Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Articulo Cobit5 Cisic 2017RG
Articulo Cobit5 Cisic 2017RG
net/publication/318509533
CITATIONS READS
0 6,040
4 authors:
Some of the authors of this publication are also working on these related projects:
Testbed for Dual Connectivity based on Open Air Interface View project
All content following this page was uploaded by Luis Suárez Zambrano on 19 July 2017.
Técnica del Norte, Av. 17 de Julio 5-21 y Gral. José María Córdova, Ibarra,
Ecuador, Código postal: 100105.
Correo electrónico para correspondencia: {fgcuzme, lesuarez, clbrachoo,
chpupiales}@utn.edu.ec
DISEÑO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN BASADO
EN EL MARCO DE REFERENCIA COBIT 5
Resumen:
Abstract:
Currently, all the information exchanged in our networks has problems related to three
main factors such as confidentiality, integrity, and availability. In this context, in order to
guarantee the correct use of information in both public and private organizations, they
must ensure the fulfillment of those three factors; therefore, there are several rules,
standards, better practices, and reference frameworks such as ISO, COBIT, ITIL, CMMI,
PMBOOK, and OSSTM in TI market that can be used for that purpose. For this reason,
organizations should be smart enough to make the right decision and choose the suitable
framework for their needs while the performance of their organization is satisfied and
information is secured enough in all levels. This research presents a novel methodology
under COBIT 5 framework which allows the management of TI security policies for local
governments, GADS, in Ecuador. Finally, the designed methodology corresponds to a
basic research modality that is suitable for its implementation and generalization in other
organizations.
Introducción:
El Ecuador también está incluido en las estadísticas sobre cyberdelitos, a partir del año
2010 se presenta un importante crecimiento en el porcentaje de casos reportados por este
tipo de delitos, el más importante ocurrió en el año 2015 cuando cyberatacantes
accedieron a equipos de 17 firmas privadas e instituciones públicas de Quito, Guayaquil
y Cuenca. En los últimos cuatro años entre los sitios web atacados se encuentran el de la
Policía Nacional, de los Gobiernos Autónomos Descentralizados Municipales de Chone
(Manabí), Durán (Guayas), Baños (Tungurahua) y varios de la Provincia de Chimborazo,
a esto se suman cyberataques dirigidos a la Asamblea Nacional, los cuerpos de Bomberos
de diferentes ciudades, la Casa de la Cultura, los Ministerios de Ambiente, Transporte y
Obras Públicas, Desarrollo Urbano, Finanzas Producción, entre otros. (Bravo, 2015)
Seguridad de la información
Además, se tienen las Normas de Control Interno para el Sector Público del Ecuador, a
partir del apartado 410 en donde se contemplan 17 numerales para normar internamente
las Unidades de Tecnologías de la Información, y en especial el numeral 04 para políticas
y procedimientos que deben adoptar dichas Unidades Departamentales. (Contraloría
General del Estado, 2009). Código Orgánico Integral Penal (COIP) que tipifica las
sanciones e infracciones penales y se establecen procedimientos para el juzgamiento de
las personas que hayan cometido algún tipo de infracción. (Asamblea Nacional de la
República del Ecuador, 2014)
Método:
Tabla 1
Resultados finales de la aplicación de la metodología OSSTMM v3
VALORES DE ANÁLISIS
Canal Humano Físico Inalámbrico Redes de Datos Promedio
Ítem
OpSec 9.48 11.43 8.43 12.29 10.41
Limitaciones 14.04 16.12 11.76 20.10 15.51
Controles Verdaderos 5.4 6.21 4.34 6.99 5.74
Seguridad ∆ -18.11 -21.34 -15.85 -25.39 -20.17
Protección Verdadera 81.89 78.66 84.15 74.61 79.83
Seguridad Actual 81.95 ravs 78.79 ravs 84.26 ravs 74.81 ravs 79.95 ravs
Nota. Recuperado de (Bracho, 2017)
Catalizadores de COBIT
Primeramente, se debe definir las personas que aprueban las políticas dentro de la
organización, las consecuencias de no cumplir con una o un conjunto de políticas en
particular, los mecanismos para la gestión de las excepciones, y la forma en que se
comprobará y medirá el cumplimiento de las políticas.
de
Requerimientos de Seguridad de
Estrategia de Seguridad de la
la
de
Seguridad de la Información
Seguridad de la Información
O: Organizador
Catálogo de Servicios
Informes de Revisión
Material de Concienciación
I: Informado
Plana de Seguridad
U: Usuario
de la Información
la Información
la Información
Información
Información
Políticas
Interno: Empresa
Consejo Municipal U I U I A
Comité de Informática y U A U I U
Director de Planificación
Director Financiero A U U U
Encargado del Área de O U O O A A A A U U
Sistemas
Comité de Informática A O A U U I U I U U
Seguimiento y Evaluación U O U U U
Jefe de Talento Humano U U
Interno: TI
Encargado del Área de U O U U U U I U U
Sistemas
Encargado del Área de U U U O U O O O O O
Sistemas
Externo
Inversores (No Aplica) I
Aseguradores I I I
Auditoria Interna I I I
Vendedores/Proveedores I
Contraloría General del I I I I I
Estado
Nota. Adaptado de (ISACA, 2012)
• Grupos de interés: se debe tomar en cuenta los entes que son parte activa dentro
de la organización, éstos pueden ser internos o externos a la misma, tomando en
cuenta que dichos grupos de interés deben aportar al cumplimiento de las metas y
objetivos de TI de la organización.
• Metas: cada catalizador debe cumplir con una meta específica dentro de la
organización, deben también enfocarse en aportar al cumplimiento de la visión de
la organización y de las unidades departamentales que hacen uso de los recursos
de TI.
• Ciclo de vida: para todas las políticas se debe definir de manera general un ciclo
de vida o tiempo, en el cual debieron apoyar en la consecución de las metas
planteadas tanto a nivel general como particular.
• Buenas prácticas: permite que las políticas se enmarquen en un ámbito global y
se estructuren de manera jerárquica, tratando de sintetizarlas de la manera correcta
para que se apeguen a los principios de la organización y del entorno.
Resultados:
El GADM del Cantón Mira deberá definir e implantar los controles necesarios para
proteger la información contra los tres principios básicos: confidencialidad, integridad y
disponibilidad.
El personal debe ser adecuadamente seleccionado antes de ser contratado, luego debe ser
fácilmente identificable mientras forme parte del GADM y su acceso a los activos de la
institución debe ser revocado oportunamente una vez que haya finalizado su contrato o
haya sido transferido.
• Políticas de seguridad física y ambiental
Para asegurar que los activos de la información reciben el nivel de protección adecuado,
el Área de Sistemas del GADM es responsable de definir la metodología de clasificación
de los activos de información, mismos que se deben clasificar según la necesidad, las
prioridades y el grado de protección esperado en el manejo de los mismos.
• Reglas de comportamiento
Para salvaguardar la privacidad de los documentos físicos que se manejen con reserva, se
debe proveer de un mecanismo de almacenamiento con llaves, mismas que manejen solo
el personal que tenga acceso a dichos documentos.
• Políticas de adquisición, desarrollo de software y mantenimiento de sistemas
informáticos
El Área de sistemas del GADM debe proveer las medidas de seguridad en los sistemas
de información desde la fase de requerimiento, y deben ser incorporados en las etapas de
desarrollo, implementación y mantenimiento.
Los deberes y áreas de responsabilidad deben estar adaptadas para reducir las
oportunidades de una modificación no-autorizada o mal uso no-intencional o mal uso de
los activos de la organización.
• Política de cumplimiento
Conclusiones:
Agradecimientos:
Referencias: