Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asesor,
Ingeniero Cesar Rodríguez
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
_______________________________________
Firma Presidente del Jurado
______________________________________
Firma del Jurado
_______________________________________
Firma del Jurado
Agradecemos a todas las personas que han estado juntos a nosotros durante el
desarrollo como profesionales.
A todos los docentes durante el proceso de nuestro ciclo, pues sin su ayuda,
conocimiento y experiencia no hubiéramos podido terminar con éxito y alcanzando
los resultados esperados. Al ingeniero Cesar Rodríguez por sus consejos y apoyo
durante el transcurso del proyecto, que no solo nos guio como especialistas sino
como mejores personas y profesionales, de la misma manera por sus aportes
como docente y persona para el desarrollo de este documento.
pág.
1. TÍTULO 15
2. INTRODUCCIÓN 16
4. JUSTIFICACIÓN 20
5. OBJETIVOS 23
6. MARCO TEÓRICO 24
7. MARCO HISTÓRICO 33
6
8. DISEÑO METODOLÓGICO 35
8.1 INTRODUCCIÓN 35
8.2 DESCRIPCIÓN DEL ESTUDIO CUANTITAVO 36
8.2.1 Los Estudios Cuantitativos 36
8.2.2 Investigación Analítica 36
8.2.3 Estudio Exploratorio 37
8.3 OBJETOS DE ESTUDIO 38
8.4 INSTRUMENTOS A UTILIZAR Y FUENTES DE DATOS 38
8.4.1 Fuentes de Datos Primarios 39
8.4.2 Fuentes de Datos Secundarios 39
8.5 RECOLECCIÓN DE DATOS 39
8.5.1 Instrumento de Medición 39
8.6 MÉTODOLOGIA DE RECOLECCIÓN DE DATOS 41
8.7 VARIABLES 43
8.7.1 Clases de Variables 43
8.8 SELECCIÓN Y MUESTRA DE LA POBLACIÓN 44
8.8.1 Objeto de Estudio #1 44
8.8.2 Objeto de Estudio #2 45
8.8.3 Objeto de Estudio #3 46
8.8.4 Objeto de Estudio #4 47
10.1 ENCUESTA: 50
10.1.1 Departamento de Sistemas 50
10.1.2 Infraestructura e Inversión 52
10.1.3 Software Libre 57
10.1.4 Esquemas de Seguridad 62
10.1.5 Incidentes de Seguridad 68
10.2 AUTODIAGNÓSTICO ISO/IEC 27001:2005 74
10.2.1 Objeto de Estudio #1 75
7
10.2.2 Objeto de Estudio # 2 75
10.2.3 Objeto de Estudio # 3 76
10.2.4 Objeto de Estudio # 4 77
10.3 ANÁLISIS DE RIESGO 78
10.3.1 Objeto de Estudio # 1 80
10.3.2 Objeto de Estudio # 2 81
10.3.3 Objeto de Estudio # 3 82
10.3.4 Objeto de Estudio # 4 84
10.4 PROCESO DE IMPLANTACIÓN DE CONTROLES BASADOS EN SOFTWARE LIBRE. 85
10.4.1 Disminución de Riesgo con Software Libre sin Área de Sistemas Existente 85
10.4.2 Disminución de Riesgo con Software Libre con Área de Sistemas Existente 92
10.5 ANÁLISIS DE DATOS POST-IMPLEMENTACIÓN DE CONTROLES 109
10.5.1 Objeto #1 109
10.5.2 Objeto #2 110
10.5.3 Objeto #3 111
10.5.4 Objeto #4 112
10.6 BENEFICIOS POR EMPRESA 114
10.7 ENCUESTA DE SATISFACCIÓN 118
10.8 GRAFICAS RESUMEN GERENCIAL SOBRE SATISFACCIÓN 124
8
11.4.1 Asterisk 139
11.4.2 Elastix 139
11.5 MONITOREO DE REDES 140
11.5.2 Ossim 140
11.5.3 Nagios 141
11.6 INVENTARIO DE ACTIVOS 141
11.6.1 Glpi 141
11.6.2 KmKey 142
11.6.3 GenOs 142
BIBLIOGRAFIA 159
9
ÍNDICE DE FIGURAS
10
Figura 33. ¿Se le realiza seguimiento a los incidentes de seguridad? 72
Figura 34. ¿Se tiene registro de los incidentes de seguridad? 73
Figura 35. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año? 74
Figura 36. Autodiagnóstico general #1 75
Figura 37. Autodiagnóstico general #2 76
Figura 38. Autodiagnóstico general #3 77
Figura 39. Autodiagnóstico general #4 78
Figura 40. Análisis de factores de riesgo objeto #1 81
Figura 41. Análisis de factores de riesgo objeto #2 82
Figura 42. Análisis de factores de riesgo objeto #3 83
Figura 43. Análisis de factores de riesgo objeto #4 84
Figura 44. Asignación dinámica de direcciones ip 94
Figura 45. Direccionamiento interno hacia servidores de la empresa 94
Figura 46. Proxy para navegación de usuarios 94
Figura 47. Implementación de conexiones remotas de usuarios 95
Figura 48. Directorio de carpetas compartidas con samba 96
Figura 49. Estadística rendimiento de red 97
Figura 50. Herramientas administración de red 97
Figura 51. Esquema estructura de red 102
Figura 52. Openvpn 103
Figura 53. Diagrama DMZ 105
Figura 54. Squid 106
Figura 55. Controles de acceso 107
Figura 56. Interfaz GLPI 108
Figura 57. Interfaz GLPI (continuación) 109
Figura 58. Autodiagnóstico general post-implementación 110
Figura 59. Autodiagnóstico general post-implementación #2 111
Figura 60. Autodiagnóstico general post-implementación #3 112
Figura 61. Autodiagnóstico general post-implementación #4 113
Figura 62. ¿Cree usted que el servicio de internet ha mejorado? (1 = muy pobre 5 =
excelente) 118
Figura 63. ¿Cree usted que mejoro el acceso a la información en la red local? (1 = muy
pobre 5 = excelente) 119
Figura 64. ¿Considera seguro el almacenamiento de los archivos en el servidor? (1 = muy
pobre 5 = excelente) 119
Figura 65. ¿La plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si
aplica)? (1 = muy pobre 5 = excelente) 120
Figura 66. ¿La gestión del servicio de sistemas ha mejorado? (1 = muy pobre 5 =
excelente) 120
Figura 67. ¿Ha experimentado perdida de información? 121
Figura 68. ¿Ha evidenciado eventos atípicos en la maquina (virus)? 122
11
Figura 69. ¿Ha experimentado caídas de internet? 122
Figura 70. ¿Considera que los cambios realizados fueron funcionales para la compañía?
123
Figura 71. Resultado Satisfacción Empresa 1 125
Figura 72. Resultado Satisfacción Empresa 1 (continuación) 126
Figura 73. Resultado Satisfacción Empresa 2 127
Figura 74. Resultado Satisfacción Empresa 2 (continuación) 128
Figura 75. Resultado Satisfacción Empresa 3 129
Figura 76. Resultado Satisfacción Empresa 3 (continuación) 130
Figura 77. Resultado Satisfacción Empresa 4 131
Figura 78. Resultado Satisfacción Empresa 4 (continuación) 132
Figura 79. Resultado General de satisfacción 133
Figura 80. Resultado General de Satisfacción (continuación) 134
12
ÍNDICE DE TABLAS
13
ÍNDICE DE ANEXOS
Pág.
14
1. TÍTULO
15
2. INTRODUCCIÓN
1
ISO/IEC 27001:2005 Information technology
16
3. PLANTEAMIENTO DEL PROBLEMA
Son algunas preguntas que debes ser resueltas por la alta gerencia y el
encargado del área de sistemas, aunque es un trabajo en equipo y todas las áreas
deben estar involucradas, son los responsables directos por el análisis, evaluación
2
Tomado del artículo “5 cifras espeluznantes de la inseguridad informática” Disponible en internet:
http://www.enter.co/seguridad/5-cifras-espeluznantes-de-la-inseguridad-informatica-disi-2010/
3 Tomado del artículo “Consecuencias derivadas de los incidentes de seguridad” Disponible en internet:
http://www.inteco.es/indicators/Segurtasuna/Behatokia/Adierazleak/Indicador_INT164
17
y creación de lo referente a la parte de seguridad, es en este caso donde se
plantean algunos interrogantes:
Costo.
Efectividad.
Capacitación.
Documentación existente.
Casos de éxito.
Inversión adicional en herramientas y equipos.
Aprovechamiento de la infraestructura existente.
Administración de las herramientas a utilizar.
Tiempo de implementación.
Soporte.
18
Actualizaciones disponibles.
19
4. JUSTIFICACIÓN
4
Articulo IV Encuesta Latino Americana de Seguridad de la Información 2012 Disponible en internet::
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XII_JornadaSeguridad/PresentacionJeimyCano-
IVELSI.pdf
20
su costo es elevado y debe ser cancelado de forma anual, lo que para cualquier
empresa será un valor que debe ser incluido en su presupuesto y si a esto se le
agrega costo por licencias de ofimática en estaciones cliente, antivirus y
plataformas adicionales finalmente se ve reflejado de manera significativa en el
capital empresarial; Por tal razón en la actualidad existen herramientas que con un
estado óptimo de configuración mitiga el riesgo, genera servicios iguales y con un
costo reducido5.
21
Otro de los aspectos importantes que dificulta la implementación es el cambio de
políticas, normas, reglas y procedimientos, pues por lo general existe la resistencia
al cambio.
22
5. OBJETIVOS
23
6. MARCO TEÓRICO
Es ideal iniciar por determinar la definición concreta de software según el IEEE “la
suma total de los programas de cómputo, procedimientos, reglas,
documentación y datos asociados que forman parte de las operaciones de
un sistema de cómputo.”(IEEEestándar 729)9. Al basarnos en esta definición se
puede inferir que el software es la parte intangible en el funcionamiento de un
sistema computacional.
Al partir del concepto anterior se puede definir las dos clases de software, libre y
propietario.
24
6.2 SOFTWARE PRIVATIVO
Dadas las anteriores definiciones ahora se debe establecer las diversas clases de
licencias existentes pues por lo general se conocen licencias libres y privadas mas
no su clasificación.
25
Figura1. Categorías de software libre
Fuente:http://www.gnu.org/philosophy/categories.es.html
26
Linux (ubuntu, debían, suse, etc.), así mismo también es aplicable el concepto a
plataformas web (CMS) existentes como lo es el caso de Joomla, Mambo, Drupal.
“Aplicaciones, que deben ser de acceso libre para todos y solamente se protegen
los derechos morales de los autores (por la simple obligación de mantener los
avisos de titularidad: el copyright notice)”14. Este licenciamiento se aplica
básicamente a aplicaciones creadas en ambientes educativos y grupos dedicados
al mejoramiento e implementación de software. En este grupo se encuentran
desde sistemas operativos hasta aplicaciones móviles en la actualidad. Las
modificaciones son aceptadas pero el nombre del autor debe estar presente.
“son las que exigen el uso de la misma licencia para cualquier redistribución
del programa y de las modificaciones que se realicen del mismo, así como a
programas que lo utilizan o incorporan (en forma de librerías, etc.).”15este es
un caso puntual, pues sobre esta variedad se implementan diversas distribuciones
las cuales son derivadas de algunas existentes y que deben ser mantenidas en
código abierto para que sean accesadas ya sea por otros usuarios o por el mismo
creador. Estos códigos no pueden ser privatizados, es decir en caso de ser
incluido en plataformas privadas. Esto no implica que no se puedan crear o vender
aplicaciones bajo licencia copyleft.
27
6.6 SOFTWARE BAJO GPL
Esta variedad de software implica que cada una de las aplicaciones que está bajo
esta licencia no será distribuida, modificada o comercializada sin la respectiva
autorización de su autor o la respectiva firma comercializadora del producto, pues
está protegida bajo derechos de autor y cualquier incumplimiento podrá acarrear
acciones legales por parte de su autor1718.
28
dentro de ellos se encuentran algunas categorías con las que frecuentemente los
departamentos de sistemas y seguridad deben confrontar y a su vez verificar la
forma de mitigar.
La infección por malware es uno de los casos más comunes en Latinoamérica con
un porcentaje aproximado 46.69%, algunos otros con porcentajes menores pero
no menos importantes son:
Figura2.Encuesta incidentes
Fuente:http://seguridad-informacion.blogspot.com/
29
cual se encuentra la compañía, este levantamiento de información costa de un
estudio basado en alguna metodología de análisis de riesgo corporativo. Existen
metodologías aplicables según el sector (público o privado20).
20
Articulo metodologías análisis de riesgo, marzo 2009 Disponible en Internet:
http://seguinfo.wordpress.com/2009/03/05/metodologias-de-analisis-de-riesgo-2/
21
Documento controles ISO/IEC 27002 Disponible en Internet:
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
22
Encuesta “Sobre preparación ante desastres en la PYMES” Symantec, 2012, Disponible en Internet
”http://www.symantec.com/content/es/mx/enterprise/images/theme/smb-disaster-recovery/Reporte-
2012-Disaster-Preparedness-Survey-SPA-LAM.pdf pag 9
23
Artículo “Plan de continuidad de negocios” Junio 2010 Disponible en Internet:
http://seguridadinformacioncolombia.blogspot.com/2010/06/plan-de-continuidad-de-negocios-o.html
30
los procesos de implementación de directrices y políticas de seguridad que
apunten de forma directa al mejoramiento continuo en los sistemas de gestión de
información. En la actualidad es una constante y realidad tener que estar a la
vanguardia con los nuevos esquemas de seguridad para mitigar las amenazas
existentes, con el fin de implementar el instrumento adecuado a las exigencias de
la empresa.
24
Revista de la Asociación Colombiana de Ingenieros, 2010 Disponible en Internet:
http://www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 43
25
Revista de la Asociación Colombiana de Ingenieros, 2010 Disponible en Internet:
http://www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 31
26
Revista de la Asociación Colombiana de Ingenieros, 2010 Disponible en Internet:
http://www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 31
27
Artículo, Diario el mundo, “El software libre en Colombia”, abril de 2011 Disponible en internet:
http://www.elmundo.com/portal/resultados/detalles/?idx=176377
31
6.9 APLICACIÓN DEL SOFTWARE LIBRE EN LAS COMPAÑÍAS
32
7. MARCO HISTÓRICO
En los últimos tiempos, las compañías a nivel mundial se han venido preocupando
cada vez más en mejorar la calidad de los productos o servicios que ofrecen,
logrando con ello, ser un factor diferenciador en los mercados donde operan y de
la misma manera poder extenderse a otras regiones o países. Es así, que han
desarrollado sistemas de medición para tomar decisiones en sus operaciones y
con ello alcanzar mejoras en costos, tiempos, posicionamiento en el mercado, etc.
Aproximadamente hace 20 años se crean e implementan los conceptos de normas
ISO, el cual da a conocer los requisitos para establecer las mejores prácticas de
aseguramiento de calidad en las organizaciones independiente del tipo de
compañía siendo este un estándar de facto. Con ello, las organizaciones buscan
dar mayor confianza a sus clientes, motivar a su personal, trabajar en equipo,
mejorar la imagen y sobre todo la “mejora continua de las organizaciones y su
permanencia en el tiempo”.
Por otra parte, en los últimos tiempos a nivel global hemos sido testigos de los
incidentes que se han presentado en algunas compañías por daños causados por
desastres naturales. De igual manera, a diario escuchamos o leemos los
inconvenientes que tienen las organizaciones cuando son víctimas de ataques
cibernéticos o peor aún, de robo de información por parte de sus empleados. Y
33
qué decir cuando se presentan fallas de software o hardware en los equipos
principales de las organizaciones y no se cuenta con algún respaldo de
información o de los mismos equipos para poner en funcionamiento el sistema.
Todos estos temas solo se tienen en cuenta cuando se presentan los
inconvenientes, mientras los servicios estén funcionando así sea a media
máquina, los usuarios se olvidan de la importancia de tener planes de
contingencia y pasa a un segundo plano, una vez que se presenta la situación
nuevamente se vuelve una moda en las compañías. Lastimosamente esto es algo
cultural, ya que se convierten en actores reactivos a las cosas y no proactivos a
las mismas.
34
8. DISEÑO METODOLÓGICO
8.1 INTRODUCCIÓN
Por su lado Cervo y Bervian (1989) la definen como “una actividad encaminada a
la solución de problemas. Su Objetivo consiste en hallar respuesta a preguntas
mediante el empleo de procesos científicos” (p. 41), por lo tanto, la investigación
es un proceso donde se Realizan actividades intelectuales y experimentales de
modo sistemático con el propósito de aumentar los conocimientos sobre una
determinada materia o tema según lo plantea la real academia de la lengua
española28.
28
Diccionario online RAE, Disponible en internet: http://lema.rae.es/drae/?val=investigacion
35
8.2 DESCRIPCIÓN DEL ESTUDIO CUANTITAVO
Tal como lo define Edelmira G. La Rosa (1995) “para que exista Metodología
Cuantitativa debe haber claridad entre los elementos de investigación desde
donde se inicia hasta donde termina, el abordaje de los datos es estático, se le
asigna significado numérico”. El objetivo primordial de este estudio es obtener
datos o indicadores que permitan ser analizados para proporcionar una visión
general sobre el tema a investigar, de tal forma con el análisis posterior a la
recolección, permita extraer información necesaria para la generación de nuevo
conocimiento, solución de requerimientos o solo como preámbulo para futuros
estudios.
36
8.2.3 Estudio Exploratorio
Existen varias clases de investigación, depende del sentido que se le desee dar se
puede clasificar de distintas maneras, Siguiendo la metodología de Hernández,
Fernández y Baptista (2007), hay estudios exploratorios, descriptivos,
correlaciónales y explicativos.
Tal como es señalado por Hernández, Fernández y Baptista (2007) “está dirigido a
encontrar las causas de los eventos, sucesos y fenómenos físicos o sociales”.
37
El objetivo del presente estudio es determinar los beneficios que se obtienen a
nivel de aseguramiento con el software libre, aplicado a empresas Colombianas.
Las empresas a tener en cuenta para el presente estudio equivalen a cuatro (4),
de diversos sectores productivos en Colombia. La razón principal de las
diferencias de sectores entre las empresas seleccionadas, es ver la aplicabilidad
del software libre indiferente del sector productivo y así mismo observar la similitud
de los incidentes, riesgos y problemas de gestión en un contexto general entre un
sector y otro.
Por lo tanto los datos extraídos será un punto de partida para futuras
implementaciones no solo en las empresas estudiadas sino como punto de
referencia para generar estrategias para impulsar el software libre en los entornos
corporativos en Colombia como alternativa para la gestión y aseguramiento de la
información.
38
8.4.1 Fuentes de Datos Primarios
Recolectar los datos implica tres actividades estrechamente vinculadas entre sí:
seleccionar un instrumento de recolección de los datos, aplicar ese instrumento y
preparar observaciones, registros y mediciones obtenidas (Hernández, Fernández
y Baptista, 2007).
39
8.5.1.1Encuesta inicial
40
Ver Anexo B. Escala de Medición de Controles ISO/IEC 27001:2005.
41
Fase 2: luego de terminado el proceso de implementación se aplicará
nuevamente los dos modelos de diagnóstico (Anexo B y Anexo C) para
determinar el nivel de aseguramiento y riesgo residual. De igual forma se
utilizará una encuesta (Anexo D) para percibir las opiniones de los usuarios
luego de la fase de aplicación de controles.
Al extraer los datos aplicados en estas fases se iniciará la fase de análisis de los
datos recolectados en los procesos desarrollados; así se extraerá información
sobre los resultados obtenidos en el estudio realizado.
La encuesta será aplicada a 1 (una) persona por cada empresa (gerente), si existe
área de sistemas se incluirá y se aplicará al encargado de la misma, de lo
contrario será seleccionado la persona que tenga mayor contacto con tecnología
en el lugar.
Los datos que se obtendrán por medio de los cuestionarios servirán para medir o
saber si el personal administrativo de la empresa acepta o no y se involucra en un
sistema de planeación de carrera y vida en la organización.
Luego de determinar el porcentaje de controles existentes y la medición de los
riesgos se iniciara el proceso de mitigación por medio de algunas herramientas
basadas en software libre, es clave resaltar que se le realizara el procesos de
instalación y respectivo seguimiento a las herramientas implementadas para
verificar su correcto funcionamiento y así mismo observar los objetos de estudio y
poder contrastar los resultados iniciales con los finales y extraer las posibles
conclusiones de presente estudio.
42
Por último se iniciará el proceso de recolección de datos final a 4 (cuatro) usuarios
por empresa de diversas áreas para observar la opinión sobre las
implementaciones realizadas y así poder determinar si las herramientas fueron
efectivas o no.
De igual forma se realizará un cuadro que resuma las labores adelantadas para
las cuatro empresas analizando los resultados obtenidos en la fase de
levantamiento de información y posterior implementación, que permita extraer la
información correspondiente a resultados sobre los beneficios obtenidos en cada
uno de los procesos de implementación.
8.7 VARIABLES
Las variables que serán medidas en el presente estudio las cuales refieren
aspectos necesarios para la mitigación de riesgos son:
1. Nivel de aceptación de riesgo en la población seleccionada.
2. Beneficios que se obtienen con la implementación y aseguramiento basado
en herramientas libres.
3. Establecer un comparativo de los costos de implementación en las
empresas estudiadas, entre software propietario y software libre
4. Mitigar riesgos mediante la implementación de controles basados en
software libre para las empresas de estudio.
43
8.8 SELECCIÓN Y MUESTRA DE LA POBLACIÓN
Sin servidor no cuentan con sistema de DNS, DHCP, AD, GPO’s; se mantiene la
información de los estudiantes, docentes y administración en cada una de las
estaciones, adicional posee software en que registra y se mantienen transacciones
administrativas de los estudiantes, desarrollado con Foxpro instalado en una
maquina cliente que hace las veces de equipo central para el acceso a esta
aplicación.
44
estructurado sin marcar y sin canaleta; no existe documentación sobre políticas de
seguridad, registros de Backus ni carpetas de registro de incidentes sobre los
equipos y red.
45
resultado ausencia total de documentación sobre políticas de seguridad, registros
de backup, carpetas de registro de incidentes sobre los equipos y red y
aplicaciones adicionales en tecnología.
46
la red, sin conocimiento estructurado sobre gestión del departamento de sistemas
lo cual da como resultado ausencia total de documentación sobre políticas de
seguridad, registros de backup, carpetas de registro de incidentes sobre los
equipos y red y aplicaciones adicionales en tecnología.
Actualmente dispone de 400 estaciones cliente, con servicio wifi protegido con
sistema de cifrado WPA2 para usuarios, no se cuenta con servicio para visitantes;
no existe sistemas de inventarios, la documentación de personal solo está
soportada de modo físico, se cuenta con una estructura de personal con
conocimiento sobre gestión del departamento de sistemas lo cual da como
47
resultado la implementación y estructuración de modelos de aseguramiento de la
información e infraestructura.
48
9. RESULTADOS OBTENIDOS Y PROCESO DE IMPLEMENTACIÓN
49
10. ANÁLISIS DE DATOS
10.1 ENCUESTA:
50
cuenta con un ingeniero de sistemas al frente de su tecnología y el 25% no
cuenta con persona alguna que realice el soporte o que asuma el roll de líder en
tecnología.
Si No
50% 50%
Figura4.Si la respuesta en el ítem 1 fue no seleccione la razón por la cual no cuenta con departamento
de sistemas.
2
0% 0%
a) Recurso económico
c) Se ha evaluado y
50%
descartado
d) Se ha evaluado y hay
25% planes de introducirlo
e) N/a
51
Figura5. ¿La persona encargada de los sistemas es?
25% 25%
a) Ingeniero de sistemas.
b) Tecnólogo en sistemas.
c) Técnico en sistemas.
d) Ninguno
25% 25%
52
pues son las herramientas básicas más utilizadas en todo negocio para el
procesamiento de información, pero en conjunto con la pregunta 10 de la
encuesta permite generar una reflexión sobre uso de software legal en cada uno
de los sitios encuestados; tal como lo indica en el punto 10 del instrumento #1 el
número de estaciones cliente está en un rango alto y si a esto lo contrastamos con
el ítem 11 de la herramienta aplicada dará como resultado la falta de
licenciamiento sobre el software utilizado (figuras 12 y 13) este planteamiento está
basado en la poca inversión que realizan anualmente en inversión en cuanto a
tecnología se refiere.
4.
Si
50% 50%
No
53
Figura 7. Si la respuesta en el ítem 4 fue no seleccione la razón por la cual no cuenta con equipo
servidor.
5.
0% 0% a) Recurso económico
b) Recursos físicos
c) Se ha evaluado y
50% 50%
descartado
d) Se ha evaluado y hay
planes de introducirlo
e) N/a
6.
a) Windows server
(2003, 2008 o 2008 R2).
b) Linux
c) Unix
50% 50%
d) Os
e) Ninguno.
0% 0% 0%
54
Figura 9. ¿Qué sistema operativo maneja para las estaciones cliente?
7.
0%
0% 0%
a) Windows
(Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
100%
8.
0%0%
0%
d) Ninguno
100%
55
Figura 11. ¿Que software utiliza para comprimir archivos?
9.
0% 0% 0%
a) Winzip
b) 7zip
c) WinRAR
d) Ninguno
100%
10.
0%
25%
a) 30 - 40
b) 41 - 50
50%
c) 51 - 60
d) 61 o más
25%
56
Figura 13. ¿Cuánto es promedio de inversión en tecnología que realiza anualmente?
11
0% 0%
a) Entre 1'000.000 y
25% 2'000.000
b) 2'000.000 y
5'000.000
c) 5'000.000 y
10'000.000
75% d) Más de 10'000.000
10.1.3Software Libre
57
Figura 14. ¿Sabe que es el software libre?
1.
Si
50% 50%
No
2.
0% 0%
a) Si
25%
b) No
c) Se ha evaluado y
descartado
75% d) Se ha evaluado y hay
planes de introducirlo.
58
sobre la oferta y la desconfianza. Este comportamiento es frecuente pues ningún
ser pretende exponer su bienestar, integridad, trabajo o algún otro estado que le
genere comodidad y tranquilidad (figura 16 y 17). Otro factor importante es la falta
de canales de distribución y apoyo por cuenta de consultores y proveedores. Si las
empresas distribuidoras se dieran a la tarea de publicitar las opciones existentes y
sus ventajas, se disminuirían de forma rápida los niveles de desconfianza y de
manera directa aumentaría la demanda por las herramientas libres (figura 18), a
su vez esta fase de la encuesta permite visualizar de forma rápida un parámetro
importante a tener en cuenta; las empresas en caso de optar por una alternativa
libre para ser implementada la primer opción que tomarían seria iniciar un proceso
de aseguramiento de red (figura 19), es decir que se infiere de manera superficial
que han contado con algunos incidentes o visto desde otro punto de vista sería
posible que no tengan interés por el aseguramiento y pretendan realizar pruebas
con algo que no afecte el funcionamiento directo de sus labores.
Figura 16. ¿Cuál es el motivo para no evaluar la opción de software libre en la organización? (puede
seleccionar máximo 3 opciones)
3.
0%
a) Desconocimiento de
8%
la oferta
25% b) Falta de necesidad
17%
c) Desconfianza técnica
0%
8%
17% d) Desconfianza
empresarial
59
Figura 17. ¿Experiencia en la adopción de software libre?
4.
0% 0%
25%
a) Ninguna
b) Buena
c) Regular
d) Mala
75%
60
Figura 18.De las siguientes ventajas que proporciona el software libre, señale las que considere más
interesantes: (puede seleccionar varias opciones)
5.
7%
27%
27%
6%
0% 7%
13%
13%
0%
61
Figura 19. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa que usa?
6. 0% 0%
0%
0%
0% a) Firewall
b) Servidor de datos
c) Base de datos
d) Gestión documental
100%
10.1.4Esquemas de Seguridad
Aquí se ratifica que el interés por los aspectos de seguridad están minimizados
según algunos criterios, es decir para el 75% manejar una política de seguridad
informática no es prioritario (figura 20); por lo tanto no contar con las “reglas” de
uso sobre los recursos informáticos da inicio a una de las brecha de seguridad
62
más difíciles de controlar y si a esto se le agrega la falta de servidores de
seguridad de red, bloqueos por proxy, firewall o alguna otra serie de herramientas
ausentes en los sitios encuestados es un potencial incidente con un posible
impacto de alto nivel y si a esto se le suma la falta de inventarios, antivirus o
utilitarios no licenciados se incrementa aúnmás (figuras 21, 22, 23).
1.
25%
Si
No
75%
63
Figura 21. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
2.
25%
Si
No
75%
3.
0% 0%
a) Licenciado
b) Sin licencia
50% 50%
c) No cuenta con
antivirus
d) Licencia libre
64
Figura 23. ¿Existe alguna plataforma que administre la seguridad de red?
4.
25%
Si
No
75%
65
Figura 24. ¿Existe alguna plataforma que administre la seguridad de red?
4.
25%
Si
No
75%
5.
a) CCTV
25% 25%
0%
50%
66
Figura 26. ¿Cuenta con software que administre y gestione RRHH?
6.
25%
Si
No
75%
Figura 27. ¿Cuenta con software que administre y gestione la información y la gestión empresarial?
7.
25%
Si
No
75%
67
10.1.5Incidentes de Seguridad
1.
0%
Si
No
100%
68
Figura 29. ¿Documenta los procedimientos correspondientes al servicio del departamento de
sistemas?
2.
25%
Si
No
75%
29
Leyes tributarias sobre sanciones por incumplimiento, portal informativo, Disponible en Internet
http://www.estatutotributario.com/libro5-titulo3.html
69
Figura 30. ¿Cuál de los siguientes es el incidente más recurrente?
3.
a) Virus.
b) Perdida de información.
8%
31%
31%
7%
15% 8%
0%
70
Figura 31. ¿Cuál es la consecuencia más recurrente por los incidentes presentados?
4.
a) Perdida de la
13% información (física o
lógica).
b) Daño en piezas o
12% partes de los equipos de
computo
50%
c) Gastos económicos
innecesarios en la
compañía
25% d) Perdida de
clientes, dinero y good-
well en el mercado.
30
Artículo “¿Qué es Itil?” 2008, Disponible en internet:
http://seguinfo.wordpress.com/2008/12/03/%C2%BFque-es-itil-2/
71
Figura 32. ¿Son documentados los incidentes de seguridad?
5.
25%
Si
No
75%
6.
25%
Si
No
75%
72
Figura 34. ¿Se tiene registro de los incidentes de seguridad?
7.
25%
Si
No
75%
Por último el nivel de incidentes por año en el 50% de la muestra indica que
manejan un taza de incidentes ente 21 y 30 en el último año (figura 35);
aproximadamente entre 2 y 3 incidentes mensuales; las personas encuestadas
refieren que han generado inversiones en reparaciones correctivas de los equipos,
contratación de servicios especializados para la recuperación de datos y algunos
otros servicios adicionales que como consecuencia solo les queda pérdida de
tiempo, producción y dinero.
73
Figura 35. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos incidentes de
seguridad ha tenido en el último año?
8.
0%
25%
a) 1-5
b) 6-10
50% c) 11-20
d) 21-30
e) Mas de 31
25%
0%
31
Disponible en Internet: http://www.iso27000.es/iso27000.html#section3b
74
10.2.1 Objeto de Estudio #1
si
2%
no
98%
Al igual que el caso anterior esta empresa maneja el mismo nivel porcentual de
controles, demostrando la falta de gestión y apoyo por cuenta de la alta gerencia
para la creación y estructuración de planes para la respectiva mitigación de
riesgos. (Figura 37).
75
Ver Anexo F. Autodiagnóstico #2
si
2%
no
98%
76
Ver Anexo G. Autodiagnóstico #3
si
11%
no
89%
Fuente: Los autores
77
Ver Anexo H. Autodiagnóstico #4
si
24%
no
76%
Esta prueba se basa en detectar las amenazas existentes con base en tres
parámetros:
Riesgos originados por criminalidad común y motivación política.
Sucesos de origen físico
Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones
institucionales
78
En contraste con el impacto que pude generarse a cada uno de las probabilidades
según la actividad económica, herramientas, aplicaciones y todo lo relacionado
con el área tecnológica y seguridad corporativa estos parámetros son:
Base de datos de Contraseñas empresariales
Bases de datos clientes externos
Celulares
Computadoras
Correo electrónico
Cortafuego
Datos e información no institucionales
Directorio de Contactos
Edificio (Oficinas, Recepción, Sala de espera, Sala de reunión, Bodega,
etc.)
Equipos de la red cableada (router, switch, etc.)
Equipos de la red inalámbrica (router, punto de acceso, etc.)
Impresoras
Memorias portátiles
Navegación en Internet
Página Web externa
Página Web interna (Intranet)
PBX o VOIP
Portátiles
Productos institucionales (Investigaciones, Folletos, Fotos, etc.)
Programas de administración (contabilidad, manejo de personal, etc.)
Programas de comunicación (correo electrónico, chat, llamadas telefónicas,
etc.)
Programas de manejo de proyectos
Programas de producción de datos
Respaldos
79
RR.HH
Servicios bancarios
Servidores
Vehículos
80
Ver Anexo I. Matriz de Riesgo Objeto #1
Criminalidad y Político /
Datos, Información equipos
de computo
Sucesos de origen físico /
Magnitud de Daño
81
Ver Anexo J. Matriz de Riesgo Objeto #2
Criminalidad y Político /
Datos, Información equipos
de computo
Magnitud de Daño
Negligencia y Institucional /
Datos, Información equipos
de computo
Probalidad de Amenaza
82
b) Las 3 (tres) clases de categorías están en un punto alto de la gráfica, esto
indica que en caso que se llegue a materializar una de estas amenazas, el
impacto en la corporación sería muy alto para la entidad.
c) Se encuentra una de las categorías por debajo del nivel intermedio de
riesgo, esto señala que la posibilidad que se dé uno de los eventos
naturales no es alta, pero a su vez el impacto pude ser determinante para el
funcionamiento del negocio.
Criminalidad y Político /
Datos, Información equipos
de computo
Sucesos de origen físico /
Magnitud de Daño
Probalidad de Amenaza
83
10.3.4 Objeto de Estudio # 4
Criminalidad y Político /
Datos, Información equipos
de computo
Sucesos de origen físico /
Magnitud de Daño
Probalidad de Amenaza
32
Presentación “¿Qué es BCP/DRP?” Asociación Colombiana de Ingenieros, Disponible en internet:
http://www.acis.org.co/fileadmin/Conferencias/DRP_BCP.pdf
84
10.4 PROCESO DE IMPLANTACIÓN DE CONTROLES BASADOS EN
SOFTWARE LIBRE.
Existente
10.4.1.1 Objeto #1
85
Ups
Gabinete de almacenamiento de dispositivos (rack).
2. Se inició el proceso de implementación y estructuración dividido en 2 fases
las cuales por orden y organización se acordaron para dar un orden lógico a
la labor.
3. Luego de implementar la parte física se procedió a la respectiva instalación
de las aplicaciones como servidor base se implementó un sistema operativo
CentOS sobre el cual por medio de la herramienta local de virtualización
KVM 33 se crearon dos máquinas virtuales las cuales una de ellas maneja la
seguridad de la red bajo un sistema operativo ENDIAN y la otra bajo
UBUNTU.
La primera herramienta es una aplicación que permite la gestión de
usuarios y red es la encargada de la administración de usuarios y accesos
a la red a través de proxy, a su vez contiene firewall, detector de intrusos
(IDS) y un preventor de intrusos (IPS), permite la generación y
administración de VLAN’s y VPN’S, antivirus de red (clamav).
34
Sobre el sistema operativo UBUNTU se implementó la infraestructura de
AD35 y políticas de acceso a usuarios por medio de SAMBA36 y LDAP37
todo lo necesario para la administración de usuarios y almacenamiento de
información.
33
Portal oficial CentOS Disponible en Internet: http://wiki.centos.org/HowTos/KVM
34
Portal Oficial Ubuntu Disponible en Internet: http://www.ubuntu.com/
35
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/8.04/serverguide/likewise-
open.html
36
Portal Oficial Ubuntu Disponible en Internet: http://www.guia-ubuntu.org/index.php?title=Samba
37
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/community/OpenLDAPServer
86
De esta forma se estructuro, aseguro y gestiono la información permitiendo el
acceso a más de 80 usuarios internos y un promedio de 100 más a la red
inalámbrica por medio de la VLAN.
38
Portal Oficial Cobian Disponible en Internet:http://www.cobiansoft.com/index.htm
87
Tabla 2. Comparación inversión entre software privativo y libre
Inversión Inversión
Ítem Herramienta software software
privativo libre
1 Sistema Operativo server 2.300.000,00 0,00
2 UTM 15.000.000,00 0,00
Antivirus (100 estaciones+
3 consola de administración) 11.000.000,00 0,00
4 Copias de seguridad 3.240.000,00 0,00
Total 31.540.000,00 0,00
Fuente: Los autores
Inversión total
software Software
Herramienta
privativo libre
Hardware 13.230.000,00 13.230.000,00
Software 31.540.000,00 0,00
Total 44.770.000,00 13.230.000,00
88
buen uso y la respectiva socialización de las nuevas políticas de uso del recurso
informático.
10.4.1.2 Objeto #2
89
39
Sobre el sistema operativo UBUNTU se implementó la infraestructura de
40
AD y políticas de acceso a usuarios por medio de SAMBA41 y LDAP42
todo lo necesario para la administración de usuarios y almacenamiento de
información.
39
Portal Oficial Ubuntu Disponible en Internet: http://www.ubuntu.com/
40
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/8.04/serverguide/likewise-
open.html
41
Portal Oficial Ubuntu Disponible en Internet: http://www.guia-ubuntu.org/index.php?title=Samba
42
Portal Oficial Ubuntu Disponible en Internet: https://help.ubuntu.com/community/OpenLDAPServer
43
Portal Oficial Cobian Disponible en Internet: http://www.cobiansoft.com/index.htm
90
Tabla 4. Inversión en hardware
Inversión total
software Software
Herramienta
privativo libre
Hardware 7’010.000,00 7’010.000,00
Software 26.040.000,00 0,00
Total 33.050.000,00 7’010.000,00
91
Como se puede ver la reducción de costos en implementación y aseguramiento en
cuanto a hardware y software fue aproximadamente de un 79% aproximadamente
utilizando software libre.
Existente
10.4.2.1 Objeto #3
92
La página web de la organización se encuentra implementada en un
servidor Windows 2003 server, ubicada de frente hacia la web.
No se cuenta con inventario de equipos
La asignación de direcciones IP se hace mediante el dispositivo que otorga
la empresa de comunicaciones actual.
Los documentos de la organización se guardan en cada computador, no
existe una política de backup centralizada. La compartición de archivos por
área se hace mediante mail o compartiendo carpetas por equipo lo que
incrementa el riesgo de información como de virus hacia las maquinas.
93
Figura 44. Asignación dinámica de direcciones ip
94
Fuente: Los autores
95
Como medida de protección de la red, se implementa un antivirus gratuito. El
software implementado es Clamav. Con ello, se protegen las estaciones de trabajo
y se mejora el rendimiento de la red.
96
Figura 49. Estadística rendimiento de red
97
Tabla 7.Reducción de los costos de implementación
Software Licenciado Cantidad V/r.Unitario V/r. Total Software Libre Cantidad V/r.Unitario V/r. Total
Windows 2003 Server -
A.DIRETORY - DHCP 1 2.300.000 2.300.000 Endian - SO 1 - -
Antivirus 50 80.000 4.000.000 Antivirus Clamav 1 - -
Isa Server 1 1.800.000 1.800.000 Endian 1
Software de Inventarios -
Invgate 1 5.400.000 5.400.000 GLPI 1
Software DFS 1 2.300.000,00 2300000 Centos - Samba 1
TOTAL 11.880.000
Fuente: Los autores
10.4.2.2 Objeto #4
98
Tabla 8. Relación de costos internet mensual
99
Se identifica un incidente mayor en la organización en el cual en el segundo
semestre del 2011 la organización fue víctima de un ataque a su servidor
de correo. A este último, le cambiaron contraseñas de administrador,
suplantaron usuarios, bajaron los servicios corporativos. Este equipo se
encontraba de frente hacia internet.
Se identifica un segundo incidente en el primer semestre del 2012 hacia la
planta telefónica IP ubicada en la ciudad de Cali. Allí, dicha maquina fue
“hackeada“44 generando llamadas internacionales por un valor superior a $
140.000.000 de pesos durante dos días. Al igual que el incidente anterior, la
maquina se encontraba conectada directamente hacia internet.
Los servidores de Bases de datos (5), están montados bajo SQL SERVER
2005 y sistema operativos Windows 2003 Server en diferentes maquinas
debido a la carga de usuarios que cada base de datos tiene. Se han
identificado dos hechos en el último año, donde los servidores principales
de la operación han salido de funcionamiento por espacio de 4 horas 30
minutos aproximadamente debido a un incidente generado por malware 45 el
cual ha obligado a los funcionarios del área de tecnología a reinstalar el
sistema operativo y el software correspondiente a la base de datos y
restauración de backup. A pesar, que dichas maquinas contaban con un
antivirus para tal fin fueron infectadas por máquinas de usuario que
accesaban estos servidores. La indisponibilidad de estos servicios
afectaron la operación de la organización generando sobrecostos en horas
extras de sus empleados, salida tarde de sus vehículos de reparto,
incumplimiento en las entregas de sus mercancías, y daños en la imagen
corporativa ante sus clientes.
44
Diccionario online Disponible en Internet: http://dictionary.reference.com/browse/hacking
45
Enciclopedia Online Disponible en Internet: http://es.wikipedia.org/wiki/Malware
100
después de los incidentes mencionados anteriormente. Desean alguna solución
alterna que mitigue la probabilidad de riesgo y a su vez disminuya los costos
mensuales en comunicaciones.
El uso racional de los recursos por parte de los usuarios es importante, ya que se
evidencian usuarios en horas laborales desarrollando actividades tales como:
chateo, consulta en redes sociales, descarga de videos y música en horas
laborales, descuidando sus funciones para lo cual fueron contratados.
101
Figura 51. Esquema estructura de red
102
Figura 52. Openvpn
103
Tabla 9. Costos nueva implementación
8.000 k 235.000
4.000 k 125.000
4.000 k 156.000
2.000 k 170.000
2.000 k 145.000
104
Tabla 10. Reducción de costos con la nueva implementación
9.653.721 3.023.332
Total Año 115.844.652 36.279.984
Ahorro Año 79.564.668
Fuente: Los autores
105
El siguiente punto a solucionar fue el control de la navegación de los
usuarios, para ello, se requería generar unas políticas de navegación,
donde los directivos de la organización podrían hacer uso del servicio de
internet sin restricciones. Se crearían un grupo de usuarios administrativos
los cuales tendrían acceso a las páginas que la organización considerara
necesaria sin restricción de horario. Por último, se debería crear un horario
sin restricciones para todos los usuarios, este se consideró entre las 12:00
y las 2:00 p.m. Se evaluaron diferentes herramientas de software libres
para lograr el objetivo, llegando a la conclusión que con la implementación
de Squid en un servidor CentOS se lograría parametrizar los requerimientos
de los directivos. Adicional a ello, fue necesario incorporar la herramienta
Sarg, con el fin de analizar el comportamiento de los usuarios hacia
internet.
Figura 54.Squid
106
Figura 55. Controles de acceso
107
Figura 56. Interfaz GLPI
108
Figura 57. Interfaz GLPI (continuación)
10.5.1 Objeto #1
109
Al revisar el promedio de controles antes de iniciar el proceso se observaba un 2%
de controles existentes, en la actualidad cuenta con un 35% que aunque sigue
siendo un porcentaje bajo indica que las implementaciones fueron efectivas para
el aumento de la estadística de controles. En la fase de seguimiento ha arrojado
resultados satisfactorios no solo a nivel económico también en cuanto a
rendimiento de los equipos, reducción de incidentes de seguridad y operatividad
de los equipos y red.
10.5.2 Objeto #2
110
nuevamente la efectividad del software libre como alternativa para llevar a cabo
tareas de implementación en esquemas de seguridad a bajo costo.
si
33%
no
67%
10.5.3 Objeto #3
111
Ver Anexo O. Autodiagnóstico objeto #3 post-implementación
no
42%
si
58%
10.5.4 Objeto #4
112
Ver Anexo P. Autodiagnóstico objeto #4 post-implementación
no
38%
si
62%
113
10.6 BENEFICIOS POR EMPRESA
114
Tabla 12.Beneficios empresa #2
115
Tabla 13. Beneficios empresa #3
116
Tabla 14. Beneficios empresa #4
117
10.7 ENCUESTA DE SATISFACCIÓN
Figura 62. ¿Cree usted que el servicio de internet ha mejorado? (1 = muy pobre 5 = excelente)
0% 0% 0%
19%
R1
R2
R3
R4
R5
81%
118
Figura 63. ¿Cree usted que mejoro el acceso a la información en la red local? (1 = muy pobre 5 =
excelente)
0% 0%
0% 0%
R1
R2
R3
R4
R5
100%
Figura 64. ¿Considera seguro el almacenamiento de los archivos en el servidor? (1 = muy pobre 5 =
excelente)
0% 0% 0%
12%
R1
R2
R3
R4
R5
88%
119
Figura 65. ¿La plataforma de reporte de incidentes técnicos es fácil de manejar (GLPI) (si aplica)? (1 =
muy pobre 5 = excelente)
0%
0% 0%
25%
R1
R2
R3
R4
R5
75%
Figura 66. ¿La gestión del servicio de sistemas ha mejorado? (1 = muy pobre 5 = excelente)
0%
0% 0%
12%
R1
R2
R3
R4
R5
88%
120
Para la sección 2 de la encuesta se pretendía observar la repetición de eventos
los cuales eran recurrentes como se demostró en la fase de levantamiento de
información. Esta serie de eventos generaban retrasos en la producción, perdida
en la información e inconvenientes que se prestaban para todo tipo de eventos en
función de la prestación del servicio y buen nombre de las entidades. Por lo pronto
los usuarios afirmaron que los eventos disminuyeron de forma considerable y a su
vez generan confianza en el nuevo proceso que se lleva a cabo para realizar y
apoyar la iniciativa de implementaciones en cada una de las empresas.
0% 0% 0%
a) 0
b) 1 a 3
c) 4 a 7
d) 8 a 10
100%
121
Figura 68. ¿Ha evidenciado eventos atípicos en la maquina (virus)?
0% 0%
0%
a) 0
38%
b) 1 a 3
c) 4 a 7
d) 8 a 10
62%
e) Mas de 10
0% 0%
0%
19%
a) 0
b) 1 a 3
c) 4 a 7
d) 8 a 10
e) Mas de 10
81%
122
Figura 70. ¿Considera que los cambios realizados fueron funcionales para la compañía?
0%
Si
No
100%
123
10.8 GRAFICAS RESUMEN GERENCIAL SOBRE SATISFACCIÓN
124
Figura 71. Resultado Satisfacción Empresa 1
5
4
3
2
1
0
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La
usted que el usted que seguro el plataforma gestión del
servicio de mejoro el almacenami de reporte servicio de
internet ha acceso a la ento de los de sistemas a
mejorado? información archivos en incidentes mejorado?
en la red… el servidor? técnicos es…
Resultado Satisfaccion Empresa 1 4,75 5 4,75 0 4,75
125
Figura 72. Resultado Satisfacción Empresa 1 (continuación)
4
3
2
1
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
experimentad evidenciado experimentad que los
o perdida de eventos o caídas de cambios
información? atípicos en la internet? realizados
maquina fueron
(virus)? funcionales…
Resultado Satisfaccion Empresa 1 0 0,75 0,25 4
126
Figura 73. Resultado Satisfacción Empresa 2
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
1 ¿Cree usted 2 ¿cree usted 3 ¿considera 4 ¿la 5 ¿La gestión
que el servicio que mejoro el seguro el plataforma de del servicio de
de internet ha acceso a la almacenamien reporte de sistemas a
mejorado? información to de los incidentes mejorado?
en la red local? archivos en el técnicos es
servidor? fácil de
manejar (GLPI)
(si aplica)?
Resultado Satisfaccion Empresa 2 4,5 5 4,75 0 4,75
127
Tabla 18.Resultado satisfacción empresa 2 (continuación)
128
Tabla 19.Resultado satisfacción empresa 3
5
4,9
4,8
4,7
4,6
4,5
4,4
4,3
4,2
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La
usted que el usted que seguro el plataforma gestión del
servicio de mejoro el almacenamie de reporte servicio de
internet ha acceso a la nto de los de incidentes sistemas a
mejorado? información archivos en técnicos es mejorado?
en la red el servidor? fácil de
local? manejar…
Resultado Satisfaccion Empresa 3 5 5 5 4,5 5
129
Tabla 20. Resultado satisfacción empresa 3 (continuación)
4
3,5
3
2,5
2
1,5
1
0,5
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
experimentado evidenciado experimentado que los cambios
perdida de eventos atípicos caídas de realizados
información? en la maquina internet? fueron
(virus)? funcionales
para la
compañía?
Resultado Satisfaccion Empresa 3 0 0,25 0,25 4
130
Tabla 21. Resultado satisfacción empresa 4
5
4
3
2
1
0
1 ¿Cree 2 ¿cree 3 ¿considera 4 ¿la 5 ¿La gestión
usted que el usted que seguro el plataforma del servicio
servicio de mejoro el almacenamie de reporte de sistemas a
internet ha acceso a la nto de los de incidentes mejorado?
mejorado? información archivos en técnicos es
en la red el servidor? fácil de
local? manejar…
Resultado Satisfaccion Empresa 4 5 5 5 5 5
131
Tabla 22.Resultado satisfacción empresa 4 (continuación)
4
3,5
Título del eje
3
2,5
2
1,5
1
0,5
0
6. ¿A 7. ¿A 8. ¿A 9. ¿Considera
experimentado evidenciado experimentado que los cambios
perdida de eventos atípicos caídas de realizados
información? en la maquina internet? fueron
(virus)? funcionales para
la compañía?
Resultado Satisfaccion Empresa 4 0 0 0 4
132
Tabla 23. Resultado general de satisfacción
5,00
4,95
Título del eje
4,90
4,85
4,80
4,75
4,70
4,65
4,60
1 ¿Cree 2 ¿cree 3 4 ¿la 5 ¿La
usted que usted que ¿considera plataforma gestión del
el servicio mejoro el seguro el de reporte servicio de
de internet acceso a la almacenam de sistemas a
ha informació iento de los incidentes mejorado?
mejorado? n en la red archivos en técnicos es
local? el servidor? fácil de…
Resultado Satisfaccion general (4 empresas) 4,81 5,00 4,88 4,75 4,88
133
Tabla 24.Resultado general de satisfacción (continuación)
4,00
3,50
3,00
2,50
2,00
1,50
1,00
0,50
-
6. ¿A 7. ¿A 8. ¿A 9.
experimenta evidenciado experimenta ¿Considera
do perdida eventos do caídas de que los
de atípicos en la internet? cambios
información? maquina realizados
(virus)? fueron…
Resultado Satisfaccion general (4 empresas) - 0,38 0,19 4,00
134
11 LISTADO DE SOFTWARE LIBRE
11.1.1 Endian
Excelente herramienta para implementar en pymes. Es muy estable, provee servicios de firewall,
proxy, vpn, IPS/IDS, router, reportes de accesos, logs de seguridad entre otros.
Requerimientos:
11.1.2 ClearOS
Filtro de contenido, detector de intrusos, control de acceso. Opera como router, proxy y/o Dns.
Permite implementar Ldap, puede funcionar como “Directorio Activo”
Requerimientos:
Memoria 1 Giga
135
11.1.3 Zentyal
Completa herramienta para implementar en Pymes. Contiene active directory, dhcp, dns, ftp,
firewall, groupware, http, proxy IDS, vpn, vlan, voip, servidor de correo entre otros.
Requerimientos:
Memoria 2 Gigas
11.2.1 OpenFiler
Requerimientos:
Memoria 1 Gigas
136
11.2.2 FreeNas
Requerimientos:
11.3.1 MySql
Requerimientos:
137
11.3.2 PostgreSQL
Requerimientos:
11.3.3 MariaDB
Esta base de datos es una alternativa para aquellos desarrolladores que venían
trabajando con Mysql. A primera vista, no tiene cambios drásticos de
funcionamiento. Es de los mismos creadores de Mysql, por ello, se puede
garantizar que es un producto estable y fiable, así su nombre no sea muy
conocido.
Requerimientos:
138
11.4 TELEFONÍA
11.4.1 Asterisk
Requerimientos:
11.4.2 Elastix
Requerimientos:
139
11.5 MONITOREO DE REDES
11.5.1 PandoraFMS
Requerimientos:
11.5.2 Ossim
Requerimientos:
140
Procesador X86 o equivalente
Apache
11.5.3 Nagios
Requerimientos:
11.6.1 Glpi
141
Requerimientos:
11.6.2 KmKey
Requerimientos:
11.6.3 GenOs
142
Requerimientos:
143
12. RESULTADOS Y CONCLUSIONES
Los resultados del presente estudio se pueden generalizar básicamente sobre 4 aspectos
importantes que durante el proceso fueron el eje fundamental y que a su vez fue la base
para la generación de nuevas posibilidades en el proceso de aprendizaje.
144
alto grado de efectividad reduciendo riesgos y amentando seguridad sin desplazar
grandes cantidades del presupuesto empresarial a implementaciones que quizá puedan
ser innecesarias.
No basta con implementar soluciones con software libre o software privativo para
asegurar la información de una organización. También se requiere crear conciencia que
estas implementaciones son cíclicas, que necesitan ser gestionadas para evidenciar el
comportamiento en un medio cambiante. La implementación es solo el primer paso,
posterior a ello es necesario generar o establecer unas métricas para evidenciar la
evolución de dicha implementación. Estos indicadores ayudaran a establecer mejoras
continuas, a tomar las medidas que se requieran para optimizar los procesos. Estas
herramientas sean libres o no, hacen más competitivas a las organizaciones en un medio
global donde la tecnología juega un papel preponderante.
145
12.4 ¡LO IMPORTANTE NO ES EL SOFTWARE ES EL CONOCIMIENTO!
En el caso específico del personal de sistemas las empresas mínimo deberían contar con
una persona experta en la gestión, administración e implementación de procesos pues si
bien es cierto en los casos planteados en el presente estudio, se aplicaron herramientas
para aseguramiento de la información pero de igual manera existe un número elevado de
posibilidades y opciones listas para ser ingresadas en el campo empresarial algunas a
muy bajo costo y algunas otras sin costo alguno que pueden alterar el curso de un
departamento y por qué no de una organización como en el caso planteado para el objeto
de estudio 1 y 2.
Las grandes empresas y algunas PYMES podrán tener el presupuesto y disposición para
la realización de un número determinado de proyectos durante un periodo de tiempo
específico, pero el factor fundamental para planear y ejecutar estas inversiones son los
líderes de cada uno de los procesos corporativos, pues la alta gerencia cuenta con su
apoyo y gestión para la realización y cuidado del factor económico empresarial pero aun
así la persona encargada debe contar con un numero de posibilidades idóneas para ser
implantadas como parte de sus procesos, lo difícil es realizar implementaciones sin
conocimiento de causa o manejo de las herramientas, lo cual expone de forma
significativa el presupuesto y la información.
Muchas corporaciones realizan las inversiones con base en casos de éxito que por razón
alguna descubrieron o escucharon; pero por falta de claridad y el conocimiento de sus
necesidades específicas, permiten que caigan en el error de inversiones que no cubren
146
sus expectativas. Este a su vez es el error frecuente como lo visualizamos en el caso 3 y
4 pues sin bases comparativas realizaron esquemas e implementaciones sin observar
herramientas existentes o alguna otra alternativa que se le presentase en el momento.
Finalmente no importa el software si es privativo o libre pues uno de los resultados del
presente documento y tal vez uno de los más importantes fue que independientemente
de la clase de plataforma o esquema a implementar sea licenciado o libre lo que debe
interesar es si se cuenta con el conocimiento real para realizar las implementaciones y/o
configuraciones pues en ese proceso es donde tanto el software libre como el privativo
pierde toda validez y seguridad.
147
13. TERMINOS Y DEFINICIONES
ACCIÓN CORRECTIVA:
Medida de tipo reactivo orientada a eliminar la causa de una no conformidad
asociada a la implementación y operación del SGSI con el fin de prevenir su
repetición.
ACCIÓN PREVENTIVA:
Medida de tipo pro-activo orientada a prevenir potenciales no-conformidades
asociadas a la implementación y operación del SGSI.
ACTIVO:
En relación con la seguridad de la información, se refiere a cualquier información o
sistema relacionado con el tratamiento de la misma que tenga valor para la
organización.
ALCANCE:
Ámbito de la organización que queda sometido al SGSI. Debe incluir la
identificación clara de las dependencias, interfaces y límites con el entorno, sobre
todo si sólo incluye una parte de la organización.
ALERTA:
Una notificación formal de que se ha producido un incidente relacionado con la
seguridad de la información que puede evolucionar hasta convertirse en desastre.
148
AMENAZA:
Causa potencial de un incidente no deseado, el cual puede causar el daño a un
sistema o la organización.
ANÁLISIS DE RIESGOS:
Uso sistemático de la información para identificar fuentes y estimar el riesgo.
AUDITORÍA:
Proceso planificado y sistemático en el cual un auditor obtiene evidencias
objetivas que le permitan emitir un juicio informado sobre el estado y efectividad
del SGSI de una organización.
AUTENTICACIÓN:
Proceso que tiene por objetivo asegurar la identificación de una persona o
sistema.
149
B
BS7799:
Estándar británico de seguridad de la información, publicado por primera vez en
1995. En 1998, fue publicada la segunda parte. La parte primera es un conjunto de
buenas prácticas para la gestión de la seguridad de la información -no es
certificable- y la parte segunda especifica el sistema de gestión de seguridad de la
información -es certificable-. La parte primera es el origen de ISO 17799 e ISO
27002 y la parte segunda de ISO 27001. Como tal estándar, ha sido derogado ya,
por la aparición de estos últimos.
BSI:
British Standards Institution. Comparable al AENOR español, es la Organización
que ha publicado la serie de normas BS 7799, además de otros varios miles de
normas de muy diferentes ámbitos.
CHECKLIST:
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener
claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría,
asegura su continuidad y profundidad y reduce los prejuicios del auditor y su carga
de trabajo. Este tipo de listas también se pueden utilizar durante la implantación
del SGSI para facilitar su desarrollo.
COMPROMISO DE LA DIRECCIÓN:
Alineamiento firme de la Dirección de la organización con el establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora del
SGSI.
150
CONFIDENCIALIDAD:
Acceso a la información por parte únicamente de quienes estén autorizados.
CONTROL:
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de
salvaguarda o contramedida).
CONTROL CORRECTIVO:
Control que corrige un riesgo, error, o acto deliberado antes de que produzca
pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
CONTROL DETECTIVO:
Control que detecta la aparición de un riesgo, error, omisión o acto deliberado.
Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.
CONTROL PREVENTIVO:
Control que evita que se produzca un riesgo, error, omisión o acto deliberado.
Impide que una amenaza llegue siquiera a materializarse.
DECLARACIÓN DE APLICABILIDAD:
Documento que enumera los controles aplicados por el SGSI de la organización -
tras el resultado de los procesos de evaluación y tratamiento de riesgos- además
de la justificación tanto de su selección como de la exclusión de controles incluidos
en el anexo A de la norma.
151
DESASTRE:
Cualquier evento accidental, natural o malintencionado que interrumpe las
operaciones o servicios habituales de una organización durante el tiempo
suficiente como para verse la misma afectada de manera significativa.
DIRECTIVA:
Una descripción que clarifica qué debería ser hecho y cómo, con el propósito de
alcanzar los objetivos establecidos en las políticas.
DISPONIBILIDAD:
Acceso a la información y los sistemas de tratamiento de la misma por parte de los
usuarios autorizados cuando lo requieran.
EVALUACIÓN DE RIESGOS:
Proceso de comparar el riesgo estimado contra un criterio de riesgo dado con el
objeto de determinar la importancia del riesgo.
EVENTO:
Suceso identificado en un sistema, servicio o estado de la red que indica una
posible brecha en la política de seguridad de la información o fallo de las
salvaguardias, o una situación anterior desconocida que podría ser relevante para
la seguridad.
FASE 1 DE LA AUDITORÍA:
Fase en la que, fundamentalmente a través de la revisión de documentación, se
analiza en SGSI en el contexto de la política de seguridad de la organización, sus
152
objetivos, el alcance, la evaluación de riesgos, la declaración de aplicabilidad y los
documentos principales, estableciendo un marco para planificar la fase 2.
FASE 2 DE LA AUDITORÍA:
Fase en la que se comprueba que la organización se ajusta a sus propias
políticas, objetivos y procedimientos, que el SGSI cumple con los requisitos de
ISO 27001 y que está siendo efectivo.
GESTIÓN DE CLAVES:
Controles referidos a la gestión de claves criptográficas.
GESTIÓN DE RIESGOS:
Proceso de identificación, control y minimización o eliminación, a un coste
aceptable, de los riesgos que afecten a la información de la organización. Incluye
la valoración de riesgos y el tratamiento de riesgos.
IMPACTO:
El coste para la empresa de un incidente de la escala que sea, que puede o no ser
medido en términos estrictamente financieros ej., pérdida de reputación,
implicaciones legales, etc.
INCIDENTE:
Evento único o serie de eventos de seguridad de la información inesperados o no
deseados que poseen una probabilidad significativa de comprometer las
operaciones del negocio y amenazar la seguridad de la información.
153
INTEGRIDAD
Mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
INVENTARIO DE ACTIVOS:
Lista de todos aquellos recursos (físicos, de información, software, documentos,
servicios, personas, reputación de la organización, etc.) dentro del alcance del
SGSI, que tengan valor para la organización y necesiten por tanto ser protegidos
de potenciales riesgos.
ISO:
Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es
una agrupación de organizaciones nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares.
ISO 17799:
Código de buenas prácticas en gestión de la seguridad de la información adoptado
por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO
27002 por cambio de nomenclatura el 1 de Julio de 2007.No es certificable.
ISO 27001:
Estándar para sistemas de gestión de la seguridad de la información adoptado por
ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
publicación en 2005
ISO 27002:
Código de buenas prácticas en gestión de la seguridad de la información
154
N
NO CONFORMIDAD:
Situación aislada que, basada en evidencias objetivas, demuestra el
incumplimiento de algún aspecto de un requerimiento de control que permita dudar
de la adecuación de las medidas para preservar la confidencialidad, integridad o
disponibilidad de información sensible, o representa un riesgo menor.
NO CONFORMIDAD GRAVE:
Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en
evidencias objetivas, permita dudar seriamente de la adecuación de las medidas
para preservar la confidencialidad, integridad o disponibilidad de información
sensible, o representa un riesgo inaceptable.
OBJETIVO:
Declaración del resultado o fin que se desea lograr mediante la implementación de
procedimientos de control en una actividad de TI determinada.
PDCA:
Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el
SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el
SGSI).
155
PLAN DE CONTINUIDAD DEL NEGOCIO:
Plan orientado a permitir la continuación de las principales funciones del negocio
en el caso de un evento imprevisto que las ponga en peligro.
POLÍTICA DE SEGURIDAD:
Documento que establece el compromiso de la Dirección y el enfoque de la
organización en la gestión de la seguridad de la información.
RIESGO:
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información.
RIESGO RESIDUAL:
El riesgo que permanece tras el tratamiento del riesgo.
SALVAGUARDIA:
Véase: Control.
SEGREGACIÓN DE TAREAS:
Reparto de tareas sensibles entre distintos empleados para reducir el riesgo de un
mal uso de los sistemas e informaciones deliberado o por negligencia.
156
SEGURIDAD DE LA INFORMACIÓN:
Preservación de la confidencialidad, integridad y disponibilidad de la información;
además, otras propiedades como autenticidad, responsabilidad, no repudio y
fiabilidad pueden ser también consideradas.
SELECCIÓN DE CONTROLES:
Proceso de elección de los controles que aseguren la reducción de los riesgos a
un nivel aceptable.
SGSI:
Sistema de Gestión de la Seguridad de la Información. Que, basado en el análisis
de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la
seguridad de la información. (Nota: el sistema de gestión incluye una estructura de
organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
TRATAMIENTO DE RIESGOS:
Proceso de selección e implementación de medidas para modificar el riesgo.
157
V
VALORACIÓN DE RIESGOS:
Proceso completo de análisis y evaluación de riesgos.
VULNERABILIDAD:
Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo.
158
BIBLIOGRAFIA
Eladio Zacarías Ortiz. Así se Investiga, Pasos para hacer una Investigación.
Clásicos Roxsil. 2000. ISBN 84-89899-30-4
159
NORMA TECNICA INTERNACIONAL. Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión de la seguridad de la
información. ESTÁNDAR INTERNACIONAL ISO/IEC 17799. Segunda edición
2006
Reichart ChS, Cook TD. (2001) Hacia una superación del enfrentamiento entre los
métodos cualitativos y cuantitativos. En: Cook TD, Reichart ChR (ed). Métodos
cualitativos y cuantitativos en investigación evaluativa. Madrid: Morata.
Stallman, Richard M. Software libre para una sociedad libre. Ed. Traficantes de Sueños.
España. 2004. p.99
160
URLs
http//www.iso27000.es/iso27000.html#section3c
161
Guía del derecho de software, Cenatic 2009 http//oca.usal.es/documentos/guia-juridica-
20090701.pdf pg 22
http//www.iered.org/miembros/ulises/representacion-ideas/Derechos-
Autor/propiedad_intelectual_en_la_legislacin_colombiana.html
http//seguinfo.wordpress.com/2009/03/05/metodologias-de-analisis-de-riesgo-2/
162
Revista de la Asociación Colombiana de Ingenieros, 2010
http//www.acis.org.co/fileadmin/Revista_115/investigacion.pdf pag 31
http://www.enter.co/seguridad/5-cifras-espeluznantes-de-la-inseguridad-
informatica-disi-2010/
http://www.softwarelibre.cl/drupal//?q=node/717
http://oca.usal.es/documentos/guia-juridica-20090701.pdf
http://www.ibiblio.org/pub/linux/docs/LuCaS/Informes/informe-seguridad-
SL/informe-seguridad-SL-html/sw-libre.html
http://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja
&ved=0CGAQFjAB&url=http%3A%2F%2Fwww.suscerte.gob.ve%2Findex.php%2F
es%2Fla-institucion%2Fbiblioteca-suscerte%2Ftalleres-y-formacion%2F229-
presentacion-vencert%2Fdownload&ei=gpItUPPoNIi-
9QTtuYCoCg&usg=AFQjCNFTQTx0bSmp6liEtepNHH0zFcZWqA&sig2=2vUogfP9
qZIlzWekkdJybQ
163
http://www.microsoft.com/spain/technet/recursos/articulos/srsgch06.mspx
http://www.xtech.com.ar/servicios/migraciones-de-software-privativo-a-software-
libre/
http://protejete.wordpress.com/descargas/
http://seguinfo.wordpress.com/category/estadisticas/
164
ANEXOS
Nombre encuestado
Empresa
Fecha
DEPARTAMENTO DE SISTEMAS
1. ¿cuenta con departamento de sistemas?
Si__ No__
2. Si la respuesta en el ítem 1 fue NO seleccione la razón por la cual no cuenta con
departamento de sistemas.
a) Recurso económico
b) Recursos físicos
c) Se ha evaluado y descartado
d) Se ha evaluado y hay planes de introducirlo
e) N/a
3. ¿La persona encargada de los sistemas es?
a) Ingeniero de sistemas.
b) Tecnólogo en sistemas.
c) Técnico en sistemas.
d) Ninguno
4. ¿Cuenta con servidor corporativo?
Si____ No____
5. Si la respuesta en el ítem 4 fue NO seleccione la razón por la cual no cuenta con
equipo servidor.
f) Recurso económico
g) Recursos físicos
h) Se ha evaluado y descartado
i) Se ha evaluado y hay planes de introducirlo
165
j) N/a
6. ¿Que sistema operativo tiene en el servidor?
a) Windows server (2003, 2008 o 2008 R2).
b) Linux
c) Unix
d) Os
e) Ninguno.
7. ¿Qué sistema operativo maneja para las estaciones cliente? (puede seleccionar
mas de 1 opción)
a) Windows (Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
166
c) 51 - 60
d) 61 o más
SOFTWARE LIBRE
1. ¿Sabe que es el software libre?
Si___ No____.
2. ¿Usan Software Libre en la organización?
a) Si
b) No
c) Se ha evaluado y descartado
d) Se ha evaluado y hay planes de introducirlo.
3. ¿Cuál es el motivo para no evaluar la opción de Software Libre en la organización?
(puede seleccionar máximo 3 opciones)
a) Desconocimiento de la oferta
b) Falta de necesidad
c) Desconfianza técnica
d) Desconfianza empresarial
e) Desconfianza soporte y continuidad
f) Inseguridad del software libre
g) No apoyada por proveedores
h) No certificación de fabricantes de sw y hw
i) Falta de soporte y mantenimiento
4. ¿Experiencia en la adopción de Software Libre?
a) Ninguna
b) Buena
c) Regular
d) Mala
5. De las siguientes ventajas que proporciona el software libre, señale las que
considere más interesantes: (puede seleccionar varias opciones)
a) En general, se puede descargar e instalar de manera gratuita, puedeser
copiado y distribuido a otras personas libremente.
b) Muchos programas de software libre tienen una gran comunidad de usuarios
(foros etc); donde resolver dudas, encontrar trucos etc.
c) Los usuarios pueden sugerir o pedir nuevas funcionalidades.
167
d) No depende de lo que decida una sola empresa
e) Es personalizable (idioma, aspecto, instalar complementos o quitar cosas que
no son útiles)
f) En general, los programas de software libre utilizan formatos estándares y
además manejan muchos tipos de archivos diferentes
g) Al haber acceso al código fuente, los informáticos arreglan más rápidamente
los problemas que se encuentran
h) No tiene virus
i) Existe gran variedad de programas de software libre, para hacer multitud de
tareas, y complementos para ampliar sus funciones
6. ¿Estaría dispuesto a probar una aplicación libre como alternativa a la privativa que
usa?
a) Firewall
b) Servidor de datos
c) Base de datos
d) Gestión documental
e) Gestión Administrativa y de personal
f) Ninguna
ESQUEMAS DE SEGURIDAD
1. ¿Maneja usted una política de seguridad informática?
Si__ No__
2. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
Si__ No__
3. ¿Cuenta con antivirus?
a) Licenciado
b) Sin licencia
c) No cuenta con antivirus
d) Licencia libre
4. ¿Existe alguna plataforma que administre la seguridad de red?
Si__ No__
5. ¿Cuenta con esquemas de seguridad física?
a) CCTV
168
b) Controles de acceso físico (puertas electrónicas, acceso con sistemas de
tarjetas electrónicos, sistemas biométricos, etc)
c) Ninguno.
d) Todos los anteriores
6. ¿Cuenta con software que administre y gestione RRHH?
Si____No____
7. ¿Cuenta con software que administre y gestione las información y gestión
empresarial?
Si____No____
INCIDENTES DE SEGURIDAD.
1. Sabe que es un incidente de seguridad
Si__ No__
2. ¿Documenta los procedimientos correspondientes al servicio del departamento de
sistemas?
Si__ No__.
3. ¿Cual de los siguientes es el incidente más recurrente? (puede seleccionar varios,
califique entre 1 y 10, donde 10 es el mas recurrente y 1 el de menor frecuencia)
a) Virus.
b) Perdida de información.
c) Perdida de documentos físicos.
d) Accesos sin autorización de personal.
e) Acceso a información a través de la red.
f) Daño en partes o piezas de equipos por desgaste, mal uso o calidad del
elemento.
g) Daño ocasionado en equipos de cómputo por fluctuación de electricidad.
4. ¿Cual es la consecuencia más recurrente por los incidentes presentados?
a) Perdida de la información (física o lógica).
b) Daño en piezas o partes de los equipos de computo
c) Gastos económicos innecesarios en la compañía
d) Perdida de clientes, dinero y good-well en el mercado.
e) Todas las anteriores.
5. Son documentados los incidentes de seguridad.
169
Si____No____
6. Se le realiza seguimiento a los incidentes de seguridad
Si____No____
7. Se tiene registro de los incidentes de seguridad
Si____No____
8. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año?
a) 1-5
b) 6-10
c) 11-20
d) 21-30
e) Mas de 31
170
Anexo B. Escala de Medición de Controles ISO/IEC 27001:2005.
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI FALSO 0
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 0 0,00 100,00
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad FALSO 0
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 0 0,00 100,00
•Existen un inventario de activos actualizado FALSO 0
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos FALSO 0
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 0 0,00 100,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 0 0,00 100,00
Existe perímetro de seguridad física(una pared, puerta con llave). FALSO 0
Existen controles de entrada para protegerse frente al acceso de personal no autorizado FALSO 0
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica FALSO 0
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 0 0,00 100,00
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información FALSO 0
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno FALSO 0
Realizar copias de backup de la información esencial para el negocio FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores FALSO 0
Existen logs de los fallos detectados FALSO 0
Existen rastro de auditoría FALSO 0
Existe algún control en las redes FALSO 0
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad FALSO 0
171
CONTROL DE ACCESOS 0 0,00 100,00
Existe una política de control de accesos FALSO 0
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario FALSO 0
Existe una gestión de los password de usuarios FALSO 0
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password FALSO 0
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio FALSO 0
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos FALSO 0
Existe un control de la conexión de redes FALSO 0
Existe un control del routing de las redes FALSO 0
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 0 0,00 100,00
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas FALSO 0
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 0 0,00 100,00
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
si 0 85
0% 0 100
si no
no
100%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si si
0% 0%
no no
100% 100%
CLASIFICACIÓN Y CONTROL DE
172
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si si
0% 0%
no no
100%
100%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
1 si
0% 0%
no
100% 100%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
173
RR.HH
externas
Finanzas
Respaldos
Fotos, etc.)
Chat interno
Chat externo
institucionales
Correo electrónico
Servicios bancarios
(Proyectos, Planes,
Informática (Planes,
Llamadas telefónicas
Documentación, etc.)
Documentación, etc.)
Datos e información no
Directorio de Contactos
Navegación en Internet
Infraestructura (Planes,
Bases de datos internos
2 = Bajo
4 = Alto]
Magnitud de
3 = Mediano
[1 = Insignificante
Extorsión
Fraude / Estafa
Infiltración
Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Incendio
Inundación / deslave
Sismo
Sucesos de origen físico
Polvo
174
Falta de ventilación
Electromagnetismo
Sobrecarga eléctrica
Utilización de programas no
autorizados / software 'pirateado'
Perdida de datos
Sobrepasar autoridades
Ausencia de documentación
Anexo D. Encuesta Satisfacción
Nombre encuestado
Empresa
Fecha
175
¿A evidenciado eventos atípicos en la maquina (virus)?
a) 1 a 2
b) 3 a 5
c) 5 a 7
d) 8 a 10
e) Mas de 10
176
Anexo E. Autodiagnóstico #1
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI FALSO 0
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 0 0,00 100,00
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad FALSO 0
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 0 0,00 100,00
•Existen un inventario de activos actualizado FALSO 0
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos FALSO 0
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 0 0,00 100,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 0 0,00 100,00
Existe perímetro de seguridad física(una pared, puerta con llave). FALSO 0
Existen controles de entrada para protegerse frente al acceso de personal no autorizado FALSO 0
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica FALSO 0
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 0 0,00 100,00
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno FALSO 0
Realizar copias de backup de la información esencial para el negocio FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores FALSO 0
Existen logs de los fallos detectados FALSO 0
Existen rastro de auditoría FALSO 0
Existe algún control en las redes FALSO 0
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea VERDADERO 1
Se monitorean las actividades relacionadas a la seguridad FALSO 0
177
CONTROL DE ACCESOS 2 10,00 90,00
Existe una política de control de accesos FALSO 0
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario FALSO 0
Existe una gestión de los password de usuarios FALSO 0
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password FALSO 0
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio FALSO 0
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos FALSO 0
Existe un control de la conexión de redes FALSO 0
Existe un control del routing de las redes FALSO 0
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 0 0,00 100,00
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas FALSO 0
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 0 0,00 100,00
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
si 2 85
2% 2,4 98
si no
no
98%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si si
0% 0%
no no
100% 100%
CLASIFICACIÓN Y CONTROL DE
178
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si si
0% 0%
no no
100%
100%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
1
si
0% 10%
no
100% 90%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
179
Anexo F. Autodiagnóstico #2
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI FALSO 0
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 0 0,00 100,00
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 1 12,50 87,50
•Existen un inventario de activos actualizado FALSO 0
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos FALSO 0
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 0 0,00 100,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 0 0,00 100,00
Existe perímetro de seguridad física(una pared, puerta con llave). FALSO 0
Existen controles de entrada para protegerse frente al acceso de personal no autorizado FALSO 0
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica FALSO 0
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 0 0,00 100,00
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno FALSO 0
Realizar copias de backup de la información esencial para el negocio FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores FALSO 0
Existen logs de los fallos detectados FALSO 0
Existen rastro de auditoría FALSO 0
Existe algún control en las redes FALSO 0
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad FALSO 0
180
CONTROL DE ACCESOS 1 5,00 95,00
Existe una política de control de accesos FALSO 0
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario FALSO 0
Existe una gestión de los password de usuarios FALSO 0
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password FALSO 0
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio FALSO 0
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos FALSO 0
Existe un control de la conexión de redes FALSO 0
Existe un control del routing de las redes FALSO 0
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 0 0,00 100,00
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas FALSO 0
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 0 0,00 100,00
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
si 2 85
2% 2,4 98
si no
no
98%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si si
0% 12%
no no
100% 88%
CLASIFICACIÓN Y CONTROL DE
181
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si si
0% 0%
no no
100%
100%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
1
si
0% 5%
no
100% 95%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si
si
0% 0%
no no
100%
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
182
Anexo G. Autodiagnóstico #3
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 1 16,67 83,33
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad FALSO 0
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 0 0,00 100,00
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios VERDADERO 1
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos VERDADERO 1
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 3 50,00 50,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal VERDADERO 1
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 1 11,11 88,89
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado FALSO 0
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI VERDADERO 1
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. VERDADERO 1
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 4 36,36 63,64
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
no
76%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si
si
17% 0%
no no
83% 100%
CLASIFICACIÓN Y CONTROL DE
184
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si
11%
no si
50% 50%
no
89%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
si
1 15%
36%
64% no
85%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si si
31% 40%
no
no 60%
69%
si
si 0%
40%
no
60%
no
100%
CONFORMIDAD
si
20%
no
80%
185
Anexo H. Autodiagnóstico #4
Anexo H. Autodiagnóstico #4
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI FALSO 0
•Existe normativa relativa a la seguridad de los SI FALSO 0
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas FALSO 0
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 0 0,00 100,00
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad FALSO 0
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. VERDADERO 1
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 1 12,50 87,50
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos VERDADERO 1
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 2 33,33 66,67
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas FALSO 0
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 0 0,00 100,00
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 3 27,27 72,73
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información FALSO 0
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio VERDADERO 1
Existen logs para las actividades realizadas por los operadores y administradores FALSO 0
Existen logs de los fallos detectados FALSO 0
Existen rastro de auditoría FALSO 0
Existe algún control en las redes FALSO 0
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad FALSO 0
CONTROL DE ACCESOS 2 10,00 90,00
Existe una política de control de accesos FALSO 0
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario FALSO 0
Existe una gestión de los password de usuarios 186 FALSO 0
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio FALSO 0
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 1 6,25 93,75
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas FALSO 0
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 0 0,00 100,00
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
si 9 85
11% 11 89
si no
no
89%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si si
0% 12%
no no
100% 88%
CLASIFICACIÓN Y CONTROL DE
187
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si
si 0%
33%
no
67% no
100%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
si
1 10%
27%
no
73%
90%
DESARROLLO Y MANTENIMIENTO DE SISTEMAS
CONTROL DE ACCESOS
si
si
6% 0%
no no
94% 100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
188
Anexo I. Matriz de Riesgo Objeto #1
Anexo I. Matriz de riesgo Objeto #1 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Ausencia de documentación
Utilización de programas no
Sobrepasar autoridades
(inseguras, no cambiar,
terceros no autorizados
(codificar, borrar, etc.)
Intrusión a Red interna
Daño:
acceso no autorizado
Inundación / deslave
Robo / Hurto (físico)
(proceso y recursos)
Sobrecarga eléctrica
Datos, Información equipos de [1 = Insignificante
(acceso a archivos)
Electromagnetismo
Falta de ventilación
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Celulares 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Computadoras 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
Correo electrónico 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Cortafuego 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Datos e información no
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
institucionales
Directorio de Contactos 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Impresoras 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
Memorias portátiles 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Navegación en Internet 2 8 4 4 8 8 4 6 8 6 8 8 8 8 8 4 4 6 6 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8 8
PBX o VOIP 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Portátiles 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Productos institucionales
(Investigaciones, Folletos, 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Fotos, etc.)
Programas de administración
(contabilidad, manejo de 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
personal, etc.)
Programas de comunicación
(correo electrónico, chat, 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
llamadas telefónicas, etc.)
Programas de manejo de
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
proyectos
Programas de producción de
4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
datos
Respaldos 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
RR.HH 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Servicios bancarios 4 16 8 8 16 16 8 12 16 12 16 16 16 16 16 8 8 12 12 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16 16
Servidores 3 12 6 6 12 12 6 9 12 9 12 12 12 12 12 6 6 9 9 12 12 9 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12 12
Vehículos 1 4 2 2 4 4 2 3 4 3 4 4 4 4 4 2 2 3 3 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
189
Anexo J. Matriz de Riesgo Objeto #2
Anexo J. Matriz de riesgo Objeto #2 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Ausencia de documentación
Utilización de programas no
Sobrepasar autoridades
(inseguras, no cambiar,
terceros no autorizados
(codificar, borrar, etc.)
Intrusión a Red interna
Daño:
acceso no autorizado
Inundación / deslave
Robo / Hurto (físico)
(proceso y recursos)
Sobrecarga eléctrica
Datos, Información equipos de [1 = Insignificante
(acceso a archivos)
Electromagnetismo
Falta de ventilación
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
Celulares 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Computadoras 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Correo electrónico 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Cortafuego 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Datos e información no
4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
institucionales
Directorio de Contactos 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Impresoras 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Memorias portátiles 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Navegación en Internet 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
PBX o VOIP 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Portátiles 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Productos institucionales
(Investigaciones, Folletos, 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Fotos, etc.)
Programas de administración
(contabilidad, manejo de 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
personal, etc.)
Programas de comunicación
(correo electrónico, chat, 1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
llamadas telefónicas, etc.)
Programas de manejo de
1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
proyectos
Programas de producción de
4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
datos
Respaldos 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
RR.HH 2 8 4 4 6 8 4 6 8 8 8 8 8 8 8 4 4 6 2 6 6 6 4 8 8 8 8 8 8 8 8 8 8 8 8 6 8 8 8 8 8 8 8 8 8 8 8 8 8
Servicios bancarios 4 16 8 8 12 16 8 12 16 16 16 16 16 16 16 8 8 12 4 12 12 12 8 16 16 16 16 16 16 16 16 16 16 16 16 12 16 16 16 16 16 16 16 16 16 16 16 16 16
Servidores 1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
Vehículos 1 4 2 2 3 4 2 3 4 4 4 4 4 4 4 2 2 3 1 3 3 3 2 4 4 4 4 4 4 4 4 4 4 4 4 3 4 4 4 4 4 4 4 4 4 4 4 4 4
190
Anexo K. Matriz de Riesgo Objeto #3
Anexo K. Matriz de riesgo Objeto #3 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Ausencia de documentación
Utilización de programas no
Sobrepasar autoridades
(inseguras, no cambiar,
terceros no autorizados
(codificar, borrar, etc.)
Intrusión a Red interna
Daño:
acceso no autorizado
Inundación / deslave
Robo / Hurto (físico)
(proceso y recursos)
Sobrecarga eléctrica
Datos, Información equipos de [1 = Insignificante
(acceso a archivos)
Electromagnetismo
Falta de ventilación
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 2 2 4 4 3 3 4 4 4 4 3 3 2 2 2 4 1 2 2 2 2 3 3 3 2 2 4 3 4 4 3 3 3 3 3 2 3 4 3 4 3 4 4 3 4 4 3
Celulares 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Computadoras 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Correo electrónico 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Cortafuego 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Datos e información no
4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
institucionales
Directorio de Contactos 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Impresoras 2 8 4 4 8 8 6 6 8 8 8 8 6 6 4 4 4 8 2 4 4 4 4 6 6 6 4 4 8 6 8 8 6 6 6 6 6 4 6 8 6 8 6 8 8 6 8 8 6
Memorias portátiles 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Navegación en Internet 2 8 4 4 8 8 6 6 8 8 8 8 6 6 4 4 4 8 2 4 4 4 4 6 6 6 4 4 8 6 8 8 6 6 6 6 6 4 6 8 6 8 6 8 8 6 8 8 6
PBX o VOIP 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Portátiles 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Productos institucionales
(Investigaciones, Folletos, 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Fotos, etc.)
Programas de administración
(contabilidad, manejo de 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
personal, etc.)
Programas de comunicación
(correo electrónico, chat, 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
llamadas telefónicas, etc.)
Programas de manejo de
3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
proyectos
Programas de producción de
4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
datos
Respaldos 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
RR.HH 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Servicios bancarios 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
Servidores 3 12 6 6 12 12 9 9 12 12 12 12 9 9 6 6 6 12 3 6 6 6 6 9 9 9 6 6 12 9 12 12 9 9 9 9 9 6 9 12 9 12 9 12 12 9 12 12 9
Vehículos 4 16 8 8 16 16 12 12 16 16 16 16 12 12 8 8 8 16 4 8 8 8 8 12 12 12 8 8 16 12 16 16 12 12 12 12 12 8 12 16 12 16 12 16 16 12 16 16 12
191
Anexo L. Matriz de Riesgo Objeto #4
Anexo L. Matriz de riesgo Objeto #4 Probabilidad de Amenaza [1 = Insignificante, 2 = Baja, 3= Mediana, 4 = Alta]
Actos originados por la criminalidad común y motivación política Sucesos de origen físico Sucesos derivados de la impericia, negligencia de usuarios/as y decisiones institucionales
Ausencia de documentación
Utilización de programas no
Sobrepasar autoridades
(inseguras, no cambiar,
terceros no autorizados
(codificar, borrar, etc.)
Intrusión a Red interna
Daño:
acceso no autorizado
Inundación / deslave
Robo / Hurto (físico)
(proceso y recursos)
Sobrecarga eléctrica
Datos, Información equipos de [1 = Insignificante
(acceso a archivos)
Electromagnetismo
Falta de ventilación
sistemas externos
computo 2 = Bajo
sistemas internos
Perdida de datos
Fraude / Estafa
3 = Mediano
no autorizado
herramientas
4 = Alto]
electrónico)
Infiltración
electrónica
programas
sin cifrado
Extorsión
Incendio
personal
teléfono
riesgos)
externo
críticos
Sismo
Polvo
4 1 1 4 4 4 1 4 2 2 2 1 1 1 1 2 2 2 2 2 2 2 2 2 1 1 1 4 3 4 4 3 2 3 2 2 1 1 2 1 2 2 2 3 3 3 3 3
Celulares 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Computadoras 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Correo electrónico 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Cortafuego 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Datos e información no
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
institucionales
Directorio de Contactos 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Impresoras 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Memorias portátiles 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Navegación en Internet 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
PBX o VOIP 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Portátiles 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Productos institucionales
(Investigaciones, Folletos, 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Fotos, etc.)
Programas de administración
(contabilidad, manejo de 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
personal, etc.)
Programas de comunicación
(correo electrónico, chat, 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
llamadas telefónicas, etc.)
Programas de manejo de
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
proyectos
Programas de producción de
4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
datos
Respaldos 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
RR.HH 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Servicios bancarios 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Servidores 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
Vehículos 4 16 4 4 16 16 16 4 16 8 8 8 4 4 4 4 8 8 8 8 8 8 8 8 8 4 4 4 16 12 16 16 12 8 12 8 8 4 4 8 4 8 8 8 12 12 12 12 12
192
Anexo M. Autodiagnóstico objeto #1 post-implementación
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
•Existe normativa relativa a la seguridad de los SI VERDADERO 1
•Existen procedimientos relativos a la seguridad de SI FALSO 0
•Existe un responsable de las políticas, normas y procedimientos VERDADERO 1
•Existen mecanismos para la comunicación a los usuarios de las normas VERDADERO 1
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 4 66,67 33,33
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 1 12,50 87,50
•Existen un inventario de activos actualizado FALSO 0
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos VERDADERO 1
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 1 16,67 83,33
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos FALSO 0
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas VERDADERO 1
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 1 11,11 88,89
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI FALSO 0
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. VERDADERO 1
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 4 36,36 63,64
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos VERDADERO 1
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio FALSO 0
Existen logs para las actividades realizadas por los operadores y administradores VERDADERO 1
Existen logs de los fallos detectados VERDADERO 1
Existen rastro de auditoría FALSO 0
Existe algún control en las redes VERDADERO 1
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea VERDADERO 1
Se monitorean las actividades relacionadas a la seguridad FALSO 0
CONTROL DE ACCESOS 7 35,00 65,00
Existe una política de control de accesos VERDADERO 1
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario VERDADERO 1
Existe una gestión de los password de usuarios VERDADERO 1
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos VERDADERO 1
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red VERDADERO 1
Se asegura la ruta (path) desde el terminal al servicio VERDADERO 1
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos FALSO 0
Existe un control de la conexión de redes VERDADERO 1
Existe un control del routing de las redes VERDADERO 1
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
193
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 9 56,25 43,75
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas VERDADERO 1
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 1 12,50 87,50
Se comunican los eventos de seguridad VERDADERO 1
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 1 20,00 80,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual VERDADERO 1
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
1 20,00 80,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
30 85
si 35 65
35% si no
no
65%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
si
no 12%
33%
si
67%
no
88%
CLASIFICACIÓN Y CONTROL DE
194
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si si
17% 11%
no no
83% 89%
SEGURIDAD FÍSICA Y DEL GESTIÓN DE COMUNICACIONES Y OPERACIONES
ENTORNO
si
1
36% 35%
no
64% 65%
si
20%
no
si
44%
56%
no
80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
20%
no
80%
195
Anexo N. Autodiagnóstico objeto #2 post-implementación
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
•Existe normativa relativa a la seguridad de los SI VERDADERO 1
•Existen procedimientos relativos a la seguridad de SI VERDADERO 1
•Existe un responsable de las políticas, normas y procedimientos FALSO 0
•Existen mecanismos para la comunicación a los usuarios de las normas VERDADERO 1
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 4 66,67 33,33
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad VERDADERO 1
•Existe un responsable encargado de evaluar la adquisición y cambios de SI FALSO 0
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes FALSO 0
•Existen programas de formación en seguridad para los empleados,
FALSO 0
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 2 25,00 75,00
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios FALSO 0
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos FALSO 0
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 1 16,67 83,33
•Se tienen definidas responsabilidades y roles de seguridad VERDADERO 1
•Se tiene en cuenta la seguridad en la selección y baja del personal FALSO 0
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos VERDADERO 1
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada FALSO 0
•Informan los usuarios de las vulnerabilidades observadas o sospechadas VERDADERO 1
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 3 33,33 66,67
Existe perímetro de seguridad física(una pared, puerta con llave). FALSO 0
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI VERDADERO 1
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. FALSO 0
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones FALSO 0
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 3 27,27 72,73
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos FALSO 0
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas FALSO 0
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio VERDADERO 1
Existen logs para las actividades realizadas por los operadores y administradores VERDADERO 1
Existen logs de los fallos detectados VERDADERO 1
Existen rastro de auditoría FALSO 0
Existe algún control en las redes VERDADERO 1
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
VERDADERO 1
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad FALSO 0
196
CONTROL DE ACCESOS 7 35,00 65,00
Existe una política de control de accesos VERDADERO 1
Existe un procedimiento formal de registro y baja de accesos FALSO 0
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario VERDADERO 1
Existe una gestión de los password de usuarios VERDADERO 1
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos FALSO 0
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red FALSO 0
Se asegura la ruta (path) desde el terminal al servicio VERDADERO 1
Existe una autenticación de usuarios en conexiones externas FALSO 0
Existe una autenticación de los nodos VERDADERO 1
Existe un control de la conexión de redes VERDADERO 1
Existe un control del routing de las redes FALSO 0
Existe una identificación única de usuario y una automática de terminales FALSO 0
Existen procedimientos de log-on al terminal FALSO 0
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 7 43,75 56,25
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones FALSO 0
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas VERDADERO 1
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos FALSO 0
ADMINISTRACIÓN DE INCIDENTES 1 12,50 87,50
Se comunican los eventos de seguridad FALSO 0
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 0 0,00 100,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
28 85
si 33 67
33% si no
no
67%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
no si
33% 25%
si
67%
no
75%
CLASIFICACIÓN Y CONTROL DE
197
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si si
17%
33%
no no
83% 67%
1
si
27% 35%
no
65%
73%
si
0%
no si
56% 44%
no
100%
si si
0% 0%
no no
100%
100%
CONFORMIDAD
si
0%
no
100%
198
Anexo O. Autodiagnóstico objeto #3 post-implementación
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
•Existe normativa relativa a la seguridad de los SI VERDADERO 1
•Existen procedimientos relativos a la seguridad de SI VERDADERO 1
•Existe un responsable de las políticas, normas y procedimientos VERDADERO 1
•Existen mecanismos para la comunicación a los usuarios de las normas VERDADERO 1
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 5 83,33 16,67
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI VERDADERO 1
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes VERDADERO 1
•Existen programas de formación en seguridad para los empleados,
VERDADERO 1
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 4 50,00 50,00
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios VERDADERO 1
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos VERDADERO 1
•Existen procedimientos para clasificar la información FALSO 0
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 3 50,00 50,00
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal VERDADERO 1
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos VERDADERO 1
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada VERDADERO 1
•Informan los usuarios de las vulnerabilidades observadas o sospechadas VERDADERO 1
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades FALSO 0 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 4 44,44 55,56
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI VERDADERO 1
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. VERDADERO 1
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones VERDADERO 1
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 6 54,55 45,45
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos VERDADERO 1
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas VERDADERO 1
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio VERDADERO 1
Existen logs para las actividades realizadas por los operadores y administradores VERDADERO 1
Existen logs de los fallos detectados VERDADERO 1
Existen rastro de auditoría FALSO 0
Existe algún control en las redes VERDADERO 1
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea FALSO 0
Se monitorean las actividades relacionadas a la seguridad VERDADERO 1
199
CONTROL DE ACCESOS 9 45,00 55,00
Existe una política de control de accesos VERDADERO 1
Existe un procedimiento formal de registro y baja de accesos VERDADERO 1
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario VERDADERO 1
Existe una gestión de los password de usuarios VERDADERO 1
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos VERDADERO 1
Existen políticas de limpieza en el puesto de trabajo FALSO 0
Existe una política de uso de los servicios de red VERDADERO 1
Se asegura la ruta (path) desde el terminal al servicio VERDADERO 1
Existe una autenticación de usuarios en conexiones externas VERDADERO 1
Existe una autenticación de los nodos VERDADERO 1
Existe un control de la conexión de redes VERDADERO 1
Existe un control del routing de las redes VERDADERO 1
Existe una identificación única de usuario y una automática de terminales VERDADERO 1
Existen procedimientos de log-on al terminal VERDADERO 1
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 14 87,50 12,50
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones VERDADERO 1
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas VERDADERO 1
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos VERDADERO 1
ADMINISTRACIÓN DE INCIDENTES 3 37,50 62,50
Se comunican los eventos de seguridad VERDADERO 1
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 1 20,00 80,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
49 85
58 42
no si no
42%
si
58%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
no
17%
no si
50% 50%
si
83%
CLASIFICACIÓN Y CONTROL DE
200
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
si
no si
50% 50% 44%
no
56%
si
45% 1 no 45%
55% 55%
no si
13% 20%
si no
87% 80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
0%
no
100%
201
Anexo P. Autodiagnóstico objeto #4 post-implementación
POLÍTICAS DE SEGURIDAD
•Existen documento(s) de políticas de seguridad de SI VERDADERO 1
•Existe normativa relativa a la seguridad de los SI VERDADERO 1
•Existen procedimientos relativos a la seguridad de SI VERDADERO 1
•Existe un responsable de las políticas, normas y procedimientos VERDADERO 1
•Existen mecanismos para la comunicación a los usuarios de las normas VERDADERO 1
•Existen controles regulares para verificar la efectividad de las políticas FALSO 0 si no
ORGANIZACIÓN DE LA SEGURIDAD 5 83,33 16,67
•Existen roles y responsabilidades definidos para las personas implicadas en la seguridad FALSO 0
•Existe un responsable encargado de evaluar la adquisición y cambios de SI VERDADERO 1
La Dirección y las áreas de la Organización participa en temas de seguridad VERDADERO 1
•Existen condiciones contractuales de seguridad con terceros y outsourcing FALSO 0
•Existen criterios de seguridad en el manejo de terceras partes VERDADERO 1
•Existen programas de formación en seguridad para los empleados,
VERDADERO 1
clientes y terceros
•Existe un acuerdo de confidencialidad de la información que se accesa. FALSO 0
•Se revisa la organización de la seguridad periódicamente por una empresa externa FALSO 0 si no
ADMINISTRACIÓN DE ACTIVOS 4 50,00 50,00
•Existen un inventario de activos actualizado VERDADERO 1
•El Inventario contiene activos de datos, software, equipos y servicios VERDADERO 1
•Se dispone de una clasificación de la información según la criticidad de la misma FALSO 0
• Existe un responsable de los activos VERDADERO 1
•Existen procedimientos para clasificar la información VERDADERO 1
•Existen procedimientos de etiquetado de la información FALSO 0 si no
SEGURIDAD DE LOS RRHH 4 66,67 33,33
•Se tienen definidas responsabilidades y roles de seguridad FALSO 0
•Se tiene en cuenta la seguridad en la selección y baja del personal VERDADERO 1
•Se plasman las condiciones de confidencialidad y responsabilidades en los contratos FALSO 0
•Se imparte la formación adecuada de seguridad y tratamiento de activos VERDADERO 1
•Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad FALSO 0
•Se recogen los datos de los incidentes de forma detallada VERDADERO 1
•Informan los usuarios de las vulnerabilidades observadas o sospechadas VERDADERO 1
•Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades VERDADERO 1 si no
• Existe un proceso disciplinario de la seguridad de la información FALSO 0
SEGURIDAD FÍSICA Y DEL AMBIENTE 5 55,56 44,44
Existe perímetro de seguridad física(una pared, puerta con llave). VERDADERO 1
Existen controles de entrada para protegerse frente al acceso de personal no autorizado VERDADERO 1
Un área segura ha de estar cerrada, aislada y protegida de eventos naturales FALSO 0
En las áreas seguras existen controles adicionales al personal propio y ajeno FALSO 0
Las áreas de carga y expedición están aisladas de las áreas de SI VERDADERO 1
La ubicación de los equipos está de tal manera para minimizar accesos innecesarios. VERDADERO 1
Existen protecciones frente a fallos en la alimentación eléctrica VERDADERO 1
Existe seguridad en el cableado frente a daños e intercepciones VERDADERO 1
Se asegura la disponibilidad e integridad de todos los equipos FALSO 0
Existe algún tipo de seguridad para los equipos retirados o ubicados exteriormente FALSO 0
Se incluye la seguridad en equipos moviles FALSO 0
GESTIÓN DE COMUNICACIONES Y OPERACIONES 6 54,55 45,45
Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados FALSO 0
Estan establecidas responsabilidades para controlar los cambios en equipos VERDADERO 1
Estan establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a
FALSO 0
incidentes de seguridad
Existe algún método para reducir el mal uso accidental o deliberado de los Sistemas VERDADERO 1
Existe una separación de los entornos de desarrollo y producción FALSO 0
Existen contratistas externos para la gestión de los Sistemas de Información VERDADERO 1
Existe un Plan de Capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento FALSO 0
Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones FALSO 0
Controles contra software maligno VERDADERO 1
Realizar copias de backup de la información esencial para el negocio VERDADERO 1
Existen logs para las actividades realizadas por los operadores y administradores VERDADERO 1
Existen logs de los fallos detectados VERDADERO 1
Existen rastro de auditoría FALSO 0
Existe algún control en las redes VERDADERO 1
Hay establecidos controles para realizar la gestión de los medios informáticos.(cintas, discos, removibles,
FALSO 0
informes impresos)
Eliminación de los medios informáticos. Pueden disponer de información sensible FALSO 0
Existe seguridad de la documentación de los Sistemas FALSO 0
Existen acuerdos para intercambio de información y software FALSO 0
Existen medidas de seguridad de los medios en el tránsito FALSO 0
Existen medidas de seguridad en el comercio electrónico. FALSO 0
Se han establecido e implantado medidas para proteger la confidencialidad e integridad de información
FALSO 0
publicada si no
Existen medidas de seguridad en las transacciones en linea VERDADERO 1
Se monitorean las actividades relacionadas a la seguridad VERDADERO 1
202
CONTROL DE ACCESOS 10 50,00 50,00
Existe una política de control de accesos VERDADERO 1
Existe un procedimiento formal de registro y baja de accesos VERDADERO 1
Se controla y restringe la asignación y uso de privilegios en entornos multi-usuario VERDADERO 1
Existe una gestión de los password de usuarios VERDADERO 1
Existe una revisión de los derechos de acceso de los usuarios FALSO 0
Existe el uso del password VERDADERO 1
Se protege el acceso de los equipos desatendidos VERDADERO 1
Existen políticas de limpieza en el puesto de trabajo VERDADERO 1
Existe una política de uso de los servicios de red VERDADERO 1
Se asegura la ruta (path) desde el terminal al servicio VERDADERO 1
Existe una autenticación de usuarios en conexiones externas VERDADERO 1
Existe una autenticación de los nodos VERDADERO 1
Existe un control de la conexión de redes VERDADERO 1
Existe un control del routing de las redes VERDADERO 1
Existe una identificación única de usuario y una automática de terminales VERDADERO 1
Existen procedimientos de log-on al terminal VERDADERO 1
Se ha incorporado medidas de seguridad a la computación móvil FALSO 0
Está controlado el teletrabajo por la organización FALSO 0 si no
DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 15 93,75 6,25
Se asegura que la seguridad está implantada en los Sistemas de Información FALSO 0
Existe seguridad en las aplicaciones VERDADERO 1
Existen controles criptográficos. FALSO 0
Existe seguridad en los ficheros de los sistemas VERDADERO 1
Existe seguridad en los procesos de desarrollo, testing y soporte FALSO 0 si no
Existen controles de seguridad para los resultados de los sistemas FALSO 0
Existe la gestión de los cambios en los SO. FALSO 0
Se controlan las vulnerabilidades de los equipos VERDADERO 1
ADMINISTRACIÓN DE INCIDENTES 3 37,50 62,50
Se comunican los eventos de seguridad VERDADERO 1
Se comunican los debilidadesde seguridad FALSO 0
Existe definidas las responsabilidades antes un incidente. FALSO 0
Existe un procedimiento formal de respuesta FALSO 0
Existe la gestión de incidentes FALSO 0
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 1 20,00 80,00
Existen procesos para la gestión de la continuidad. FALSO 0
Existe un plan de continuidad del negocio y análisis de impacto FALSO 0
Existe un diseño, redacción e implantación de planes de continuidad FALSO 0
Existe un marco de planificación para la continuidad del negocio FALSO 0
Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio. FALSO 0 si no
CUMPLIMIENTO 0 0,00 100,00
Se tiene en cuenta el cumplimiento con la legislación por parte de los sistemas FALSO 0
Existe el resguardo de la propiedad intelectual FALSO 0
Existe el resguardo de los registros de la organización FALSO 0
Existe una revisión de la política de seguridad y de la conformidad técnica FALSO 0
Existen consideraciones sobre las auditorías de los sistemas FALSO 0
0 0,00 100,00
RESULTADOS AUTODIAGNÓSTICO
GENERAL
53 85
62 38
no si no
38%
si
62%
POR ÁREAS
POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD
no
17%
no si
50% 50%
si
83%
CLASIFICACIÓN Y CONTROL DE
203
CLASIFICACIÓN Y CONTROL DE
ACTIVOS SEGURIDAD DEL PERSONAL
no
33% no
44%
si
si
67%
56%
no si
45% 1 50% 50%
55%
no si
6% 20%
si no
94% 80%
si si
20% 0%
no
80% no
100%
CONFORMIDAD
si
0%
no
100%
204
Anexo A. Modelo de Encuesta Aplicada
Nombre encuestado
Empresa
Fecha
DEPARTAMENTO DE SISTEMAS
1. ¿cuenta con departamento de sistemas?
Si__ No__
2. Si la respuesta en el ítem 1 fue NO seleccione la razón por la cual no cuenta
con departamento de sistemas.
a) Recurso económico
b) Recursos físicos
c) Se ha evaluado y descartado
d) Se ha evaluado y hay planes de introducirlo
e) N/a
3. ¿La persona encargada de los sistemas es?
a) Ingeniero de sistemas.
b) Tecnólogo en sistemas.
c) Técnico en sistemas.
d) Ninguno
4. ¿Cuenta con servidor corporativo?
Si____ No____
5. Si la respuesta en el ítem 4 fue NO seleccione la razón por la cual no cuenta
con equipo servidor.
f) Recurso económico
g) Recursos físicos
h) Se ha evaluado y descartado
i) Se ha evaluado y hay planes de introducirlo
j) N/a
6. ¿Que sistema operativo tiene en el servidor?
a) Windows server (2003, 2008 o 2008 R2).
b) Linux
c) Unix
d) Os
e) Ninguno.
7. ¿Qué sistema operativo maneja para las estaciones cliente? (puede
seleccionar mas de 1 opción)
a) Windows (Xp, Vista, 7).
b) Linux.
c) Os.
d) Otro
ESQUEMAS DE SEGURIDAD
1. ¿Maneja usted una política de seguridad informática?
Si__ No__
2. ¿Controla de alguna manera los inventarios de equipos tecnológicos?
Si__ No__
3. ¿Cuenta con antivirus?
a) Licenciado
b) Sin licencia
c) No cuenta con antivirus
d) Licencia libre
4. ¿Existe alguna plataforma que administre la seguridad de red?
Si__ No__
5. ¿Cuenta con esquemas de seguridad física?
a) CCTV
b) Controles de acceso físico (puertas electrónicas, acceso con sistemas
de tarjetas electrónicos, sistemas biométricos, etc)
c) Ninguno.
d) Todos los anteriores
6. ¿Cuenta con software que administre y gestione RRHH?
Si____No____
7. ¿Cuenta con software que administre y gestione las información y gestión
empresarial?
Si____No____
INCIDENTES DE SEGURIDAD.
1. Sabe que es un incidente de seguridad
Si__ No__
2. ¿Documenta los procedimientos correspondientes al servicio del departamento
de sistemas?
Si__ No__.
3. ¿Cual de los siguientes es el incidente más recurrente? (puede seleccionar
varios, califique entre 1 y 10, donde 10 es el mas recurrente y 1 el de menor
frecuencia)
a) Virus.
b) Perdida de información.
c) Perdida de documentos físicos.
d) Accesos sin autorización de personal.
e) Acceso a información a través de la red.
f) Daño en partes o piezas de equipos por desgaste, mal uso o calidad del
elemento.
g) Daño ocasionado en equipos de cómputo por fluctuación de electricidad.
4. ¿Cual es la consecuencia más recurrente por los incidentes presentados?
a) Perdida de la información (física o lógica).
b) Daño en piezas o partes de los equipos de computo
c) Gastos económicos innecesarios en la compañía
d) Perdida de clientes, dinero y good-well en el mercado.
e) Todas las anteriores.
5. Son documentados los incidentes de seguridad.
Si____No____
6. Se le realiza seguimiento a los incidentes de seguridad
Si____No____
7. Se tiene registro de los incidentes de seguridad
Si____No____
8. De acuerdo a los incidentes descritos en el punto 3 de esta sección, ¿cuantos
incidentes de seguridad ha tenido en el último año?
a) 1-5
b) 6-10
c) 11-20
d) 21-30
e) Mas de 31
DEPARTAMENTO DE SISTEMAS
2. Si la respuesta en el ítem 1 fue NO seleccione la
1. ¿cuenta con departamento de sistemas? razón por la cual no cuenta con departamento de
Rta PORCENTAJE sistemas. Rta PORCENTAJE
Si 9 45,0% a) Recurso económico 6 30,0%
No 11 55,0% b) Recursos físicos 0 0,0%
20 c) Se ha evaluado y descartado 0 0,0%
d) Se ha evaluado y hay planes de introducirlo 5 25,0%
e) N/a 9 45,0%
20
11
12 9 10
10 8
8 6
6
4
4
2
2
0 0
Si No a) Recurso económico
b) Recursos
c) Sefísicos
d)
ha evaluado
Se ha evaluado
y descartado
y hay planes dee)introducirlo
N/a
3. ¿La persona encargada de los sistemas es? Rta PORCENTAJE 4. ¿Cuenta con servidor? Rta PORCENTAJE
a) Ingeniero de sistemas. 4 20,0% Si 9 45,0%
b) Tecnólogo en sistemas. 5 25,0% No 11 55,0%
c) Técnico en sistemas. 0 0,0% 20
d) Ninguno 11 55,0%
20
10
12
8 10
8
6
6
4 4
2
2
0
0 Si No
a) Ingeniero b) Tecnólogo c) Técnico en d) Ninguno
de sistemas. en sistemas. sistemas.
12
9
10
8
8
7
6 6
5 4
4 2
3
0
2
Windows server (2003, 2008b)o 2008
LinuxR2). c) Unix d) Os e) Ninguno.
1
0
a) Recurso económico
b) Recursos
c) Sefísicos
d)
ha evaluado
Se ha evaluado
y descartado
y hay planes de
e) introducirlo
N/a
7. ¿Qué sistema operativo maneja para las estaciones cliente? 8. ¿Que software de ofimática utiliza?
Rta PORCENTAJE Rta PORCENTAJE
a) Windows (Xp, Vista, 7). 20 100,0% a) Microsoft Office 2003 o anterior 0 0,0%
b) Linux. 0 0,0% b) Microsoft Office 2007 o 2010 20 100,0%
c) Os. 0 0,0% c) OpenOffice 0 0,0%
d) Otro 0 0,0% d) Ninguno 0 0,0%
20 20
7. ¿Qué sistema operativo maneja para las 8. ¿Que software de ofimática utiliza?
estaciones cliente?
20
20 15
15 10
10 5
5 0
0 a) Microsoft b) Microsoft c) OpenOffice d) Ninguno
Office 2003 o Office 2007 o
a) Windows b) Linux. c) Os. d) Otro
anterior 2010
(Xp, Vista, 7).
9. ¿Que software utiliza para comprimir 10. ¿Cuántas estaciones de trabajo posee su
archivos? empresa en la actualidad?
20
20
15
15
10 10
5 5
0 0
a) Winzip b) 7zip c) WinRAR d) Ninguno a) 30 - 40 b) 41 - 50 c) 51 - 60 d) 61 o más
12
15 10
8
6
10
4
2
5 0
a) Si b) No c) Se ha d) Se ha
evaluado y evaluado y hay
0 descartado planes de
Si No introducirlo.
16 10
8
14
6
12
4
10
2
8
0
6 a) Firewall
b) Servidor de
c) datos
Based)dee)
datos
Gestión
Gestión
documental
Administrativa
f) y de
Ninguna
personal
4
0
ESQUEMAS DE SEGURIDAD
2. ¿Controla de alguna manera los
1. ¿Maneja usted una política de seguridad informática?
Rta Porcentaje inventarios de equipos tecnológicos? Rta Porcentaje
Si 0 0,0% Si 7 35,0%
No 20 100,0% No 13 65,0%
20 20
20
15
15
10
10
5
5
0
0 Si No
Si No
20
15 15
10 10
5 5
0 0
a) Licenciado b) Sin licencia c) No cuenta d) Licencia Si No
con antivirus libre
8 14
7
6 12
5
10
4
3 8
2
1 6
0
a) CCTV b) Controles de c) Ninguno. d) Todos los 4
acceso físico (puertas anteriores
electrónicas, acceso 2
con sistemas de
tarjetas
electrónicos, sistemas
0
biométricos, etc) Si No
20
18
16
14
12
10
8
6
4
2
0
Si No
INCIDENTES DE SEGURIDAD.
2. ¿Documenta los procedimientos
1. Sabe que es un incidente de seguridad Rta Porcentaje correspondientes al servicio del Rta Porcentaje
departamento de sistemas?
Si 6 30,0% Si 4 20,0%
No 14 70,0% No 16 80,0%
20 20
20
15
15
10 10
5 5
0 0
Si No Si No
16 20
14 15
12 10
10 5
8 0
a) Perdida de b) Daño en c) Gastos d) Perdida de
6
la información piezas o partes económicos clientes, dinero
4 (física o lógica). de los equipos innecesarios y good-well en
2 de computo en la compañía el mercado.
0
20
20
15
15
10
10
5
5
0
0
Si No
Si No
7. Se tiene registro de los incidentes de seguridad 8. De acuerdo a los incidentes descritos en el punto 3 de
esta sección, ¿cuantos incidentes de seguridad ha tenido en
el último año?
20
14
12
15
10
8
10 6
4
5 2
0
0 a) 1-5 b) 6-10 c) 11-20 d) 21-30 e) Mas de
Si No 31