FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

NOMBRE: Esthela María Cortez Aguilar CEDULA: 1713034153

DESCRIPCIÓN DEL CASO

Una cooperativa de ahorro y crédito se encuentra en el proceso de calificación para iniciar

con sus operaciones en tres ciudades del país.

Parte de los requisitos previos para la calificación, se basa en el establecer una propuesta
para un adecuado Gobierno de Tecnologías de la Información TI y Gestión de Seguridad de
la Información, la cual deberá llevarse a cabo en un plazo máximo de tres meses.

Para la ejecución de la propuesta, contratan sus servicios como consultor externo

especializado en TI y Seguridad de la Información, por lo que deberá cumplir con los
siguientes entregables:
1. Definir un organigrama de TI y Seguridad de la Información

2. Dentro de Gobierno de TI, identificar los estilos de arquetipo y los responsables que
aportarán con información y tomarán decisiones clave de TI; tomando en cuenta la
estructura propuesta en el entregable anterior y conociendo que el staff directivo de
la cooperativa está conformado por:

 Presidente Ejecutivo
 Director Ejecutivo
 Director de Riesgo Operativo
 Director de Auditoría Interna
 Director de Programas y Proyectos

Necesidad de
ARQUETIPOS / Principios de TI Arquitectura de TI Infraestructura de TI Aplicaciones Inversiones de TI
DECISIONES Aporta Aporta Aporta Aporta Aport
Decisión Decisión Decisión Decisión Decisión
Info. Info. Info. Info. a Info.
Monarquía del
Negocio
Monarquía de
TI
Feudal
Federal
Duopolio de TI
Anarquía
Tabla 1. Matriz de Weill & Ross

3. Definir cuatro activos de información críticos para la operación de la cooperativa.

 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

Activo de Información Descripción

Tabla 2. Activos de Información

3.1. Identificar tres amenazas y dos vulnerabilidades por cada una, e indicar
en qué principio de seguridad de la información (C, I y D) se verían
afectados los activos de información definidos ante un posible ataque.

Activos de Información

Amenazas Vulnerabilidades Activo 1 Activo 2 Activo 3 Activo 4

Tabla 3. Universo de Amenazas y Vulnerabilidades

4. Establecer una política general de seguridad de la información.

5. Establecer cinco controles prioritarios a implementar, basándose en la norma

ISO/IEC 27001:2022, e indicar a que dominio y objetivo de control pertenece.
ISO/IEC 27001

Control Dominio

Tabla 4. Identificación de Controles

 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

5.1. Definir un Road Map para la implementación de un Sistema de Gestión

de Seguridad de la Información SGSI, posterior a la ejecución de la
presente propuesta, cuyo tiempo de ejecución deberá ser no mayor a
seis meses.

ENTREGABLES

1. INTRODUCCIÓN

Objetivo general: Cumplir con los requisitos para la calificación de la Cooperativa de

Ahorro y Crédito que están relacionados al adecuado Gobierno de Tecnologías de la
Información TI y Gestión de Seguridad de la Información

Objetivos específicos:
 Definir un organigrama de TI y Seguridad de la Información
 Identificar Dentro de Gobierno de TI, los estilos de arquetipo y los responsables
que aportarán con información y tomarán decisiones clave de TI
 Definir los activos de información críticos para la operación de la cooperativa.
 Establecer una política general de seguridad de la información.
 Establecer cinco controles prioritarios a implementar, basándose en la norma
ISO/IEC 27001:2022, e indicar a que dominio y objetivo de control pertenece.

2. MATERIALES Y MÉTODOS
Diagramas, gráficos, metodologías, etc, utilizados durante la resolución del caso.

A continuación, se muestra en forma gráfica un mapa conceptual de los temas tratados

para la resolución del caso
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

Met.Ecu@risk
Met.Ecu@risk

Met.
Met. Magerit
Magerit

ISO/IEC
ISO/IEC
27001:2022
27001:2022

Gráfico 5. Mapa conceptual

Las metodologías utilizadas para la resolución del caso fueron Magerit, y Ecu@rist, además
de los estándares internaciones ISO/IEC 27001:2022.

3. RESULTADO

A continuación, se presenta el detalle del desarrollo de los cinco entregables solicitados

3.1 Definir un organigrama de TI y Seguridad de la Información

Organigrama TI
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

Gráfico 2. Organigrama TI

Organigrama de SI

Gráfico 3. Organigrama SI
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

3.2 Dentro de Gobierno de TI, identificar los estilos de arquetipo y los responsables
que aportarán con información y tomarán decisiones clave de TI; tomando en cuenta
la estructura propuesta en el entregable anterior y conociendo que el staff directivo
de la cooperativa está conformado por:
 Presidente Ejecutivo
 Director Ejecutivo
 Director de Riesgo Operativo
 Director de Auditoría Interna
 Director de Programas y Proyectos

Tabla 6. Matriz de Weill & Ross

Tabla 7.1. Participantes

3.3 Definir cuatro activos de información críticos para la operación de la

cooperativa

Para la identificación de los activos de información críticos para la operación de la

cooperativa se realizó la identificación de procesos críticos de negocio tal como la atención
al público por sus distintos canales (Ventanillas, cajeros automáticos), basándonos en las
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

directrices proporcionadas ECU@Risk misma que se basa a su vez en la metodología

Magerit.
Activo Descripción

Software- Base de datos Motor de la base de datos transaccional de la cooperativa

Información electrónica- Datos Registros de clientes, transaccional, créditos, contabilidad

Software-Aplicativo Core Bancario Aplicativos de Core bancario con sus módulos de clientes,
activos, pasivos, crédito

Hardware- Equipo Servidor Servidor de infraestructura

Tabla 8. Activos de Información

A continuación, se detallan las categorías de los activos de información evaluados en este

caso de estudio

Categoría de Activos Descripción

La información es un activo abstracto
Datos/información con mayor valor dentro de una
empresa
Aplicaciones, sistemas informáticos,
sistemas gestores de base de datos
Software
RDBS, sistemas operativos, utilitarios
en general
Servidores, desktop, laptops, equipos
Hardware
móviles, equipos de respaldos

Tabla 9.1. Categoría de Activos de Información

3.4 Identificar tres amenazas y dos vulnerabilidades por cada una, e indicar en qué
principio de seguridad de la información (C, I y D) se verían afectados los activos de
información definidos ante un posible ataque.
Activos de Información

Amenazas Vulnerabilidades Activo 1 Activo 2 Activo 3 Activo 4

Software- Información Software- Hardware-
Base de electrónica- Aplicativo Equipo
datos Datos Core Servidor
Bancario

Escapes de Falta de proceso de C C X X

información prevención de la
pérdida de datos
(DLP)

Copia no controlada C C X X
de información

Difusión de Accesos no C, I, D C, I, D X X
software controlados
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

dañino Errores en C, I, D C, I, D D D
(Malware) configuración de
antivirus

Errores del Configuración X D, I D D

administrador errónea
de
Infraestructura Errores de X X D D
monitorización

Tabla 10. Universo de Amenazas y Vulnerabilidades

Para la valoración de los activos se revisaron los siguientes aspectos:

Confidencialidad: Evaluando qué tan importante es que solo personal autorizado conozca
esta información
Disponibilidad: Evaluando qué tan importante es que este activo esté disponible en el
proceso
Integridad: Evaluando qué tan necesario es que la información que contiene este activo de
información esté libre de errores

Adicionalmente para la calificación se referenció la siguiente tabla de valoración sugerida

por la metodología Ecu@risk:

Tabla 11.1. Tabla valoración activos

Proceso Activo Descripción C D I Valoración

Atención al Motor de la 4 4 5 5
público Software- base de datos
Base de transaccional
datos de la
cooperativa

Información Registros de 4 5 5 5
electrónica- clientes,
Datos pasivos,
activos,
crédito,
contabilidad
de la
cooperativa

Software- Aplicativos de 3 4 3 4
Aplicativo Core bancario
Core con sus
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

Bancario módulos de
clientes,
activos,
pasivos,
crédito

Hardware- Servidor de 2 4 2 4
Equipo infraestructura
Servidor
Tabla 12.2. Valoración de activos

4. Establecer una política general de seguridad de la información.

La política de seguridad de la información constituye una guía que determina y define

directrices para gestionar la seguridad de la información dentro del SGSI. A
continuación, se define la política general de SI.

COOPERATIVA DE AHORRO Y CRÉDITO ABC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

RESUMEN

La presente política tiene como finalidad establecer un marco general para garantizar la
Confidencialidad, Integridad y Disponibilidad de la Información de la COOPERATIVA DE
AHORRO Y CRÉDITO XYZ

INTRODUCCIÓN
COOPERATIVA DE AHORRO Y CRÉDITO XYZ, reconoce a la información como un
activo indispensable para el cumplimiento de su misión, visión y objetivos, por tanto,
debe ser protegida.

ALCANCE
La Política de Seguridad de la Información es de cumplimiento obligatorio para todo el
personal de la COOP. DE AHORRO Y CRÉDITO XYZ, así como de las personas
naturales o jurídicas que brindan servicios a la institución y que tengan acceso a su
información.

OBJETIVOS

- Garantizar la Confidencialidad, Integridad y Disponibilidad de la información de la

Institución.
- Proteger los activos de información.
- Minimizar los posibles riesgos que atenten contra la seguridad de la información.
- Asegurar la continuidad del negocio.

PRINCIPIOS

- Se debe garantizar la confidencialidad de la información, de tal manera que sólo

tengan acceso las personas autorizadas.
- Todo el personal de la institución es responsable de la información que maneja de
acuerdo a su ámbito de trabajo.
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

- Se clasificará y protegerá todos los activos de información.

- Se concientizará a los funcionarios y contratistas sobre el uso adecuado de la
información de COOP. DE AHORRO Y CRÉDITO XYZ

RESPONSABILIDADES

- La máxima autoridad de la COOPERATIVA DE AHORRO Y CRÉDITO XYZ es

responsable de que la seguridad de la información sea gestionada adecuadamente en
toda la institución.
- Cada director de las unidades operativas de COOP. DE AHORRO Y CRÉDITO
XYZ, es responsable de que el personal bajo su cargo proteja la información de acuerdo
con las normas establecidas en la institución.
- El Oficial de Seguridad de la Información define los lineamientos de seguridad de
la información, asesora a los directivos de la institución, proporciona apoyo especializado
al personal de la Cooperativa, concientizará a todo el personal sobre el uso adecuado de
la información.
- El Responsable de TI debe gestionar y supervisar las actividades relacionadas con
seguridad informática.
- Cada funcionario es responsable del manejo de la información de la institución
dentro de las actividades relacionadas con su trabajo.
- El Comité de Seguridad de la Información debe revisar y actualizar al menos una
vez al año la presente política.

RESULTADOS

Generar una cultura institucional de Seguridad de la Información en el personal

interno y externo, que aporte al cumplimiento de los objetivos institucionales.

POLÍTICAS RELACIONADAS

- Código de Ética.
- Reglamento Orgánico Funcional.
- Gestión de activos.
- Manual de Funciones.

DEFINICIONES

- Sistema de Gestión de Seguridad de la Información SGSI.

- Activos de Información.
- Información.
- Confidencialidad.
- Integridad.
- Disponibilidad.

SANCIONES

Se aplicarán las medidas disciplinarias establecidas en el reglamento de la

COOPERATIVA DE AHORRO Y CRÉDITO XYZ.

6. Establecer cinco controles prioritarios a implementar, basándose en la norma

ISO/IEC 27001:2022, e indicar a que dominio y objetivo de control pertenece.

ISO/IEC 27001
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

Control Dominio Objetivo

Gestión de derechos
de acceso con 9 Control de Accesos
privilegios especiales Gestión de Acceso de usuario
Controles contra Protección Contra código
12 Seguridad Operativa
código malicioso malicioso
Registros de
actividad del
12 Seguridad Operativa
administrador y
operador del sistema Registro de actividad y supervisión
Restricciones en la
instalación de 12 Seguridad Operativa Gestión de la vulnerabilidad
software técnica
Copias de seguridad
de la información 12 Seguridad Operativa Copias de seguridad

Tabla 13. Identificación de Controles

5.2. Definir un Road Map para la implementación de un Sistema de Gestión de

Seguridad de la Información SGSI, posterior a la ejecución de la presente propuesta,
cuyo tiempo de ejecución deberá ser no mayor a seis meses.

ROAD MAP SGSI

may-23 jun-23 jul-23 ago-23 sep-23 oct-23
PLANIFICACION ESTABILIZACION REGULARIZACION
Definición Política Mejoramiento de controles
Definición del alcance del
SGSI Gestión del Riesgo Aprobación del SGSI
Análisis de riesgos
(Análisis de activos de
información, definición
de amenazas y
vulnerabilidades) Implementación de controles Socialización del SGSI
Definición de Controles
prioritarios Evaluación a los controles
Declaración de
aplicabilidad

4 CONCLUSIONES

Del análisis realizado al Gobierno de Tecnologías de la Información TI y Gestión de

Seguridad de la Información para la calificación de la cooperativa se obtuvieron las
siguientes conclusiones:
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

 Respecto del Gobierno de Tecnología de la información la cooperativa mantiene una

adecuada organización tanto para su sitio principal como para las 3 sucursales, ya
que como se evidencia en el organigrama el área de TI está a cargo del CIO quien
responde a la máxima autoridad de la entidad y establece la estrategia de TI acorde
a la estrategia de la empresa y, por debajo del CIO se encuentra el CTO quien
coordina la operación con los jefes de cada área y responsables de las sucursales.
 En relación con el Gobierno de Seguridad de la información la entidad mantiene una
adecuada organización ya que se ha establecido un comité de Seguridad de la
Información quien ha nombrado al CISO quien coordina con los responsables de
cada área de SI la aplicación de las estratégicas en términos de Seguridad de la
Información.
 Se ha reconocido que la entidad mantiene dos arquetipos para el Gobierno de TI de
tipo Monarquía de Negocio y Monarquía de TI, debido a que las decisiones respecto
a los principios de TI los toma el CIO, CISO mientras que el que aporta con
información está a cargo del CTO.
 En términos de Arquitectura e Infraestructura de TI las decisiones están a cargo de
CIO.
 Las necesidades de aplicaciones e inversiones de TI están a cargo del CEO con
apoyo de PMO, CIO, CISO y CFO
 Por otro lado, la entidad mantiene los siguientes activos críticos para la operación
o Motor de Base de datos,
o Información Electrónica/Datos de clientes, créditos, contabilidad, ahorros,
transaccionalidad,
o Aplicativo Core Bancario
o Servidores de Infraestructura en donde están alojados aplicativos y bases de
datos
 Adicionalmente se han reconocido como principales amenazas:
o Escape de información que puede aplicarse debido a que existen
vulnerabilidades tales como falta de procesos de prevención de pérdida de
datos (DLP) o copias no controladas de información que mayormente
afectarían a los activos de información en su confidencialidad.
o Difusión de software dañino (Malware) que puede producirse por
vulnerabilidades tales como accesos no controlados, errores en configuración
se software antivirus que afectarían a la confidencialidad, integridad y
disponibilidad de los activos críticos mencionados anteriormente
 FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES

o Errores del administrador de infraestructura puede afectar por las

vulnerabilidades tales como la configuración errónea o fallas en la
monitorización de la infraestructura que pueden afectar a la disponibilidad e
integridad de los componentes
 Además, la entidad ha establecido una Política de Seguridad de la Información que
constituye una guía que define directrices para gestionar la seguridad de la
información con el objetivo de generar una cultura institucional de SI tanto en el
personal interno como en el externo, garantizando la confidencialidad, integridad y
disponibilidad de la información para que sólo las personas autorizadas tengan
acceso. Así como las responsabilidades tanto de la máxima autoridad, directores,
OSI, TI y demás funcionarios, y sus sanciones.

 Para mitigar los posibles riesgos a los que puede estar expuesta la entidad se han
definido cinco controles prioritarios a implementar basados en la ISO/IEC
27001:2022 que incluyen controles de acceso y seguridad operativa.

 Además, la entidad debe establecer un marco de gestión para iniciar y controlar la

implementación y operación de la seguridad dentro de la cooperativa para ello se
presentó un road map para la implementación del SGSI que inicia en mayo y
finalizaría en octubre del 2023, incluyendo desde la definición del alcance hasta la
socialización del SGSI pasando por diferentes etapas.

Por lo expuesto, la entidad podría calificarse si se cumple con lo establecido en el SGSI

La selección de los controles depende de las decisiones de carácter organizativo
basadas en los criterios de aceptación del riesgo, las opciones de tratamiento del riesgo
y de los enfoques generales de gestión del riesgo aplicados en la cooperativa.

5 RÚBRICA DE EVALUACIÓN
FORMATO PARA LA RESOLUCIÓN DE LOS CASOS POR PARTE DE LOS ESTUDIANTES