MAESTRÍA EN ADMINISTRACIÓN DE TECNOLOGÍAS

DE LA INFORMACIÓN
Seguridad en Entornos de TI

PROYECTO FINAL

INTEGRANTES:
García Martínez Leopoldo
Leopoldo.mtz@uicui.edu.com
De la Cruz Hernández Delfino
dcruzhdz52@gmail.com
Villalobos Mendez Cesar Rayenari
Cesarrayenarivm@gmail.com

DOCENTE:
M. Arturo Corichi Guerreo
acorichig@gmail.com

Agosto 2020

AGOSTO 2020 1
ÍNDICE
RESUMEN EJECUTIVO ...................................................................................................... 5
INTRODUCCIÓN .................................................................................................................. 5
TEMA DE INVESTIGACIÓN .............................................................................................. 8
Antecedentes........................................................................................................................... 8
Planteamiento del problema ................................................................................................... 9
Objetivos de la investigación................................................................................................ 10
Objetivo General. .............................................................................................................. 10
Objetivos específicos ........................................................................................................ 10
MARCO TEORICO ............................................................................................................. 11
Para el desarrollo de esta investigación es fundamental conocer ciertos términos que
serán usados para su desarrollo. .................................................................................... 11
Definiciones: ................................................................................................................. 11
DESARROLLO DE LA INVESTIGACIÓN ....................................................................... 13
FASE 1 ................................................................................................................................. 14
EVALUACIÓN DE LOS RIESGOS ................................................................................ 14
1. Identificar los riesgos...................................................................................... 15
2. Determinar los controles existentes ................................................................ 17
3. Análisis de los riesgos (Matriz de riegos) ...................................................... 18
CONTROLES CORRECTIVOS Y REACTIVOS ........................................................... 23
Hardware ....................................................................................................................... 23
Software ........................................................................................................................ 24
Datos.............................................................................................................................. 25
Procesos ......................................................................................................................... 26
Recursos humanos ......................................................................................................... 26
DESCRIPCION DE CONTROLES ................................................................................. 27
Creación de Cuenta ....................................................................................................... 27
Contraseña ..................................................................................................................... 27
Espacio .......................................................................................................................... 28
Restricciones de envío ................................................................................................... 28
Acceso ........................................................................................................................... 28

2
 Eliminación de cuenta ................................................................................................... 28
Ayuda y Soporte ............................................................................................................ 28
Sanciones....................................................................................................................... 29
GENERACIÓN DE POLITICAS ..................................................................................... 30
Para el área de TI ........................................................................................................... 30
Correo electrónico ......................................................................................................... 31
Responsabilidad del uso de la cuenta ............................................................................ 32
Confidencialidad ........................................................................................................... 32
Seguridad ....................................................................................................................... 32
Conservación ................................................................................................................. 32
FASE 2 ................................................................................................................................. 34
MEDICIÓN DE EFICACIA ............................................................................................. 34
DESARROLLO Y MANTENIMIENTO DE SISTEMA ................................................. 35
Requerimientos de seguridad de los sistemas. .............................................................. 35
Seguridad de las aplicaciones del sistema. .................................................................... 35
Seguridad de los sistemas de archivos. ......................................................................... 36
Seguridad de los procesos de desarrollo y soporte. ....................................................... 36
CICLO DE MEJORA DE CONTINUA ........................................................................... 36
1. Planificación ................................................................................................... 36
2. Implementación de SGSI ................................................................................ 37
3. Fase de control o de verificación .................................................................... 37

CONTENIDO DE ILUSTRACIONES.
Ilustración 1 Símbolo Zimbra ................................................................................................. 8
Ilustración 2 Fases de desarrollo .......................................................................................... 13
Ilustración 3 Valoración de riesgos....................................................................................... 14
Ilustración 4 Esquema ejemplo de Matriz de riesgo............................................................. 21
Ilustración 5 Matriz de riesgo "Pinocho" ............................................................................. 22
Ilustración 6 Ciclo de mejora continua ................................................................................. 36
Ilustración 7 Amenazas de seguridad ................................................................................... 37

3
CONTENIDO DE TABLAS.
Tabla 1 Principales riesgos ................................................................................................................ 16
Tabla 2 Nivel de afectación............................................................................................................... 18
Tabla 3 Parámetros de probabilidad de riesgos ................................................................................. 18
Tabla 4 Descripción de vulnerabilidades .......................................................................................... 19

4
RESUMEN EJECUTIVO

El correo electrónico es la aplicación más ampliamente conocida y utilizada en la Red por

usuarios y entornos de empresas. Actualmente esta herramienta es de primordial importancia
para el intercambio de información entre organismos de la Administración y entre ésta y los
ciudadanos. Son muchas las actuales utilidades del correo electrónico e interesante las
posibilidades de nuevos servicios basados en él. Pero para asegurar su correcto
funcionamiento es necesario definir unos mecanismos que garanticen unos niveles altos de
calidad en el servicio de correo electrónico de los organismos de la Administración. Esta
ponencia propone un modelo de definición de criterios, evaluación y certificación de la
calidad en el Servicio de correo electrónico a lo que se añadiría en un futuro la posibilidad
de desplegar una red privada de calidad.

Las claves de la debilidad de los protocolos del Servicio de correo (SMTP y POP/IMAP)
lo encontramos en:

• Transporte por la Red del correo en texto claro

• Debilidad del sistema de autenticación para recibir correo

• Ausencia de autenticación para enviar correo

Estos problemas son la causa de los múltiples problemas de seguridad que afectan al
servicio: ataques a servidores, virus, gusanos, troyanos, spam, denegación de servicio,
malware etc. Además, éstos se ven aumentados por la ausencia en las organizaciones de
políticas y procedimientos de seguridad, así como políticas de uso aceptable de los recursos
y la creencia que firewalls y antivirus es todo lo que se necesita.

Los efectos de estos problemas de seguridad en las organizaciones son: pérdida de

productividad por ralentización o ausencia de recursos (aplicaciones, red y servidores),
pérdida parcial o completa de la información, pérdida de privacidad etc.

5
 INTRODUCCIÓN

Para el crecimiento, evolución y madurez de un SGSI (Sistema de Gestión de la Seguridad

de la Información) es de vital importancia contar con una serie de procesos de buenas
prácticas que permitan sostener el sistema de información desde el enfoque de la seguridad,
pues la organización puede contar con la infraestructura, procesos, software y estudios
necesarios para cumplir bajo las normas ISO2700, es una actividad que depende
completamente de todos los trabajadores de la empresa, por lo tanto es fundamental definir
el estado en que los empleados han logrado integrar el manual de buenas prácticas en el uso
de los elementos tecnológicos-informáticos de la organización.

En el presente trabajo se desarrolla un sistema de gestión que promueva la seguridad de la

información relacionada con el correo electrónico, el cual es la versión Zimbra 8.7.11 de
código abierto en la empresa “Pinocho”, empresa dedicada a la manufactura de papel, para
contrarrestar con los efectos de la falta de seguridad informática se presenta un plan
estratégico de seguridad, que deberá seguir la organización en un corto, mediano y largo
plazo. Este plan se complementa con evaluaciones de seguridad y un pertinente análisis de
riesgos, que permita diseñar políticas de seguridad informática como un alcance concreto del
plan estratégico de seguridad.

El conocimiento de los empleados respecto a estas prácticas, se encuentra un alto índice de

ignorancia, debido a esta ignorancia muchas de las normas no se aplican a cabalidad ni de
manera íntegra, causando vulnerabilidad en la seguridad de la información de la empresa de
manera constante, lo anterior con la aplicación de buenas prácticas se podría evitar ya que
consta de una variedad de reglas sencillas y claras que provee a la organización de
herramientas y conocimiento para el buen uso de la información y los elementos con los
cuales se manipula, generándose así la madurez necesaria para sostener el SGSI a la
vanguardia y de esta manera estar siempre preparados para incursionar en las nuevas
tecnologías.

Actualmente la tecnología informática es fundamental para la superación y desarrollo de una

empresa, la información que en ella se maneja es considerada un activo cada vez más valioso,
la cual puede hacer que una organización triunfe o quiebre, por ello la relevancia de preservar
la seguridad y confidencialidad.

La mayoría de las empresas desconocen la magnitud del problema con el que se enfrentan,
considerando la seguridad informática como algo secundario y prestando poca atención a los

6
riesgos que en la actualidad existen, como lo son: las amenazas internas, una de ellas los
errores humanos y las amenazas externas dentro de las cuales podemos nombrar a los virus.

Esta falta de inversión tanto en capital humano como económico, es muy necesario para
prevenir el daño o pérdida de la información, lo cual produce que no sea confiable, integra y
mucho menos de disponible inmediata para la empresa, esto origina en muchos de los casos
la paralización de sus actividades, dejando como resultado una pérdida cuantiosa de tiempo,
producción, capital, entre otros factores importantes para el desarrollo de la organización.

7
TEMA DE INVESTIGACIÓN

Antecedentes
Zimbra Collaboration es la solución de mensajería y colaboración de código abierto líder en
el mundo, en la que confían más de 5000 empresas y clientes del sector público y más de 500
millones de usuarios finales, en más de 130 países.
Zimbra es un cliente/servidor de correo y calendario, para hacer un interfaz de velocidad han
empleado el lenguaje AJAX (Javascript + XML) que almacena parte de la página en el
cliente.

Ilustración 1 Símbolo Zimbra

De acuerdo a algunas empresas las ventajas generales de Zimbra son:
• Permite un ahorro de costes de al menos 50% en comparación con MS Exchange
o IBM Lotus o Roundcube
• El conector para MS Outlook permite una sincronización nativa al servidor
Zimbra. Gracias al potente interfaz fácil e intuitivo, los usuarios de Zimbra se
sienten muy cómodos trabajando con el producto.

A partir de las versiones 8.8 en adelante Zimbra tiene disponible en cuestión de seguridad las
siguientes características para chat y drive:
• Chat de Zimbra: Chat p2p con protocolo XMPP Los datos de chat de tu empresa
permanecerán protegidos y confidenciales mientras tus usuarios disfrutan
buscando en el historial de chat, emoticonos, etc.
• Zimbra Drive: Función actualizada de sincronización y uso compartido de
archivos. Basada en la plataforma ownCloud/Nextcloud, Zimbra Drive
proporciona un servicio eficiente de sincronización y uso compartido de archivos
entre los usuarios, dondequiera que se encuentren y en cualquier dispositivo.
(Jorge Batioja, 2019)

8
Planteamiento del problema
La empresa “Pinocho”, cuanta con su propia infraestructura de TI pero actualmente no cuenta
con procesos y políticas para el control de sus servidores, este documento está enfocado única
y exclusivamente para su servidor de correo electrónico.

La empresa cuenta con un área de TI con dos Ingenieros que están dedicados en un
95 por ciento de su tiempo laboral al soporte de su ERP y atención a usuarios, donde no
tienen la atención a la administración de sus servidores por falta de capacitación o
conocimiento, actualmente cuando se encuentran con un problema solo llaman a su
proveedor para que los apoye y solucione su problema pagando por cada evento que se
requiera.

Como se describió anteriormente este documento está enfocado al servidor de correo

electrónico que cuenta con Sistema Operativo versión de Linux y su servicio de correo
electrónico Zimbra y tiene su propio antivirus, no se han realizado actualizaciones desde su
instalación, además el software que utiliza el servidor es gratuito o de código abierto. El
servidor fue instalado y configurado por su proveedor y no cuentan con una póliza de Soporte
Técnico.

El área de TI no cuenta con políticas y procedimiento para la administración y soporte

del servidor, lo mismo sucede con los usuarios, este último solo envía y recibe correos
electrónicos sin tener conocimiento de que puede descargar un virus o código malicioso o
incluso hacer que el propio servidor genere spam. No se cuenta con respaldo de los buzones
y sus propios correos electrónicos.

9
Objetivos de la investigación

Objetivo General.

Diseñar el Sistema de Gestión de Seguridad de la Información en la empresa “Pinocho” de

tal manera que se evidencien los riesgos asociados a su servicio de correo electrónico.

Objetivos específicos

➢ Analizar y evaluar los riesgos a los que estaban sujetos los activos de la
información de la empresa “Pinocho”
➢ Comprender toda la protección de la información contra acceso, modificación o
divulgación no autorizada, así como también servirá para garantizar la
disponibilidad de la información.
➢ Promover las mejores prácticas de seguridad al desarrollo o adquisición de
sistemas de información.
➢ Implementar las normas de seguridad y concientizar al usuario de dichas normas
para la protección de los activos de información.

10
MARCO TEORICO
Para el desarrollo de esta investigación es fundamental conocer ciertos términos que
serán usados para su desarrollo.
Definiciones:

Factores de riesgos. - Manifestaciones o características medibles u observables de un

proceso que indican la presencia de riesgo o tienden a aumentar la exposición, pueden ser
interna o externa a la entidad.

Impacto. - Es la medición y valoración del daño que podría producir a la empresa un

incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de
los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles.

Riesgo. - Proximidad o posibilidad de un daño, peligro, etc. Cada uno de los imprevistos,
hechos desafortunados, etc., que puede cubrir un seguro.

Seguridad. - Cualidad o estado de seguro. Garantía o conjunto de garantías que se da a

alguien sobre el cumplimiento de algo. Se dice también de todos aquellos objetos,
dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso
de una cosa: cierre de seguridad, cinturón de seguridad.

Seguridad física. - Consiste en la aplicación de barreras físicas y procedimientos de control,

como medidas de prevención ante amenazas a los recursos e información confidencial que
puedan interrumpir procesamiento de información.

Seguridad lógica. - Consiste en la aplicación de barreras y procedimientos para mantener la

seguridad en el uso de software, la protección de los datos, procesos y programas, así como
la del acceso ordenado y autorizado de los usuarios a la información.

Seguridad de las redes. - Es la capacidad de las redes para resistir, con un determinado nivel
de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o

11
transmitidos y de los correspondientes servicios que dichas redes ofrecen o hacen accesibles
y que son tan costosos como los ataques intencionados.

Seguridad en los recursos humanos. - Consiste en los controles que se deben tener con
respecto a la selección, contratación, capacitación y despido del empleado.

Seguridad Informática. - Son técnicas desarrolladas para proteger los equipos informáticos
individuales y conectados en una red frente a daños accidentales o intencionados.

Vulnerabilidad. - Cualquier debilidad en los Sistemas de Información que pueda permitir a

las amenazas causarles daños y producir pérdidas.

12
DESARROLLO DE LA INVESTIGACIÓN

Un plan estratégico de seguridad informática está basado en un conjunto de políticas de

seguridad elaboradas previo a una evaluación de los riesgos que indicará el nivel de seguridad
en el que se encuentre la empresa. Estas políticas deben ser elaboradas considerando las
características del negocio, la organización, su ubicación, sus activos y tecnología que posee
la empresa.

El proceso que se realizará para el diseño de un plan estratégico de seguridad informática en

relación al correo electrónico será el siguiente:

Ilustración 2 Fases de desarrollo

13
 FASE 1

El desarrollo de las políticas de Seguridad de la Información realizada en el departamento de

sistemas de la empresa “Pinocho”, proviene de la recopilación de información, hallazgos y
análisis de la situación actual del departamento basándonos en los controles de la ISO 27002
correspondientes a los once dominios de la norma:

➢ Política de seguridad
➢ Aspectos Organizativos de la Seguridad Informática
➢ Gestión de Activos
➢ Seguridad ligada a los recursos humanos
➢ Seguridad física y del entorno
➢ Gestión de comunicaciones y operaciones
➢ Control de acceso
➢ Adquisición, desarrollo y mantenimiento de sistemas de información
➢ Gestión de incidentes en la seguridad de la información
➢ Gestión de la continuidad del negocio
➢ Cumplimiento

EVALUACIÓN DE LOS RIESGOS

Con la evaluación de los riesgos podremos identificar las causas de los riesgos potenciales a
los que está expuesta la organización y cuantificarlos para que la gerencia pueda tener
información suficiente al respecto y optar por el diseño e implantación de los controles
correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferentes
puntos de análisis.
Los pasos para realizar una valoración de riesgos se detallan a continuación:

Ilustración 3 Valoración de riesgos

14
 1. Identificar los riesgos

En este paso se identifican los factores que introducen una amenaza para la organización.
Existen muchas formas para identificar los riesgos, pero para este análisis utilizaremos los
cuestionarios elaborados para cada fin como son evaluar la seguridad física, lógica, redes y
recursos humanos; los mismos serán respondidos por los miembros del área de sistemas y
recursos humanos.

Una vez identificados los factores de riesgo, con la ayuda de los integrantes de las áreas antes
mencionadas se procede a la ponderación de los mismos dando a cada uno de ellos su valor
de importancia y determinando así los de mayor relevancia por lo que a continuación se
desarrolla una matriz de riesgo.

15
Los riesgos identificados se muestran en la siguiente tabla:
Tabla 1 Principales riesgos

Elementos Alto Medio Bajo

El servidor de correo no se El servidor de El servidor de
administra por un Ingeniero Correo no cuenta correo no cuenta
Hardware de soporté capacitado con respaldo. con un arreglo de
disco.
El sistema operativo y el El servicio de correo No existen procesos
servicio de correo no cuenta Zimbra no cuenta de mantenimiento ni
Software con actualizaciones desde con licenciamiento. programa de
que se instaló, hace 5 años. contingencia.
La cuenta de administración Los buzones del Los usuarios
del servidor lo tienen el personal que ya no comparten su
Datos proveedor labora siguen contraseña para
existiendo en el acceder a su cuenta
servidor y están de correo del otro.
activos
No existe programa de No se cuenta con No existe
contingencia del servidor en procedimientos para procedimiento por
Procesos caso de que este falle. la administración parte de los usuarios
del servidor para las buenas
prácticas del correo.
Recursos El personal de TI no está No existen políticas Los usuarios no
Humanos capacitado para el soporte y para el buen uso del están capacitados
administración del Servidor. correo electrónico. para el buen uso del
correo electrónico.

16
 2. Determinar los controles existentes

Después de identificar las causas de los riesgos que afectan a la organización, se determinará
que riesgos el área de sistemas tiene bajo control y cuáles no, para así determinar las medidas
a tomar sobre estos.

Como se ha mencionado con anterioridad la organización no cuenta actualmente con

controles ni políticas que permiten conservar la seguridad de la información actualmente
cuenta con la siguiente información en relación al servicio del correo electrónico:
• Un enlace dedicado simétrica de datos de 50 MB
• Una red con una zona desmilitarizada entre la red interna y la externa
• Firewall Fortinet
• Servidor HP Proliant ML110 Gen8
➢ Torre 4U
➢ Procesador Intel XEON E3-1220V3 2.8GHz
➢ Nucleos Quad-Core
➢ Cache por procesador 8MB
➢ Memoria RAM de 16GB
➢ Control de Almacenamiento SAT Integrado
➢ Canales 6
➢ Soporta RAID
➢ Disco duro 1TB
➢ Puertos Ethernet 2 x Gigabit Ethernet
➢ Voltage nominal CA 120/230 V (50/60 Hz)

• Sistema Operativo
➢ CentOS (GNU/Linux Red Hat) Ver 6
• Software Servicio de correo
➢ Zimbra ver 8 de código abierto
• 150 usuarios aproximadamente
• Los clientes revisan su correo por:
➢ Portal web de Zimbra
➢ Microsoft Outlook
➢ Androi
▪ iOS

17
 3. Análisis de los riesgos (Matriz de riegos)

Desarrollar un proceso de análisis de riesgo para la empresa “pinocho” que permita

identificar el impacto que puede suceder en caso de que su servidor de correo tenga alguna
eventualidad. Como primer paso se identificará los cinco elementos esenciales que puede
representar una vulnerabilidad y riesgo en la seguridad de la información y del propio
servidor de correo.

Los valores nominales del impacto para el suso del servidor se definen a continuación de
acuerdo con el nivel de afectación:

Tabla 2 Nivel de afectación

Nivel de Descripción
Impacto
Muy Alto El nivel de afectación del servicio de correo electrónico, el riesgo está de
que el servicio no pueda restablecerse de forma inmediata, lo que lleva 10
días en restablecerse de maneta total.
Alto El nivel de afectación de los usuarios, el restablecimiento del servicio
puede llevar 4 días.
Moderado El servicio de correo electrónico se restablece de acuerdo con la prioridad
del trabajo, el restablecimiento del servicio puede llevar dos días.
Bajo El nivel de afectación para los usuarios solo puede llevar un par de horas.

Para calificar la probabilidad del riesgo se tienen los siguientes parámetros:

Tabla 3 Parámetros de probabilidad de riesgos

Propiedad Descripción
Casi Seguro Del 81% al 100% de posibilidad
Muy Posible Del 61% al 80% de posibilidad
Posible Del 41% al 60% de posibilidad
Poco Probable Del 21% al 40% de posibilidad
Raro Del 0% al 20% de posibilidad

En el siguiente cuadro podemos encontrar las descripciones de cada una de las

vulnerabilidades, así como la probabilidad de impacto y el indicador que determina si es de
impacto “Muy alto”, “Alto” o “Bajo”.

18
Tabla 4 Descripción de vulnerabilidades

Descripción de la
No Categoría Descripción del riesgo Prob. Impacto
vulnerabilidad
Si el servidor sufre algún
El servidor de correo daño no se cuenta con
no se administra por un personal capacitado para MUY
1 Hardware 80%
Ingeniero de soporté responder de manera ALTO
capacitado inmediata, depende de un
tercero
El servidor de Correo Si el servidor de correo se
MUY
2 Hardware no cuenta con daña no tienen forma de 90%
ALTO
respaldo. recuperar la información.
Si el servidor se daña el
El servidor de correo disco duro, no cuenta con
3 Hardware no cuenta con un un arreglo de disco que le 80% ALTO
arreglo de disco. permita hacer un espejo a
la información.
El sistema operativo y
El servidor está expuesto
el servicio de correo no
a un ciber ataque por no
cuenta con MUY
4 Software contar con las 90%
actualizaciones desde ALTO
actualizaciones del
que se instaló, hace 5
software.
años.
El servidor no podrá
El servicio de correo
recibir las actualizaciones MUY
5 Software Zimbra no cuenta con 80%
del software para proteger ALTO
licenciamiento.
la información y la red.
Si el servidor sufre una
No existen procesos de
contingencia no hay un
mantenimiento ni
6 Software documento o proceso que 60% ALTO
programa de
indique que hacer para
contingencia.
minimizar el impacto.
El proveedor puede hacer
La cuenta de
mal uso del servidor y
administrador del MUY
7 Datos exponer la información 90%
servidor lo tienen el ALTO
de los usuarios y de la
proveedor
empresa.
Los buzones de correo
Si el disco duro del MUY
8 Datos del personal que ya no 80%
servidor se llena el ALTO
labora siguen

19
 existiendo en el servidor dejara de operar
servidor y están correctamente.
activos.
Los usuarios Si el personal conoce las
comparten su contraseñas de otros
MUY
9 Datos contraseña para usuarios se expone la 90%
ALTO
acceder a su cuenta de información confidencial
correo del otro. y se vuelve vulnerable.
Al no contar con un
No existe programa de
programa de
contingencia del
10 Procesos contingencia, pone en 60% ALTO
servidor en caso de que
riesgo la operación de la
este falle.
empresa.
Si no existe un
No se cuenta con
procedimiento no es
procedimientos para la
11 Procesos posible asignar roles para 60% ALTO
administración del
la operación correcta del
servidor
servidor.
Si no se cuenta con
No existe
procedimiento para los
procedimiento por
usuarios se pone en riesgo MUY
12 Procesos parte de los usuarios 80%
la operación y la ALTO
para las buenas
seguridad de la
prácticas del correo.
información.
El personal de TI no Si no se cuenta con
está capacitado para el personal capacitado para
Recursos
13 soporte y la operación del servidor. 60% ALTO
Humanos
administración del La información se vuelve
Servidor. vulnerable.
Si no existen reglas y
No existen políticas
Recursos políticas todos los MUY
14 para el buen uso del 80%
Humanos usuarios hacen mal uso ALTO
correo electrónico.
del correo.
Si los usuarios no
Los usuarios no están conocen los riesgos que
Recursos capacitados para el esto representa, es muy MUY
15 80%
Humanos buen uso del correo constante que se ALTO
electrónico. presenten problemas de
operación de la empresa.

20
Una vez que le hemos dado un criterio de importancia a cada factor de riesgo procedemos a
confrontarlos con los activos informáticos mediante la elaboración de una matriz, en la cual
valoramos cada activo de acuerdo a cada factor de riesgo siguiendo la escala de riesgo Alto,
Medio y Bajo; para finalizar y obtener un peso o riesgo evaluado de un recurso procedemos
a realizar la siguiente operación: por cada activo realizamos una sumatoria de cada uno de
los resultados obtenidos de multiplicar la valoración del activo con respecto a cada factor de
riesgo por la ponderación de cada factor de riesgo. Y así determinaremos según el mayor
valor cuál es el más vulnerable y a raíz de estos resultados podremos determinar que
frecuencia de revisión deberá tener.
De acuerdo con la definición de los riesgos realizada se pudo encontrar que existen varias
vulnerabilidades que tienen asociado el mismo tipo de riesgo, por lo cual la evaluación esos
casos ha sido la misma en estos eventos.

Ilustración 4 Esquema ejemplo de Matriz de riesgo

21
Se muestra a continuación la matriz de riesgos incluyendo el numero identificador de cada
riesgo y de acuerdo con la probabilidad e impacto calculado:

Ilustración 5 Matriz de riesgo "Pinocho"

Estando ya identificados los riesgos, debemos proceder a valorarlos mediante una escala
como la que se presenta a continuación.
➢ Riesgo alto: Son todas las exposiciones a pérdida en las cuales la magnitud alcanza
la bancarrota.
➢ Riesgo moderado: Serán exposiciones a pérdidas que no alcanzan la bancarrota, pero
requieren una acción de la organización para continuar las operaciones.
➢ Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero.

22
CONTROLES CORRECTIVOS Y REACTIVOS

En este apartado se describirán los controles correctivos y reactivos para cada uno de los
riesgos:

Hardware

El servidor de correo no se administra por un Ingeniero de soporté capacitado:

➢ El director General o Gerente del área de TI deberá responsabilizar a una
persona para la administración y soporte al servidor de correo electrónico.
➢ Especificar y dejar en claro las funciones y responsabilidades del personal que
administrará y dará soporte al servidor de correo electrónico.
➢ Capacitar constantemente al responsable de la administración y soporte del
servidor de correo electrónico.

El servidor de Correo no cuenta con respaldo.

➢ El gerente del área de TI deberá definir la información a respaldar.
➢ Establecer un plan, programa y responsable de los respaldos periódicos.
➢ El gerente de TI deberá definir un lugar seguro donde se almacenará el o los
dispositivos o cartuchos de los respaldos.

El servidor de correo no cuenta con un arreglo de disco.

➢ Determinar la capacidad de los discos y de la tarjeta de arreglo.
➢ El responsable de administrar y dar soporte al servidor deberá considerar en
instalar un arreglo de disco con RAID 0 para el caso del SO y RAID 5 para el
caso de los datos.
➢ Establecer un programa para la revisión constante de la tarjeta de arreglo, así
como de los discos tanto lógico como físico.

23
Software

El servicio de correo Zimbra no cuenta con licenciamiento.

➢ Considerar en el presupuesto de TI el pago de licenciamiento anualmente del
software del servidor de correo (SO, servicio de correo electrónico y
antivirus).
➢ Adquirir el licenciamiento del Sistema operativo, el servicio de correo
electrónico y el antivirus que deberá actualizarse en el servidor.
➢ Considerar en el presupuesto de TI el pago de licenciamiento anualmente del
software del servidor de correo.

El sistema operativo no cuenta con actualizaciones desde que se instaló, hace 5 años.
➢ El responsable de administrar y dar soporte al servidor de correo electrónico
deberá establecer un programa de actualización del software periódicamente.
➢ El administrador del servidor de correo electrónico deberá llevar un Log y un
check list de lo que suceda en cada actualización del servidor.

No existen procesos de mantenimiento ni programa de contingencia.

➢ El administrador del servidor de correo deberá definir todos los posibles
riesgos que el servidor pueda sufrir en la operación.
➢ De acuerdo a los riesgos que pueda sufrir el servidor de correo electrónico el
administrador del servidor deberá definir los programas de contingencias.
➢ Para cada programa de contingencia el administrador del servidor de correo
deberá definir los procesos junto con los tiempos de respuesta.
➢ Dentro de los programas de contingencia el administrador del servidor deberá
realizar pruebas periódicas simulando cada contingencia.

24
Datos

La cuenta de administrador del SO y del servicio de correo Zimbra lo tienen diferentes

personas y el proveedor.
➢ El gerente de TI deberá definir por lo menos a dos personas que deberán tener
acceso a las cuentas de usuario y contraseña para la administración del
servidor de correo electrónico tanto para el Sistema Operativo como para el
servicio de Correo Electrónico.
➢ Establecer un contrato de confidencialidad de la información de acuerdo con
los estatutos de la empresa para el caso de alguna incidencia que este fuera del
alcance del administrador de correo y que se requiera dar acceso a un externo.
➢ Se deberá contar con programa para el cambio constante de las contraseñas
del SO y del servicio de correo.

Los buzones del personal que ya no labora siguen existiendo en el servidor y están activos

➢ Se debe contar con un procedimiento junto con el área de Recursos Humanos

para conocer cuando un usuario deja de laborar en la empresa.
➢ El administrador del servidor deberá establecer el procedimiento para dar de
baja o inactivar una cuenta de correo electrónico.
➢ El administrador del servidor deberá establecer un programa de
mantenimiento de los buzones da cada cuenta.

Los usuarios comparten su contraseña para acceder a su cuenta de correo de otro usuario.
➢ El gerente de TI deberá establecer las políticas para el uso de la cuenta y de la
contraseña del correo electrónico.

25
Procesos

No existen políticas para el acceso al servidor del correo electrónico.

➢ El gerente de TI deberá establecer las políticas para el acceso físico y lógico
del servidor de correo electrónico.

No se cuenta con procedimientos para el servicio de correo electrónico (Servidor).

➢ El gerente de TI junto con el administrador del servidor deberá establecer los
procedimientos para la administración y soporte del servidor de Correo
Electrónico.

No se cuenta con políticas y procedimientos por parte de los clientes para el buen uso del
servicio del correo electrónico.

➢ El gerente de TI junto con el administrador del servidor deberá establecer las

políticas y procedimientos para las buenas prácticas del servicio de correo
electrónico para todos los clientes que hacen uso del servicio.

Recursos humanos

El personal de TI no está capacitado para el soporte y administración del Servidor.

➢ Capacitar constantemente al responsable de la administración y soporte del
servidor de correo electrónico.

No se cuenta con procesos para la administración del servicio del correo electrónico en
relación con otras áreas de la empresa.
➢ Se debe contar con un procedimiento junto con el área de Recursos Humanos
para conocer cuando un usuario deja de laborar en la empresa.
➢ El administrador del servidor deberá establecer el procedimiento para dar de
baja o inactivar una cuenta de correo electrónico.

Los clientes no están capacitados para el buen uso del correo electrónico.

26
 ➢ El área de TI deberá contar con un programa de capacitación constante para
todos los usuarios para el buen uso y las mejores prácticas de los distintos
servicios de correo electrónico.

DESCRIPCION DE CONTROLES

La descripción de controles permite identificar las características de las condiciones actuales

del servicio de correo electrónico, a continuación, se muestran los principales rubros de
control:
Creación de Cuenta

➢ Es indispensable el formato universal con la autorización del jefe de

departamento y reporte de la mesa de ayuda para creación de cuentas.

➢ La dirección se compondrá de: nombre.apellido@ppinocho.mx

➢ Los nombres de Usuario deberán tener el formato: nombre., apellido.

➢ En caso de cuentas especiales el formato para el nombre debe ser

relacionado al evento

➢ Máximo de 20 caracteres. Mínimo 5.

➢ La creación tarda 1 día.

➢ Tienen derecho a este tipo de cuenta todo el personal que labore en la

empresa.

Contraseña

➢ Se recomienda actualizar su contraseña cada 6 meses, desde el acceso a

webmail.

➢ La contraseña debe contener: 7 caracteres mínimo, al menos una letra

mayúscula, un símbolo y un número.
➢ En caso de que el usuario solicite su contraseña, debe acudir personalmente

27
 con su identificación con el administrador de correo.
Espacio

• Buzones ilimitados con 30 GB de espacio

Restricciones de envío

➢ No se puede enviar y recibir archivos: exe xml

➢ El número máximo de destinatarios de un correo es de 100 direcciones.
➢ Solo se permite una cuenta para el reenvió (forward) a cuentas externas.

Acceso

➢ Acceso web (OWA): https://webmail.ppinocho.mx

➢ Programas de administración de correo electrónico:

➢ Outlook® configurado como POP3, SMTP (Soportado)
➢ Dispositivos móviles (Smartphone, ipad, tablet)

Eliminación de cuenta

Las cuentas del personal se eliminan cuando ya no pertenecen a la institución y/o salvo a
petición escrita por el responsable de la misma y/o jefe inmediato.

Las cuentas especiales será responsabilidad del solicitante informar de su eliminación.

Ayuda y Soporte

Para cualquier duda, comentario y/o ayuda deberá ponerse en contacto con la Mesa
de Ayuda a la Ext. 2294, Horario: 9:00 am a 6:00 pm e-mail: ayuda@ppinocho.mx
y levantar su reporte.

28
 Adicionalmente ponemos a su disposición el sitio http://ayudacorreo.ppinocho.mx
para consultar información del servicio.

Sanciones

El incumplimiento de la normatividad en el uso de correo electrónico institucional será

sancionado por las autoridades competentes en los términos que establece la normatividad
vigente y los procedimientos administrativos existentes de la empresa.
Las acciones que son prohibidas para los usuarios son las siguientes:

Generar o facilitar correos electrónicos comerciales no solicitados (spam). Esta

actividad incluye, entre otras, las siguientes acciones:

➢ Enviar correos electrónicos que infrinjan la ley contra spam.

➢ Enviar mensajes no autorizados mediante servidores abiertos de terceros.

➢ Vender, intercambiar o distribuir a un tercero las direcciones de correo

electrónico de cualquier persona sin su conocimiento y consentimiento para
tal divulgación.

➢ Enviar correos electrónicos no solicitados a un número considerable de

direcciones de correo electrónico que pertenezcan a personas o a entidades
con las que no hayas tenido relación anteriormente.

➢ Enviar, subir, distribuir, divulgar u ofrecerse a hacer todo lo anterior en

relación a contenido ilegal, difamatorio, de acoso, abusivo, fraudulento,
infractor, obsceno o que pueda ser considerado objetable por distintos
motivos.

➢ Distribuir intencionadamente virus, gusanos, defectos, troyanos, archivos

dañados, falsas alarmas o cualquier otro elemento de naturaleza destructiva
o engañosa.

➢ Transferir contenido que pueda resultar perjudicial para menores,

➢ Suplantar la identidad de otra persona (mediante su dirección de correo

29
 electrónico u otro sistema), así como utilizar un nombre o la fuente de
cualquier correo sin que te pertenezca.

➢ Transferir de forma ilegal la propiedad intelectual de otros u otra

información patentada sin el consentimiento de su propietario o proveedor
de licencia.

➢ Utilizar a la empresa como medio para infringir los derechos legales de

otros, como los derechos de privacidad y publicidad.

➢ Crear varias cuentas de usuario en relación con cualquier incumplimiento de

este Acuerdo o crear cuentas de usuario mediante sistemas automatizados o
con fines falsos o fraudulentos.

➢ Vender, comercializar, revender o explotar con fines comerciales no

autorizados o transferir alguna cuenta institucional.

➢ Como dirección de contacto para asuntos personales, políticos y religiosos.

➢ Para suscribirse a noticias, boletines, publicidad y cadenas de correos

diferentes a fines de la institución.

➢ Realizar comunicación de contenido pornográfico, ilícito o degradante entre

los empleados de la institución y particulares como proveedores y clientes.

GENERACIÓN DE POLITICAS
Para el área de TI

➢ Es responsabilidad del administrador del servidor de correo mantener actualizado

periódicamente el software del Sistema Operativo, Servicio de Correo Electrónico
y el Antivirus.
➢ Es responsabilidad del Gerente de TI pagar y actualizar las licencias de software
anualmente.

30
 ➢ Es responsabilidad del administrador del servidor de correo electrónico realizar
los respaldos periódicos y almacenarlos en un lugar seguro donde lo asigne el
gerente de TI.
➢ Es responsabilidad del administrador del servidor dar soporte de mantenimiento
preventivo y correctivo del servidor.
➢ Es responsabilidad del administrador del servidor monitorear el uso y
funcionamiento del servidor.
➢ Es responsabilidad del gerente de TI supervisar y hacer que se cumplan todos los
programas, registros, procedimientos, funciones, responsabilidades y políticas del
servicio de correo electrónico.

Correo electrónico

La organización, como muestra del respeto por los principios de libertad de expresión y
privacidad de información, no genera a los colaboradores ninguna expectativa de privacidad
en cualquier elemento que almacene, envíe o que reciba por medio del sistema de correo
electrónico propiedad de la compañía; en consecuencia, podrá denegar el acceso a los
servicios de correo electrónico, inspeccionar, monitorear y/o cancelar un buzón de correo
asignado.

Las comunicaciones por correo electrónico entre la empresa y sus públicos de interés deben
hacerse a través del correo homologado y proporcionado por la empresa. No es permitido
utilizar cuentas personales para comunicarse con los públicos de interés de la organización,
ni para transmitir cualquier otro tipo de información del negocio.

A los colaboradores que de acuerdo con sus funciones requieran una cuenta de correo, esta
se les asigna en el servidor una vez son vinculados.
Esta cuenta estará activa durante el tiempo que dure la vinculación del colaborador con la
compañía, excepto en casos de fuerza mayor o mala utilización que eventualmente puedan
causar la suspensión o cancelación de la misma. Una vez se produzca la desvinculación de la
persona, la cuenta será dada de baja en el servidor mediante una solicitud enviada a la mesa
de servicios.

31
Responsabilidad del uso de la cuenta

La cuenta de correo es institucional por tanto la información que se maneje es estrictamente

laboral.
Los Usuarios son completamente responsables de todas las actividades realizadas con sus
cuentas de acceso y el buzón asociado a estas.
La cuenta de correo electrónico institucional es personal, inviolable e intransferible.
La información trasmitida mediante el servicio del correo electrónico institucional es
responsabilidad única y exclusiva del usuario que la genera.
Confidencialidad

La institución se compromete a no ceder ni vender a terceros su información.

Todo el personal de la institución deberá garantizar el buen uso y manejo de la información
contenido en todos los recursos tecnológicos que le han sido asignados por la institución
exclusivamente para el desempeño de sus labores.
Ningún empleado de la institución podrá divulgar, extraer, recopilar o sustraer información
de los equipos informáticos de la institución sin la autorización del titular de la información.

Seguridad

En caso de incumplir alguna estipulación sobre seguridad relativa a los Servicios, incluido,
entre otros, el uso no autorizado de tu cuenta o contraseña, deberás notificarlo de inmediato
a la gerencia de TI para garantizar la protección de tu cuenta o contraseña, sal de la cuenta al
finalizar cada sesión.
Conservación

Es responsabilidad de cada usuario tener copias de respaldo (backup’s) de los mensajes de

sus carpetas de correo electrónico y de su agenda de direcciones electrónicas, en caso de
desconocer de las herramientas para la realización de estas acciones podrá solicitar asistencia
a la gerencia de TI. Los usuarios deberán de extraer la cuenta institucional aquellos correos
electrónicos que tengan información relevante y respalden elementos de algún procedimiento
desarrollado en la institución, almacenando los correos en el expediente o procedimiento
correspondiente.

32
Seguridad Física y del Entorno

El centro de procesamiento de datos y cuarto de equipos de TI, deben de estar en áreas

protegidas físicamente contra el acceso no autorizado, daño o interferencia y deben cumplir
con las políticas de seguridad física.
Estándares de la Política de Seguridad Física y del Entorno

Controles de acceso físico.

El acceso a áreas TI restringidas sólo se debe permitir para:

➢ Desarrollo de operaciones tecnológicas.

➢ Tareas de aseo (monitoreado por personal de la Dirección de Gestión Tecnología).
➢ Pruebas de equipos.
➢ Almacenamiento de equipos.
➢ Implementación o mantenimiento de los controles ambientales.

Los computadores deben bloquearse después de diez (10) minutos de inactividad, el usuario
tendrá que autenticarse antes de reanudar su actividad. Todos los colaboradores, consultores,
contratistas, terceras partes, deben bloquear la sesión al alejarse de su computador.
Seguridad de los equipos.

Para prevenir la pérdida de información daño o el compromiso de los activos de información

y la interrupción de las actividades de Pinocho, los equipos deben estar conectados a la toma
regulada destinada para tal fin.
Retiro de equipos.

Se deben tener en cuenta los procesos de instalación y retirada del equipo, de tal manera que
estos se hagan de forma controlada y segura. La protección de los equipos, incluso cuando
se utilizan fuera de la oficina, es necesaria para reducir el riesgo no autorizado de acceso a la
información y para protegerlo contra pérdida o robo.

33
 FASE 2

Para lleva cabo una implementación de un SGSI es necesario contar con una guía de carácter
internacional, que focalice la atención a los aspectos requeridos para un diseño exitoso e
implementación del Sistema de Gestión de Seguridad de la información, esta guía la
localizamos en la ISO 27003. Dentro de la familia de normas se tiene el estándar de ISO
27004 Este estándar concreto cómo configurar el programa de medición, qué parámetros
medir, cuándo y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y
criterios de éxito.

MEDICIÓN DE EFICACIA

La medición de la seguridad aporta protección a los sistemas de la organización y da

respuesta a las amenazas de la misma. La norma ISO27004 establece cómo se deben
constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el
SGSI.

Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de
la información son:
➢ Selección procesos y objetos de medición.

Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se
consideran en la medición los procesos bien documentados que son consistentes y repetibles.
Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el
comportamiento del personal.

➢ Definición de las líneas base.

Los valores base que muestran el punto de referencia deben definirse para cada objeto que se
está midiendo.

➢ Recopilación de datos.

Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas
automatizadas de recogida de datos para lograr una recolección estandarizada y presentar
informes.

34
 ➢ Desarrollo de un método de medición.

Según la ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributos del
objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para
mejorar el rendimiento de los programas de seguridad de la información.
➢ Interpretación de los valores medidos.

Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben

identificar las brechas entre el valor inicial y el valor de medición real.
➢ Comunicación de los valores de medición.

Los resultados de medición del SGSI se comunicarán a las partes interesadas. Se puede hacer
en forma de gráficos, cuadros de mando operacionales, informes o boletines de noticia, entre
otros.

DESARROLLO Y MANTENIMIENTO DE SISTEMA

Requerimientos de seguridad de los sistemas.

La Dirección de Gestión de Tecnología debe asegurar que todas las actividades relacionadas
con el desarrollo y mantenimiento de sistemas de información consideren la administración
de los riesgos de seguridad. Todos los requerimientos de seguridad se deben identificar
durante la etapa de requerimientos, al igual que justificar, acordar y documentarse, como
parte de todo el proyecto del sistema de información.

Seguridad de las aplicaciones del sistema.

Se deben desarrollar estándares que indiquen cómo se deben asegurar los diferentes sistemas,
aplicaciones y desarrollos, para minimizar la aparición de errores, pérdidas y modificaciones
no autorizadas o usos indebidos en la información de las aplicaciones.

Las aplicaciones que se desarrollen en Pinocho deben cumplir unos requerimientos mínimos
de seguridad, conforme a las buenas prácticas en seguridad de la información y a esta política
de seguridad. El diseño y operación de los sistemas debe obedecer a estándares de seguridad
comúnmente aceptados y la normatividad vigente.

35
Seguridad de los sistemas de archivos.

Se debe controlar el acceso al sistema de archivos y al código fuente de los programas. La

actualización del software aplicativo, las aplicaciones y las librerías, sólo debe ser llevada a
cabo por los administradores.

Seguridad de los procesos de desarrollo y soporte.

Se requiere de un control estricto en la implementación de cambios. Los procedimientos de

control de cambios deben validar que los procesos de seguridad y control no estén
comprometidos; igualmente deben cerciorarse de que los programadores de apoyo posean
acceso sólo a las partes en el sistema necesarias para desarrollar su trabajo, que dichos
cambios sean aprobados con un procedimiento adecuado y con la documentación
correspondiente.

CICLO DE MEJORA DE CONTINUA

La ISO 27001 se basa en el ciclo de mejora continua, también conocido como ciclo de
“Deming” el objetivo es ingresar este sistema de mejora para el tratamiento y la seguridad de
la información.

Ilustración 6 Ciclo de mejora continua

1. Planificación

Se deben definir los requisitos de capacidad futura, con el fin de reducir el riesgo a una
sobrecarga del sistema. Los requisitos operativos de sistemas nuevos se deben establecer,
documentar y probar antes de su aceptación. Los requisitos de restitución para los servicios
apoyados por diferentes aplicaciones se deben coordinar y revisar frecuentemente. Los

36
administradores de TI deben estar alerta a los riesgos asociados a estas tecnologías, así mismo
considerar la toma de medidas especiales para su prevención o detección.
Actualmente el desarrollo de las nuevas tecnologías ha tomado un rumbo esencial a la
estructura del negocio, así mismo ha aumentado los riesgos que las empresas tienen en sus
diferentes activos y se exponen a nuevas amenazas.
El siguiente esquema representa las amenazas que se deben de considerar para una
planificación exitosa:

Amenazas de
seguridad

Desastres
Humanas
naturales

Maliciosas No maliciosas

Errores o
Externas Internas
desinformación

Ilustración 7 Amenazas de seguridad

2. Implementación de SGSI

En este apartado se implanta el plan de tratamiento de riesgo que se ha desarrollado

anteriormente, el objetivo principal es conocer las medidas de acción en caso de ciberataque
o de un robo de datos.

En los sistemas de información es donde la mayor parte de la información procesada o no

procesada es resguardada, ya sea en equipos informáticos, soportes de almacenamiento y
redes de datos. Estos sistemas de información son activos que están sujetos a vulnerabilidades
y amenazas que pueden influir desde personal de la propia organización o del exterior.

3. Fase de control o de verificación

Las políticas de seguridad diseñadas e implementadas en una empresa cumplen un ciclo de

vida dentro de esta, es por ello que están propensas a cambios, mejoras o eliminación.

37
Las causas por las que se llega a la modificación de las políticas de seguridad son las
siguientes:

➢ Cambios en la tecnología empleada en la organización.

➢ Implementación de nuevos proyectos de software.
➢ Necesidades de regulaciones vigentes.
➢ Requerimientos especiales de clientes o proveedores.
➢ Cambios del negocio.

4. Actuación, mantenimiento y mejora

Este último paso en el ciclo de mejora continua consiste en actuar conforme a los controles
correctivos y reactivos en las vulnerabilidades identificadas en la fase 1, en el caso de que se
hubieran detectado errores que puedan poner en peligro la seguridad de la información, se
tendrán que tomar medidas correctoras.
En el caso de que las amenazas se hagan presentes se emplean los controles reactivos para
minimizar el impacto en las operaciones. También se tendrán que comunicar los resultados
y acciones tomadas a las partes interesadas.

Recomendaciones

➢ Se recomienda realizar las campañas concientización sobre la importancia de la

seguridad de la información, esta campaña será dirigida a todo el personal de la
empresa.

➢ Se debe realizar difusiones de las políticas de seguridad de la información a todo el

personal.

➢ Se recomienda contar con controles de prohibiciones de los activos de información

asignados a personal.

38
➢ Se recomienda contar con un documento formalmente en el cual conste las
responsabilidades que tiene que cumplir el colaborador con respecto a los activos
asignados a él.

➢ Se debe elaborar convenios sobre el buen uso de los activos y compromiso de

responsabilidad de los activos de información.

➢ Este convenció debería ser firmado por todos los empleados.

➢ Se recomienda que se tenga como política que se cambie la contraseña cada 30 días.

➢ Es necesario controlar la implementación de software en los sistemas operativos para

minimizar el riesgo de corrupción de la información.

➢ Se debe mantener un control estricto del acceso al código fuente de los programas del
correo, para así evitar copia, modificación o divulgación de los mismos.

➢ Se debe controlar estrictamente los cambios realizados en el software para minimizar

la corrupción de los sistemas. Los programadores deberán tener acceso únicamente a
la información que necesiten, todo cambio provendrá de un acuerdo y aprobación
previa.

39
CONCLUSIONES

El desarrollo de este trabajo fue por motivos de seguridad que existe actualmente en
las herramientas de Pinocho, las cuales son incapaces de anticiparse al uso indebido del
correo electrónico por parte de sus usuarios. Actualmente vivimos en la llamada sociedad de
la información, donde esta juega un papel esencial en las actividades económicas. La
protección de la información confidencial como los proyectos o los activos es una parte
crucial en el presente y en el futuro de las empresas. Por ello la empresa debe invertir capital
en protegerse frente a la competencia y atacantes maliciosos que puedan utilizar sus propios
proyectos contra ella. Hoy en día el objetivo esta puesto sobre los empleados y los fallos que
pueden cometer. Por consiguiente, se ha implementado esta herramienta reduciendo las
posibilidades de realizar una filtración y protegiendo así, la seguridad de los activos.
En este trabajo trata de implementar políticas de seguridad capaz de prevenir los
ataques internos que pueden costar grandes pérdidas económicas a la empresa.
Se ha diseñado para actuar ante la ingeniería social que hoy en día es una de las
metodologías que explotan los atacantes para llevar a cabo las fugas de información. Para
comprobar la culminación del proyecto, es importante comprobar los objetivos que se
pretendían alcanzar con este proyecto para proveer de un entorno seguro a la empresa.
Como conclusión, las fugas de información siempre han sido un gran problema en términos
de competencia y pérdidas para las empresas, puesto que los competidores del sector pueden
aventajarse utilizando los activos de la empresa propietaria. Por lo cual con esto se trata de
erradicar los problemas derivados de las malas prácticas de los empleados y se refuerza la
protección de los activos de las empresas eliminando los ataques internos que se pudieran
sufrir.

40
GLOSARIO.

Dominio. - Un dominio de Internet es una red de identificación asociada a un grupo de

dispositivos o equipos conectados a la red Internet.

Cinvestav. - Centro de Investigación y de Estudios Avanzados del Instituto Politécnico

Nacional

Usuario. - Persona, software, equipo o dispositivo que haga uso del servicio prestado por
los servidores que comprenden el servicio de Correo Electrónico Institucional

POP.- Post Office Protocol (POP3, Protocolo de Oficina de Correo o "Protocolo de Oficina
Postal") se utiliza en clientes locales de correo para obtener los mensajes de correo
electrónico almacenados en un servidor remoto.

SMTP. - Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de

Correo, es un protocolo de la capa de aplicación. Protocolo de red basado en textos utilizados
para el intercambio de mensajes de correo electrónico entre computadoras u otros
dispositivos (PDA's, teléfonos móviles, etc.).

IMAP. - Internet Message Access Protocol, o su acrónimo IMAP, es un protocolo de

aplicación de acceso a mensajes electrónicos almacenados en un servidor.

HTTP. - Hypertext Transfer Protocol o HTTP (en español protocolo de transferencia

de hipertexto) es el protocolo usado en cada transacción de la World Wide Web.

WWW (World Wide Web). - Sistema de distribución de información basado en

hipertexto o hipermedios enlazados y accesibles a través de Internet.

Internet. - Internet es un conjunto descentralizado de redes de comunicación

interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes
físicas heterogéneas que la componen funcionen como una red lógica única.

41
TCP/IP. - Conjunto de protocolos de red en los que se basa Internet y que permiten la
transmisión de datos entre computadoras

Red. - conjunto de equipos informáticos y software conectados entre sí por medio de

dispositivos físicos que envían y reciben impulsos eléctricos, ondas electromagnéticas o
cualquier otro medio para el transporte de datos, con la finalidad de compartir información,
recursos y ofrecer servicios.

Outlook. - Programa de organización ofimática y cliente de correo electrónico de

Microsoft, y forma parte de la suite Microsoft Office.

Cliente de Correo. - Programa informático que habilita al usuario a hacer uso del servicio
de red que permite enviar y recibir mensajes y archivos rápidamente.

Buzón de correo. - Espacio y recursos del servicio dispuestos para que un usuario utilice
el servicio de correo.

Formato Universal. - Formato utilizado para solicitar los servicios que proporciona
CGSTIC

42
Referencias

Jorge Batioja, J. G. (2019). Implementación del servicio de correo móvil que interactua con
un servicio Linux, utilizando la plataforma Enterprice Server. México : Politecnico
Nacional.

Iniciativa de calidad en el Servicio de Correo Electrónico en la Comunidad académico

científica
española, RedIRIS, gestionada por la Entidad pública empresarial RED.ES y financiada por
el
Plan Nacional de I+D+i
http://www.rediris.es/mail/race

ISO 27001
https://normaiso27001.es/a8-gestion-de-activos/
Pérez A, Maeda Y, Payes L, López H, Ordoñez A. (2019) Seguridad informática Recuperado
de. https://issuu.com/dreaaa/docs/seguridad_inform_tica
Turuel M, Lapresta José, Martínez N, Losilla P, Diestre A, Marco J (2006) Guía para la
implantación de un sistema de gestión de calidad. Recuperado de
http://fp.educaragon.org/files/guia_calidad_web.pdf
Bustamante, G. & Cano, J. (2014). Metodología de la seguridad de la información como
medida de protección en pequeñas empresas. Recuperado de
http://ojs.tdea.edu.co/index.php/cuadernoactiva/article/view/202/206

43