de la seguridad de la informacin.
Disponibilidad de la informacin: una vez que est asegurado que la informacin correcta llegue a
los destinatarios o usuarios correctos, se debe garantizar que llegue en el momento oportuno. Para
que una informacin se pueda utilizar, deber estar disponible, esto se refiere a la disponibilidad de
la informacin y de toda la estructura fsica y tecnolgica que permite el acceso, trnsito y
almacenamiento. La disponibilidad de la informacin permite que: se utilice cuando sea necesario,
que est al alcance de sus usuarios y destinatarios y que se pueda acceder en el momento en que
necesitan utilizarla.
Este principio est asociado a la adecuada estructuracin de un ambiente tecnolgico y humano que
permita la continuidad de los negocios de la empresa o de las personas, sin impactos negativos para
la utilizacin de las informaciones. No es suficiente que est disponible: la informacin deber estar
accesible, en forma segura para que se pueda usar en el momento en que se solicita y que se
garantice su integridad y confidencialidad.
Para que se pueda garantizar la disponibilidad de la informacin, es necesario conocer cules son sus
usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las
formas de colocacin en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea
necesario. La disponibilidad de la informacin se deber considerar con base en el valor que tiene la
informacin y en el impacto resultante de su falta de disponibilidad.
Mucha gente parece estar buscando una solucin mgica cuando se trata de seguridad de la
informacin. Muchas veces se espera que la compra de una herramienta o pieza de tecnologa pueda
resolver los problemas de la empresa. Pocas organizaciones se detienen a evaluar lo que realmente
estn tratando de proteger (y por qu) desde una perspectiva organizacional, antes de seleccionar
soluciones.
Los problemas de seguridad tienden a ser complejos y rara vez se resuelven simplemente mediante
la aplicacin de una pieza de tecnologa.
La mayora de los problemas de seguridad estn firmemente arraigados en uno o ms aspectos organizativos y
de negocio. Antes de implementar soluciones de seguridad, se debe considerar la caracterizacin de la
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
verdadera naturaleza de los problemas de fondo mediante la evaluacin de sus necesidades de seguridad y
riesgos en el contexto de su negocio.12
Teniendo en cuenta las variedades y las limitaciones de los mtodos actuales de evaluacin de la
seguridad, es fcil confundirse cuando se trata de seleccionar un mtodo apropiado para la
evaluacin de riesgos de seguridad de la informacin.
La mayora de los mtodos actuales son bottom-up - que empiezan con la infraestructura
informtica y centrarse en las vulnerabilidades tecnolgicas, sin tener en cuenta los riesgos para la
misin de la organizacin y los objetivos de negocio.13
Una mejor alternativa es comenzar con la propia organizacin y determinar lo que hay que proteger,
por lo que est en riesgo y desarrollar soluciones que garanticen su disponibilidad.
Una evaluacin cuidadosa de las necesidades de seguridad y riesgos en este contexto ms amplio,
debe preceder a cualquier implementacin de seguridad para asegurarse de que todos los problemas
pertinentes, subyacentes son primero descubiertos.
El enfoque OCTAVE para las evaluaciones de seguridad auto-dirigidos fue desarrollado en el Centro
de Coordinacin CERT. Este enfoque est diseado para:
Identificar y clasificar los activos de informacin clave
Pese a las amenazas de esos activos, analizar las vulnerabilidades que implican la tecnologa y las
prcticas14
OCTAVE permite a cualquier organizacin desarrollar las prioridades de seguridad basada en las
preocupaciones de la organizacin de negocios particulares. Este enfoque proporciona un marco
coherente para alinear las acciones de seguridad con los objetivos generales.
El primer paso en el ciclo de seguridad de la informacin, es identificar las distintas amenazas de las
que pueden ser vctimas las empresas, poder identificar estas amenazas, permite que se conozca los
puntos dbiles de los activos de la organizacin.
Esta exposicin lleva a la prdida de uno o ms principios bsicos de la seguridad de la informacin,
causando impactos en el negocio de la empresa, aumentando aun ms los riesgos a los que est expuesta la
informacin. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos dbiles. 15
Figura 2: Ciclo de seguridad de la informacin
12
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25
de 2013)
13
de 2013)
14
de 2013)
15
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de enero
de enero
de enero
Internet.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Realizado por: Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
Internet. www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Los distintos problemas en la seguridad de la empresa aumentan en la medida que las amenazas
pueden explotar las vulnerabilidades y por tanto, causar dao en los activos. Estos daos pueden
causar que la confidencialidad, integridad o disponibilidad de la informacin se pierda, causando
impactos en el negocio de la empresa.
Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de
mucho menor impacto para los activos y la empresa.
El propsito de un anlisis de seguridad es:
Proteger a los activos contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro su integridad.
Garantizar la disponibilidad de la informacin. 16
1.3 Justificacin del uso de la Norma

A continuacin se presenta un cuadro comparativo entre Octave-S, ISO 17799 y Cobit versin 4.1:
Tabla 1: Anlisis comparativo entre la norma Octave-S, norma ISO 17799 y Cobit 4.1
Octave S
Operationally Critical
Threats, Assets and
Vulnerability Evaluation 17
Es una aproximacin al
manejo de riesgos en
seguridad informtica.
Es una suite de herramientas,
ISO 17799
Sistema de Gestin de
Seguridad de la
Informacin18
Es una norma internacional
que ofrece recomendaciones
para realizar la gestin de la
seguridad de la informacin
COBIT
Control Objectives for
Information and Related
Technologies 19
Es un conjunto de mejores
prcticas para el manejo de
informacin, mediante la
investigacin, el desarrollo y
16
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.

www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
17
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 5-28
18
Guayaquil, Nidia. Estndar ISO 1779 y Norma ISO 27001,2, (21 de septiembre de 2007), Quito, 2007: 3-31
19
Mc Leod, Joel. Octave Method. Internet. www.cert.org/octave Acceso: 17 de diciembre de 2013
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
tcnicas y mtodos de
evaluacin que sirven de gua
en la planificacin estratgica
basada en el riesgo y la
seguridad de la informacin.
Los aspectos organizativos,
tecnolgicos y el anlisis de
riesgos de seguridad de
informacin se
complementan, lo que permite
al personal de la organizacin
tener una imagen completa de
las necesidades de seguridad
de la informacin en la
organizacin.
Enfocado para pequeas y
medianas empresas.
dirigida a los responsables de

iniciar, implantar o mantener
la seguridad de una
organizacin.
Define la informacin como
un activo que posee valor para
la organizacin y requiere una
proteccin adecuada.
Es un acercamiento
sistemtico para manejar la
informacin y la propiedad
confidencial de una compaa
para mantenerlas seguras.
Abarca personas, procesos de
negocio e instalaciones de
procesamiento de
informacin.
promover y hacer pblico un

marco de control de gobierno de
TI autorizado, actualizado,
aceptado internacionalmente
para la adopcin por parte de las
empresas y el uso diario por
parte de los Gerentes de negocio
y profesionales de TI, permite el
desarrollo de polticas claras y
de buenas prcticas para el
control de TI por parte de la
empresa. Las buenas prcticas
centradas en el marco de
referencia COBIT, permiten que
los negocios se alineen con la
tecnologa de la informacin
para alcanzar los mejores
resultados.
Caractersticas:
Caractersticas:
Caractersticas:
Es un anlisis o valoracin Trata de definir el manejo Orientado
al
negocio.
de riesgos que permite
de riesgo de una empresa.
COBIT est diseado para
Especifica los requisitos
ser utilizado no solo por
necesarios para establecer,
proveedores
los
implantar,
usuarios y auditores de TI,
de
mejorar un Sistema de
sino
seguridad
Gestin de la Seguridad
principalmente, como gua
informtica
de la Informacin (SGSI).
integral para la gerencia y
la
Basado en ciclo Deming
para
de
(Planear, Hacer, Revisar,
procesos
Actuar).
marco de trabajo COBIT se
estar en capacidad de:

o Identificar, evaluar
y
manejar
riesgos
o Establecer
probabilidad
que
un
recurso
informtico. quede
La
expuesto
mantener
seguridad
de
la
basa
de
servicios,
tambin
los dueos de
en
de
negocio.
el
los
El
siguiente
un
informacin
evento
el
medida para incrementar
la
impacto
en
la
el xito de los negocios.
empresa necesita invertir en,
organizacin.
El
es
implementar
una
principio: Para proporcionar

informacin
que
la
un
y administrar y controlar los
o Determinar
las
Sistema de Gestin de la
recursos de TI usando un
medidas
de
Seguridad
conjunto
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de
la
estructurado
de

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
seguridad
que
minimizan
ayudar
neutralizan
el
organizacin
una
servicios que entregan la
que
cumpla
informacin
requerida. Para satisfacer los
razonable.
incentivos
de
objetivos del negocio, la
mercadotecnia,
los
informacin
las
adaptarse a ciertos criterios
de
de informacin del negocio:
y
en
seguridad.
financieros
oportunidades
necesita
crecimiento.
efectividad,
Diferente de los anlisis
Protege
adecuadamente
confidencialidad, integridad,
tradicionales enfocados a
los activos para asegurar
disponibilidad, cumplimiento
tecnologa.
la
y confiabilidad.
Auto dirigido: ya que
negocio.
continuidad
del
eficiencia,
Orientado
procesos.
define
de
Minimiza los daos a la
COBIT
la
organizacin.
actividades de TI en un
organizacin en todas las
Maximiza el retorno de las
modelo genrico de treinta y
unidades de negocio y de
inversiones
las
cuatro procesos organizado
TI trabajan juntos para
oportunidades de negocio.
en cuatro dominios: Planear
Proporciona
una
necesidades de seguridad
comn para
desarrollar
de la organizacin.
normas
pequeos
equipos
personal
de
hacer
frente
las
base
seguridad
de
Organizar,
las
Adquirir
Implementar, Entregar y Dar

Basado en controles. COBIT
las
define objetivos de control
mtodo se puede adaptar
organizaciones y ser una
para los treinta y cuatro
al entorno de riesgos que
prctica
procesos, as como para el
es
gestin de la seguridad.
Flexible:
porque
nico
para
cada
su
dentro
de
eficaz
de
la
proceso
de seguridad y capacidad
general
los
controles de aplicacin.
organizacin, los objetivos
empresarial
los
planeadas
procesos que provean los
favorablemente
preventivas
puede
riesgo a un costo
o Tomar decisiones
Informacin,
Impulsado por la medicin.
de recuperacin y el nivel
Una necesidad bsica de toda
de habilidad.
empresa,
Evolucionado: OCTAVE
estado
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
es
de
entender
sus
el
propios

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
traslad a la organizacin
sistemas de TI y decidir qu
hacia
nivel de administracin y
una
vista
funcionamiento
control debe proporcionar.
operacional basada en los
Para poder tener una visin
riesgos y la seguridad y se
objetiva
enfoca en la tecnologa en
desempeo de una empresa
un contexto del negocio
COBIT
del
nivel
ha
de
desarrollado
modelos de madurez, metas

y mediciones de desempeo
para los procesos de TI y
metas de actividades.
Equipo:
Identificar
Equipo:
recursos Proteger
Equipo:
adecuadamente Mantener
informacin
de
importantes.
los activos para asegurar
alta calidad para apoyar las
Enfocar las actividades de
la
decisiones de negocios.
anlisis de riesgos.
negocio.
Relacionar
amenazas
vulnerabilidades.
Evaluar riesgos.
Crear una estrategia de
proteccin.
continuidad
del
que
organizacin.
nivel aceptable.
Maximizar el retorno de
Optimizar los servicios el
inversiones.
coste de las TI y tecnologa.

base
Proporcionar
una
comn para
desarrollar
o Anlisis
de
los
activos que son de

valor.
o Anlisis
Apoyar el cumplimiento de
las
leyes,
de
Seguridad de
Informacin.
enfoque
del
Gobierno de TI
de
Metas de negocio
la
Metas de TI
o Organizacin de la
Seguridad de la
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
reglamentos
acuerdos.
gestin de la seguridad:
o Poltica
cubrir son:
riesgos
relacionados a TI bajo un
Componentes:
Componentes:
el Basado en el modelo de la reas de
anlisis de riesgos debe
los
Minimizar los daos a la
normas de seguridad.
Componentes:
Los elementos
Mantener
Indicadores de rendimiento
Recursos de TI
Dominios COBIT

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
amenazas
cuya
ocurrencia
pueda
producir prdidas a
de
vulnerabilidades
seguridad de los
o Anlisis de todos
los riesgos y sus
las
operaciones de la
de
Implementar
o Entregar
Recursos
Dar
Soporte
o Monitorear y Evaluar
o Seguridad Fsica y
Ambiental.
de
Procesos COBIT
Objetivos de Control
las
Comunicaciones y
Operaciones.
o Control
de
Accesos.
las
Desarrollo
medidas
de
Mantenimiento de
seguridad
que
actuaran como un
escudo
o Adquisicin,
organizacin.
o Anlisis
de Informacin.
o Gestin
sistemas
en
o Adquirir
Humanos.
en los controles de
impactos
o Gestin de Activos
o Seguridad de los
la organizacin.
o Anlisis
o Planear y Organizar
Informacin.
de
Sistemas
de
Informacin.
o Gestin
de
proteccin total o
Incidentes en la
parcial contra cada
Seguridad de
riesgo.
Informacin.
Principios
Atributos
Continuidad
Salidas
Negocio.
o Gestin
la
de
del
o Cumplimiento.
Mtodo Octave S
Fase 1:
o Identificar
Aplicacin de la Norma:
Auditoria:
o Valoracin
informacin de la
nivel
organizacin.
adecuacin,
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Implantacin COBIT:
Establecer principios y
del
objetivos.
de
Identificar
reas
de
enfoque.
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
o Crear perfiles de
implantacin
amenazas.
gestin
seguridad
Fase 2:
o Examinar
Implantar de acuerdo a
en:
los procesos crticos para
lgica,
el negocio.
Elaborar herramientas de
fsica, organizativa
y legal.
infraestructura
tecnolgica y su
apoyo COBIT:
o Encuestas
Consultora:
o Conociendo
relacin con los

bienes crticos.
nivel
el
o Matrices
de
Madurez
o Val IT
cumplimiento
Fase 3:
o Identificar
actual,
se
o Herramientas
debe
determinar el nivel
analizar riesgos.
o Desarrollar
de
automticas
Planificar
mnimo aceptable
estrategias
de
y el nivel objetivo
mitigacin
de
en la organizacin.
planes
de
mejoras
de
control.
Conclusiones
Implantacin
Recomendaciones
proteccin.
Resultados:
Resultados:
Resultados:
Estrategia de proteccin Certificacin ISO 27001: Refleja un amplio rango de
(define el rumbo de la
requisitos necesarios para
organizacin).
establecer,
buenas y mejores prcticas.
implantar,
Certificaciones:
mitigacin
mantener y mejorar un
o CISA
(diseado para reducir el
Sistema de Gestin de la
o CISM.
riesgo).
Seguridad
de
la
o CGEIT
Lista de accin (acciones a
informacin
segn
el
o CRISC
corto plazo).
Ciclo Deming.
Plan
de
Despus de implementado:
Plan de accin
Monitoreo
Control
Proceso
de
mejora Proceso de mejora continua.
continua.
Plan de accin
Plan de accin
Monitoreo y Control
Monitoreo y Control
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Realizado por: Olga Pez
Del cuadro anterior se desprenden las siguientes conclusiones:

Cada mtodo de OCTAVE-S es nico, ya que se adapta al entorno de riesgos de la organizacin, sus
objetivos de seguridad, la capacidad de recuperacin y el nivel de habilidad del personal de la
empresa. OCTAVE se centra en las amenazas y riesgos de seguridad de informacin, pero mira ms
all del nivel del sistema ya que se enfoca en las personas y los procesos.
Utiliza un mtodo de taller auto-dirigido en el que un equipo formado por distintas personas que
trabajan en la empresa, jefes operativos de personal, de seguridad y se analiza una serie de
escenarios, cuestionarios y listas de verificacin. Los escenarios abarcan una amplia gama de
posibles incidentes de seguridad, lo que ayuda a prever y planear distintas acciones y medidas de
seguridad en caso de que se presente alguna amenaza.
Se escogi OCTAVE-S para implementarlo en la empresa Pirmide Digital Ca. Ltda., por cuanto
despus de una reunin explicativa y de coordinacin con el Gerente General de esta empresa, luego
de analizar las tres metodologas expuestas en la Tabla 1 de esta Tesis, se decidi que el mtodo que
propone OCTAVE-S, dadas sus caractersticas, componentes, equipo de trabajo y resultados es el
que mejor se adapta al tamao, necesidades, perspectivas y resultados que requiere esta empresa.
CAPITULO DOS
ANALISIS DE LA SITUACION ACTUAL DE LA EMPRESA
2.1
Justificacin del uso del modelo Cobit versin 4.1
En base a la Tabla 1 presentada en el Captulo Uno, se seleccion Cobit 4.1 como el modelo para
realizar el anlisis de la situacin actual de la empresa Pirmide Digital Ca. Ltda. en base al
framework de mejores prcticas de Cobit 4.1, dirigida a la gestin de tecnologa de la informacin de
la empresa.
En la actualidad, los gerentes de negocio y profesionales de TI estn interesados en aplicar un marco
de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado internacionalmente, es por
esto que el modelo que propone Cobit se puede orientar a todos los sectores de una organizacin y
sirve para auditar la gestin de control de los sistemas de informacin.
Los principales beneficios de implementar Cobit 4.1 son:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin a procesos.
Aceptacin general de terceros y reguladores.
Cumplimiento de los requerimientos COSO para el ambiente de control de TI.20
20
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.1.1 Marco de Trabajo Cobit 4.1

2.1.1.1 Misin de Cobit
Investigar, desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso diario por parte
de gerentes de negocio, profesionales de TI y profesionales de aseguramiento 21.
2.1.1.2 reas de enfoque del Gobierno de TI

Cada rea de enfoque que propone Cobit describe distintos temas que la direccin ejecutiva de la
empresa debe tomar en cuenta y prestar ms atencin, enfocndose en los requerimientos para lograr
una administracin y control adecuado de TI, las cinco reas de enfoque son:
Alineacin estratgica: se enfoca en garantizar la alineacin entre los planes de negocio y de TI: en
definir, mantener y validar la propuesta de valor de TI, y en alinear las operaciones de TI con las
operaciones de la empresa.
Entrega de valor: se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de entrega,
asegurando que TI genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos.
Administracin de recursos: se trata de la inversin ptima, asi como en la administracin adecuada de

los recursos crticos de TI (aplicaciones, informacin, infraestructura y personas).
Administracin de riesgos: requiere conciencia de los riesgos por parte de los altos ejecutivos de la
empresa, un claro entendimiento de los requerimientos de cumplimiento, trasparencia de los riesgos
significativos para la empresa y la inclusin de las responsabilidades de administracin de riesgo dentro
de la organizacin.
Medicin del desempeo: rastrea y monitorea la estrategia de implementacin, la terminacin del

proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio.
22
2.1.1.3 Marco general de trabajo Cobit 4.1

Se define un modelo que divide el rea de TI en treinta y cuatro procesos alineados con las reas de
planificar y organizar, adquirir e implementar, entrega y soporte y monitorear y evaluar, proveyendo
una visin de principio afn de TI.
Figura 3: Marco de trabajo general de Cobit 4.1
21
22
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 26
Cobit define las actividades de TI en un modelo de procesos que pertenecen a cuatro dominios:
Planear y Organizar (PO): este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Adquirir e Implementar (AI): para realizar la estrategia de TI, se necesita identificar soluciones de TI y
tambin implementarlas e integrarlas en el proceso de negocio.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Entrega y Soporte (DS): este dominio trata de la entrega en s de los servicios requeridos, lo cual incluye
la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administracin de los datos y de las instalaciones operativas.
Monitorear y Evaluar (ME): todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y de cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y el
gobierno de aprovisionamiento. 23
Los cuatro dominios propuestos por Cobit estn divididos en treinta y cuatro procesos y ms de
trescientos objetivos de control.
2.1.2 Interrelaciones de los componentes Cobit 4.1

Los recursos de TI estn gestionados por los procesos de TI para alcanzar las metas de TI que
responden y se alinean a los requerimientos del negocio.
Figura 4: Interrelaciones de los componentes Cobit 4.1
Realiz
ado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Los beneficios de implementar Cobit son:

23
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Mejor alineacin, con base en su enfoque de negocios
Una visin, entendible para la gerencia, de lo que hace TI
Propiedad y responsabilidades claras, con base en su orientacin a procesos
Aceptacin general de terceros y reguladores
Entendimiento compartido entre todos los Interesados, con base en un lenguaje comn
Cumplimiento de los requerimientos COSO para el ambiente de control de TI 24
24
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.1.3 Criterios de informacin de Cobit 4.1

Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de
control, los cuales son referidos en Cobit como requerimientos de informacin del negocio. Con base
a los requerimientos ms amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes
siete criterios de informacin:
Efectividad: tiene que ver con que la informacin sea relevante y pertinente a los procesos del negocio, y
se proporcione de una manera oportuna, correcta, consistente y utilizable.
Eficiencia: consiste en que la informacin sea generada con el ptimo (ms productivo y econmico) uso
de los recursos.
Confidencialidad: se refiere a la proteccin de informacin sensitiva contra revelacin no autorizada.
Integridad: est relacionada con la precisin y completitud de la informacin, as como con su validez de
acuerdo a los valores y expectativas del negocio.
Disponibilidad: se refiere a que la informacin est disponible cuando sea requerida por los procesos del
negocio en cualquier momento. Tambin concierne a la proteccin de los recursos y las capacidades
necesarias asociadas.
Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales
est sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, as como
polticas internas.
Confiabilidad: se refiere a proporcionar la informacin apropiada para que la gerencia administre la

entidad y ejerza sus responsabilidades fiduciarias y de gobierno. 25
25
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.1.4 Metas de negocio y de TI

La definicin de un conjunto de metas de negocios y TI sirven para contar con una base que ayude a
establecer requerimientos de negocios y desarrollar mtricas que permitan la medicin de estas
metas. Cada empresa usa TI para soportar iniciativas de negocios y estas pueden estar representadas
como metas de negocio para TI. Si TI va a entregar exitosamente servicios para soportar la estrategia
de la empresa, debera haber una propiedad y direccin claras de los requerimientos para el negocio
(el cliente) y un claro entendimiento de qu necesita ser entregado y como por parte de TI (el
proveedor).
2.1.5 Recursos de TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos
definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa
para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de
la informacin del negocio. Para responder a los requerimientos que el negocio tiene hacia TI, la
empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada. 26
Los recursos de TI identificados en COBIT 4.1 se definen:
Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que
procesan informacin.
Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de
informacin, en cualquier forma en que son utilizados por el negocio.
Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de

administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el
ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por
outsourcing o contratadas, de acuerdo a como se requieran.
2.2
27
Caracterizacin de la Empresa
2.2.1 Misin
Proveer al mercado latinoamericano, de las ms efectivas herramientas para optimizar la gestin
gerencial, mediante soluciones integrales de alta calidad, con tecnologa de punta y un equipo
profesional altamente capacitado.28
26
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,11
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,12
28
Entregado por la empresa Pirmide Digital Ca. Ltda.
27
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.2.2 Visin
Ser y ser considerados como la empresa lder en el mercado latinoamericano, en consultora y
capacitacin para la alta gerencia.29
2.2.3 Valores
Responsabilidad
Cultura de servicio
Compromiso
Constancia
Respeto a la dignidad humana
Trabajo en equipo
Comunicacin
tica empresarial
Confianza en la palabra30
2.2.4 Descripcin histrica

Pirmide Digital Ca. Ltda. empresa ecuatoriana fundada en el ao 2003, conformada por un equipo
de gente joven, dinmica y actualizada, enfocada en desarrollar las capacidades que exige cada
persona en cada organizacin.
Comprometidos con el desarrollo integral de sus clientes. Trabajando siempre con los ms altos
estndares de calidad y eficiencia y con el ms profundo respeto al ser humano; garantizando al
cliente confidencialidad total en cuanto a sus proyectos, realidades, situaciones y desempeo.
Pirmide Digital fue la primera empresa ecuatoriana especializada en ofrecer soluciones de
capacitacin y consultora, ajustadas a las necesidades de sus clientes.
Su experiencia y habilidades en las reas de desarrollo de estrategias, reestructuracin de procesos y
organizaciones, desarrollo de sistemas de servicios y promocin de habilidades gerenciales, los
colocan como los nicos en el mercado ecuatoriano con la capacidad de ofrecer soluciones y
resultados realmente alineados con las estrategias, planes y metas de su negocio, hablando el mismo
idioma que su equipo directivo y conociendo las implicaciones de negocio, envueltas en cada
decisin de desarrollo.
Para ello, cuentan con un equipo de profesionales altamente calificado, con experiencia prctica
nacional e internacional y excelente preparacin acadmica; formados en metodologas de
aprendizaje y cambio organizacional, quienes proveen la mezcla perfecta para garantizar la
transferencia de conocimientos y la aplicabilidad de las soluciones. De hecho, han tenido la
oportunidad de prestar sus servicios profesionales, de capacitacin y de consultora en ms de quince
pases alrededor del mundo.
29
30

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Otra de sus fortalezas, es la flexibilidad en sus proyectos y programas, ya que disean las soluciones
de manera particularizada, de acuerdo a las necesidades y circunstancias especficas de cada
empresa, de cada cliente.
Su metodologa de trabajo se basa en comprender que cada cliente es nico y especial. Las
soluciones enlatadas no son una opcin y sus historias de xito as lo demuestran.
Un principio fundamental que gua su trabajo, es transferir las habilidades, destrezas y
conocimientos a sus clientes de forma prctica y aplicable, logrando que sean capaces de continuar
su crecimiento de manera independiente.
2.2.5 Actividades principales

Todos los programas de capacitacin y de consultora que ofrece Pirmide Digital, se disean de
acuerdo al objetivo empresarial y de aprendizaje del cliente y considerando el perfil de las personas
que van a participar y las metas que se pretenden conseguir.
Para cumplir con sus objetivos, se ha diseado una plataforma de servicios que incluye :
Cursos gerenciales on-line: Pirmide Digital tiene implementado desde hace ms de un ao este
servicio, como una nueva opcin metodolgica de capacitacin, basada en el uso de tecnologa de
punta: Servicios de Capacitacin Gerencial On-Line.
La idea que sustenta este servicio es que los objetos de aprendizaje tienen sus orgenes en la
programacin, diseo, anlisis y teoras orientadas a objetos.
Los Cursos de Entrenamiento y Capacitacin Gerencial On-Line, que actualmente ofrece Pirmide
Digital, son los siguientes:
Liderazgo Ejecutivo para la Alta Gerencia
Convergencia Tecnolgica
Estrategia
Gerencia
Gerencia de IT
Plan de Mercadeo
Sistemas de Informacin Gerencial
Tecnologas de Informacin y Comunicacin
Otros temas gerenciales
Cursos gerenciales presenciales: estn focalizados en atender y solucionar aspectos puntuales o

reas especficas de crecimiento o mejora, pues entendemos al negocio como un conjunto de
variables sobre las que se hace necesario tomar control y optar por las decisiones ms oportunas.
Dentro del esquema de capacitacin presencial, nuestro paquete de servicios, incluye
aproximadamente cien Cursos Gerenciales, divididos en seis grandes grupos:
Simuladores de Negocios:
Modelo de Simulacin de Negocios - General
Modelo de Simulacin de Negocios - Elctricas
Modelo de Simulacin de Negocios - Petrleo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Modelo de Simulacin de Negocios Telecomunicaciones
Modelo de Simulacin de Negocios - A la medida de sus necesidades
CRM Customer Relationship Management:

Servicio al Cliente de Clase Mundial
Estrategias Exitosas de Implementacin de CRM
Gerencia Operativa de Centros de Contacto
Estrategias Efectivas de Cierres de Ventas y Manejo de Objeciones
Cursos Gerenciales de CRM a la Medida de sus Necesidades
Inters Gerencial:
Coaching para Lderes
Gerencia del Desempeo y Balanced Scorecard
Emprendedor Electrnico
Gerencia con Programacin Neurolingustica (PNL)
Cursos de Inters Gerencial a la Medida de sus Necesidades
Desarrollo de Ejecutivos:
Diplomado en Gerencia de Centros de Contacto
Administracin Efectiva del Tiempo
Competencias del Capital Humano
Formando Lderes Exitosos en su Empresa
Cursos Gerenciales de Desarrollo de Ejecutivos a la Medida de sus Necesidades
Telecomunicaciones, Tecnologa y Utilities:

Estrategias Exitosas de Ventas, Retencin y Fidelizacin para empresas de Telecomunicaciones
Modelo de Simulacin de Negocios aplicado a las Telecomunicaciones
Modelo de Simulacin de Negocios aplicado a Empresas Elctricas
Diplomado en Gerencia de Telecomunicaciones
Cmo Implementar ERPs Eficientemente
Gerencia Operativa en Empresas de Telecomunicaciones
Tecnologa para Fbicos Tecnolgicos
Indicadores Claves de Operacin y Rendimiento para Empresas de Telecomunicaciones
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Gerencia de Marketing para Empresas de Telecomunicaciones
Gerencia Efectiva de Proyectos
Desarrollo de Planes de Negocios Exitosos para Empresas de Telecomunicaciones
Gerencia de Redes y Seguridades Informticas
Cursos Gerencias de Telecomunicaciones, Tecnologa y Utilities a la medida de sus necesidades
Consultoras en desarrollo organizacional: en las que se brinda ayuda ayudar con procesos de:
Seleccin de Personal:
o Bsqueda de talentos
o HeadHunting
o Evaluaciones de seleccin de personal
Diagnstico Estratgico Organizacional:

o Clima organizacional
o Niveles de satisfaccin actual del personal
o Factores de motivacin actual del personal
o Diagnstico organizacional en 12 dimensiones
o Problemas tcnicos, administrativos y de relaciones interpersonales
o Mapeo del recurso humano
Desarrollo de Habilidades Ejecutivas:

o Liderazgo
o Comunicacin
o Trabajo en Equipo
o Coaching Ejecutivo
Administracin de Nmina:
o Outsourcing de personal
o Administracin de beneficios y compensaciones
o Valoracin de cargos y competencias
o Estadsticas Gerenciales
o Pago de obligaciones laborales
o Manejo de conflictos
o Outplacement
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
o Indicadores de satisfaccin del personal

o Manejo electrnico de nmina
Evaluacin de Desempeo:
o Balanced Scorecard
o Indicadores de Gestin
o Identificacin de competencias de gestin
o Evaluacin de desempeo de 360 grados
Procesos y Procedimientos:
o Mapeo de procesos
o Las 7 herramientas claves de procesos
o Diagnstico organizacional en 4 dimensiones
o Tiempos y movimientos
o Indicadores financieros y de produccin
Planificacin Estratgica:
o Definicin de Objetivos Estratgicos
o Mapa Estratgico
o Indicadores Claves de Gestin
o Indicadores Claves del Negocio
o FODA
o Plan Operativo Anual POA
Certificaciones:
o ISO
o COPC
o Consultora en Desarrollo Organizacional, de acuerdo a sus necesidades y presupuestos

Consultoras de gestin: en las que proveen los servicios de:
Servicio de Diseo y Rediseo de Procesos
Anlisis de Valor Agregado
Costeo ABC
Planificacin Estratgica
Indicadores de Gestin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Consultora de Gestin, de acuerdo a sus necesidades y presupuestos
2.2.6 Estructura organizacional

Figura 5: Estructura organizacional empresa Pirmide Digital Ca. Ltda.
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
De acuerdo al grfico anterior, se concluye que la ubicacin del rea de tecnologa no es adecuada,
ya que debe estar en un nivel de asesora para poder mejorar el nivel de decisin de la Gerencia de
Tecnologa.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.2.7 Estructura de la unidad informtica

Figura 6: Estructura de la unidad informtica empresa Pirmide Digital Ca. Ltda.
2.2.8 Seguridad de la unidad informtica

2.2.8.1 Seguridad fsica
Para poder acceder a las oficinas de la empresa ubicadas en la Avenida 12 de Octubre y Cordero en
el Edificio World Trade Center torre B oficina 702, se debe dejar una identificacin con el guardia
en la planta baja del edificio y dar a conocer el motivo de la visita.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
En la oficina principal de la empresa, se encuentra el rea administrativa y las gerencias de

consultora, relacin con el cliente y financiera. Para poder acceder a documentos de importancia o
confidenciales de la empresa, se debe hacer con el respectivo permiso del Gerente General, quien
delega que su asistente administrativa nos d una copia de los documentos requeridos, previo a la
firma de un acuerdo de confidencialidad.
En las oficinas ubicadas en Campos Verdes calle Juan Pascoe lote 115 y Miriam de Sevilla en el
Valle de los Chillos, se encuentra la Gerencia General, las gerencias de ventas, marketing y
tecnologa. Para el ingreso al rea de sistemas y el cuarto donde se encuentran los servidores, cada
persona debe activar el acceso mediante su tarjeta magntica, y siempre el Asistente de tecnologa
est presente durante la visita.
En el cuarto de servidores se cuenta con:
Ventilacin las 24 horas
Extinguidores de incendio
Cinco UPSs
La empresa cuenta dentro de su documentacin formal con una ley de polticas de salud, que es un
acuerdo firmado por cada empleado en el que se garantiza un servicio de salud preventivo y
curativo, as como con un cdigo de conducta en el que se expresa claramente la posicin de la
empresa en relacin con el cumplimiento de las leyes, el respeto a las normas ticas y el compromiso
con las personas que forman parte de la compaa y con un acuerdo de confidencialidad que debe
firmar todo empleado y se compromete a no divulgar informacin delicada de la empresa. Tambin
cuenta con un plan de la red de datos en la que se muestra como est estructurada la red dentro del
edificio.
2.2.8.2 Seguridad lgica
Para el acceso a cada mquina cliente o servidores, cada usuario cuenta con una clave y contrasea
personal, las que deben ser cambiadas cada seis meses por motivos de seguridad.
Para el control de accesos a ambas oficinas, cada empleado cuenta con una identificacin con su
nombre, cargo y una fotografa y tambin con una tarjeta magntica para el acceso desde el
parqueadero hasta cada una de las oficinas de la empresa.
2.2.8.3 Seguridad legal
Los cinco servidores que tiene la empresa tienen garanta de fbrica en caso de daos o desperfectos,
adems se cuentan con contratos de mantenimiento y soporte para el servidor principal.
Los servidores, las estaciones de trabajo y perifricos estn asegurados en caso de robos o
desperfectos.
2.2.8.4 Seguridad de datos
Para proteger adecuadamente los datos, aplicaciones y software residentes en los servidores, se han
definido procesos de respaldo cuya ejecucin est a cargo del Asistente de Tecnologa, debe revisar
que los respaldos que se ejecutan automticamente se hayan hecho adecuadamente y realizar un
respaldo manual una vez al mes de la pgina web de la empresa; adems de realizar respaldos diarios
del servidor de la base de datos, en caso de que se presente algn problema
Existe una replicacin de datos en un servidor alojado en California, Estados Unidos.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.2.9 Caracterizacin de la Carga

La empresa cuenta con cinco servidores:
Servidor mail
Servidor web
Servidor proxy
Servido de bases de datos
Servidor de seguridad
Las actividades en la empresa se realizan de lunes a viernes desde las 9:00 am hasta las 16:00.
2.2.9.1 Topologa de red
La empresa Pirmide Digital Ca. Ltda. utiliza el enlace dedicado del proveedor de servicio de
internet Andinatel, el que se enlaza con la oficina ubicada en el Valle de los Chillos por medio de la
recepcin del router a travs de una Red Privada Virtual (VPN) para tener acceso a archivos o
documentos compartidos y monitorear los servidores desde donde sea que se encuentren.
La empresa cuenta con una conexin de banda ancha de 256 Kbps para ambas oficinas, y como se
observa en la siguiente grfica, para la distribucin de informacin se emplea la siguiente topologa
de red:
Figura 7: Mapa topolgico de red de la empresa Pirmide Digital Ca. Ltda.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.2.9.2 Determinacin del periodo ms representativo

El instante de tiempo en el que se ha comprobado que los servidores se encuentran atendiendo al
mayor nmero de usuarios durante la jornada de trabajo, est entre las 11:30 am y las 13:00 y
despus del receso por la hora de almuerzo entre las 15:00 hasta las 16:00.
2.2.9.3 Determinacin del tipo de carga
Los cinco servidores tienen carga interactiva, ya que los empleados de la empresa acceden al a cada
uno se los servidores para poder hacer uso del servicio, y todos los usuarios interactivos reciben de
inmediato el servicio, garantizando buenos tiempos de respuesta.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.2.9.4 Definicin de la etapa de desarrollo de la carga

La etapa de desarrollo de la carga en la que actualmente se encuentra la empresa Pirmide Digital
Ca. Ltda. actualmente es de crecimiento, ya que el nmero de empleados no es mayor, haciendo que
la carga sea pequea y que todos los usuarios reciban un servicio acorde con sus expectativas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3
Aplicacin del modelo Cobit 4.1 para realizar un diagnstico de la
situacin actual de la empresa

2.3.1 Modelos de Madurez
Cobit 4.1 presenta un modelo de madurez basado en el Modelo de Evolucin de Capacidades de
Software (CMM), el que establece un orden claro, discreto y absoluto, definiendo niveles o etapas
de madurez31 adems establece mtricas para evaluar el nivel de los controles de TI, los cuales
deben ser alineados con el nivel correspondiente de los procesos de TI.
En este modelo se describen cinco niveles de madurez, a travs de distintos procesos de madurez
desarrollados para los treinta y cuatro procesos de Cobit 4.1, la empresa Pirmide Digital Ca. Ltda.
podr conocer cul es su desempeo actual y cul es su objetivo de mejora.
El modelo de madurez se lo utiliza con una escala de medicin creciente a partir de cero hasta cinco,
el desarrollo de esta escala se describe a continuacin:
Tabla 2: Modelo de madurez
Nivel
0
No existente
1
Inicial
2
Repetible
Descripcin
Carencia completa de cualquier proceso reconocible. La empresa no ha
reconocido siquiera que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estndar en su
lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes reas que realizan la misma tarea.
No hay entrenamiento o comunicacin formal de los procedimientos
estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
Los procedimientos se han estandarizado y documentado, y se han
31
Arbelez Roberto. Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la seguridad en las
organizaciones. Internet. www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05ModelosMadurezSeguridadInformatica.pdf Acceso: 11 de febrero de 2013
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Definido
4
Administrado
5
Optimizado
difundido a travs de entrenamiento. Sin embargo, se deja que el individuo

decida utilizar estos procesos, y es poco probable que se detecten
desviaciones. Los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas cuando los procesos no estn trabajando de forma efectiva.
Los procesos estn bajo constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin y herramientas de una manera limitada o
fragmentada.
Los procesos se han realizado hasta un nivel de mejor prctica, se basan en
los resultados de mejoras continuas y en un modelo de madurez con otras
empresas. TI se usa de forma integrada para automatizar el flujo de trabajo,
brindando herramientas para mejorar la calidad y la efectividad, haciendo
que la empresa se adapte de manera rpida.
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 19
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2 Modelos de madurez de los procesos Cobit 4.1 seleccionados

De acuerdo a los objetivos del proyecto de disertacin y previo a una reunin con el Gerente General
de Pirmide Digital, se han seleccionado los siguientes procesos de Cobit 4.1:
PO1: Definir el plan estratgico de TI
PO3: Determinar la direccin tecnolgica
PO4: Definir procesos, organizacin y relaciones de TI
PO9: Evaluar y administrar riesgos de TI
AI5: Instalar y acreditar sistemas
AI6: Administrar cambios
DS1: Definir y administrar niveles de servicio
DS5: Garantizar la seguridad de los sistemas
DS10: Administrar los datos
ME1: Monitorear el desempeo de TI
ME2: Monitorear y evaluar el control interno
2.3.2.1 Proceso PO1: Definicin de un plan estratgico de tecnologa de TI

Tabla 3: Modelos de madurez, Proceso PO1
Dominio: Planeacin y Organizacin

Proceso: PO1 Definicin de un plan estratgico de tecnologa de TI
Parcialmente
Nivel
Si
Pregunta
La alta gerencia desconoce la necesidad de
No
Anlisis
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la
gerencia TI?
La planificacin estratgica se elabora por un
requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido
sustancialmente por la gerencia?
La planificacin estratgica se comparte
ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
demandas administrativas?
Hay procesos para identificar actualizaciones del
plan?
Dentro de la empresa los procesos de
planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando
y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el
personal?
Existe algn procedimiento para examinar el
proceso en una base regular?
La estrategia global TI incluye una definicin
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
El plan estratgico est considerado dentro de

los objetivos comerciales de la empresa?
Existe una funcin de la planificacin
estratgica que est integrada con la planificacin
comercial?
El plan estratgico est diseado para ser
implementado a largo plazo?
El plan estratgico es verstil?
El plan estratgico est diseado respetando las
normas que rigen la empresa?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO1:
Administracin del valor de TI
Alineacin de TI con el negocio
Evaluacin del desempeo y la capacidad actual
Plan estratgico de TI
Planes tcticos de TI
Administracin del portafolio de TI32
Siendo el objetivo primordial de un modelo de madurez el ascender a un grado de madurez superior,

para que el proceso PO1 ascienda a un grado de madurez tres, como estrategia a corto y largo plazo
y conforme lo establece Cobit 4.1, se recomienda lo siguiente:
Se debe definir un plan estratgico.
Se debe definir un proceso para identificar actualizaciones en el plan estratgico de la compaa.
Se debe definir una poltica de cmo y cundo se va a realizar la planeacin estratgica de TI,
esta planeacin debe ser conocida por todo el equipo de trabajo y se debe garantizar que sea
factible y estructurado.
Realizar un inventario de las soluciones tecnolgicas y la infraestructura actual de la

organizacin.
En la estrategia general de TI, se debe incluir una definicin de los riesgos a los que est
expuesta la organizacin.
32
La planeacin estratgica de TI se debe discutir en reuniones de la direccin del negocio.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.2 Proceso PO3: Determinar la direccin tecnolgica


Proceso: PO3 Determinar la direccin tecnolgica
Nivel
Pregunta
Si
La empresa pone inters en planear la

infraestructura tecnolgica?
Existe un plan de infraestructura?
Hay experiencia y conocimiento para realizar un
plan de infraestructura documentado y formal?
Existe personal capacitado en su organizacin
que tenga las habilidades y conocimientos para
realizar un plan de infraestructura?
Se entiende la importancia de planear un cambio
para focalizar correctamente los recursos?
Los directivos reconocen la necesidad de un plan
pero no lo tienen an?
El desarrollo de tecnologa est muy limitado?
Los directivos enfocan su atencin en la
necesidad de realizar planeacin?
La direccin de la tecnologa del negocio est a
cargo de vendedores o personas incorrectas?
La comunicacin es inconsistente sobre el
impacto en cambios de tecnologa?
Se comunica la necesidad y la importancia de
realizar un plan tecnolgico?
La planeacin se enfoca en solucionar
problemas tcnicos en vez de cumplir las
necesidades del negocio?
La evaluacin de cambios tecnolgicos est a

cargo de diferentes individuos que siguen
procesos similares?
Existe un entrenamiento formal y comunicacin
de los roles y responsabilidades?
Se reconoce en su organizacin que estn
apareciendo tcnicas y estndares comunes para
el desarrollo de la infraestructura?
Los directivos conocen sobre el plan de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
El plan estratgico de TI est alineado con el

plan de infraestructura tecnolgica?
Se cre un plan de infraestructura tecnolgica
definido, documentado y bien comunicado pero
inconsistente para su aplicacin?
Los empleados y directivos entienden a donde se
dirige la organizacin considerando riesgos y
alineado con el plan estratgico?
Se seleccionan los mejores vendedores
considerando su experiencia y conocimiento para
la compra de tecnologa?
El plan estratgico de infraestructura tecnolgica
fue creado por gente con experiencia?
Se capacita de manera formal y especializada a
los nuevos empleados para que conozcan el plan
estratgico de la empresa?
Se tiene en cuenta el impacto del cambio de
tecnologa?
Se anticipa a los problemas y se asignan
responsables para cumplir y actualizar el plan de
Se introducen las mejores prcticas internas en
los procesos?
Se dirige la empresa utilizando estndares de la
industria?
Se administra con alto nivel los impactos que los
cambios de tecnologa generan?
Se aprueba de manera ejecutiva el cambio de
tecnologa?
Est formalizada la participacin en estndares?
Se utiliza de manera exhaustiva las mejores
prcticas de la industria?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Planeacin de la direccin tecnolgica
Plan de infraestructura tecnolgica
Monitoreo de tendencias y regulaciones futuras
Estndares tecnolgicos
Consejo de arquitectura de TI33

para que el proceso PO3 ascienda a un grado de madurez dos, como estrategia a corto plazo y
conforme lo establece Cobit 4.1, se recomienda lo siguiente:
Se debe difundir la necesidad de la planeacin tecnolgica para que haya un enfoque en generar
soluciones tcnicas a problemas tcnicos, en lugar de que se utilice a la tecnologa para satisfacer
las necesidades del negocio.
El personal encargado debe aprender sus habilidades sobre planeacin tecnolgica a travs de un
aprendizaje y una aplicacin repetida de las tcnicas.
Debe existir un entrenamiento formal y comunicacin de los roles de todos los empleados y sus
responsabilidades.
Se debe contar con tcnicas y estndares comunes para el desarrollo de la infraestructura

tecnolgica.
33
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.3 Proceso PO4: Definir procesos, organizacin y relaciones de TI


Proceso: PO4 Definir procesos, organizacin y relaciones de TI
Nivel
Pregunta
La organizacin de TI se centra efectivamente a

enfocar el logro de los objetivos del negocio?
Las actividades y funciones de TI estn
implementadas, pero son inconsistentes?
Se ha definido una estructura organizacional,
roles y responsabilidades que estn
informalmente asignadas?
La funcin de TI se considera una funcin de
soporte que no incluye en su totalidad la
perspectiva de organizacin?
Existe un entendimiento implcito acerca de la
necesidad de implementar una organizacin de
TI?
Roles y responsabilidades no estn formalizados
o no se cumplen?
La funcin de la TI est organizada para
responder tcticamente, pero inconsistentemente?
La necesidad para una organizacin estructurada
y de administracin est vilmente comunicada,
pero las decisiones que se toman son
dependientes del conocimiento y de las
herramientas claves de uso individual?
Existen tcnicas emergentes comunes para
administrar la organizacin de TI y sus
relaciones?
Se han definido roles y responsabilidades para la
organizacin de la TI y de terceros?
La organizacin de la TI est desarrollada,
documentada, comunicada y alineada con la
estrategia de TI?
El diseo organizacional y el control interno del
entorno estn definidos?
Hay formalizacin de relaciones con otras partes
interesadas?
La organizacin de TI est funcionalmente
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
completa?
El personal de la TI tiene la experiencia y

formacin necesaria para desarrollar un plan de
infraestructura de tecnologa?
Existe un formal y especializado entrenamiento
para la investigacin de la tecnologa?
La responsabilidad para el desarrollo y
mantenimiento de un plan de infraestructura de
tecnologa podra ser asignada?
La estrategia de los recursos humanos est
alineada con la direccin de la tecnologa para
asegurar que el personal de la TI pueda manejar
los cambios de la tecnologa?
La direccin de TI est guiada por la industria y
estndares internacionales y de desarrollo?
Existe aprobacin ejecutiva formal de un nuevo
cambio de reglas tecnolgicas?
La entidad tiene un plan de infraestructura
robusta que refleje los requerimientos del
negocio?
Existe una continua y real mejora de los
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la
tcnica de las TIs?

espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Marco de trabajo de procesos de TI
Comit estratgico de TI
Comit directivo de TI
Ubicacin organizacional de la funcin de TI
Estructura organizacional
Establecimiento de roles y responsabilidades
Responsabilidad de aseguramiento de calidad de TI
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
Propiedad de datos y sistemas
Supervisin
Personal de TI
Personal clave de TI
Polticas y procedimientos para personal contratado 34

para que el proceso PO4 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Todo el personal de TI debe tener roles formalizados y todos estos roles se deben cumplir.
La unidad de TI debe organizarse de tal manera que sea capaz de responder de forma tctica a las
necesidades de los clientes y los distintos proveedores.
Conocer responsabilidades del nivel directivo sobre el rea de TI.
Conocer la direccin de la Gerencia y supervisin de TI.
Se debe revisar que el rea de TI se alinee con el negocio y que haya una correcta participacin
de esta rea en los procesos de decisin clave.
34
Controlar que se determinen funciones de seguridad, calidad y control interno.
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 42,43
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.4 Proceso PO9: Evaluar y administrar riesgos de TI


Proceso: PO9 Evaluar y administrar riesgos de TI
Nivel
Pregunta
Se realiza un anlisis sobre el riesgo de

imposicin de contribuciones para procesos y
decisiones del negocio?
La organizacin considera los impactos de
negocio asociados con vulnerabilidades de
seguridad y con desarrollo de proyectos inciertos?
El manejo de riesgos se ha visto identificado
como relevante para adquirir soluciones de TI y
deliberadamente servicios de TI?
La organizacin sabe de sus responsabilidades
tanto legal como contractual y riesgos,
considerndolos en una manera ad hoc?
El manejo de TI especifica las responsabilidades
para el manejo de riesgos en descripciones de
trabajo u otros significados informales?
La especificacin de TI relaciona riesgos tales
como seguridad e integridad y son
ocasionalmente considerados en un proyecto
como base principal del mismo?
Los riesgos de TI relacionados da a da a las
diferentes operaciones de la TI son
infrecuentemente discutidos en las reuniones de
la AG?
Los riesgos consideran que la mitigacin o
calma es inconsistente dentro del rea de TI?
Existe un deseo emergente de entender que los
riesgos de TI son importantes y necesarios para
ser considerados?
Hay algn acercamiento al riesgo de distribucin
de contribuciones existentes, dentro del rea de
TI?
El rea de TI define generalmente
procedimientos o descripciones de trabajo
gestionando con la Gerencia de TI?
La distribucin de contribuciones en las
diferentes operaciones de TI depende
mediticamente de un manejo creciente, por lo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
que esta tiene una gran importancia dentro de la

agenda de trabajo?
El riesgo de distribucin de contribuciones
sigue un proceso definido que es documentado y
reconocido por todo el personal a travs del
entrenamiento?
Las decisiones que se toman a consideracin por
la AG son salidas efectivas a una posible crisis
dentro de la TI?
La metodologa es convincente y segura?
Todos los proyectos que fueron cubiertos o estn
en operacin son examinados sobre una base de
riesgos?
El manejo de la poltica de una organizacin
grande define cundo y cmo debe conducirse los
riesgos de distribucin de contribuciones?
La distribucin de contribuciones de riesgo es un
procedimiento y excepciones a seguir por la AG?
El manejo de los riegos de TI est definido en
funcin con el nivel de responsabilidad de la AG?
La AG es notificada de los cambios en el
entorno de la TI lo cual puede significativamente
afectar al escenario de riegos?
La AG es capaz de monitorear la posicin de
riesgo y adoptar una decisin acertada que sea
acogida por el personal de la TI?
El manejo efectivo de una base de datos de
riegos est debidamente establecido?
La distribucin de contribuciones habra de
desarrollar una organizacin la cual siga
regularmente el buen manejo de su estructura?
El anlisis y reporte de riegos son altamente
automatizados?
El manejo de riegos es verdaderamente
aceptable y extensible para los miembros de la
USI?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Marco de trabajo de administracin de riesgos
Establecimiento del contexto del riesgo
Identificacin de eventos
Evaluacin de riesgos de TI
Respuesta a los riesgos
Mantenimiento y monitoreo de un plan de riesgos35

para que el proceso PO9 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Los riesgos de TI relacionados da a da a las diferentes operaciones de TI se deben discutir
siempre en las reuniones con la Gerencia General.
Debe existir un enfoque de evolucin de riesgos en desarrollo y debe ser implementado en

discrecin del gerente de TI.
Los procesos de mitigacin de riesgos deben ser implementados donde se identifiquen los
riesgos.
Debe haber un entrenamiento al personal para que entiendan que los riesgos de TI son
importantes y necesarios y deben ser siempre considerados.
35
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.5 Proceso AI5: Instalar y acreditar sistemas

Tabla 7: Modelos de madurez, Proceso AI5
Dominio: Adquisicin e Implementacin

Proceso: AI5 Instalar y acreditar sistemas
Nivel
Pregunta
La empresa tiene un proceso formal de

instalacin de nuevas tecnologas tanto de
hardware como de software?
La empresa posee un proceso formal que
verifica que la solucin sea adecuada y est
alineada con los objetivos de TI?
El personal reconoce la necesidad de verificar si
las soluciones que se dan encajan con el propsito
deseado?
La empresa reconoce la necesidad de verificar y
confirmar que las soluciones que se implementen
contribuyen al propsito deseado?
La empresa realiza pruebas para algunos
proyectos?
La empresa depende de iniciativas del equipo
del proyecto para realizar las pruebas?
Los resultados que obtiene la empresa al realizar
las pruebas usualmente varan?
La empresa tiene una acreditacin formal y estar
fuera de lnea es espordico o inexistente?
La empresa tiene alguna consistencia entre la
comprobacin y la acreditacin?
La empresa basa sus pruebas en metodologas?
Existe normalmente una ausencia de

comprobacin de la integracin?
Existe cierto proceso de la aprobacin informal,
no necesariamente basado en un criterio
regularizado?
Existe una acreditacin formal y estar fuera de
lnea es aplicado incoherentemente?
Est implementada una metodologa formal
relacionada con la instalacin, migracin,
conversin y existe una aceptacin?
Existe la habilidad de mantener un
cumplimiento en la administracin?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se encuentran integrados y de alguna forma

automatizados los procesos de Instalacin y
acreditacin de TI dentro del ciclo de vida del
sistema?
Los entrenamientos, pruebas y la transicin entre
el estado de produccin y acreditacin varan de
los procesos definidos, y se basan en decisiones
individuales?
Es inconsistente la calidad de los sistemas que
ingresan a la etapa de produccin, generando as
problemas de post-implementacin?
Los procesos se encuentran formalizados y
desarrollados para encontrarse bien organizados y
ser prcticos, con ambientes de prueba y procesos
de acreditacin definidos?
La evaluacin para alcanzar los requerimientos
de usuario est estandarizada y puede ser medida?
La calidad de los sistemas que ingresan a la
etapa de produccin es satisfactoria para la
administracin?
Se emplean evaluaciones post-implementacin
ni revisiones continuas de calidad?
El sistema de pruebas refleja de forma adecuada
el ambiente real?
Los procesos de instalacin y acreditacin se
encuentran refinados a un nivel de las mejores
prcticas, basados en una continua mejora y
refinamiento?
Los procesos de instalacin y acreditacin de TI
estn integrados en el ciclo de vida del sistema y
automatizados?
Se disponen de ambientes de prueba bien
desarrollados y los procesos de registro de
problemas y fallas aseguran una transicin de
eficiencia y efectividad hacia el ambiente de
produccin?
La acreditacin se da con una mnima necesidad
de reformularla y los problemas postimplementacin son correcciones menores?
Las revisiones de post-implementacin son
estandarizadas y son retroalimentadas hacia los
procesos para asegurar una continua mejora en
cuanto a la calidad?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI5:
Control de adquisicin
Administracin de contratos con proveedores
Seleccin de proveedores
Adquisicin de recursos de TI36

para que el proceso AI5 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Se debe crear una conciencia organizacional de la necesidad de tener polticas y procedimientos
bsicos para la adquisicin de TI.
Las polticas y procedimientos de la empresa, se deben integrar parcialmente con el proceso

general de adquisicin de la organizacin del negocio.
Los distintos procesos de adquisicin se deben utilizar en proyectos menores y deben ser
bastante visibles para luego implementarlos en cada proyecto de la empresa.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos

de TI segn la experiencia de cada persona a cargo.
La empresa debe reconocer la importancia de administrar sus proveedores y las distintas

relaciones entre ellos.
36
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.6 Proceso AI6: Administrar cambios

Tabla 8: Modelos de madurez, Proceso AI6

Proceso: AI6 Administrar cambios
Nivel
Pregunta
Existe un proceso definido de administracin de

cambio y estos cambios se pueden realizar
virtualmente sin control?
Existen polticas de administracin y control de
cambios tecnolgicos en la organizacin?
Se sigue algn proceso consistente a seguir para
el control de cambios tecnolgicos?
Cambia continuamente el proceso de cambios
tecnolgicos en la organizacin?
Se requiere de autorizacin superior para
ejecutar cambios de tecnologa?
Cundo un cambio de tecnologa se ejecuta en la
organizacin, es necesario documentar el mismo?
Existe un proceso formal definido para el
proceso de administracin y control de los
cambios?
De existir este proceso, est estructurado
formalmente?
Considera que la documentacin de
configuracin es precisa y consistente?
Considera que las tareas de planeamiento e
impacto son prioritarias a los cambios?
Existe frecuentemente un re-doble de trabajo, en
tareas ya efectuadas?
Existe un proceso formalmente definido para la
administracin de cambios?
El proceso de administracin de cambios incluye
priorizacin, categorizacin, control de
contingencias, autorizacin de cambios y
administracin de lanzamientos?
Considera que el proceso de administracin de
cambios es siempre prctico y aplicable?
Ocurren cambios sin autorizacin
ocasionalmente?
Existe un anlisis operacional del impacto que
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
causan los cambios tecnologa en el negocio?
Se sigue de forma consistente el proceso de

administracin de cambios, confa que en el
mismo no hay excepciones?
El proceso de administracin de cambios
mantiene procesos y controles manuales para
asegurar calidad?
Estn sujetos los cambios a reducir la
posibilidad de problemas post-produccin, a
travs de las tareas de planificacin e impacto?
Considera que las tareas planeamiento e impacto
son prioritarias a los cambios?
El monitoreo de cambios es un proceso formal
dentro de los documentos de administracin de
cambios?
Se actualiza regularmente el proceso de
El proceso de administracin de cambios cambia
de acuerdo a la lnea de las "mejores prcticas"?
La informacin de configuracin se encuentra
implementada en una aplicacin para controlar la
misma?
El monitoreo de la configuracin y de la
administracin de lanzamientos, incluye
herramientas para la deteccin de software sin
licencia o sin autorizacin?
La administracin de cambios tecnolgicos est
integrada a los cambios del negocio?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI6:
Estndares y procedimientos para cambios
Evaluacin de impacto, priorizacin y autorizacin
Cambios de emergencia
Seguimiento y reporte del estatus de cambio
Cierre y documentacin del cambio37

para que el proceso AI6 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Se debe lograr que el proceso de administracin de cambio no sea un proceso informal para
evitar que el proceso no sea estructurado, rudimentario y propenso a errores.
Se debe hacer que la exactitud de la documentacin de la configuracin sea consistente y no sea

de planeacin limitada.
La evolucin del impacto de los cambios de TI se debe dar previamente al cambio.
2.3.2.7 Proceso DS1: Definir y administrar niveles de servicio

Tabla 9: Modelos de madurez, Proceso DS1
Dominio: Entrega y Soporte

Proceso: DS1 Definir y administrar niveles de servicio
Nivel
Pregunta
La administracin ha reconocido la necesidad de
un proceso para definir niveles de servicio?
Estn asignados responsables cuando existen
0 problemas en los procesos?
Estn asignadas las responsabilidades para la
administracin de servicios?
Estn definidos los niveles de servicio?
37
Si
Parcialmente
No
Anlisis
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La administracin conoce sobre las obligaciones

y responsabilidades que tiene en cuanto a niveles
de servicio?
Existe conciencia de la necesidad de administrar
niveles de servicio?
El proceso para la administracin de Niveles de
Servicio es informal?
Est definida informalmente la rendicin de
cuentas del desempeo de monitoreo?
Las mediciones del desempeo son cualitativas?
El reporte del desempeo es frecuente?
Existen acuerdos celebrados sobre el nivel de
servicio?
El reporte de nivel de servicio es relevante y
completo?
El reporte de nivel de servicio depende de las
habilidades de los administradores individuales?
Se debera nombrar un coordinador de nivel de
servicio?
El proceso de cumplimiento del acuerdo de nivel
de servicio es voluntario?
Estn bien definidas las responsabilidades de la

administracin de nivel de servicio?
El proceso de desarrollo de los acuerdos de nivel
de servicio est establecido con puntos de
verificacin?
Estn definidos con los usuarios los criterios de
niveles de servicios?
Estn identificadas las carencias de nivel de
servicio?
El nivel de servicio puede resolver las
necesidades especficas de la organizacin?
La satisfaccin del cliente se determina de
manera rutinaria?
Las medidas de desempeo reflejan las metas de
TI?
Estn estandarizados los criterios de medicin
de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Estn entendidos con claridad los riesgos
operativos?
Los niveles de servicio son reevaluados
constantemente?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Todos los procesos de nivel de servicio estn

sujetos a procesos de mejoramiento?
Un criterio para definir niveles de servicio es
basarse en la criticidad del negocio?
Los niveles de satisfaccin del cliente son
monitoreados?
Los niveles de servicio esperados son evaluados

contra las normas de la industria?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS1:
Marco de trabajo de la administracin de los niveles de servicio
Definicin de servicios
Acuerdos de niveles de servicio
Acuerdos de niveles de operacin
Monitoreo y reporte del cumplimiento de los niveles de servicio
Revisin de los acuerdos de niveles de servicio y los contratos 38

para que el proceso DS1 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Debe existir la necesidad de administrar los niveles de servicio aun si el proceso sea informal y
reactivo.
Se debe definir la responsabilidad y la rendicin de cuentas sobre la definicin y la

administracin de servicios.
Se debe definir medidas para medir el desempeo, pero en este nivel de madurez aun se las
define de forma imprecisa.
38
Existe una notificacin pero aun es informal, infrecuente e inconsistente.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.8 Proceso DS5: Garantizar la seguridad de los sistemas


Proceso: DS5 Garantizar la seguridad de los sistemas
Nivel
Pregunta
Si
La empresa reconoce la necesidad de seguridad

para el rea de TI?
Se asignan responsabilidades para encargarse de
la seguridad?
Existe la implementacin de medidas que
soporten la administracin de TI?
La empresa posee un proceso de administracin
para la seguridad de TI?
Existen procesos de reportes y soluciones para
problemas de seguridad en TI?
La empresa reconoce la necesidad de la
seguridad en TI?
La seguridad es administrada segn criterios del
individuo responsable?
Las responsabilidades para la administracin de
seguridad en TI son confusas?
Hay una persona responsable para la
administracin de problemas de seguridad?
Las soluciones para problemas de seguridad son
previsibles?
Las responsabilidades de seguridad de TI son
asignadas a un coordinador de seguridad sin
autoridad de gerencia?
El reporte de la seguridad es pertinente?
El conocimiento acerca de la seguridad es
fragmentado y limitado?
La informacin de la seguridad es generada pero
no analizada?
Las polticas de seguridad estn siendo
desarrolladas pero se utilizan tcnicas y
herramientas inadecuadas?
La Empresa promueve el conocimiento acerca
de la seguridad?
Los informes de la seguridad se han formalizado
y se han estandarizado?
Los procesos de seguridad de TI estn definidos
y es complemento de la estructura de polticas y
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
procedimientos de seguridad?
Las responsabilidades para la seguridad de TI

son asignadas pero no consistentemente
cumplidas?
Existe un plan de seguridad conduciendo a
anlisis de riesgo y soluciones de seguridad?
son claramente asignadas, administradas y
ejecutadas?
Las polticas y prcticas de seguridad son
completas, con especficas y bases de seguridad?
Los informes sobre la seguridad de TI se han
convertido en una obligacin?
La Empresa establece la certificacin de
seguridad en el personal?
Los procesos de la seguridad de TI son
coordinados con la funcin global de seguridad
de la empresa?
Los requerimientos de seguridad de TI estn
claramente definidos, optimizados e incluidos en
el plan de seguridad?
Los incidentes de seguridad de TI son tratados
puntualmente con los procedimientos
formalizados soportados por herramientas
automatizadas?
Los procesos de seguridad y tecnologas estn
integrados totalmente a la empresa?
Las funciones de seguridad se integran con las
aplicaciones en la etapa de diseo?
Las pruebas de intrusin, anlisis de causalidad
y la identificacin de riesgos no estn
perfectamente implementadas?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos39

para que el proceso DS5 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo y
Las responsabilidades y la rendicin de cuentas sobre la seguridad se deben asignar a un
coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad del coordinador es
limitada.
Se debe analizar la informacin que producen los sistemas relevantes al aspecto de seguridad.
En este nivel de madurez se empieza a desarrollar las polticas de seguridad.
Se debe ver a la seguridad de TI primordialmente como responsabilidad y disciplina de TI.
39
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.9 Proceso DS10: Administrar los datos


Proceso: DS10 Administrar los datos
Nivel
Pregunta
Si
Hay conciencia de la necesidad de administrar

problemas e incidentes?
El proceso de resolucin de problemas es
informal?
Los usuarios y el personal de TI resuelven los
problemas de manera individual?
Los problemas se resuelven caso por caso?
Existen procesos para el manejo de incidentes?
La organizacin ha reconocido que hay una
necesidad de resolver problemas y de evaluar los
incidentes?
Las personas con conocimientos clave proveen
alguna asistencia con los problemas relacionados
con su rea de experiencia y responsabilidad?
La informacin es compartida con otros y las
soluciones varan de una persona de soporte a
otra?
Con medidas equivocadas se da la creacin de
ms problemas y la prdida de tiempo productivo,
mientras se buscan las respuestas?
La administracin cambia frecuentemente el
enfoque y la direccin de las operaciones y el
personal de soporte tcnico?
Hay una amplia conciencia de la necesidad de

administrar los problemas e incidentes
relacionados con TI?
El proceso de resolucin ha evolucionado hasta
un grado en que unas pocas personas claves son
responsables de administrar los problemas e
incidentes que ocurren?
La informacin es compartida entre el personal;
sin embargo, el proceso sigue sin estructuracin,
es informal y mayormente reactivo?
El nivel de servicio para la comunidad de
usuarios vara y es obstaculizado por insuficientes
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
conocimientos estructurados disponibles para

quienes resuelven los problemas?
El reporte de la administracin de incidentes y el
anlisis de la creacin de problemas es limitado e
informal?
La necesidad de un sistema efectivo de

administracin de problemas es aceptada y
evidenciada por presupuestos para la contratacin
de personal?
Los procesos de resolucin, escalamiento y
resolucin de problemas han sido estandarizados,
pero no son sofisticados?
Los usuarios han recibido comunicaciones claras
sobre dnde y cmo reportar sobre problemas e
incidentes?
El registro y rastreo de problemas y sus
resoluciones es fragmentado dentro del equipo de
respuestas, usando las herramientas disponibles
sin centralizacin o anlisis?
Es probable que las desviaciones de las normas
o estndares establecidos pasen desapercibidas?
El proceso de administracin de problemas es
entendido en todos los niveles dentro de la
organizacin?
Las responsabilidades son claras y establecidas?
Los mtodos y procedimientos estn
documentados, comunicados y medidos por
efectividad?
La mayora de los problemas e incidentes estn
identificados, registrados, reportados y analizados
en busca de constante mejoramiento y son
reportados a las partes interesadas?
La capacidad de responder a los incidentes es
probada peridicamente?
El proceso de administracin de problemas ha
evolucionado en un proceso que mira hacia
adelante y es proactivo, contribuyendo a los
objetivos de TI?
Los problemas son anticipados y pueden incluso
ser prevenidos?
El conocimiento es mantenido, a travs de
contactos regulares con vendedores y expertos,
respecto de patrones de problemas e incidentes
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos40

para que el proceso DS10 ascienda a un grado de madurez dos, como estrategia a corto y largo plazo
Asignar un responsable para que monitoree los problemas.
Establecer procesos estructurados y formales para el escalamiento y resolucin de problemas.
Contar con suficientes pistas de auditora de problemas y soluciones, los cuales estn integrados
con la administracin de datos de configuracin, permitiendo la oportuna resolucin de los
problemas reportados.
Generar reportes de incidentes que estn integrados con la administracin de datos de

configuracin, para que se pueda resolver los problemas reportados.
Emplear mecanismos automticos de advertencia y deteccin, para su evaluacin continua.
Disponer de informacin de los problemas pasados y futuros, para optimizar la solucin de

problemas internos de la empresa.
40
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.3.2.10 Proceso ME1: Monitorear el desempeo de TI

Tabla 12: Modelos de madurez, Proceso ME1
Dominio: Monitoreo y Evaluacin

Proceso: ME1 Monitorear el desempeo de TI
Nivel
Pregunta
La organizacin cuenta con un proceso de

monitoreo?
El rea de TI desarrolla independientemente un
monitoreo de proyectos o procesos?
Se reconoce la necesidad de objetivos de
procesos claramente entendibles?
Se reconoce la necesidad de colectar y
determinar informacin acerca de procesos de
monitoreo?
Se han identificado procesos determinados y una
coleccin estndar?
Se implementa un monitoreo constante
solamente cuando un incidente causa alguna
perdida a la organizacin?
Se implementa el monitoreo para los procesos de
TI y tan solo para servicios de informacin de
otros departamentos?
La definicin del proceso y el monitoreo se
ajustan a las necesidades de los servicios de
informacin?
Han sido identificadas algunos parmetros para
monitorear?
Se ha adoptado una coleccin de mtodos y
tcnicas, pero no por toda la organizacin?
La planeacin y administracin es realizada por
la experiencia de individuos claves?
Algunas herramientas son implementadas y
usadas pero se limita el uso por falta de
experiencia en el manejo?
La funcin de servicios de informacin es
manejada como un centro que genera costos y no
beneficia a la organizacin?
La administracin ha institucionalizado y
comunicado los estndares para monitorear
procesos?
Un programa de educacin y entrenamiento para
monitorear ha sido implementado?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Si
Parcialmente
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Han sido implementadas herramientas para

monitorear el nivel de servicio y procesos de TI?
Han sido definidos parmetros para medir la
contribucin del nivel de servicio en la
organizacin?
Han sido implementados los parmetros para
medir la satisfaccin del cliente y del nivel de
servicio en las entidades?
La gerencia define tolerancias en las cuales los
procesos deben operar?
Lineamientos base de resultados de monitoreo
son estandarizados y normalizados?
Existe integracin de las mtricas entre
proyectos TI y procesos?
Se define un marco para identificar estrategias
orientadas a procesos como KGIs, KPIs, y CSFs
para realizar mediciones?
Se ejecutan criterios de aprendizaje tales como
financieros, operacionales, de consumidores y
organizacional?
Se mejora el proceso para actualizar el
monitoreo de estndares, polticas y mejores
prcticas en la organizacin?
Todos los procesos de monitoreo son
optimizados y soportan objetivos globales de la
organizacin?
KGIs, KPIs, y CSFs son usados continuamente
para realizar mediciones y se alinean con el
trabajo estratgico?
Procesos de monitoreo y rediseos en
movimiento son consistentes con planes ya
desarrollados de mejoramiento?
Bancos de prueba contra la industria y
competidores claves se formalizan y comparan?
espaol
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME1:
Enfoque del monitoreo
Definicin y recoleccin de datos de monitoreo
Mtodo de monitoreo
Evaluacin del desempeo
Reportes al Consejo Directivo y a Ejecutivos
Acciones correctivas41

para que el proceso ME1 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Implementar un proceso de monitoreo y evaluacin de desempeo de TI
La empresa debe contar con reportes tiles, oportunos y precisos.
Se debe definir estndares de recoleccin y evaluacin de acuerdo a las necesidades de los

proyectos y procesos especficos de TI.
Definir reportes e indicadores de desempeo.
Realizar evaluaciones de satisfaccin al usuario, para tener un mejoramiento continuo del

servicio brindado.
Estandarizar y normalizar el proceso de reportes.
2.3.2.11 Proceso ME2: Monitorear y evaluar el control interno

Tabla 13: Modelos de madurez, Proceso ME2

Proceso: ME2 Monitorear y evaluar el control interno de TI
Nivel
0
41
Pregunta
La organizacin posee procedimientos para

monitorear la efectividad de los controles
internos?
Si
Parcialmente
No
Anlisis
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Los mtodos de reporte de control interno de

administracin estn presentes en su
organizacin?
Hay una ausencia general de conciencia de la
seguridad operativa?
La administracin y los empleados tienen
conciencia de los controles internos?
Hay una ausencia general del aseguramiento de
control interno de TI?
Existe un compromiso de parte de la
administracin para la seguridad operativa
regular?
Se aplica ad hoc en la experiencia individual en
determinar la adecuacin de control interno?
La administracin de TI ha asignado
formalmente la responsabilidad de monitorear la
efectividad de los controles Internos?
Las evaluaciones de control interno de TI son
realizadas como parte de auditoras financieras
tradicionales?
Existe un monitoreo adecuado dentro de la
empresa?
La organizacin usa reportes informales de
control para iniciar iniciativas de accin
correctiva?
Los procesos de planificacin y administracin
estn definidos?
La evaluacin depende de los conjuntos de
habilidades de las personas clave?
La organizacin tiene una mayor conciencia del
monitoreo de control interno?
La administracin ha comenzado a establecer
mtricas bsicas?
La administracin soporta y ha
institucionalizado un monitoreo de control
interno?
Se han desarrollado polticas y procedimientos
para evaluar y reportar sobre las actividades de
control interno?
No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se han establecidos revisiones peridicas para el

monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
revisin del control interno?
La organizacin estableci niveles de tolerancia
para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
cada vez ms automatizadas en los procesos de
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control
interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que
son integradas y actualizadas?
Est formalizada la participacin de los
conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?
espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME2:
Monitorizacin del marco de trabajo de Control Interno
Revisiones de Auditora
Excepciones de control
Control de auto evaluacin
Aseguramiento del Control Interno
Control Interno para terceros
Acciones correctivas42
42
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

para que el proceso ME2 ascienda a un grado de madurez uno, como estrategia a corto y largo plazo
Implementar procedimientos para monitorear la efectividad de los controles internos.
Asignar de manera formal las tareas para monitorear la efectividad de los controles internos y
evaluarlos en base a la necesidad de los servicios de informacin.
Establecer responsabilidades para el control interno.
Realizar monitoreo permanente de control interno.
Establecer programas de mejora continua dentro de la empresa.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.4
Anlisis de Resultados
2.4.1 Resultados del anlisis realizado con Cobit 4.1

En base a las Matrices de Madurez aplicadas a los procesos seleccionados de Cobit 4.1 se ha
encontrado lo siguiente:
2.4.1.1 Dominio Planeacin y Organizacin
Nivel de Madurez: Uno
Conclusiones:
Es necesario implementar un plan estratgico, en el que se defina un proceso que permita
identificar y realizar actualizaciones del mismo. Se debe implementar una poltica de cmo y
cundo se va a realizar la planeacin estratgica de TI, la que debe ser conocida por todo el
equipo de trabajo y se debe garantizar que sea el plan que se realice sea factible y estructurado.
La planeacin estratgica debe ser discutida en reuniones con la Direccin y se debe contar con
tcnicas y estndares comunes para el desarrollo de la infraestructura tecnolgica. La estrategia
general de TI, debe incluir una definicin de los riesgos a los que est expuesta la organizacin.
Es importante que se difunda la necesidad de la planeacin tecnolgica para que exista un

enfoque en generar soluciones a problemas tcnicos que permitan satisfacer las necesidades del
negocio Los riesgos de TI relacionados al da a da a las diferentes operaciones de TI, deben ser
discutidos siempre en las reuniones con la Gerencia General; adems debe existir un enfoque de
evolucin de riesgos en desarrollo y debe ser implementado en discrecin del gerente de TI. El
personal encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin
tecnolgica, a travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un
entrenamiento formal. Debe tambin existir comunicacin de los roles de todos los empleados y
sus responsabilidades, especialmente de los empleados de la unidad de TI, quienes deben tener
roles formalizados, los cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la
unidad de TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento
y las habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
administrar la organizacin de TI y sus relaciones con los dems departamentos, adems debe
haber un deseo emergente del personal de entender que los riesgos de TI son importantes y
necesarios y deben ser siempre considerados.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.4.1.2 Dominio Adquisicin e Implementacin

Conclusiones:
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados
parcialmente con el proceso general de adquisicin de la organizacin del negocio, los que deben
ser utilizados en proyectos menores y deben ser usados como base para luego implementarlos en
cada proyecto que maneje la empresa. Se debe lograr que el proceso de administracin de
cambio no sea un proceso informal para evitar que el proceso no sea estructurado, rudimentario y
propenso a errores, la empresa debe reconocer la importancia de administrar sus proveedores y
las distintas relaciones entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos

de TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.4.1.3 Dominio Entrega y Soporte

Conclusiones:
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad
de administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin
y administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las
que se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la
autoridad del coordinador es limitada. Se deben definir medidas para medir el desempeo, para
poder analizar la informacin que producen los sistemas relevantes al aspecto de seguridad. La
seguridad del departamento de TI se debe ver primordialmente como una responsabilidad y
disciplina del rea de TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear
mecanismos automticos de advertencia y deteccin, para su evaluacin continua, se debe
contar con suficientes pistas de auditora de problemas y soluciones, los cuales deben ser
integrados con la administracin de datos de configuracin, permitiendo de esta manera, la
oportuna resolucin de los problemas reportados, tambin hay que contar con informacin de los
problemas pasados que ha enfrentado la empresa y posibles problemas futuros, para optimizar la
solucin de problemas internos de la organizacin.
2.4.1.4 Dominio Monitoreo y Evaluacin

Nivel de Madurez: Cero
Conclusiones:
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
de los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al
usuario, a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles

internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente
de control interno y asignar de manera formal las tareas para monitorear la efectividad de los
controles internos y evaluarlos en base a la necesidad de los servicios de informacin.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
CAPITULO TRES
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA
3.1
Identificacin de los Riesgos Informticos
Para realizar correctamente la evaluacin OCTAVE-S dentro de la empresa Pirmide Digital Ca.
Ltda. es necesario definir un equipo de trabajo interdisciplinario, el que ser responsable de llevar a
cabo varias actividades, se debe contar con personal del rea de Altos Directivos, rea Operativa y
rea de Personal en General; esto ayudar a tener una perspectiva ms amplia de la empresa a nivel
tecnolgico y organizacional.
3.1.1 Roles y Responsabilidades del Equipo de Anlisis
Trabajar con los directivos para definir el alcance de la evaluacin.
Programacin de actividades OCTAVE-S.
Realizacin de las actividades de evaluacin.
Recopilar, analizar y mantener los datos de evaluacin durante la evaluacin.
Logstica de coordinacin para la evaluacin. 43
3.1.2 Habilidades del Equipo de Anlisis
Capacidad para gestionar las reuniones de grupo.
Buenas habilidades de comunicacin.
Buenas habilidades analticas.
Conocimiento del entorno de negocio de la organizacin.
Conocimiento del entorno de la organizacin de tecnologa de la informacin y la forma en que el

personal de las empresas legtimamente utiliza la tecnologa de la informacin en la organizacin. 44
43
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 8
44
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.1.3 Seleccin de Altos Directivos

Los Altos Directivos que se van a seleccionar para la evaluacin, deben tener la capacidad y
conocimientos necesarios para identificar correctamente los activos de informacin ms importantes
dentro de la empresa, las distintas amenazas para estos activos, los requerimientos de seguridad de
cada activo, las estrategias de proteccin con las que cuenta la empresa y las vulnerabilidades
organizacionales.
3.1.3.1 Perfil de Altos Directivos
Estar familiarizado con los tipos de activos de informacin utilizados en la empresa.
Ser capaz de destinar el tiempo requerido para las evaluaciones.
Tener conocimiento de los procesos clave que maneja la empresa para la ejecucin normal de sus
actividades y tareas.
Tener autoridad de seleccionar y autorizar el tiempo para los Directivos de reas operativas.
Haber estado en su cargo por lo menos un ao.45
3.1.4 Seleccin de los Directivos de reas Operativas

Los Directivos de reas Operativas deben estar asociados a la operacin, mantenimiento y
desarrollo de la infraestructura computacional de la organizacin; son requeridos para identificar los
activos de informacin que posee la empresa, las distintas amenazas para estos activos, los
requerimientos de seguridad de cada activo, las estrategias de proteccin con las que cuenta la
empresa y las vulnerabilidades organizacionales.
3.1.4.1 Perfil de los Directivos de reas Operativas
Amplio conocimiento con los tipos de activos de informacin que utiliza la empresa.
Conocer cmo los activos de informacin son utilizados.
Conocimiento de los activos crticos de la organizacin.
Tener la autoridad de seleccionar y autorizar el tiempo necesario para el personal en general.
Haber estado en su cargo por lo menos dos aos. 46
3.1.5 Seleccin del Personal en General

Se necesita con personal que se encargue de identificar los activos de informacin que se consideren
importantes para la organizacin, las distintas amenazas para estos activos, los requerimientos de
45
46
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
seguridad de cada activo, las estrategias de proteccin con las que cuenta la empresa y las
vulnerabilidades organizacionales.
3.1.5.1 Perfil del Personal en General
Conocer los tipos de activos de informacin usados en la organizacin y cmo son utilizados.
Conocimiento respecto al tema de riesgo e impacto hacia los activos crticos de las tecnologas de
informacin.
Conocimiento de estndares de mitigacin, medicin y controles de riesgo asociados a TI.
Haber estado en su cargo por lo menos tres aos. 47
3.1.6 Seleccin del Equipo de Trabajo para la empresa Pirmide

Digital Ca. Ltda.
Una vez realizada la seleccin entre el personal ms idneo para que forme parte del equipo de
trabajo que realizar la evaluacin en la organizacin, se han seleccionado a los siguientes
profesionales:
3.1.6.1 Altos Directivos
Ing. Mario Morillo
Gerente de Tecnologa
3.1.6.2 Directivos de reas Operativas
Eco. Olga Obando
Gerente de Consultora
3.1.6.3 Personal en General
Sr. Guillermo Obando
3.2
Asistente de Tecnologa
Fase Uno: Construccin del perfil de amenaza basado en los activos
En esta fase, se realiza una evaluacin de los aspectos organizacionales donde el equipo de trabajo
define el impacto de los criterios de la evaluacin que se utilizar para realizar una evaluacin de
riesgos, tambin se identificarn cuales son los activos organizacionales y se evaluarn las prcticas
de seguridad que se practican actualmente en la empresa.
En esta fase, se identifican dos procesos:
Figura 8: Mtodo Octave-S, Fase Uno
47
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
3.2.1 Proceso S1: Identificar la informacin organizacional

3.2.1.1 Establecer el impacto de los criterios de la evaluacin
Tabla 14: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Reputacin y Confianza del Cliente
Reputacin/Confianza del Cliente

Tipo de Impacto
Reputacin
Bajo Impacto
Mediano Impacto
La reputacin de la
empresa se afecta en
un mnimo porcentaje,
poco o nada de
esfuerzo o gasto es
necesario para
recuperarse si se
presenta la situacin de
prdida de confianza
del cliente.
La reputacin de la
empresa se daa, y
esfuerzo y un poco
de gasto
econmico se
requiere para
recuperarse.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Alto Impacto
La reputacin de la
empresa est
irremediablemente
destruida o daada.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 34-35
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 15: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Finanzas
Finanzas
Tipo de Impacto
Bajo Impacto
Mediano Impacto
Alto Impacto
Costos operativos
Aumento de menos de
2% anual en costos
operativos
Gastos anuales de
costos operativos
aumentan del 2%
al 10%
Anualmente los
costos operativos
aumentan el 10%
Prdida de
ingresos
Menos de 5% de
prdida de ingresos
anuales
De 5% al 12% de
prdida de
ingresos anuales
Mayor del 12% en

prdida de ingresos
anuales
Prdida financiera
Prdida financiera de
menos de $5000
Prdida financiera Prdida financiera

de $5000 a $15000 mayor a $15000
Otro:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 16: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Productividad
Productividad
Tipo de Impacto
Horarios del
personal
Bajo Impacto
Mediano Impacto
El horario del personal

se increment menos
del 5% en 28 da(s)
El horario del
personal se
increment entre el
5% al 20% en 28
da(s)
Alto Impacto
El horario del
personal se
increment en ms
de un 20% en 28
da(s)
Otro:
Otro:
Otro:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 17: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Seguridad/Salud
Seguridad/Salud
Tipo de Impacto
Vida
Bajo Impacto
Mediano Impacto
No hay prdida o
amenaza significativa
en la vida del personal
Salud
Seguridad
La vida de los
miembros del
personal se ven
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Degradacin mnima,
Discapacidad
inmediatamente
temporal o
tratable de la salud de
recuperable de la
los miembros del
salud de
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad cuestionada Seguridad afectada
Alto Impacto
Prdida de vidas de
miembros del
personal
Deterioro
permanente de la
salud de miembros
del personal
Seguridad violada
Otro:
Tabla 18: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales
Multas/Sanciones Legales
Tipo de Impacto
Bajo Impacto
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Mediano Impacto
Alto Impacto

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Multas
Multas inferiores
$1000 son recaudadas
Multas entre
$1000 y $5000
son recaudadas
Multas mayores a
$5000 son
recaudadas
Demandas
Demandas no frvolas
de menos de $1000 son
presentadas en contra
de la organizacin
Investigaciones
No hay preguntas
formuladas por el
gobierno u otras
organizaciones de
investigacin
Demandas no
frvolas entre
$1000 y $5000 son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin
requieren
informacin o
records de la
empresa
Demandas no
frvolas mayores a
$5000 son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin inician
una investigacin de
alto perfil y en
profundidad de las
prcticas de la
organizacin
Otro:
Mediante el uso de las Hojas de Trabajo: Impacto de los criterios de la evaluacin, se defini los
rangos de posibles impactos que se pueden presentar en la organizacin.
Se cuenta con suficiente informacin sobre la naturaleza de impactos causados por problemas
comunes y situaciones de emergencia, y utiliz esta informacin como base para el establecimiento
de medidas (alto, medio, bajo) a travs de mltiples reas de impacto.
Pirmide Digital Ca. Ltda. cuenta con un presupuesto el cual incluye un margen del 2% para
cambios inesperados en los costos de operacin y un margen del 5% para cambios inesperados en los
ingresos totales.
Se determin que cualquier prdida de vida o daos permanentes a los empleados en las
instalaciones de la organizacin se considera inaceptable. Estos artculos se incorporaron en los
criterios de evaluacin.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.2.1.2 Identificar activos organizacionales

Tabla 19: Hoja de Trabajo. Identificacin de activos organizacionales: Informacin, Sistemas y
Aplicaciones
Informacin, Sistemas y Aplicaciones

Sistema
Informacin
Aplicaciones y
Servicios
Otros Activos
Qu sistemas la gente
en su organizacin
necesita para realizar su
trabajo?
Qu informacin la gente en
su organizacin necesita para
realizar su trabajo?
Qu aplicaciones y
servicios la gente en su
organizacin necesita para
Qu otros activos estn

relacionados directamente con
estos activos?
Computadoras
personales
Propuestas
email
Perifricos
Pagos
SugarCRM
Presupuestos
Real VNC
Acceso a Internet
de
Acceso a Internet
Computadoras
Servidor de
correo
electrnico
Informacin
correos
Informacin
personales
de
clientes
Servidor Web
(Portal de
Gerencia)
Informacin de la
empresa
Informacin
Acceso a Internet
Computadoras
personales
de
cursos gerenciales
Informacin
de
clientes
Presentaciones,
Videos,
Documentos
Gerenciales
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
SugarCRM
Automatizacin
de
fuerza
Acceso a Internet
de
Computadoras
personales
ventas
Campaas
de
marketing
Atencin
al
cliente
Presentacin
de
informes
Real VNC
Acceso y control a
Acceso a Internet
servidores
Computadoras
personales
Tabla 20: Hoja de Trabajo. Identificacin de activos organizacionales: Gente
Gente
Gente
Qu personas tienen una
habilidad o conocimiento
especial que es vital para su
organizacin y puede ser
muy difcil de reemplazar?
Habilidades y
Conocimiento
Cules son sus
habilidades o
conocimientos?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Sistemas
Relacionados
Qu sistemas utilizan estas
personas?
Activos
Relacionados
Qu otros activos usan
estas personas (Ejemplo:
informacin, servicios o
aplicaciones)

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Ing. Pablo Pez, PhD
Conocimiento
del
personal
funcionamiento
Computadora
SugarCRM
de los sistemas
Portal
de la empresa.
Gerencia
Contacto
de
con
clientes
importantes.
Representante
de partners en
el Ecuador.
Elaboracin de
propuestas.
Trainer de la
mayora de los
cursos
que
ofrece
la
empresa.
Negociacin
con clientes.
Eco. Olga Obando,

PhD
del
Conocimiento
portafolio
Computadora
personal.
de servicios que
SugarCRM.
ofrece Pirmide
Portal
Digital.
Gerencia
de
Facilidad para
identificar
las
necesidades
especificas del
cliente
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
proponer
soluciones
travs
de
los
distintos
servicios
que
ofrece
la
empresa.
Elaboracin,
presentacin y
discusin
de
propuestas.
Anlisis costobeneficio de las

propuestas.
Negociacin
con los clientes.
Coordinacin
del equipo de
consultores
en
los trabajos de
campo.
Coordinacin y
direccin
del
personal.
Directora
de
proyectos de la
empresa.
Ing. Mario Murillo
Conocimiento
de redes.
Conocimiento
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Computadora
personal
SugarCRM.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
de
bases
de
datos.
Manejo
de
Servidor web
Servidor
de
correo
SugarCRM.
Soporte,
actualizacin y
mantenimiento
de
todos
los
servidores
propios
servidores
alojados
en
Estados Unidos.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
El equipo de trabajo utiliz su conocimiento de los sistemas que Pirmide Digital Ca. Ltda. como
punto de partida para identificar los activos de la empresa.
Al utilizar las Hojas de Trabajo: Identificacin de activos organizacionales, para identificar los
activos, los miembros del equipo observaron la cantidad de informacin que reside en los servidores
de Pirmide Digital. La informacin de sus clientes, que se regula en trminos de privacidad y
seguridad, se puede encontrar en varias formas, incluyendo tanto electrnico como archivos de
papel. Se observ que las computadoras personales son comunes a todos los sistemas y funcionan
como un conducto para toda la informacin electrnica importante.
Fue ms difcil identificar a las personas claves relacionadas con el patrimonio de la empresa, ya que
cada miembro del personal tiene un papel importante en Pirmide Digital sin embargo, se decidi
que slo las personas con habilidades especiales o conocimientos que no podan sustituirse
fcilmente se deben documentar como activos durante la evaluacin.
En el caso de Pirmide Digital se identific que la Eco. Olga Obando por tener conocimiento y
realizar la mayor parte de actividades relacionadas con el cliente, el manejo de relaciones,
elaboracin de propuestas y coordinacin del equipo de consultores es indispensable para las
operaciones del da a da.
De igual manera, tanto Pablo Pez PhD como el Ing. Mario Morillo tambin se identificaron como
personas importantes relacionados con los activos de la empresa y sera muy difcil encontrar y
contratar dos personas que asuman estas responsabilidades sin que afecte o interrumpa las
operaciones de Pirmide Digital.
3.2.1.3 Evaluar las prcticas de seguridad organizacionales

Tabla 21: Hoja de Trabajo. Prcticas de seguridad: Seguridad, Concientizacin y Entrenamiento
Seguridad, Concientizacin y Entrenamiento
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Enunciado
Los miembros del

personal
comprendan sus
roles de seguridad
y
responsabilidades.
Esto est
documentado y
verificado.
Hay suficiente
experiencia interna
para todas las
versiones servicios,
mecanismos y
tecnologas. Esto
est documentado
y verificado.
Existe una
conciencia de
seguridad,
capacitacin y
recordatorios
peridicos, los que
se proporcionan
para todo el
personal. El
entendimiento del
personal est
documentado y se
verifica
peridicamente.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Si
Algo
No
No se sabe
Los
de
miembros del
capacitacin
personal
para
tienen tareas
personal de
definidas.
TI.
Miembros
el
entiende
siguen
todos
los
riesgos
de
la
buena
no
de
seguridad.
divulgar
Poco
informacin
conocimient
confidencial
o de roles y
y definicin
acciones de
de
seguridad.
contraseas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Amarillo
Verde
No aplica
Personal no
del personal
prctica
Si
Algo
No
No se sabe
Falta
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Personal
utiliza
una
sola
contrasea
para

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Los miembros del

personal siguen
buenas prcticas
como:
Asegurar
Si
Algo
No
No se sabe
acceder
todas
que
No
n formal de
divulgar
de
seguridad.
confidencial a
No
hay
documentaci
otros
Tener
de
servicios
capacidad
mecanismos
suficiente para
utilizar
la
informacin
y tecnologa.
No hay roles
y
tecnologa
de
hardware
software
existe
roles
informacin
No
documentaci
son
responsables
las
aplicaciones
informacin de
la
responsabili
dades
definidas.
Uso de buenas
prcticas
para
definir
contraseas
Entender
seguir
las
polticas
de
seguridad y los
reglamentos
Reconocer
reportar
incidentes
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 22: Hoja de Trabajo. Prcticas de seguridad: Estrategia de Seguridad
Estrategia de Seguridad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Las estrategias
comerciales de la
organizacin
incorporan
consideraciones de
seguridad.
Si
Algo
No
No se sabe
Las estrategias y
polticas de
seguridad toman en
cuenta las
estrategias y
objetivos del
negocio de la
organizacin.
Las estrategias de
seguridad, metas y
objetivos son
documentados y se
revisan de forma
rutinaria, se lo
actualiza y se
comunica a todos.
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
La
actual
estrategia de
seguridad de
la
empresa
no
es
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
efectiva.
La estrategia
de seguridad
no
Si
Algo
No
No se sabe
se
encuentra
bien
documentada
y
le
falta
enfoque
empresarial.
No
es
proactiva.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 23: Hoja de Trabajo. Prcticas de seguridad: Gestin de la Seguridad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La Gerencia asigna
fondos y recursos
suficientes para
actividades de
informacin de
seguridad.
Si
Algo
No
No se sabe
Los roles y
responsabilidades
de seguridad se
definen para todo el
personal de la
organizacin.
Todo el personal en
todos los niveles de
responsabilidad
pone en prctica sus
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
El equipo y
No
el
fondos
personal
hay
estn
de
suficientes
acuerdo
en
en
que
la
presupuesto
para
de riesgos es
seguridad.
dar un paso
Miembros
en
del personal
direccin
se
correcta que
encuentran
beneficiar a
satisfechos
la
con el nivel
organizacin
de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Amarillo
Verde
No aplica
el
evaluacin
la
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
seguridad
actual.
No hay roles
definidos

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
donde la
informacin reside.
Las prcticas de
contratacin y
terminacin de
personal en la
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin
gestiona los riesgos
de seguridad de la
informacin:
Evala
los
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
riesgos para la
seguridad de la
informacin
Toma medidas
para
mitigar
riesgos
de
seguridad de la
informacin
Gerencia recibe y
acta sobre los
informes de rutina
relacionados con la
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 24: Hoja de Trabajo. Prcticas de seguridad: Polticas de Seguridad y Regulaciones
Polticas de Seguridad y Regulaciones

Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La organizacin
cuenta con un
amplio conjunto de
polticas actuales
que peridicamente
son revisadas y
actualizacin.
Hay un
procedimiento
documentado de
gestin de las
polticas de
seguridad, que
incluye:
Creacin
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Existe
una
No todo el
prctica
personal
establecida
conoce
cualquier
sobre esta
incidente.
prctica.
Si
Algo
No
No se sabe
Rojo
Amarillo
Verde
No aplica
siempre
sigue
esta
prctica.
La prctica
de
(revisiones
seguridad
y
actualizaciones)
no
se
revisa,
no
est
Comunicacin
La organizacin
dispone de un
procedimiento
documentado para
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
La gente no
Administracin
peridicas
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
docuement
ada.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
regulaciones
aplicables, y
requisitos de
seguro.
La organizacin
uniformemente
refuerza sus
polticas de
seguridad.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 25: Hoja de Trabajo. Prcticas de seguridad: Plan de Contingencia/Recuperacin de Desastres
Plan de Contingencia/Recuperacin de Desastres

Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Se ha realizado un
anlisis de las
operaciones, las
aplicaciones y los
datos crticos.
Si
Algo
No
No se sabe
La organizacin ha
documentado,
revisado y probado:
Planes
de
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
No existe un
plan
de
recuperacin
naturales
No existe plan
de
negocio y de
continuidad
operacin
en
del negocio.
caso
de
No
hay
plan
un
de
recuperacin
de
recuperacin de
para sistemas
desastres (s)
o redes.
Los planes de
contingencia,
recuperacin de
desastres y de
negocios
consideran la
continuidad fsica y
electrnica y los
Rojo
Naranja
Verde
No aplica
emergencia
continuidad del
Plan
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
ante desastres
emergencia
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
requisitos de
acceso y controles.
Todo el personal:
Esta consciente
de los planes de
Si
Algo
No
No se sabe
recuperacin de
desastres
imprevistos
continuidad del
negocio.
Comprende
es
capaz
realizar
y
de
sus
responsabilidad
es.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 26: Hoja de Trabajo. Prcticas de seguridad: Control de Acceso Fsico
Control de Acceso Fsico

Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Planes de seguridad
de las instalaciones
y procedimientos
para salvaguardar
las instalaciones,
edificios y
cualquier zona
restringida y estn
documentados y
probados.
Hay polticas y
procedimientos
documentados para
la gestin de los
visitantes.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
controlar el acceso
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Existe una
La seguridad
poltica de
fsica se ve
manejo de
afectada
visitantes,
debido a que
pero no es
en ocasiones
propia
se comparten
de
la empresa,
laptops,
sino
conocen
establecida
contraseas
por
de
el
edificio
la
Rojo
Naranja
Verde
No aplica
se
otra
persona y se
donde
se
comparte el
encuentra
espacio en la
las oficinas
oficina.
de
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
la
empresa en
Quito.
Para
el
acceso a la
sala
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
de

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Las estaciones de
trabajo y otros
componentes que
permiten acceso a
informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.
Si
Algo
No
No se sabe
servidores
se requiere
de
una
tarjeta
magntica.
Todos
los
equipos de
la
oficina
necesitan
de
clave
una
de
acceso.
Estaciones
de trabajo y
servidores
estn
fsicamente
salvaguard
ados.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 27: Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red
Gestin del Sistema y la Red

Enunciado
Si alguien del
personal est
encargado de esta
rea:
Existen planes de
seguridad para
salvaguardar el
sistema y las redes.
La informacin
confidencial est
protegida en un
almacenamiento
seguro (por
ejemplo, copias de
seguridad
almacenadas en
otro sitio).
La integridad del
software instalado
es regularmente
verificada.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
realizan
Si
Algo
No
No se sabe
plan
contrasea
documentad
para
todos
cada
seis
Acceso
No todos los
actualizados
No
hay
estn
planes
de
protegidos
control
de
con
hardware y
contraseas
software
Existen
planeados
copias
de
seguridad.
de
estn
sistemas
Si
Algo
No
No se sabe
Se
No
hay
procedimien
da
tos formales
mantenimien
para cambio
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Rojo
Naranja
Verde
No aplica
sistemas
servidores y
Si
Algo
No
No se sabe
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
seguridad.
meses.
No existe un
cambios de
los usuarios
Todos los sistemas

estn actualizados a
la fecha de acuerdo
con revisiones,
parches y
recomendaciones
de seguridad.
Se
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Existe un plan
documentado y
comprobado para la
copia de seguridad
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios
de hardware y
software son
planeados,
controlados y
documentados.
Los miembros del
rea de TI siguen
procedimientos
para cambiar y dar
de baja
contraseas,
cuentas y
privilegios.
Solo los servicios
necesarios estn
corriendo en los
sistemas, todos los
servicios que no
son necesarios han
sido eliminados.
Herramientas y
mecanismos para el
sistema de
seguridad y
administracin de
la red que se
utilizan, se revisan
de manera
rutinaria, se
actualizan o
reemplazan.
Si
Algo
No
No se sabe
to
de
hardware y
contraseas
software una
o manejo de
vez
usuarios.
cada
ao.
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 28: Hoja de Trabajo. Prcticas de seguridad: Monitoreo y Auditora de la Seguridad de TI
Monitoreo y Auditora de la Seguridad de TI

Enunciado
Si alguien del
personal est
encargado de esta
rea:
Sistema y red de
monitoreo y
herramientas de
auditora son
habitualmente
utilizados por la
organizacin.
Actividades
inusuales se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.
Componentes del
Firewall y otros
componentes de
seguridad son
auditados
peridicamente
para revisar el
cumplimiento de
polticas.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Se
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
realizan
No
se
monitoreos
reporta
del sistema.
actividad
Se monitorea
inusual.
el servidor de
No
seguridad
polticas
regularmente
definidas.
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
hay
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 29: Hoja de Trabajo. Prcticas de seguridad: Manejo de la Vulnerabilidad
Manejo de la Vulnerabilidad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Hay un conjunto
de procedimientos
documentados
para
manejo de
vulnerabilidades,
para:
Seleccion
ar
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
No
hay
procedimientos
definidos para
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
poder manejar
la
vulnerabilidad
en
la
organizacin.
las
herramientas
de evaluacin
de
vulnerabilidad,
listas
de
control
secuencias de
comandos
Mantener
se al da con la
vulnerabilidad
conocida, tipos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
y mtodos de
ataque
Revisar
las fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas
de
seguridad
comunicacin
Identifica
cin
de
los
componentes
de
infraestructura
a ser evaluado
Programa
r evaluaciones
de
vulnerabilidad
Interpreta
r y responder a
los resultados
Mantener
un
almacenamient
o seguro y la
disposicin de
datos
vulnerables
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se siguen
procedimientos de
gestin de
vulnerabilidades
los que son
peridicamente
revisados y
actualizados.
Evaluaciones de
tecnologa
vulnerable se
realizan en forma
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 30: Hoja de Trabajo. Prcticas de seguridad: Encriptacin
Encriptacin
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Controles
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Se maneja
No se protege
una
informacin el
red
privada
momento
de
virtual.
enviarla
va
apropiados de
seguridad
electrnico
para
mediante
proteger
encriptacin.
informacin
sensible
Nunca se ha
discutido
durante
el
almacenamient
o y durante la
transmisin
(por
Rojo
Naranja
Verde
No aplica
correo
se
utilizan
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
proteger
informacin
mediante
encriptacin.
ejemplo,
el cifrado de
datos,
infraestructura
de
clave
pblica,
tecnologa
red
de
privada
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
virtual).
Se utilizan
protocolos de
cifrado cuando se
maneja sistemas,
routers y firewalls
a distancia.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 31: Hoja de Trabajo. Prcticas de seguridad: Seguridad de Diseo y Arquitectura
Seguridad de Diseo y Arquitectura

Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Arquitectura del
sistema y diseo
para sistemas
nuevos y
actualizaciones
que incluyen las
siguientes
consideraciones:
Estrategi
as
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Existe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
el
No
se
ha
diagrama de
discutido con
arquitectura
el
de red de la
sobre
empresa
seguridad del
personal
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
diseo y la
arquitectura
de
seguridad,
polticas
procedimientos
Antecede
ntes
de
compromisos
de seguridad.
Resultad
os
de
las
evaluaciones
de riesgos de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
seguridad.
La organizacin
tiene diagramas
que muestran la
seguridad en toda
la empresa y la
arquitectura de red
que estn
actualizados.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 32: Hoja de Trabajo. Prcticas de seguridad: Manejo de Incidentes
Manejo de Incidentes
Enunciado
Si alguien del
personal est
encargado de esta
rea:
Existen
procedimientos
documentados
para la
identificacin,
presentacin de
informes, y
procesos para
responder a
incidentes
sospechosos y
violaciones.
Los
procedimientos de
manejo de
incidentes son
peridicamente
probados,
verificados y
actualizados.
Existen polticas y
procedimientos
documentados
para trabajar con
autoridades
policiales.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
No
existen
procedimient
os
para
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
presentar
informes
procesos
para
responder a
incidentes
sospechosos
y
Si
Algo
No
No se sabe
violaciones.
Nunca se ha
considerado
desarrollar
una poltica
Si
Algo
No
No se sabe
para
tratar
con
incidentes
sospechosos
violaciones o
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
autoridades
policiales.
No
se
reportan
incidentes o
violaciones.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se utiliz la Hoja de Trabajo: Prcticas de seguridad para documentar el estado actual y la eficiencia
de las prcticas de seguridad de la organizacin, para esto se discutieron las preguntas presentadas en
las hojas de trabajo hasta llegar a un consenso de hasta que extensin cada prctica de seguridad est
presente en Pirmide Digital. Durante esta evaluacin, se identificaron fortalezas y debilidades
relacionadas a cada prctica de seguridad. La mayora de reas evaluadas fueron asignadas bajo el
estatus rojo o naranja, ninguna rea fue asignada con el estatus verde para prcticas de seguridad.
Se not que algunas prcticas de seguridad se realizaban correctamente en Pirmide Digital, pero la
mayora no se estaban ejecutando correctamente. Las dos prcticas de seguridad que se ejecutan bien
en la organizacin son: proteccin de la informacin confidencial en un almacenamiento seguro y
todas las estaciones de trabajo y otros componentes que permiten acceso a informacin sensible
estn fsicamente salvaguardados para prevenir acceso no autorizado.
Al rea de seguridad, concientizacin y entrenamiento se le asign estatus rojo ya que no existen
roles y responsabilidades de seguridad documentados y verificados, no hay capacitacin de
seguridad peridica para el personal y no se siguen buenas prcticas de seguridad ya que no hay
polticas de seguridad y reglamentos definidos.
Al rea de estrategias de seguridad se le asign estatus rojo ya que la actual estrategia comercial de
la empresa no es efectiva, no est documentada y no es proactiva y no hay una poltica de seguridad
definida para la organizacin.
Al rea de gestin de la seguridad se le asign estatus rojo ya que Gerencia no asigna fondos
suficientes para que miembros del personal se capaciten en seguridad, no hay roles y
responsabilidades definidos de seguridad para el personal, no existen procedimientos documentados
para la autorizacin y supervisin del personal que trabaja con informacin sensible ni para manejar
la contratacin y terminacin del personal, la organizacin no gestiona los riesgos de la seguridad de
la informacin.
Al rea de polticas de seguridad y regulaciones se le asign estatus rojo ya la poltica de manejo de
incidentes no es formal y no se encuentra documentada, no existe un procedimiento documentado
para evaluar y garantizar el cumplimiento de polticas de seguridad, leyes, regulaciones, etc.
Al rea de plan de contingencia y recuperacin de desastres se le asign estatus rojo debido a que
actualmente no existe un plan de recuperacin ante desastres naturales o emergencias, plan de
continuidad del negocio o de recuperacin para sistemas o redes.
Al rea de control de acceso fsico se le asign estatus naranja ya que existe control de acceso al rea
de servidores mediante el uso de una tarjeta magntica, todos los equipos estn protegidos con una
clave de acceso y tambin se encuentran fsicamente salvaguardados sin embargo, la seguridad fsica
se ve afectada debido a que en ocasiones se comparte computadores o se conocen contraseas de
otras personas, adems no existe una poltica de manejo de visitantes propia de la empresa sino que
se utiliza la poltica que maneja el edificio donde se encuentra la oficina de la empresa en Quito.
Al rea de gestin del sistema y la red se le asign estatus naranja ya que se realizan cambios de
contraseas peridicos para todos los usuarios, el acceso a equipos y sistemas est protegido con
contraseas, la empresa cuenta con copias de seguridad almacenadas en otro lugar y se da
mantenimiento a hardware y software una vez al ao sin embargo, actualmente no existe un plan de
seguridad del sistema y la red documentado, no todos los sistemas estn actualizados, no hay planes
de control de hardware y software ni procedimientos formales para cambio de contraseas o manejo
de usuarios y no se han eliminado los servicios que no se estn utilizando.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Al rea de monitoreo y auditora de la seguridad de TI se le asign estatus naranja ya que se realizan

monitoreos del sistema regularmente sin embargo, no se reporta actividades inusuales de acuerdo
con polticas y procedimientos definidos.
Al rea de manejo de la vulnerabilidad se le asign estatus rojo ya que no existen procedimientos
definidos para ninguno de los niveles de manejo de vulnerabilidades en la organizacin.
Al rea de encriptacin se le asign estatus rojo ya que nunca se ha discutido proteger la informacin
mediante encriptacin, no se protege la informacin el momento de enviarla via correo electrnico
mediante encriptacin y tampoco se utilizan protocolos de cifrado para manejar sistemas, routers o
firewalls a distancia.
Al rea de seguridad de diseo y arquitectura se le asign estatus rojo ya que si bien existe un
diagrama de arquitectura de red de la empresa no se ha hecho ninguna consideracin para el manejo
de seguridad del diseo y arquitectura de red, no existen polticas de seguridad, antecedentes de
compromisos de seguridad ni evaluaciones de riesgos de seguridad.
Y finalmente al rea de incidentes se le asign estatus rojo ya que no existen procedimientos para
presentar informes o procesos para responder a incidentes sospechosos y violaciones y nunca se ha
considerado desarrollar una poltica para tratar con autoridades policiales.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.2.2 Proceso S2: Crear perfiles de amenazas

3.2.2.1 Seleccionar Activos Crticos
Tabla 33: Hoja de Trabajo: Seleccin de Activos Crticos
Seleccin de Activos Crticos

Preguntas a considerar:
Qu activo tendra un efecto adverso en la organizacin si:
Es divulgado a personas no autorizadas?
Es modificado sin autorizacin?
Se pierde o es destruido?
El acceso al activo es interrumpido?

Activo Crtico
1.
Portal de Gerencia
(www.elmayorportaldegerencia.com)
2. Aplicaciones
3. Cliente
Notas
La empresa depende del Portal de Gerencia
El personal utiliza distintas aplicaciones
diariamente.
Todo el personal utiliza computadoras
personales para tener acceso a la diferente
documentacin.
Se seleccionaron los siguientes activos crticos:

Portal de Gerencia: Esta fue una seleccin obvia para el equipo de trabajo, ya que el Portal de
Gerencia es central para que se desarrollen las operaciones de Pirmide Digital, ya que desde
aqu se maneja la universidad virtual, se almacenan videos, presentaciones, tips, entre otros
documentos necesarios para dictar los diferentes cursos que dicta la empresa. Pirmide Digital
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
debe cumplir con regulaciones para proteger la seguridad y privacidad para asegurar esta
informacin.
Aplicaciones: Se seleccion a las aplicaciones como activo crtico ya que varias de estas
aplicaciones son utilizadas diariamente por el personal ya sea para el monitoreo continuo del
estado de los distintos servidores (RealVNC) o para hacer seguimiento a proyectos, clientes,
campaas de marketing, etc. (SugarCRM).
Cliente: El equipo de anlisis concluy que las computadoras personales eran un activo comn
para todos los sistemas.
Se registraron todas las opciones para los activos crticos en la Hoja de Trabajo: Seleccin de
Activos Crticos. Posteriormente, se decidi que el Activo Crtico a ser evaluado es el Portal de
Gerencia, desde este punto en adelante todos los resultados presentados corresponden a dicho activo
critico.
3.2.2.2 Identificar requerimientos de seguridad

Tabla 34: Hoja de Trabajo: Informacin de Activos Crticos
Informacin de Activos Crticos

Activo
Crtico
Justificacin
Descripcin del
de la Seleccin Sistema
Requerimientos
de Seguridad
Cul es el
sistema crtico?
Por qu es ese
sistema crtico para
la organizacin?
Cules son los

requerimientos de
seguridad para este
sistema?
Quin usa el sistema?

Quin es responsable
de este sistema?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Requerimiento
de seguridad
ms importante
Cul de los
requerimientos de
seguridad es el ms
importante para este
sistema?

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Portal de
Gerencia
El equipo de
trabajo defini
que el personal
es 80%
dependiente
del Portal de
Gerencia ya
que ah se
encuentra
almacenada
toda la
informacin
que se utiliza
para los
distintos
cursos que se
dictan,
redactar
propuestas y la
universidad
virtual.
Todo el personal
tiene acceso al
portal.
El encargado de
realizar
mantenimiento
del mismo es el
departamento de
Sistemas de la
empresa.
Confidencialidad:
Solo personal
autorizado puede
ver informacin
del Portal de
Gerencia, se debe
considerar que
persona tiene
acceso a qu
informacin.
Confidencialidad
Integridad
Disponibilidad
Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin del
Portal de
Gerencia.
Disponibilidad:
El Portal de
Gerencia debe
estar disponible
para que el
personal realice su
trabajo. El acceso
a esta informacin
es requerida
24x7x365.
Otro:
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 89
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se discutieron cules cualidades del activo crtico Portal de Gerencia eran importantes de proteger,
esta discusin result en la identificacin de los requerimientos de seguridad para este activo crtico.
Seleccionar el requerimiento de seguridad ms importante fue una decisin sin embargo, despus de
considerar y analizar las opciones, se decidi que el requerimiento de seguridad ms importante es la
disponibilidad del Portal de Gerencia, ya que para realizar actividades cotidianas, dictar cursos o
realizar propuestas se necesita acceso continuo e inmediato al Portal.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.2.2.3 Identificar amenazas a los activos crticos

Tabla 35: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso a la
red Perfil bsico de riesgo
Actores con acceso a la red Perfil bsico de riesgo
Accidental
Adentro
`
Premeditado
Portal
Red
Resultado
Actor
Activo
Motivo
Actores de amenazas
Qu actores plantean las mayores amenazas
para el sistema a travs de la red?
Acceso
Amenaza
Para cul rama hay una posibilidad no desdeable de una amenaza
al activo? Marque estas ramas en el rbol.
Para cul de las ramas restantes hay una posibilidad despreciable o
nula de una amenaza para el activo? No marque estas ramas.
Revelacin
Modificacin
Prdida
Interrupcin
Personas que pertenecen a la organizacin

que actan accidentalmente:
Revelacin
Modificacin
Prdida

que actan deliberadamente:
Interrupcin
Accidental
Afuera
Premeditado
Personas que trabajan en la empresa

que discuten informacin sensible
en reas pblicas.
Personal descontento, o personas

que mal utilizan la informacin
alojada en el Portal de Gerencia y no
tienen motivos maliciosos.
Revelacin
Modificacin
Prdida
Interrupcin
Personas ajenas a la organizacin que

actan accidentalmente:
Revelacin
Modificacin
Prdida
Interrupcin

actan deliberadamente:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Algn tcnico que haya sido

contratado para que arregle alguna
falla de hardware.
Terroristas, espas, hackers.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Muy
Qu tan exactos son estos

datos?
5 veces en 2 aos
2 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
0 veces en 2 aos
0 veces en 2 aos
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
X
X
X
X
0 veces en 2 aos
0 veces en 2 aos
X
X
Nada
Con qu frecuencia ha
ocurrido esta amenaza en el
pasado?
Nada
Algo
Muy
Bajo
Medio
Alto
Historia
Qu tan confiado est

usted de este estimado?
Algo
Motivo
Qu tan fuerte es el motivo
del actor?
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
96-97
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red

De ejemplos de cmo personas
Cualquier empleado que sin ser consciente revela datos
que pertenecen a la
importantes, claves o datos importantes de la
organizacin actuando
organizacin.
accidentalmente podran utilizar
el acceso a la red para amenazar
el sistema.
Cualquier empleado que tenga acceso fsico o remoto al
que pertenecen a la
servidor donde se aloja el Portal de Gerencia.
organizacin que actuando
deliberadamente podran utilizar
el sistema.
Gente que no pertenece a la organizacin que tiene acceso a la red
Cualquier tcnico que tenga acceso fsico a los equipos
que no pertenecen a la
que deliberada o accidentalmente pueda acceder a
informacin confidencial
el sistema.
Espas o hackers que quieran acceder al portal pueden
intentar hackearlo buscando y explorando limitantes en el
cdigo o en las mquinas.
el sistema.
Tabla 37: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema
Problemas del Sistema Perfil bsico de riesgo

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Historia
Porta
l
El sistema se cae
Defectos de hardware
Cdigo malicioso
Revelacin 0 veces en 2 aos

Modificacin 3 veces en 2 aos
Prdida
0 veces en 2 aos
Interrupcin 7 veces en 2 aos
X
X
X
X

1 veces en 2 aos
Prdida
X
X
X
X

Prdida
2 veces en 2 aos
X
X
X
X

Prdida
0 veces en 2 aos
0 veces en 2 aos
Interrupcin
X
X
X
X
Nada
Qu tan exactos son

estos datos?
Muy
Resultad
o
Actor
Activo
Defectos de software
ocurrido esta amenaza
en el pasado?
Algo
Amenaza
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 38: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del Sistema
reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
sistema.
Defectos de Hardware
defecto de hardware podra ser
sistema.
Cualquier software mal instalado o sin actualizaciones.
Sin acceso al sistema, se detiene la operacin.
Al migrar la informacin a un nuevo servidor, y no est en

produccin a tiempo.
Cdigo Malicioso
De ejemplos de cmo cdigo
Cualquier vulnerabilidad puede ser explotada a travs de
malicioso de software podra ser un virus o cualquier otro tipo de cdigo malicioso.
sistema.
Tabla 39: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Otros Problemas Perfil bsico de riesgo

Historia
Problemas con el
suministro de energa
Problemas de
telecomunicaciones

2 veces en 2 aos
Prdida
X
X

Prdida
2 veces en 2 aos
X
X
X
X

Prdida
0 veces en 2 aos
0 veces en 2 aos
Interrupcin
X
X
X
X
Problemas con
sistemas de terceros
Desastres naturales
Nada
Muy
Resultad
o
Actor
Activo
Qu tan exactos son

estos datos?

Prdida
3 veces en 2 aos
Porta
l
en el pasado?
Algo
Amenaza
X
X
X
X
X
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
reas de Preocupacin
Problemas con el suministro de energa

De ejemplos de cmo cualquier Los UPS no subieron correctamente haciendo que los
problema con el suministro de
procesos que estaban corriendo se detengan, en varios
energa podra ser considerado
casos se ha perdido informacin.
una amenazar el sistema.
Problemas de telecomunicaciones
De ejemplos de cmo cualquier Sin acceso a internet o conexin a la red interna de
problema de
Pirmide Digital no se puede monitorear el estado del
telecomunicaciones podra ser
servidor web.
sistema.
Problemas con sistemas de terceros

De ejemplos de cmo cualquier El momento que se instal Sugar CRM en el servidor web
problema con sistemas de
se tuvo problemas y el envo de campaas de marketing se
terceros podra ser considerado detuvo.
Desastres naturales
De ejemplos de algn desastre
natural podra ser considerado
No se han registrado amenazas al sistema por desastres

naturales.

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Historia
Personas clave
permiso temporal
X
X
X
X
Personas clave
que renuncian

2 veces en 2 aos
Prdida
X
X
X
X
Nada
Muy
Resultad
o
Actor
Activo
Qu tan exactos son

estos datos?

Prdida
3 veces en 2 aos
Porta
l
en el pasado?
Algo
Amenaza
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
reas de Preocupacin
Personas clave que toman un permiso temporal

De ejemplos de cmo si una
Cuando una persona clave en la organizacin sali de
persona clave en la organizacin vacaciones, hubo una interrupcin en el Portal de
toma un permiso temporal
Gerencia.
podra ser considerado una
amenazar el sistema.
Personas clave que salen de la organizacin permanentemente

Cuando renuncio una persona clave en la empresa, quien
persona clave en la organizacin conoca como administrar un sistema, tom tiempo en que
se retira de la empresa
la persona que lo iba a reemplazar logre poner en
permanentemente podra ser
funcionamiento dicho sistema.
sistema.
Se construy un perfil de riesgo para el activo critico Portal de Gerencia, registrando el perfil en la
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia, las amenazas
correspondientes a los Actores Humanos con acceso a la red y fsicos no se deben minimizar o
despreciar as no se haya detectado mayor amenaza por los actores con acceso a la red en los ltimos
dos aos, se lleg a esta conclusin basado en la experiencia del equipo y los problemas
relacionados con la red y la seguridad fsica.
La mayora de las amenazas de la categora de Problemas del Sistema afectara por lo general slo la
disponibilidad de la informacin almacenada en el Portal de Gerencia, la excepcin es el cdigo
malicioso, ya que no se puede conocer el resultado de esta amenaza. Las amenazas de la otra
categora de Otros Problemas tambin se cree que afecta slo a la disponibilidad del Portal de
Gerencia.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Se identificaron los tipos de personas que pueden ser consideradas actores amenaza, se document
distintos tipos de actores potenciales, incluyendo hackers, personal descontento y personal de
Pirmide Digital que de manera accidental o premeditado puedan poner en riesgo al activo, ya que la
empresa no cuenta con un plan para manejar el acceso a la informacin o violaciones de seguridad
confidencial, el equipo estaba preocupado por la amenaza potencial planteada por cualquier tcnico
que tenga acceso fsico a los equipos que deliberada o accidentalmente pueda acceder a informacin
confidencial.
Con la excepcin de algn miembro del personal descontento, se determin que la amenaza que
representa cualquier persona que trabaja para la organizacin es baja; los motivos de personas del
exterior para acceder al Portal de Gerencia fueron difciles de estimar, pero se llego a la conclusin
que debido a que la empresa no es muy grande es un objetivo menos atractivo a hackers o espas. Se
decidi que los motivos para personas del exterior que pueden amenazar al sistema es bajo.
La amenaza que presenta un defecto de software, hardware, si el sistema se cae o cdigo malicioso
ha generado algunos episodios en los ltimos dos aos causando modificacin, perdida e
interrupcin en el activo.
El riesgo de que un problema con el suministro de energa, de telecomunicaciones, sistemas de
tercero o desastres naturales result difcil de estimar y el equipo no se encontraba muy seguro de
estos datos, especialmente para estimar la frecuencia de modificacin, perdida e interrupcin debido
a problemas con el suministro de energa y la perdida y interrupcin debido a problemas de
telecomunicaciones ya que result difcil recordar todos los episodios que han sucedido en los
ltimos dos aos.
Otra rea de preocupacin que puede convertirse en una amenaza al sistema es que si algn miembro
del personal que se considera clave en la organizacin pide un permiso temporal o renuncia se
considera como una amenaza al sistema, ya que toma tiempo hacer que otra persona asuma esas
responsabilidades haciendo difcil buscar un reemplazo adecuado, esta conclusin la confirma los
datos recolectados por el equipo de anlisis ya que en dos aos han ocurrido casos en que se ha
perdido, modificado e interrumpido el activo.
3.3
Fase Dos: Identificar vulnerabilidades de la infraestructura
En esta fase, el equipo de trabajo conduce una revisin de alto nivel de la infraestructura
computacional, debe enfocarse en la seguridad, y se debe analizar cmo la gente utiliza la
infraestructura computacional para acceder a los activos crticos, y conociendo quin es responsable
de configurar y dar mantenimiento a dichos activos crticos.
El equipo de trabajo examina hasta qu punto cada parte responsable realiza con seguridad sus
prcticas y procesos de TI.
En esta fase se identifica un proceso:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Figura 9: Mtodo Octave-S, Fase Dos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.3.1 Proceso S3: Examinar la infraestructura computacional en

relacin a los activos crticos
3.3.1.1 Examinar rutas de acceso
Tabla 43: Hoja de Trabajo: Rutas de acceso
Sistema de inters
Portal de Gerencia
Sistema de Inters
Sistema de Inters
Puntos de Acceso
Puntos de Acceso Intermedios
Cul de las siguientes clases de componentes son parte del

sistema de inters?
Cul de las siguientes clases de componentes se utilizan

para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores
Redes Internas
Estaciones de trabajo
Otros
Red Interna
Red externa
Otros
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Puntos de Acceso
Acceso al Sistema por
Ubicacin de donde se
Otros Sistemas o
Individuos
almacenan los datos
Componentes
Acceso al Sistema por Ubicacin de donde se Otros
Sistemas
Individuos
almacenan los datos
Componentes
De cul de las siguientes
clases de componentes puede la gente
(por ejemplo, los usuarios, los
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
En qu clase de componente esta la

informacin del sistema de inters
almacenada por motivos de respaldo?
Estaciones de Trabajo
Laptops
Dispositivos de
almacenamiento de respaldos
locales
PDAs/Componentes Wireless
Otros
Cul otro sistema accede

informacin del sistema de inters?
o
a
Estaciones de Trabajo fuera

de la oficina
Otros
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 140-141
Se utiliz la Hoja de Trabajo: Rutas de acceso, para revisar cmo la gente accede al activo crtico
Portal de Gerencia y se identificaron clases de componentes clave que eran parte o se relacionaban
con el Portal. Esta actividad incluy examinar puntos de acceso al Portal de Gerencia y se determin
que el personal usualmente utilizaba estaciones de trabajo, laptops, PDAs y estaciones de trabajo
fuera de la oficina para acceder al Portal, se determin que los puntos de acceso intermedio incluan
redes internas y externas y que se contaba con dispositivos de almacenamiento de respaldos locales.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.3.1.2 Analizar procesos relacionados con tecnologa

Tabla 44: Hoja de Trabajo: Evaluacin de la infraestructura
Cliente
Responsabilidad
Quin es responsable de mantener y
asegurar cada clase de cada
componente?
Aplicaciones
Activo Crtico
Cul activo critico est
relacionado con cada clase?
Portal
Clase
Cul clase de componente est
relacionado con uno o ms de los activos
crticos?
Servidores
Servidor web
rea de Tecnologa
Red interna
Todos
rea de Tecnologa
Administrador
Usuarios
X
X
X
X
rea de Tecnologa
rea de Tecnologa
X
X
X
X
X
rea de Tecnologa
rea de Tecnologa
rea de Tecnologa
Laptops
Administrador
Usuarios
Visitantes
Personal
Visitantes
X
X
rea de Tecnologa
rea de Tecnologa
Dispositivos de
Almacenamiento
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Respaldo local
Respaldo off-site
X
X
X
X
rea de Tecnologa
No seguro
Red Externa
Todos
Desconocido
Estaciones de trabajo fuera de

la oficina
Administrador
Usuarios
X
X
Individual
Individual
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 144-147
Para poder realizar esta actividad, se asumi un punto de vista de la infraestructura para analizar la
informacin utilizando la Hoja de Trabajo: Evaluacin de la infraestructura, durante este anlisis se
documentaron las clases de componentes y se analiz cul activo crtico estaba relacionado a cada
clase, tambin se determino quin era responsable de mantener y asegurar cada clase de componente.
El personal de Pirmide Digital a travs del rea de Tecnologa da mantenimiento a la mayora de
las clases de componentes, excepto cuando se accede al Portal a travs de estaciones de trabajo fuera
de la oficina.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.4
Fase Tres: Desarrollo de planes y estrategias de seguridad
En esta fase, el equipo de trabajo identifica los riesgos s los que los activos crticos de la empresa
estn expuestos y decide qu hacer con ellos, se basan en un anlisis de la informacin recogida, con
esta informacin el equipo de trabajo desarrolla una estrategia de proteccin para la organizacin y
planes de mitigacin para enfrentar los riesgos de los activos crticos.
En esta fase se identifican dos procesos:
Figura 10: Mtodo Octave-S, Fase Tres
3.4.1 Proceso S4: Identificar y analizar los riesgos

3.4.1.1 Evaluar el impacto de las amenazas
red. Impacto
Actores con acceso a la red Impacto
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Afuera
Premeditado
Otro
Accidental
Seguridad
Porta
l
Red
Multas
Premeditado
Productividad
Financiero
Adentro
Reputacin
Accidental
Revelacin
Modificacin
Prdida
Interrupcin
M
M
A
A
B
B
M
M
A
A
A
A
B
B
B
B
A
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
A
A
A
A
B
B
B
B
A
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
B
M
M
A
A
A
M
B
B
M
M
M
M
M
M
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
A
A
A
A
A
A
A
M
M
M
M
A
A
A
A
Resultado
Actor
Activo
Motivo
Impacto
Cul es el impacto potencial en la organizacin
en cada rea aplicable?
A: Alto
M: Medio
B: Bajo
Acceso
Amenaza
118
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Tabla 46: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Impacto
Problemas del Sistema Impacto
Multas
Seguridad
Otro
Productividad
Porta
l
El sistema se cae
Financiero
Revelacin
Modificacin
Prdida
Interrupcin
M
A
A
A
M
M
A
A
A
A
A
A
B
B
B
M
M
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
A
A
M
B
A
A
M
M
A
A
B
B
B
B
M
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
B
A
A
B
B
A
A
A
A
A
A
B
M
M
M
M
M
A
A
Resultado
Actor
Reputacin
Impacto
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
Tabla 47: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto

Amenaza
Impacto


A: Alto
M: Medio
B: Bajo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Seguridad
Otro
Desastres naturales
Multas
Problemas con
Productividad
Problemas de
telecomunicaciones
Financiero
Porta
l
Reputacin
Problemas con el
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
M
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
A
M
M
M
A
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Revelacin
Modificacin
Prdida
Interrupcin
A
M
M
M
A
M
M
M
B
M
A
A
M
M
M
M
B
A
A
A
Resultado
Actor
Activo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Impacto
Productividad
Multas
Seguridad
Otro
Personas clave
que renuncian
Financiero
Porta
l
Revelacin
Modificacin
Prdida
Interrupcin
A
A
A
A
M
M
M
B
M
A
A
A
B
B
B
B
M
A
A
A
Revelacin
Modificacin
Prdida
A
A
A
A
M
M
M
M
A
A
A
A
B
M
M
M
A
A
A
A
Resultado
Actor
Personas clave
permiso temp.
Reputacin
Impacto
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Interrupcin
La Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Impacto sirvi para
evaluar los impactos de las amenazas en la organizacin, se revis cada rea de inters y discutieron
distintos tipos de acciones especficas que habra que adoptar para hacer frente a una amenaza,
proporcionando una base para estimar el nivel real de impacto (alto, medio, bajo).
Existi dificultad el momento de estimar el impacto en el caso de reputacin y multas para algunas
de las amenazas, por lo que se decidi consultar el criterio del Gerente General de la empresa para
poder realizar estas estimaciones.
De manera particular se identifica la prdida o interrupcin del activo crtico en cada rea de inters
como lo ms importante a tomar en cuenta en caso de una amenaza.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.4.1.2 Establecer criterios de evaluacin basado en la frecuencia

Tabla 49: Hoja de Trabajo: Criterios basados en la frecuencia
1.
Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto
Tiempo
entre
eventos
Frecuencia
analizada
2.
Medio
Diario
Semanal
Mensual
Cuatro veces
al ao
< 4 veces al
ao
365
52
12
<4
Dibuje lneas que separen alto de medio y medio de bajo
Medio
Bajo
Una vez al
ao
< 1 vez al
ao
Una vez cada

5 aos
<1
0.2
Una vez cada Una vez cada

10 aos
20 aos
0.1
0.05
Una vez cada

50 aos
0.02
Se defini la frecuencia utilizando la Hoja de Trabajo: Criterios basados en la frecuencia basndose

en su experiencia y conocimientos, as como la limitada informacin histrica que tenan de
amenazas para definir el criterio a utilizar para estimar si la ocurrencia de amenazas al Portal de
Gerencia es alto, medio o bajo.
Se defini un lmite alto si la ocurrencia de una amenaza suceda ms de cuatro veces al ao, medio
si la ocurrencia es entre una y cuatro veces al ao y baja si ocurra menos de una vez al ao.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.4.1.3 Evaluar probabilidades de amenaza

red. Probabilidad
Actores con acceso a la red Probabilidad

Amenaza
Probabilidad
Accidental
Adentro
`
Premeditado
Porta
l
Red
Accidental
Afuera
Premeditado
Qu tan probable es que la amenaza ocurra en

el futuro? (A: Alto, M: Medio, B: Bajo)
Qu tan confiado est de esta estimacin?
Revelacin
Modificacin
Prdida
Interrupcin
B
B
M
M
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
B
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
X
X
X
X
Revelacin
Modificacin
M
M
X
X
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Algo
Muy
Confianza
Valor
Resultado
Motivo
Actor
Activo
Acceso


Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Prdida
Interrupcin
M
M
X
X
119
Tabla 51: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Probabilidad
Problemas del Sistema Probabilidad
Revelacin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Algo
Muy
Confianza
Valor
Resultado
Actor
Probabilidad
Qu tan probable es que la amenaza ocurra en el
futuro? (A: Alto, M: Medio, B: Bajo)
Activo
Amenaza
X
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Porta
l
El sistema se cae
Cdigo malicioso
Modificacin
Prdida
Interrupcin
M
B
B
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
A
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
A
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
B
B
B
X
X
X
X
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Probabilidad
Otros Problemas Probabilidad
Porta
l
`
Problemas de
telecomunicaciones
Problemas con
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
B
M
M
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
M
A
A
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
M
M
M
M
X
X
X
X
Revelacin
Modificacin
Prdida
Interrupcin
B
M
M
A
X
X
X
X
Nada
Algo
Muy
Confianza
Valor
Actor
Problemas con el
Resultado
Probabilidad
Activo
Amenaza
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Probabilidad
Porta
l
`
Personas clave
que renuncian
Nada
Algo
Muy
Confianza
Valor
Actor
Personas clave
permiso temp.
Resultado
Probabilidad
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
B
M
A
A
X
X
X
X
Revelacin
Modificacin
Prdida
B
M
A
A
X
X
X
X
Interrupcin
Usando la Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Probabilidad
con la ayuda del equipo de trabajo y el Gerente General de la organizacin se evalu la probabilidad
de que ocurra una amenaza y se determin el nivel de confianza de este estimado, los resultados son
los siguientes:
Para cualquier amenaza que ocurra por problemas del sistema como defectos de software, si el
sistema se cae, defectos de hardware o cdigo malicioso el equipo de anlisis se mostr muy
confiado al realizar estimados de probabilidades de ocurrencia de estas amenazas en el futuro,
tomando especial atencin si se trata de un defecto de hardware o si el sistema se cae ya que
consideran hay mayor probabilidad de que ocurra alguna modificacin o interrupcin en el activo.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Para realizar estimados de probabilidades de amenaza causadas por actores con acceso a la red, el
equipo se muestra poco confiado, ya que es difcil predecir el comportamiento de la gente sin
embargo, consideran que la principal amenaza se presentara con alguna persona externa a la
organizacin que lo haga accidentalmente o con intencin de causar dao.
En el caso de amenazas presentadas por problemas con el suministro de energa,
telecomunicaciones, problemas con sistemas de terceros o desastres naturales se considera que la
probabilidad de que suceda en el futuro es media para cada caso. El equipo se mostr poco confiado
al realizar estas estimaciones.
Finalmente, la probabilidad de que ocurra una amenaza si una persona clave en la organizacin tome
un permiso temporal o una persona clave en la organizacin renuncie es alta si el resultado es
prdida o interrupcin; en este caso igualmente el equipo de anlisis se mostr poco confiado en
estas estimaciones.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.5.1 Proceso S5: Desarrollo de estrategias y planes de mitigacin

3.5.1.1 Describir estrategia de proteccin actual
Tabla 54: Hoja de Trabajo: Conocimiento de seguridad y entrenamiento
Qu tan formal es la estrategia de capacitacin de su organizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin
documentada que incluye una evaluacin del conocimiento
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin
informal e indocumentada.
Cambiar
Actual
Actual
Cambiar
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Evaluar el conocimiento de Seguridad

Se proveen entrenamientos peridicos sobre seguridad que
a todos los empleados 1 vez cada ao.
Se provee entrenamiento sobre seguridad a personas nuevas
en la organizacin como parte de sus actividades de
orientacin.
La organizacin no provee un entrenamiento sobre
seguridad. Cada miembro del personal aprende sobre
problemas de seguridad por s mismo.
Actual
Actual
Cambiar
Cambiar
Actual
Cambiar
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Entrenamiento relacionado con Seguridad

Los miembros del rea de TI deben asistir a entrenamientos
relacionados con seguridad para cualquier tecnologa que
utilicen.
Los miembros del rea de TI pueden asistir a
entrenamientos relacionados con seguridad para cualquier
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que
miembros del rea de TI asistan a entrenamientos
utilicen.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actualizaciones peridicas de Seguridad

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La organizacin tiene mecanismos formales para proveer

miembros del personal con actualizaciones peridicas /
boletines sobre problemas de seguridad importantes.
La organizacin no tiene un mecanismo para proveer a
Cambiar
Actual
Actual
Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
Verificacin del Entrenamiento

La organizacin tiene mecanismos formales para rastrear y
verificar que los miembros del personal reciban
entrenamiento sobre seguridad apropiado.
La organizacin tiene mecanismos informales para rastrear
y verificar que los miembros del personal reciban
La organizacin no tiene mecanismos para rastrear y
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Tabla 55: Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se
trabaja con colaboradores y socios.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
documentados para proteger cierta la informacin cuando

se trabaja con colaboradores y socios. La organizacin tiene
polticas y procedimientos no documentados para proteger
otros tipos de informacin cuando se trabaja con
colaboradores y socios.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se
Actual
Cambiar
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Contratistas y Subcontratistas
trabaja con contratistas y subcontratistas.
se trabaja con contratistas y subcontratistas. La organizacin
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

trabaja con proveedores de servicios.
se trabaja con proveedores de servicios. La organizacin
proveedores de servicios.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras
partes.
La organizacin comunica informalmente los requisitos de
proteccin de informacin a terceras partes.
La organizacin no comunica sus requisitos de proteccin
de informacin a terceras partes.
Actual
Actual
Actual
Cambiar
Cambiar
Cambiar
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Conocimiento del Personal

El programa de entrenamiento sobre conocimiento de
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y
procedimientos. Este entrenamiento se da a todos los
empleados 1 vez cada ao.
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.
seguridad de la organizacin no incluye informacin sobre
el manejo colaborativo de seguridad, polticas y
empleados 1 vez cada ao. Los miembros del personal
aprenden sobre manejo colaborativo de la seguridad por si
mismos.
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar
Tabla 56: Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica
Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Tarea:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Mantener registros de mantenimiento para documentar

reparaciones y modificaciones al hardware.
Monitorear acceso fsico controlado por hardware.
Monitorear acceso fsico controlado por software.
Monitorear acceso fsico a reas de trabajo
restringidas.
Revisar los registros de monitoreo peridicamente.
Investigar y monitorear cualquier actividad inusual no
identificada.
Combinado
Externo
Interno
Combinado
Externo
Interno
X
X
X
X
X
X
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin ha documentado formalmente planes y

procedimientos para monitorear acceso fsico al edificio,
reas de trabajo, hardware y software.
La organizacin ha documentado formalmente algunos
planes y procedimientos para monitorear acceso fsico al
edificio, reas de trabajo, hardware y software. Algunas
polticas y procedimientos son informales y no son
documentados.
La organizacin tiene planes y procedimientos para
monitorear acceso fsico al edificio, reas de trabajo,
hardware y software que son informales y no documentados.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
Entrenamiento
Miembros designados del personal estn obligados a asistir

a entrenamientos para monitorear acceso fsico al edificio,
Miembros designados del personal pueden asistir a
entrenamientos para monitorear acceso fsico al edificio,
reas de trabajo, hardware y software si ellos lo piden.
La organizacin generalmente no provee oportunidades para
que miembros designados del personal asistan a
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Tabla 57: Hoja de Trabajo: Estrategia de proteccin para autenticacin y autorizacin

Quin es actualmente responsable de la autenticacin y autorizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Responsabilidad
Implementar control de acceso (permisos de archivos,

configuracin de la red) para restringir a usuarios
acceso a informacin, sistemas susceptibles,
aplicaciones y servicios especficos y conexiones de
red.
Implementar autenticacin de usuarios (permisos de
archivos, configuracin de la red) para restringir a
usuarios acceso a informacin, sistemas susceptibles,
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
red.
Establecer y terminar acceso a sistemas e informacin
para ambos individuos y grupos.
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
La organizacin ha documentado formalmente autorizacin

y autenticacin de procedimientos para restringir a usuarios
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
y autenticacin de algunos procedimientos para restringir a
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
La organizacin tiene procedimientos informales y no
documentados para la autorizacin y autenticacin de
procedimientos para restringir a usuarios acceso a
informacin, sistemas susceptibles, aplicaciones y servicios
especficos y conexiones de red.
Cambiar
Actual
Actual
Cambiar
Actual
Cambiar
capacitacin?
Entrenamiento

a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas
susceptibles, aplicaciones y servicios especficos y
conexiones de red.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

entrenamientos para restringir a usuarios acceso a
especficos y conexiones de red si ellos lo piden.
Cambiar
Actual
Actual
Cambiar
Tabla 58: Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones
Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
Polticas Documentadas
La organizacin tiene un conjunto integral de polticas

relacionadas con seguridad formalmente documentadas.
relacionadas con seguridad informalmente documentadas.
Las polticas relacionadas con seguridad de la organizacin
son informales y no estn documentadas.
Actual
Actual
Actual
Cambiar
Cambiar
Cambiar
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
Manejo de Polticas
La organizacin tiene un mecanismo formal para crear y

actualizar su poltica relacionada con seguridad.
La organizacin tiene un mecanismo formal para crear su
poltica relacionada con seguridad. La organizacin tiene un
mecanismo informal y no documentado para actualizar su
poltica relacionada con seguridad.
La organizacin tiene un mecanismo informal y no
documentado para crear y actualizar su poltica relacionada
con seguridad.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
Aplicacin de Polticas
La organizacin tiene procedimientos formales para aplicar

su poltica relacionada con seguridad. Estos procedimientos
aplicados son aplicados y seguidos constantemente.
aplicados nunca se siguen.
documentado para aplicar su poltica relacionada con
seguridad.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
Polticas y Cumplimiento del Reglamento

La organizacin tiene procedimientos formales para cumplir

con polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro.
con ciertas polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro. Algunos
procedimientos en esta rea son informales y no estn
documentados.
documentados para cumplir con polticas de seguridad de la
informacin, leyes aplicables, regulaciones y requisitos del
seguro.
Actual
Cambiar
Cambiar
Actual
Actual
Cambiar
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La Hoja de Trabajo: Estrategia de Proteccin se ha utilizado para que se discuta las actuales
estrategias de proteccin y vulnerabilidades de cada rea en la organizacin. La estrategia de
proteccin describe los distintos procesos que se utilizan para realizar diferentes prcticas de
seguridad enfocndose en conocer hasta qu grado cada proceso est formalmente definido; en esta
hoja de trabajo el equipo de anlisis define tambin qu cambios se debera hacer a cada rea en la
organizacin para mejorar su estrategia y capacitacin en seguridad.
Se debe tener en cuenta que en una organizacin se puede presentar uno de estos escenarios: la
compaa se desempea muy bien en un rea, pero tienen procesos muy informales, o una
organizacin tiene un amplio margen de mejora a pesar de tener polticas y procedimientos muy
formales48
La estrategia de proteccin actual se describe a continuacin:
Conocimiento de seguridad y entrenamiento: El equipo de anlisis cree que su actual
estrategia de proteccin no est definida apropiadamente para manejar los problemas del da a
da que puedan surgir, adicionalmente el personal no ha recibido un entrenamiento formal sobre
seguridad y tampoco existen mecanismos para rastrear y monitorear que los miembros del
personal se entrenen en temas de seguridad. Mejorar esta rea debe reducir las fuentes
accidentales de amenazas internas.
Manejo colaborativo de la seguridad: Actualmente no existe una poltica para proteger

informacin cuando se trabaja con colaboradores y socios, contratistas y subcontratistas y
proveedores de servicios; tampoco se cuenta con mecanismos formales para verificar que
organizaciones de terceros cumplan con los requerimientos de la empresa.
No hay entrenamiento a disposicin del personal para el manejo colaborativo de seguridad,

polticas y procedimientos.
Monitorear y auditar seguridad fsica: Hubo cierta preocupacin por los miembros del equipo
al analizar los problemas de seguridad fsica existan en Pirmide Digital ya que no existen
planes para controlar reas de trabajo, hardware y software y tampoco se provee entrenamiento
en esta rea. Con respecto a la seguridad fsica, el departamento de seguridad del edificio World
Trade Center es responsable del acceso fsico a la empresa en la oficina en Quito y esta
actividad est totalmente controlada.
48
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0, Volume 10: Example Scenario. Pittsburgh, PA,
Carnegie Mellon Software Engineering Institute, 2005, 11
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Autenticacin y autorizacin: En la organizacin no estaba usando un medio consistente para

controlar el acceso a redes y no se han definido procedimientos para restringir acceso a usuarios
ni que permisos debe tener que persona, el equipo estaba preocupado por las posibles
consecuencias de estas cuestiones.
Polticas de seguridad y regulaciones: No existen polticas documentadas relacionadas con

seguridad, un mecanismo formal para crear y manejar polticas ni procedimientos formales para
cumplir con polticas de seguridad, leyes, regulaciones o requisitos.
3.5.1.2 Desarrollar plan de mitigacin

Tabla 59: Hoja de Trabajo: Plan de Mitigacin
rea de Mitigacin: Conocimiento de seguridad y entrenamiento

Actividad de mitigacin
Razn
Qu actividad de mitigacin va a implementar en esta rea
de seguridad?
Proveer entrenamiento sobre seguridad a

personas nuevas en la organizacin como
parte de sus actividades de orientacin y a
todo el personal una vez al ao.
Permitir que miembros del personal asistan a

entrenamientos relacionados con seguridad
para cualquier tecnologa que utilicen si ellos
lo piden.
El encargado de cada departamento deber
tener una lista para rastrear qu persona
asisti a un entrenamiento y cuando asisti.
Establecer polticas y procedimientos para la
determinacin de roles y responsabilidades
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Por qu seleccion esta actividad?
La poltica actual de Pirmide Digital no

provee un entrenamiento sobre seguridad,
cada miembro del personal aprende sobre
problemas de seguridad por s mismo. Debe
existir un entrenamiento de seguridad
peridico.
No hay entrenamiento relacionado con
tecnologas utilizadas en la organizacin.
Se debe implementar un mecanismo para

rastrear y verificar que los miembros del
personal reciban entrenamiento.
Con esta actividad se evitar que posibles
errores humanos pongan en riesgo al activo.
Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
del personal.
Responsable de mitigacin
Apoyo adicional
Quin necesita estar involucrado en implementar cada

actividad?
Qu apoyo adicional se necesitar cuando se implemente

cada actividad?
Gerente General
Gerente General
Gerencia General y los encargados de cada
departamento
Para que exista un entrenamiento peridico

se necesita que haya compromiso por parte
de la Gerencia General y que se destinen
fondos para esta actividad.
Debe haber fondos para que esta actividad se
realice.
Todos los encargados de cada departamento
de la empresa deben participar en esta
actividad para tener un control adecuado.
Todo el personal debe colaborar.
rea de Mitigacin: Manejo colaborativo de la seguridad

Razn

de seguridad?
Proveer entrenamiento sobre manejo

colaborativo de seguridad a personas nuevas
en la organizacin como parte de sus
actividades de orientacin y a todo el
personal una vez al ao.
La poltica actual de Pirmide Digital no

provee un entrenamiento sobre seguridad,
cada miembro del personal aprende sobre
problemas de seguridad por s mismo. Debe
existir un entrenamiento de seguridad
peridico.
Actualmente no se hace nada con respecto de
comunicar requerimientos para trabajar con
Designar a un miembro del rea IT como

punto de contacto para comunicar ciertos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
requerimientos cuando se trabaja con

colaboradores y socios, contratistas y
subcontratistas, proveedores de servicios.
Designar a un miembro del rea IT como
punto de contacto para verificar que
organizaciones de terceros, servicios de
seguridad externos y tecnologas cumplan
con sus requerimientos.
terceros.
Actualmente no se hace nada con respecto de

verificar que organizaciones de terceros
cumplan con sus requerimientos.
Apoyo adicional

actividad?

cada actividad?
La Gerencia General debe patrocinar esta

actividad y la Gerencia de Tecnologa debe
asignar a una persona de si equipo como
punto de contacto.
actividad y la Gerencia de Tecnologa debe
asignar a una persona de si equipo como
punto de contacto.
rea de Mitigacin: Monitorear y auditar seguridad fsica

de seguridad?
Documentar formalmente procedimientos

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Razn
No existen planes para monitorear el acceso

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
para monitorear acceso fsico a hardware y

software para que se asegure que se apliquen
por todos los miembros del personal.
Mantener registros de mantenimiento para
documentar reparaciones y modificaciones al
hardware y software.
Monitorear el acceso fsico mediante el uso
de credenciales que permitan controlar,
limitar, monitorear y auditar el acceso a
distintas reas de la oficina.
Asignar a una persona encargada de
monitorear cualquier actividad inusual.
Definir polticas en caso de falla de un
equipo.
Planificar mantenimiento peridico del
servidor donde se aloja el Portal de
Gerencia.
Inventario de estaciones de trabajo y equipos
y seguro.
Documentar estrategia para control de
acceso y capacitacin del personal.
Mecanismo de vigilancia.
Establecer polticas para el Primary Domain
Control (servidor) para instalacin de
software no autorizado.
Paquetes de actualizacin a travs de la
consola del servidor (Wake On LAN).
Asignar a una persona que asista a
entrenamientos para monitorear acceso fsico
al edificio, reas de trabajo, hardware y
software una vez al ao.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
fsico, hardware y software sin embargo,

algunos procesos se monitorean
informalmente.
No hay nadie responsable de monitorear

actividades inusuales.
No hay polticas definidas o documentadas.
Se realiza mantenimiento sin embargo no se
documenta ningn cambio.
No existe un inventario actualizado, no se ha
contratado ningn seguro en caso de
proteccin.
No hay ninguna estrategia definida.
En ejecucin, pero no al 100%
No se ha considerado realizar este cambio.
No se ha considerado realizar este cambio.

No se provee entrenamientos para
monitorear y auditar la seguridad fsica.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Apoyo adicional

actividad?

cada actividad?
Miembros del rea de TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia TI
Gerencia General
Gerencia TI
Gerencia General
Gerencia General
Entrenar al personal involucrado en cmo

realizar planes y monitorear
apropiadamente el acceso fsico.
Entrenar al encargado.
Definir un responsable.
Entrenar al responsable para establecer
polticas de actualizacin.
Definir un responsable.
Entrenamiento y capacitacin.
Asignar a un responsable para que se
termine la implementacin de cmaras de
vigilancia.
Asignar fondos para la implementacin.
Asignar fondos para la implementacin.
Asignar fondos para entrenamiento sobre
acceso fsico.
Tabla 62: Hoja de Trabajo: Autenticacin y autorizacin
rea de Mitigacin: Autenticacin y autorizacin

de seguridad?
Asignar responsables encargados de

implementar control de acceso y
autenticacin de usuarios y documentar la
autorizacin y autenticacin de
procedimientos.
Asignar a una persona que asista a
entrenamientos para restringir a usuarios de
acceso a informacin, sistemas susceptibles y
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Razn
Miembros del rea de TI deben estar

involucrados y participar en implementar
control de acceso al Portal de Gerencia ya
que actualmente no se conoce quin debe
tener acceso qu.
No se provee entrenamientos para esta
actividad.

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
servicios especficos.
Revisar las estaciones de trabajo para
asegurarse que el acceso a las mismas
hibernen automticamente despus de un
cierto tiempo y pidan ingresar la contrasea.
En muchas ocasiones hay clientes visitando

la organizacin y como en varios casos se
comparte el espacio fsico personas no
autorizadas pueden acceder a informacin en
estas maquinas.
Apoyo adicional

actividad?

cada actividad?
Entrenar al personal de TI para implementar

y documentar control de acceso y
autenticacin de usuarios
Asignar fondos para entrenamiento sobre
acceso fsico.
actividad y en colaboracin con el Gerente
de Tecnologa deben asignar a un miembro
del rea de TI para que realice este cambio.
Gerencia General
Gerencia General
Gerencia de Tecnologa
Tabla 63: Hoja de Trabajo: Polticas de seguridad y regulaciones
rea de Mitigacin: Polticas de seguridad y regulaciones

de seguridad?
Incluir informacin sobre polticas y

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Razn
Nadie tiene clara la actual poltica de

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
procedimientos en el entrenamiento de
seguridad.
Crear procedimientos para hacer cumplir
polticas de seguridad (Envo de correos al
personal recordndoles polticas bsicas de
seguridad)
Definir planes de recuperacin y
contingencia.
seguridad, todas las dudas del personal se

deben despejar en un entrenamiento de
seguridad dictado a todo el personal.
La conducta de las personas con respecto a
la seguridad solo cambiar si entienden
cmo manejar y hacer cumplir los
procedimientos de las polticas de seguridad
de la empresa.
Es importante que la empresa contine
funciones criticas en caso de interrupcin
parcial .
Apoyo adicional

actividad?

cada actividad?
Gerencia General
Gerencia General
Gerencia General
Gerencia Tecnologa

actividad.
actividad.
actividad y asignar a un miembro de TI.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.5.1.3 Identificar cambios a la estrategia de proteccin

Despus de revisar las hojas de trabajo de Proteccin de Seguridad para determinar los cambios
desencadenados por las actividades de mitigacin; estas actividades se las describe a continuacin:
Contar con un programa de entrenamiento sobre conocimiento de seguridad que incluya manejo
colaborativo de seguridad, polticas y procedimientos que se realizan una vez al ao y al que
asista todo el personal.
Establecer polticas y procedimientos para la determinacin de roles y responsabilidades del

personal, los cuales se deben cumplir y respetar.
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Documentar formalmente planes y procedimientos para monitorear el acceso fsico al edificio y

la oficina de la empresa
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.
Mantener registros de mantenimiento para documentar reparaciones y modificaciones al

hardware.

software.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Planificar mantenimiento peridico del servidor donde se encuentra alojado el Portal de

Gerencia, esto debe estar documentado formalmente y se debe definir un encargado de realizar
esta actividad.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Implementar un mecanismo de vigilancia mediante el uso de cmaras para controlar el acceso de

personas no autorizadas a las oficinas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la

autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y

autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la

organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la

informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de

usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
3.5.1.4 Identificar siguientes pasos

Tabla 64: Hoja de Trabajo: Identificar siguientes pasos
Considere:
Contribuir fondos para las actividades de seguridad de la informacin.
Asignar personal para las actividades de seguridad de la informacin.
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Permitir al personal recibir entrenamiento sobre seguridad de la informacin.
Hacer que la seguridad de la informacin sea una prioridad estratgica.
Gestin para la
mejora de la
Seguridad
Monitorear la
implementacin
Ampliar la actual
evaluacin de
riesgos en la
seguridad de la
informacin
Siguiente evaluacin
de riesgos en la
seguridad de la
informacin
Qu debe hacer la
Gerencia para apoyar la
implementacin de los
resultados de Octave-S?
Qu debe hacer la
informacin para rastrear el
progreso y asegurar que los
resultados de esta
evaluacin se implementen?
Expendera la actual
evaluacin OCTAVE-S para
incluir activos crticos
adicionales? Cules?
Cundo conducir la
organizacin su siguiente
evaluacin OCTAVE-S?
La Gerencia General
de Pirmide Digital
debe:
Asignar fondos
Cada persona a la
que se le asigne
cumplir una
actividad de
mitigacin se debe
hacer responsable de
fijar un cronograma
e implementar cada
plan, adicionalmente
se debe redactar un
reporte a presentarse
al concluir con dicha
actividad.
No se ha identificado
actividades para
expandir la actual
evaluacin de
riesgos.
La siguiente
evaluacin se
realizar en tres
aos.
para implementar
el
plan
de
mitigacin.
Hacer
que
la
seguridad de la
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
informacin
se
convierta en una
prioridad de la
empresa.
Los Gerentes de
las distintas
reas de la
organizacin se
deben asegurar
que el personal
cuente con tiempo
suficiente para
participar en
cualquier
actividad
relacionada con
seguridad que se
les asigne.
Asignar
responsables
encargados de de
implementar
documentar
control de acceso
y
autenticacin
de usuarios.
Asignar
responsables
encargados
de
monitorear
el
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
acceso fsico al
edificio, reas de
trabajo,
hardware.
Cambiar
al
procedimiento
para
cumplir
polticas
de
seguridad.
CAPITULO CUATRO
EVALUACIN DEL PLAN DE ACCIN Y ESTRATEGIA DE PROTECCIN
En este captulo se presentan el informe preliminar e informe final y ejecutivo dirigido al Gerente
General de Pirmide Digital Ca. Ltda. quien es la persona encargada de monitorear la
implementacin de los resultados obtenidos durante la ejecucin de la evaluacin de seguridad a la
empresa.
4.1
Elaboracin de Informe Preliminar y validacin del mismo por la
empresa
Quito, septiembre del 2013
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio de la presente, pongo a su disposicin el anlisis utilizando las metodologas COBIT 4.1
para analizar la situacin actual de la empresa y la evaluacin de amenazas crticas, activos y
vulnerabilidades que propone OCTAVE-S (Operationally Critical Threat, Asset and Vulnerability
Evaluation) la que se ha realizado con ayuda de personas que trabajan en la empresa, en la que se ha
asumido la responsabilidad de establecer la estrategia de seguridad de la organizacin analizando la
informacin de la empresa para producir una estrategia de proteccin y planes de mitigacin basados
exclusivamente en los riesgos de seguridad operacional de la organizacin.
El equipo de trabajo y anlisis est conformado por:
Olga Pez
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Mario Morillo
Olga Obando
Guillermo Obando
El informe redactado en base a COBIT 4.1 y OCATVE-S; COBIT4.1 describe la situacin actual de
la organizacin utilizando matrices de madurez para evaluar los siguientes dominios: planeacin y
organizacin, adquisicin e implementacin, entrega y soporte y monitoreo y evaluacin. OCTAVE
S describe los resultados de la evaluacin y se basa en cuatro ejes principales: conocimiento de
seguridad y entrenamiento, manejo colaborativo de la seguridad, monitoreo y auditora de la
seguridad fsica y autenticacin y autorizacin
A ms de presentarle el informe final e informe ejecutivo, me comprometo a aclarar cualquier duda
o a ampliar cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.
4.2
Elaboracin del Informe Final
El presente informe muestra los resultados de la evaluacin que establece COBIT 4.1 para realizar
un anlisis de la situacin de la empresa y OCTAVE-S para realizar una evaluacin de riesgos y
seguridad. A continuacin se presentan los resultados obtenidos:
Situacin actual de la empresa:
En base a las Matrices de Madurez aplicadas a los procesos seleccionados de Cobit 4.1 se ha
encontrado lo siguiente:
Dominio Planeacin y Organizacin
Es necesario implementar un plan estratgico, en el que se defina un proceso que permita identificar
y realizar actualizaciones del mismo. Se debe implementar una poltica de cmo y cundo se va a
realizar la planeacin estratgica de TI, la que debe ser conocida por todo el equipo de trabajo y se
debe garantizar que sea el plan que se realice sea factible y estructurado. La planeacin estratgica
debe ser discutida en reuniones con la Direccin y se debe contar con tcnicas y estndares comunes
para el desarrollo de la infraestructura tecnolgica. La estrategia general de TI, debe incluir una
definicin de los riesgos a los que est expuesta la organizacin.
Es importante que se difunda la necesidad de la planeacin tecnolgica para que exista un enfoque
en generar soluciones a problemas tcnicos que permitan satisfacer las necesidades del negocio Los
riesgos de TI relacionados al da a da a las diferentes operaciones de TI, deben ser discutidos
siempre en las reuniones con la Gerencia General; adems debe existir un enfoque de evolucin de
riesgos en desarrollo y debe ser implementado en discrecin del gerente de TI. El personal
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin tecnolgica, a
travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un entrenamiento formal.
Debe tambin existir comunicacin de los roles de todos los empleados y sus responsabilidades,
especialmente de los empleados de la unidad de TI, quienes deben tener roles formalizados, los
cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la unidad de
TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento y las
habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para administrar
la organizacin de TI y sus relaciones con los dems departamentos, adems debe haber un deseo
emergente del personal de entender que los riesgos de TI son importantes y necesarios y deben ser
siempre considerados.
Dominio Adquisicin e Implementacin
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados parcialmente
con el proceso general de adquisicin de la organizacin del negocio, los que deben ser utilizados en
proyectos menores y deben ser usados como base para luego implementarlos en cada proyecto que
maneje la empresa. Se debe lograr que el proceso de administracin de cambio no sea un proceso
informal para evitar que el proceso no sea estructurado, rudimentario y propenso a errores, la
empresa debe reconocer la importancia de administrar sus proveedores y las distintas relaciones
entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos de
TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.
Dominio Entrega y Soporte
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad de
administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin y
administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las que
se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad
del coordinador es limitada. Se deben definir medidas para medir el desempeo, para poder analizar
la informacin que producen los sistemas relevantes al aspecto de seguridad. La seguridad del
departamento de TI se debe ver primordialmente como una responsabilidad y disciplina del rea de
TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear mecanismos
automticos de advertencia y deteccin, para su evaluacin continua, se debe contar con suficientes
pistas de auditora de problemas y soluciones, los cuales deben ser integrados con la administracin
de datos de configuracin, permitiendo de esta manera, la oportuna resolucin de los problemas
reportados, tambin hay que contar con informacin de los problemas pasados que ha enfrentado la
empresa y posibles problemas futuros, para optimizar la solucin de problemas internos de la
organizacin.
Dominio Monitoreo y Evaluacin
Nivel de Madurez: Cero
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo de
los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al usuario,
a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente de
control interno y asignar de manera formal las tareas para monitorear la efectividad de los controles
internos y evaluarlos en base a la necesidad de los servicios de informacin.
Los resultados encontrados al aplicar OCATVE-S son los siguientes:
Estrategia de proteccin actual:
Conocimiento de seguridad y entrenamiento: La actual estrategia de proteccin no est
definida apropiadamente para manejar los problemas del da a da que puedan surgir,
adicionalmente el personal no ha recibido un entrenamiento formal sobre seguridad y tampoco
existen mecanismos para rastrear y monitorear que los miembros del personal se entrenen en
temas de seguridad. Mejorar esta rea debe reducir las fuentes accidentales de amenazas internas.
Manejo colaborativo de la seguridad: Actualmente no existe una poltica para proteger

informacin cuando se trabaja con colaboradores y socios, contratistas y subcontratistas y
proveedores de servicios; tampoco se cuenta con mecanismos formales para verificar que
organizaciones de terceros cumplan con los requerimientos de la empresa.
No hay entrenamiento a disposicin del personal para el manejo colaborativo de seguridad,

polticas y procedimientos.
Monitorear y auditar seguridad fsica: No existen planes para controlar reas de trabajo,
hardware y software y tampoco se provee entrenamiento en esta rea. Con respecto a la
seguridad fsica, el departamento de seguridad del edificio World Trade Center es responsable
del acceso fsico a la empresa en la oficina en Quito y esta actividad est totalmente controlada.
Autenticacin y autorizacin: En la organizacin no se estaba usando un medio consistente

para controlar el acceso a redes y no se han definido procedimientos para restringir acceso a
usuarios ni que permisos debe tener que persona, el equipo estaba preocupado por las posibles
consecuencias de estas cuestiones.
Polticas de seguridad y regulaciones: No existen polticas documentadas relacionadas con

seguridad, un mecanismo formal para crear y manejar polticas ni procedimientos formales para
cumplir con polticas de seguridad, leyes, regulaciones o requisitos.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Despus de realizar la evaluacin de seguridad actual de la organizacin se realizo un plan de

mitigacin con actividades que se describen a continuacin:
Contar con un programa de entrenamiento sobre conocimiento de seguridad que incluya manejo
colaborativo de seguridad, polticas y procedimientos que se realizan una vez al ao y al que
asista todo el personal.
Establecer polticas y procedimientos para la determinacin de roles y responsabilidades del

personal, los cuales se deben cumplir y respetar.
Designar a un miembro del rea de TI como punto de contacto para comunicar requerimientos de
la organizacin al trabajar con colaboradores, socios, organizaciones de terceros y servicios
externos.
Documentar formalmente planes y procedimientos para monitorear el acceso fsico al edificio y

la oficina de la empresa
Monitorear el acceso fsico mediante el uso de credenciales que permiten controlar, limitar,
monitorear y auditar el acceso a distintas reas en las oficinas.

hardware.

software.
Asignar a una persona encargada de monitorear cualquier actividad inusual quien adems deber
investigar a fondo esta actividad y redactar un reporte en caso de que ocurra un incidente
sospechoso.
Definir polticas en caso de falla de algn equipo clave para que siempre se cuente con un equipo
respaldo para que el usuario afectado retome sus actividades en el menor tiempo posible.
Planificar mantenimiento peridico del servidor donde se encuentra alojado el Portal de

Gerencia, esto debe estar documentado formalmente y se debe definir un encargado de realizar
esta actividad.
Definir y actualizar peridicamente un inventario de las estaciones de trabajo y equipos con los
que cuenta la empresa, para tener control del estado de los mismos.
Implementar un mecanismo de vigilancia mediante el uso de cmaras para controlar el acceso de

personas no autorizadas a las oficinas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la

autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y

autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la

organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la

informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de

usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Finalmente agradezco la apertura y colaboracin del personal para con este trabajo y estoy
convencida que ha sido un apoyo a su gestin y al desarrollo de su organizacin en corto, mediano y
largo plazo.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
4.3
Elaboracin del Informe Ejecutivo

Quito, septiembre del 2013
Seor Ingeniero
Pablo Pez, PhD
Gerente General
Pirmide Digital. Ca. Ltda.
De mis consideraciones:
Por medio del presente agradezco la apertura que usted me ofreci tanto a las instalaciones de
Pirmide Digital como a la informacin que se necesitaba para la elaboracin del presente proyecto
de investigacin. Entiendo el enorme esfuerzo que usted ha realizado en Pirmide Digital y espero
que el presente proyecto de investigacin sea de su utilidad y beneficio en el futuro.
Para realizar la evaluacin de riesgo y seguridad utilizando el enfoque que propone OCTAVE-S se
utilizaron tres fases: en la fase uno se construy un perfil de amenaza basado en los activos de la
empresa, la fase dos sirvi para identificar vulnerabilidades de la infraestructura y en la fase tres se
desarrollaron planes y estrategias de seguridad.
Despus de realizar la evaluacin utilizando la metodologa de OCTAVE-S, se concluye:
Contar con un programa de entrenamiento sobre conocimiento de seguridad para todo el
personal.
Definir polticas para determinar roles y responsabilidades del personal.
Documentar planes y procedimientos para monitoreo del acceso fsico y autenticacin de

usuarios.
Asegurarse que el personal conozca los procedimientos de seguridad.
Despus de terminar con la evaluacin, se concluye que la metodologa que propone Octave es la
mejor entre las opciones existentes ya que es flexible, cubre muchos mbitos y permite trabajar
directamente con el personal de la organizacin para asegurarse que los datos recolectados sean
lo ms acertados.
Hubo un excelente proceso de aprendizaje para todo el personal involucrado.
A ms de presentarle el informe ejecutivo, me comprometo a aclarar cualquier duda o a ampliar

cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
CAPITULO CINCO
CONCLUSIONES Y RECOMENDACIONES
5.1
Conclusiones
1. El trabajo realizado ha sido un gran proceso de aprendizaje para la empresa Pirmide Digital, su
Gerente General y para m; ya que el haber emprendido en esta experiencia que al principio
pareca un trabajo sencillo, se transform en una metodologa organizada realizada a travs de
una serie de tareas que planeadas, ejecutadas y transformadas en realidad sirven para minimizar
los riesgos dentro de la organizacin.
2. Se seleccion COBIT 4.1 para realizar un anlisis de la situacin actual de la empresa ya que es
un marco de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado
internacionalmente, el que se puede orientar a todos los sectores de una organizacin y sirve para
auditar la gestin de control de los sistemas de informacin.
3. Si bien se evalu COBIT 4.1, ISO 17799 y OCTAVE-S para realizar un anlisis de riesgos en la
organizacin, la utilizacin de OCTAVE-S, viendo hacia atrs, fue la ms acertada decisin
considerando el tamao de la empresa, el nmero del personal, el trabajo que desempean y el
tipo de negocios que desarrollan.
4. El proceso de aprendizaje dada la estructura de OCTAVE-S fue de fcil aplicacin una vez que
se tuvo en claro las diferentes fases de la metodologa, los procesos que se desarrollan en cada
fase y las distintas hojas de trabajo para recolectar informacin de cada proceso.
5. El equipo de Pirmide Digital con el que estuve involucrada durante la evaluacin de OCTAVES recibi de una forma receptiva la informacin y absorbi de manera positiva todo lo planteado
lo que hizo que esta experiencia fuera fcil.
6. La metodologa para realizar una evaluacin de riesgos propuesta por OCTAVE-S es amplia ya
que involucra durante toda la evaluacin a personal de los altos directivos, directivos de reas
operativas y personal en general, lo que conlleva a que la perspectiva para analizar cada proceso
en cada fase sea amplia.
7. En funcin de la experiencia obtenida por parte de la empresa, se ha pensado incorporar a
OCTAVE-S como uno de sus servicios en su cartera de productos que ofrecen a sus clientes
dado que esta metodologa no es conocida ni explotada en el mercado.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
8. Al terminar con la evaluacin se present al Gerente General un plan de mitigacin de riesgos,

obteniendo una buena respuesta de las partes.
9. El enfoque presentado en este proyecto de investigacin, es un proceso que se puede replicar en
cualquier otra empresa de similares caractersticas.
5.2
Recomendaciones
1. Pirmide Digital debe revisar el plan de mitigacin presentado peridicamente ya que a medida
que la tecnologa avanza, tambin crecen las amenazas y riesgos que deben ser considerados para
evitar problemas en el futuro.
2. Realizar una nueva evaluacin de riesgos utilizando OCTAVE-S cada tres aos.
3. Se debe hacer conocer a todo el personal de la organizacin el plan de mitigacin y los siguientes
pasos que se recomiendan en esta evaluacin.
4. Todo el personal debe asistir a cursos sobre seguridad de tal manera que todos tengan
conocimiento y sepan cmo actuar en caso de que se presente una amenaza a cualquier activo
crtico de la empresa.
5. Utilizar el proceso desarrollado en este plan de disertacin para realizar una evaluacin de
riesgos y seguridad para otras actividades y situaciones en otra empresa.
6. Evaluar otros activos crticos.
7. A la facultad, considero es importante se considere en el pensum de la carrera incorporar una
materia en la que se explique qu es la evaluacin de riesgos.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
BIBLIOGRAFA
[1] J.
Lozano,
Seguridad
de
la
Informacin.
Riesgos,
[En
lnea].
Available:
www.elmayorportaldegerencia.com/documentos/188-tecnologias-de-informacion-ycomunicacion. [ltimo acceso: 27 diciembre 2012].

[2] C.
Alberts,
Introduction
to
the
Octave
approach,
[En
lnea].
Available:
www.itgovernanceusa.com/files/ Octave.pdf . [ltimo acceso: 10 enero 2013].

[3] C. P. Woody, Applying Octave: Practitioners report, CMU/SEI-2006-TN-010, Pittsburg, PA,
2006.
[4] C. Alberts, Managing Information Security Risks: The Octave Approach, Estados Unidos:
Addison-Wesley Professional, 2002, pp. 123-127.
[5] A. Dorofee, Asset-Based information security risk assessments, Cutter Consortium, Enterprise
Risk Management and Governance Executive Report, Arlington MA, 2009.
Wesley Professional, 2002, p. 118.
[7] D.
Bieber,
The
critical
success
factor
method,
[En
lnea].
Available:
www.cert.org/archive/pdf/04tr010.pdf. [ltimo acceso: 24 enero 2013].

[8] J.
Lozano,
Seguridad
de
la
www.elmayorportaldegerencia.com/
Informacin,
[En
lnea].
Available:
documentos/188-tecnologias-de-informacion-y-
comunicacin. [ltimo acceso: 27 diciembre 2012].

[9] J. Lozano, Seguridad de la Informacin. Riesgos segunda parte, [En lnea]. Available:
www.elmayorportaldegerencia.com/
documentos/188-tecnologias-de-informacion-y-
comunicacin. [ltimo acceso: 27 diciembre 2012].
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
[10] E. Rosero, Introduccin a la seguridad de la informacin, [En lnea]. Available:

www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-ycomunicacion/ . [ltimo acceso: 20 enero 2013].
Wesley Professional, 2002, p. 5.
[12] C. Alberts, Security Risk Analysis with Octave, [En lnea]. Available: Internet.
www.informit.com/articles/. [ltimo acceso: 25 enero 2013].
[13] P. Cevallos, Introduccin a defensa en profundidad y seguridad de la informacin TI, [En
lnea]. Available: www.repositorio.utn.edu.ec. [ltimo acceso: 27 enero 2013].
[14] N. Guayaquil, Estndar ISO 1779 y Norma ISO 27001, Quito, 2007, pp. 3-31.
[15] J. Mc Leod, Octave method, [En lnea]. Available: www.cert.org/octave. [ltimo acceso: 27
enero 2013].
[16] R. Arbelez, Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la
seguridad
en
las
organizaciones,
[En
lnea].
Available:
www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05ModelosMadurezSeguridadInformatica.pdf. [ltimo acceso: 11 febrero 2013].

[17] M. Adler, Manual Cobit 4.1 en espaol, Rolling Meadows, 2007.
[18] C. Alberts, OCTAVE-S Implementation Guide: Example Scenario, vol. 10, Pittsburgh, PA,
2005.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
ANEXO A: MATRICES DE MADUREZ DE COBIT

Proceso PO1: Definicin de un plan estratgico de tecnologa de TI
Proceso: PO1 Definicin de un plan estratgico de tecnologa de TI
Parcialmente
Nivel
Si
Pregunta
La alta gerencia desconoce la necesidad de
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
0 Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la
gerencia TI?
La planificacin estratgica se elabora por un
requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
1 administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido
sustancialmente por la gerencia?
La planificacin estratgica se comparte
ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
2 demandas administrativas?
Hay procesos para identificar actualizaciones del
plan?
Dentro de la empresa los procesos de
planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando
y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el
3 personal?
Existe algn procedimiento para examinar el
proceso en una base regular?
La estrategia global TI incluye una definicin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
No
Anlisis

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
El plan estratgico est considerado dentro de
los objetivos comerciales de la empresa?
Existe una funcin de la planificacin
estratgica que est integrada con la planificacin
comercial?
El plan estratgico est diseado para ser
implementado a largo plazo?
El plan estratgico es verstil?
El plan estratgico est diseado respetando las
normas que rigen la empresa?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso PO3: Determinar la direccin tecnolgica

Proceso: PO3 Determinar la direccin tecnolgica
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La empresa pone inters en planear la

Existe un plan de infraestructura?
Hay experiencia y conocimiento para realizar un
plan de infraestructura documentado y formal?
Existe personal capacitado en su organizacin
que tenga las habilidades y conocimientos para
realizar un plan de infraestructura?
Se entiende la importancia de planear un cambio
para focalizar correctamente los recursos?
Los directivos reconocen la necesidad de un plan
pero no lo tienen an?
El desarrollo de tecnologa est muy limitado?
Los directivos enfocan su atencin en la
necesidad de realizar planeacin?
La direccin de la tecnologa del negocio est a
cargo de vendedores o personas incorrectas?
La comunicacin es inconsistente sobre el
impacto en cambios de tecnologa?
Se comunica la necesidad y la importancia de
realizar un plan tecnolgico?
La planeacin se enfoca en solucionar
problemas tcnicos en vez de cumplir las
necesidades del negocio?
La evaluacin de cambios tecnolgicos est a
cargo de diferentes individuos que siguen
procesos similares?
Existe un entrenamiento formal y comunicacin
de los roles y responsabilidades?
Se reconoce en su organizacin que estn
apareciendo tcnicas y estndares comunes para
el desarrollo de la infraestructura?
Los directivos conocen sobre el plan de
El plan estratgico de TI est alineado con el
plan de infraestructura tecnolgica?
Se cre un plan de infraestructura tecnolgica
definido, documentado y bien comunicado pero
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
inconsistente para su aplicacin?
Los empleados y directivos entienden a donde se

dirige la organizacin considerando riesgos y
alineado con el plan estratgico?
Se seleccionan los mejores vendedores
considerando su experiencia y conocimiento para
la compra de tecnologa?
El plan estratgico de infraestructura tecnolgica
fue creado por gente con experiencia?
Se capacita de manera formal y especializada a
los nuevos empleados para que conozcan el plan
estratgico de la empresa?
Se tiene en cuenta el impacto del cambio de
tecnologa?
Se anticipa a los problemas y se asignan
responsables para cumplir y actualizar el plan de
Se introducen las mejores prcticas internas en
los procesos?
Se dirige la empresa utilizando estndares de la
industria?
Se administra con alto nivel los impactos que los
cambios de tecnologa generan?
Se aprueba de manera ejecutiva el cambio de
tecnologa?
Est formalizada la participacin en estndares?
Se utiliza de manera exhaustiva las mejores
prcticas de la industria?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso PO4: Definir procesos, organizacin y relaciones de TI

Proceso: PO4 Definir procesos, organizacin y relaciones de TI
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La organizacin de TI se centra efectivamente a

enfocar el logro de los objetivos del negocio?
Las actividades y funciones de TI estn
implementadas, pero son inconsistentes?
Se ha definido una estructura organizacional,
roles y responsabilidades que estn
informalmente asignadas?
La funcin de TI se considera una funcin de
soporte que no incluye en su totalidad la
perspectiva de organizacin?
Existe un entendimiento implcito acerca de la
necesidad de implementar una organizacin de
TI?
Roles y responsabilidades no estn formalizados
o no se cumplen?
La funcin de la TI est organizada para
responder tcticamente, pero inconsistentemente?
La necesidad para una organizacin estructurada
y de administracin est vilmente comunicada,
pero las decisiones que se toman son
dependientes del conocimiento y de las
herramientas claves de uso individual?
Existen tcnicas emergentes comunes para
administrar la organizacin de TI y sus
relaciones?
Se han definido roles y responsabilidades para la
organizacin de la TI y de terceros?
La organizacin de la TI est desarrollada,
documentada, comunicada y alineada con la
estrategia de TI?
El diseo organizacional y el control interno del
entorno estn definidos?
Hay formalizacin de relaciones con otras partes
interesadas?
La organizacin de TI est funcionalmente
completa?
El personal de la TI tiene la experiencia y
formacin necesaria para desarrollar un plan de
infraestructura de tecnologa?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Existe un formal y especializado entrenamiento

para la investigacin de la tecnologa?
La responsabilidad para el desarrollo y
mantenimiento de un plan de infraestructura de
tecnologa podra ser asignada?
La estrategia de los recursos humanos est
alineada con la direccin de la tecnologa para
asegurar que el personal de la TI pueda manejar
los cambios de la tecnologa?
La direccin de TI est guiada por la industria y
estndares internacionales y de desarrollo?
Existe aprobacin ejecutiva formal de un nuevo
cambio de reglas tecnolgicas?
La entidad tiene un plan de infraestructura
robusta que refleje los requerimientos del
negocio?
5
Existe una continua y real mejora de los
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la tcnica de las TIs?
Proceso PO9: Evaluar y administrar riesgos de TI
Proceso: PO9 Evaluar y administrar riesgos de TI
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
Se realiza un anlisis sobre el riesgo de

imposicin de contribuciones para procesos y
decisiones del negocio?
La organizacin considera los impactos de
negocio asociados con vulnerabilidades de
seguridad y con desarrollo de proyectos inciertos?
El manejo de riesgos se ha visto identificado
como relevante para adquirir soluciones de TI y
deliberadamente servicios de TI?
La organizacin sabe de sus responsabilidades
tanto legal como contractual y riesgos,
considerndolos en una manera ad hoc?
El manejo de TI especifica las responsabilidades
para el manejo de riesgos en descripciones de
trabajo u otros significados informales?
La especificacin de TI relaciona riesgos tales
como seguridad e integridad y son
ocasionalmente considerados en un proyecto
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
como base principal del mismo?

Los riesgos de TI relacionados da a da a las
diferentes operaciones de la TI son
infrecuentemente discutidos en las reuniones de
la AG?
Los riesgos consideran que la mitigacin o
calma es inconsistente dentro del rea de TI?
Existe un deseo emergente de entender que los
riesgos de TI son importantes y necesarios para
ser considerados?
Hay algn acercamiento al riesgo de distribucin
de contribuciones existentes, dentro del rea de
TI?
El rea de TI define generalmente
procedimientos o descripciones de trabajo
gestionando con la Gerencia de TI?
La distribucin de contribuciones en las
diferentes operaciones de TI depende
mediticamente de un manejo creciente, por lo
que esta tiene una gran importancia dentro de la
agenda de trabajo?
El riesgo de distribucin de contribuciones
sigue un proceso definido que es documentado y
reconocido por todo el personal a travs del
entrenamiento?
Las decisiones que se toman a consideracin por
la AG son salidas efectivas a una posible crisis
dentro de la TI?
La metodologa es convincente y segura?
Todos los proyectos que fueron cubiertos o estn
en operacin son examinados sobre una base de
riesgos?
El manejo de la poltica de una organizacin
grande define cundo y cmo debe conducirse los
riesgos de distribucin de contribuciones?
La distribucin de contribuciones de riesgo es un
procedimiento y excepciones a seguir por la AG?
El manejo de los riegos de TI est definido en
funcin con el nivel de responsabilidad de la AG?
La AG es notificada de los cambios en el
entorno de la TI lo cual puede significativamente
afectar al escenario de riegos?
La AG es capaz de monitorear la posicin de
riesgo y adoptar una decisin acertada que sea
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
acogida por el personal de la TI?

El manejo efectivo de una base de datos de
riegos est debidamente establecido?
La distribucin de contribuciones habra de
desarrollar una organizacin la cual siga
regularmente el buen manejo de su estructura?
El anlisis y reporte de riegos son altamente
automatizados?
El manejo de riegos es verdaderamente
aceptable y extensible para los miembros de la
USI?
Proceso AI5: Instalar y acreditar sistemas

Proceso: AI5 Instalar y acreditar sistemas
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La empresa tiene un proceso formal de

instalacin de nuevas tecnologas tanto de
hardware como de software?
La empresa posee un proceso formal que
verifica que la solucin sea adecuada y est
alineada con los objetivos de TI?
El personal reconoce la necesidad de verificar si
las soluciones que se dan encajan con el propsito
deseado?
La empresa reconoce la necesidad de verificar y
confirmar que las soluciones que se implementen
contribuyen al propsito deseado?
La empresa realiza pruebas para algunos
proyectos?
La empresa depende de iniciativas del equipo
del proyecto para realizar las pruebas?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Los resultados que obtiene la empresa al realizar

las pruebas usualmente varan?
La empresa tiene una acreditacin formal y estar
fuera de lnea es espordico o inexistente?
La empresa tiene alguna consistencia entre la
comprobacin y la acreditacin?
La empresa basa sus pruebas en metodologas?
Existe normalmente una ausencia de

comprobacin de la integracin?
Existe cierto proceso de la aprobacin informal,
no necesariamente basado en un criterio
regularizado?
Existe una acreditacin formal y estar fuera de
lnea es aplicado incoherentemente?
Est implementada una metodologa formal
relacionada con la instalacin, migracin,
conversin y existe una aceptacin?
Existe la habilidad de mantener un
cumplimiento en la administracin?
Se encuentran integrados y de alguna forma
automatizados los procesos de Instalacin y
acreditacin de TI dentro del ciclo de vida del
sistema?
Los entrenamientos, pruebas y la transicin entre
el estado de produccin y acreditacin varan de
los procesos definidos, y se basan en decisiones
individuales?
Es inconsistente la calidad de los sistemas que
ingresan a la etapa de produccin, generando as
problemas de post-implementacin?
Los procesos se encuentran formalizados y
desarrollados para encontrarse bien organizados y
ser prcticos, con ambientes de prueba y procesos
de acreditacin definidos?
La evaluacin para alcanzar los requerimientos
de usuario est estandarizada y puede ser medida?
La calidad de los sistemas que ingresan a la
etapa de produccin es satisfactoria para la
administracin?
Se emplean evaluaciones post-implementacin
ni revisiones continuas de calidad?
El sistema de pruebas refleja de forma adecuada
el ambiente real?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Los procesos de instalacin y acreditacin se

encuentran refinados a un nivel de las mejores
prcticas, basados en una continua mejora y
refinamiento?
Los procesos de instalacin y acreditacin de TI

estn integrados en el ciclo de vida del sistema y
automatizados?
Se disponen de ambientes de prueba bien
desarrollados y los procesos de registro de
problemas y fallas aseguran una transicin de
eficiencia y efectividad hacia el ambiente de
produccin?
La acreditacin se da con una mnima necesidad
de reformularla y los problemas postimplementacin son correcciones menores?
Las revisiones de post-implementacin son
estandarizadas y son retroalimentadas hacia los
procesos para asegurar una continua mejora en
cuanto a la calidad?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso AI6: Administrar cambios

Proceso: AI6 Administrar cambios
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
Existe un proceso definido de administracin de

cambio y estos cambios se pueden realizar
virtualmente sin control?
Existen polticas de administracin y control de
cambios tecnolgicos en la organizacin?
Se sigue algn proceso consistente a seguir para
el control de cambios tecnolgicos?
Cambia continuamente el proceso de cambios
tecnolgicos en la organizacin?
Se requiere de autorizacin superior para
ejecutar cambios de tecnologa?
Cundo un cambio de tecnologa se ejecuta en la
organizacin, es necesario documentar el mismo?
Existe un proceso formal definido para el
proceso de administracin y control de los
cambios?
De existir este proceso, est estructurado
formalmente?
Considera que la documentacin de
configuracin es precisa y consistente?
Considera que las tareas de planeamiento e
impacto son prioritarias a los cambios?
Existe frecuentemente un re-doble de trabajo, en
tareas ya efectuadas?
Existe un proceso formalmente definido para la
El proceso de administracin de cambios incluye
priorizacin, categorizacin, control de
contingencias, autorizacin de cambios y
administracin de lanzamientos?
Considera que el proceso de administracin de
cambios es siempre prctico y aplicable?
Ocurren cambios sin autorizacin
ocasionalmente?
Existe un anlisis operacional del impacto que
causan los cambios tecnologa en el negocio?
Se sigue de forma consistente el proceso de
administracin de cambios, confa que en el
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
mismo no hay excepciones?

El proceso de administracin de cambios
mantiene procesos y controles manuales para
asegurar calidad?
Estn sujetos los cambios a reducir la
posibilidad de problemas post-produccin, a
travs de las tareas de planificacin e impacto?
Considera que las tareas planeamiento e impacto
son prioritarias a los cambios?
El monitoreo de cambios es un proceso formal
dentro de los documentos de administracin de
cambios?
Se actualiza regularmente el proceso de

El proceso de administracin de cambios cambia
de acuerdo a la lnea de las "mejores prcticas"?
La informacin de configuracin se encuentra
implementada en una aplicacin para controlar la
misma?
El monitoreo de la configuracin y de la
administracin de lanzamientos, incluye
herramientas para la deteccin de software sin
licencia o sin autorizacin?
La administracin de cambios tecnolgicos est
integrada a los cambios del negocio?
Proceso DS1: Definir y administrar niveles de servicio

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

Proceso: DS1 Definir y administrar niveles de servicio
Nivel
Pregunta
La administracin ha reconocido la necesidad de
un proceso para definir niveles de servicio?
Estn asignados responsables cuando existen
problemas en los procesos?
Estn asignadas las responsabilidades para la
0 administracin de servicios?
Estn definidos los niveles de servicio?
La administracin conoce sobre las obligaciones
y responsabilidades que tiene en cuanto a niveles
de servicio?
Existe conciencia de la necesidad de administrar
niveles de servicio?
El proceso para la administracin de Niveles de
Servicio es informal?
1 Est definida informalmente la rendicin de
cuentas del desempeo de monitoreo?
Las mediciones del desempeo son cualitativas?
Si
Parcialmente
No
Anlisis
El reporte del desempeo es frecuente?

Existen acuerdos celebrados sobre el nivel de
servicio?
El reporte de nivel de servicio es relevante y
completo?
El reporte de nivel de servicio depende de las
habilidades de los administradores individuales?
Se debera nombrar un coordinador de nivel de
servicio?
El proceso de cumplimiento del acuerdo de nivel
de servicio es voluntario?
Estn bien definidas las responsabilidades de la
administracin de nivel de servicio?
El proceso de desarrollo de los acuerdos de nivel
de servicio est establecido con puntos de
verificacin?
Estn definidos con los usuarios los criterios de
niveles de servicios?
Estn identificadas las carencias de nivel de
servicio?
El nivel de servicio puede resolver las
necesidades especficas de la organizacin?
La satisfaccin del cliente se determina de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
manera rutinaria?
Las medidas de desempeo reflejan las metas de
TI?
Estn estandarizados los criterios de medicin
de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Estn entendidos con claridad los riesgos

operativos?
Los niveles de servicio son reevaluados
constantemente?
Todos los procesos de nivel de servicio estn
sujetos a procesos de mejoramiento?
Un criterio para definir niveles de servicio es
basarse en la criticidad del negocio?
Los niveles de satisfaccin del cliente son
monitoreados?
Los niveles de servicio esperados son evaluados
contra las normas de la industria?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso DS5: Garantizar la seguridad de los sistemas

Proceso: DS5 Garantizar la seguridad de los sistemas
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La empresa reconoce la necesidad de seguridad

para el rea de TI?
Se asignan responsabilidades para encargarse de
la seguridad?
Existe la implementacin de medidas que
soporten la administracin de TI?
La empresa posee un proceso de administracin
para la seguridad de TI?
Existen procesos de reportes y soluciones para
problemas de seguridad en TI?
La empresa reconoce la necesidad de la
seguridad en TI?
La seguridad es administrada segn criterios del
individuo responsable?
Las responsabilidades para la administracin de
seguridad en TI son confusas?
Hay una persona responsable para la
administracin de problemas de seguridad?
Las soluciones para problemas de seguridad son
previsibles?
Las responsabilidades de seguridad de TI son
asignadas a un coordinador de seguridad sin
autoridad de gerencia?
El reporte de la seguridad es pertinente?
El conocimiento acerca de la seguridad es
fragmentado y limitado?
La informacin de la seguridad es generada pero
no analizada?
Las polticas de seguridad estn siendo
desarrolladas pero se utilizan tcnicas y
herramientas inadecuadas?
La Empresa promueve el conocimiento acerca
de la seguridad?
Los informes de la seguridad se han formalizado
y se han estandarizado?
Los procesos de seguridad de TI estn definidos
y es complemento de la estructura de polticas y
procedimientos de seguridad?
son asignadas pero no consistentemente
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
cumplidas?
Existe un plan de seguridad conduciendo a

anlisis de riesgo y soluciones de seguridad?
son claramente asignadas, administradas y
ejecutadas?
Las polticas y prcticas de seguridad son
completas, con especficas y bases de seguridad?
Los informes sobre la seguridad de TI se han
convertido en una obligacin?
La Empresa establece la certificacin de
seguridad en el personal?
Los procesos de la seguridad de TI son
coordinados con la funcin global de seguridad
de la empresa?
Los requerimientos de seguridad de TI estn
claramente definidos, optimizados e incluidos en
el plan de seguridad?
Los incidentes de seguridad de TI son tratados
puntualmente con los procedimientos
formalizados soportados por herramientas
automatizadas?
Los procesos de seguridad y tecnologas estn
integrados totalmente a la empresa?
Las funciones de seguridad se integran con las
aplicaciones en la etapa de diseo?
Las pruebas de intrusin, anlisis de causalidad
y la identificacin de riesgos no estn
perfectamente implementadas?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso DS10: Administrar los datos

Proceso: DS10 Administrar los datos
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
Hay conciencia de la necesidad de administrar

problemas e incidentes?
El proceso de resolucin de problemas es
informal?
Los usuarios y el personal de TI resuelven los
problemas de manera individual?
Los problemas se resuelven caso por caso?
Existen procesos para el manejo de incidentes?
La organizacin ha reconocido que hay una
necesidad de resolver problemas y de evaluar los
incidentes?
Las personas con conocimientos clave proveen
alguna asistencia con los problemas relacionados
con su rea de experiencia y responsabilidad?
La informacin es compartida con otros y las
soluciones varan de una persona de soporte a
otra?
Con medidas equivocadas se da la creacin de
ms problemas y la prdida de tiempo productivo,
mientras se buscan las respuestas?
La administracin cambia frecuentemente el
enfoque y la direccin de las operaciones y el
personal de soporte tcnico?
Hay una amplia conciencia de la necesidad de
administrar los problemas e incidentes
relacionados con TI?
El proceso de resolucin ha evolucionado hasta
un grado en que unas pocas personas claves son
responsables de administrar los problemas e
incidentes que ocurren?
La informacin es compartida entre el personal;
sin embargo, el proceso sigue sin estructuracin,
es informal y mayormente reactivo?
El nivel de servicio para la comunidad de
usuarios vara y es obstaculizado por insuficientes
conocimientos estructurados disponibles para
quienes resuelven los problemas?
El reporte de la administracin de incidentes y el
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
anlisis de la creacin de problemas es limitado e

informal?
La necesidad de un sistema efectivo de

administracin de problemas es aceptada y
evidenciada por presupuestos para la contratacin
de personal?
Los procesos de resolucin, escalamiento y
resolucin de problemas han sido estandarizados,
pero no son sofisticados?
Los usuarios han recibido comunicaciones claras
sobre dnde y cmo reportar sobre problemas e
incidentes?
El registro y rastreo de problemas y sus
resoluciones es fragmentado dentro del equipo de
respuestas, usando las herramientas disponibles
sin centralizacin o anlisis?
Es probable que las desviaciones de las normas
o estndares establecidos pasen desapercibidas?
El proceso de administracin de problemas es
entendido en todos los niveles dentro de la
organizacin?
Las responsabilidades son claras y establecidas?
Los mtodos y procedimientos estn
documentados, comunicados y medidos por
efectividad?
La mayora de los problemas e incidentes estn
identificados, registrados, reportados y analizados
en busca de constante mejoramiento y son
reportados a las partes interesadas?
La capacidad de responder a los incidentes es
probada peridicamente?
El proceso de administracin de problemas ha
evolucionado en un proceso que mira hacia
adelante y es proactivo, contribuyendo a los
objetivos de TI?
Los problemas son anticipados y pueden incluso
ser prevenidos?
El conocimiento es mantenido, a travs de
contactos regulares con vendedores y expertos,
respecto de patrones de problemas e incidentes
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso ME1: Monitorear el desempeo de TI

Proceso: ME1 Monitorear el desempeo de TI
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La organizacin cuenta con un proceso de

monitoreo?
El rea de TI desarrolla independientemente un
monitoreo de proyectos o procesos?
Se reconoce la necesidad de objetivos de
procesos claramente entendibles?
Se reconoce la necesidad de colectar y
determinar informacin acerca de procesos de
monitoreo?
Se han identificado procesos determinados y una
coleccin estndar?
Se implementa un monitoreo constante
solamente cuando un incidente causa alguna
perdida a la organizacin?
Se implementa el monitoreo para los procesos de
TI y tan solo para servicios de informacin de
otros departamentos?
La definicin del proceso y el monitoreo se
ajustan a las necesidades de los servicios de
informacin?
Han sido identificadas algunos parmetros para
monitorear?
Se ha adoptado una coleccin de mtodos y
tcnicas, pero no por toda la organizacin?
La planeacin y administracin es realizada por
el expertise de individuos claves?
Algunas herramientas son implementadas y
usadas pero se limita el uso por falta del expertise
en el manejo?
La funcin de servicios de informacin es
manejada como un centro que genera costos y no
beneficia a la organizacin?
La administracin ha institucionalizado y
comunicado los estndares para monitorear
procesos?
Un programa de educacin y entrenamiento para
monitorear ha sido implementado?
Han sido implementadas herramientas para
monitorear el nivel de servicio y procesos de TI?
Han sido definidos parmetros para medir la
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
contribucin del nivel de servicio en la

organizacin?
Han sido implementados los parmetros para
medir la satisfaccin del cliente y del nivel de
servicio en las entidades?
La gerencia define tolerancias en las cuales los
procesos deben operar?
Lineamientos base de resultados de monitoreo
son estandarizados y normalizados?
Existe integracin de las mtricas entre
proyectos TI y procesos?
Se define un marco para identificar estrategias
orientadas a procesos como KGIs, KPIs, y CSFs
para realizar mediciones?
Se ejecutan criterios de aprendizaje tales como
financieros, operacionales, de consumidores y
organizacional?
Se mejora el proceso para actualizar el
monitoreo de estndares, polticas y mejores
prcticas en la organizacin?
Todos los procesos de monitoreo son
optimizados y soportan objetivos globales de la
organizacin?
KGIs, KPIs, y CSFs son usados continuamente
para realizar mediciones y se alinean con el
trabajo estratgico?
Procesos de monitoreo y rediseos en
movimiento son consistentes con planes ya
desarrollados de mejoramiento?
Bancos de prueba contra la industria y
competidores claves se formalizan y comparan?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Proceso ME2: Monitorear y evaluar el control interno

Proceso: ME2 Monitorear y evaluar el control interno de TI
Nivel
Pregunta
Si
Parcialmente
No
Anlisis
La organizacin posee procedimientos para

monitorear la efectividad de los controles
internos?
Los mtodos de reporte de control interno de
administracin estn presentes en su
organizacin?
Hay una ausencia general de conciencia de la
seguridad operativa?
La administracin y los empleados tienen
conciencia de los controles internos?
Hay una ausencia general del aseguramiento de
control interno de TI?
Existe un compromiso de parte de la
administracin para la seguridad operativa
regular?
Se aplica ad hoc en la experiencia individual en
determinar la adecuacin de control interno?
La administracin de TI ha asignado
formalmente la responsabilidad de monitorear la
efectividad de los controles Internos?
Las evaluaciones de control interno de TI son
realizadas como parte de auditoras financieras
tradicionales?
Existe un monitoreo adecuado dentro de la
empresa?
La organizacin usa reportes informales de
control para iniciar iniciativas de accin
correctiva?
Los procesos de planificacin y administracin
estn definidos?
La evaluacin depende de los conjuntos de
habilidades de las personas clave?
La organizacin tiene una mayor conciencia del
La administracin ha comenzado a establecer
mtricas bsicas?
La administracin soporta y ha
institucionalizado un monitoreo de control
interno?
Se han desarrollado polticas y procedimientos
para evaluar y reportar sobre las actividades de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
control interno?
No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?
Se han establecidos revisiones peridicas para el
monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
La organizacin estableci niveles de tolerancia
para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
cada vez ms automatizadas en los procesos de
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control
interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que
son integradas y actualizadas?
Est formalizada la participacin de los
conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
ANEXO B: HOJAS DE TRABAJO OCTAVE-S

Hoja de Trabajo. Impacto de los criterios de la evaluacin: Reputacin y Confianza del Cliente
Reputacin/Confianza del Cliente
Tipo de Impacto
Reputacin
Prdida de
clientes
Bajo Impacto
Mediano Impacto
Alto Impacto
La reputacin de la
empresa se afecta en
un mnimo porcentaje,
poco o nada de
esfuerzo o gasto es
necesario para
recuperarse si se
presenta la situacin de
prdida de confianza
del cliente.
Menos del ____% de
reduccin de clientes
debido a la prdida de
confianza.
La reputacin de la
empresa se daa, y
esfuerzo y un poco
de gasto
econmico se
requiere para
recuperarse.
La reputacin de la
empresa est
irremediablemente
destruida o daada.
Del ____ al ___%

de reduccin de
clientes debido a la
prdida de
confianza
Ms del ____% de
reduccin de clientes
debido a la prdida
de confianza.
Otro:
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Finanzas

Finanzas
Tipo de Impacto
Bajo Impacto
Costos operativos
Aumento de menos de
____% anual en costos
operativos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Mediano Impacto
Alto Impacto
Gastos anuales de Anualmente los

costos operativos
costos operativos
aumentan del ____ aumentan el ____%
al ___%

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Prdida de
ingresos
Menos de ____% de
prdida de ingresos
anuales
De ____ al ___%
de prdida de
ingresos anuales
Mayor del ____%en

prdida de ingresos
anuales
Prdida financiera
Prdida financiera de
menos de $ ____
Prdida financiera
de $ ____ al $___
Prdida financiera
mayor a $____
Otro:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Productividad

Productividad
Tipo de Impacto
Horarios del
personal
Bajo Impacto
Mediano Impacto
Alto Impacto
El horario del personal

se increment menos
del ____% en ___
da(s)
El horario del
personal se
increment entre el
____ al ____% en
___ da(s)
El horario del
personal se
increment en ms
de un ____% en ___
da(s)
Otro:
Otro:
Otro:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Seguridad/Salud

Seguridad/Salud
Tipo de Impacto
Vida
Salud
Seguridad
Bajo Impacto
Mediano Impacto
No hay prdida o
amenaza significativa
en la vida del personal
La vida de los
miembros del
personal se ven
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Degradacin mnima,
Discapacidad
inmediatamente
temporal o
tratable de la salud de
recuperable de la
los miembros del
salud de
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad cuestionada Seguridad afectada
Alto Impacto
Prdida de vidas de
miembros del
personal
Deterioro
permanente de la
salud de miembros
del personal
Seguridad violada
Otro:
Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales

Multas/Sanciones Legales
Tipo de Impacto
Multas
Bajo Impacto
Mediano Impacto
Multas inferiores a
Multas entre
$_____ son recaudadas $_____ y $_____
son recaudadas
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Alto Impacto
Multas mayores a
$_____ son
recaudadas

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Demandas
Demandas no frvolas
de menos de $ ____
son presentadas en
contra de la
organizacin
Investigaciones
No hay preguntas
formuladas por el
gobierno u otras
organizaciones de
investigacin
Demandas no
frvolas entre
$_____ y $_____
son presentadas
en contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin
requieren
informacin o
records de la
empresa
Demandas no
frvolas mayores a
$_____ son
presentadas en
contra de la
organizacin
El gobierno u otras
organizaciones de
investigacin inician
una investigacin de
alto perfil y en
profundidad de las
prcticas de la
organizacin
Otro:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Identificacin de activos organizacionales: Informacin, Sistemas y

Aplicaciones
Informacin, Sistemas y Aplicaciones
Sistema
Qu sistemas la gente
en su organizacin
necesita para realizar su
trabajo?
Informacin
Qu informacin la gente en
su organizacin necesita para
Aplicaciones y
Servicios
Qu aplicaciones y
servicios la gente en su
organizacin necesita para
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Otros Activos
Qu otros activos estn
relacionados directamente con
estos activos?

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Identificacin de activos organizacionales: Gente

Gente
Gente
Qu personas tienen una
habilidad o conocimiento
especial que es vital para su
organizacin y puede ser
muy difcil de reemplazar?
Habilidades y
Conocimiento
Cules son sus
habilidades o
conocimientos?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Sistemas
Relacionados
Qu sistemas utilizan estas
personas?
Activos
Relacionados
Qu otros activos usan
estas personas (Ejemplo:
informacin, servicios o
aplicaciones)

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Seguridad, Concientizacin y Entrenamiento

Seguridad, Concientizacin y Entrenamiento
Enunciado
Los miembros del

personal
comprendan sus
roles de seguridad y
responsabilidades.
Esto est
documentado y
verificado.
Hay suficiente
experiencia interna
para todas las
versiones servicios,
mecanismos y
tecnologas. Esto
est documentado y
verificado.
Existe una
conciencia de
seguridad,
capacitacin y
recordatorios
peridicos, los que
se proporcionan
para todo el
personal. El
entendimiento del
personal est
documentado y se
verifica
peridicamente.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Los miembros del

personal siguen
buenas prcticas
como:
Asegurar
Si
Algo
No
No se sabe
informacin de
la
que
son
responsable
No
divulgar
informacin
confidencial
otros
Tener capacidad
suficiente
para
utilizar
la
informacin
tecnologa
de
hardware
software
Uso de buenas
prcticas
para
definir
contraseas
Entender
seguir
las
polticas
de
seguridad y los
reglamentos
Reconocer
reportar
incidentes
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Estrategia de Seguridad

Estrategia de Seguridad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Las estrategias
comerciales de la
organizacin
incorporan
consideraciones de
seguridad.
Si
Algo
No
No se sabe
Las estrategias y
polticas de
seguridad toman en
cuenta las
estrategias y
objetivos del
negocio de la
organizacin.
Las estrategias de
seguridad, metas y
objetivos son
documentados y se
revisan de forma
rutinaria, se lo
actualiza y se
comunica a todos
los involucrados en
la organizacin.
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Gestin de la Seguridad

Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La Gerencia asigna
fondos y recursos
suficientes para
actividades de
informacin de
seguridad.
Si
Algo
No
No se sabe
Los roles y
responsabilidades
de seguridad se
definen para todo el
personal de la
organizacin.
Si
Algo
No
No se sabe
Todo el personal en
todos los niveles de
responsabilidad
pone en prctica sus
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
donde la
informacin reside.
Las prcticas de
contratacin y
terminacin de
personal en la
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin
gestiona los riesgos
de seguridad de la
informacin:
Evala
los
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
riesgos para la
seguridad de la
informacin
Toma medidas
para
mitigar
riesgos
de
seguridad de la
informacin
Gerencia recibe y
acta sobre los
informes de rutina
relacionados con la
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Polticas de Seguridad y Regulaciones

Polticas de Seguridad y Regulaciones
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
La organizacin
cuenta con un
amplio conjunto de
polticas actuales
que peridicamente
son revisadas y
actualizacin.
Hay un
procedimiento
documentado de
gestin de las
polticas de
seguridad, que
incluye:
Creacin
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Amarillo
Verde
No aplica
Si
Algo
No
No se sabe
Administracin
(revisiones
peridicas
actualizaciones)
Comunicacin
La organizacin
dispone de un
procedimiento
documentado para
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
regulaciones
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
aplicables, y
requisitos de
seguro.
La organizacin
uniformemente
refuerza sus
polticas de
seguridad.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Plan de Contingencia/Recuperacin de Desastres

Plan de Contingencia/Recuperacin de Desastres
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Se ha realizado un
anlisis de las
operaciones, las
aplicaciones y los
datos crticos.
Si
Algo
No
No se sabe
La organizacin ha
documentado,
revisado y probado:
Planes
de
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
continuidad del
negocio y de
operacin
en
caso
de
emergencia
Plan
de
recuperacin de
desastres (s)
Los planes de
contingencia,
recuperacin de
desastres y de
negocios
consideran la
continuidad fsica y
electrnica y los
requisitos de
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
acceso y controles.
Todo el personal:
Esta consciente
de los planes de
Si
Algo
No
No se sabe
recuperacin de
desastres
imprevistos
continuidad del
negocio.
Comprende
es
capaz
realizar
y
de
sus
responsabilidad
es
Hoja de Trabajo. Prcticas de seguridad: Control de Acceso Fsico

Control de Acceso Fsico
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Si alguien del
personal est
encargado de esta
rea:
Planes de seguridad
de las instalaciones
y procedimientos
para salvaguardar
las instalaciones,
edificios y
cualquier zona
restringida y estn
documentados y
probados.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
la gestin de los
visitantes.
Si
Algo
No
No se sabe
Hay polticas y
procedimientos
documentados para
controlar el acceso
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Las estaciones de
trabajo y otros
componentes que
permiten acceso a
la informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.
Si
Algo
No
No se sabe
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red

Gestin del Sistema y la Red
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Existen planes de
seguridad para
salvaguardar el
sistema y las redes.
La informacin
confidencial est
protegida en un
almacenamiento
seguro (por
ejemplo, copias de
seguridad
almacenadas en
otro sitio).
Si
Algo
No
No se sabe
La integridad del
software instalado
es regularmente
verificada.
Si
Algo
No
No se sabe
Todos los sistemas

estn actualizados a
la fecha de acuerdo
con revisiones,
parches y
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
recomendaciones
de seguridad.
Existe un plan
documentado y
comprobado para la
copia de seguridad
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios
de hardware y
software son
planeados,
controlados y
documentados.
Los miembros del
rea de TI siguen
procedimientos
para cambiar y dar
de baja
contraseas,
cuentas y
privilegios.
Solo servicios
necesarios estn
corriendo en los
sistemas, todos los
servicios que no
son necesarios han
sido eliminados.
Herramientas y
mecanismos para el
sistema de
seguridad y
administracin de
la red que se
utilizan, se revisan
de manera
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
rutinaria, se
actualizan o
reemplazan.
Hoja de Trabajo. Prcticas de seguridad: Monitoreo y Auditora de la Seguridad de TI

Monitoreo y Auditora de la Seguridad de TI
Enunciado
Si alguien del
personal est
encargado de esta
rea:
Sistema y red de
monitoreo y
herramientas de
auditora son
habitualmente
utilizados por la
organizacin.
Actividades
extraas se
manejan de
acuerdo con las
polticas y
procedimientos
definidos.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Qu
actualmente su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Componentes del
Firewall y otros
componentes de
seguridad son
auditados
peridicamente
para revisar el
cumplimiento de
polticas.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Manejo de la Vulnerabilidad

Manejo de la Vulnerabilidad
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Hay un conjunto de
procedimientos
documentados para
manejo de
vulnerabilidades,
para:
Selecciona
r
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente
su
organizacin
no est
haciendo bien
en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
las
herramientas de
evaluacin
de
vulnerabilidad,
listas de control
y secuencias de
comandos
Manteners
e al da con la
vulnerabilidad
conocida, tipos y
mtodos
de
ataque
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Revisar las
fuentes
de
informacin
sobre
anuncios
de
vulnerabilidad,
alertas
de
seguridad
comunicaciones
Identificaci
n
de
los
componentes de
infraestructura a
ser evaluado
Programar
evaluaciones de
vulnerabilidad
interpretar
y responder a los
resultados
mantener
un
almacenamiento
seguro
la
disposicin
de
datos vulnerables
Se siguen
procedimientos de
gestin de
vulnerabilidades los
que son
peridicamente
revisados y
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
actualizados.
Evaluaciones de
tecnologa
vulnerable se
realizan en forma
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Encriptacin

Encriptacin
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Controles
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
apropiados de
seguridad
se
utilizan
para
proteger
informacin
sensible
durante
el
almacenamient
o y durante la
transmisin
(por
ejemplo,
el cifrado de
datos,
infraestructura
de
clave
pblica,
tecnologa
de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
red
privada
virtual).
Se utilizan
protocolos de
cifrado cuando se
maneja sistemas,
routers y firewalls
a distancia.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Seguridad de Diseo y Arquitectura

Seguridad de Diseo y Arquitectura
Enunciado
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Si alguien del
personal est
encargado de esta
rea:
Arquitectura del
sistema y diseo
para sistemas
nuevos y revisados
incluyen las
siguientes
consideraciones:
Estrategi
as
Qu
actualmente
su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
de
seguridad,
polticas
procedimientos
Antecede
ntes
de
compromisos
de seguridad.
Resultad
os
de
las
evaluaciones
de riesgos de
seguridad.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La organizacin
tiene diagramas
que muestran la
seguridad en toda
la empresa y la
arquitectura de red
que estn
actualizados.
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo. Prcticas de seguridad: Manejo de Incidentes

Manejo de Incidentes
Enunciado
Si alguien del
personal est
encargado de esta
rea:
Existen
procedimientos
documentados
para la
identificacin,
presentacin de
informes, y
procesos para
responder a
incidentes
sospechosos y
violaciones.
Los
procedimientos de
manejo de
incidentes son
peridicamente
probados,
verificados y
actualizados.
Existen polticas y
procedimientos
documentados
para trabajar con
autoridades
policiales.
Hasta qu
punto esta
afirmacin se
refleja en su
organizacin?
Qu
actualmente su
organizacin
est haciendo
bien en esta
rea?
Si
Algo
No
No se sabe
Qu
actualmente su
organizacin no
est haciendo
bien en esta
rea?
Qu tan
efectivamente
su
organizacin
est
implementado
las prcticas
en esta rea?
Rojo
Naranja
Verde
No aplica
Si
Algo
No
No se sabe
Si
Algo
No
No se sabe
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo: Seleccin de Activos Crticos

Seleccin de Activos Crticos
Preguntas a considerar:
Qu activo tendra un efecto adverso en la organizacin si:
Es divulgado a personas no autorizadas?
Es modificado sin autorizacin?
Se pierde o es destruido?
El acceso al activo es interrumpido?

Activo Crtico
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Notas

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo: Informacin de Activos Crticos

Activo
Crtico
Justificacin
Descripcin del
de la Seleccin Sistema
Requerimientos
de Seguridad
Cul es el
sistema crtico?
Por qu es ese
sistema crtico para
la organizacin?
Cules son los

requerimientos de
seguridad para este
sistema?
Quin usa el sistema?

Quin es responsable
de este sistema?
Confidencialidad:
Solo personal
autorizado puede
ver informacin
Requerimiento de
seguridad ms
importante
Cul de los
requerimientos de
seguridad es el ms
importante para este
sistema?
Confidencialidad
Integridad
Disponibilidad
Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin
Disponibilidad:
debe estar
disponible para
que el personal
realice su trabajo.
Otro:
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red Perfil bsico de riesgo
Actores con acceso a la red Perfil bsico de riesgo
Amenaza
Actores de amenazas

Qu actores plantean las mayores amenazas

para el sistema a travs de la red?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Accidental
Adentro
`
Premeditado
Porta
l
Red
Resultado
Motivo
Actor
Acceso
Activo
Revelacin
Modificacin
Prdida
Interrupcin

que actan accidentalmente:
Revelacin
Modificacin
Prdida

que actan deliberadamente:
Interrupcin
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin

actan accidentalmente:
Revelacin
Modificacin
Prdida
Interrupcin

actan deliberadamente:
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Muy
Qu tan exactos son estos

datos?
Nada
ocurrido esta amenaza en el
pasado?
Nada
Algo
Muy
Bajo
Medio
Alto
Historia
Qu tan confiado est

usted de este estimado?
Algo
Motivo
Qu tan fuerte es el motivo
del actor?
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
a la red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red
que pertenecen a la
organizacin actuando
el sistema.
que pertenecen a la
el sistema.
Gente que no pertenece a la organizacin que tiene acceso a la red
el sistema.
el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema
Problemas del Sistema Perfil bsico de riesgo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Historia
`
El sistema se cae
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
Revelacin
Modificacin
Prdida
Interrupcin
veces en aos
veces en aos
veces en aos
veces en aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Qu tan exactos son

estos datos?
Muy
Resultad
o
Actor
Activo
en el pasado?
Algo
Amenaza
aos
aos
aos
aos

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del
Sistema reas de Preocupacin
Defectos de Software
defecto de software podra ser
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
sistema.
Defectos de Hardware
defecto de hardware podra ser
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo
malicioso de software podra ser
sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

Historia
Porta
l
`
Problemas de
telecomunicaciones
Problemas con
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Qu tan exactos son

estos datos?
Muy
Resultad
o
Actor
Activo
Problemas con el
en el pasado?
Algo
Amenaza

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
reas de Preocupacin
Problemas con el suministro de energa
problema con el suministro de
energa podra ser considerado
Problemas de telecomunicaciones
problema de
telecomunicaciones podra ser
sistema.
Problemas con sistemas de terceros

problema con sistemas de
terceros podra ser considerado
Desastres naturales
De ejemplos de algn desastre
natural podra ser considerado
No se han registrado amenazas al sistema por desastres

naturales.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

Historia
`
Personas clave
que renuncian
Revelacin
Modificacin
Prdida
Interrupcin
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Revelacin
Modificacin
Prdida
veces en
veces en
veces en
veces en
aos
aos
aos
aos
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Nada
Qu tan exactos son

estos datos?
Muy
Resultad
o
Actor
Activo
Personas clave
permiso temporal
en el pasado?
Algo
Amenaza

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
reas de Preocupacin
Personas clave que toman un permiso temporal
persona clave en la organizacin
toma un permiso temporal
podra ser considerado una
amenazar el sistema.
Personas clave que salen de la organizacin permanentemente

persona clave en la organizacin
se retira de la empresa
permanentemente podra ser
sistema.
Hoja de Trabajo: Rutas de acceso

Sistema de inters
Sistema de Inters
Sistema de Inters
Puntos de Acceso
Cul de las siguientes clases de componentes son parte del

sistema de inters?
Cul de las siguientes clases de componentes se utilizan

para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores
Red Interna
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Redes Internas
Otros
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Red externa
Otros

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Puntos de Acceso
Acceso al Sistema por
Ubicacin de donde se
Otros Sistemas o
Individuos
almacenan los datos
Componentes
Acceso al Sistema por Ubicacin de donde se Otros
Sistemas
Individuos
almacenan los datos
Componentes
De cul de las siguientes
clases de componentes puede la gente
(por ejemplo, los usuarios, los
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
En qu clase de componente esta la

informacin del sistema de inters
almacenada por motivos de respaldo?
Estaciones de Trabajo
Laptops
Dispositivos de
almacenamiento de respaldos
locales
Otros
Cul otro sistema accede

informacin del sistema de inters?
Estaciones de Trabajo fuera

de la oficina
Otros
Hoja de Trabajo: Evaluacin de la infraestructura

Clase
Activo Crtico
Responsabilidad
Quin es responsable de mantener y
asegurar cada clase de cada
componente?
Cliente
Aplicaciones
Cul activo critico est

relacionado con cada clase?
Portal
Cul clase de componente est

relacionado con uno o ms de los activos
crticos?
Servidores
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Red interna
Laptops
Dispositivos de
Almacenamiento
Red Externa
Estaciones de trabajo fuera de

la oficina
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
a la red. Impacto
Actores con acceso a la red Impacto
Accidental
Adentro
`
Premeditado
Red
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Resultado
Motivo
Actor
Acceso
Impacto
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Sistema. Impacto
Problemas del Sistema Impacto
`
El sistema se cae
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Actor
Resultado
Impacto
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Amenaza
Impacto


A: Alto
M: Medio
B: Bajo
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Problemas con el
`
Problemas de
telecomunicaciones
Otro
Seguridad
Multas
Productividad
Financiero
Reputacin
Resultado
Actor
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Problemas con
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Impacto
`
Personas clave
que renuncian
Otro
Seguridad
Multas
Productividad
Financiero
Resultado
Actor
Personas clave
permiso temp.
Reputacin
Impacto
A: Alto
M: Medio
B: Bajo
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Criterios basados en la frecuencia

1.
Piense en lo que constituye un riesgo alto, medio y bajo de la ocurrencia de amenazas a los
activos crticos de la organizacin.
Alto
Tiempo
entre
eventos
Frecuencia
analizada
Diario
Semanal
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Medio
Mensual
Cuatro veces
al ao
< 4 veces al
ao

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
2.
Dibuje lneas que separen alto de medio y medio de bajo
Medio
Bajo
Una vez al
ao
< 1 vez al
ao
Una vez cada

5 aos
Una vez cada Una vez cada

10 aos
20 aos
Una vez cada

50 aos
a la red. Probabilidad
Actores con acceso a la red Probabilidad
Amenaza
Probabilidad
Accidental
Adentro
`
Premeditado
Red
Qu tan probable es que la amenaza ocurra en

el futuro? (A: Alto, M: Medio, B: Bajo)
Nada
Algo
Muy
Confianza
Valor
Resultado
Motivo
Actor
Acceso
Activo

Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Accidental
Afuera
Premeditado
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Sistema. Probabilidad
Problemas del Sistema Probabilidad
Amenaza
Probabilidad


Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
`
El sistema se cae
Nada
Algo
Muy
Confianza
Valor
Resultado
Actor
Activo
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Cdigo malicioso
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Probabilidad
`
Problemas de
telecomunicaciones
Nada
Algo
Muy
Confianza
Valor
Actor
Problemas con el
Resultado
Probabilidad
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Problemas con
Desastres naturales
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Probabilidad
`
Personas clave
que renuncian
Nada
Muy
Algo
Confianza
Valor
Actor
Personas clave
permiso temp.
Resultado
Probabilidad
Activo
Amenaza
Revelacin
Modificacin
Prdida
Interrupcin
Revelacin
Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Conocimiento de seguridad y entrenamiento

Qu tan formal es la estrategia de capacitacin de su organizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Estrategia de Proteccin
La organizacin cuenta con una estrategia de capacitacin
documentada que incluye una evaluacin del conocimiento
de seguridad para la sensibilizacin y la formacin en
materia de seguridad para las tecnologas de apoyo.
La organizacin tiene una estrategia de capacitacin
informal e indocumentada.
Actual
Cambiar
Actual
Cambiar
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Evaluar el conocimiento de Seguridad

Se proveen entrenamientos peridicos sobre seguridad que
a todos los empleados 1 vez cada ao.
Se provee entrenamiento sobre seguridad a personas nuevas
en la organizacin como parte de sus actividades de
orientacin.
La organizacin no provee un entrenamiento sobre
seguridad. Cada miembro del personal aprende sobre
problemas de seguridad por s mismo.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
Entrenamiento relacionado con Seguridad

Los miembros del rea de TI deben asistir a entrenamientos
utilicen.
Los miembros del rea de TI pueden asistir a
entrenamientos relacionados con seguridad para cualquier
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que
miembros del rea de TI asistan a entrenamientos
utilicen.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
Actualizaciones peridicas de Seguridad

La organizacin tiene mecanismos formales para proveer
La organizacin no tiene un mecanismo para proveer a
Actual
Cambiar
Actual
Cambiar
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
Verificacin del Entrenamiento

La organizacin tiene mecanismos formales para rastrear y
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

La organizacin tiene mecanismos informales para rastrear
y verificar que los miembros del personal reciban
La organizacin no tiene mecanismos para rastrear y
Actual
Cambiar
Actual
Cambiar
Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad

colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
se trabaja con colaboradores y socios. La organizacin tiene
polticas y procedimientos no documentados para proteger
otros tipos de informacin cuando se trabaja con
colaboradores y socios.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Contratistas y Subcontratistas
se trabaja con contratistas y subcontratistas. La organizacin
contratistas y subcontratistas.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
se trabaja con proveedores de servicios. La organizacin
proveedores de servicios.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras
partes.
La organizacin comunica informalmente los requisitos de
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
proteccin de informacin a terceras partes.

La organizacin no comunica sus requisitos de proteccin
de informacin a terceras partes.
Actual
Cambiar
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
requerimientos.
La organizacin tiene mecanismos informales para verificar
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
Conocimiento del Personal

empleados 1 vez cada ao.
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

seguridad de la organizacin no incluye informacin sobre
el manejo colaborativo de seguridad, polticas y
empleados 1 vez cada ao. Los miembros del personal
aprenden sobre manejo colaborativo de la seguridad por si
mismos.
Actual
Cambiar
Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica

Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual
Mantener registros de mantenimiento para documentar

reparaciones y modificaciones al hardware.
Monitorear acceso fsico controlado por hardware.
Monitorear acceso fsico controlado por software.
Monitorear acceso fsico a reas de trabajo
restringidas.
Revisar los registros de monitoreo peridicamente.
Investigar y monitorear cualquier actividad inusual no
identificada.
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
La organizacin ha documentado formalmente planes y

procedimientos para monitorear acceso fsico al edificio,
La organizacin ha documentado formalmente algunos
planes y procedimientos para monitorear acceso fsico al
edificio, reas de trabajo, hardware y software. Algunas
polticas y procedimientos son informales y no son
documentados.
La organizacin tiene planes y procedimientos para
monitorear acceso fsico al edificio, reas de trabajo,
hardware y software que son informales y no documentados.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
Entrenamiento

a entrenamientos para monitorear acceso fsico al edificio,
reas de trabajo, hardware y software si ellos lo piden.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo: Estrategia de proteccin para autenticacin y autorizacin

Quin es actualmente responsable de la autenticacin y autorizacin? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Responsabilidad
Combinado
Externo
Interno
Cambiar
Combinado
Externo
Tarea:
Interno
Actual
Implementar control de acceso (permisos de archivos,

configuracin de la red) para restringir a usuarios
acceso a informacin, sistemas susceptibles,
red.
Implementar autenticacin de usuarios (permisos de
archivos, configuracin de la red) para restringir a
red.
Establecer y terminar acceso a sistemas e informacin
para ambos individuos y grupos.
capacitacin?
Procedimientos

y autenticacin de procedimientos para restringir a usuarios
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
y autenticacin de algunos procedimientos para restringir a
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
documentados para la autorizacin y autenticacin de
procedimientos para restringir a usuarios acceso a
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

capacitacin?
Entrenamiento

a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas
susceptibles, aplicaciones y servicios especficos y
conexiones de red.
especficos y conexiones de red si ellos lo piden.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones

Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
Polticas Documentadas

relacionadas con seguridad formalmente documentadas.
relacionadas con seguridad informalmente documentadas.
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Actual
Cambiar
Actual
Cambiar

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Las polticas relacionadas con seguridad de la organizacin

son informales y no estn documentadas.
Actual
Cambiar
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
Manejo de Polticas
La organizacin tiene un mecanismo formal para crear y

actualizar su poltica relacionada con seguridad.
La organizacin tiene un mecanismo formal para crear su
poltica relacionada con seguridad. La organizacin tiene un
mecanismo informal y no documentado para actualizar su
poltica relacionada con seguridad.
documentado para crear y actualizar su poltica relacionada
con seguridad.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
Aplicacin de Polticas

aplicados son aplicados y seguidos constantemente.
aplicados nunca se siguen.
documentado para aplicar su poltica relacionada con
seguridad.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
Polticas y Cumplimiento del Reglamento

Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

con polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro.
con ciertas polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro. Algunos
procedimientos en esta rea son informales y no estn
documentados.
documentados para cumplir con polticas de seguridad de la
informacin, leyes aplicables, regulaciones y requisitos del
seguro.
Actual
Cambiar
Actual
Cambiar
Actual
Cambiar
Hoja de Trabajo: Plan de Mitigacin

rea de Mitigacin: Conocimiento de seguridad y entrenamiento
Razn
de seguridad?
Apoyo adicional

actividad?

cada actividad?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

rea de Mitigacin: Manejo colaborativo de la seguridad
de seguridad?
Razn
Apoyo adicional

actividad?

cada actividad?

rea de Mitigacin: Monitorear y auditar seguridad fsica
de seguridad?
Razn
Apoyo adicional

actividad?

cada actividad?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Hoja de Trabajo: Autenticacin y autorizacin

rea de Mitigacin: Autenticacin y autorizacin
de seguridad?
Razn
Apoyo adicional

actividad?

cada actividad?
Hoja de Trabajo: Polticas de seguridad y regulaciones

rea de Mitigacin: Polticas de seguridad y regulaciones
de seguridad?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador
Razn

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Apoyo adicional

actividad?

cada actividad?
Hoja de Trabajo: Identificar siguientes pasos

Considere:
Contribuir fondos para las actividades de seguridad de la informacin.
Asignar personal para las actividades de seguridad de la informacin.
Asegurarse que los funcionarios dispongan de tiempo suficiente asignado a las actividades de seguridad de la informacin.
Permitir al personal recibir entrenamiento sobre seguridad de la informacin.
Hacer que la seguridad de la informacin sea una prioridad estratgica.
Gestin para la
mejora de la
Seguridad
Monitorear la
implementacin
Ampliar la actual
evaluacin de
riesgos en la
seguridad de la
informacin
Siguiente evaluacin
de riesgos en la
seguridad de la
informacin
Qu debe hacer la
Gerencia para apoyar la
implementacin de los
resultados de Octave-S?
Qu debe hacer la
informacin para rastrear el
progreso y asegurar que los
resultados de esta
evaluacin se implementen?
Expendera la actual
evaluacin OCTAVE-S para
incluir activos crticos
adicionales? Cules?
Cundo conducir la
organizacin su siguiente
evaluacin OCTAVE-S?
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
ANEXO C: INFORME DE RETROALIMENTACIN DE PIRMIDE

DIGITAL
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000
AUTOR:
Ing. Olga M Pez
.:. Gerente de Tecnologa

olga_paez@piramidedigital.com
Cel. + (593) 989 445 049
skype: olga.paez.o
Telfonos: (593-2) 255 66 22, 255 66 23, Fax: (593-2) 255 98 88,
Celular: (593-9) 1699699
Quito Ecuador

Tel/Fax + (593) 2339744 , 2080300
Celular: (593)99 922000

(PD) Publicaciones - Octave S

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

(PD) Publicaciones - Octave S

Cargado por

Copyright:

Formatos disponibles

www.piramidedigital.

APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA PIRMIDE DIGITAL

PO3: Determinar la direccin tecnolgica

PO4: Definir procesos, organizacin y relaciones de TI

PO9: Evaluar y administrar riesgos de TI

AI5: Instalar y acreditar sistemas

AI6: Administrar cambios

DS1: Definir y administrar niveles de servicio

DS5: Garantizar la seguridad de los sistemas

DS10: Administrar los datos

ME1: Monitorear el desempeo de TI

ME2: Monitorear y evaluar el control interno

En el Captulo Tres se aplica la norma OCTAVE-S antes de iniciar la evaluacin, se

Av. 12 de Octubre y Cordero.

Juan Pascoe y Myriam de Sevilla. Campos Verdes.

Una vez que se seleccion al equipo de trabajo, se inici la evaluacin utilizando la

Av. 12 de Octubre y Cordero.

Juan Pascoe y Myriam de Sevilla. Campos Verdes.

Centro de Capacitacin Gerencial

Conocer los elementos constituyentes de la infraestructura de comunicacin, procesamiento y

El enfoque Octave define al anlisis de riesgos como:

Centro de Capacitacin Gerencial

Revelacin de un activo crtico

Modificacin de un activo crtico

Prdida / destruccin de un activo crtico

Interrupcin de un activo crtico 6

Incorpora activos, amenazas y vulnerabilidades

Incorpora aspectos tecnolgicos relacionados con la configuracin de la infraestructura informtica

Centro de Capacitacin Gerencial

1.2 Anlisis de Seguridades

Centro de Capacitacin Gerencial

El propsito de un anlisis de seguridad es el proteger los elementos que forman parte de la

Los equipos que la soportan

Las personas que la utilizan11

Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.

Centro de Capacitacin Gerencial

Confidencialidad: el principio de la confidencialidad de la informacin tiene como propsito

Centro de Capacitacin Gerencial

Identificar y clasificar los activos de informacin clave

Figura 2: Ciclo de seguridad de la informacin

Centro de Capacitacin Gerencial

Proteger a los activos contra accesos no autorizados.

Evitar alteraciones indebidas que pongan en peligro su integridad.

Garantizar la disponibilidad de la informacin. 16

1.3 Justificacin del uso de la Norma

Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.

Centro de Capacitacin Gerencial

dirigida a los responsables de

promover y hacer pblico un

de riesgo de una empresa.

COBIT est diseado para

Especifica los requisitos

ser utilizado no solo por

necesarios para establecer,

usuarios y auditores de TI,

principalmente, como gua

integral para la gerencia y

Basado en ciclo Deming

(Planear, Hacer, Revisar,

marco de trabajo COBIT se

estar en capacidad de:

medida para incrementar

el xito de los negocios.