Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo Práctico:
Asesora:
María Pineda
23 de abril de 2022
2
3
Índice
ÍNDICE ................................................................................................................................................................ 3
ÍNDICE DE IMÁGENES .......................................................................................................................................... 5
ÍNDICE DE TABLAS ............................................................................................................................................... 6
INTRODUCCIÓN................................................................................................................................................... 7
CAPÍTULO 1 - MARCO CONCEPTUAL ..................................................................................................................... 8
1.1 DESCRIPCIÓN DEL PROBLEMA. ...................................................................................................................................................8
1.2 JUSTIFICACIÓN .......................................................................................................................................................................9
1.3 OBJETIVOS ..........................................................................................................................................................................10
1.3.1 Objetivo General .........................................................................................................................................................10
1.3.2 Objetivos Específicos ...................................................................................................................................................10
1.4 ALCANCE ............................................................................................................................................................................11
1.5 DESCRIPCIÓN DE LA EMPRESA .................................................................................................................................................11
1.5.2 Visión ..........................................................................................................................................................................11
1.5.3 Valores ........................................................................................................................................................................11
1.5.4 Estructura organizacional ...........................................................................................................................................12
CAPÍTULO 2 – MARCO TEÓRICO ......................................................................................................................... 13
2.1 ANTECEDENTES DE LA INVESTIGACIÓN ......................................................................................................................................13
2.2 SEGURIDAD DE LA INFORMACIÓN.............................................................................................................................................14
2.2.1 Confidencialidad .........................................................................................................................................................14
2.2.2 Integridad ...................................................................................................................................................................14
2.2.3 Disponibilidad .............................................................................................................................................................14
2.3 SEGURIDAD INFORMÁTICA .....................................................................................................................................................15
2.3.1 Seguridad de hardware ...............................................................................................................................................15
2.3.2 Seguridad de software ................................................................................................................................................15
2.3.3 Seguridad de red .........................................................................................................................................................15
2.4 VULNERABILIDAD .................................................................................................................................................................16
2.4.1 Vulnerabilidades del sistema.......................................................................................................................................16
2.4.2 Vulnerabilidades producidas por contraseñas.............................................................................................................17
2.4.3 Vulnerabilidades producidas por usuarios...................................................................................................................17
2.5 AMENAZA...........................................................................................................................................................................18
2.5.1 Amenazas de Malware ...............................................................................................................................................18
2.5.1.1 Virus ..................................................................................................................................................................................... 18
2.5.1.2 Gusanos ............................................................................................................................................................................... 18
2.5.1.3 Troyanos .............................................................................................................................................................................. 19
2.5.1.4 Ransomware ........................................................................................................................................................................ 19
2.5.1.5 Keyloggers ............................................................................................................................................................................ 19
2.5.2 Amenazas de ataques de denegación de servicio .......................................................................................................19
2.5.3 Otras amenazas informáticas .....................................................................................................................................20
2.6 SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN ...........................................................................................................21
2.6.1 Ventajas de la implantación de un SGSI ......................................................................................................................23
2.6.2 Desventajas de la implantación de un SGSI .................................................................................................................24
2.7 NORMA ISO/IEC 27001 ......................................................................................................................................................25
2.7.1 Beneficio de la Norma ISO/IEC 27001 .........................................................................................................................25
4
Índice de imágenes
Imagen-01-estructura ........................................................................................................................................... 12
Imagen-02-triada_seguridad_informatica ................................................................................................................ 14
Imagen-03-areas_de_la_seguridad ......................................................................................................................... 15
Imagen-04-vulnerabilidades .................................................................................................................................. 16
Imagen-05-amenazas ........................................................................................................................................... 18
Imagen-06-ataque_ddos ....................................................................................................................................... 19
Imagen-07-mitm ................................................................................................................................................. 20
Imagen-09-inyeccion_sql ...................................................................................................................................... 20
Imagen-10-pdca .................................................................................................................................................. 22
Imagen-11-iso-27001 ........................................................................................................................................... 25
Imagen-12-etapas_investigacion ............................................................................................................................ 30
Imagen-13-criptografia ......................................................................................................................................... 58
6
Índice de tablas
Tabla-01-articulos_ley53-07 ................................................................................................................................... 26
Tabla-02-articulos_ley126-02 ................................................................................................................................. 27
Tabla-03-articulos_ley_budapest............................................................................................................................. 27
Tabla-04-articulos_nortic ...................................................................................................................................... 28
Tabla-05-fases_pdca ............................................................................................................................................ 32
Tabla-06-confidencialidad ..................................................................................................................................... 35
Tabla-07-integridad ............................................................................................................................................. 35
Tabla-08-disponibilidad ......................................................................................................................................... 35
Tabla-09-amenazas_vulnerabilidades ...................................................................................................................... 36
Tabla-10-tabla_riesgos ......................................................................................................................................... 37
Tabla-11-clasificacion_riesgos ................................................................................................................................ 37
Tabla-12-invetario_activos .................................................................................................................................... 38
Tabla-13-analisis_riesgo ........................................................................................................................................ 40
Tabla-14-riesgo_residual ....................................................................................................................................... 41
Tabla-15-controles_a5 .......................................................................................................................................... 42
Tabla-16-controles_a6 .......................................................................................................................................... 44
Tabla-17-controles_a7 .......................................................................................................................................... 49
Tabla-18-controles_a8 .......................................................................................................................................... 51
Tabla-19-clasificacion_informacion ......................................................................................................................... 53
Tabla-20-controles_a9 .......................................................................................................................................... 54
Tabla-21-controles_a10 ........................................................................................................................................ 57
Tabla-22-controles_a11 ........................................................................................................................................ 59
Tabla-23-controles_a12 ........................................................................................................................................ 61
Tabla-23-controles_a13 ........................................................................................................................................ 64
Tabla-24-controles_a14 ........................................................................................................................................ 66
Tabla-25-controles_a15 ........................................................................................................................................ 67
Tabla-26-controles_a16 ......................................................................................................................................... 68
Tabla-27-controles_a17 ........................................................................................................................................ 70
Tabla-28-controles_a18 ........................................................................................................................................ 72
Tabla-29-controles_iso27002 ................................................................................................................................. 74
Tabla-29-declaracion_aplicabilidad ......................................................................................................................... 92
7
Introducción
La información es un recurso imprescindible, llegando al punto de ser un recurso vital para cualquier
organización, por esta razón, es de suma importancia la gestión adecuada para todos los procesos que
impliquen el tratamiento de la información, debido a que su manejo será un indicador de éxito o fracaso
para los objetivos dentro de una empresa que busca desarrollarse de manera exitosa.
El flujo de información, dentro de las empresas cambia a diario, con las operaciones logísticas, financieras,
administrativas, de recursos humanos, producción y en general todos los datos que se manejen dentro de
ella, y el éxito de las mismas dependen en su mayoría de los objetivos fijados.
Las empresas de carácter público tienen la necesidad de asegurar los activos concernientes a ella, debido a
que se le exige la seguridad de los mismos a la vista de todas las amenazas que surgen cada día y los
diversos ataques que enfrentan muchas instituciones a nivel mundial, aquí es donde la seguridad toma el
papel más importante guiando a las entidades a un entorno seguro y confiable por medio de procedimientos,
políticas, estándares, controles, sistemas, etc.
Debido a las múltiples amenazas y riesgos que se generan en el espacio cibernético, es de vital
importancia que las empresas cuenten con una estrategia de seguridad basada en los riesgos
que podrían ocurrir y que estén alineadas con las necesidades de la organización, con elobjetivo
de contar con un Sistema de Gestión de Seguridad de la información que respalde los activos
esenciales de la empresa.
1.2 Justificación
Estamos viviendo una era donde las empresas están apoyadas de la tecnología y los datos son el principal
activo que buscan proteger. Con la tecnología podemos brindar un alto nivel de competitividad y brindar
un buen servicio a nuestros clientes, sin embargo, nuestro principal activo está en constantes amenazas y
riesgos, ya sea por procesos que priven de la confidencialidad, integridad y disponibilidad de los datos y
los factores humanos.
Como nos indica la ISO 27001:2013, esta una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una
empresa, la cuales nos permitirán Obtener nuevos negocios y fidelizar clientes, Evitar las pérdidas
financieras y las sanciones asociadas con las vulneraciones de datos, Proteger y mejorar la reputación de
la organización y Cumplir con los requisitos comerciales, legales, contractuales y reglamentario.
1.3 Objetivos
1.4 Alcance
Este proyecto abarcará el diseño de un Sistema de Gestión de Seguridad de la Información “SGSI”, donde
se estarán aplicando políticas al departamento de tecnología de la información basándose en la norma ISO
27001:2013.
1.5.1 Misión
1.5.2 Visión
1.5.3 Valores
• Integridad: Todas las actuaciones del personal que labora en el Ministerio Administrativo de la
Presidencia (MAPRE) se realizan con transparencia y responsabilidad.
• Innovación: El personal del MAPRE desempeña sus funciones utilizando de manera creativa las
herramientas con las que cuenta para ello.
• Compromiso: Todos los colaboradores y colaboradoras del MAPRE están identificados con el
logro de los objetivos institucionales.
• Inclusión: En el MAPRE se respeta la diversidad en el marco del respeto a los derechos humanos.
• Transparencia: El personal del MAPRE ejecuta de forma transparente las actividades que realiza,
las cuales son de carácter público y deben ser accesibles al conocimiento de toda persona física o
jurídica.
12
Hoy en día, existen personas en todo el mundo que se han dedicado a realizar ataques a empresas,
organizaciones y hasta ataques dirigidos a personas específicas con el fin de obtener información paracometer
actos delictivos, con el fin de perjudicar a la víctima.
Actualmente se necesita garantizar que los sistemas de información incluyan criterios de seguridad, ya
que, esta debe de mantenerse segura para evitar exponer información confidencial, manteniendo su
integridad y confidencialidad de ella misma. Para garantizar esto, se implementan controles de seguridad,
las cuales son un conjunto de normas y procedimientos para garantizar lo que conocemos como la tríada de
la seguridad informática (Confidencialidad, integridad y disponibilidad) en los sistemas de información.
En la investigación relacionada al SGSI, se ha tomado como punto de referencia el SGSI basado en la norma
ISO/IEC 27001:2013 para el Ministerio administrativo de la Presidencia de 2021, donde habían propuesto
un SGSI para proteger los activos y procesos de la organización.
El Sistema de Gestión de Seguridad que nos basaremos, tiene como objetivo mantener el compromiso de
la alta dirección en la asignación de recursos, el compromiso del personal y el cumplimiento de objetivos,
sin descuidar el apego al marco legal y regulatorio que rige al ministerio.
14
2.2.1 Confidencialidad
2.2.2 Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es
igual a integridad referencial en bases de datos.) A grandes rasgos, la integridad es mantener
con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas
o procesos no autorizados.
2.2.3 Disponibilidad
Al hablar de seguridad informática es fundamental distinguir algunas de las tipologías que existen, siendo
los principales elementos a dar protección el software, la red y el hardware.1
Este tipo de seguridad se relaciona con la protección de dispositivos que se usan para proteger sistemas y
redes —apps y programas de amenazas exteriores—, frente a diversos riesgos.
Usado para salvaguardar los sistemas frente ataques malintencionados de hackers y otros riesgos
relacionados con las vulnerabilidades que pueden presentar los softwares.
Principalmente relacionada con el diseño de actividades para proteger los datos que sean accesibles por
medio de la red y que existe la posibilidad de que sean modificados, robados o mal usados. Las
principales amenazas en esta área son: virus, troyanos, phishing, programas espía, robo de datos y
suplantación de identidad.
2.4 Vulnerabilidad
Una vulnerabilidad de seguridad es una falla o debilidad en un sistema de información que compromete
su seguridad. Es un "defecto" que puede ser causado por un error de configuración, falta de proceso o
falla de diseño. Los ciberdelincuentes aprovechan las vulnerabilidades en un sistema informático (como
un sistema operativo) para infiltrarse y participar en actividades ilegales, robar información confidencial
o evitar que funcione.
Esta son las principales vulnerabilidades que pueden afectar las empresas y organizaciones hoy en día:
Los sistemas y aplicaciones informáticos siempre tienen algún error en su diseño, estructura o código que
genera alguna vulnerabilidad. Por muy pequeño que sea ese error, siempre podrá generar una amenaza
sobre los sistemas y la información, siendo la puerta de entrada para recibir ataques externos o internos.
Las principales vulnerabilidades suelen producirse en:
Imagen-04 | Vulnerabilidades
17
Con el teletrabajo y el cloud computing la gestión de contraseñas se ha convertido en uno de los puntos
más importantes en ciberseguridad. Para acceder a las plataformas de trabajo de las empresas es necesario
utilizar un usuario y contraseña. Utilizar contraseñas poco seguras genera vulnerabilidades en los sistemas,
pues si son fácilmente descifrables pueden generar incursiones de terceros no autorizados que pueden robar,
modificar o eliminar información, cambiar configuraciones si disponen de los privilegios apropiados, o
incluso apagar equipos
.
La generación de contraseñas seguras es una de las claves para incrementar el nivel de ciberseguridad de
las empresas.
Una de las principales causas de los ataques informáticos está relacionada con un uso incorrecto o
negligente por parte de un usuario. Una mala asignación de privilegios o permisos puede hacer que un
usuario tenga acceso a opciones de administración o configuración para las que no está preparado,
cometiendo errores que suponen una amenaza para la empresa.
El error humano es otra causa de riesgos en ciberseguridad. El usuario siempre tiene el riesgo de cometer
un error que pueda generar una vulnerabilidad que suponga una amenaza informática. Por eso en
ciberseguridad se tiende a automatizar procesos críticos para minimizar o eliminar el factor de riesgo del
error humano.
Las malas prácticas o la falta de formación en ciberseguridad también generan vulnerabilidades, como la
apertura de ficheros de dudosa procedencia, engaños por publicidad falsa, apertura de correos fraudulentos
y similares. Estas acciones son una amenaza a sufrir ataques como el phishing (suplantación de identidad)
o similares.
18
2.5 Amenaza
Es toda aquella acción que aprovecha una vulnerabilidad para atacar o invadir un sistema informático.
Las amenazas informáticas para las empresas provienen en gran medida de ataques externos, aunque
también existen amenazas internas (como robo de información o uso inadecuado de los sistemas).
Esta son las principales vulnerabilidades que pueden afectar las empresas y organizaciones hoy en día:
2.5.1.1 Virus
Los virus informáticos son un software que se instalan en un dispositivo con el objetivo de ocasionar
problemas en su funcionamiento. Para que un virus infecte un sistema es necesaria la intervención de un
usuario (intencionada o inintencionadamente).
2.5.1.2 Gusanos
Es uno de los malware más comunes que infectan los equipos y sistemas de una empresa, ya que no
requieren de la intervención del usuario ni de la modificación de algún archivo para poder infectar un
equipo. El objetivo de los gusanos es el de replicarse e infectar el mayor número de dispositivos posibles
utilizando la red para ello. Son una amenaza para las redes empresariales, porque un solo equipo infectado
puede hacer que la red entera se vea afectada en un espacio corto de tiempo.
Imagen-05 | Amenazas
19
2.5.1.3 Troyanos
Los troyanos son programas que se instalan en un equipo y pasan desapercibidos para el usuario. Su
objetivo es el de ir abriendo puertas para que otro tipo de software malicioso se instale.
2.5.1.4 Ransomware
El Ransomware se ha convertido en el malware más temido en la actualidad por las empresas. Consiste en
encriptar toda la información de la empresa, impidiendo el acceso a los datos y los sistemas y se pide un
rescate para poder liberar la información (normalmente en criptomonedas como bitcoins).
2.5.1.5 Keyloggers
Se instalan a través de troyanos y se encargan de robar datos de acceso a plataformas web, sitios
bancarios y similares.
Un ataque de denegación de servicio distribuido (DDoS) se produce cuando un servidor recibe muchas
peticiones de acceso, sobrecargando el sistema y haciendo que el servidor caiga o funcione de forma
incorrecta (acceso lento o rebotando mensajes de errores). Para realizar este tipo de ataques se utilizan
muchos ordenadores (bots) que de forma automatizada hacen peticiones a ese servidor.
Los ataques DDoS son muy habituales contra servidores o servidores web de empresas, por lo que es muy
importante disponer de medidas protectoras contra esta peligrosa amenaza que puede dejar fuera de servicio
la actividad de una empresa.
Existen muchas otras amenazas informáticas que afectan a las empresas como los ataques por Inyección
SQL que afectan a servidores de bases de datos empresariales, red de equipos zombies (utilizando
recursos de la empresa para actividades ilícitas), ataques MITM (man in the middle), etc.
Los ciberdelincuentes no descansan y siempre buscan nuevas formas de atacar, infectar y robar
información de las empresas, por lo que la ciberseguridad debe ser una actividad flexible y dinámica que
se adapte a las nuevas amenazas.
Las vulnerabilidades hacen susceptibles a las empresas de las amenazas informáticas. Eliminar
vulnerabilidades será por lo tanto una de las principales acciones de la ciberseguridad para reducir las
amenazas informáticas.
Imagen-07 | MITM
Imagen-08 | Phising
Con el fin de guiar a las empresas en este proceso, la norma ISO/IEC 27001 establece un conjunto
de estándares internacionales para el diseño, la implantación y el mantenimiento deun SGSI. En
este sentido, la norma señala el modelo PDCA (Plan, Do, Check, Act), que permite verificar los
resultados obtenidos y mejorar el sistema a través de cuatro fases cíclicas de gestión.
Imagen-10 | PDCA
La norma iso 27000 incluye el ciclo de Deming, como bien sabemos consiste en Planificar-
Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a todos los procesos. La metodología
PHVA se puede describir de la siguiente forma:
Una filtración de datos puede dañar una empresa hasta el punto de comprometer su viabilidad. La
implantación de un SGSI prepara a las organizaciones para reaccionar rápidamente ante cualquier amenaza o
eventualidad, minimizando su impacto o inclusoevitándose.
Un sistema de gestión garantiza que los riesgos sean asumidos, gestionados y minimizados de forma
sistemática. El proceso de evaluaciones periódicas ayuda a mejorar continuamente el sistema asegurando su
fiabilidad y máxima eficiencia. Un mal funcionamiento del SGSI podría comportar pérdidas económicas
asociadas tanto a ataques cibernéticos y filtraciones de datos como a interrupciones del servicio y fallos del
sistema.
Ventaja competitiva
Los SGSI mejoran la credibilidad de las organizaciones, ya que su implantación supone una garantía de
calidad que demuestra el compromiso de la empresa con la protección de la información que almacena y/o
transmite. En este sentido, disponer de la certificación ISO/IEC 27001 puede convertirse en un elemento que
diferencia una empresa de sus competidores.
Mantener la privacidad y la integridad de los datos es una prioridad de la mayoría de las organizaciones y,
especialmente, de aquellas que manejan información personal y sensible de sus clientes, usuarios y
proveedores.
24
Cumplimiento de la ley
Las empresas evitan sanciones relacionadas con datos almacenados, privacidad y protección
de datos, adecuando sus políticas de seguridad a las normativas y requisitos legales tanto
nacionales como internacionales.3
● Su puesta en marcha implica una inversión inicial de recursos dinerarios para hacer
frente a los gastos de implantación y auditoría.
● Existe detraer recursos humanos de la empresa, que deberán dedicar parte de su tiempo
a preservar que el proceso se ejecute según lo previsto. La persona o personasque se
involucren en el SGSI podrían dedicar entre el 10 y el 15 por ciento de su jornada
laboral a este proceso.
● Los procesos de implantación de un SGSI exigen un cambio de mentalidad y de
rutinas laborales frente a los que suelen aflorar reticencias.
● En ocasiones, estos procesos siguen las reglas del estándar internacional, pero podrían
no asegurar el cumplimiento de las normas internas. En el caso de la normativa de
protección de datos, la función de velar por su cumplimiento se atribuye a la AEPD por
Ley.
● Mayor costo de implantación, en relación con un solo sistema particular de gestión.
● Mayor esfuerzo en materia de formación, de organización y de cambio de la cultura
empresarial.
● Déficit de personal capacitado para la realización de auditorías de los sistemas de
gestión existentes.
● Se requiere de mayor esfuerzo en la planificación, el control de los procesos y en la
toma de decisiones.4
3
cenntanni. (1 de octubre de 2013).
4
protecciondatos. (24 de julio de 2018)
25
Le permite reducir los riesgos potenciales de vulnerabilidades en sus sistemas de TI, También mejora la
información que suelen manejar los empleados de la empresa Operaciones y servicios prestados, mejor
organización de las operaciones, Incrementar la competitividad de la empresadebido al interés en la misma,
proteger la integridad, confiabilidad y disponibilidad de la información.
Al momento de implementar un SGSI, debemos tomar en cuenta las implicaciones que estasconllevan, entre
ellas, las implicaciones legales, en el caso del SGSI para el Ministerio Administrativo de la Presidencia, este
marco legal nos permitirá conocer qué leyes pueden soportar, ya que, si se realiza un incumplimiento de
alguno de estos controles, puede estar cometiendo un delito en las regulaciones legales dominicana.
Esta ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información y
comunicación y su contenido, así como la prevención y sanción de los delitos cometidos contra éstos o
cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías en perjuicio de personas
física o morales, en los términos previstos en estaley. La integridad de los sistemas de información y sus
componentes, la información o los datos, que se almacenan o transmiten a través de éstos, las transacciones
y acuerdos comerciales o de cualquiera otra índole que se llevan a cabo por su medio y la confidencialidad
de éstos, son todos bienes jurídicos protegidos.
La cual regula toda relación comercial, estructurada a partir de la utilización de uno o más
documentos digitales o mensajes de datos o de cualquier otro medio similar. Aquí haremos
énfasis en los siguientes artículos:7
Esta trata del primer tratado internacional creado con el objetivo de proteger a la sociedadfrente a los delitos
informáticos y los delitos en Internet, mediante la elaboración de leyes adecuadas, la mejora de las técnicas
de investigación y el aumento de la cooperación internacional.
● Categoría A (normas universales), para las normas que aplican para todos los
organismos gubernamentales.
● Categorías E (normas especiales), para las normas que aplican a organismos
gubernamentales con características específicas dependiendo de sus funciones y
estructura orgánica, así como para iniciativas, proyectos o programas de gobierno, en
el cual se haga uso de las TIC.
Tabla-04 | Nortic
NORTIC A3 Es la norma que establece las pautas necesarias para lacorrecta implementación
de Datos Abiertos en el Estado Dominicano.
NORTIC A4 Establece las directrices que deben seguir los organismos a fin de lograr
interoperar con organismos del Estado Dominicano, permitiendo así el
intercambiode información de una manera efectiva.
NORTIC A5 Esta norma regirá la prestación y automatización de los serviciospúblicos del
Estado Dominicano.
NORTIC E1 Establece las directrices que deben seguir los organismos gubernamentales para
establecer una correcta comunicación con el ciudadano por medio delas redes
sociales.
29
Este tipo de investigación tiene como finalidad resolver un determinado problema, se enfocaen la búsqueda
y consolidación del conocimiento para su aplicación y, por ende, para el enriquecimiento del desarrollo
cultural y científico. Este tipo de investigación se divide en dos: Investigación aplicada tecnológica e
investigación aplicada científica.
1. En primer lugar, toda teoría tiene, en definitiva, una aplicación práctica. Desde la macroeconomía,
permitiendo realizar políticas económicas, hasta la medicina y los tratamientos de enfermedades.
2. Por otro lado, es de utilidad en el sector privado. Así, permite generar un nuevo conocimiento que
mejora los procesos productivos o la prestación de un servicio. A su vez, puede dar lugar a un
aumento en la calidad, una reducción de costes o una mayor protección medioambiental.
3. En otro orden, la propia Administración Pública también puede verse beneficiada. Las aplicaciones
prácticas sirven para mejorar las vidas de los ciudadanos. Conociendo esto, se puede administrar
de forma racional el dinero público.
30
1. Permite aplicar la ciencia a los problemas de la sociedad y las empresas. Para hacerlo, se nutre de
las enseñanzas de la investigación básica, de la que toma los conocimientos necesarios.
2. Su objetivo es resolver situaciones que se presentan en la realidad. Por eso, su enfoque es claro,
analizar y estudiar dichos problemas para encontrar soluciones.
3. Una vez se encuentran las respuestas, se puede aplicar en situaciones similares. Por este motivo,
puede ser duplicada por otros investigadores.
4. Su fin es crear nuevo conocimiento que mejore la vida de las personas, los procesos productivos
de las empresas o la prestación de servicios públicos y privados.
Esta se refiere al tipo de procedimientos de recopilación de información más empleados en las ciencias
sociales. Se trata de métodos de base lingüístico-semiótica. Emplean técnicas distintas a la encuesta y
al experimento, tales como entrevistas abiertas, grupos de discusión, o técnicas de observación
participante.
Todo método cualitativo aspira a recoger los discursos completos sobre un tema específico, para luego
proceder a su interpretación, enfocándose así en los aspectos culturales e ideológicos del resultado, en
lugar de los numéricos o proporcionales. Esto implica comprender el contexto natural y cotidiano del
fenómeno estudiado. También considera lossignificados que se le atribuyen y las valoraciones que las
personas hacen. Dicho de otro modo, y parafraseando a Taylor y Bogdan (1984), el método cualitativo
8
plantea comprender lo que la gente piensa y dice.
La metodología que vamos a implementar para este proyecto se basará en el ciclo de mejora continua
PDCA (planear, hacer, verificar, actuar) o ciclo de Deming de la iso 27001.
las fases y actividades que estaremos desarrollando serán presentada en el siguiente recuadro10
Este proyecto abarca el diseño de un Sistema de Gestión de Seguridad de la Información “SGSI”, donde
se estarán aplicando políticas al departamento de tecnología de la información basándose en la norma ISO
27001:2013.
Se pretende alcanzar primera etapa del ciclo de Deming, permitiendo reevaluar los procesos una y otra vez,
de forma cíclica, asegurando así el progreso continuo de la organización. Estas etapas consisten en:
Plan (planificar): es la primera etapa del ciclo de Deming y es donde se identifica el problema, se crean
objetivos para solucionarlo (como los SMART) y se designan los deberes para lograr dichos objetivos.
Do (hacer): en la segunda etapa del ciclo PHVA los empleados empiezan a trabajar en los cambios para
lograr los objetivos planteados, bajo instrucciones previas. En este proceso es recomendable mantener al
equipo supervisado y, de ser necesario, hacer una prueba piloto.
Check (verificar): transcurrido un periodo de tiempo previamente definido desde que se comienzan a hacer
las actividades, en la tercera etapa del ciclo de Deming se procede a evaluar los resultados con base en
los KPI seleccionados para cada objetivo. De este análisis se comprueba la eficiencia y eficacia de las
acciones tomadas.
Act (Actuar): en la “última” etapa del ciclo de Deming se toman decisiones con base en el aprendizaje
obtenido. Si hubo fallas, se definen acciones correctivas. Si, por el contrario, los resultados fueron óptimos,
se documenta dicho cambio y se integra dentro de los procesos empresariales.
34
La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo
en Sistemas de Gestión de Seguridad de la Información. Puedes conocer más sobre la norma ISO27005 en
el siguiente post ISO/IEC 27005. Gestión de riesgos de la Seguridad de la Información.
Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada
como soporte para aplicar de forma satisfactoria un SGSI basado en el enfoque degestión de riesgos.
35
3.6 Activos
Tabla-06 | Confidencialidad
Tabla-07 | Integridad
Tabla-08 | Disponibilidad
36
Objetivo:
Alcance:
Esta política se aplicará a todos los activos tanto físicos y tecnológicos
que sean
pertenecientes únicamente a la organización
Controles:
Área responsable:
Políticas:
• Toda política que sea: agregada, modificada o eliminada, debe ser aproada por la alta gerencia a cargo
de la seguridad de la organización.
• Toda política que sea: agregada, modificada o eliminada, debe ser emitida y notificada a todo el
personal interno y externo que laboren en la organización.
• Es responsabilidad de todo el personal de la organización, mantener la seguridad de la información
• Toda la información debe ser clasificada para determinar la valoración que tenga para la organización.
Independientemente del cargo que tenga en ella.
• La información interna o confidencial de la organización y usuarios en ella no puede estar disponible
ya sea, a personas o entidades que no pertenezcan a la organización, o sea, externas.
• Todo personal de la organización o aquellos que presten servicios a ella, debe tener el conocimiento
del SGSI.
• Todo personal de la organización sólo tendrá acceso a la información necesaria para cumplir con su
labor en la organización.
• Todo incumplimiento de una de las políticas implementadas en este SGGI, será sancionado por la
falta grave de incumplir las normas.
44
Objetivo:
Alcance:
Esta política se aplicará para todo el personal de la organización que labore de
manera interna o externa a ella.
Controles:
Área responsable:
Políticas:
Roles y responsabilidades de seguridad de la información
Departamento:
Responsabilidades:
Departamento:
• Dirección de TI.
Responsabilidades:
Departamento:
• Encargado de Ciberseguridad.
Responsabilidades:
Departamento:
Responsabilidades:
• Planificar, dirigir y coordinar las actividades del personal y las relaciones laborales, así como las
políticas y prácticas de una compañía.
• Reclutar y seleccionar personal, sabiendo concretamente cuáles son las carencias de talento y qué
perfil de persona podrá encajar en cada puesto de trabajo.
• Organizar los procedimientos de capacitación, promoción, transferencia y despido de personal.
• Planificar las negociaciones y procedimientos para la determinación de las estructuras salariales o
laborales.
• Evaluar el entorno de trabajo teniendo en cuenta el ambiente y el estado de cada trabajador.
• Llevar a cabo la administración de personal y de trámites como contratos, nóminas y otros.
47
Segregación de deberes
Todo personal de la organización es responsable de asegurar de que se cumplan las políticas y controles de
seguridad y se implemente de acuerdo al SGSI implementado.
En caso de que el personal, departamento o área de la organización que incumpla con lo establecido, será
sancionado con los lineamientos establecidos por la empresa.
Dispositivos Móviles
• Todo dispositivo asignado o personales que se conecten a la red deben ser registrados y evaluados por
un personal de TI para verificar la seguridad del dispositivo.
• Todo dispositivo que sea cancelado o perdido debe de notificarse al departamento de TI para realizar
el registro de la cancelación o pérdida del dispositivo.
• Todo dispositivo asignado debe contener una clave de seguridad o patrón para mantener la seguridad
del dispositivo.
• Todo dispositivo debe actualizar su software siempre y cuando haya una versión posterior a la
instalada.
• Todo dispositivo debe de mantener su información en ella segura, encriptando todos sus datos con
una clave privada.
48
Consejos preventivos:
• Se habilitará una zona con espacio suficiente para contener los dispositivos y materiales de trabajo.
• Se aislará los ruidos internos y externos propios de la casa.
• Se fijarán los cableados eléctricos sueltos en el área de trabajo.
• Se realizarán pausas para consumir sus alimentos.
• Se realizarán pausas para descansos si tiene cansancio o perdida de concentración.
Medidas de Seguridad:
• El usuario debe asegurarse de que su equipo contenga un antivirus la cual debe ser actualizado
semanal.
• Se bloquearán los puertos USB para los medios de almacenamientos externos.
• Se configurará protectores de pantalla con clave o huella cuando el dispositivo no esté en uso.
• No dejar ningún medio de almacenamiento externo/pendrives olvidados en el entorno de trabajo.
• Se realizarán pausas para descansos si tiene cansancio o perdida de concentración.
• Protector e pantalla con una activación de 5 minutos de inactividad
• Adobe Reader
49
Objetivos:
Alcance:
Esta política es aplicable para todos los empleados de la entidad.
Controles:
Área responsable:
Políticas:
Previo al Empleo.
• Se investigará al posible candidato con el fin de verificar si existen referencias en el ámbito profesional
• Tener en consideración las referencias del posible candidato.
• Se confirmará la veracidad del CV durante las entrevistas telefónica y presencial.
• Se comprobará las calificaciones académicas declaradas.
• Se comprobará si el posible candidato tiene la capacitación necesaria para desempeñar el rol.
Durante el Empleo.
Objetivos:
Alcance:
Controles:
Área responsable:
Políticas:
El inventario de activos busca realizar un inventario que nos permita identificar, clasificar
según su importancia, clasificar según el tipo de activo e identificar el propietario de cada
uno de los activos dentro de la organización.
Devolución de activos
Control para que todos los empleados, contratistas etc. devuelvan los activos de información una vez
finalizado el periodo de su utilización, contrato o acuerdo.
VALOR DEL
ACTIVO CONFIDENCIALIDAD
5 La información asociada al activo es solo accedida por el personal de alto rango,
(Muy Alto) pues su divulgación afectaría irreversiblemente a la organización.
4 La información asociada al activo es restringida y solo el personal autorizado puede
(Alto) acceder a ella, pues su divulgación afectaría gravemente a la organización.
La información asociada al activo es confidencial y solo el personal de algunas
3 áreas internas pueden acceder a ella, pues su divulgación afectaría considerablemente
(Medio) a la organización.
2 La información asociada al activo es de uso interno y solo el personal ABC puede
(Bajo) acceder a ella, pues su divulgación afectaría parcialmente a la organización
1 La información asociada al activo es pública y cualquiera puede acceder a ella,
(Muy Bajo) pues no impacta a la organización
• Todos los activos de la organización deben de estar etiquetados según la clasificación de activos
especificada en el recuadro anterior.
• Todas las etiquetas tendrán un color según su clasificación para poder reconocerse fácilmente.
Eliminación de medios
• Todos los medios de almacenamiento como discos duros o extraíbles serán debidamente destruidos
por el departamento correspondiente.
• Se mantendrá un registro de todos los medios de almacenamientos destruidos que contengan
información sensible.
54
Objetivo:
Alcance:
Esta política es aplicable a todos los activos y centros de datos en la
infraestructura de la organización.
Controles:
Área responsable:
Políticas:
• Se asignará privilegios mínimos para cumplir el rol asignado a todos los usuarios de la organización.
• Las cuentas de usuario solo se emitirán después de la aprobación formal de la gerencia de TI y de
Recursos Humanos.
• Todos los usuarios tendrán solo los permisos necesarios para acceder a cualquier activo de la
organización.
• El ciclo de vida de una cuenta de usuario que ha sido revocado, tendrá una duración de 30 días.
• Cualquier cambio de elevación o revocación de privilegios debe ser aprobado por el departamento TI.
• Es responsabilidad del usuario mantener sus credenciales privadas, en caso de divulgación y pase
algún incidente, dependiendo de su gravedad, puede llevar a la desvinculación.
• Queda prohibido escribir las credenciales personales en papeles, escritorios u cualquier otro lugar
visible para los demás.
• En caso de que pase algún incidente de seguridad se cambiarán todas las contraseñas de los usuarios.
• Queda prohibido escribir sus credenciales en lugares visibles.
• Las contraseñas para las credenciales deben de tener un mínimo de 8 caracteres.
• Queda prohibido el uso de las mismas credenciales para diferentes aplicaciones o servicios.
• Queda prohibido usar las credenciales ajenas o pasarle sus credenciales a un tercero.
A10. Criptografia
Objetivo:
Alcance:
Esta política tiene como alcance para todos los medios de transmisión de
datos, base de datos y medios de almacenamientos que estén en la
organización.
Controles:
A10. Criptografía
A9.1.1 Política de control de acceso.
A9.1.2 Acceso a las redes y a los servicios de red.
Área responsable:
Políticas:
• Todos los datos que sean transmitidos en la red local de la organización deberían estar cifrados por el
Estándar de cifrado avanzado (AES).
• Todos los medios de almacenamientos de información deberán de estar encriptados.
• Toda la información almacenada en las bases de datos deberá estar cifrada con el estándar AES o
SHA512
Imagen-13 | Criptografía
59
La seguridad física y ambiental busca proteger las áreas de la organización, considerando cada situación que
se puede presentar (Robo, incidentes, etc.), sin dejar de lado los factores ambientales (inundaciones,
terremotos, fuego, etc.).
Objetivo:
Alcance:
Esta política es aplicable en todas las áreas de la organización.
Controles:
Política:
Áreas seguras
• Se debe llevar un registro de todas las personas que acceden a las diferentes instalaciones de la
empresa, catalogando el acceso como visitante o empleado.
• Utilizar tarjetas de acceso o carnets para ingresar a cualquier departamento.
• Implementar dispositivo de identificación biométrica en las áreas requeridas.
• Las áreas de carga y descarga deberán ser controladas y aisladas para evitar el
acceso de personas no autorizadas.
• Cada departamento debe contar con extintores y botiquines de primeros auxilios
para los casos de emergencia.
• Las salidas de emergencias deben estar bien señalizadas y fáciles de encontrar.
• Implementar dispositivo de identificación biométrica en las áreas requeridas.
Equipamiento
Se debe evitar la pérdida o el robo de los activos, así como la interrupción a las operaciones
de la organización.
• Las computadoras en los puestos de trabajo deben estar bajo una política de
bloqueo de pantalla cada cierto tiempo de inactividad.
• El área de trabajo debe estar limpia y libre de documentación en papel.
• Los centros de datos y servidores deben estar debidamente ventilados para evitar el exceso de
humedad y el sobre calentamiento.
• Los servidores deben ser instalados en espacios protegidos, tomando en
consideración los desastres naturales.
• Se debe instalar una fuente de energía alterna para los casos de apagones o
interrupciones provocadas por fallas.
• Los cables de telecomunicaciones deben estar lejos de los cables del tendido
eléctrico para evitar interferencias y los posibles fallos de comunicación.
61
Objetivo:
Alcance:
Esta política es aplicable en todas las áreas de la organización.
Controles:
Área responsable:
Gestión de Cambios
Respaldo de la información
Objetivo:
Alcance:
Esta política es aplicable para toda la organización.
Controles:
Área responsable:
Políticas:
• Se debe tener una topología de red segmentada con el fin de poder validar alguna anomalía de manera
eficiente ya sea interna o externa.
• Se configurarán servicios de red seguro que garanticen la correcta transmisión de datos, siguiendo los
criterios de la triada de la seguridad.
• El oficial técnico de seguridad de la información debe controlar los accesos permitidos a los sistemas
de gestión y control, monitorear de cerca las actividades relevantes y mantenerlas en un registro.
• Se darán seguimiento al status de los dispositivos de red como routers y swtiches para evitar posibles
fallas que pudieran presentarse.
• Todos los usuarios deberán poner sus credenciales asignadas para acceder a la red de la organización
mediante el servidor RADIUS.
• Todos los datos transmitidos en la red de la organización estarán bajo una topología de red P2P.
• Se aplicarán sistemas criptográficos en las aplicaciones de mensajería electrónica como: correo
electrónico, redes sociales u otros, para que los datos no puedan ser interceptados por un tercero o sea
víctima de un ataque MITM.
• Toda la comunicación por medio de mensajería tendrá un cifrado de extremo a extremo donde solo
las personas que se están comunicando podrán ver el mensaje en texto plano.
• Se implementará un software DLP para la prevención de la fuga de información.
66
Objetivo:
Alcance:
Esta política es aplicable para todos los departamentos de la organización.
Controles:
Área responsable:
Políticas:
• Se debe asegurar de que las pruebas y los procedimientos de desarrollo del sistema se realicen con
éxito en entornos anteriores, para garantizar las pruebas de aceptación en el sistema.
• Sensibilizar la seguridad para el desarrollo de software seguro.
• Se implementará y normalizará las políticas para desarrollarse de manera segura, así como
herramientas de software para identificar líneas de códigos no seguras.
• Se debe definir una guía sobre los requisitos previos en los servicios de aplicación para garantizar que
los sistemas de información se analicen, caractericen y protejan.
67
Objetivo:
Alcance:
Esta política es aplicable para todos los departamentos de la organización.
Controles:
Área responsable:
Políticas:
• Se establecerá un acuerdo SLA con los proveedores para garantizar la CID de la información que
manejarán los proveedores.
• Se establecerán controles de calidad con los proveedores para garantizar la protección de la
información que manejarán los proveedores.
• Se establecerán controles para la devolución y eliminación de los activos para llevar un control y de
todo lo que manejan los proveedores externos.
68
Objetivo:
Alcance:
El alcance de esta política se dirige a todas personas que cuente con legítimo
acceso a los sistemas de información de la organización.
Controles:
Área responsable:
Políticas:
• Todos los incidentes que ocurran en la organización deberán ser reportado al encargado del
Departamento de Seguridad de la Información y a la Alta Gerencia.
• Deberá ser registrado todo el seguimiento del Incidente, desde su ocurrencia hasta su solución.
• Todos los usuarios de la organización que tengan conocimiento de algún incidente de seguridad,
deberán ser reportado inmediatamente al departamento correspondiente.
• El encargado del departamento de Seguridad de la Información deberá registrar todos los eventos que
ocurran en la organización.
• Las debilidades encontradas deberán ser reportadas inmediatamente al departamento correspondiente.
• Se registrarán los inicios y cierres de sesión de todos los dispositivos de la organización.
• Se registrarán los logs de Servidor SNMP llevar el registro del estado de todos los dispositivos que
formen parte de la red de la organización.
• Se registrarán las evidencias de las reuniones que se realicen virtuales y toda la documentación de la
organización.
• Dependiendo el tipo de incidente se realizará un análisis forense a los equipos y a la red de la
organización.
70
Objetivo:
Alcance:
Esta política es aplicable para los procesos críticos que garanticen la
continuidad en la organización.
Controles:
Área responsable:
Políticas:
• El departamento de TI debería verificar que todos los procesos críticos de la organización se incluyan
en el plan de Continuidad.
• Identificar el tiempo de recuperación de los servicios ante un incidente.
• Se debe identificar todos los procesos críticos de la organización que deben seguir operando 24/7.
• Se deberá realizar una auditoria periódicamente al plan de continuidad.
• Se realizará una revisión periódicamente a la aplicabilidad de los controles.
• Se capacitará el personal para que cada uno sepa qué hacer cuando se presente un escenario de
continuidad.
• Comprobar la implicación del personal en las labores de recuperación, verificando que todos los
usuarios se encuentren al tanto de sus responsabilidades.
72
A18. Cumplimiento
Objetivo:
Alcance:
Esta política es aplicable para toda la organización.
Controles:
A18. CUMPLIMIENTO
A18.1.1 Identificación de legislación aplicable y requerimientos contractuales
A18.1.2 Derechos de propiedad intelectual (IPR)
A18.1.3 Protección de registros
A18.1.4 Privacidad y protección de información personal identificable (PIR)
A18.1.5 Regulación de controles criptográficos
A18.2.1 Revisión independiente de seguridad de la información
A18.2.2 Cumplimiento con políticas y estándares de seguridad
A18.2.3 Revisión del cumplimiento técnico
Área responsable:
Políticas:
• Las revisiones tienen que ser realizadas por personal sin dependencia al personal que es auditado.
• Establecer la manera de comprobar cómo se cumplen los requisitos de estabilidad de la información
definidos en las políticas, reglas y en otras regulaciones aplicables.
• Considerar la utilización de sistemas de medición automática y herramientas de informes.
• Entablar medidas correctivas antecedente de que dichos fallos logren dar por sentado una amenaza
real para el sistema.
• Llevar a cabo controles para garantizar que no se exceda el número mayor de usuarios autorizado en
cada licencia.
• Conservar los registros de activos apropiados, e detectar todos los activos con requisitos para defender
los derechos de propiedad intelectual.
• Documentar los controles y las responsabilidades personales para consumar estos requisitos
reglamentarios y contractuales
• Llevar a cabo métodos apropiados para garantizar el cumplimiento de los requisitos legislativos, de
reglamentación y contractuales involucrados con los derechos de propiedad intelectual y la utilización
de productos de programa patentados.
74
Anexo
Glosario de Términos.
• Acción Correctiva: Acción para eliminar la causa de una no conformidad y prevenir su repetición.
Va más allá de la simple corrección.
• Acción Preventiva: La organización debe mejorar de forma continua la eficacia del SGSI a través
del uso de la Política de Seguridad de la Información, Objetivos de Seguridad de la Información,
resultados de auditorías, análisis de eventos monitorizados, acciones correctivas y preventivas y la
revisión por la dirección.
• Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la
organización.
• Confidencialidad: propiedad que determina que la información no esté disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
• Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más
simple, es una medida que modifica el riesgo.
• Control Correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que
produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado pero que se corrige.
• Control Preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado.
Impide que una amenaza llegue siquiera a materializarse.
99
• Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto
al riesgo. Se compone de la evaluación y el tratamiento de riesgos.
• ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación
de organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar
estándares.
• No repudio: Los activos de información deben tener la capacidad para probar que una acción o un
evento han tenido lugar, de modo que tal evento o acción no pueda ser negado posteriormente.
• Plan de Continuidad del Negocio: Plan orientado a permitir la continuación de las principales
funciones del negocio en el caso de un evento imprevisto que las ponga en peligro.
• Plan de Tratamiento de Riesgos: Documento que define las acciones para gestionar los riesgos de
seguridad de la información inaceptables e implantar los controles necesarios para proteger la misma.
• Sistema de Gestión de la Seguridad de la Información (SGSI): Parte del sistema de gestión global,
basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar,
operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información.
• Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
101
Referencias Bibliográficas
Conclusión
Luego de realizar este trabajo de investigación donde se detallaron los activos y la valoración de ellos mismos
junto a las políticas que se recomiendan, entendemos que el Ministerio administrativo de la Presidencia debe
poseer un sistema de gestión de seguridad de la información, ya que la manera en que se está manejando los
diferentes riesgos presentes en la empresa no es la más eficiente por lo que entendemos que el Sistema de
Gestión va a perfeccionar el manejo de la información en ámbitos de seguridad, desarrollando nuevos
métodos de seguridad para los activos de información con lo que esta interviene por el valor que tienen estos
activos para la organización, lo que le brinda una adaptación contra los riesgos y amenazas a la que esta
confronta diariamente por medio de controles, normas y políticas de seguridad.
Dentro del grupo de ventajas que nos ofrece este SGSI es la implementación de controles de seguridad para
la mitigación de los riesgos y amenazas a la que se ve afectada la organización, ya que la ejecución de este es
fundamental para el desarrollo de la organización por la creciente necesidad que hemos descubierto en la falta
de un grupo de controles de seguridad para salvaguardar correctamente de la información.
103
Recomendaciones
Con la finalidad de asegurar el éxito del Sistema de Gestión de Seguridad de la Información (SGSI) es de
vital importancia contar con el apoyo incondicional de la alta gerencia para la aprobación, divulgación y su
aplicación en la empresa.
Realizar auditorías periódicamente para verificar que los controles aplicados estén funcionando según lo
establecido, o por si es necesario hacer un cambio significativo en la documentación del Sistema de Gestión
de Seguridad de la Información.
Catalogar e identificar los activos y asignarles un nivel de defensa según su criticidad, indicando como
deberían ser tratado y salvaguardado; para así conservar una idónea protección de los activos.