Técnico de Nivel Superior

Computación e Informática
CFT Lota Arauco

Informe de propuesta
Sistema Integrado de Gestión
de Seguridad de la Información
Caso Final del 2do. Semestre
ISO 27001:2005

Antecedentes

Estudiante : Juan Francisco Díaz Caro

Profesor : Gerardo Galán
Asignatura : Seguridad en Software
Fecha de entrega : 25 de Septiembre del 2018
Introducción.

Se prevé que al año 2021 los daños causados por delitos de cibercrimen asciendan a más de séis billones
de dólares en el mundo; esta cifra, será casi el doble de lo registrado en 2015, estadísticas en las que se
incluyen en estos ataques delitos tales como; daños y destrucción de datos, dinero robado, pérdida de
productividad, robo de propiedad intelectual, fraude, interrupción post-ataque en el curso normal de
negocios, investigación forense, restauración y eliminación de datos, sistemas Hackeados y daño a la
reputación, así como otros delitos que día a día van en aumento.

Para disminuir estas pérdidas, es que se hace imperante que se generen sistemas para la protección y
el cuidado de la información; esta según ISO 27001, consiste en la preservación de su confidencialidad,
integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una
organización, es decir, la necesidad de implantación de un Sistema de Gestión de la Seguridad de la
Información, de ahora en adelante conocido por las siglas SGSI.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en
poder de una entidad que posean valor para la misma, independientemente de la forma en que se
guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente,
proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la
propia organización o de fuentes externas) o de la fecha de elaboración.

Para los fines ya comentados, se propondrá en este informe la aplicación de las cuatro etapas de
implementación de un SGSI aplicado desde la generación de propuestas de mejora para un caso
entregado para su análisis por parte del docente y en el cual se basará este documento, para ello,
además, contará con la entrega a posteriori, de las aplicaciones de mejora para poder subsanar cada
una de las desviaciones detalladas en este informe.
Estudio de Caso.

Una empresa de ventas Online, ha tenido inconvenientes con su sitio Web debido a que han accedido
a la plataforma de manera irregular, cambiando precios de los productos que se ofrecen en el sitio.
Actualmente, no hay medidas de seguridad para este caso. El acceso al sitio es restringido solo por un
usuario y contraseña que posee el administrador. Los servicios de administración del sitio son realizados
por 8 personas, los cuales poseen la misma cuenta para poder acceder. Los administradores, trabajan
sólo en oficina (No deben trabajar desde su casa).

Objetivo General.

Analizar un caso de vulnerabilidades del área informática para la generación de planes de acción
vinculados a propuestas de mejora en la implantación de un Sistema de Gestión de Seguridad de la
Información ISO27001:2005.

Objetivos Específicos.

1.- Generar un análisis del problema planteado por el docente mediante el desglose de una Matriz de
Identificación de Peligros y Evaluación de Riesgos, de ahora en adelante, Matriz IPER.

2.- Medir y analizar tres riesgos para este caso y proponer mejoras a fin de impactar positivamente la
ocurrencia de futuras vulnerabilidades en el contexto de que en el tiempo sucedan acontecimientos
similares y proponer una Política de Sistema de Gestión de Seguridad de la Información (SGSI).

3.- Contribuir a la gestión preventiva mediante un plan de tratamiento de riesgos y re evaluar estos con
la finalidad, de que con las mejoras pertinentes, disminuyan su riesgo residual y controlar aquellos
riesgos más significativos.

4.- Proponer mejoras cuya implementación sea viable en la medida de la realidad de la organización
pues, estas deben ser acertadas tanto al contexto como a la durabilidad de estas medidas en el tiempo.
5.- Establecer propuestas de control objetivos con las mejoras que se buscan aplicar mediante el estudio
de estos casos.

Alcance.

El alcance de este documento aplica para todos quienes ejecuten labores al interior de la empresa, sean
estos, internos como externos, además, ser aplicado como estándar para cada una de las áreas
involucradas en los procesos de la misma.

Política de Seguridad de la Información.

De la Información Interna.

La información es un activo vital y todos sus accesos, usos y procesamiento, deberán ser consistentes
con las políticas y estándares emitidos por la empresa en cada ámbito en particular.

La información debe ser protegida, por sus custodios, de una manera consistente con su importancia,
valor y criticidad, siguiendo las reglas establecidas en las políticas específicas de seguridad de la
información, sus procedimientos asociados y en las recomendaciones dadas por el responsable
designado de dicha información. Para ello, la organización deberá proveer los recursos que permitan
implementar los controles necesarios para otorgar el nivel de protección correspondiente al valor de
los activos.

Toda la información creada o procesada por la compañía debe ser considerada como Reservada, a
menos que se determine otro nivel de clasificación, pudiendo ser Pública o Secreta de acuerdo a lo
establecido en la legislación nacional vigente. Periódicamente se deberá revisar la clasificación, con el
propósito de mantenerla o modificarla según se estime apropiado.
La empresa deberá proveer los mecanismos para que la información sea accedida y utilizada por el
personal que de acuerdo a sus funciones así lo requiera. Sin embargo, se reserva el derecho de revocar
al personal, el privilegio de acceso a la información y tecnologías que la soportan, si la situación y las
condiciones lo ameriten.

De la Información de los Usuarios Externos.

Si la empresa procesa y mantiene información de usuarios externos que sean datos personales y/o
sensibles de acuerdo a la normativa vigente , la organización se compromete a asegurar que esta
información no será divulgada sin previa autorización y estará protegida de igual manera que la
información interna.

En el caso que la información de usuarios externos que se procese y mantenga y que no tenga las
características anteriormente mencionadas, esta podrá ser divulgada sin previa autorización.

Si se requiere compartir información de los usuarios externos de la empresa con instituciones externas,
con motivo de externalizar servicios, a éstas se le exigirá la firma de un contrato de confidencialidad y
no divulgación previo a la entrega de la información.

De las Auditorías.

Con el fin de velar por el correcto uso de los activos de información de su propiedad, la compañía se
reserva el derecho de auditar en todo momento y sin previo aviso, el cumplimiento de las políticas
vigentes y que dicen relación con el acceso y uso que los usuarios hacen de los activos de información.

La empresa se reserva el derecho de tomar medidas administrativas en contra del personal que no dé
cumplimiento a lo dispuesto en la presente política, Los lineamientos específicos que se deriven y en su
documentación de referencia, acciones que pueden ser solicitadas por el responsable de Recursos
Humanos o el Encargado de Seguridad.
Del Compromiso de la Gerencia General.

La Gerencia General velará por la existencia de un plan formal de difusión de está política y las políticas
específicas que la sustenten.

La Gerencia General, mediante la estructura que se defina en la política específica a los Aspectos
Organizativos de la Seguridad de la Información, procurará que todo el personal reciba un
entrenamiento suficiente en materia de seguridad, consistente con sus necesidades y su rol dentro de
la empresa.

La Gerencia General propiciará la existencia de mecanismos o procedimientos formales que permitan

asegurar la continuidad del negocio ante situaciones que impidan el acceso a la información
imprescindible para el funcionamiento de la organización.

Deberes del Personal.

La información y las tecnologías de información deben ser usadas sólo para propósitos relacionados con
el servicio y autorizados por los supervisores, debiéndose aplicar criterios de buen uso en su utilización.

Las claves de acceso a la información y a las tecnologías de información son individuales, intransferibles
y de responsabilidad única de su propietario.

El personal está en la obligación de alertar, de manera oportuna y adecuada, cualquier incidente que
atente contra lo establecido en esta política según procedimientos establecido en el manejo de
incidentes.

Está absolutamente prohibido al personal de la organización divulgar cualquier información que según
la legislación vigente esté catalogada como Reservada o Secreta, Organización y Mantención de las
Políticas con el objetivo de garantizar el cumplimiento de la Política General de Seguridad de la
Información y las políticas específicas que se definan posteriormente. Las características de esta
instancia organizacional y roles se detallan en él.

Difusión de la Política.

Resulta clave para que la presente política se integre en la cultura organizacional, la existencia de un
plan formal de difusión, capacitación y sensibilización en torno a la seguridad de la información.

El Gerente General será el responsable de la existencia permanente y el cumplimiento de un plan formal

de difusión, capacitación y sensibilización de la seguridad de la información.

El Encargado de Seguridad de la información es el responsable de la ejecución del plan y el cumplimiento

de sus objetivos, así como la existencia de un plan comunicacional que lo complemente.

Mantención de la Política.

La mantención de la presente política será realizada por el Encargado de Seguridad de la Información y

sus cambios aprobados por Gerencia General.

Las políticas específicas asociadas a la presente política general deberán ser aprobadas Gerencia
General y firmadas por el mismo. Los procedimientos asociados serán aprobados por el el Director
Ejecutivo mediante resolución exenta.

El presente documento debe ser revisado a lo menos 1 vez al año y actualizado cada vez que se realicen
cambios relevantes en la legislación vigente que afecten la adecuada protección de la información,
considerando como tales entre otros, cambios en la misión, objetivos estratégicos, productos
estratégicos, infraestructura, personal y/o procedimientos relacionados con la protección de la
información.

La Gerencia General solicitará al área de comunicaciones interna que difunda la política dependiendo
del alcance de la misma y su importancia para el negocio.
Análisis para la Implantación de Sistema de Gestión de Seguridad de la Información.

a.- Matriz de Gestión de Riesgos.

El análisis de los riesgos se realizará mediante una Matriz de Riesgos en el que se evaluarán diferentes
vulnerabilidades, y estos resultados serán evaluados teniendo en consideración como motivo para la
implementación de medidas correctivas y/o de mejora los impactos de estos riesgos.
Posterior a esto, se generará una re-evaluación para el estudio de los impactos residuales y su posterior
planificación para reducir al mínimo las vulnerabilidades a las que se pueda ver afectada una
organización en base a los casos planteados a estudiar.

a.1.- Tipo de Gestión.

Para tales efectos de análisis, se realizará una gestión en la cual se categorizará el riesgo de forma
cualitativa en una escala de indicadores los cuales serán desglosados en base a un calculo de estos
factores para identificar a cual rango pertenecen; vale decir, se utilizarán 3 valores de riesgo, estos son,
Alto, Medio y Alto.

a.2.- Identificación y Medición de Riesgo.

Para identificar los riesgos se debe tener en consideración de los siguientes tres puntos;

- Identificar los agentes de amenaza.

- identificar vulnerabilidades que puedan ser explotadas por los agentes de amenaza.

- Estimar el impacto sobre el negocio de una materialización de la amenaza.

Posteriormente, una vez identificados los riesgos, debe estimarse la probabilidad de que una
vulnerabilidad sea descubierta y explotada; para esto, se utilizarán tres valoraciones desglosadas a
continuación.
Riesgo alto; Vulnerabilidad que si es explotada comprometería la seguridad de la información
ocasionando un impacto negativo sobre la empresa. Debe solucionarse inmediatamente, para tales
fines deberá aplicarse medidas de mitigación, es decir, planes de actuación correctivos.

Riesgo medio; Vulnerabilidad que si es explotada tendría un impacto leve sobre la operativa del
negocio. Puede solucionarse en un tiempo prudente, para ello, se debe realizar investigación de los
sucesos, es decir, se deberán ejecutar planes de actuación preventivos.

Riesgo bajo; Vulnerabilidad que si es explotada no ocasionaría mayores inconvenientes. Su solución no

necesariamente será inmediata, para estos ítems, se deberá generar monitorización de los riesgos
aplicando planes de actuación detectivos.

a.3.- Tabla de Medición de Riesgo.

Tabla de evaluación de riesgo

b.- Planificación.

En la primera etapa para la implantación del Sistema de Gestión de Seguridad de la Información

debemos definir lo siguiente;
b.1.- Cálculo del Riesgo.

El cálculo se hará mediante la obtención del valor final de la siguiente fórmula;

Riesgo = ( Amenaza x Vulnerabilidad x Impacto ) / 3

Este resultado nos dará la valoración del riesgo, y este a su vez, se categorizará de la siguiente manera;

Riesgo Bajo; El rango para clasificarlo se dará cuando el valor del riesgo se encuentre entre los rangos 1
al 6.

Riesgo Medio; El rango para clasificarlo se dará cuando el valor del riesgo se encuentre entre los rangos
8 al 12.

Riesgo Alto; El rango para clasificarlo se dará cuando el valor del riesgo se encuentre entre los rangos
15 y valores mayores a 25.

b.2.- Definición del alcance.

El alcance de la matriz se dará en base a las amenazas por áreas que sean detectadas, siendo estas, en
algunos casos que afecten a toda la organización como en otras, a algunas áreas en particular.

Por ende, es que se debe manejar de forma tal la matriz, de que todo lo evidenciado contenga el mayor
detalle posible cumpliendo a la vez, uno de los puntos fundamentales de la política, esto es, que todos
los que tengan acceso al documento comprendan cuál es la amenaza, dónde fue detectada, el tipo de
elemento afectado, cual fue la categoría asignada, el tipo de intervención a implementar y los planes
de actuación pertinentes a cada caso en ella evidenciados.
b.3.- Aplicación de metodología.

CATEGORIZACIÓN DEL
MATRIZ DE RIESGOS RE EVALUACIÓN DEL
DESCRIPCIÓN DE POSIBLES TIPO DE ELEMENTO AFECTADO VALOR DEL TIPO DE INTERVENCIÓN VALOR FINAL
ÍTEM RIESGO DESCRIPCIÓN DEL PLAN DE ACCIÓN ITEM DESCRIPCIÓN DE RIESGOS RESIDUALES RIESGO PLANES DE ACCIÓN POSTERIOR
EVENTOS RIESGO DEL RIESGO
ACTIVOS INF. AMENAZAS VULNERAB. A V I MON. INV. MIT. A V I

Se recomienda diferenciar las cuentas, creando una

Ingreso de todos los
cuenta para cada usuario, con privilegios diferenciados, Clave de acceso puede ser facilmente vulnerada, por lo
1 administradores por la x x x 3 4 5 20 X X X
entregandole el control total de la plataforma al
1
que se necesitará cifrar el acceso.
3 2 3 6 Se recomienda aplicar validación de dos niveles.
misma cuenta de usuario. administrador.

Validar en servidor el acceso a plataforma desde la dirección

Ingreso a plataforma
Guardar georeferencia para ubicar a los trabajadores y web de la empresa, no así desde conexiones exteriores. Por
administradora del sitio web
2 x x 3 4 5 20 X X X definir si estos se conectan desde sus casas en horario 2 Se puede utilizar una aplicación para suplantar GPS 3 3 3 9 lo que, se deberá asignar IP manual a los equipos que se
por parte de los trabajadores no habitual. conecten a la red y solo a ellos darles autorización de
desde su casa. ingreso, denegando conexiones no seguras.

Se recomienda implementar acceso controlado a los

Se recomienda registrar el ingreso de los usuarios para
ordenadores de la red, teniendo en consideración que estos
Acceso irregular a corroborar que se genere el acceso dentro de las horas Trabajadores se conectan de igual manera fuera del
3 x x X 3 3 3 9 x x 3 3 2 2 4 deben estar vinculados al servidor y así, evitando la conexión
plataforma. trabajadas y no, en horarios poco habitules y no horario.
de personas ajenas a la red y desde equipos que no sean los
recomendados
de la empresa.

b.4.- Identificación de Impactos.

CATEGORIZACIÓN DEL
DESCRIPCIÓN DE POSIBLES TIPO DE ELEMENTO AFECTADO VALOR DEL TIPO DE INTERVENCIÓN
ÍTEM RIESGO
EVENTOS RIESGO
ACTIVOS INF. AMENAZAS VULNERAB. A V I MON. INV. MIT.

Ingreso de todos los

1 administradores por la x x x 3 4 5 20 X X X
misma cuenta de usuario.

Ingreso a plataforma
administradora del sitio web
2 x x 3 4 5 20 X X X
por parte de los trabajadores
desde su casa.

Acceso irregular a
3 x x X 3 3 3 9 x x
plataforma.

b.5.- Análisis y Evaluación de vulnerabilidades detectados.

RE EVALUACIÓN DEL
RIESGO VALOR FINAL
DESCRIPCIÓN DEL PLAN DE ACCIÓN ITEM DESCRIPCIÓN DE RIESGOS RESIDUALES PLANES DE ACCIÓN POSTERIOR
DEL RIESGO
A V I

Se recomienda diferenciar las cuentas, creando una

cuenta para cada usuario, con privilegios diferenciados, Clave de acceso puede ser facilmente vulnerada, por lo
1 3 2 3 6 Se recomienda aplicar validación de dos niveles.
entregandole el control total de la plataforma al que se necesitará cifrar el acceso.
administrador.

Validar en servidor el acceso a plataforma desde la dirección

Guardar georeferencia para ubicar a los trabajadores y web de la empresa, no así desde conexiones exteriores. Por
definir si estos se conectan desde sus casas en horario 2 Se puede utilizar una aplicación para suplantar GPS 3 3 3 9 lo que, se deberá asignar IP manual a los equipos que se
no habitual. conecten a la red y solo a ellos darles autorización de
ingreso, denegando conexiones no seguras.

Se recomienda implementar acceso controlado a los

Se recomienda registrar el ingreso de los usuarios para
ordenadores de la red, teniendo en consideración que estos
corroborar que se genere el acceso dentro de las horas Trabajadores se conectan de igual manera fuera del
3 3 2 2 4 deben estar vinculados al servidor y así, evitando la conexión
trabajadas y no, en horarios poco habitules y no horario.
de personas ajenas a la red y desde equipos que no sean los
recomendados
de la empresa.
c.- Tratamiento de Planes de Acción.

El tratamiento de los planes de acción dependiendo de la valoración de los riesgos, se dará en base a
las tres categorías;

Planes de acción inmediatos; o reactivos, estos se deben generar una vez se de la condición, en el
momento, o bien, no deberían tardar más de quince días de generado el incidente. Estos se deben
considerar para una categorización de riesgo Alto.

Para este caso, se considerará plan de acción inmediato a la creación de cuentas diferenciadas para los
8 usuarios de la plataforma web, esto a fin de cuentas para implementar el plan de acción de mediano
plazo.

Planes de acción a mediano plazo, estos son planes de acción que pueden ser mejorados en un plazo
de no más de 3 meses desde que se genera la desviación, esto debe ser considerado cuando la
desviación evidenciada tiene una categorización de riesgo Medio.

Para resolver esta cuestión, se implementarán los siguientes planes a fin de dar solución al caso en
desglose; en este caso, se trata de filtrar el acceso a la web desde y sólo desde los ordenadores de la
red empresarial, y no desde cualquier parte y/o domicilio de los trabajadores.

En segundo lugar, se debe establecer que cada ingreso al sitio sea georeferenciado y registrado en día y
hora de acceso. Y en tercer lugar, generando un login de dos niveles de seguridad, para brindar mayor
seguridad en el ingreso y evitar así que desconocidos vulneren ambos niveles y accedar a la información
y/o modifiquen la misma.

Planes de acción a largo plazo, estos si bien es cierto, deben ser tomados cuando la categorización del
riesgo es de nivel Bajo, deben de considerarse cuando la generación de planes tendrán una incidencia
sobre la organización, pero que no es posible de implementar de forma inmediata o en el mediano
plazo. Por ende, se deben considerar cuando las medidas de acción sean de intervención ingenieril, o
deben necesitar para su conclusión, de un proyecto en el que sean consideradas altas sumas de
financiamiento y que deban ser aprobadas de un periodo a otro dentro de los planes de la organización.

Para este caso, la implementación de la política para los procesos que requiere esta en su
implementación, será considerada como plan de acción estándar a largo plazo pues debe ser revisada,
modificada, aprobada, pasar por proceso de marcha blanca, capacitación y empoderamiento del
personal y una vez aplicada, debe ajustarse a nuevas modificaciones a fin de lograr una política
estandarizada a todas las áreas de la empresa.

c.1.- Planes de tratamiento de riesgos, responsables y tiempos de ejecución.

Planes de tratamiento; los planes de tratamiento deben ser planeados de manera tal de que estos sean
conscientes con la realidad de la organización, estos deben ser generados por personal que sea
adecuado para tales fines, y que tenga capacidad de decisión en la organización.

Para este caso, los planes de tratamiento son todos los mencionados en el punto anterior, y estos deben
estar a cargo de uno o varios responsables que cumplan con un lapso de tiempo acorde a la necesidad
de implementación.

Responsables, para esto, se deben determinar como responsables al personal con decisión que sea más
cercano al indicado en lo que se necesita subsanar, ya sea, supervisores, jefe de área, jefes de
departamento y en el último caso, gerente general.

Para este caso, se considera como responsables;

- Encargado de Informática: Velará por la implementación de las mejoras técnicas del caso.
- Administrador Web: Velará por la creación de una segunda clave la que irá cambiando en el
tiempo de forma tal, que no pueda ser vulnerada.
- Usuarios de plataforma de administración: Encargados deben aplicar restricciones establecidas
por el encargado de informática y administrador web.
Tiempos de ejecución; para esto, los planes de ejecución deben ser planeados con la finalidad de que
estos no entorpezcan el proceso de la organización como tal. Para ello, se recomienda seguir lo
estipulado para los fines convenientes. Considere plazos mensuales, trimestrales, semestrales, anuales,
etc.

c.2.- Propuesta de implantación plan de tratamiento y política de seguridad.

El plan de tratamiento debe estar enmarcado en un modelo de carta Gantt, en la cual, se establezcan
plazos reales y acordes con la organización, para poder impulsar el sistema de gestión se debe dar
protagonismo a la política de seguridad de la información, pues será la base de principios a través del
cual se actuará en la organización.

La propuesta de tratamiento, así como de todos los documentos que respaldan los planes de acción
deben estar validados en conformidad a lo establecido en la norma ISO 27.001:2005 y cuerpos
pertinentes, esto se realiza mediante la autorización o validación por parte de los interesados y la
asignación de folio respectivo a lo establecido por gestión documental.

Gestión documental, le asignará a estos cuerpos, un código el cual tendrá así también, una validez que
será de aproximadamente un año o periodo en el cual, si no hay actualizaciones, podrá continuar como
vigente si así lo designa la organización.

d.- Revisión de las medidas aplicadas.

Para evaluar la efectividad de los planes y medidas aplicadas se deberán realizar seguimientos formales,
los cuales tendrán la finalidad de verificar si se han cumplido o no, cada uno de los puntos.

En caso de que estos no se hubieran cumplido en los plazos establecidos, se deberán tomar nuevos
planes de acción para subsanar los pendientes, es por esto, que se debe dar la importancia adecuada a
cada plan así como de los responsables, estos, sin duda, deben legar como prioridad el cumplimiento
de estos en su totalidad.
d.1.- Medición de la eficacia del tratamiento y sus controles.

Le medición de la eficacia del tratamiento y sus controles, se puede realizar, llevando indicadores
llamados KPI (Key performance indicator) los cuales nos permiten seguir el nivel de cumplimiento de
estos de forma diaria, semanal, mensual, trimestral, anual, entre otros y realizar un seguimiento duro
de todo lo que sucede en la organización, en este caso, en el cumplimiento de lo indicado en este SGSI.

Estos deben aportar directamente al cumplimiento de los planes de acción, y podrán ser modificados
para optimizar el enfoque de los mismos, y en caso de que los planes de acción no solucionen el
problema, se deberá someter el punto a una re evaluación y adoptar nuevas medidas las que a su vez,
deberán ser medidas y controladas.

d.2.- Evaluación de los Riesgos residuales.

Para el estudio del caso presentado por el docente, se obtuvieron riesgos residuales, siendo estos
evaluados nuevamente, y aplicados nuevos planes de acción a fin de contribuir al control de los riesgos
detectados, estos se desglosan a continuación.

d.3.- propuesta de auditoría.

La auditoría debe ser programada con la finalidad de evaluar la funcionalidad del Sistema de Gestión y
generar opciones de mejora cuando este enferme. Estas mejoras serán propuestas por un auditor
externo a la organización cuyo fin será conseguir la imparcialidad de revisión de las partes del SGSI.

Esta puede constar de un plan de auditoría cuyo motivo será preparar a la organización para responder
de la mejor manera ante la visita del equipo auditor externo.
e.- Propuesta de implantación de mejoras.

e.1.- Implantación de medidas correctivas.

Las medidas correctivas deben ser implantadas a fin de evitar acciones y actuar sobre la marcha, pues,
estas se dan, cuando sucede un acto de vulneración de la seguridad de la información. Se debe evitar
tomar acciones reactivas, por ende, la matriz debe abordar en su gran medida los hechos que podrían
suceder en el transcurso normal de los procesos, por ende, se debe considerar el abanico completo de
sucesos con tal de tomar medidas preventivas y no sólo correctivas. Cuando se generar acciones no
esperadas y que no estén consideradas en la matriz, se deberá generar una revisión de esta e incluir lo
eventos no deseados.

e.2.- Implantación de medidas preventivas.

Las medidas preventivas, tienen como meta, anteponer a la organización a todos los sucesos descritos
en la matriz, para ello, se adoptará procedimientos para las combatir las diversas situaciones y así saber
como responder además ante futuras eventualidades. Lo anterior, será parte del camino a seguir, siendo
la política la base como declaración de principios de todos los procedimientos que nazcan a
continuación.

e.3.- Validación de eficacia de acciones y valoración final.

RE EVALUACIÓN DEL
RIESGO VALOR FINAL
ITEM DESCRIPCIÓN DE RIESGOS RESIDUALES PLANES DE ACCIÓN POSTERIOR
DEL RIESGO
A V I

Clave de acceso puede ser facilmente vulnerada, por lo

1 3 2 3 6 Se recomienda aplicar validación de dos niveles.
que se necesitará cifrar el acceso.

Validar en servidor el acceso a plataforma desde la dirección

web de la empresa, no así desde conexiones exteriores. Por
2 Se puede utilizar una aplicación para suplantar GPS 3 3 3 9 lo que, se deberá asignar IP manual a los equipos que se
conecten a la red y solo a ellos darles autorización de
ingreso, denegando conexiones no seguras.

Se recomienda implementar acceso controlado a los

Trabajadores se conectan de igual manera fuera del
3 3
horario.
ordenadores de la red, teniendo en consideración que estos
2 2 4 deben estar vinculados al servidor y así, evitando la conexión
de personas ajenas a la red y desde equipos que no sean los
de la empresa.
f.- El riesgo mas relevante.

A modo de especificar el riesgo más relevante para la continuidad del negocio, es la de que todas las
personas que administran el sitio web acceden desde un mismo usuario, esto es importante para poder
mantener el negocio, pues se debe mantener un estricto control de las actualizaciones de la plataforma
y que estas no se vean vulneradas por trabajadores que quieran tomar algun tipo de ventaja frente al
manejo de los precios y otros datos relevantes para la empresa.

Producto de esto, es importante tomar los otros resguardos, como el horario de accesso y el control de
las modificaciones ejecutadas por usuario desde Active Directory, así como el de la ubicación desde
donde se generan estas modificaciones, esto para poder enfocar la busqueda para posibles desviaciones
del proceso, y no sólo para buscar culpables, sino que para proteger la integridad del proceso, esto hace
importante catalogarlo como el riesgo más relevante.

Tabla de cuentas de usuario;

Usuario Contraseña
administrador adm123
usuario1 user123
usuario2 user456
usuario3 user789
usuario4 userabc
usuario5 userbcd
usuario6 user987
Usuario7 user765
Usuario8 user321

g.- Factores éticos asociados al cargo a desempeñar en la organización.

Se pueden recopilar los siguientes factores éticos asociados al cargo, siendo englobados en los
siguientes;
g.1.- No usar una computadora para dañar a otros. No interferir con el trabajo ajeno; en este punto,
podemos realizar seguimientos al comportamiento de los trabajadores en base a los accesos de estos
para determinar patrones de conducta, no así para generar un daño doloso a los usuarios y/o
trabajadores, pues, no podemos interferir en el trabajo, pero si, recomendar acciones de mejora para
que los procesos se mejoren.

g.2.- No indagar en archivos ajenos; vale decir, que no podemos inmiscuirnos en los archivos que son
de propiedad de quien los genera, pero si, de la administración que se le da a esta documentación, o
bien, generar una declaración que la información pertenezca a la empresa en tanto esta, sea generada
en los lindes de la misma.

g.3.- No utilizar una computadora para robar; por lógica, debemos procurar realizar un buen uso de las
TIC’s para poder realizar un trabajo de calidad, e intentar mantenernos dentro de la ley, sin vulnerar ni
cometer delitos cualesquiera sea el caso.

g.4.- No utilizar la informática para realizar fraudes; esta es una de las prácticas indebidas que ha
estado de moda en el área, por ende, debe ser un punto fundamental frente a este tipo de malas
prácticas y no defraudar a empresas que ponen su entera confianza en los expertos del área informática.

g.5.- No copiar o utilizar software que no haya sido comprado; debemos y es ideal que usemos
software legal, pues, es imprescindible no dejar margen al uso de software ilegal o validadores que a
modo de crack puedan infectar nuestros archivos o computadoras dejando al descubierto nuestros
activos de información.

g.6.- No utilizar los recursos informáticos ajenos sin la debida autorización, por ende, debemos
procurar ir siempre en la vanguardia de los conocimientos, o bien reconocer donde están nuestras
limitantes, y poder pedir ayuda.
g.7.- No apropiarse de los derechos intelectuales de otros, debemos reconocer el trabajo de otros, así
cómo el nuestro, por ende, debemos respetar la originalidad de nuestros colegas y colaboradores a no
ser que estos, nos faciliten y nos autoricen a intervenir y añadir de nuestra creatividad.

g.8.- Debe evaluar la consecuencia social de cualquier código que se desarrolle. Por ende, debemos ser
responsables a la hora de escribir líneas de código pues cada cosa que a posterior, divulguemos,
expongamos, tendrá nuestra huella, por ende, se hace necesaria la mayor pulcritud al respecto.

g.9.- Siempre utilizar las computadoras de manera de respetar los derechos de los demás. Es de rigor,
que tanto el software como el hardware que usen los trabajadores, clientes, o cualesquiera sean los
receptores finales de estos elementos, no se vean o sientan vulnerados en sus derechos máximos como
lo son la mantención de la vida privada y la seguridad de la información de estos mismos, por ende, se
debe , mantener clara esta linea entre lo ético y lo moral.
Conclusión

De acuerdo al estudio de este caso, es posible concluir lo siguiente; en primer lugar, se debe ser riguroso
al momento de estudiar cada problema con la finalidad de dar soluciones acertadas a cada uno de los
puntos vulnerables dentro de la organización, pues nos da un margen de actuación frente a lo que pueda
esperar gerencia de la gestión que a futuro se pueda realizar.

En segundo lugar, la valoración del riesgo debe ser acertada en base a la probabilidad en cada caso con
la consecuencia de estas vulnerabilidades, pues, estas en si, nos indican que tan posible es que nuestras
defensas sean abatidas por atacantes externos, así también, que tan efectivos son nuestros
procedimientos para evitar que los elementos que se utilizan en la organización funcionen de manera
optima.

En consecuencia, poder adoptar medidas de seguridad en Hardware es también importante, pues, se

deben evitar tanto la pérdida de información como aquellas relacionadas al costo de la organización.
Por ende, se debe enfocar tanto a nivel Interno como externo nuestra gestión como informáticos.

Es por ello, que en la propuesta de Sistema de Gestión de Seguridad de la Información , se recalca que
debe existir la mayor seguridad posible, pues, se debe buscar en todo momento la ausencia de riesgo,
aunque es sabido que no existe la seguridad absoluta.

Es por ello que todo sistema de seguridad debe buscar cuidar los cuatro pilares de la información; estos
son, la confidencialidad, integridad, disponibilidad y autenticidad de los mismos. Por ende se buscará
proteger en todo momento, el Hardware, Software, datos y los elementos tangibles.

Por ende, se deben disminuir al máximo los factores humanos que puedan afectar nuestra gestión así
como de la misma manera, intentar que las consecuencias sean menores cuando se trate de factores
no humanos, relacionados con factores ambientales.