Está en la página 1de 95

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE
ANALISTA DE SISTEMAS

IMPLEMENTACIN DE
SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN APLICADA AL REA DE RECURSOS
HUMANOS DE LA EMPRESA DECEVALE S.A.

AUTORES:
CALDERN ONOFRE DIANA
ESTRELLA OCHOA MARTN
FLORES VILLAMARN MANUEL

DIRECTOR:
ING. VICTOR MUOZ CHACHAPOLLA

AO:
2011
AGRADECIMIENTO

Agradecemos a Dios por haber pensado en nosotros antes de nacer y habernos


dado sabidura e inteligencia en su infinito amor para con nosotros porque sin l
no hubiera sido posible llegar a la meta que nos hemos propuesto.

Tambin les damos gracias a nuestros padres y familia por haber sido nuestro
gua en todo este tiempo, por su amor incondicional e incomparable, sabiendo
entendernos y apoyarnos en nuestros momentos ms difciles.

A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de


cada da para ensearme todo lo que en el futuro me sirva para ser personas de
bien.
DEDICATORIA

Este trabajo se lo dedico a mis Padres, porque ellos siempre han estado a mi
lado en todo momento siempre aconsejndonos, ayudndonos y sobre todo
guindonos para seguir adelante.

Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas que


como el Ing. Vctor Muoz, ha sabido poner en m todos sus conocimientos para
que pueda culminar con xito este trabajo.

A nuestros Abuelos que desde muy pequeos nos han enseado a hacer lo
bueno y no lo malo, a ser fuerte porque as llegaremos a las metas propuestas.
DECLARACIN EXPRESA

La responsabilidad del contenido de este Trabajo Final de Graduacin, nos


corresponde exclusivamente, como miembros elaboradores de la misma; y el
patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral.
FIRMA DEL DIRECTO DEL PROYECTO
Y MIEMBROS DEL TRIBUNAL

___________________________________

MAE. VICTOR MUZ CHACHAPOLLA

DIRECTOR

__________________________________

MAE. ENRIQUE SALAZAR MEZA

DELEGADO
FIRMA DE LOS AUTORES
DEL PROYECTO DE GRADUACIN

___________________________________

DIANA XIOMARA CALDERN ONOFRE

__________________________________

CARLOS MARTN ESTRELLA OCHOA

____________________________________

MANUEL ALEJANDRO FLORES VILLAMARN


RESUMEN GENERAL

El presente Trabajo de Graduacin se enfoca en la reorganizacin del


departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la empresa e indispensable para el desarrollo de sus actividades.

La implementacin de un sistema de gestin de seguridad de informacin en una


empresa busca un avance significativo en la confianza de sus clientes para con
ellos. Al conocer de la obtencin de una certificacin o la ejecucin de la misma,
la empresa crea una imagen de prestigio y de inters en resaltar entre las dems.

Se decidi la aplicacin de la gestin de seguridad de informacin en el


departamento de personal debido a la importancia que tiene la informacin en la
empresa escogida. DECEVALE S.A. es una empresa que maneja datos
correspondientes a las Bolsas de Valores que funcionan en el Ecuador. Se
considero relevante aplicar procedimientos a la etapa de Aplicacin de
Funciones (Durante el empleo) debido a que existan situaciones tratadas sin
lineamientos que solucionen los posibles problemas que atentaban la integridad
de la informacin.

A continuacin, se determinan las generalidades de la empresa, los conceptos


principales de sistema de gestin de seguridad de informacin (ISO 27002), la
planeacin total aplicada a la empresa y el desarrollo de los lineamientos a cada
procedimiento segn la norma.

El esfuerzo empleado en realizar este trabajo de graduacin garantiza la calidad


del contenido. Exponemos, por ltimo, que el elaborar dicho instrumento y
adentrarlos en la aplicacin de la norma, nos ha dejado grandes experiencias
sobre distintos temas competentes y realidades desconocidas sobre el ambiente
laboral y el tratamiento con recurso humano para transmitir ideas y tecnologas.
ndice General

CAPTULO 1: Marco Referencial ..............................................................................13


1. Marco Referencial ...................................................................................................14
CAPTULO 2: Generalidades de la Empresa ...........................................................16
2. Generalidades de la Empresa: ................................................................................17
2.1 Antecedentes de la empresa: ................................................................................17
2.2 Descripcin del funcionamiento del rea Recursos Humanos ...............................18
2.2.1 Seleccin de personal ................................................................................................... 18
2.2.2 Contratacin de personal .............................................................................................. 18
2.2.4 Durante el empleo .......................................................................................................... 19
2.2.5 Cambio o reubicacin del empleado ........................................................................... 19
2.2.6 Separacin del empleado ............................................................................................. 19
CAPTULO 3: Etapa 1: Planeacin ...........................................................................20
3. Etapa 1: Planeacin ................................................................................................21
3.1 Definicin de la Norma ISO 27002 ........................................................................21
3.1.1 Seguridad Informtica: .................................................................................................. 21
3.1.2 Gestin de Seguridad de la informacin..................................................................... 21
3.1.3 International Organization for Standarization (ISO): ................................................. 22
3.1.4 ISO 27000, aplicada a la seguridad de la informacin: ............................................ 22
3.1.5 ISO 27001........................................................................................................................ 23
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar) ..................................................................... 24
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI) .................................. 27
3.1.8 ISO 27002........................................................................................................................ 28
3.2 Polticasde la Empresa DECEVALE S.A., aplicadas a Recursos Humanos...........28
3.2.1Reclutamiento, seleccin e ingreso de personal ........................................................ 28
3.2.2 Capacitacin de personal.............................................................................................. 29
3.2.3Calificacin de personal ................................................................................................. 29
3.2.4Transporte y Alimentacin ............................................................................................. 29
CAPTULO 4: Anlisis de Riesgo .............................................................................30
4. Anlisis de Riesgo ...................................................................................................31
4.1 Valoracin de Activos ............................................................................................31
4.1.1 Determinacin de Activos: ..................................................................................31
4.1.2 Ponderacin de la Dimensiones de los Activos: .................................................32
viii
4.1.3 Determinacin de las Amenazas por Activo: ......................................................33
4.1.4 Clculo de riesgo: ...............................................................................................35
4.2Plan de tratamiento de riesgo .................................................................................39
4.3Declaracin de Aplicacin ......................................................................................43
CAPTULO 5: Etapa 2: Hacer ....................................................................................47
5. Etapa 2: Hacer ........................................................................................................48
5.1 Alcance y Lmites de la Gestin de Seguridad ......................................................48
5.1.1 Control: Supervisin de las obligaciones .................................................................... 48
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin ....................... 48
5.1.3 Control: Procedimiento disciplinario ............................................................................ 48
5.2 Objetivos ...............................................................................................................49
5.2.1 Objetivo General:............................................................................................................ 49
5.2.2 Objetivos Especficos: ................................................................................................... 49
5.3Definicin de Polticas de Seguridad ......................................................................50
5.3.1 Polticas de Confiabilidad .............................................................................................. 50
5.3.2 Polticas de integridad ................................................................................................... 50
5.3.3 Polticas de disponibilidad ............................................................................................. 51
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo) ......................... 51
5.5 Procedimientos segn el sistema de gestin: ........................................................52
5.5.1 Procedimiento para verificar que las polticas y procedimientos de seguridad de
la informacin estn siendo aplicados .................................................................................. 52
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de seguridad
de la informacin y sus actualizaciones ............................................................................... 54
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de
seguridad de la empresa......................................................................................................... 57
Conclusiones y Recomendaciones........................................................................632
Anexos ........ 64
ANEXO 1: Definiciones y Trminos .............................................................................66
ANEXO 2: Descripcin de cada puesto de trabajo ......................................................68
ANEXO 3: Perfil o Requisitos de los diferentes cargos ................................................71
ANEXO 4: Organigrama de la empresa.......................................................................79
ANEXO 5: Escala de Valoracin de los Activos...........................................................80
Anexo5.1Escala de Valoracin de Dimensiones: ............................................................... 80
Anexo5.2Escala de Valoracin de Frecuencia: ................................................................... 80
Anexo5.3Escala de Valoracin de Impacto: ........................................................................ 80
ix
ANEXO 6: Formulario de Aplicabilidad de las Polticas de Seguridad .........................81
ANEXO 7: Registro de Inconformidades .....................................................................83
ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades ................................84
ANEXO 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad .....................86
ANEXO 10: Formulario de Control de Asistencia de Verificacin de Aplicabilidad .......87
ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin .................................88
ANEXO 12: Carta de convocatoria a empleados. ........................................................89
ANEXO 13: Formulario de Control de Asistencia a Capacitacin ................................91
ANEXO 14: Formulario de Infraccin de Polticas de Seguridad. ................................92
ANEXO 15: Seguimiento de la Aplicacin de los Procedimientos Disciplinarios ..........93
BIBLIOGRAFA ..........................................................................................................94

x
ndice de Ilustraciones

CAPITULO 3: Etapa 1: Planeacin

Ilustracin 3. 1 Fase Planificacin ......................................................................................... 24


Ilustracin 3. 2 Fase Hacer ..................................................................................................... 25
Ilustracin 3. 3 Fase Chequear .............................................................................................. 26
Ilustracin 3. 4 Fase Actuar .................................................................................................... 27

xi
ndices de Tablas

CAPITULO 4: Anlisis de Riesgo


Tabla 4. 1 Determinacin de Activos..................................................................................... 31
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio ....................................... 32
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos .......................................... 32
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones .............................. 32
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos ................ 32
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones ..... 33
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal ..................................... 33
Tabla 4. 8 Determinacin de Amenazas Activo Servicio ................................................... 34
Tabla 4. 9 Determinacin de Amenazas Activo Datos ....................................................... 34
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones ......................................... 34
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos .......................... 35
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones ................ 35
Tabla 4. 13 Determinacin de Amenazas Activo Personal................................................ 35
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos ............................................ 38
Tabla 4. 15 Plan de Tratamiento de Riesgo......................................................................... 43
Tabla 4. 16 Declaracin de Aplicabilidad ............................................................................. 46
CAPITULO 5: Etapa 2: Hacer
Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad .................................59
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad ......60
ANEXOS
Tabla Anexo. 1Descripcin de cada puesto de trabajo ...................................................... 70
Tabla Anexo. 2Perfil de Cargo Gerente ................................................................................ 71
Tabla Anexo. 3Perfil de Cargo Asesor Legal ....................................................................... 71
Tabla Anexo. 4 Perfil de Cargo Jefe Nacional Administrativo ........................................... 72
Tabla Anexo. 5 Perfil de Cargo Asistente Administrativo .................................................. 72
Tabla Anexo. 6 Perfil de Cargo Ayudante de Administracin ........................................... 73
Tabla Anexo. 7 Perfil de Cargo Mensajero .......................................................................... 73
Tabla Anexo. 8 Perfil de Cargo Representante de la Direccin ....................................... 74
Tabla Anexo. 9 Perfil de Cargo Contador............................................................................. 74
Tabla Anexo. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones ................................................................................. 75
Tabla Anexo. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones. 75
Tabla Anexo. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho ... 76
Tabla Anexo. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho ........... 76
Tabla Anexo. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin ........ 77
Tabla Anexo. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin ................. 77
Tabla Anexo. 16 Perfil de Cargo Jefe de Sistemas ............................................................ 78
Tabla Anexo. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador ........................ 78
Tabla Anexo. 18 Escala de Valoracin de Dimensiones ................................................... 80
Tabla Anexo. 19 Escala de Valoracin de Frecuencia....................................................... 80
Tabla Anexo. 20 Escala de Valoracin de Impacto ............................................................ 80
xii
CAPTULO 1
MARCO REFERENCIAL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

1. Marco Referencial

Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestin
de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.

Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de los
sistemas que la procesan.

Para que exista una adecuada gestin de la seguridad de la informacin dentro


de las organizaciones, es necesario implantar un sistema que aborde esta tarea
de una forma metdica y lgica, documentada y basada en unos objetivos claros
de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este estndar
diseo e implementacin debe ser tomada en cuenta como una decisin
estratgica para la organizacin; se pretende que el SGSI se extienda con el
tiempo en relacin a las necesidades de la organizacin. La aplicacin de
cualquier estndar ISO 27000 necesita de un vocabulario claramente definido,
que evite distintas interpretaciones de conceptos tcnicos y de gestin, que
proporcionan un marco de gestin de la seguridad de la informacin utilizable
por cualquier tipo de organizacin, pblica o privada, grande o pequea.

El objetivo de desarrollar un sistema de gestin de seguridad de la informacin


para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
EDCOM 14 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

violacin de la privacidad de los empleados, los empleados deshonestos,


intercepcin de transmisin de datos o comunicaciones y/o fallas tcnicas de
manera voluntaria o involuntariamente.

La importancia de realizar el anlisis referente a la gestin de Recursos


Humanos, radica en conocer el manejo de la informacin correspondiente a esta
rea y su flujo dentro de la empresa. De esta manera, se establece que personas
conocen o manejan que informacin y se establecen los procedimientos a seguir
para resguardar dicha informacin. Al implementar estos procedimientos se
deben realizar controles u observaciones de su funcionamiento dentro del rea
dispuesta, los cuales permitirn desarrollar cambios en los mismos.

La empresa DECEVALE requiere implementar un sistema de gestin de


seguridad de la informacin con respecto a los recursos humanos debido a que
regiran lineamientos que permitirn reclutar personal calificado de acuerdo al rol
a desempear. La empresa maneja informacin de vital importancia para sus
clientes, la cual se considera delicada y no se puede arriesgar a incorporar
personal que pueda hacer mal uso, voluntaria o involuntariamente, de sta.

DECEVALE considera que una seleccin adecuada de su personal evitara


problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La empresa desea ser pionera en la implementacin de dicho
sistema, ya que dentro de su mercado es muy escaso el conocimiento del tema.

EDCOM 15 ESPOL
CAPTULO 2
GENERALIDADES DE LA EMPRESA
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

2. Generalidades de la Empresa:

2.1 Antecedentes de la empresa:

La Compaa Depsito Centralizado de Compensacin y Liquidacin de Valores


S.A., se constituy con la denominacin Depsito Centralizado de Valores
DECEVALE S.A., mediante Escritura Pblica autorizada por el Notario Dcimo
Sptimo de Guayaquil, Abogado Nelson Gustavo Caarte Arboleda, el cuatro de
Enero de mil novecientos noventa y cuatro, inscrita en el Registro Mercantil del
Cantn Guayaquil el treinta y uno de marzo del mismo ao, con un capital
suscrito y pagado de diez millones de sucres (S/.10.000.000,00) y un capital
autorizado de veinte millones de sucres (S/.20.000.000.00).

La Junta General de Accionistas de la Compaa, en sesin del veintiuno de


agosto del dos mil uno, decidi convertir en dlares el capital de la compaa
resultando que el capital actual es de USD$240,000.00 (doscientos cuarenta mil
dlares de los Estados Unidos de Amrica), y atribuir a cada accin el valor de
un dlar de los Estados Unidos de Amrica. Se realizaron varios aumentos al
capital llegando, finalmente a un capital autorizado, suscrito y pagado de la
compaa es de Ochocientos ochenta mil dlares de los Estados Unidos de
Amrica (US$ 880,000.00) dividido en 880,000 acciones ordinarias y
nominativas de Un dlar de los Estados Unidos de Amrica (US$ 1.00).

DECEVALE es una Sociedad Annima autorizada y controlada por la


Superintendencia de Compaas a travs de la Intendencia de Mercado de
Valores que se encuentra a nivel nacional en operacin y autorizado por la Ley
del Mercado de Valores del Ecuador. En la actualidad liquida las operaciones
negociadas en las dos Bolsas de Valores existentes en el Ecuador. Su casa
matriz est ubicada en la ciudad de Guayaquil en las calles Pichincha 334 y
Elizalde. Su sucursal mayor est ubicada en la capital del Ecuador, la ciudad de
Quito en la Av. Amazonas y Av. Naciones Unidas

DECEVALE, opera y brinda sus servicios al amparo de:

La Ley de Mercado de Valores,


Su Reglamento General,
El Reglamento para el Funcionamiento de Depsitos Centralizados de
Valores expedido por el Consejo Nacional de Valores CNV,
En su reglamentacin interna y Manuales Operativos.

EDCOM 17 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin


accionara:
Las Bolsas de Valores
Las Casas de Valores
Las Instituciones Financieras
Las Instituciones Pblicas

Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE


S.A. tiene una certificacin ISO9001:2008 en los siguientes procesos:
Custodia
Compensacin
Liquidacin y registro de las transferencia de valores inscritos en el registro
de mercado de valores y que se negocian en el mercado burstil y
extraburstil.

2.2 Descripcin del funcionamiento del rea Recursos


Humanos

2.2.1 Seleccin de personal

Se recibe una carpeta o CV y se analiza los datos del postulante y si lo considera


apto para alguna de las posiciones de la empresa. Se archiva para posterior
contratacin, en caso de que se requiera.

Antes de iniciar el reclutamiento de personal, se analiza si dentro de la empresa


no hay algn colaborador que pueda ser promovido o reasignado para ocupar la
vacante.

En caso de realizar el reclutamiento de personal, se preseleccionan algunos CV


y se realizan entrevistas.

2.2.2 Contratacin de personal

Califica al candidato que apruebe la entrevista, tomando como base la


informacin del perfil del cargo1. Una vez finiquitada la contratacin se coordina
la presentacin de los documentos para archivo en la Carpeta de Personal. Se
elabora el contrato de trabajo y se procede a la obtencin de la firma de ambas
partes.

1
Revisar Anexo 3: Perfil o Requisitos de los diferentes cargos.
EDCOM 18 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

2.2.3 Iniciacin del cargo

Se realiza una breve presentacin de la empresa informndole entre otros, sobre


los siguientes aspectos: ubicaciones, misin y visin de la empresa,
reglamentos, horarios de trabajo, beneficios, organigrama2, entre dems detalles
que ayudaran a un mejor desempeo de sus actividades.

Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su


Manual de Funciones, donde se especifica la descripcin de cada cargo 3,
supervisando su lectura y comprensin y despejando cualquier duda que tenga
al respecto.

2.2.4 Durante el empleo

El empleado realiza las funciones de forma correcta y honesta. A cada empleado


es asignado un equipo informtico con su respectiva informacin de acceso al
sistema, para el proceso de autenticacin.

2.2.5 Cambio o reubicacin del empleado

En caso de cambio de cargo o reubicacin del empleado no existe


documentacin que detalle o deje constancia de lo sucedido. Se notifica,
oralmente al empleado; el rea de recursos humanos realiza en el sistema el
cambio de cargo y por ende, de sueldo, y el empleado se acerca al departamento
de sistema para comunicar su cambio de rol ya que ste puede conllevar que se
le concedan o restringen permisos dentro del sistema.

2.2.6 Separacin del empleado

El Gerente de la empresa comunica al empleado de la finalizacin de la relacin


laboral. En este proceso se finiquita el contrato laboral y se inactiva la
informacin de acceso correspondiente a dicho empleado. Los trmites de
liquidacin son llevados como un procedimiento perteneciente a la empresa.

2
Revisar Anexo 4: Organigrama.
33
Revisar Anexo 2: Descripcin de cada puesto de trabajo.
EDCOM 19 ESPOL
CAPTULO 3
ETAPA 1: PLANEACIN
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

3. Etapa 1: Planeacin

3.1 Definicin de la Norma ISO 27002

3.1.1 Seguridad Informtica:

Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de la


empresa. Este tipo de seguridad es importante para la compaa, ya que se
encarga de precautelar por el perfecto estado y funcionamiento de los equipos
informticos donde fluye la informacin. La informacin reside en medios como
estos equipos, soportes de almacenamiento y redes de datos, y teniendo en
cuenta estos aspectos, se hace vital mantener la seguridad informtica a travs
de lineamientos de proteccin.

3.1.2 Gestin de Seguridad de la informacin

La seguridad de la informacin es la proteccin de los activos de la informacin


de un rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Estos activos se pueden detallar como: correos
electrnicos, pginas web, imgenes, base de datos, telecomunicaciones,
contratos, documentos, etc.

La seguridad de estos activos de la informacin se logra implementando un


adecuado conjunto de controles; incluyendo polticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware. Se necesitan
establecer, implementar, monitorear, revisar y mejorar estos controles cuando
sea necesario para asegurar que se cumplan los objetivos de seguridad y
comerciales especficos.

La gestin de seguridad de la informacin apunta a mantener la estabilidad en


los siguientes aspectos con respecto a estos activos:

Confiabilidad: Acceso solo de personal autorizados.

Integridad: Exactitud y completitud de la informacin y procesos.

Disponibilidad: Acceso a la informacin y procesos por parte del personal


autorizado, cuando lo requieran.

EDCOM 21 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

3.1.3 International Organization for Standarization (ISO):

La ISO4 es una federacin internacional con sede en Ginebra (Suiza) de los


institutos de normalizacin de 157 pases (uno por cada pas). Es una
organizacin no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalizacin nacionales
es diferente en cada pas (entidad pblica, privada).

Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestin
de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.

3.1.4 ISO 27000, aplicada a la seguridad de la informacin:

Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de los
sistemas que la procesan.

Para que exista una adecuada gestin de la seguridad de la informacin dentro


de las organizaciones, es necesario implantar un sistema que aborde esta tarea
de una forma metdica y lgica, documentada y basada en unos objetivos claros
de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC 5. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este estndar
diseo e implementacin debe ser tomada en cuenta como una decisin
estratgica para la organizacin; se pretende que el SGSI se extienda con el

4
Revisar Anexo 1: Definiciones y Trminos
5
Revisar Anexo 1: Definiciones y Trminos
EDCOM 22 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

tiempo en relacin a las necesidades de la organizacin. La aplicacin de


cualquier estndar ISO 27000 necesita de un vocabulario claramente definido,
que evite distintas interpretaciones de conceptos tcnicos y de gestin, que
proporcionan un marco de gestin de la seguridad de la informacin utilizable
por cualquier tipo de organizacin, pblica o privada, grande o pequea.

3.1.4.1 Serie ISO 27000

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas


con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en
ella la primera de la serie (ISO 27001), las dems son:

ISO27000 (trminos y definiciones),


ISO27002 (objetivos de control y controles),
ISO27003 (se centra en aspectos crticos en la implementacin SGSI),
ISO27004 (desarrollo y utilizacin de mtricas y tcnicas de medida de la
efectividad de un SGSI),
ISO27005 (directivas gua para la gestin del riesgo de seguridad de la
informacin)
ISO27006 (proceso de acreditacin de entidades de auditoras, certificacin
y el registro de SGSI).
ISO/IEC 27007 Gua de Auditoria de un SGSI

3.1.5 ISO 27001

Es un estndar ISO que proporciona un modelo para establecer, implementar,


operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA (Planear-
Hacer-Verificar-Actuar) de mejora continua, al igual que otras normas de
sistemas de gestin.

Este estndar es certificable, es decir, cualquier organizacin que tenga


implantado un SGSI segn este modelo, puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir la
certificacin en ISO 27001.

El origen de la Norma ISO27001 est en el estndar britnico BSI (British


StandardsInstitution) BS7799- Parte 2, estndar que fue publicado en 1998 y era
certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
El enfoque del proceso para la gestin de la seguridad de la informacin
presentado en este estndar internacional fomenta que sus usuarios enfaticen la
importancia de:
EDCOM 23 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Entender los requerimientos de seguridad de la informacin de una


organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la seguridad de
la informacin.
Monitorear y revisar el desempeo del SGSI
Realizar mejoramiento continuo en base a la medicin del objetivo

3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)

El modelo de proceso PDCA, se detalla a continuacin a travs de cada una de


sus fases:

3.1.6.1 PLANIFICACIN

Ilustracin 3. 1 Fase Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio,


organizacin, localizacin, activos y tecnologa, los lmites del SGSI. El SGSI
no tiene por qu abarcar toda la organizacin; de hecho, es recomendable
empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos de
seguridad de la informacin de la organizacin, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad.
Definir el enfoque de evaluacin de riesgos: definir una metodologa de
evaluacin de riesgos apropiada para el SGSI y las necesidades de la

EDCOM 24 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

organizacin, desarrollar criterios de aceptacin de riesgos y determinar el


nivel de riesgo aceptable.
Inventario de activos: todos aquellos activos de informacin que tienen algn
valor para la organizacin y que quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos
del inventario.
Identificar los impactos: los que podra suponer una prdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de
seguridad y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable o requiere tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede
reducido, eliminado, aceptado o transferido.
Seleccin de controles: seleccionar controles para el tratamiento el riesgo en
funcin de la evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de
implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar
decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: Es, en definitiva, un resumen
de las decisiones tomadas en cuanto al tratamiento del riesgo.

3.1.6.2 IMPLEMENTACIN (HACER)

Ilustracin 3. 2 Fase Hacer

Definir plan de tratamiento de riesgos: que identifique las acciones,


recursos, responsabilidades y prioridades en la gestin de los riesgos de
seguridad de la informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los
objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase
anterior.

EDCOM 25 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Formacin y concienciacin: de todo el personal en lo relativo a la


seguridad de la informacin.
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le
asignen.
Implantar procedimientos y controles de deteccin y respuesta a
incidentes de seguridad.

3.1.6.3 SEGUIMIENTO (CHEQUEAR)

Ilustracin 3. 3 Fase Chequear

Ejecutar procedimientos y controles de monitorizacin y revisin: para


detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, y comprobar si las acciones tomadas para
resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados
de auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios
en la organizacin, tecnologa, procesos y objetivos de negocio,
amenazas, eficacia de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los
controles, procesos y procedimientos del SGSI mantienen la conformidad
con los requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o
el rendimiento del SGSI.

EDCOM 26 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

3.1.6.4 MEJORA CONTINA (ACTUAR)

Ilustracin 3. 4 Fase Actuar

Implantar mejoras: poner en marcha todas las mejoras que se hayan


propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la
eficacia de cualquier accin, medida o cambio debe comprobarse
siempre.

3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)

El Sistema de Gestin de Seguridad de la Informacin es el concepto central


sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, como el sistema de calidad para la seguridad de la
informacin.

Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el


caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos
de la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologas.

EDCOM 27 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

3.1.8 ISO 27002

ISO/IEC 27002 es un estndar para la seguridad de la informacin publicado por


primera vez como ISO/IEC 17799:2000 por la ISO e IEC en el ao 2000. Tras un
periodo de revisin y actualizacin de los contenidos del estndar, se public en
el ao 2005 el documento actualizado denominado ISO/IEC 17799:2005.

ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la


gestin de la seguridad de la informacin a todos los interesados y responsables
en iniciar, implantar o mantener sistemas de gestin de la seguridad de la
informacin. La seguridad de la informacin se define en el estndar como "la
preservacin de la confidencialidad (asegurando que slo quienes estn
autorizados pueden acceder a la informacin), integridad (asegurando que la
informacin y sus mtodos de proceso son exactos y completos) y disponibilidad
(asegurando que los usuarios autorizados tienen acceso a la informacin y a sus
activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones6
principales:

1. Poltica de Seguridad de la Informacin.


2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.

Dentro de cada seccin, se especifican los objetivos de los distintos controles


para la seguridad de la informacin. Para cada uno de los controles se indica,
asimismo, una gua para su implantacin.

3.2 Polticas de la Empresa DECEVALE S.A., aplicadas a


Recursos Humanos

3.2.1 Reclutamiento, seleccin e ingreso de personal

6
Revisar Anexo 1: Definiciones y Trminos
EDCOM 28 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

POLTICA

Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por el
Gerente, previo al inicio de cualquier proceso de reclutamiento.

3.2.2 Capacitacin de personal

POLTICA

Se promueve la capacitacin del personal, con nfasis el entrenamiento


interno y continuo que cada Jefe de rea debe dar.

3.2.3 Calificacin de personal

POLTICA

Definir la forma de calificar el personal que labora en la empresa.

3.2.4 Transporte y Alimentacin

POLTICA

Normar el pago que por concepto de movilizacin y alimentacin que se debe


efectuar a los colaboradores que por motivo de trabajo deban permanecer en
la institucin. No aplica a Gerentes.

EDCOM 29 ESPOL
CAPTULO 4
ANLISIS DE RIESGO
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

4. Anlisis de Riesgo

4.1 Valoracin de Activos

La valoracin de activos comprende el proceso de determinacin de activos,


establecimiento de las amenazas sobre los activos y clculo del impacto a partir
de varias escalas de valoracin.

4.1.1 Determinacin de Activos:

Los activos que intervienen en el rea de Recursos Humanos de la empresa


DECEVALE S.A. son los siguientes:

Tipo de Activo Activo


Servicios Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos Datos de Gestin Interna
Datos de Carcter Personal
Aplicaciones Software Utilitario
Sistemas Operativos
Navegador Web
Sistema de Backup Open KM
Antivirus
Equipos Informticos Informtica Personal
Perifricos
Soporte de Red
Redes de Comunicaciones Central Telefnica
Equipos de Acceso a Internet
Personal rea Gestin de Calidad
rea Direccin
rea Compensacin y Liquidacin
rea Custodia y Ejercicio de Derecho
rea Gestin de Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa y Recursos
Humanos
rea Contabilidad
rea Legal
Tabla 4. 1 Determinacin de Activos

EDCOM 31 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

4.1.2 Ponderacin de la Dimensiones de los Activos:

Los activos enlistados sern ponderados en base a la escala correspondiente7. Las


dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuacin, se detalla los activos y se estipula la ponderacin de las dimensiones
segn el levantamiento de informacin:

Activo: Servicio Disponibilidad Confiabilidad Integridad Total


Servicio de Internet 5 4 4 13
Correo Electrnico 5 4 5 14
Interno
Gestin de 5 5 5 15
Identidades
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio

Activo: Datos Disponibilidad Confiabilidad Integridad Total


Datos de Gestin 5 5 4 14
Interna
Datos de Carcter 5 3 3 11
Personal
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos

Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total


Software Utilitario 5 4 4 13
Sistema Operativo 5 4 3 12
Navegador Web 3 3 3 9
Sistema Backup 4 5 5 14
OPEN KM
Antivirus 4 4 4 12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones

Activo: Equipos Disponibilidad Confiabilidad Integridad Total


Informticos
Informtica Personal 5 4 4 13

Perifricos 5 4 3 12

Soporte de Red 5 4 4 13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos

7
Revisar Anexo 5: Escala de Valoracin de los Activos
EDCOM 32 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Activo: Redes de Disponibilidad Confiabilidad Integridad Total


Comunicaciones
Central Telefnica 5 5 4 14
Equipo de Acceso a 5 5 5 15
Internet
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones

Activo: Personal Disponibilidad Confiabilidad Integridad Total


rea Gestin de 5 5 5 15
Calidad
rea Direccin 5 5 5 15
rea Compensacin 5 5 5 15
y Liquidacin
rea Custodia y 5 5 5 15
Ejercicio de Derecho
rea Gestin de 5 5 5 15
Cobro y Libro de
Acciones
rea Sistemas 4 5 4 15
rea Administrativa 5 5 5 15
y Recursos
Humanos
rea Contabilidad 5 5 5 15

rea Legal 4 5 4 15
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal

4.1.3 Determinacin de las Amenazas por Activo:


Activo: Servicio Amenazas
Servicio de Internet Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Correo Electrnico Usurpacin de identidad
Interno Falta de servicio
Acceso no autorizado
Reencaminamiento de mensajes
Uso no previsto
Gestin de Uso no previsto
Identidades Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Usurpacin de identidad
EDCOM 33 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Robo o perdida de la credencial de acceso


Tabla 4. 8 Determinacin de Amenazas Activo Servicio

Activo: Datos Amenazas


Datos de Gestin Alteracin de la informacin
Interna Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Datos de Carcter Errores de los usuarios
Personal Acceso no autorizado
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin

Tabla 4. 9 Determinacin de Amenazas Activo Datos

Activo: Aplicaciones Amenazas


Software Utilitario Ataque de virus
Manipulacin de programas
Errores de usuario
Sistema Operativo Suplantacin de la identidad de usuario
Errores de administracin
Propagacin de software malicioso
Acceso no autorizado
Navegador Web Abuso de privilegio de acceso
Manipulacin de configuracin de red
Manipulacin de programas
Sistema Backup Suplantacin de la identidad de usuario
OPEN KM Manipulacin de programas
Cada del servidor web Open KM
Errores de usuario
Antivirus Desactualizacin de antivirus
Errores de administracin
Manipulacin de programas

Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones

Activo: Equipos Amenazas


Informticos
Informtica Personal Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Falta de energa elctrica
Manipulacin de las propiedades del equipo
EDCOM 34 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Ingreso no autorizado del equipo


Perifricos Acceso no autorizado
Accidentes imprevistos
Cambio de ubicacin no autorizado
Soporte de Red Manipulacin de la configuracin de red
Errores de administracin
Falta de energa elctrica
Ausencia de puntos de red
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos

Activo: Redes de Amenazas


Comunicaciones
Central Telefnica Manipulacin de la asignacin de las Ips
Falta de energa elctrica
Accidentes imprevistos
Cada del servidor de la central telefnica
Equipo de Acceso a Manipulacin de la configuracin
Internet Accidentes imprevistos
Cada del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administracin
Falta de energa elctrica
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones

Activo: Personal Amenazas


rea Gestin de Desconocimiento de sus funciones
Calidad
rea Direccin Mala organizacin
rea Compensacin y Indisponibilidad del personal
Liquidacin
rea Custodia y Divulgacin de la informacin
Ejercicio de Derecho
rea Gestin de Cobro Extorsin
y Libro de Acciones Manipulacin de la informacin
rea Sistemas
rea Administrativa y Destruccin de la informacin
Recursos Humanos
rea Contabilidad
rea Legal
Tabla 4. 13 Determinacin de Amenazas Activo Personal

4.1.4 Clculo de riesgo:


A partir del levantamiento de informacin, donde se arrojo el nivel de frecuencia
e impacto8 al activo mediante la amenaza se han calculado los riesgos por cada
una:

8
Revisar Anexo 5: Escala de Valoracin de Activos
EDCOM 35 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Activo Amenazas Frecuencia Impacto Total


Servicio de Uso inapropiado 3 3 9
Internet Acceso no autorizado 2 4 8
Falta de servicio 1 5 5
Interferencia 2 4 8

Correo Usurpacin de 2 4 8
Electrnico identidad
Interno Falta de servicio 1 4 4
Acceso no 4 3 12
autorizado
Reencaminamiento 4 3 12
de mensajes
Uso no previsto 3 3 9
Gestin de Uso no previsto 2 4 8
Identidades Manipulacin de la 3 5 15
credencial de acceso
Falta de energa 4 2 8
elctrica
Manipulacin de la 2 2 4
configuracin del
aplicativo
Usurpacin de 3 4 12
identidad
Robo o perdida de la 4 5 20
credencial de acceso
Datos de Alteracin de la 2 5 10
Gestin Interna informacin
Destruccin de la 3 5 15
informacin
Manipulacin de la 2 5 10
configuracin
Divulgacin de 4 4 16
informacin
Datos de Errores de los 4 4 16
Carcter usuarios
Personal Acceso no 3 3 9
autorizado
Destruccin de 2 5 10
informacin
Degradacin de la 2 5 10
informacin
Divulgacin de 2 3 6
informacin
Software Ataque de virus 2 2 4
Utilitarios Manipulacin de 3 2 6
programas
EDCOM 36 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Errores de usuario 4 4 16
Sistemas Suplantacin de 3 3 9
Operativos identidad de usuario
Errores de 3 4 12
administracin
Propagacin de 2 3 6
software malicioso
Acceso no 3 4 12
autorizado
Navegador Web Abuso de privilegios 4 3 12
de acceso
Manipulacin de 2 3 6
configuracin de red
Manipulacin de 2 2 4
programas
Sistema de Manipulacin de 2 2 4
BackUp programas
Open KM Suplantacin de 2 2 4
identidad de usuario
Cada del servidor 2 2 4
web Open KM
Errores de usuario 3 2 6

Antivirus Desactualizacin de 1 2 2
antivirus
Errores de 2 2 4
administracin
Manipulacin de 2 2 4
programas
Informtica Acceso no 3 2 6
Personal autorizado
Modificacin de la 3 2 6
asignacin del
equipo
Accidentes 3 2 6
imprevistos
Falta de energa 3 2 6
elctrica
Manipulacin de las 3 2 6
propiedades del
equipo
Ingreso no 2 3 6
autorizado de equipo

Perifricos Acceso no 5 3 15
autorizado

EDCOM 37 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Impresoras Accidentes 4 3 12
Scanners imprevistos
Cambio de ubicacin 3 3 9
no autorizado
Soporte de Red Manipulacin de 2 4 8
configuracin de red
Errores de 2 4 8
administracin
Falta de energa 4 5 20
elctrica
Ausencia de puntos 4 4 16
de red

Central Manipulacin de 2 4 8
Telefnica asignacin de Ips
Falta de energa 3 5 15
elctrica
Accidentes 3 3 9
imprevistos
Cada del servidor de 4 4 16
la central telefnica
Equipo de Manipulacin de 2 4 8
Acceso a configuracin
Internet Accidentes 2 4 8
imprevistos
Cada del servidor 2 4 8
proveedor
Problemas con las 2 4 8
conexiones del
proveedor
Errores de 2 4 8
administracin
Falta de energa 3 5 15
elctrica
Personal: Desconocimientos 4 4 16
Diferentes reas de sus funciones
Mala organizacin 3 3 9
Indisponibilidad del 2 2 4
personal
Divulgacin de 3 3 9
informacin
Extorsin 3 2 6
Manipular 4 4 16
informacin
Destruir informacin 4 4 16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos

EDCOM 38 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

4.2 Plan de tratamiento de riesgo


ACTIVOS AMENAZAS VULNERABILIDADES PTR
Servicio Uso inapropiado No respetar los lmites de Aceptar
de acceso
Internet Falta de capacitacin Reducir
sobre los lmites de
acceso
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Falta de servicio Problemas del Transferir
proveedor de internet
Interferencia Falta de proteccin de Aceptar
la red
Correo Usurpacin de identidad Falta de control en el Reducir
Electrnico acceso
Interno Divulgacin de la Reducir
informacin de acceso
Falta de servicio Falta del servicio de Transferir
Internet
Interferencia con el Reducir
servidor interno de
correo
Acceso no autorizado No respetar los lmites Aceptar
de acceso
Usurpacin de identidad Reducir

Reencaminamiento de Falta de seguridad en la Aceptar


mensajes transferencia de
mensajes
Uso no previsto Falta de polticas Reducir
Gestin de Uso no previsto Falta de polticas Reducir
Identidades
Manipulacin de la Falta de implementacin Reducir
credencial de acceso de mayor seguridades
en la credencial
Falta de energa elctrica Falta de generador Aceptar
elctrico
Manipulacin de la Falta de polticas Reducir
configuracin del
aplicativo
Usurpacin de identidad Falta de control en el Reducir
acceso
Robo o perdida de la Falta de mtodo de Reducir
credencial de acceso apoyo para el caso
Datos de Alteracin de la Insuficiente Reducir
Gestin informacin entrenamiento de
Interna empleados

EDCOM 39 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Destruccin de la Falta de un debido Reducir


informacin control de acceso a
usuarios y de una
proteccin fsica
Cambio de ubicacin de Falta de proteccin Reducir
la informacin fsica adecuada
Manipulacin de la Falta de un debido Reducir
configuracin control de acceso a
usuarios
Divulgacin de la Almacenamiento no Reducir
informacin protegido
Errores de los usuarios Falta de conocimiento y Reducir
oportuno entrenamiento
Datos de Acceso no autorizado Falta de polticas y Reducir
Carcter proteccin fsica
Personal Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Degradacin de la Falta de mantenimiento Reducir
informacin adecuado
Divulgacin de la Almacenamiento no Aceptar
informacin protegido

Ataque de virus Falta de proteccin Aceptar


contra aplicaciones
dainas
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Software Errores de usuario Falta de conocimiento y Reducir
Utilitario oportuno entrenamiento
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Sistema Propagacin de software Falta de proteccin y Aceptar
Operativo malicioso controles en las
configuraciones de la
red
Acceso no autorizado Falta de polticas y Reducir
proteccin fsica
Abuso de privilegio de Falta de conocimiento y Reducir
acceso oportuno entrenamiento

EDCOM 40 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Manipulacin de Falta de control de Aceptar


configuracin de red acceso
Navegador Manipulacin de Insuficiente Aceptar
Web programas entrenamiento de
empleados
Suplantacin de la Falta de control de Aceptar
identidad de usuario acceso

Cada del servidor web Instalacin de SW no Aceptar


Open KM Autorizado

Sistema Errores de usuario Falta de conocimiento y Aceptar


Backup oportuno entrenamiento
OPEN KM
Desactualizacin de Falla del servicio de red Aceptar
antivirus
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Manipulacin de Insuficiente Aceptar
programas entrenamiento de
empleados
Antivirus Acceso no autorizado Falta de polticas Reducir

Modificacin de la Falta de control de Aceptar


asignacin del equipo Acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Informtica Falta de energa elctrica Falta de acuerdos bien Aceptar
Personal definidos con terceras
partes
Manipulacin de las Falta de control de Aceptar
propiedades del equipo acceso
Ingreso no autorizado del Falta de control de Aceptar
equipo acceso
Acceso no autorizado Falta de control de Reducir
acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Cambio de ubicacin no Falta de proteccin Aceptar
autorizado fsica adecuada
Perifricos Manipulacin de la Falta de control de Aceptar
configuracin de red seguridad

EDCOM 41 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Errores de administracin Falta de conocimiento Reducir


de funciones del
administrador
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
Soporte Ausencia de puntos de Capacidad insuficiente Reducir
de Red red de los recursos
Manipulacin de la Falta de control de Aceptar
asignacin de las Ips acceso
Falta de energa elctrica Falta de acuerdos bien Reducir
definidos con terceras
partes
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente afectados
Central Cada del servidor de la Falta de acuerdos bien Reducir
Telefnica central telefnica definidos con terceras
partes
Manipulacin de la Falta de control de Aceptar
configuracin acceso
Accidentes imprevistos Condiciones locales Reducir
donde los recursos son
fcilmente
afectados
Cada del servidor Falta de acuerdos bien Transferir
proveedor definidos con terceras
partes
Equipo de Problemas con las Falta de acuerdos bien Transferir
Acceso a conexiones del proveedor definidos con terceras
Internet partes
Errores de administracin Falta de conocimiento Reducir
de funciones del
administrador
Falta de energa elctrica Falta de capacitacin Reducir
del administrador
Desconocimiento de sus Falta de conocimiento y Reducir
funciones oportuno entrenamiento
Mala organizacin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Indisponibilidad del Falta de conocimiento y Aceptar
personal oportuno entrenamiento

EDCOM 42 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

Recursos Divulgacin de la Almacenamiento no Reducir


Humanos informacin protegido
Extorsin Desconocimiento de Reducir
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Manipulacin de la Insuficiente Reducir
informacin entrenamiento de
empleados
Destruccin de la Falta de un debido Reducir
informacin control de acceso a
usuarios y de una
proteccin fsica
Falla en la eleccin del Falta de Reducir
personal especificaciones con
respecto a la seleccin
de personal
Tabla 4. 15 Plan de Tratamiento de Riesgo

4.3 Declaracin de Aplicacin

A continuacin, se detallara la Declaracin de Aplicacin (SOA) para determinar


las responsabilidades del control a realizar a travs del sistema de gestin de
seguridad de la informacin:

EDCOM 43 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin

de la Informacin a Empresa DECEVALE

EDCOM 44 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Observaciones Controles seleccionados y las Observaciones


ISO 27001: 2005 Controles Controles (Justificacin razones para la seleccin (Descripcin general de la
Utilizados de exclusin) LR CO BR/BP RRA aplicacin)
Clausula Sec. Objetivo de
control/Controles
8.1 Antes del Empleo
Seguridad
8.1.1 Roles y Controles
de los
Responsabilidades desarrollados
Recursos
Humanos por otra ISO
8.1.2 Deteccin Controles
desarrollados
por otra ISO
8.1.3 Trminos y Controles
condiciones del desarrollados
empleado por otra ISO
8.2 Durante el Empleo
8.2.1 Responsabilidad X X X Se debe detallar los
de la Direccin procedimientos para
controlar que las polticas de
seguridad de la empresa se
estn aplicando en las
labores diarias.
8.2.2 Formacin y X X X Definir las actividades a
capacitacin en realizar para aplicar el
seguridad de la control y transmitir las
informacin polticas de seguridad o
actualizaciones de las
mismas.
EDCOM 45 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

8.2.3 Comunicacin de X X X Se debe estructurar un


eventos y procedimiento a seguir en
debilidades de la caso de que alguna poltica
seguridad de la sea infringida por los
informacin usuarios.
8.3 Terminacin y
Cambio de Empleo
8.3.1 Terminacin de las Desarrollado
responsabilidades por otro grupo
8.3.2 Restitucin de Desarrollado
activos por otro grupo
8.3.3 Remover los Desarrollado
permisos de por otro grupo
acceso

Tabla 4. 16 Declaracin de Aplicabilidad

EDCOM 46 ESPOL
CAPTULO 5
ETAPA 2: HACER
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

5. Etapa 2: Hacer

5.1 Alcance y Lmites de la Gestin de Seguridad

El Sistema de Gestin de Seguridad de la Informacin aplicado al rea de


Recursos Humanos de la empresa DECEVALE S.A., se desea implementar en
la siguiente rea:

rea Seguridad en el desempeo de las funciones del empleo (Durante el


empleo):

Objetivos:

Asegurar que los empleados, contratistas y terceras partes son


conscientes de las amenazas de seguridad, de sus responsabilidades y
obligaciones y que estn equipados para cumplir con la poltica de
seguridad de la organizacin en el desempeo de sus labores diarias,
para reducir el riesgo asociado a los errores humanos.

5.1.1 Control: Supervisin de las obligaciones

Descripcin: La Direccin debera requerir a empleados, contratistas y usuarios


de terceras partes aplicar la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin.

5.1.2 Control: Formacin y capacitacin en seguridad de la informacin

Descripcin: Todos los empleados de la organizacin y donde sea relevante,


contratistas y usuarios de terceros deberan recibir entrenamiento apropiado del
conocimiento y actualizaciones regulares en polticas y procedimientos
organizacionales como sean relevantes para la funcin de su trabajo.

5.1.3 Control: Procedimiento disciplinario

Descripcin: Debera existir un proceso formal disciplinario para empleados


que produzcan brechas en la seguridad.

EDCOM 48 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

5.2 Objetivos

5.2.1 Objetivo General:

Efectuar un sistema de gestin de seguridad de la informacin correspondiente


al rea de recursos humanos para mejorar los procesos de capacitacin y
formacin de seguridad de informacin y demostracin del aplicar el
conocimiento transmitido, mediante el establecimiento de procedimientos y
lineamientos referentes al tema ajustados a controles de actualizacin.

5.2.2 Objetivos Especficos:

Establecer y documentar los procedimientos a seguir para realizar la


capacitacin de las polticas de seguridad de informacin que posee la
empresa.
Definir los lineamientos de introduccin del personal a las tecnologas de la
empresa.
Desarrollar controles que permite verificar que las seguridades de la
organizacin estn siendo utilizadas dentro de sus procesos.
Implementar procesos para actualizacin de los posibles cambios de las
polticas de seguridad de la informacin.
Desarrollar los procedimientos debidos para control y resguardo del flujo de
la informacin de recursos humanos.
Crear una conciencia de seguridad aplicable a los activos de informacin.
Reducir el riesgo de robo, fraude y mal uso de los medios a travs de
informacin vigente, de conocimiento pblico y la conciencia de seguridad
dentro de la empresa.
Determinar procedimientos disciplinarios que permitan sancionar a todo
aquel que infrinja alguna de las polticas de seguridad implementadas.
Establecer una metodologa de gestin de la seguridad clara y estructurada.
Accesar a la informacin a travs medidas de seguridad, por parte de los
usuarios.
Revisar continuamente, los controles implementados por la gestin
realizada.
Crear un ambiente de confianza y reglas claras dentro de la compaa, con
respecto a la seguridad de informacin que manipulan y corresponde al rea
gestionada.
Brindar la posibilidad de integrarse con otros sistemas de gestin y certificar.
Minimizar la paralizacin de las operaciones de negocio por incidentes de
gravedad.
Mantener y mejorar la imagen de confiabilidad y seguridad de la empresa,
siendo elemento diferenciador de la competencia.

Todos estos propsitos tienen la finalidad de cumplir el general, desarrollando el


sistema de gestin indicado para disminuir el nmero de amenazas que pueden

EDCOM 49 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

someter a activos de informacin a diversas formas de fraude, sabotaje o


vandalismo. En rea donde se desea aplicar la gestin de seguridad permitir
entre tanto que las amenazas referentes al personal sean conocidas y reducidas.

5.3Definicin de Polticas de Seguridad


5.3.1 Polticas de Confiabilidad

La gestin a desarrollar indica los siguientes parmetros para mantener la


confiabilidad de la informacin:

Todo cambio dentro de la informacin del sistema debe ser notificada va


escrita firmada por el jefe de departamento que comunica el cambio,
directamente, al encargado del rea de sistemas.
La informacin a ingresar debe ser correctamente revisada, y teniendo en
cuenta que los datos manejados son de vital importancia para el desempeo
de las funciones de la compaa y aun ms relevantes para los clientes de
la misma.
La eliminacin de la informacin no es permitida, solamente se pueden
realizar registros nuevos con la modificacin.

5.3.2 Polticas de integridad

Se sugiere a la compaa seguir los siguientes lineamientos para mantener la


integridad de su informacin:

Cada acceso al sistema deber mediante nombre de usuario y clave.


El nombre de usuario y clave ser dado al momento de la incorporacin a la
empresa.
En caso de cambio de los datos de acceso, deber ser notificado por escrito,
detallando la causa del cambio y firmado por el responsable y el jefe del
departamento de recursos humanos. Los cambios de cargo, sueldo, carga
familiar, etc. se podrn realizar directamente en el sistema asignado al rea
de recursos humanos.
En caso de finalizacin de la relacin laboral, deber ser notificado por
escrito, detallando la causa y firmado por el responsable y el jefe del
departamento de recursos humanos. El cambio cambiar el estado de la
informacin de acceso a inactivado. Una vez inactivado esta informacin no
podr ser cambiado a ningn otro estado.
Al intentar ingresar al sistema, solo se podr escribir la clave hasta cinco
veces. Al completar el limite, el usuario de bloquear.
El bloqueo de un usuario solo podr ser inhabilitado, mediante un oficio
escrito donde se detalle la causa del bloqueo firmado por el responsable y el

EDCOM 50 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

jefe del departamento referido. Este documento debe ser entregado al


encargado del rea de sistemas.
La informacin de acceso es responsabilidad, totalmente, del empleado a la
cual fue asignada y no debe ser divulgada a ningn tercero.
La informacin de acceso es considerada de carcter secreto e
intransferible.

5.3.3 Polticas de disponibilidad

Las polticas de disponibilidad detallan las especificaciones para mantener la


informacin correcta para quienes la puedan consultar:

El ingreso o modificacin de la informacin del sistema ser un proceso en


lnea.
La informacin de los clientes es considerada de carcter privado.
En caso de modificacin de la informacin del sistema, el registro o los
registros utilizados sern bloqueados para evitar error en el cambio de los
datos.

5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo)

La compaa debe mantener un buen ambiente de trabajo dentro de la


misma, promoviendo la vinculacin integral entre las reas de trabajo y
personal en general.
La empresa determina los principios del cumplimiento de las disposiciones
que norman las conductas a seguir para lograr los resultados buscados,
dentro de un clima de trabajo positivo y ajustarlo a la aplicacin de una justa
retribucin.
La compaa debe entrenar, capacitar y actualizar al personal en las polticas
y procedimientos de seguridad que prevn proteger los activos de
informacin.
El personal de la empresa debe estar siempre presto a la capacitacin de las
polticas y procedimientos de seguridad para evitar realizar infracciones o
violaciones de los mismos.
La compaa debe publicar, peridicamente, el listado de infracciones o
violaciones de polticas de seguridad.
El personal de la empresa debe conocer los procedimientos disciplinarios a
seguir en caso de infraccin o violacin de las polticas de seguridad.
La empresa determina los lineamientos de verificacin de aplicabilidad de
las polticas y procedimientos de seguridad de la informacin.

EDCOM 51 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

5.5 Procedimientos segn el sistema de gestin:

5.5.1 Procedimiento para verificar que las polticas y procedimientos de


seguridad de la informacin estn siendo aplicados

5.5.1.1 Objetivo

Verificar que las polticas y procedimientos de seguridad de informacin


instalados en la empresa estn siendo aplicados y mediante los mismos se
mantenga el desenvolvimiento de la empresa.

5.5.1.2 Alcance

La Direccin debera requerir a empleados, contratistas y usuarios de terceras


partes aplicar la seguridad en concordancia con las polticas y los procedimientos
establecidos de la organizacin. La aplicacin y cumplimiento de ste
procedimiento es responsabilidad del departamento de Recursos Humanos.

5.5.1.3 Responsabilidades

De los Gerentes junto con la Jefe Nacional Administrativa: Definir los


lineamientos de aplicabilidad de las polticas y procedimientos de seguridad.

Del Jefe de cada rea: Realizar la aplicacin del formulario de aplicabilidad de


polticas de seguridad9. Los formularios completados deben ser remitidos a la
Jefe Nacional Administrativa.

De la Jefe Nacional Administrativa: Revisar el formulario de aplicabilidad de


polticas de seguridad, para generar un informe de observaciones. De encontrar
alguna anomala, se registra en el formulario de registro de inconformidad10. Los
documentos generados deben ser remitidos a los Gerentes. Aplicar alguna
sancin segn la infraccin realizada y la anotacin de los Gerentes.
De los Gerentes: Revisar los informes enviados por la Jefe Nacional
Administrativa y realizar anotaciones por cualquier ndole.

5.5.1.4 Descripcin del Procedimiento

Necesidades de Verificacin de Aplicabilidad de Seguridades.-

9
Revisar Anexo 6: Formulario de Aplicabilidad de las Polticas de Seguridad
10
Revisar Anexo 7: Registro de Inconformidades
EDCOM 52 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Las razones por la cuales se podra considerar que se necesite de realizar


verificacin de la aplicabilidad de las polticas y procedimientos de seguridad son:

Infringir alguna de las polticas de seguridad que cree dificultades graves


dentro de la organizacin.
Seguimiento de la aplicabilidad de las seguridades.
Cumplir el seguimiento a la aplicabilidad de las polticas y procedimientos
de seguridad.
Sugerencias de los empleados.

Cualquier requerimiento para verificacin de aplicabilidad del personal puede ser


canalizado por escrito.

Plan de Verificacin de Aplicabilidad de Seguridades

La Jefe Nacional Administrativa

Al inicio de cada ao elabora el Plan de Verificacin de Aplicabilidad de


Seguridades en la planilla correspondiente al plan a elaborar11, el cual debe ser
aprobado por la Gerencia.
En caso de que se hubieran detectado Necesidades de Verificaciones de
Aplicabilidad por cualquiera de los puntos indicados, estas deben ser
consideradas por Actualizacin del Plan de Verificacin de Aplicabilidad de
Seguridades.
El Plan de Verificacin de Aplicabilidad prev aplicar el formulario de
verificacin de aplicabilidad de las polticas de seguridad12 que incluye serie de
preguntas acerca de las seguridades implementadas en la empresa y como es
aplicada por el cuestionado.

Los empleados

Sern informados sobre la ejecucin del Plan de Verificacin de Aplicabilidad


mediante un boletn de informacin13 publicado en la cartelera de la empresa.

No se permitirn faltas ni atraso durante la ejecucin del Plan de Verificacin,


sin importancia de ndoles. Cualquier empleado que no cumpla con lo
estipulado, ser considerado para sancin, segn procedimientos
disciplinarios.

Actualizacin del Plan de Verificacin de Aplicabilidad de Seguridades

11
Revisar Anexo 8: Plan de Verificacin de Aplicabilidad de Seguridades
12
Revisar Anexo 6: Formulario de Verificacin de Aplicabilidad de Seguridades
13
Revisar Anexo 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad
EDCOM 53 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Si se presentan actividades que se consideren como necesidades de verificacin


de aplicabilidad adicionales a las previstas en el Plan de Verificacin de
Aplicabilidad, estas se ingresarn mediante solicitud escrita. Dicha verificacin
de aplicabilidad deber ser aprobada por la Gerencia.

La Jefe Nacional Administrativa

Analiza la solicitud y determina la logstica, presupuesto, costos y posible


cronograma. Toda esta informacin la remite a la Gerencia quien da su
aprobacin.
Si la verificacin de aplicabilidad es aprobada, es incluida en el Plan de
Verificacin de Aplicabilidad de Seguridades.
Los incumplimientos al Plan de Verificacin de Aplicabilidad de
Seguridades debern ser justificados en el mismo formato, columna
Justificacin de incumplimiento. En dicha columna se debe registrar la causa
de la falta.

Control de Asistencia de Ejecucin de Verificacin de Aplicabilidad

La Jefe Nacional Administrativa

Se estructura un formulario de registro de asistencia a ejecucin de


verificacin de aplicabilidad14.
Una vez que la verificacin de aplicabilidad ha sido terminada, se archiva el
registro de asistencia de la misma.

5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos


de seguridad de la informacin y sus actualizaciones

5.5.2.1 Objetivo

Comunicar las polticas y procedimientos de seguridad de informacin instalados


en la empresa, a travs de capacitaciones pertinentes para ser aplicadas en el
desarrollo de las actividades diarias.

5.5.2.2 Alcance

La Direccin debera capacitar a empleados, contratistas y usuarios de terceras


partes acerca de la seguridad en concordancia con las polticas y los
procedimientos establecidos de la organizacin. La aplicacin y cumplimiento de
ste procedimiento es responsabilidad del departamento de Recursos Humanos.

14
Revisar Anexo 11: Formulario de Control de Asistencia de Verificacin de Aplicabilidad
EDCOM 54 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

5.5.2.3 Responsabilidades

De los Gerentes junto con la Jefe Nacional Administrativa: Definir el Plan de


Capacitacin: Seguridad de la Informacin.

De la Jefe Nacional Administrativa: de coordinar la ejecucin de las actividades


de capacitacin del personal que lo necesite y de hacer seguimiento al
cumplimiento del Plan de Capacitacin.

5.5.2.4 Descripcin del Procedimiento

Necesidades de Capacitacin

Las razones por la cuales se podra considerar que se necesite de capacitacin


son:
Infringir alguna de las polticas de seguridad por desconocimiento de la
misma.
Desarrollar conciencia con respecto a la seguridad de la informacin.
Calificacin del personal que indique necesidad de capacitacin.
Capacitacin organizada por requerimiento de la Jefe Nacional
Administrativa.
Se considera que los empleados desconocen sobre las polticas y los
procedimientos de seguridad.
Sugerencias de los empleados.

Cualquier requerimiento para capacitacin del personal debe ser canalizado


por escrito.

Plan de Capacitacin: Seguridad de la Informacin

La Jefe Nacional Administrativa

Al inicio de cada ao elabora el Plan de Capacitacin: Seguridad de


Informacin en la planilla correspondiente al plan a elaborar15, el cual
debe ser aprobado por la Gerencia.
En caso de que se hubieran detectado Necesidades de Capacitacin por
cualquiera de los puntos indicados, estas deben ser consideradas para
Actualizacin del Plan de Capacitacin: Seguridad de la Informacin.
El Plan de Capacitacin incluye la informacin referente a: tema,
participantes, horas, y fechas aproximadas.

Los empleados

15
Revisar Anexo 12: Planilla de Plan de Capacitacin: Seguridad de la Informacin
EDCOM 55 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Sern informados del inicio de una capacitacin con un tiempo prudente,


mediante carta de convocatoria16.
No se permitirn faltas ni atraso para ninguna capacitacin, sin importancia
de ndoles, siempre y cuando el empleado haya sido convocado.

Actualizacin del Plan de Capacitacin: Seguridad de la Informacin

Si se presentan actividades de capacitacin adicionales a las previstas en el Plan


de Capacitacin, estas se ingresarn mediante solicitud escrita. Dicha
capacitacin deber ser aprobada por la Gerencia. Esto se aplica principalmente
cuando se requiere de capacitaciones externas.

La Jefe Nacional Administrativa

Analiza la solicitud y determina la logstica, presupuesto, costos y posible


cronograma. Toda esta informacin la remite a la Gerencia quien da su
aprobacin.
Si la capacitacin es aprobada, es incluida en el Plan de Capacitacin.
Los incumplimientos al Plan de Capacitacin: Seguridad de la
informacin debern ser justificados en el mismo formato, columna
Justificacin de incumplimiento. En dicha columna se debe registrar la
causa de la falta.

Control de Asistencia a Capacitacin

La Jefe Nacional Administrativa

Se estructura un formulario de registro de asistencia a capacitacin17. Si la


capacitacin es externa, se debe entregar un formulario similar a cargo de
uno de los enviados y deber ser firmada por los empleados de la compaa.
Una vez que la capacitacin ha sido terminada, se archiva el registro de
asistencia de la misma.
Certificado de la Capacitacin

Los certificados de capacitacin sern entregados en mismo da en que la


misma ser terminada. Se archiva una copia del certificado en la carpeta de
personal.
Si la capacitacin ha sido externa, el certificado ser entregado segn la
entidad externa. De igual manera, se archiva una copia del certificado en la
carpeta de personal.

16
Revisar Anexo 13: Carta de convocatoria a empleados.
17
Revisar Anexo 14: Formulario de Control de Asistencia a Capacitacin
EDCOM 56 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna


poltica de seguridad de la empresa.

5.5.3.1 Objetivo

Aplicar sanciones por infraccin o violacin de alguna poltica de seguridad que


rige en la empresa,por parte del personal que ha sido capacitado, a travs, de
distintos procedimientos disciplinarios.

5.5.3.2 Alcance

Debera existir un proceso formal disciplinario para empleados que produzcan


brechas en la seguridad.

5.5.3.3 Responsabilidades

De los Gerentes junto con la Jefe Nacional Administrativa: Definir los


procedimientos disciplinarios que se aplicaran por infraccin o violacin de
alguna poltica de seguridad.
De la Jefe Nacional Administrativa: de aplicar el procedimiento disciplinario
correspondiente a la infraccin o violacin realizada. Comunicar a los empleados
de dichos procedimientos disciplinarios, valindose del Plan de Capacitacin:
Polticas de Seguridad.

5.5.3.4 Descripcin del Procedimiento

Tipos de Infracciones o Violaciones a las Polticas de Seguridad.-

Algunos tipos de infraccin o violaciones a las polticas de seguridad por la


cuales se podra considerar aplicar procedimiento disciplinario son:

Alteracin, destruccin, divulgacin y cambio de ubicacin de informacin


(Dentro y fuera de la compaa).
Uso inapropiado de los diferentes recursos (Acceso no autorizado).
Usurpacin de identidad
Manipulacin de credenciales de acceso (Ingreso del trabajo)
Manipulacin de la configuracin de los aplicativos de las estaciones de
trabajo.
Errores de administracin aplicados a los aplicativos.
Abuso de privilegios de acceso
Desconocimiento de sus funciones y responsabilidades dentro de la
empresa.
EDCOM 57 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Extorsin

Cualquiera de las infracciones o violaciones detalladas deben ser reportadas por


medio del formulario de infracciones de polticas de seguridad18. Las mismas que
deben ser reportadas al Jefe de rea, para que el mismo las remita al Jefe
Nacional Administrativa.

Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de


Polticas de Seguridad

Todas las infracciones se vern afectadas por el siguiente flujo:

Se realiza llamado de atencin por escrito al infractor.


Se detalla un memorndum donde se especifica el hecho realizado y la
consecuencia del mismo. Las consecuencias son para la empresa y para el
empleado tanto de tipo monetaria como para su hoja de vida.
Cada infraccin tiene una diferenciacin en el procedimiento disciplinario,
inscripta a continuacin:

Infraccin o Violacin de Polticas Procedimiento Disciplinario


de Seguridad

Alteracin, destruccin, Llamado de atencin en la hoja de


divulgacin y cambio de vida.
ubicacin de informacin (Dentro Capacitacin acerca de activos de
y fuera de la compaa). informacin y su proteccin.

Uso inapropiado de los diferentes Capacitacin acerca de los recursos


recursos (Acceso no autorizado). de la empresa y su uso autorizado.

Usurpacin de identidad Llamado de atencin grave en la hoja


de vida.
Reunin directa con el Gerente
Regional y la Jefe Nacional
Administrativa.
Manipulacin de credenciales de Llamado de atencin grave en la hoja
acceso (Ingreso del trabajo) de vida.
Reunin directa con el Gerente
Regional y la Jefe Nacional
Administrativa.

Manipulacin de la configuracin Capacitacin acerca de recursos


de los aplicativos y recursos de informticos de la compaa, a cargo
las estaciones de trabajo. de delegado de Jefe de rea
Sistemas.

18
Revisar Anexo 15: Formulario de Infraccin de Polticas de Seguridad
EDCOM 58 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Errores de administracin Reunin con el Jefe de rea


aplicados al software informtico. Sistemas.
Revisin del Manual de Funciones y
Responsabilidades del rea
Sistemas.

Abuso de privilegios de acceso Llamado de atencin en la hoja de


vida.
Capacitacin acerca de recursos
informticos de la compaa, a cargo
de delegado de Jefe de rea
Sistemas.

Desconocimiento de sus Llamado de atencin en la hoja de


funciones y responsabilidades vida.
dentro de la empresa. Reunin con el Jefe de rea para
revisin de Manual de Funciones y
Responsabilidad del rea al cual
pertenezca el infractor.

Extorsin Separacin de la empresa.

Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad

La aplicacin de cualquier procedimiento disciplinario ser supervisada por el


encargado de la misma de mayor rango jerrquico y generara un formulario de
seguimiento de aplicacin de procedimientos disciplinarios 19. Cada
procedimiento disciplinario generara un archivo final que reflejara lo dispuesto,
segn la sancin. Toda la documentacin que arroje cualquiera de los
procedimientos disciplinarios ser archivada en la Carpeta de Personal.

Deteccin de las Infracciones o Violaciones de Polticas de Seguridad:

Infraccin o Violacin de Polticas Procedimiento de Deteccin


de Seguridad
Alteracin, destruccin, Falta o modificacin de la
divulgacin y cambio de informacin, detectada mediante
consulta de la misma.
19
Revisar Anexo 15: Formulario de Registro de Aplicacin de Procedimientos Disciplinarios.
EDCOM 59 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ubicacin de informacin (Dentro Divulgacin escrita o verbal de


y fuera de la compaa). informacin
Conocimiento de informacin por
personas externas a la empresa
Uso inapropiado de los diferentes Observacin visual
recursos (Acceso no autorizado). Revisin de recursos mal utilizados

Usurpacin de identidad Doble inicio de sesin


Manipulacin de la configuracin de
usuario o de las opciones permitidas
al mismo.
Manipulacin de credenciales de Alteraciones en la credencial de
acceso (Ingreso del trabajo) acceso
Manipulacin de la configuracin Observacin visual, incluye reubicacin
de los aplicativos y recursos de Comprobacin de manipulacin de
las estaciones de trabajo. aplicativo por otro usuario
Inhabilitacin del usuario por
manipulacin de usuario.
Errores de administracin Fallas del aplicativo en el nivel de
aplicados al software informtico. clientes
Fallas en los privilegios de acceso
(Desactivar acceso de pginas web
para desarrollo de trabajo)

Abuso de privilegios de acceso Observacin visual


Atraso de la productividad por uso
inapropiado de los recursos
informticos

Desconocimiento de sus Mal desempeo de sus actividades


funciones y responsabilidades Intermisin en las actividades de otro
dentro de la empresa. empleado
Atraso de la productividad

Extorsin Prueba escrita recibida por cualquier


medio, que muestra la extorsin
(Dentro o fuera de la empresa)

Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad

Aplicacin de los Procedimientos Disciplinarios

Los Jefes de rea

Detecta la infraccin y enva por llamado de atencin por escrito al infractor.

EDCOM 60 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Realiza memorndum donde se especifica el hecho realizado y la


consecuencia del mismo.
Enva los documentos a la Jefe Nacional Administrativa para realizar la
aplicacin de los procedimientos disciplinarios.
Realiza la capacitacin si el caso lo requiere.

La Jefe Nacional Administrativa

Colabora con la definicin de los procedimientos disciplinarios.


Revisa la documentacin enviada por cualquier Jefe de rea en caso de
infraccin o violacin de polticas de seguridad.
Aplica el procedimiento disciplinario segn la infraccin realizada.
Reporta al Jefe Administrativo - Recursos Humanos, la documentacin
resultante de la aplicacin del procedimiento disciplinario.

El Gerente

Define los procedimientos disciplinarios en colaboracin con la Jefe Nacional


Administrativa.
Colabora con la aplicacin de los procedimientos disciplinarios dependiendo
de la infraccin.

Los empleados

Conocen los procedimientos disciplinarios.


Evitan infringir las polticas y procedimientos de seguridad de informacin.
Acatan los procedimientos disciplinarios, segn su infraccin. Se acogen a
las actividades a seguir.

Actualizacin de los Procedimientos Disciplinarios

Si se presentan infracciones o violaciones a polticas de seguridad que se


consideran relevantes y que se realicen por primera vez, se debe adjuntar a los
Tipos de Infracciones y Violaciones de Polticas de Seguridad.

Los Jefes de rea

Redactan un informe, detallando la infraccin, las consecuencias para el


empleado y para la empresa y la forma como fue detectada. Dicho informe
es remitido a la Jefe Nacional Administrativa.

EDCOM 61 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

La Jefe Nacional Administrativa

Analiza el informe enviado por cualquiera de los Jefes de rea y determina


el nivel de afectacin de la infraccin. Toda esta informacin la remite a la
Gerencia para que apruebe la agregacin.

Si la infraccin se determina importante, es incluida en los Tipos de


Infracciones y Violaciones de Polticas de Seguridad.

EDCOM 62 ESPOL
CONCLUSIONES Y RECOMENDACIONES

Conclusiones y Recomendaciones
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

La gestin de la seguridad de la informacin se realiza mediante un proceso


sistemtico, documentado y conocido por toda la organizacin. La utilizacin de
un SGSI permite dotar a la entidad de las herramientas o mecanismos
necesarios para poder afrontar los riesgos presentes en las empresas.

Una de las razones ms importantes para implementar un SGSI es la de atenuar


los riesgos propios de los activos de informacin de la empresa. Una acertada
identificacin de tales activos, su definicin correcta del alcance y unas polticas
de seguridad claras y completas, son determinantes para la correcta
implantacin del SGSI.

Un SGSI no se ajusta cada vez que se genera un incidente de seguridad, pues


la labor de quienes tienen la funcin de gerencia de seguridad de la informacin
en la empresa no debe ser nicamente la administracin de los controles creados
para cada situacin de riesgo. Se debe actuar de manera que se anticipe a los
hechos y para ello el SGSI debe estar en capacidad de ayudar a la alta gerencia
en la definicin de acciones que mitigan los riesgos sobre los activos ms crticos
sin tener que esperar que los eventos ocurran.

La implantacin y operacin de un SGSI ofrece ventajas para la empresa al


disponer de una metodologa dedicada a la seguridad de la informacin
reconocida internacionalmente, contar con un proceso definido para evaluar,
implementar, mantener y administrar la seguridad de la informacin, diferencia
una empresa de otro con esto satisfacemos de una mejor manera los
requerimientos de clientes, proveedores y organismos de control, formalizando
las responsabilidades operativas y legales de los usuarios internos y externos de
la Informacin y ayuda al cumplimiento de las disposiciones legales nacionales
e internacionales.

EDCOM 64 ESPOL
ANEXOS
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXOS:

ANEXO 1: Definiciones y Trminos

Secciones de control segn ISO 27002

Poltica de Seguridad: Documento de poltica de seguridad y su gestin.

Aspectos Organizativos: Organizacin interna; organizacin externa.

Gestin de Activos: Responsabilidad sobre los activos; clasificacin de la


informacin.

Recursos Humanos: Anterior al empleo; durante el empleo; finalizacin o


cambio de empleo.

Fsica y Ambiental: reas seguras; seguridad de los equipos.

Comunicaciones y Operaciones: Procedimientos y responsabilidades de


operacin; gestin de servicios de terceras partes; planificacin y aceptacin del
sistema; proteccin contra software malicioso; backup; gestin de seguridad de
redes; utilizacin de soportes de informacin; intercambio de informacin y
software; servicios de comercio electrnico; monitorizacin.

Control de Accesos: Requisitos de negocio para el control de accesos; gestin


de acceso de usuario; responsabilidades del usuario; control de acceso en red;
control de acceso al sistema operativo; control de acceso a las aplicaciones e
informaciones; informtica y conexin mvil.

Adquisicin: desarrollo y mantenimiento de sistemas: Requisitos de seguridad


de los sistemas de informacin; procesamiento correcto en aplicaciones;
controles criptogrficos; seguridad de los ficheros del sistema; seguridad en los
procesos de desarrollo y soporte; gestin de vulnerabilidades tcnicas.

Gestin de incidentes: Comunicacin de eventos y puntos dbiles de seguridad


de la informacin; gestin de incidentes y mejoras de seguridad de la
informacin.

Gestin Continuidad de negocio: Aspectos de la seguridad de la informacin


en la gestin de continuidad del negocio.

Cumplimiento legal: Con los requisitos legales; polticas de seguridad y


estndares de conformidad y conformidad tcnica; consideraciones sobre la
auditora de sistemas de informacin.

EDCOM 66 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ISO: International Organization for Standardization, por sus siglas en ingles.


Organizacin internacional para estandarizacin.

IEC: International Electrotecnical Commite, por sus siglas en ingles. Comisin


electrotcnica internacional.

EDCOM 67 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 2: Descripcin de cada puesto de trabajo

TTULO DEL PUESTO DEPARTAMENTO DESCRIPCIN DEL


CARGO
Representante de la Gestin de Calidad Responsable de promover el
direccin desarrollo, implantacin y
mantenimiento del Sistema
de Gestin de Calidad que la
empresa est tramitando.
Gerente Direccin El Gerente, es el responsable
del manejo de la empresa y
del cumplimiento de sus
objetivos principales y
particulares.
Jefe nacional de Compensacin y Responsable de revisar,
compensacin y liquidacin supervisar y controlar las
liquidacin negociaciones
extraburstiles y los procesos
de compensacin de
Guayaquil y Quito, brindando
apoyo en la informacin
requerida por las casas de
valores.
Jefe nacional de Custodia y ejercicio Responsable de la
custodia y ejercicio derecho verificacin, confirmacin,
de derecho seguridad y conservacin de
los valores recibidos en
depsito, hasta su restitucin
o liquidacin.
Jefe nacional de Gestin de cobro y Responsable de realizar la
gestin de cobro y libro de acciones gestin de cobro ante los
libro de acciones emisores o agentes de pago,
y realizar el pago
correspondiente a los
inversionistas; registrar los
movimientos en la cuenta del
Emisor y dar constancia de
los valores cancelados.
Jefe nacional de Sistemas Responsable de dirigir y
sistemas planificar el desarrollo,
implantacin y
mantenimiento de los
sistemas tecnolgicos de la
organizacin.
Jefe nacional Administrativo Administrar eficazmente el
administrativa recursos humanos buen funcionamiento de la
Institucin y atender las
necesidades de todo el

EDCOM 68 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

personal con respecto a la


relacin laboral.

Asistente Administrativo Asistir eficazmente en el


administrativa recursos humanos buen funcionamiento de la
Institucin y atender las
necesidades de todo el
personal con respecto a la
relacin laboral.
Asistente de custodia Custodia y ejercicio El Asistente de Custodia y
y ejercicio de derecho de derecho Ejercicio de Derecho es el
recurso de apoyo para
mantener los portafolios de
los clientes al da.
Asistente de sistemas Sistemas Responsable de dar
asistencia en la planificacin
y desarrollo de proyectos del
rea y ejecutar disposiciones
tomadas por el jefe del
departamento.
Jefe regional sierra de Compensacin y Responsable de revisar,
compensacin y liquidacin supervisar y controlar las
liquidacin negociaciones
extraburstiles y los procesos
de compensacin y
liquidacin en Quito,
brindando apoyo en la
informacin requerida por las
casas de valores.
Jefe regional sierra de Gestin de cobro y Llevar el libro de acciones
gestin de cobro y libro de acciones desmaterializadas de
libro de acciones corporacin Favorita.
Asistente de gestin Gestin de cobro y Es el recurso de apoyo para
de cobro y libro de libro de acciones mantener los portafolios de
acciones los clientes al da y verifica
las transferencias realizadas.
Ayudante de Administrativo / Es un cargo de apoyo y
administracin recursos humanos soporte para el departamento
de administracin. Es
responsable de mantener el
orden y aseo de la cafetera a
su cargo.
Desarrollador y Sistemas Responsable del desarrollo
tcnico de soporte de de los programas
sistemas (Aplicaciones) que son parte
de los proyectos informticos
y de cumplir con las tareas
que correspondan a la
asistencia tcnica a usuarios
EDCOM 69 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

encomendadas por el jefe o


Asistente del Departamento
de Sistemas.

Mensajero Administrativo / Responsable por la


recursos humanos distribucin y recoleccin de
la correspondencia interna
y/o externa de la compaa,
desde o hacia sta.
Eventualmente ejecuta
labores de apoyo
administrativo requeridas.

Asesor legal Legal Organizar, controlar y


ejecutar las actividades
legales de la empresa dentro
de un marco normativo y
regulatorio, manteniendo
informado a la Gerencia del
cumplimiento de los objetivos
fijados as como sus
requerimientos.

Contadora Contabilidad Responsable por el control y


supervisin de las
operaciones y
procedimientos contables de
la compaa. Responde por
la recopilacin, anlisis y
registro contable, de acuerdo
a las normas y
procedimientos establecidos.
Preparar estados financieros
y otros informes.
Tabla Anexo. 1Descripcin de cada puesto de trabajo

EDCOM 70 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 3: Perfil o Requisitos de los diferentes cargos

Cargo: Gerente
Sexo: Femenino o Masculino
Edad: Mnimo 35 aos

Parmetros Requisitos
Formacin Ttulo de Postgrado: MBA, MAE o similares
Acadmica
Ttulo Profesional de: Administracin de Empresas o
carreras afines certificado por el CONESUP
Experiencia Entre 5 y 9 aos de experiencia laboral en actividades
Laboral gerenciales afines
Habilidades Excelentes relaciones personales y facilidad para
relacionarse efectivamente con los clientes
Capacidad de planificacin y trabajo bajo presin
Buen nivel de expresin oral
Liderazgo para conducir al personal a su cargo
Tabla Anexo. 2Perfil de Cargo Gerente

Cargo: Asesor Legal


Sexo: Femenino o Masculino
Edad: Mnimo 35 aos

Parmetros Requisitos
Formacin Ttulo profesional de Abogado certificado por el
Acadmica CONESUP Titulo profesional de Abogado certificado
por el CONESUP
Experiencia Entre 3 y 5 aos de experiencia laboral en actividades
Laboral similares o afines al cargo
Habilidades Excelentes relaciones personales y facilidad para
relacionarse
Capacidad para trabajar bajo presin
Buen nivel de expresin oral y extrovertido
Capacidad para interactuar con grupos de trabajo
Liderazgo para conducir al personal a su cargo
Tabla 7. 3Perfil de Cargo Asesor Legal

EDCOM 71 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Jefe Nacional Administrativo


Sexo: Femenino o Masculino
Edad: Mnimo 30 aos

Parmetros Requisitos
Formacin Ttulo Universitario
Acadmica
Egresado de carreras afines
Experiencia Entre 5 y 7 aos de experiencia laboral en el cargo o en
Laboral actividades afines
Habilidades Excelentes relaciones personales y facilidad para
relacionarse efectivamente con los clientes
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Capacidad para interactuar con grupos de trabajo
Liderazgo para conducir al personal a su cargo
Excelente presentacin personal
Tabla 7. 4 Perfil de Cargo Jefe Nacional Administrativo

Cargo: Asistente Administrativo


Sexo: Femenino o Masculino
Edad: Mnimo 19 aos

Parmetros Requisitos
Formacin Egresado universitario en reas de competencia
Acadmica
Estudiante universitario en reas de competencia
Ttulo de bachiller en cualquier especializacin

Experiencia Menos de 2 aos en puestos similares o afines


Laboral
Habilidades Para relacionarse efectivamente con clientes
Capacidad para organizar y coordinar tareas
administrativas
Para integrar e interactuar en grupos de trabajo
Capacidad para trabajar bajo presin
Excelente presentacin personal
Tabla 7. 5 Perfil de Cargo Asistente Administrativo

EDCOM 72 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Ayudante de Administracin


Sexo: Femenino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Bachiller en cualquier especializacin
Acadmica
Experiencia Mnimo 1ao de experiencia en cargos similares o
Laboral afines
Habilidades Capacidad para interpretar y ejecutar directrices

Iniciativa para el cumplimiento de las tareas


encomendadas
Capacidad para trabajar bajo presin

Buena presentacin personal


Para relacionarse efectivamente
Tabla 7. 6 Perfil de Cargo Ayudante de Administracin

Cargo: Mensajero
Sexo: Masculino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Estudiante en carreras superiores
Acadmica
Bachiller en cualquier especializacin

Experiencia Mnimo 1ao de experiencia en cargos similares o


Laboral afines
Habilidades Capacidad para interpretar y ejecutar directrices
Iniciativa para el cumplimiento de las tareas
encomendadas
Capacidad para trabajar bajo presin
Buena presentacin personal
Para relacionarse efectivamente
Tabla 7. 7 Perfil de Cargo Mensajero

EDCOM 73 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Representante de la Direccin


Sexo: Femenino o Masculino
Edad: Mnimo 24 aos

Parmetros Requisitos
Formacin Ttulo en carreras superiores
Acadmica
Egresado en carreras superiores
Estudiante en carreras superiores
Experiencia Mnimo 5 aos de experiencia laboral en actividades
Laboral similares o afines al cargo
Entre 3 y 5 aos de experiencia laboral en actividades
similares o afines al cargo
Habilidades Excelentes relaciones personales y facilidad para
relacionarse
Capacidad de planificacin
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Capacidad para interactuar con grupos de trabajo
Tabla 7. 8 Perfil de Cargo Representante de la Direccin

Cargo: Contador
Sexo: Femenino o Masculino
Edad: Mnimo 35 aos

Parmetros Requisitos
Formacin Ttulo Universitario en contabilidad, contadura pblica o
Acadmica carreras afines
Egresado Universitario en reas de competencia

Experiencia Entre 3 y 5 aos de experiencia laboral en actividades


Laboral similares o afines al cargo
Habilidades Excelentes relaciones personales y facilidad para
relacionarse
Capacidad para definir parmetros y objetivos
deseados
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Capacidad para interactuar con grupos de trabajo
Tabla 7. 9 Perfil de Cargo Contador

EDCOM 74 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Jefe de Gestin de Cobro / Jefe Regional Sierra de Gestin de Cobro y


Libro de Acciones
Sexo: Femenino o Masculino
Edad: Mnimo 30 aos

Parmetros Requisitos
Formacin Ttulo Universitario en reas de competencia
Acadmica
Egresado Universitario en reas de competencia
Experiencia Entre 3 y 5 aos de experiencia en cargos afines o
Laboral similares
Habilidades Para relacionarse efectivamente con clientes

Capacidad para definir parmetros y objetivos


deseados
Liderazgo para conducir al personal a su cargo
Para integrar e interactuar en grupos de trabajo
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Tabla 7. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones

Cargo: Asistente de Gestin de Cobro y Libro de Acciones


Sexo: Femenino o Masculino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Ttulo Universitario en reas de competencia
Acadmica
Egresado universitario en reas de competencia
Experiencia Ms de 3 aos en puestos similares o afines
Laboral
Habilidades Para relacionarse efectivamente con clientes
Capacidad para organizar y coordinar tareas
administrativas
Para integrar e interactuar en grupos de trabajo
Capacidad para trabajar bajo presin
Excelente presentacin personal
Tabla 7. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones

EDCOM 75 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Jefe Nacional de Custodia y Ejercicio de Derecho


Sexo: Femenino o Masculino
Edad: Mnimo 30 aos

Parmetros Requisitos
Formacin Ttulo Universitario en reas de competencia
Acadmica
Egresado Universitario en reas de competencia
Experiencia Entre 3 y 5 aos de experiencia en cargos afines o
Laboral similares
Habilidades Para relacionarse efectivamente con clientes

Capacidad para definir parmetros y objetivos


deseados
Liderazgo para conducir al personal a su cargo
Para integrar e interactuar en grupos de trabajo
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Tabla 7. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho

Cargo: Asistente de Custodia y Ejercicio de Derecho


Sexo: Femenino o Masculino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Egresado universitario en reas de competencia
Acadmica
Estudiante universitario en reas de competencia
Experiencia Ms de 3 aos en puestos similares o afines
Laboral
Habilidades Para relacionarse efectivamente con clientes
Capacidad para organizar y coordinar tareas
administrativas
Para integrar e interactuar en grupos de trabajo
Capacidad para trabajar bajo presin
Excelente presentacin personal
Tabla 7. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho

EDCOM 76 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Jefe Nacional de Compensacin y Liquidacin


Sexo: Femenino o Masculino
Edad: Mnimo 30 aos

Parmetros Requisitos
Formacin Ttulo Universitario en reas de competencia
Acadmica
Egresado Universitario en reas de competencia
Experiencia Entre 3 y 5 aos de experiencia laboral en actividades
Laboral similares o afines al cargo
Habilidades Excelentes relaciones personales y facilidad para
relacionarse efectivamente con los clientes
Capacidad para definir parmetros y objetivos
deseados
Capacidad para trabajar bajo presin
Buen nivel de expresin oral
Capacidad para interactuar con grupos de trabajo
Liderazgo para conducir al personal a su cargo
Tabla 7. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin

Cargo: Asistente de Compensacin y Liquidacin


Sexo: Femenino o Masculino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Egresado universitario en reas de competencia
Acadmica
Estudiante universitario en reas de competencia

Experiencia Menos de 2 aos de experiencia en cargos similares o


Laboral afines
Habilidades Capacidad para ejecutar directrices
Buen trato con el cliente
Iniciativa para el cumplimiento de las tareas
encomendadas
Capacidad para trabajar bajo presin
Buena presentacin personal
Tabla 7. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin

EDCOM 77 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

Cargo: Jefe de Sistemas


Sexo: Femenino o Masculino
Edad: Mnimo 30 aos

Parmetros Requisitos
Formacin Ttulo profesional de Ingeniero en Sistemas
Acadmica
Titulo en carreras afines acreditado por el CONESUP

Experiencia Ms de 3 aos de experiencia en el cargo o en


Laboral posiciones similares
Habilidades Excelentes relaciones personales y facilidad para
relacionarse
Capacidad de planificacin
Capacidad para trabajar bajo presin
Liderazgo para conducir al personal a su cargo
Tabla 7. 16 Perfil de Cargo Jefe de Sistemas

Cargo: Asistente de Sistemas / Desarrollador


Sexo: Femenino o Masculino
Edad: Mnimo 20 aos

Parmetros Requisitos
Formacin Estudiante en la carrera de Ingeniera en Sistemas
Acadmica
Estudiante universitario en carreras afines acreditado
por el CONESUP
Experiencia Ms de 2 aos de experiencia en el cargo o en
Laboral posiciones similares
Habilidades Excelentes relaciones personales y facilidad para
relacionarse
Capacidad para ejecutar directrices
Capacidad para trabajar bajo presin
Iniciativa para el cumplimiento de tareas
encomendadas
Tabla 7. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador

EDCOM 78 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 4: Organigrama de la empresa

EDCOM 79 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 5: Escala de Valoracin de los Activos

5.1 Escala de Valoracin de Dimensiones:


Descripcin Valoracin
Alta 5
Medianamente Alta 4
Mediana 3
Baja 2
Muy Baja 1
Tabla 7. 18 Escala de Valoracin de Dimensiones

5.2 Escala de Valoracin de Frecuencia:

Descripcin Valoracin
Altamente Frecuente 5
Frecuente 4
Medianamente Frecuente 3
Poco Frecuente 2
Muy Poco Frecuente 1
Tabla 7. 19 Escala de Valoracin de Frecuencia

5.3 Escala de Valoracin de Impacto:

Descripcin Valoracin
Alto 5
Medianamente Alto 4
Mediano 3
Bajo 2
Muy Bajo 1
Tabla 7. 20 Escala de Valoracin de Impacto

EDCOM 80 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 6: Formulario de Aplicabilidad de las Polticas de


Seguridad

FORMULARIO DE APLICABILIDAD
DE POLTICAS DE SEGURIDAD

NOMBRE DEL ENCUESTADO: ___________________________________


FECHA : ___________________________________
CARGO : ___________________________________
REA DE TRABAJO : ___________________________________

Instrucciones: Debe responder las preguntas de manera honesta y


responsable. Sus respuestas deben ser claras y concisas. Por favor, entregue el
formulario sin tachones, ni arrugas.

1. Conoce las polticas de Seguridad de Informacin que se aplican en su rea


de trabajo?
Respuesta: ____________________________________________________

2. Ha sido informado a tiempo de las polticas de seguridad de informacin?


Respuesta: ____________________________________________________

3. Conoce las infracciones o violaciones de las polticas de Seguridad de


Informacin?
Respuesta: ____________________________________________________

4. Ha sido informado a tiempo de los procedimientos disciplinarios?


Respuesta: ____________________________________________________

5. Cun daino considera que puede ser la alteracin o divulgacin de la


informacin?
Respuesta: ____________________________________________________

6. Cules es su horario de acceso al servicio de Internet?


Respuesta: ____________________________________________________

7. Cules son seguridades de la credencial de acceso del personal?


Respuesta: ____________________________________________________

8. Cul es su principal funcin dentro de la empresa?


Respuesta: ____________________________________________________

EDCOM 81 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

9. Cul es la actividad que ms repite durante su jornada de trabajo?


Respuesta: ____________________________________________________

10. Considera relevante aplicar polticas de seguridad de informacin en la


empresa?
Respuesta: ____________________________________________________

Firma del Encuestado Firma de Revisin

Fecha de Revisin:

Los Formularios de Aplicabilidad de Seguridad de la Informacin pueden variar


dependiendo de rea al cual sea aplicado. Adems, los formularios deben ser
actualizados al inicio de cada ao. Esta responsabilidad es del Gerente y la Jefe
Nacional Administrativa.

EDCOM 82 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 7: Registro de Inconformidades

REGISTRO DE INCONFOMIDADES
EN EL FORMULARIO DE APLICABILIDAD
DE POLTICAS DE SEGURIDAD

FECHA: ___________________________________

EMPLEADO REA DE OBSERVACIN ACCIN


TRABAJO
(Nombre de (rea de (Observacin reflejada (Capacitacin o
Empleado Trabajo en el formulario Reunin de Revisin
de la del aplicado) de Polticas de
observacin) Empleado) Seguridad)

Firma de Elaboracin

Fecha de Revisin (Gerencia):

En el registro de inconformidades se guarda algunas observaciones y acciones


a tomar, dependiendo de los reflejados en los formularios. Debe ser enviado al
Gerente por la Jefe Nacional Administrativa.

EDCOM 83 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades

PLAN DE VERIFICACIN DE APLICABILIDAD


DE POLTICAS DE SEGURIDAD

FECHA DE PLANIFICACIN: ______________________________


PERODO : ______________________________

FECHA DE REA DE CAUSA DE FORMULARIO LUGAR DE SUPERVISOR JUSTIFICACIN OBSERVACIONES


APLICACIN TRABAJO LA A APLICAR APLICACIN DE
APLICACIN INCUMPLIMIENTO
(rea (Razn de la (Formulario a (Lugar de (Nombre del (Razones de (Posibles notas
(Fecha planeada aplicacin Implementar) aplicacin Jefe que incumplimiento agregadas a la
planeada para la planeada) de la supervisara de la verificacin verificacin
para fecha) verificacin) la aplicacin planificada) planeada)
aplicacin de de la
verificacin verificacin)
de
aplicabilidad)

Firma de Elaboracin Firma de Aprobacin

Fecha de Aprobacin:

EDCOM 84 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

El Plan de Verificacin de Aplicabilidad de Polticas de Seguridad es elaborado


por la Jefe Nacional Administrativa y aprobado por el Gerente. Debe contener
las actividades de verificacin planeadas al principio del ao. Su actualizacin
se podra dar dependiendo de las necesidades de verificacin relevantes.

EDCOM 85 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 9: Boletn de informacin: Plan de Verificacin de


Aplicabilidad

EDCOM 86 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 10: Formulario de Control de Asistencia de Verificacin


de Aplicabilidad

REGISTRO DE ASISTENCIA DE
VERIFICACIN DE APLICABILIDAD DE POLTICAS DE SEGURIDAD

FECHA DE VERIFICACIN: ______________________________


FORMULARIO APLICADO: ______________________________
LUGAR DE APLICACIN : ______________________________
SUPERVISOR : ______________________________

EMPLEADO HORA DE FIRMA HORA DE FIRMA


ENTRADA SALIDA
(Nombre del (Hora que (Firma de (Hora que (Firma de
empleado ingresa a la constancia egresa a la constancia de la
que realiza verificacin) de la verificacin) salida del
el formulario entrada del empleado)
de empleado)
verificacin)

Firma de Supervisin Firma de Revisin

Fecha de Revisin:

EDCOM 87 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin

PLAN DE CAPACITACIN DE SEGURIDAD DE LA INFORMACIN

FECHA DE PLANIFICACIN: ______________________________


PERODO : ______________________________

FECHA DE REA DE CAUSA DE LA TEMA A NMERO LUGAR DE LA CAPACITADOR JUSTIFICACIN OBSERVACIONES


APLICACIN TRABAJO CAPACITACIN TRANSMITIR DE CAPACITACIN DE
HORAS INCUMPLIMIENTO
(Fecha (rea (Razn de la (Tema de la (Total de (Lugar de la (Nombre del (Razones de (Posibles notas
planeada planeada capacitacin capacitacin) horas de capacitacin) Jefe que incumplimiento agregadas a la
para la para la planeada) duracin supervisara la de la verificacin verificacin
capacitacin) fecha) de la aplicacin de planificada) planeada)
capacitacin
planeada) la verificacin)

Firma de Elaboracin Firma de Aprobacin

Fecha de Aprobacin:

EDCOM 88 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 12: Carta de convocatoria a


empleados.

FECHA DE CREACIN

Nombre del Empleado


rea de Trabajo

De mis consideraciones:

Por medio de la presente se le convoca a la capacitacin


<<NOMBRE DE LA CAPACITACIN>>, dictada por
<<NOMBRE DEL CAPACITADOR>>, a efectuarse el
da<<FECHA DE LA CAPACITACIN>>, a las <<HORA
DE LA CAPACITACIN>> en las instalaciones de
<<LUGAR DE LA CAPACITACIN>>, donde se reforzara
su entrenamiento con respecto a las polticas y
procedimientos de seguridad de la informacin aplicados
en la empresa.

Le recordamos que su presencia es obligatoria.

NOMBRE DE LA JEFE NACIONAL ADMINISTRATIVA

EDCOM 89 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

La carta puede ser editada para agregar ms detalles, dependiendo de la


convocatoria a realizar. Adems, podra cambiar el pie de firma, segn las
disposiciones gerenciales.

EDCOM 90 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 13: Formulario de Control de Asistencia a Capacitacin

REGISTRO DE ASISTENCIA DE
CAPACITACIN DE SEGURIDAD DE INFORMACIN

FECHA DE CAPACITACIN: ______________________________


LUGAR DE CAPACITACIN: ______________________________
CAPACITADOR : ______________________________
TEMA : ______________________________

EMPLEADO HORA DE FIRMA HORA DE FIRMA


ENTRADA SALIDA
(Nombre del (Hora que (Firma de (Hora que (Firma de
empleado ingresa a la constancia egresa a la constancia de la
que se est capacitacin) de la capacitacin) salida del
capacitando) entrada del empleado)
empleado)

Firma de Supervisin Firma de Revisin

Fecha de Revisin:

EDCOM 91 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 14: Formulario de Infraccin de Polticas de Seguridad.

FORMULARIO DE REGISTRO
DE INFRACCIONES O VIOLACIONES DE POLTICAS DE SEGURIDAD

ELABORADO POR: ___________________________________

FECHA EMPLEADO REA DE INFRACCIN SITUACIN ACCIN


TRABAJO
(Nombre de (rea de (Infraccin (Detalle de (Procedimiento
(Fecha de Empleado Trabajo incurrida) la Disciplinario a
realiza la que comete del situacin aplicar por
infraccin) la Empleado) de la motivo de la
infraccin) infraccin) infraccin)

Firma de Elaboracin

Fecha de Revisin (Gerencia):

En el Registro de Infracciones o Violaciones de Polticas de Seguridad se guarda


los detalles correspondientes a situaciones que quebrantan los procedimientos
de seguridad de informacin que se encuentran implementados en la empresa y
los procedimientos disciplinarios a aplicar por los mismos. Debe ser enviado al
Gerente por la Jefe Nacional Administrativa.

EDCOM 92 ESPOL
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

ANEXO 15: Seguimiento de la Aplicacin de los


Procedimientos Disciplinarios

FORMULARIO DE SEGUIMIENTO
DE PROCEDIMIENTOS DISCIPLINARIOS

SUPERVISADO POR: ___________________________________

FECHA EMPLEADO REA DE GESTOR ACCIN DE


TRABAJO SEGUIMIENTO
(Nombre de (rea de (Persona que (Situaciones que
(Fecha de Empleado Trabajo aplica el permiten aplicar el
seguimiento) que comete del procedimiento procedimiento
la Empleado) disciplinario) disciplinario)
infraccin)

Firma de Elaboracin

Fecha de Revisin (Gerencia):

En caso de que la infraccin incurrida sea Extorsin o alguna otra que necesite
separacin del empleo, tambin debe registrarse en el formulario de
seguimiento.

EDCOM 93 ESPOL
BIBLIOGRAFA
Implementacin de Sistema de Gestin de Seguridad
Proyecto de Graduacin de la Informacin a Empresa DECEVALE

BIBLIOGRAFA

Documentacin Privada de la empresa DECEVALE S.A.

Pginas Web Consultadas:

http://www.iso27000.es/sgsi.html

http://iso27002.wiki.zoho.com/8-1-Seguridad-en-la-definicin-del-trabajo-y-los-
recursos.html

dhttp://scc2008.webs.com/ Documento: 04-05 ISO 27000 trabajo

EDCOM 95 ESPOL