1proyecto de Graduacion Implementacion de Sgsi A La Empresa

ESCUELA SUPERIOR POLITCNICA DEL LITORAL
ESCUELA DE DISEO Y COMUNICACIN VISUAL
PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE
ANALISTA DE SISTEMAS
IMPLEMENTACIN DE
SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN APLICADA AL REA DE RECURSOS
HUMANOS DE LA EMPRESA DECEVALE S.A.
AUTORES:
CALDERN ONOFRE DIANA
ESTRELLA OCHOA MARTN
FLORES VILLAMARN MANUEL
DIRECTOR:
ING. VICTOR MUOZ CHACHAPOLLA
AO:
2011
AGRADECIMIENTO
Agradecemos a Dios por haber pensado en nosotros antes de nacer y

habernos dado sabidura e inteligencia en su infinito amor para con nosotros
porque sin l no hubiera sido posible llegar a la meta que nos hemos
propuesto.
Tambin les damos gracias a nuestros padres y familia por haber sido nuestro
gua en todo este tiempo, por su amor incondicional e incomparable, sabiendo
entendernos y apoyarnos en nuestros momentos ms difciles.
A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de

cada da para ensearme todo lo que en el futuro me sirva para ser personas
de bien.
DEDICATORIA
Este trabajo se lo dedico a mis Padres, porque ellos siempre han estado a mi
lado en todo momento siempre aconsejndonos, ayudndonos y sobre todo
guindonos para seguir adelante.
Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas

que como el Ing. Vctor Muoz, ha sabido poner en m todos sus conocimientos
para que pueda culminar con xito este trabajo.
A nuestros Abuelos que desde muy pequeos nos han enseado a hacer lo
bueno y no lo malo, a ser fuerte porque as llegaremos a las metas propuestas.
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de Graduacin, nos

corresponde exclusivamente, como miembros elaboradores de la misma; y el
patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral.
FIRMA DEL DIRECTO DEL PROYECTO
Y MIEMBROS DEL TRIBUNAL
___________________________________
MAE. VICTOR MUZ CHACHAPOLLA
DIRECTOR
__________________________________
MAE. ENRIQUE SALAZAR MEZA
DELEGADO
FIRMA DE LOS AUTORES
DEL PROYECTO DE GRADUACIN
___________________________________
DIANA XIOMARA CALDERN ONOFRE
__________________________________
CARLOS MARTN ESTRELLA OCHOA
____________________________________
MANUEL ALEJANDRO FLORES VILLAMARN

RESUMEN GENERAL
El presente Trabajo de Graduacin se enfoca en la reorganizacin del

departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la empresa e indispensable para el desarrollo de sus actividades.
La implementacin de un sistema de gestin de seguridad de informacin en

una empresa busca un avance significativo en la confianza de sus clientes para
con ellos. Al conocer de la obtencin de una certificacin o la ejecucin de la
misma, la empresa crea una imagen de prestigio y de inters en resaltar entre
las dems.
Se decidi la aplicacin de la gestin de seguridad de informacin en el

departamento de personal debido a la importancia que tiene la informacin en
la empresa escogida. DECEVALE S.A. es una empresa que maneja datos
correspondientes a las Bolsas de Valores que funcionan en el Ecuador. Se
considero relevante aplicar procedimientos a la etapa de Aplicacin de
Funciones (Durante el empleo) debido a que existan situaciones tratadas sin
lineamientos que solucionen los posibles problemas que atentaban la
integridad de la informacin.
A continuacin, se determinan las generalidades de la empresa, los conceptos

principales de sistema de gestin de seguridad de informacin (ISO 27002), la
planeacin total aplicada a la empresa y el desarrollo de los lineamientos a
cada procedimiento segn la norma.
El esfuerzo empleado en realizar este trabajo de graduacin garantiza la

calidad del contenido. Exponemos, por ltimo, que el elaborar dicho
instrumento y adentrarlos en la aplicacin de la norma, nos ha dejado grandes
experiencias sobre distintos temas competentes y realidades desconocidas
sobre el ambiente laboral y el tratamiento con recurso humano para transmitir
ideas y tecnologas.
ndice General
CAPTULO 1: Marco Referencial ..............................................................................13

1. Marco Referencial ...................................................................................................14
CAPTULO 2: Generalidades de la Empresa ...........................................................16
2. Generalidades de la Empresa: ................................................................................17
2.1 Antecedentes de la empresa: ................................................................................17
2.2 Descripcin del funcionamiento del rea Recursos Humanos ...............................18
2.2.1 Seleccin de personal ................................................................................................... 18
2.2.2 Contratacin de personal .............................................................................................. 18
2.2.4 Durante el empleo .......................................................................................................... 19
2.2.5 Cambio o reubicacin del empleado ........................................................................... 19
2.2.6 Separacin del empleado ............................................................................................. 19
CAPTULO 3: Etapa 1: Planeacin ...........................................................................20
3. Etapa 1: Planeacin ................................................................................................21
3.1 Definicin de la Norma ISO 27002 ........................................................................21
3.1.1 Seguridad Informtica: .................................................................................................. 21
3.1.2 Gestin de Seguridad de la informacin..................................................................... 21
3.1.3 International Organization for Standarization (ISO): ................................................. 22
3.1.4 ISO 27000, aplicada a la seguridad de la informacin: ............................................ 22
3.1.5 ISO 27001........................................................................................................................ 23
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar) ..................................................................... 24
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI) .................................. 27
3.1.8 ISO 27002........................................................................................................................ 28
3.2 Polticasde la Empresa DECEVALE S.A., aplicadas a Recursos Humanos...........29
3.2.1Reclutamiento, seleccin e ingreso de personal ........................................................ 29
3.2.2 Capacitacin de personal.............................................................................................. 29
3.2.3Calificacin de personal ................................................................................................. 29
3.2.4Transporte y Alimentacin ............................................................................................. 29
CAPTULO 4: Anlisis de Riesgo .............................................................................30
4. Anlisis de Riesgo ...................................................................................................31
4.1 Valoracin de Activos ............................................................................................31
4.1.1 Determinacin de Activos: ..................................................................................31
4.1.2 Ponderacin de la Dimensiones de los Activos: .................................................32
viii
4.1.3 Determinacin de las Amenazas por Activo: ......................................................33
4.1.4 Clculo de riesgo: ...............................................................................................35
4.2Plan de tratamiento de riesgo .................................................................................38
4.3Declaracin de Aplicacin ......................................................................................43
CAPTULO 5: Etapa 2: Hacer ....................................................................................46
5. Etapa 2: Hacer ........................................................................................................47
5.1 Alcance y Lmites de la Gestin de Seguridad ......................................................47
5.1.1 Control: Supervisin de las obligaciones .................................................................... 47
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin ....................... 47
5.1.3 Control: Procedimiento disciplinario ............................................................................ 47
5.2 Objetivos ...............................................................................................................48
5.2.1 Objetivo General:............................................................................................................ 48
5.2.2 Objetivos Especficos: ................................................................................................... 48
5.3Definicin de Polticas de Seguridad ......................................................................49
5.3.1 Polticas de Confiabilidad .............................................................................................. 49
5.3.2 Polticas de integridad ................................................................................................... 49
5.3.3 Polticas de disponibilidad ............................................................................................. 50
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo) ......................... 50
5.5 Procedimientos segn el sistema de gestin: ........................................................51
5.5.1 Procedimiento para verificar que las polticas y procedimientos de seguridad de
la informacin estn siendo aplicados .................................................................................. 51
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de seguridad
de la informacin y sus actualizaciones ............................................................................... 53
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de
seguridad de la empresa......................................................................................................... 56
Conclusiones y Recomendaciones........................................................................632
Anexos ........ 64
ANEXO 1: Definiciones y Trminos .............................................................................65
ANEXO 2: Descripcin de cada puesto de trabajo ......................................................67
ANEXO 3: Perfil o Requisitos de los diferentes cargos ................................................70
ANEXO 4: Organigrama de la empresa.......................................................................78
ANEXO 5: Escala de Valoracin de los Activos...........................................................79
Anexo5.1Escala de Valoracin de Dimensiones: ............................................................... 79
Anexo5.2Escala de Valoracin de Frecuencia: ................................................................... 79
Anexo5.3Escala de Valoracin de Impacto: ........................................................................ 79
ix
ANEXO 6: Formulario de Aplicabilidad de las Polticas de Seguridad .........................80
ANEXO 7: Registro de Inconformidades .....................................................................82
ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades ................................83
ANEXO 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad .....................85
ANEXO 10: Formulario de Control de Asistencia de Verificacin de Aplicabilidad .......86
ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin .................................87
ANEXO 12: Carta de convocatoria a empleados. ........................................................88
ANEXO 13: Formulario de Control de Asistencia a Capacitacin ................................90
ANEXO 14: Formulario de Infraccin de Polticas de Seguridad. ................................91
ANEXO 15: Seguimiento de la Aplicacin de los Procedimientos Disciplinarios ..........92
BIBLIOGRAFA ..........................................................................................................93
x
ndice de Ilustraciones
CAPITULO 3: Etapa 1: Planeacin
Ilustracin 3. 1 Fase Planificacin ......................................................................................... 24

Ilustracin 3. 2 Fase Hacer ..................................................................................................... 25
Ilustracin 3. 3 Fase Chequear .............................................................................................. 26
Ilustracin 3. 4 Fase Actuar .................................................................................................... 27
xi
ndices de Tablas
CAPITULO 4: Anlisis de Riesgo

Tabla 4. 1 Determinacin de Activos..................................................................................... 31
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio ....................................... 32
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos .......................................... 32
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones .............................. 32
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos ................ 32
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones ..... 33
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal ..................................... 33
Tabla 4. 8 Determinacin de Amenazas Activo Servicio ................................................... 33
Tabla 4. 9 Determinacin de Amenazas Activo Datos ....................................................... 34
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones ......................................... 34
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos .......................... 35
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones ................ 35
Tabla 4. 13 Determinacin de Amenazas Activo Personal................................................ 35
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos ............................................ 38
Tabla 4. 15 Plan de Tratamiento de Riesgo......................................................................... 42
Tabla 4. 16 Declaracin de Aplicabilidad ............................................................................. 45
CAPITULO 5: Etapa 2: Hacer
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad .................................58
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad ......59
ANEXOS
Tabla Anexo. 1Descripcin de cada puesto de trabajo ...................................................... 69
Tabla Anexo. 2Perfil de Cargo Gerente ................................................................................ 70
Tabla Anexo. 3Perfil de Cargo Asesor Legal ....................................................................... 70
Tabla Anexo. 4 Perfil de Cargo Jefe Nacional Administrativo ........................................... 71
Tabla Anexo. 5 Perfil de Cargo Asistente Administrativo .................................................. 71
Tabla Anexo. 6 Perfil de Cargo Ayudante de Administracin ........................................... 72
Tabla Anexo. 7 Perfil de Cargo Mensajero .......................................................................... 72
Tabla Anexo. 8 Perfil de Cargo Representante de la Direccin ....................................... 73
Tabla Anexo. 9 Perfil de Cargo Contador............................................................................. 73
Tabla Anexo. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones ................................................................................. 74
Tabla Anexo. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones. 74
Tabla Anexo. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho ... 75
Tabla Anexo. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho ........... 75
Tabla Anexo. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin ........ 76
Tabla Anexo. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin ................. 76
Tabla Anexo. 16 Perfil de Cargo Jefe de Sistemas ............................................................ 77
Tabla Anexo. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador ........................ 77
Tabla Anexo. 18 Escala de Valoracin de Dimensiones ................................................... 79
Tabla Anexo. 19 Escala de Valoracin de Frecuencia....................................................... 79
Tabla Anexo. 20 Escala de Valoracin de Impacto ............................................................ 79
xii
CAPTULO 1
MARCO REFERENCIAL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE
1. Marco Referencial
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de
los sistemas que la procesan.
Para que exista una adecuada gestin de la seguridad de la informacin dentro

de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
El objetivo de desarrollar un sistema de gestin de seguridad de la informacin

para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
EDCOM 14 ESPOL
considerarse de mayor relevancia en la institucin son los virus informticos, la

violacin de la privacidad de los empleados, los empleados deshonestos,
intercepcin de transmisin de datos o comunicaciones y/o fallas tcnicas de
manera voluntaria o involuntariamente.
La importancia de realizar el anlisis referente a la gestin de Recursos

Humanos, radica en conocer el manejo de la informacin correspondiente a
esta rea y su flujo dentro de la empresa. De esta manera, se establece que
personas conocen o manejan que informacin y se establecen los
procedimientos a seguir para resguardar dicha informacin. Al implementar
estos procedimientos se deben realizar controles u observaciones de su
funcionamiento dentro del rea dispuesta, los cuales permitirn desarrollar
cambios en los mismos.
La empresa DECEVALE requiere implementar un sistema de gestin de

seguridad de la informacin con respecto a los recursos humanos debido a que
regiran lineamientos que permitirn reclutar personal calificado de acuerdo al
rol a desempear. La empresa maneja informacin de vital importancia para
sus clientes, la cual se considera delicada y no se puede arriesgar a incorporar
personal que pueda hacer mal uso, voluntaria o involuntariamente, de sta.
DECEVALE considera que una seleccin adecuada de su personal evitara

problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La empresa desea ser pionera en la implementacin de dicho
sistema, ya que dentro de su mercado es muy escaso el conocimiento del
tema.
EDCOM 15 ESPOL
CAPTULO 2
GENERALIDADES DE LA EMPRESA
2. Generalidades de la Empresa:
2.1 Antecedentes de la empresa:
La Compaa Depsito Centralizado de Compensacin y Liquidacin de

Valores S.A., se constituy con la denominacin Depsito Centralizado de
Valores DECEVALE S.A., mediante Escritura Pblica autorizada por el Notario
Dcimo Sptimo de Guayaquil, Abogado Nelson Gustavo Caarte Arboleda, el
cuatro de Enero de mil novecientos noventa y cuatro, inscrita en el Registro
Mercantil del Cantn Guayaquil el treinta y uno de marzo del mismo ao, con
un capital suscrito y pagado de diez millones de sucres (S/.10.000.000,00) y un
capital autorizado de veinte millones de sucres (S/.20.000.000.00).
La Junta General de Accionistas de la Compaa, en sesin del veintiuno de

agosto del dos mil uno, decidi convertir en dlares el capital de la compaa
resultando que el capital actual es de USD$240,000.00 (doscientos cuarenta
mil dlares de los Estados Unidos de Amrica), y atribuir a cada accin el valor
de un dlar de los Estados Unidos de Amrica. Se realizaron varios aumentos
al capital llegando, finalmente a un capital autorizado, suscrito y pagado de la
compaa es de Ochocientos ochenta mil dlares de los Estados Unidos de
Amrica (US$ 880,000.00) dividido en 880,000 acciones ordinarias y
nominativas de Un dlar de los Estados Unidos de Amrica (US$ 1.00).
DECEVALE es una Sociedad Annima autorizada y controlada por la

Superintendencia de Compaas a travs de la Intendencia de Mercado de
Valores que se encuentra a nivel nacional en operacin y autorizado por la Ley
del Mercado de Valores del Ecuador. En la actualidad liquida las operaciones
negociadas en las dos Bolsas de Valores existentes en el Ecuador. Su casa
matriz est ubicada en la ciudad de Guayaquil en las calles Pichincha 334 y
Elizalde. Su sucursal mayor est ubicada en la capital del Ecuador, la ciudad
de Quito en la Av. Amazonas y Av. Naciones Unidas
DECEVALE, opera y brinda sus servicios al amparo de:
La Ley de Mercado de Valores,

Su Reglamento General,
El Reglamento para el Funcionamiento de Depsitos Centralizados de
Valores expedido por el Consejo Nacional de Valores CNV,
En su reglamentacin interna y Manuales Operativos.
EDCOM 17 ESPOL
Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin

accionara:
Las Bolsas de Valores
Las Casas de Valores
Las Instituciones Financieras
Las Instituciones Pblicas
Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE

S.A. tiene una certificacin ISO9001:2008 en los siguientes procesos:
Custodia
Compensacin
Liquidacin y registro de las transferencia de valores inscritos en el registro
de mercado de valores y que se negocian en el mercado burstil y
extraburstil.
2.2 Descripcin del funcionamiento del rea Recursos

Humanos
2.2.1 Seleccin de personal
Se recibe una carpeta o CV y se analiza los datos del postulante y si lo

considera apto para alguna de las posiciones de la empresa. Se archiva para
posterior contratacin, en caso de que se requiera.
Antes de iniciar el reclutamiento de personal, se analiza si dentro de la

empresa no hay algn colaborador que pueda ser promovido o reasignado para
ocupar la vacante.
En caso de realizar el reclutamiento de personal, se preseleccionan algunos

CV y se realizan entrevistas.
2.2.2 Contratacin de personal
Califica al candidato que apruebe la entrevista, tomando como base la

informacin del perfil del cargo1. Una vez finiquitada la contratacin se coordina
la presentacin de los documentos para archivo en la Carpeta de Personal. Se
elabora el contrato de trabajo y se procede a la obtencin de la firma de ambas
partes.
1
Revisar Anexo 3: Perfil o Requisitos de los diferentes cargos.
EDCOM 18 ESPOL
2.2.3 Iniciacin del cargo
Se realiza una breve presentacin de la empresa informndole entre otros,

sobre los siguientes aspectos: ubicaciones, misin y visin de la empresa,
reglamentos, horarios de trabajo, beneficios, organigrama2, entre dems
detalles que ayudaran a un mejor desempeo de sus actividades.
Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su

Manual de Funciones, donde se especifica la descripcin de cada cargo 3,
supervisando su lectura y comprensin y despejando cualquier duda que tenga
al respecto.
2.2.4 Durante el empleo
El empleado realiza las funciones de forma correcta y honesta. A cada

empleado es asignado un equipo informtico con su respectiva informacin de
acceso al sistema, para el proceso de autenticacin.
2.2.5 Cambio o reubicacin del empleado
En caso de cambio de cargo o reubicacin del empleado no existe

documentacin que detalle o deje constancia de lo sucedido. Se notifica,
oralmente al empleado; el rea de recursos humanos realiza en el sistema el
cambio de cargo y por ende, de sueldo, y el empleado se acerca al
departamento de sistema para comunicar su cambio de rol ya que ste puede
conllevar que se le concedan o restringen permisos dentro del sistema.
2.2.6 Separacin del empleado
El Gerente de la empresa comunica al empleado de la finalizacin de la

relacin laboral. En este proceso se finiquita el contrato laboral y se inactiva la
informacin de acceso correspondiente a dicho empleado. Los trmites de
liquidacin son llevados como un procedimiento perteneciente a la empresa.
2
Revisar Anexo 4: Organigrama.
33
Revisar Anexo 2: Descripcin de cada puesto de trabajo.
EDCOM 19 ESPOL
CAPTULO 3
ETAPA 1: PLANEACIN
3. Etapa 1: Planeacin
3.1 Definicin de la Norma ISO 27002
3.1.1 Seguridad Informtica:
Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de

la empresa. Este tipo de seguridad es importante para la compaa, ya que se
encarga de precautelar por el perfecto estado y funcionamiento de los equipos
informticos donde fluye la informacin. La informacin reside en medios como
estos equipos, soportes de almacenamiento y redes de datos, y teniendo en
cuenta estos aspectos, se hace vital mantener la seguridad informtica a travs
de lineamientos de proteccin.
3.1.2 Gestin de Seguridad de la informacin
La seguridad de la informacin es la proteccin de los activos de la informacin

de un rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Estos activos se pueden detallar como:
correos electrnicos, pginas web, imgenes, base de datos,
telecomunicaciones, contratos, documentos, etc.
La seguridad de estos activos de la informacin se logra implementando un

adecuado conjunto de controles; incluyendo polticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los
objetivos de seguridad y comerciales especficos.
La gestin de seguridad de la informacin apunta a mantener la estabilidad en

los siguientes aspectos con respecto a estos activos:
Confiabilidad: Acceso solo de personal autorizados.
Integridad: Exactitud y completitud de la informacin y procesos.
Disponibilidad: Acceso a la informacin y procesos por parte del personal

autorizado, cuando lo requieran.
EDCOM 21 ESPOL
3.1.3 International Organization for Standarization (ISO):
La ISO4 es una federacin internacional con sede en Ginebra (Suiza) de los

institutos de normalizacin de 157 pases (uno por cada pas). Es una
organizacin no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalizacin nacionales
es diferente en cada pas (entidad pblica, privada).
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
3.1.4 ISO 27000, aplicada a la seguridad de la informacin:
Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de
los sistemas que la procesan.
Para que exista una adecuada gestin de la seguridad de la informacin dentro

de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC 5. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
4
Revisar Anexo 1: Definiciones y Trminos
5
EDCOM 22 ESPOL
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin

de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
3.1.4.1 Serie ISO 27000
ISO ha reservado la serie de numeracin 27000 para las normas relacionadas

con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en
ella la primera de la serie (ISO 27001), las dems son:
ISO27000 (trminos y definiciones),

ISO27002 (objetivos de control y controles),
ISO27003 (se centra en aspectos crticos en la implementacin SGSI),
ISO27004 (desarrollo y utilizacin de mtricas y tcnicas de medida de la
efectividad de un SGSI),
ISO27005 (directivas gua para la gestin del riesgo de seguridad de la
informacin)
ISO27006 (proceso de acreditacin de entidades de auditoras, certificacin
y el registro de SGSI).
ISO/IEC 27007 Gua de Auditoria de un SGSI
3.1.5 ISO 27001
Es un estndar ISO que proporciona un modelo para establecer, implementar,

operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA
(Planear-Hacer-Verificar-Actuar) de mejora continua, al igual que otras normas
de sistemas de gestin.
Este estndar es certificable, es decir, cualquier organizacin que tenga

implantado un SGSI segn este modelo, puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir la
certificacin en ISO 27001.
El origen de la Norma ISO27001 est en el estndar britnico BSI (British

StandardsInstitution) BS7799- Parte 2, estndar que fue publicado en 1998 y
era certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
EDCOM 23 ESPOL
El enfoque del proceso para la gestin de la seguridad de la informacin

presentado en este estndar internacional fomenta que sus usuarios enfaticen
la importancia de:
Entender los requerimientos de seguridad de la informacin de una

organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la seguridad de
la informacin.
Monitorear y revisar el desempeo del SGSI
Realizar mejoramiento continuo en base a la medicin del objetivo
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)
El modelo de proceso PDCA, se detalla a continuacin a travs de cada una de

sus fases:
3.1.6.1 PLANIFICACIN
Ilustracin 3. 1 Fase Planificacin
Definir alcance del SGSI: en funcin de caractersticas del negocio,

organizacin, localizacin, activos y tecnologa, los lmites del SGSI. El
SGSI no tiene por qu abarcar toda la organizacin; de hecho, es
recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos
de seguridad de la informacin de la organizacin, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad.
EDCOM 24 ESPOL
Definir el enfoque de evaluacin de riesgos: definir una metodologa de

evaluacin de riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de riesgos y determinar el
nivel de riesgo aceptable.
Inventario de activos: todos aquellos activos de informacin que tienen
algn valor para la organizacin y que quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos
del inventario.
Identificar los impactos: los que podra suponer una prdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo
de seguridad y la probabilidad de ocurrencia del fallo; estimar el nivel de
riesgo resultante y determinar si el riesgo es aceptable o requiere
tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede
reducido, eliminado, aceptado o transferido.
Seleccin de controles: seleccionar controles para el tratamiento el riesgo
en funcin de la evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de
implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar
decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
3.1.6.2 IMPLEMENTACIN (HACER)
Ilustracin 3. 2 Fase Hacer
Definir plan de tratamiento de riesgos: que identifique las acciones,

recursos, responsabilidades y prioridades en la gestin de los riesgos
de seguridad de la informacin.
EDCOM 25 ESPOL
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los

objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase
anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la
seguridad de la informacin.
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le
asignen.
Implantar procedimientos y controles de deteccin y respuesta a
incidentes de seguridad.
3.1.6.3 SEGUIMIENTO (CHEQUEAR)
Ilustracin 3. 3 Fase Chequear
Ejecutar procedimientos y controles de monitorizacin y revisin: para

detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, y comprobar si las acciones tomadas para
resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados
de auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios
en la organizacin, tecnologa, procesos y objetivos de negocio,
amenazas, eficacia de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los
controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
EDCOM 26 ESPOL
Actualizar planes de seguridad: teniendo en cuenta los resultados de la

monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o
el rendimiento del SGSI.
3.1.6.4 MEJORA CONTINA (ACTUAR)
Ilustracin 3. 4 Fase Actuar
Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la
eficacia de cualquier accin, medida o cambio debe comprobarse
siempre.
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)
El Sistema de Gestin de Seguridad de la Informacin es el concepto central

sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, como el sistema de calidad para la seguridad de la
informacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el

caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos,
EDCOM 27 ESPOL
gestionados y minimizados por la organizacin de una forma documentada,

sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.
3.1.8 ISO 27002
ISO/IEC 27002 es un estndar para la seguridad de la informacin publicado

por primera vez como ISO/IEC 17799:2000 por la ISO e IEC en el ao 2000.
Tras un periodo de revisin y actualizacin de los contenidos del estndar, se
public en el ao 2005 el documento actualizado denominado ISO/IEC
17799:2005.
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la

gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones6
principales:
1. Poltica de Seguridad de la Informacin.

2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles

para la seguridad de la informacin. Para cada uno de los controles se indica,
asimismo, una gua para su implantacin.
6
EDCOM 28 ESPOL
3.2 Polticas de la Empresa DECEVALE S.A., aplicadas a

Recursos Humanos
3.2.1 Reclutamiento, seleccin e ingreso de personal
POLTICA
Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por el
Gerente, previo al inicio de cualquier proceso de reclutamiento.
3.2.2 Capacitacin de personal
POLTICA
Se promueve la capacitacin del personal, con nfasis el entrenamiento

interno y continuo que cada Jefe de rea debe dar.
3.2.3 Calificacin de personal
POLTICA
Definir la forma de calificar el personal que labora en la empresa.
3.2.4 Transporte y Alimentacin
POLTICA
Normar el pago que por concepto de movilizacin y alimentacin que se

debe efectuar a los colaboradores que por motivo de trabajo deban
permanecer en la institucin. No aplica a Gerentes.
EDCOM 29 ESPOL
CAPTULO 4
ANLISIS DE RIESGO
Proyecto de Graduacin
4. Anlisis de Riesgo
4.1 Valoracin de Activos
La valoracin de activos comprende el proceso de determinacin de activos,

establecimiento de las amenazas sobre los activos y clculo del impacto a
partir de varias escalas de valoracin.
4.1.1 Determinacin de Activos:
Los activos que intervienen en el rea de Recursos Humanos de la empresa

DECEVALE S.A. son los siguientes:
Tipo de Activo Activo

Servicios Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos Datos de Gestin Interna
Datos de Carcter Personal
Aplicaciones Software Utilitario
Sistemas Operativos
Navegador Web
Sistema de Backup Open KM
Antivirus
Equipos Informticos Informtica Personal
Perifricos
Soporte de Red
Redes de Comunicaciones Central Telefnica
Equipos de Acceso a Internet
Personal rea Gestin de Calidad
rea Direccin
rea Compensacin y Liquidacin
rea Custodia y Ejercicio de Derecho
rea Gestin de Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa y Recursos
Humanos
rea Contabilidad
rea Legal
Tabla 4. 1 Determinacin de Activos
EDCOM 31 ESPOL
4.1.2 Ponderacin de la Dimensiones de los Activos:
Los activos enlistados sern ponderados en base a la escala correspondiente7. Las

dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuacin, se detalla los activos y se estipula la ponderacin de las dimensiones
segn el levantamiento de informacin:
Activo: Servicio Disponibilidad Confiabilidad Integridad Total

Servicio de Internet 5 4 4 13
Correo Electrnico 5 4 5 14
Interno
Gestin de 5 5 5 15
Identidades
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio
Activo: Datos Disponibilidad Confiabilidad Integridad Total

Datos de Gestin 5 5 4 14
Interna
Datos de Carcter 5 3 3 11
Personal
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos
Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total

Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9
Sistema Backup 4 5 5 14
OPEN KM
Antivirus 4 4 4 12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones
Activo: Equipos Disponibilidad Confiabilidad Integridad Total

Informticos
Informtica Personal 5 4 4 13
Perifricos 5 4 3 12
Soporte de Red 5 4 4 13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos
7
Revisar Anexo 5: Escala de Valoracin de los Activos
EDCOM 32 ESPOL
Activo: Redes de Disponibilidad Confiabilidad Integridad Total

Comunicaciones
Central Telefnica 5 5 4 14
Equipo de Acceso a 5 5 5 15
Internet
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones
Activo: Personal Disponibilidad Confiabilidad Integridad Total

rea Gestin de 5 5 5 15
Calidad
rea Direccin 5 5 5 15
rea Compensacin 5 5 5 15
y Liquidacin
rea Custodia y 5 5 5 15
Ejercicio de Derecho
rea Gestin de 5 5 5 15
Cobro y Libro de
Acciones
rea Sistemas 4 5 4 15
rea Administrativa 5 5 5 15
y Recursos
Humanos
rea Contabilidad 5 5 5 15
rea Legal 4 5 4 15
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal
4.1.3 Determinacin de las Amenazas por Activo:

Activo: Servicio Amenazas
Servicio de Internet Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Correo Electrnico Usurpacin de identidad
Interno Falta de servicio
Reencaminamiento de mensajes
Uso no previsto
Gestin de Uso no previsto
Identidades Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Usurpacin de identidad
Robo o perdida de la credencial de acceso
Tabla 4. 8 Determinacin de Amenazas Activo Servicio
EDCOM 33 ESPOL
Activo: Datos Amenazas

Datos de Gestin Alteracin de la informacin
Interna Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Datos de Carcter Errores de los usuarios
Personal Acceso no autorizado
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin
Tabla 4. 9 Determinacin de Amenazas Activo Datos
Activo: Aplicaciones Amenazas

Software Utilitario Ataque de virus
Manipulacin de programas
Errores de usuario
Sistema Operativo Suplantacin de la identidad de usuario
Errores de administracin
Propagacin de software malicioso
Navegador Web Abuso de privilegio de acceso
Manipulacin de configuracin de red
Sistema Backup Suplantacin de la identidad de usuario
OPEN KM Manipulacin de programas
Cada del servidor web Open KM
Errores de usuario
Antivirus Desactualizacin de antivirus
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones
Activo: Equipos Amenazas

Informticos
Informtica Personal Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo
Perifricos Acceso no autorizado
Cambio de ubicacin no autorizado
EDCOM 34 ESPOL
Soporte de Red Manipulacin de la configuracin de red

Ausencia de puntos de red
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos
Activo: Redes de Amenazas

Comunicaciones
Central Telefnica Manipulacin de la asignacin de las Ips
Cada del servidor de la central telefnica
Equipo de Acceso a Manipulacin de la configuracin
Internet Accidentes imprevistos
Cada del servidor proveedor
Problemas con las conexiones del proveedor
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones
Activo: Personal Amenazas

rea Gestin de Desconocimiento de sus funciones
Calidad
rea Direccin Mala organizacin
rea Compensacin y Indisponibilidad del personal
Liquidacin
rea Custodia y Divulgacin de la informacin
Ejercicio de Derecho
rea Gestin de Cobro Extorsin
y Libro de Acciones Manipulacin de la informacin
rea Sistemas
rea Administrativa y Destruccin de la informacin
Recursos Humanos
rea Contabilidad
rea Legal
Tabla 4. 13 Determinacin de Amenazas Activo Personal
4.1.4 Clculo de riesgo:

A partir del levantamiento de informacin, donde se arrojo el nivel de frecuencia
e impacto8 al activo mediante la amenaza se han calculado los riesgos por
cada una:
Activo Amenazas Frecuencia Impacto Total

Servicio de Uso inapropiado 3 3 9
Internet Acceso no autorizado 2 4 8
Falta de servicio 1 5 5
Interferencia 2 4 8
8
Revisar Anexo 5: Escala de Valoracin de Activos
EDCOM 35 ESPOL
Correo Usurpacin de 2 4 8
Electrnico identidad
Interno Falta de servicio 1 4 4
Acceso no autorizado 4 3 12
Reencaminamiento 4 3 12
de mensajes
Uso no previsto 3 3 9
Gestin de Uso no previsto 2 4 8
Identidades Manipulacin de la 3 5 15
credencial de acceso
Falta de energa 4 2 8
elctrica
Manipulacin de la 2 2 4
configuracin del
aplicativo
Usurpacin de 3 4 12
identidad
Robo o perdida de la 4 5 20
credencial de acceso
Datos de Gestin Alteracin de la 2 5 10
Interna informacin
Destruccin de la 3 5 15
informacin
Manipulacin de la 2 5 10
configuracin
Divulgacin de 4 4 16
informacin
Datos de Errores de los 4 4 16
Carcter usuarios
Personal Acceso no autorizado 3 3 9
Destruccin de 2 5 10
informacin
Degradacin de la 2 5 10
informacin
Divulgacin de 2 3 6
informacin
Software Ataque de virus 2 2 4
Utilitarios Manipulacin de 3 2 6
programas
Errores de usuario 4 4 16
Sistemas Suplantacin de 3 3 9
Operativos identidad de usuario
Errores de 3 4 12
administracin
Propagacin de 2 3 6
software malicioso
Acceso no autorizado 3 4 12
EDCOM 36 ESPOL
Navegador Web Abuso de privilegios 4 3 12

de acceso
Manipulacin de 2 3 6
configuracin de red
programas
Sistema de Manipulacin de 2 2 4
BackUp programas
Open KM Suplantacin de 2 2 4
identidad de usuario
Cada del servidor 2 2 4
web Open KM
Errores de usuario 3 2 6
Antivirus Desactualizacin de 1 2 2
antivirus
Errores de 2 2 4
administracin
programas
Informtica Acceso no autorizado 3 2 6
Personal
Modificacin de la 3 2 6
asignacin del equipo
Accidentes 3 2 6
imprevistos
elctrica
Manipulacin de las 3 2 6
propiedades del
equipo
Ingreso no autorizado 2 3 6
de equipo
Perifricos Acceso no autorizado 5 3 15

Impresoras
Accidentes 4 3 12
Scanners
imprevistos
Cambio de ubicacin 3 3 9
no autorizado
Soporte de Red Manipulacin de 2 4 8
configuracin de red
Errores de 2 4 8
administracin
elctrica
Ausencia de puntos 4 4 16
de red
EDCOM 37 ESPOL
Central Manipulacin de 2 4 8
Telefnica asignacin de Ips
elctrica
Accidentes 3 3 9
imprevistos
Cada del servidor de 4 4 16
la central telefnica
Equipo de Manipulacin de 2 4 8
Acceso a Internet configuracin
Accidentes 2 4 8
imprevistos
Cada del servidor 2 4 8
proveedor
Problemas con las 2 4 8
conexiones del
proveedor
Errores de 2 4 8
administracin
elctrica
Personal: Desconocimientos de 4 4 16
Diferentes reas sus funciones
Mala organizacin 3 3 9
Indisponibilidad del 2 2 4
personal
Divulgacin de 3 3 9
informacin
Extorsin 3 2 6
Manipular 4 4 16
informacin
Destruir informacin 4 4 16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos
4.2 Plan de tratamiento de riesgo

ACTIVOS AMENAZAS VULNERABILIDADES PTR
Servicio Uso inapropiado No respetar los lmites de Aceptar
de acceso
Internet Falta de capacitacin Reducir
sobre los lmites de
acceso
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Falta de servicio Problemas del Transferir
proveedor de internet
Interferencia Falta de proteccin de Aceptar
la red
EDCOM 38 ESPOL
Correo Usurpacin de identidad Falta de control en el Reducir

Electrnico acceso
Interno Divulgacin de la Reducir
informacin de acceso
Falta de servicio Falta del servicio de Transferir
Internet
Interferencia con el Reducir
servidor interno de
correo
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Usurpacin de identidad Reducir
Reencaminamiento de Falta de seguridad en la Aceptar

mensajes transferencia de
mensajes
Uso no previsto Falta de polticas Reducir
Gestin de Uso no previsto Falta de polticas Reducir
Identidades
Manipulacin de la Falta de implementacin Reducir
credencial de acceso de mayor seguridades
en la credencial
Falta de energa elctrica Falta de generador Aceptar
elctrico
Manipulacin de la Falta de polticas Reducir
configuracin del
aplicativo
Usurpacin de identidad Falta de control en el Reducir
acceso
Robo o perdida de la Falta de mtodo de Reducir
credencial de acceso apoyo para el caso
Datos de Alteracin de la Insuficiente Reducir
Gestin informacin entrenamiento de
Interna empleados
Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Cambio de ubicacin de Falta de proteccin Reducir
la informacin fsica adecuada
Manipulacin de la Falta de un debido Reducir
configuracin control de acceso a
usuarios
Divulgacin de la Almacenamiento no Reducir
informacin protegido
Errores de los usuarios Falta de conocimiento y Reducir
oportuno entrenamiento
EDCOM 39 ESPOL
Datos de Acceso no autorizado Falta de polticas y Reducir

Carcter proteccin fsica
Personal Destruccin de la Falta de un debido Reducir
usuarios y de una
proteccin fsica
Degradacin de la Falta de mantenimiento Reducir
informacin adecuado
Divulgacin de la Almacenamiento no Aceptar
informacin protegido
Ataque de virus Falta de proteccin Aceptar

contra aplicaciones
dainas
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Software Errores de usuario Falta de conocimiento y Reducir
Utilitario oportuno entrenamiento
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Sistema Propagacin de software Falta de proteccin y Aceptar
Operativo malicioso controles en las
configuraciones de la
red
Acceso no autorizado Falta de polticas y Reducir
proteccin fsica
Abuso de privilegio de Falta de conocimiento y Reducir
acceso oportuno entrenamiento
Manipulacin de Falta de control de Aceptar
configuracin de red acceso
Navegador Manipulacin de Insuficiente Aceptar
Web programas entrenamiento de
empleados
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso
Cada del servidor web Instalacin de SW no Aceptar

Open KM Autorizado
Sistema Errores de usuario Falta de conocimiento y Aceptar

Backup oportuno entrenamiento
OPEN KM
Desactualizacin de Falla del servicio de red Aceptar
antivirus
EDCOM 40 ESPOL

de funciones del
administrador
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Antivirus Acceso no autorizado Falta de polticas Reducir
Modificacin de la Falta de control de Aceptar

asignacin del equipo Acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Informtica Falta de energa elctrica Falta de acuerdos bien Aceptar
Personal definidos con terceras
partes
Manipulacin de las Falta de control de Aceptar
propiedades del equipo acceso
Ingreso no autorizado del Falta de control de Aceptar
equipo acceso
Acceso no autorizado Falta de control de Reducir
acceso
fcilmente afectados
Cambio de ubicacin no Falta de proteccin Aceptar
autorizado fsica adecuada
Perifricos Manipulacin de la Falta de control de Aceptar
configuracin de red seguridad
de funciones del
administrador
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
Soporte Ausencia de puntos de Capacidad insuficiente Reducir
de Red red de los recursos
Manipulacin de la Falta de control de Aceptar
asignacin de las Ips acceso
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
fcilmente afectados
Central Cada del servidor de la Falta de acuerdos bien Reducir
Telefnica central telefnica definidos con terceras
partes
EDCOM 41 ESPOL
Manipulacin de la Falta de control de Aceptar

configuracin acceso
fcilmente
afectados
Cada del servidor Falta de acuerdos bien Transferir
proveedor definidos con terceras
partes
Equipo de Problemas con las Falta de acuerdos bien Transferir
Acceso a conexiones del proveedor definidos con terceras
Internet partes
de funciones del
administrador
Falta de energa elctrica Falta de capacitacin Reducir
del administrador
Desconocimiento de sus Falta de conocimiento y Reducir
funciones oportuno entrenamiento
Mala organizacin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Indisponibilidad del Falta de conocimiento y Aceptar
personal oportuno entrenamiento
Recursos Divulgacin de la Almacenamiento no Reducir
Humanos informacin protegido
Extorsin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Manipulacin de la Insuficiente Reducir
informacin entrenamiento de
empleados
Destruccin de la Falta de un debido Reducir
usuarios y de una
proteccin fsica
Falla en la eleccin del Falta de Reducir
personal especificaciones con
respecto a la seleccin
de personal
Tabla 4. 15 Plan de Tratamiento de Riesgo
EDCOM 42 ESPOL
4.3 Declaracin de Aplicacin
A continuacin, se detallara la Declaracin de Aplicacin (SOA) para

determinar las responsabilidades del control a realizar a travs del sistema de
gestin de seguridad de la informacin:
EDCOM 43 ESPOL
Observaciones Controles seleccionados y las Observaciones

ISO 27001: 2005 Controles Controles (Justificacin razones para la seleccin (Descripcin general de la
Utilizados de exclusin) LR CO BR/BP RRA aplicacin)
Clausula Sec. Objetivo de
control/Controles
8.1 Antes del Empleo
Seguridad
8.1.1 Roles y Controles
de los
Responsabilidades desarrollados
Recursos
Humanos por otra ISO
8.1.2 Deteccin Controles
desarrollados
por otra ISO
8.1.3 Trminos y Controles
condiciones del desarrollados
empleado por otra ISO
8.2 Durante el Empleo
8.2.1 Responsabilidad X X X Se debe detallar los
de la Direccin procedimientos para
controlar que las polticas de
seguridad de la empresa se
estn aplicando en las
labores diarias.
8.2.2 Formacin y X X X Definir las actividades a
capacitacin en realizar para aplicar el
seguridad de la control y transmitir las
informacin polticas de seguridad o
actualizaciones de las
mismas.
EDCOM 44 ESPOL
8.2.3 Comunicacin de X X X Se debe estructurar un

eventos y procedimiento a seguir en
debilidades de la caso de que alguna poltica
seguridad de la sea infringida por los
informacin usuarios.
8.3 Terminacin y
Cambio de Empleo
8.3.1 Terminacin de las Desarrollado
responsabilidades por otro grupo
8.3.2 Restitucin de Desarrollado
activos por otro grupo
8.3.3 Remover los Desarrollado
permisos de por otro grupo
acceso
Tabla 4. 16 Declaracin de Aplicabilidad
EDCOM 45 ESPOL
CAPTULO 5
ETAPA 2: HACER
5. Etapa 2: Hacer
5.1 Alcance y Lmites de la Gestin de Seguridad
El Sistema de Gestin de Seguridad de la Informacin aplicado al rea de

Recursos Humanos de la empresa DECEVALE S.A., se desea implementar en
la siguiente rea:
rea Seguridad en el desempeo de las funciones del empleo (Durante el

empleo):
Objetivos:
Asegurar que los empleados, contratistas y terceras partes son

conscientes de las amenazas de seguridad, de sus responsabilidades y
obligaciones y que estn equipados para cumplir con la poltica de
seguridad de la organizacin en el desempeo de sus labores diarias,
para reducir el riesgo asociado a los errores humanos.
5.1.1 Control: Supervisin de las obligaciones
Descripcin: La Direccin debera requerir a empleados, contratistas y

usuarios de terceras partes aplicar la seguridad en concordancia con las
polticas y los procedimientos establecidos de la organizacin.
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin
Descripcin: Todos los empleados de la organizacin y donde sea relevante,

contratistas y usuarios de terceros deberan recibir entrenamiento apropiado
del conocimiento y actualizaciones regulares en polticas y procedimientos
organizacionales como sean relevantes para la funcin de su trabajo.
5.1.3 Control: Procedimiento disciplinario
Descripcin: Debera existir un proceso formal disciplinario para empleados

que produzcan brechas en la seguridad.
EDCOM 47 ESPOL
5.2 Objetivos
5.2.1 Objetivo General:
Efectuar un sistema de gestin de seguridad de la informacin correspondiente

al rea de recursos humanos para mejorar los procesos de capacitacin y
formacin de seguridad de informacin y demostracin del aplicar el
conocimiento transmitido, mediante el establecimiento de procedimientos y
lineamientos referentes al tema ajustados a controles de actualizacin.
5.2.2 Objetivos Especficos:
Establecer y documentar los procedimientos a seguir para realizar la

capacitacin de las polticas de seguridad de informacin que posee la
empresa.
Definir los lineamientos de introduccin del personal a las tecnologas de la
empresa.
Desarrollar controles que permite verificar que las seguridades de la
organizacin estn siendo utilizadas dentro de sus procesos.
Implementar procesos para actualizacin de los posibles cambios de las
polticas de seguridad de la informacin.
Desarrollar los procedimientos debidos para control y resguardo del flujo de
la informacin de recursos humanos.
Crear una conciencia de seguridad aplicable a los activos de informacin.
Reducir el riesgo de robo, fraude y mal uso de los medios a travs de
informacin vigente, de conocimiento pblico y la conciencia de seguridad
dentro de la empresa.
Determinar procedimientos disciplinarios que permitan sancionar a todo
aquel que infrinja alguna de las polticas de seguridad implementadas.
Establecer una metodologa de gestin de la seguridad clara y
estructurada.
Accesar a la informacin a travs medidas de seguridad, por parte de los
usuarios.
Revisar continuamente, los controles implementados por la gestin
realizada.
Crear un ambiente de confianza y reglas claras dentro de la compaa, con
respecto a la seguridad de informacin que manipulan y corresponde al
rea gestionada.
Brindar la posibilidad de integrarse con otros sistemas de gestin y
certificar.
Minimizar la paralizacin de las operaciones de negocio por incidentes de
gravedad.
Mantener y mejorar la imagen de confiabilidad y seguridad de la empresa,
siendo elemento diferenciador de la competencia.
EDCOM 48 ESPOL
Todos estos propsitos tienen la finalidad de cumplir el general, desarrollando

el sistema de gestin indicado para disminuir el nmero de amenazas que
pueden someter a activos de informacin a diversas formas de fraude, sabotaje
o vandalismo. En rea donde se desea aplicar la gestin de seguridad permitir
entre tanto que las amenazas referentes al personal sean conocidas y
reducidas.
5.3Definicin de Polticas de Seguridad

5.3.1 Polticas de Confiabilidad
La gestin a desarrollar indica los siguientes parmetros para mantener la

confiabilidad de la informacin:
Todo cambio dentro de la informacin del sistema debe ser notificada va

escrita firmada por el jefe de departamento que comunica el cambio,
directamente, al encargado del rea de sistemas.
La informacin a ingresar debe ser correctamente revisada, y teniendo en
cuenta que los datos manejados son de vital importancia para el
desempeo de las funciones de la compaa y aun ms relevantes para los
clientes de la misma.
La eliminacin de la informacin no es permitida, solamente se pueden
realizar registros nuevos con la modificacin.
5.3.2 Polticas de integridad
Se sugiere a la compaa seguir los siguientes lineamientos para mantener la

integridad de su informacin:
Cada acceso al sistema deber mediante nombre de usuario y clave.

El nombre de usuario y clave ser dado al momento de la incorporacin a
la empresa.
En caso de cambio de los datos de acceso, deber ser notificado por
escrito, detallando la causa del cambio y firmado por el responsable y el
jefe del departamento de recursos humanos. Los cambios de cargo,
sueldo, carga familiar, etc. se podrn realizar directamente en el sistema
asignado al rea de recursos humanos.
En caso de finalizacin de la relacin laboral, deber ser notificado por
escrito, detallando la causa y firmado por el responsable y el jefe del
departamento de recursos humanos. El cambio cambiar el estado de la
informacin de acceso a inactivado. Una vez inactivado esta informacin no
podr ser cambiado a ningn otro estado.
EDCOM 49 ESPOL
Al intentar ingresar al sistema, solo se podr escribir la clave hasta cinco

veces. Al completar el limite, el usuario de bloquear.
El bloqueo de un usuario solo podr ser inhabilitado, mediante un oficio
escrito donde se detalle la causa del bloqueo firmado por el responsable y
el jefe del departamento referido. Este documento debe ser entregado al
encargado del rea de sistemas.
La informacin de acceso es responsabilidad, totalmente, del empleado a
la cual fue asignada y no debe ser divulgada a ningn tercero.
La informacin de acceso es considerada de carcter secreto e
intransferible.
5.3.3 Polticas de disponibilidad
Las polticas de disponibilidad detallan las especificaciones para mantener la

informacin correcta para quienes la puedan consultar:
El ingreso o modificacin de la informacin del sistema ser un proceso en

lnea.
La informacin de los clientes es considerada de carcter privado.
En caso de modificacin de la informacin del sistema, el registro o los
registros utilizados sern bloqueados para evitar error en el cambio de los
datos.
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo)
La compaa debe mantener un buen ambiente de trabajo dentro de la

misma, promoviendo la vinculacin integral entre las reas de trabajo y
personal en general.
La empresa determina los principios del cumplimiento de las disposiciones
que norman las conductas a seguir para lograr los resultados buscados,
dentro de un clima de trabajo positivo y ajustarlo a la aplicacin de una
justa retribucin.
La compaa debe entrenar, capacitar y actualizar al personal en las
polticas y procedimientos de seguridad que prevn proteger los activos de
informacin.
El personal de la empresa debe estar siempre presto a la capacitacin de
las polticas y procedimientos de seguridad para evitar realizar infracciones
o violaciones de los mismos.
La compaa debe publicar, peridicamente, el listado de infracciones o
violaciones de polticas de seguridad.
El personal de la empresa debe conocer los procedimientos disciplinarios a
seguir en caso de infraccin o violacin de las polticas de seguridad.
EDCOM 50 ESPOL
La empresa determina los lineamientos de verificacin de aplicabilidad de

las polticas y procedimientos de seguridad de la informacin.
5.5 Procedimientos segn el sistema de gestin:
5.5.1 Procedimiento para verificar que las polticas y procedimientos de

seguridad de la informacin estn siendo aplicados
5.5.1.1 Objetivo
Verificar que las polticas y procedimientos de seguridad de informacin

instalados en la empresa estn siendo aplicados y mediante los mismos se
mantenga el desenvolvimiento de la empresa.
5.5.1.2 Alcance
La Direccin debera requerir a empleados, contratistas y usuarios de terceras

partes aplicar la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
5.5.1.3 Responsabilidades
De los Gerentes junto con la Jefe Nacional Administrativa: Definir los

lineamientos de aplicabilidad de las polticas y procedimientos de seguridad.
Del Jefe de cada rea: Realizar la aplicacin del formulario de aplicabilidad de

polticas de seguridad9. Los formularios completados deben ser remitidos a la
Jefe Nacional Administrativa.
De la Jefe Nacional Administrativa: Revisar el formulario de aplicabilidad de

polticas de seguridad, para generar un informe de observaciones. De
encontrar alguna anomala, se registra en el formulario de registro de
inconformidad10. Los documentos generados deben ser remitidos a los
Gerentes. Aplicar alguna sancin segn la infraccin realizada y la anotacin
de los Gerentes.
De los Gerentes: Revisar los informes enviados por la Jefe Nacional
Administrativa y realizar anotaciones por cualquier ndole.
9
Revisar Anexo 6: Formulario de Aplicabilidad de las Polticas de Seguridad
10
Revisar Anexo 7: Registro de Inconformidades
EDCOM 51 ESPOL
5.5.1.4 Descripcin del Procedimiento
Necesidades de Verificacin de Aplicabilidad de Seguridades.-
Las razones por la cuales se podra considerar que se necesite de realizar

verificacin de la aplicabilidad de las polticas y procedimientos de seguridad
son:
Infringir alguna de las polticas de seguridad que cree dificultades graves

dentro de la organizacin.
Seguimiento de la aplicabilidad de las seguridades.
Cumplir el seguimiento a la aplicabilidad de las polticas y
procedimientos de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para verificacin de aplicabilidad del personal puede

ser canalizado por escrito.
Plan de Verificacin de Aplicabilidad de Seguridades
La Jefe Nacional Administrativa
Al inicio de cada ao elabora el Plan de Verificacin de Aplicabilidad de

Seguridades en la planilla correspondiente al plan a elaborar11, el cual debe
ser aprobado por la Gerencia.
En caso de que se hubieran detectado Necesidades de Verificaciones de
Aplicabilidad por cualquiera de los puntos indicados, estas deben ser
consideradas por Actualizacin del Plan de Verificacin de Aplicabilidad de
Seguridades.
El Plan de Verificacin de Aplicabilidad prev aplicar el formulario de
verificacin de aplicabilidad de las polticas de seguridad12 que incluye serie de
preguntas acerca de las seguridades implementadas en la empresa y como es
aplicada por el cuestionado.
Los empleados
Sern informados sobre la ejecucin del Plan de Verificacin de Aplicabilidad

mediante un boletn de informacin13 publicado en la cartelera de la empresa.
11
Revisar Anexo 8: Plan de Verificacin de Aplicabilidad de Seguridades
12
Revisar Anexo 6: Formulario de Verificacin de Aplicabilidad de Seguridades
13
Revisar Anexo 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad
EDCOM 52 ESPOL
No se permitirn faltas ni atraso durante la ejecucin del Plan de

Verificacin, sin importancia de ndoles. Cualquier empleado que no cumpla
con lo estipulado, ser considerado para sancin, segn procedimientos
disciplinarios.
Actualizacin del Plan de Verificacin de Aplicabilidad de Seguridades
Si se presentan actividades que se consideren como necesidades de

verificacin de aplicabilidad adicionales a las previstas en el Plan de
Verificacin de Aplicabilidad, estas se ingresarn mediante solicitud escrita.
Dicha verificacin de aplicabilidad deber ser aprobada por la Gerencia.
Analiza la solicitud y determina la logstica, presupuesto, costos y posible

cronograma. Toda esta informacin la remite a la Gerencia quien da su
aprobacin.
Si la verificacin de aplicabilidad es aprobada, es incluida en el Plan de
Verificacin de Aplicabilidad de Seguridades.
Los incumplimientos al Plan de Verificacin de Aplicabilidad de
Seguridades debern ser justificados en el mismo formato, columna
Justificacin de incumplimiento. En dicha columna se debe registrar la
causa de la falta.
Control de Asistencia de Ejecucin de Verificacin de Aplicabilidad
Se estructura un formulario de registro de asistencia a ejecucin de

verificacin de aplicabilidad14.
Una vez que la verificacin de aplicabilidad ha sido terminada, se archiva el
registro de asistencia de la misma.
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos

de seguridad de la informacin y sus actualizaciones
5.5.2.1 Objetivo
Comunicar las polticas y procedimientos de seguridad de informacin

instalados en la empresa, a travs de capacitaciones pertinentes para ser
aplicadas en el desarrollo de las actividades diarias.
14
Revisar Anexo 11: Formulario de Control de Asistencia de Verificacin de Aplicabilidad
EDCOM 53 ESPOL
5.5.2.2 Alcance
La Direccin debera capacitar a empleados, contratistas y usuarios de terceras

partes acerca de la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento
de ste procedimiento es responsabilidad del departamento de Recursos
Humanos.
De los Gerentes junto con la Jefe Nacional Administrativa: Definir el Plan de

Capacitacin: Seguridad de la Informacin.
De la Jefe Nacional Administrativa: de coordinar la ejecucin de las

actividades de capacitacin del personal que lo necesite y de hacer
seguimiento al cumplimiento del Plan de Capacitacin.
Necesidades de Capacitacin
Las razones por la cuales se podra considerar que se necesite de capacitacin

son:
Infringir alguna de las polticas de seguridad por desconocimiento de la
misma.
Desarrollar conciencia con respecto a la seguridad de la informacin.
Calificacin del personal que indique necesidad de capacitacin.
Capacitacin organizada por requerimiento de la Jefe Nacional
Administrativa.
Se considera que los empleados desconocen sobre las polticas y los
procedimientos de seguridad.
Sugerencias de los empleados.
Cualquier requerimiento para capacitacin del personal debe ser canalizado

por escrito.
Plan de Capacitacin: Seguridad de la Informacin
Al inicio de cada ao elabora el Plan de Capacitacin: Seguridad de

Informacin en la planilla correspondiente al plan a elaborar15, el cual
debe ser aprobado por la Gerencia.
15
Revisar Anexo 12: Planilla de Plan de Capacitacin: Seguridad de la Informacin
EDCOM 54 ESPOL
En caso de que se hubieran detectado Necesidades de Capacitacin por

cualquiera de los puntos indicados, estas deben ser consideradas para
Actualizacin del Plan de Capacitacin: Seguridad de la Informacin.
El Plan de Capacitacin incluye la informacin referente a: tema,
participantes, horas, y fechas aproximadas.
Los empleados
Sern informados del inicio de una capacitacin con un tiempo prudente,

mediante carta de convocatoria16.
No se permitirn faltas ni atraso para ninguna capacitacin, sin importancia
de ndoles, siempre y cuando el empleado haya sido convocado.
Actualizacin del Plan de Capacitacin: Seguridad de la Informacin
Si se presentan actividades de capacitacin adicionales a las previstas en el

Plan de Capacitacin, estas se ingresarn mediante solicitud escrita. Dicha
capacitacin deber ser aprobada por la Gerencia. Esto se aplica
principalmente cuando se requiere de capacitaciones externas.
Analiza la solicitud y determina la logstica, presupuesto, costos y

posible cronograma. Toda esta informacin la remite a la Gerencia
quien da su aprobacin.
Si la capacitacin es aprobada, es incluida en el Plan de Capacitacin.
Los incumplimientos al Plan de Capacitacin: Seguridad de la
informacin debern ser justificados en el mismo formato, columna
Justificacin de incumplimiento. En dicha columna se debe registrar la
causa de la falta.
Control de Asistencia a Capacitacin
Se estructura un formulario de registro de asistencia a capacitacin17. Si la

capacitacin es externa, se debe entregar un formulario similar a cargo de
uno de los enviados y deber ser firmada por los empleados de la
compaa.
Una vez que la capacitacin ha sido terminada, se archiva el registro de
asistencia de la misma.
16
Revisar Anexo 13: Carta de convocatoria a empleados.
17
Revisar Anexo 14: Formulario de Control de Asistencia a Capacitacin
EDCOM 55 ESPOL
Certificado de la Capacitacin
Los certificados de capacitacin sern entregados en mismo da en que la

misma ser terminada. Se archiva una copia del certificado en la carpeta
de personal.
Si la capacitacin ha sido externa, el certificado ser entregado segn la
entidad externa. De igual manera, se archiva una copia del certificado en la
carpeta de personal.
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna

poltica de seguridad de la empresa.
5.5.3.1 Objetivo
Aplicar sanciones por infraccin o violacin de alguna poltica de seguridad que

rige en la empresa,por parte del personal que ha sido capacitado, a travs, de
distintos procedimientos disciplinarios.
5.5.3.2 Alcance
Debera existir un proceso formal disciplinario para empleados que produzcan

brechas en la seguridad.
De los Gerentes junto con la Jefe Nacional Administrativa: Definir los

procedimientos disciplinarios que se aplicaran por infraccin o violacin de
alguna poltica de seguridad.
De la Jefe Nacional Administrativa: de aplicar el procedimiento disciplinario
correspondiente a la infraccin o violacin realizada. Comunicar a los
empleados de dichos procedimientos disciplinarios, valindose del Plan de
Capacitacin: Polticas de Seguridad.
Tipos de Infracciones o Violaciones a las Polticas de Seguridad.-
Algunos tipos de infraccin o violaciones a las polticas de seguridad por la

cuales se podra considerar aplicar procedimiento disciplinario son:
Alteracin, destruccin, divulgacin y cambio de ubicacin de informacin

(Dentro y fuera de la compaa).
Uso inapropiado de los diferentes recursos (Acceso no autorizado).
EDCOM 56 ESPOL
Usurpacin de identidad
Manipulacin de credenciales de acceso (Ingreso del trabajo)
Manipulacin de la configuracin de los aplicativos de las estaciones de
trabajo.
Errores de administracin aplicados a los aplicativos.
Abuso de privilegios de acceso
Desconocimiento de sus funciones y responsabilidades dentro de la
empresa.
Extorsin
Cualquiera de las infracciones o violaciones detalladas deben ser reportadas

por medio del formulario de infracciones de polticas de seguridad 18. Las
mismas que deben ser reportadas al Jefe de rea, para que el mismo las
remita al Jefe Nacional Administrativa.
Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de

Polticas de Seguridad
Todas las infracciones se vern afectadas por el siguiente flujo:
Se realiza llamado de atencin por escrito al infractor.

Se detalla un memorndum donde se especifica el hecho realizado y la
consecuencia del mismo. Las consecuencias son para la empresa y para el
empleado tanto de tipo monetaria como para su hoja de vida.
Cada infraccin tiene una diferenciacin en el procedimiento disciplinario,
inscripta a continuacin:
Infraccin o Violacin de Polticas Procedimiento Disciplinario

de Seguridad
Alteracin, destruccin, Llamado de atencin en la hoja de

divulgacin y cambio de ubicacin vida.
de informacin (Dentro y fuera de Capacitacin acerca de activos de
la compaa). informacin y su proteccin.
Uso inapropiado de los diferentes Capacitacin acerca de los recursos

recursos (Acceso no autorizado). de la empresa y su uso autorizado.
Usurpacin de identidad Llamado de atencin grave en la hoja

de vida.
Reunin directa con el Gerente
Regional y la Jefe Nacional
Administrativa.
18
Revisar Anexo 15: Formulario de Infraccin de Polticas de Seguridad
EDCOM 57 ESPOL
Manipulacin de credenciales de Llamado de atencin grave en la hoja

acceso (Ingreso del trabajo) de vida.
Reunin directa con el Gerente
Regional y la Jefe Nacional
Administrativa.
Manipulacin de la configuracin Capacitacin acerca de recursos

de los aplicativos y recursos de informticos de la compaa, a cargo
las estaciones de trabajo. de delegado de Jefe de rea
Sistemas.
Errores de administracin Reunin con el Jefe de rea

aplicados al software informtico. Sistemas.
Revisin del Manual de Funciones y
Responsabilidades del rea Sistemas.
Abuso de privilegios de acceso Llamado de atencin en la hoja de

vida.
Capacitacin acerca de recursos
informticos de la compaa, a cargo
de delegado de Jefe de rea
Sistemas.
Desconocimiento de sus Llamado de atencin en la hoja de

funciones y responsabilidades vida.
dentro de la empresa. Reunin con el Jefe de rea para
revisin de Manual de Funciones y
Responsabilidad del rea al cual
pertenezca el infractor.
Extorsin Separacin de la empresa.
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad
La aplicacin de cualquier procedimiento disciplinario ser supervisada por el

encargado de la misma de mayor rango jerrquico y generara un formulario de
seguimiento de aplicacin de procedimientos disciplinarios 19. Cada
procedimiento disciplinario generara un archivo final que reflejara lo dispuesto,
segn la sancin. Toda la documentacin que arroje cualquiera de los
procedimientos disciplinarios ser archivada en la Carpeta de Personal.
19
Revisar Anexo 15: Formulario de Registro de Aplicacin de Procedimientos Disciplinarios.
EDCOM 58 ESPOL
Deteccin de las Infracciones o Violaciones de Polticas de Seguridad:
Infraccin o Violacin de Polticas Procedimiento de Deteccin

de Seguridad
Alteracin, destruccin, Falta o modificacin de la informacin,
divulgacin y cambio de ubicacin detectada mediante consulta de la
de informacin (Dentro y fuera de misma.
la compaa). Divulgacin escrita o verbal de
informacin
Conocimiento de informacin por
personas externas a la empresa
Uso inapropiado de los diferentes Observacin visual
recursos (Acceso no autorizado). Revisin de recursos mal utilizados
Usurpacin de identidad Doble inicio de sesin

Manipulacin de la configuracin de
usuario o de las opciones permitidas
al mismo.
Manipulacin de credenciales de Alteraciones en la credencial de
acceso (Ingreso del trabajo) acceso
Manipulacin de la configuracin Observacin visual, incluye reubicacin
de los aplicativos y recursos de Comprobacin de manipulacin de
las estaciones de trabajo. aplicativo por otro usuario
Inhabilitacin del usuario por
manipulacin de usuario.
Errores de administracin Fallas del aplicativo en el nivel de
aplicados al software informtico. clientes
Fallas en los privilegios de acceso
(Desactivar acceso de pginas web
para desarrollo de trabajo)
Abuso de privilegios de acceso Observacin visual

Atraso de la productividad por uso
inapropiado de los recursos
informticos
Desconocimiento de sus Mal desempeo de sus actividades

funciones y responsabilidades Intermisin en las actividades de otro
dentro de la empresa. empleado
Atraso de la productividad
Extorsin Prueba escrita recibida por cualquier

medio, que muestra la extorsin
(Dentro o fuera de la empresa)
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad
EDCOM 59 ESPOL
Aplicacin de los Procedimientos Disciplinarios
Los Jefes de rea
Detecta la infraccin y enva por llamado de atencin por escrito al

infractor.
Realiza memorndum donde se especifica el hecho realizado y la
consecuencia del mismo.
Enva los documentos a la Jefe Nacional Administrativa para realizar la
aplicacin de los procedimientos disciplinarios.
Realiza la capacitacin si el caso lo requiere.
Colabora con la definicin de los procedimientos disciplinarios.

Revisa la documentacin enviada por cualquier Jefe de rea en caso de
infraccin o violacin de polticas de seguridad.
Aplica el procedimiento disciplinario segn la infraccin realizada.
Reporta al Jefe Administrativo - Recursos Humanos, la documentacin
resultante de la aplicacin del procedimiento disciplinario.
El Gerente
Define los procedimientos disciplinarios en colaboracin con la Jefe

Nacional Administrativa.
Colabora con la aplicacin de los procedimientos disciplinarios
dependiendo de la infraccin.
Los empleados
Conocen los procedimientos disciplinarios.

Evitan infringir las polticas y procedimientos de seguridad de informacin.
Acatan los procedimientos disciplinarios, segn su infraccin. Se acogen a
las actividades a seguir.
Actualizacin de los Procedimientos Disciplinarios
Si se presentan infracciones o violaciones a polticas de seguridad que se

consideran relevantes y que se realicen por primera vez, se debe adjuntar a los
Tipos de Infracciones y Violaciones de Polticas de Seguridad.
EDCOM 60 ESPOL
Los Jefes de rea
Redactan un informe, detallando la infraccin, las consecuencias para el

empleado y para la empresa y la forma como fue detectada. Dicho informe
es remitido a la Jefe Nacional Administrativa.
Analiza el informe enviado por cualquiera de los Jefes de rea y determina

el nivel de afectacin de la infraccin. Toda esta informacin la remite a la
Gerencia para que apruebe la agregacin.
Si la infraccin se determina importante, es incluida en los Tipos de

Infracciones y Violaciones de Polticas de Seguridad.
EDCOM 61 ESPOL
CONCLUSIONES Y
RECOMENDACIONES
Conclusiones y Recomendaciones
La gestin de la seguridad de la informacin se realiza mediante un proceso
sistemtico, documentado y conocido por toda la organizacin. La utilizacin de
un SGSI permite dotar a la entidad de las herramientas o mecanismos
necesarios para poder afrontar los riesgos presentes en las empresas.
Una de las razones ms importantes para implementar un SGSI es la de

atenuar los riesgos propios de los activos de informacin de la empresa. Una
acertada identificacin de tales activos, su definicin correcta del alcance y
unas polticas de seguridad claras y completas, son determinantes para la
correcta implantacin del SGSI.
Un SGSI no se ajusta cada vez que se genera un incidente de seguridad, pues

la labor de quienes tienen la funcin de gerencia de seguridad de la
informacin en la empresa no debe ser nicamente la administracin de los
controles creados para cada situacin de riesgo. Se debe actuar de manera
que se anticipe a los hechos y para ello el SGSI debe estar en capacidad de
ayudar a la alta gerencia en la definicin de acciones que mitigan los riesgos
sobre los activos ms crticos sin tener que esperar que los eventos ocurran.
La implantacin y operacin de un SGSI ofrece ventajas para la empresa al

disponer de una metodologa dedicada a la seguridad de la informacin
reconocida internacionalmente, contar con un proceso definido para evaluar,
implementar, mantener y administrar la seguridad de la informacin, diferencia
una empresa de otro con esto satisfacemos de una mejor manera los
requerimientos de clientes, proveedores y organismos de control, formalizando
las responsabilidades operativas y legales de los usuarios internos y externos
de la Informacin y ayuda al cumplimiento de las disposiciones legales
nacionales e internacionales.
EDCOM 63 ESPOL
ANEXOS
ANEXOS:
ANEXO 1: Definiciones y Trminos
Secciones de control segn ISO 27002
Poltica de Seguridad: Documento de poltica de seguridad y su gestin.
Aspectos Organizativos: Organizacin interna; organizacin externa.
Gestin de Activos: Responsabilidad sobre los activos; clasificacin de la

informacin.
Recursos Humanos: Anterior al empleo; durante el empleo; finalizacin o

cambio de empleo.
Fsica y Ambiental: reas seguras; seguridad de los equipos.
Comunicaciones y Operaciones: Procedimientos y responsabilidades de

operacin; gestin de servicios de terceras partes; planificacin y aceptacin
del sistema; proteccin contra software malicioso; backup; gestin de seguridad
de redes; utilizacin de soportes de informacin; intercambio de informacin y
software; servicios de comercio electrnico; monitorizacin.
Control de Accesos: Requisitos de negocio para el control de accesos;

gestin de acceso de usuario; responsabilidades del usuario; control de acceso
en red; control de acceso al sistema operativo; control de acceso a las
aplicaciones e informaciones; informtica y conexin mvil.
Adquisicin: desarrollo y mantenimiento de sistemas: Requisitos de seguridad

de los sistemas de informacin; procesamiento correcto en aplicaciones;
controles criptogrficos; seguridad de los ficheros del sistema; seguridad en los
procesos de desarrollo y soporte; gestin de vulnerabilidades tcnicas.
Gestin de incidentes: Comunicacin de eventos y puntos dbiles de

seguridad de la informacin; gestin de incidentes y mejoras de seguridad de la
informacin.
Gestin Continuidad de negocio: Aspectos de la seguridad de la informacin

en la gestin de continuidad del negocio.
Cumplimiento legal: Con los requisitos legales; polticas de seguridad y

estndares de conformidad y conformidad tcnica; consideraciones sobre la
auditora de sistemas de informacin.
EDCOM 65 ESPOL
ISO: International Organization for Standardization, por sus siglas en ingles.

Organizacin internacional para estandarizacin.
IEC: International Electrotecnical Commite, por sus siglas en ingles. Comisin

electrotcnica internacional.
EDCOM 66 ESPOL
ANEXO 2: Descripcin de cada puesto de trabajo
TTULO DEL PUESTO DEPARTAMENTO DESCRIPCIN DEL CARGO

Representante de la Gestin de Calidad Responsable de promover el
direccin desarrollo, implantacin y
mantenimiento del Sistema
de Gestin de Calidad que la
empresa est tramitando.
Gerente Direccin El Gerente, es el responsable
del manejo de la empresa y
del cumplimiento de sus
objetivos principales y
particulares.
Jefe nacional de Compensacin y Responsable de revisar,
compensacin y liquidacin supervisar y controlar las
liquidacin negociaciones extraburstiles
y los procesos de
compensacin de Guayaquil y
Quito, brindando apoyo en la
informacin requerida por las
casas de valores.
Jefe nacional de Custodia y ejercicio Responsable de la
custodia y ejercicio derecho verificacin, confirmacin,
de derecho seguridad y conservacin de
los valores recibidos en
depsito, hasta su restitucin
o liquidacin.
Jefe nacional de Gestin de cobro y Responsable de realizar la
gestin de cobro y libro de acciones gestin de cobro ante los
libro de acciones emisores o agentes de pago,
y realizar el pago
correspondiente a los
inversionistas; registrar los
movimientos en la cuenta del
Emisor y dar constancia de
los valores cancelados.
Jefe nacional de Sistemas Responsable de dirigir y
sistemas planificar el desarrollo,
implantacin y mantenimiento
de los sistemas tecnolgicos
de la organizacin.
Jefe nacional Administrativo Administrar eficazmente el
administrativa recursos humanos buen funcionamiento de la
Institucin y atender las
necesidades de todo el
personal con respecto a la
relacin laboral.
EDCOM 67 ESPOL
Asistente Administrativo Asistir eficazmente en el buen

administrativa recursos humanos funcionamiento de la
Institucin y atender las
necesidades de todo el
personal con respecto a la
relacin laboral.
Asistente de custodia Custodia y ejercicio El Asistente de Custodia y
y ejercicio de derecho de derecho Ejercicio de Derecho es el
recurso de apoyo para
mantener los portafolios de
los clientes al da.
Asistente de sistemas Sistemas Responsable de dar
asistencia en la planificacin
y desarrollo de proyectos del
rea y ejecutar disposiciones
tomadas por el jefe del
departamento.
Jefe regional sierra de Compensacin y Responsable de revisar,
compensacin y liquidacin supervisar y controlar las
liquidacin negociaciones extraburstiles
y los procesos de
compensacin y liquidacin
en Quito, brindando apoyo en
la informacin requerida por
las casas de valores.
Jefe regional sierra de Gestin de cobro y Llevar el libro de acciones
gestin de cobro y libro de acciones desmaterializadas de
libro de acciones corporacin Favorita.
Asistente de gestin Gestin de cobro y Es el recurso de apoyo para
de cobro y libro de libro de acciones mantener los portafolios de
acciones los clientes al da y verifica
las transferencias realizadas.
Ayudante de Administrativo / Es un cargo de apoyo y
administracin recursos humanos soporte para el departamento
de administracin. Es
responsable de mantener el
orden y aseo de la cafetera a
su cargo.
Desarrollador y Sistemas Responsable del desarrollo
tcnico de soporte de de los programas
sistemas (Aplicaciones) que son parte
de los proyectos informticos
y de cumplir con las tareas
que correspondan a la
asistencia tcnica a usuarios
encomendadas por el jefe o
Asistente del Departamento
de Sistemas.
EDCOM 68 ESPOL
Mensajero Administrativo / Responsable por la

recursos humanos distribucin y recoleccin de
la correspondencia interna y/o
externa de la compaa,
desde o hacia sta.
Eventualmente ejecuta
labores de apoyo
administrativo requeridas.
Asesor legal Legal Organizar, controlar y

ejecutar las actividades
legales de la empresa dentro
de un marco normativo y
regulatorio, manteniendo
informado a la Gerencia del
cumplimiento de los objetivos
fijados as como sus
requerimientos.
Contadora Contabilidad Responsable por el control y

supervisin de las
operaciones y procedimientos
contables de la compaa.
Responde por la recopilacin,
anlisis y registro contable,
de acuerdo a las normas y
procedimientos establecidos.
Preparar estados financieros
y otros informes.
Tabla Anexo. 1Descripcin de cada puesto de trabajo
EDCOM 69 ESPOL
ANEXO 3: Perfil o Requisitos de los diferentes cargos
Cargo: Gerente
Sexo: Femenino o Masculino
Edad: Mnimo 35 aos
Parmetros Requisitos
Formacin Ttulo de Postgrado: MBA, MAE o similares
Acadmica
Ttulo Profesional de: Administracin de Empresas o
carreras afines certificado por el CONESUP
Experiencia Entre 5 y 9 aos de experiencia laboral en actividades
Laboral gerenciales afines
Habilidades Excelentes relaciones personales y facilidad para
relacionarse efectivamente con los clientes
Capacidad de planificacin y trabajo bajo presin
Buen nivel de expresin oral
Liderazgo para conducir al personal a su cargo
Tabla Anexo. 2Perfil de Cargo Gerente
Cargo: Asesor Legal

Edad: Mnimo 35 aos
Formacin Ttulo profesional de Abogado certificado por el
Acadmica CONESUP Titulo profesional de Abogado certificado
por el CONESUP
Laboral similares o afines al cargo
relacionarse
Capacidad para trabajar bajo presin
Buen nivel de expresin oral y extrovertido
Capacidad para interactuar con grupos de trabajo
Tabla 7. 3Perfil de Cargo Asesor Legal
EDCOM 70 ESPOL
Cargo: Jefe Nacional Administrativo

Edad: Mnimo 30 aos
Formacin Ttulo Universitario
Acadmica
Egresado de carreras afines
Experiencia Entre 5 y 7 aos de experiencia laboral en el cargo o en
Laboral actividades afines
Excelente presentacin personal
Tabla 7. 4 Perfil de Cargo Jefe Nacional Administrativo
Cargo: Asistente Administrativo

Edad: Mnimo 19 aos
Formacin Egresado universitario en reas de competencia
Acadmica
Estudiante universitario en reas de competencia
Ttulo de bachiller en cualquier especializacin
Experiencia Menos de 2 aos en puestos similares o afines

Laboral
Habilidades Para relacionarse efectivamente con clientes
Capacidad para organizar y coordinar tareas
administrativas
Para integrar e interactuar en grupos de trabajo
Tabla 7. 5 Perfil de Cargo Asistente Administrativo
EDCOM 71 ESPOL
Cargo: Ayudante de Administracin

Sexo: Femenino
Edad: Mnimo 20 aos
Formacin Bachiller en cualquier especializacin
Acadmica
Experiencia Mnimo 1ao de experiencia en cargos similares o
Laboral afines
Habilidades Capacidad para interpretar y ejecutar directrices
Iniciativa para el cumplimiento de las tareas

encomendadas
Buena presentacin personal

Para relacionarse efectivamente
Tabla 7. 6 Perfil de Cargo Ayudante de Administracin
Cargo: Mensajero
Sexo: Masculino
Edad: Mnimo 20 aos
Formacin Estudiante en carreras superiores
Acadmica
Bachiller en cualquier especializacin
Experiencia Mnimo 1ao de experiencia en cargos similares o

Laboral afines
Habilidades Capacidad para interpretar y ejecutar directrices
encomendadas
Para relacionarse efectivamente
Tabla 7. 7 Perfil de Cargo Mensajero
EDCOM 72 ESPOL
Cargo: Representante de la Direccin

Edad: Mnimo 24 aos
Formacin Ttulo en carreras superiores
Acadmica
Egresado en carreras superiores
Estudiante en carreras superiores
Experiencia Mnimo 5 aos de experiencia laboral en actividades
Entre 3 y 5 aos de experiencia laboral en actividades
similares o afines al cargo
relacionarse
Capacidad de planificacin
Tabla 7. 8 Perfil de Cargo Representante de la Direccin
Cargo: Contador
Edad: Mnimo 35 aos
Formacin Ttulo Universitario en contabilidad, contadura pblica o
Acadmica carreras afines
Egresado Universitario en reas de competencia

relacionarse
Capacidad para definir parmetros y objetivos
deseados
Tabla 7. 9 Perfil de Cargo Contador
EDCOM 73 ESPOL
Cargo: Jefe de Gestin de Cobro / Jefe Regional Sierra de Gestin de Cobro y

Libro de Acciones
Edad: Mnimo 30 aos
Formacin Ttulo Universitario en reas de competencia
Acadmica
Experiencia Entre 3 y 5 aos de experiencia en cargos afines o
Laboral similares

deseados
Tabla 7. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones
Cargo: Asistente de Gestin de Cobro y Libro de Acciones

Edad: Mnimo 20 aos
Acadmica
Egresado universitario en reas de competencia
Experiencia Ms de 3 aos en puestos similares o afines
Laboral
administrativas
Tabla 7. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones
EDCOM 74 ESPOL
Cargo: Jefe Nacional de Custodia y Ejercicio de Derecho

Edad: Mnimo 30 aos
Acadmica
Experiencia Entre 3 y 5 aos de experiencia en cargos afines o
Laboral similares

deseados
Tabla 7. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho
Cargo: Asistente de Custodia y Ejercicio de Derecho

Edad: Mnimo 20 aos
Acadmica
Experiencia Ms de 3 aos en puestos similares o afines
Laboral
administrativas
Tabla 7. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho
EDCOM 75 ESPOL
Cargo: Jefe Nacional de Compensacin y Liquidacin

Edad: Mnimo 30 aos
Acadmica
deseados
Tabla 7. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin
Cargo: Asistente de Compensacin y Liquidacin

Edad: Mnimo 20 aos
Acadmica
Experiencia Menos de 2 aos de experiencia en cargos similares o

Laboral afines
Habilidades Capacidad para ejecutar directrices
Buen trato con el cliente
encomendadas
Tabla 7. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin
EDCOM 76 ESPOL
Cargo: Jefe de Sistemas

Edad: Mnimo 30 aos
Formacin Ttulo profesional de Ingeniero en Sistemas
Acadmica
Titulo en carreras afines acreditado por el CONESUP
Experiencia Ms de 3 aos de experiencia en el cargo o en

Laboral posiciones similares
relacionarse
Capacidad de planificacin
Tabla 7. 16 Perfil de Cargo Jefe de Sistemas
Cargo: Asistente de Sistemas / Desarrollador

Edad: Mnimo 20 aos
Formacin Estudiante en la carrera de Ingeniera en Sistemas
Acadmica
Estudiante universitario en carreras afines acreditado
por el CONESUP
Experiencia Ms de 2 aos de experiencia en el cargo o en
Laboral posiciones similares
relacionarse
Capacidad para ejecutar directrices
Iniciativa para el cumplimiento de tareas
encomendadas
Tabla 7. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador
EDCOM 77 ESPOL
ANEXO 4: Organigrama de la empresa
EDCOM 78 ESPOL
ANEXO 5: Escala de Valoracin de los Activos
5.1 Escala de Valoracin de Dimensiones:

Descripcin Valoracin
Alta 5
Medianamente Alta 4
Mediana 3
Baja 2
Muy Baja 1
Tabla 7. 18 Escala de Valoracin de Dimensiones
5.2 Escala de Valoracin de Frecuencia:
Altamente Frecuente 5
Frecuente 4
Medianamente Frecuente 3
Poco Frecuente 2
Muy Poco Frecuente 1
Tabla 7. 19 Escala de Valoracin de Frecuencia
5.3 Escala de Valoracin de Impacto:
Alto 5
Medianamente Alto 4
Mediano 3
Bajo 2
Muy Bajo 1
Tabla 7. 20 Escala de Valoracin de Impacto
EDCOM 79 ESPOL
ANEXO 6: Formulario de Aplicabilidad de las Polticas de

Seguridad
FORMULARIO DE APLICABILIDAD
DE POLTICAS DE SEGURIDAD
NOMBRE DEL ENCUESTADO: ___________________________________

FECHA : ___________________________________
CARGO : ___________________________________
REA DE TRABAJO : ___________________________________
Instrucciones: Debe responder las preguntas de manera honesta y

responsable. Sus respuestas deben ser claras y concisas. Por favor, entregue
el formulario sin tachones, ni arrugas.
1. Conoce las polticas de Seguridad de Informacin que se aplican en su

rea de trabajo?
Respuesta: ____________________________________________________
2. Ha sido informado a tiempo de las polticas de seguridad de informacin?

Respuesta: ____________________________________________________
3. Conoce las infracciones o violaciones de las polticas de Seguridad de

Informacin?
Respuesta: ____________________________________________________
4. Ha sido informado a tiempo de los procedimientos disciplinarios?

Respuesta: ____________________________________________________
5. Cun daino considera que puede ser la alteracin o divulgacin de la

informacin?
Respuesta: ____________________________________________________
6. Cules es su horario de acceso al servicio de Internet?

Respuesta: ____________________________________________________
7. Cules son seguridades de la credencial de acceso del personal?

Respuesta: ____________________________________________________
8. Cul es su principal funcin dentro de la empresa?

Respuesta: ____________________________________________________
EDCOM 80 ESPOL
9. Cul es la actividad que ms repite durante su jornada de trabajo?

Respuesta: ____________________________________________________
10. Considera relevante aplicar polticas de seguridad de informacin en la

empresa?
Respuesta: ____________________________________________________
Firma del Encuestado Firma de Revisin
Fecha de Revisin:
Los Formularios de Aplicabilidad de Seguridad de la Informacin pueden variar

dependiendo de rea al cual sea aplicado. Adems, los formularios deben ser
actualizados al inicio de cada ao. Esta responsabilidad es del Gerente y la
Jefe Nacional Administrativa.
EDCOM 81 ESPOL
ANEXO 7: Registro de Inconformidades
REGISTRO DE INCONFOMIDADES
EN EL FORMULARIO DE APLICABILIDAD
FECHA: ___________________________________
EMPLEADO REA DE OBSERVACIN ACCIN

TRABAJO
(Nombre de (rea de (Observacin reflejada (Capacitacin o
Empleado Trabajo en el formulario Reunin de Revisin
de la del aplicado) de Polticas de
observacin) Empleado) Seguridad)
Firma de Elaboracin
Fecha de Revisin (Gerencia):
En el registro de inconformidades se guarda algunas observaciones y acciones

a tomar, dependiendo de los reflejados en los formularios. Debe ser enviado al
Gerente por la Jefe Nacional Administrativa.
EDCOM 82 ESPOL
ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades
PLAN DE VERIFICACIN DE APLICABILIDAD

FECHA DE PLANIFICACIN: ______________________________

PERODO : ______________________________
FECHA DE REA DE CAUSA DE FORMULARIO LUGAR DE SUPERVISOR JUSTIFICACIN OBSERVACIONES

APLICACIN TRABAJO LA A APLICAR APLICACIN DE
APLICACIN INCUMPLIMIENTO
(rea (Razn de la (Formulario a (Lugar de (Nombre del (Razones de (Posibles notas
(Fecha planeada aplicacin Implementar) aplicacin Jefe que incumplimiento agregadas a la
planeada para la planeada) de la supervisara de la verificacin verificacin
para fecha) verificacin) la aplicacin planificada) planeada)
aplicacin de de la
verificacin verificacin)
de
aplicabilidad)
Firma de Elaboracin Firma de Aprobacin
Fecha de Aprobacin:
EDCOM 83 ESPOL
El Plan de Verificacin de Aplicabilidad de Polticas de Seguridad es elaborado

por la Jefe Nacional Administrativa y aprobado por el Gerente. Debe contener
las actividades de verificacin planeadas al principio del ao. Su actualizacin
se podra dar dependiendo de las necesidades de verificacin relevantes.
EDCOM 84 ESPOL
ANEXO 9: Boletn de informacin: Plan de Verificacin de

Aplicabilidad
EDCOM 85 ESPOL
ANEXO 10: Formulario de Control de Asistencia de Verificacin

de Aplicabilidad
REGISTRO DE ASISTENCIA DE
VERIFICACIN DE APLICABILIDAD DE POLTICAS DE SEGURIDAD
FECHA DE VERIFICACIN: ______________________________

FORMULARIO APLICADO: ______________________________
LUGAR DE APLICACIN : ______________________________
SUPERVISOR : ______________________________
EMPLEADO HORA DE FIRMA HORA DE FIRMA

ENTRADA SALIDA
(Nombre del (Hora que (Firma de (Hora que (Firma de
empleado ingresa a la constancia egresa a la constancia de la
que realiza verificacin) de la verificacin) salida del
el formulario entrada del empleado)
de empleado)
verificacin)
Firma de Supervisin Firma de Revisin
Fecha de Revisin:
EDCOM 86 ESPOL
ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin
PLAN DE CAPACITACIN DE SEGURIDAD DE LA INFORMACIN
FECHA DE PLANIFICACIN: ______________________________

PERODO : ______________________________
FECHA DE REA DE CAUSA DE LA TEMA A NMERO LUGAR DE LA CAPACITADOR JUSTIFICACIN OBSERVACIONES

APLICACIN TRABAJO CAPACITACIN TRANSMITIR DE CAPACITACIN DE
HORAS INCUMPLIMIENTO
(Fecha (rea (Razn de la (Tema de la (Total de (Lugar de la (Nombre del (Razones de (Posibles notas
planeada planeada capacitacin capacitacin) horas de capacitacin) Jefe que incumplimiento agregadas a la
para la para la planeada) duracin supervisara la de la verificacin verificacin
capacitacin) fecha) de la aplicacin de planificada) planeada)
capacitacin
planeada) la verificacin)
Firma de Elaboracin Firma de Aprobacin
Fecha de Aprobacin:
EDCOM 87 ESPOL
ANEXO 12: Carta de convocatoria a

empleados.
FECHA DE CREACIN
Nombre del Empleado

rea de Trabajo
De mis consideraciones:
Por medio de la presente se le convoca a la capacitacin

<<NOMBRE DE LA CAPACITACIN>>, dictada por
<<NOMBRE DEL CAPACITADOR>>, a efectuarse el
da<<FECHA DE LA CAPACITACIN>>, a las <<HORA
DE LA CAPACITACIN>> en las instalaciones de
<<LUGAR DE LA CAPACITACIN>>, donde se reforzara
su entrenamiento con respecto a las polticas y
procedimientos de seguridad de la informacin aplicados
en la empresa.
Le recordamos que su presencia es obligatoria.
NOMBRE DE LA JEFE NACIONAL ADMINISTRATIVA
EDCOM 88 ESPOL
La carta puede ser editada para agregar ms detalles, dependiendo de la

convocatoria a realizar. Adems, podra cambiar el pie de firma, segn las
disposiciones gerenciales.
EDCOM 89 ESPOL
ANEXO 13: Formulario de Control de Asistencia a Capacitacin
REGISTRO DE ASISTENCIA DE
CAPACITACIN DE SEGURIDAD DE INFORMACIN
FECHA DE CAPACITACIN: ______________________________

LUGAR DE CAPACITACIN: ______________________________
CAPACITADOR : ______________________________
TEMA : ______________________________
EMPLEADO HORA DE FIRMA HORA DE FIRMA

ENTRADA SALIDA
(Nombre del (Hora que (Firma de (Hora que (Firma de
empleado ingresa a la constancia egresa a la constancia de la
que se est capacitacin) de la capacitacin) salida del
capacitando) entrada del empleado)
empleado)
Firma de Supervisin Firma de Revisin
Fecha de Revisin:
EDCOM 90 ESPOL
ANEXO 14: Formulario de Infraccin de Polticas de Seguridad.
FORMULARIO DE REGISTRO
DE INFRACCIONES O VIOLACIONES DE POLTICAS DE SEGURIDAD
ELABORADO POR: ___________________________________
FECHA EMPLEADO REA DE INFRACCIN SITUACIN ACCIN

TRABAJO
(Nombre de (rea de (Infraccin (Detalle de (Procedimiento
(Fecha de Empleado Trabajo incurrida) la Disciplinario a
realiza la que comete del situacin aplicar por
infraccin) la Empleado) de la motivo de la
infraccin) infraccin) infraccin)
Firma de Elaboracin
En el Registro de Infracciones o Violaciones de Polticas de Seguridad se

guarda los detalles correspondientes a situaciones que quebrantan los
procedimientos de seguridad de informacin que se encuentran implementados
en la empresa y los procedimientos disciplinarios a aplicar por los mismos.
Debe ser enviado al Gerente por la Jefe Nacional Administrativa.
EDCOM 91 ESPOL
ANEXO 15: Seguimiento de la Aplicacin de los

Procedimientos Disciplinarios
FORMULARIO DE SEGUIMIENTO
DE PROCEDIMIENTOS DISCIPLINARIOS
SUPERVISADO POR: ___________________________________
FECHA EMPLEADO REA DE GESTOR ACCIN DE

TRABAJO SEGUIMIENTO
(Nombre de (rea de (Persona que (Situaciones que
(Fecha de Empleado Trabajo aplica el permiten aplicar el
seguimiento) que comete del procedimiento procedimiento
la Empleado) disciplinario) disciplinario)
infraccin)
Firma de Elaboracin
En caso de que la infraccin incurrida sea Extorsin o alguna otra que necesite
separacin del empleo, tambin debe registrarse en el formulario de
seguimiento.
EDCOM 92 ESPOL
BIBLIOGRAFA
BIBLIOGRAFA
Documentacin Privada de la empresa DECEVALE S.A.
Pginas Web Consultadas:
http://www.iso27000.es/sgsi.html
http://iso27002.wiki.zoho.com/8-1-Seguridad-en-la-definicin-del-trabajo-y-los-
recursos.html
dhttp://scc2008.webs.com/ Documento: 04-05 ISO 27000 trabajo
EDCOM 94 ESPOL

1proyecto de Graduacion Implementacion de Sgsi A La Empresa

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1proyecto de Graduacion Implementacion de Sgsi A La Empresa

Cargado por

Copyright:

Formatos disponibles

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

Agradecemos a Dios por haber pensado en nosotros antes de nacer y

A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de

Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas

La responsabilidad del contenido de este Trabajo Final de Graduacin, nos

MAE. VICTOR MUZ CHACHAPOLLA

MAE. ENRIQUE SALAZAR MEZA

DIANA XIOMARA CALDERN ONOFRE

CARLOS MARTN ESTRELLA OCHOA

MANUEL ALEJANDRO FLORES VILLAMARN

El presente Trabajo de Graduacin se enfoca en la reorganizacin del

La implementacin de un sistema de gestin de seguridad de informacin en

Se decidi la aplicacin de la gestin de seguridad de informacin en el

A continuacin, se determinan las generalidades de la empresa, los conceptos

El esfuerzo empleado en realizar este trabajo de graduacin garantiza la

CAPTULO 1: Marco Referencial ..............................................................................13

CAPITULO 3: Etapa 1: Planeacin

Ilustracin 3. 1 Fase Planificacin ......................................................................................... 24

CAPITULO 4: Anlisis de Riesgo

Para que exista una adecuada gestin de la seguridad de la informacin dentro

El objetivo de desarrollar un sistema de gestin de seguridad de la informacin

considerarse de mayor relevancia en la institucin son los virus informticos, la

La importancia de realizar el anlisis referente a la gestin de Recursos

La empresa DECEVALE requiere implementar un sistema de gestin de

DECEVALE considera que una seleccin adecuada de su personal evitara

2.1 Antecedentes de la empresa:

La Compaa Depsito Centralizado de Compensacin y Liquidacin de

La Junta General de Accionistas de la Compaa, en sesin del veintiuno de

DECEVALE es una Sociedad Annima autorizada y controlada por la

DECEVALE, opera y brinda sus servicios al amparo de:

La Ley de Mercado de Valores,

Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin

Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE

2.2 Descripcin del funcionamiento del rea Recursos

2.2.1 Seleccin de personal

Se recibe una carpeta o CV y se analiza los datos del postulante y si lo

Antes de iniciar el reclutamiento de personal, se analiza si dentro de la

En caso de realizar el reclutamiento de personal, se preseleccionan algunos

2.2.2 Contratacin de personal

Califica al candidato que apruebe la entrevista, tomando como base la

2.2.3 Iniciacin del cargo

Se realiza una breve presentacin de la empresa informndole entre otros,

Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su

2.2.4 Durante el empleo

El empleado realiza las funciones de forma correcta y honesta. A cada

2.2.5 Cambio o reubicacin del empleado

En caso de cambio de cargo o reubicacin del empleado no existe

2.2.6 Separacin del empleado

El Gerente de la empresa comunica al empleado de la finalizacin de la

3.1 Definicin de la Norma ISO 27002

3.1.1 Seguridad Informtica:

Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de

3.1.2 Gestin de Seguridad de la informacin

La seguridad de la informacin es la proteccin de los activos de la informacin

La seguridad de estos activos de la informacin se logra implementando un

La gestin de seguridad de la informacin apunta a mantener la estabilidad en

Confiabilidad: Acceso solo de personal autorizados.

Integridad: Exactitud y completitud de la informacin y procesos.

Disponibilidad: Acceso a la informacin y procesos por parte del personal

3.1.3 International Organization for Standarization (ISO):

La ISO4 es una federacin internacional con sede en Ginebra (Suiza) de los

3.1.4 ISO 27000, aplicada a la seguridad de la informacin: