MAESTRÍA EN CIBERSEGURIDAD

Cátedra:
Gerencia, Operación y Planificación de la Ciberseguridad.

Docente:
Ing. Freddy Villavicencio B., MSI.

Estudiante:
Barba Salazar Joel.

PROYECTO FINAL

Fecha de elaboración:
21 de febrero del 2022

Guayaquil – Ecuador
 Contenido
1. Antecedentes ............................................................................................................. 3

1.1 ¿A qué se dedica? .............................................................................................. 3

1.2 Misión ................................................................................................................ 3

1.3 Visión ................................................................................................................. 3

2. Objetivos del Proyecto .............................................................................................. 3

3. Desarrollo .................................................................................................................. 4

3.1 Objetivo de TI de la organización ...................................................................... 4

3.2 Análisis de riesgo del objetivo de TI ................................................................. 4

3.3 Matriz RACI de la aplicación de controles ........................................................ 6

3.4 Prácticas, Entradas/Salidas y Actividades de la aplicación de controles. ........ 11

3.5 Key Perfomance Indicators de los controles seleccionados ............................ 14

3.6 Plan de mitigación de riesgos .......................................................................... 16

4. Conclusiones ........................................................................................................... 18

5. Recomendaciones .................................................................................................... 18

2
 1. Antecedentes

1.1 ¿A qué se dedica?

La empresa ABC es un proveedor de soluciones de movilidad y seguridad, para empresas

o personas que requieran un servicio de gestión de flotas o unidades. Ponen a disposición

de sus clientes diferentes planes y beneficios de acuerdo a sus necesidades. Trabajan en

soluciones de rastreo y seguridad que brinden calidad, eficacia y eficiencia. Su principal

producto son los dispositivos de rastreo GPS los cuales son instalados en los vehículos de

los clientes que contratan su servicio. De esta forma los vehículos son monitoreados 24/7

por la central de monitoreo de la empresa.

1.2 Misión

Ofrecer innovación tecnológica especializada en soluciones de movilidad y rastreo, que

fomenten seguridad y confianza.

1.3 Visión

Ser percibidos como un aliado estratégico, que tiene como único objetivo conseguir un

alto nivel de satisfacción en sus clientes, socios y colaboradores.

2. Objetivos del Proyecto

El objetivo de este proyecto es identificar los riesgos que afectan la consecución de un

objetivo de TI de la empresa ABC, a partir de esto realizar la evaluación de los riesgos y

determinar que controles se pueden aplicar para mitigar el riesgo. Finalmente, con los

controles determinados se procede a realizar un plan de mitigación de los riesgos. Todo

este proceso estará basado en Cobit 5 y las normas ISO 27001/27002.

3
 3. Desarrollo

3.1 Objetivo de TI de la organización

Para el proyecto se decidió elegir el objetivo de TI Seguridad de la información,

infraestructuras de procesamiento y aplicaciones el cual se detalla en COBIT 5. Este

objetivo tiene una importancia crítica en los objetivos de la organización tanto a nivel

financiero, operacional, legal y reputacional debido a la naturaleza del negocio. A

continuación, se sustenta eso al relacionar el objetivo de TI seleccionado con los

Objetivos corporativos también detallados en COBIT 5 en la Figura 22—Mapeo entre las

Metas Corporativas de COBIT 5 y las Metas Relacionadas con las TI.

Meta corporativa (COBIT 5) Objetivo de empresa ABC

Riesgos de negocio gestionados La empresa tiene como objetivo principal

(salvaguarda de activo)
Cumplimiento de leyes y regulaciones
externas
Continuidad y disponibilidad del servicio
de negocio
Cumplimiento con las políticas internas
salvaguardar su activo más importante (la
información) y para esto debe aplicar las
políticas y procedimientos adecuados.
El servicio que brinda la empresa está
regulado bajo leyes y regulaciones del
Ecuador.
Es vital que el servicio brindado este
activo y disponible las 24 horas del día, los
365 días del año, no disponer del servicio
produciría problemas legales a la empresa.
Es importante cumplir con las políticas
internas de confidencialidad de la
información, de buenas conductas y de
procedimientos óptimos.

3.2 Análisis de riesgo del objetivo de TI

Se procedió a realizar el análisis de los riesgos que afectan la consecución del objetivo de

TI seleccionado. Lo primero que se encontró es que debido a que la empresa tiene menos

de 6 meses en el mercado, no ha establecido controles para mitigar los riesgos, así mismo

no existe documentación sobre políticas, procedimientos o manuales. A continuación, se

muestra la evaluación de los riesgos identificados y los controles elegidos.

4

Objetivo de TI
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Seguridad de la información,
infraestructuras de procesamiento y
aplicaciones
Riesgo Inherente TRATAMIENTO Riesgo Residual
Riesgo Probabilidad Impacto Nivel de Riesgo Control Probabilidad Impacto Nivel de Riesgo
A.12.2.1 Controles contra el código
R1 . Ataque de Ransomware 5 5 25 malicioso: Implementación de software 3 5 15
EDR en las estaciones de trabajo.
A.13.1.1 Controles de red: Implementación
R2. Acceso no autorizado a la red
5 4 20 de Firewall Fortigate para controlar el 2 4 8
interna de la organización
acceso y flujo de datos en la red interna.
A.17.1.1 Planificación de la continuidad
de la seguridad de la
R3. Pérdida de suministro eléctrico 3 5 15 información: Compra de generador de 1 5 5
electricidad para continuar con las
operaciones.
A.17.1.2 Implementar la continuidad de la
seguridad de la información: Contratar
R4. Pérdida de servicio de internet 2 5 10 1 5 5
servicio de internet paralelo para
emergencias.
A.8.1.3 Uso aceptable de los activos:
Establecer políticas de no autorización de
R5. Extracción de información por
5 3 15 medios extraíbles y realizar las respectivas 2 3 6
medios extraíbles
configuraciones en las estaciones de
trabajo.
A.11.1.1 Perímetro de seguridad física:
R6. Acceso no autorizado a centro Establecer perímetro y controles de acceso
5 5 25 2 5 10
de cómputo estrictos al centro de cómputo(accesos,
cámaras de seguridad)
R7. Daños de hardware en A.11.2.4 Mantenimiento de los equipos:
estaciones de trabajo de los 3 3 9 Los equipos deben tener un mantenimiento 2 3 6
usuarios preventivo cada 6 meses.
A.12.3.1 Copias de seguridad de la
R8. Pérdida de información de alto información: Realizar copias de seguridad
5 5 25 3 5 15
valor diarias y almacenarlas en un disco externo
resguardado.
A.11.2.8 Equipo de usuario desatendido:
Políticas de que los usuarios deben cerrar
5 4 20 2 4 8
sesión en todos los sistemas y estaciones
de trabajo cuando no se encuentren.
R9. Falsificación de identidad por no
cerrar sesión en sistemas
A.13.2.3 Mensajería electrónica: Control y
supervisión sobre la información en los
5 3 15 correos institucionales, así como la 3 3 9
prohibición de otras apps de mensajería no
R10. Filtración de información controladas.
confidencial por canales de
mensajería
5
A continuación, se muestra el mapa de calor de los riesgos identificados antes y después

de la aplicación de los controles.

GRAVEDAD (IMPACTO)
Antes de aplicar controles
MUY BAJO 1 BAJO 2 MEDIO 3 ALTO 4 MUY ALTO 5
MUY ALTA 5 R5,R10 R2,R9 R1,R6,R8
ALTA 4
PROBABILIDAD MEDIA 3 R7 R3
BAJA 2 R4
MUY BAJA 1

Como se muestra en la tabla anterior 8 de los 10 riesgos evaluados están en la categoría

Riesgo muy grave por lo que se deben tomar medidas preventivas urgentes debido al

impacto negativo que puede tener si el riesgo ocurre para lograr los objetivos del negocio.

GRAVEDAD (IMPACTO)
Después de aplicar controles
MUY BAJO 1 BAJO 2 MEDIO 3 ALTO 4 MUY ALTO 5
MUY ALTA 5 R3,R4
ALTA 4
PROBABILIDAD MEDIA 3 R10 R1,R8
BAJA 2 R5,R7 R2,R9 R6
MUY BAJA 1

Tras aplicar los controles elegidos vemos como sólo 2 de los 10 riesgos evaluados

permanecen en Riesgo muy grave mientras que 2 ahora están en riesgo importante y los

6 restantes ahora están en riesgo apreciable.

Analizando esto se llega a la conclusión de que la aplicación de los controles es de vital

importancia por lo que a continuación se procederá a detallar de qué forma se establecerán

cada uno de los controles mencionados en la matriz de riesgo indicando las actividades a

realizar según matriz RACI y utilizando las KPI’s del proceso.

3.3 Matriz RACI de la aplicación de controles

En esta sección se va a determinar la matriz RACI en la aplicación de cada uno de los 10

controles seleccionados en la evaluación de riesgos. De esta manera vamos a determinar

6
a los actores responsables, aprobadores, expertos y quién debe ser informado en el

proceso de la aplicación de los controles.

RACI C1: Implementación de software EDR en las estaciones de trabajo.

Jefe de
Actividad/Rol Administradora Gerente General TI Operador de TI
1. Cotizar
acerca de las
opciones de I A, I R
EDR en el
mercado.
2. Selección de A R
EDR.
3. Pago de R I A
licencias.
4. Instalación de
EDR en las I A R
estaciones de
trabajo.

RACI C2: Implementación de Firewall Fortigate para controlar el acceso y flujo

de datos en la red interna.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Seleccionar el I I R,A
firewall requerido

2. Pago de firewall R I A
con su licencia
3. Instalación de I I A.C R
firewall
4.Configuración I I A,C R
de firewall

7
 RACI C3: Compra de generador de electricidad para continuar con las
operaciones.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Seleccionar el
generador A R
requerido
2. Pago de R A I
generador
3. Instalación de I A R
generador

4.Activación de I I A R
generador cuando
es necesario

RACI C4: Contratar servicio de internet paralelo para emergencias.

Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Cotizar el
servicio de I I A R
internet con
proveedores
2. Pago de R A,I I I
servicio
3. Probar el I I A R
servicio

RACI C5: Establecer políticas de no autorización de medios extraíbles y

realizar las respectivas configuraciones en las estaciones de trabajo.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaboración de A I R
políticas
2. Aprobación de R A I
políticas
3. Configuración
de políticas en I A R
estaciones de
trabajo.
4. Socialización
con todo el A I R I
personal.

8
 RACI C6: Establecer perímetro y controles de acceso estrictos al centro de
cómputo (accesos, cámaras de seguridad)
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaborar plan A I R
de acción
2. Aprobar I R I
presupuesto
3. Supervisar
adecuación de A,I I R
área de centro de
cómputo
4. Supervisar
Instalación de A,I I R
controles de
acceso
5. Supervisar
Instalación de A,I I R
cámaras de
seguridad

RACI C7: Los equipos deben tener un mantenimiento preventivo cada 6

meses.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaborar A, I R
planificación
2. Pago de equipo R I A, I
3. Mantenimiento I A, I R
de equipos

9
 RACI C8: Realizar copias de seguridad diarias y almacenarlas en un disco
externo resguardado.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Cotización de I A R
discos externos
2. Pago de equipo R A
3. Planificación de
copias de A R
seguridad
5. Prueba y
resguardo de I R
copia de
seguridad

RACI C9: Políticas de que los usuarios deben cerrar sesión en todos los
sistemas y estaciones de trabajo cuando no se encuentren.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaboración de A I R
políticas
2. Aprobación de R A I
políticas
3. Socialización
con todo el A I R I
personal.

RACI C10: Control y supervisión sobre la información en los correos

institucionales, así como la prohibición de otras apps de mensajería no
controladas.
Gerente Jefe de Operador de
Actividad/Rol Administradora General TI TI
1. Elaborar A R
planificación
2. Configuración
de prohibición de I A R
apps

3. Monitoreo de
flujo de I A R
información en
apps y mensajería

10
 3.4 Prácticas, Entradas/Salidas y Actividades de la aplicación de controles.

En esta sección se va a determinar las Prácticas, Entradas/Salidas y Actividades de la

aplicación de los controles seleccionados en la evaluación de riesgos.

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A

Estaciones de trabajo Estaciones de

C1: Implementación de Interno desprotegidas ante trabajo protegidas Interno
software EDR en las malware ante malware
estaciones de trabajo.
Actividades
1. Cotizar acerca de las opciones de EDR en el mercado.
2. Selección de EDR.
3. Pago de licencias.
4. Instalación de EDR en las estaciones de trabajo.

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A

C2: Implementación de
Firewall Fortigate para Red insegura ante Red segura ante
Interno Interno
controlar el acceso y flujo de ciber atacantes ciber atacantes
datos en la red interna.
Actividades
1. Seleccionar el firewall requerido
2. Pago de firewall con su licencia
3. Instalación de firewall
4.Configuración de firewall

11
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A

Caída de
C3: Compra de generador de Continuidad de
Interno operaciones ante Interno
electricidad para continuar con operaciones
corte eléctricos
las operaciones.
Actividades
1. Seleccionar el generador requerido
2. Pago de generador
3. Instalación de generador
4.Activación de generador cuando es necesario

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A
C4: Contratar servicio de Caída de
Continuidad de
internet paralelo para Interno operaciones ante Interno
operaciones
emergencias. corte internet
Actividades
1. Cotizar el servicio de internet con proveedores
2. Pago de servicio
3. Probar el servicio

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A

C5: Establecer políticas de no

autorización de medios Seguridad para
Vulnerabilidad ante
extraíbles y realizar las Interno evitar la fuga de Interno
fuga de información
respectivas configuraciones información
en las estaciones de trabajo.
Actividades

1. Elaboración de políticas

2. Aprobación de políticas
3. Configuración de políticas en estaciones de trabajo.
4. Socialización con todo el personal.

12
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A

C6: Establecer perímetro y

controles de acceso estrictos Centro de cómputo Centro de cómputo
al centro de cómputo Interno Interno
desprotegido protegido
(accesos, cámaras de
seguridad)
Actividades

1. Elaborar plan de acción

2. Aprobar presupuesto
3. Supervisar adecuación de área de centro de cómputo
4. Supervisar Instalación de controles de acceso
5. Supervisar Instalación de cámaras de seguridad

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A

Equipos con altas Equipos con bajas

C7: Los equipos deben tener Interno probabilidades de probabilidades de Interno
un mantenimiento preventivo presentar daños presentar daños
cada 6 meses.
Actividades
1. Elaborar planificación
2. Pago de equipo
3. Mantenimiento de equipos

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A
C8: Realizar copias de Copias de seguridad
seguridad diarias y Copias de seguridad
Interno existentes y Interno
almacenarlas en un disco inexistentes
resguardadas
externo resguardado.
Actividades
1. Cotización de discos externos
2. Pago de equipo
3. Planificación de copias de seguridad
5. Prueba y resguardo de copia de seguridad

13
Prácticas, Entradas/Salidas y Actividades
Práctica de Gestión Entradas Salidas
De Descripción Descripción A

Políticas
C9: Políticas de que los usuarios Cero controles sobre
sobre control
deben cerrar sesión en todos los Interno los logins en los Interno
de logins en
sistemas y estaciones de trabajo sistemas
los sistemas
cuando no se encuentren.
Actividades
1. Elaboración de políticas
2. Aprobación de políticas
3. Socialización con todo el personal.

Prácticas, Entradas/Salidas y Actividades

Práctica de Gestión Entradas Salidas
De Descripción Descripción A

Alta probabilidad de Baja probabilidad de

C10: Control y supervisión fuga de información fuga de información
sobre la información en los Interno confidencial a través confidencial a través Interno
correos institucionales, así de canales de de canales de
como la prohibición de otras mensajería mensajería
apps de mensajería no
controladas.
Actividades
1. Elaborar planificación
2. Configuración de prohibición de apps

3. Monitoreo de flujo de información en apps y mensajería

3.5 Key Perfomance Indicators de los controles seleccionados

A continuación, se detallan las KPI utilizados para medir la efectividad de los controles

seleccionados durante la evaluación de riesgos.

14
 Control KPI

C1: Implementación de software EDR en Número de malwares detectados en

las estaciones de trabajo. estaciones de trabado al mes

C2: Implementación de Firewall Número de intrusiones detectadas en

Fortigate para controlar el acceso y flujo firewall al mes

de datos en la red interna.

C3: Compra de generador de electricidad Minutos de servicio caído

para continuar con las operaciones. semestralmente

C4: Contratar servicio de internet Minutos de servicio caído

paralelo para emergencias. semestralmente

C5: Establecer políticas de no Número de documentos extraídos al mes

autorización de medios extraíbles y

realizar las respectivas configuraciones

en las estaciones de trabajo.

C6: Establecer perímetro y controles de Número de personas no autorizadas que

acceso estrictos al centro de cómputo acceden a centro de cómputo

(accesos, cámaras de seguridad)

C7: Los equipos deben tener un Número de equipos que presentan daños

mantenimiento preventivo cada 6 meses. trimestralmente

C8: Realizar copias de seguridad diarias Número de archivos perdidos al mes

y almacenarlas en un disco externo

resguardado.

C9: Políticas de que los usuarios deben Número de personas que dejan equipo

cerrar sesión en todos los sistemas y desatendido al mes

15
 estaciones de trabajo cuando no se

encuentren.

C10: Control y supervisión sobre la Número de documentos confidenciales

información en los correos no autorizados filtrados al mes

institucionales, así como la prohibición

de otras apps de mensajería no

controladas.

3.6 Plan de mitigación de riesgos

A continuación, se detallará el plan de acción para mitigar los riesgos evaluados. Cabe

mencionar que las fechas establecidas están relacionadas a la importancia del

Plan de mitigación Empresa ABC

Riesgo
Id Descripción Riesgo Propietario de Fecha residual
Riesgo Riesgo actual Control Control objetivo esperado

C1: Implementación de
Ataque de
R1 Rojo software EDR en las Jefe de TI 27/3/2022 Rojo
Ransomware
estaciones de trabajo.

C2: Implementación de
Acceso no
Firewall Fortigate para
autorizado a la
R2 Rojo controlar el acceso y Jefe de TI 27/3/2022 Amarillo
red interna de
flujo de datos en la red
la organización
interna.

C3: Compra de
Pérdida de
generador de electricidad
R3 suministro Rojo Administradora 16/6/2022 Amarillo
para continuar con las
eléctrico
operaciones.

Pérdida de C4: Contratar servicio de

R4 servicio de Ámbar internet paralelo para Administradora 15/4/2022 Amarillo
internet emergencias.

16
 C5: Establecer políticas
Extracción de de no autorización de
información medios extraíbles y
R5 Rojo Jefe de TI 12/5/2022 Amarillo
por medios realizar las respectivas
extraíbles configuraciones en las
estaciones de trabajo.

C6: Establecer perímetro

Acceso no
y controles de acceso
autorizado a
R6 Rojo estrictos al centro de Jefe de TI 25/7/2022 Ámbar
centro de
cómputo (accesos,
cómputo
cámaras de seguridad)

Daños de
hardware en C7: Los equipos deben
R7 estaciones de Ámbar tener un mantenimiento Jefe de TI 15/3/2022 Amarillo
trabajo de los preventivo cada 6 meses.
usuarios

C8: Realizar copias de

Pérdida de
seguridad diarias y
R8 información de Rojo Jefe de TI 17/3/2022 Rojo
almacenarlas en un disco
alto valor
externo resguardado.

C9: Políticas de que los

Falsificación
usuarios deben cerrar
de identidad
sesión en todos los
R9 por no cerrar Rojo Jefe de TI 10/4/2022 Amarillo
sistemas y estaciones de
sesión en
trabajo cuando no se
sistemas
encuentren.

C10: Control y
supervisión sobre la
Filtración de
información en los
información
correos institucionales,
R10 confidencial Rojo Jefe de TI 11/5/2022 Ámbar
así como la prohibición
por canales de
de otras apps de
mensajería
mensajería no
controladas.

17
 4. Conclusiones

En base a los resultados del análisis de los riesgos del objetivo de TI Seguridad de la

información, infraestructuras de procesamiento y aplicaciones se concluye que:

✓ No existen manuales, políticas o procedimientos formales que regulen la

seguridad de la información y los activos, todo esta indicado de forma verbal e

informal.

✓ No existen planes de contingencia para asegurar la continuidad de los servicios de

los negocios ante amenazas externas.

✓ No existen políticas internas para asegurar la confidencialidad de la información

utilizada durante cada uno de los procesos de negocio.

✓ Ninguno de los controles seleccionados había sido aplicado en la empresa

anteriormente debido a que es una empresa nueva en el mercado.

5. Recomendaciones

En base al plan de mitigación desarrollado se recomienda que:

✓ Trabajar en la elaboración de manuales, políticas y procedimientos sobre todos

los procesos críticos del negocio y estos sean socializados con todo el personal.

✓ Se destine el presupuesto necesario para ejecutar los controles seleccionados sobre

todo en los riesgos R3 y R4 que están estrechamente relacionados con la

continuidad de los servicios de negocios ante contingencias.

✓ Se establezca políticas internas para la confidencialidad de la información debido

a que la empresa maneja información muy crítica sobre los clientes y sus activos.

✓ Se recomienda contratar personal capacitado en seguridad de la información para

crear un SGSI de mejora continua para optimizar la seguridad de la información

en todos los procesos internos.

18