VICERRECTORADO DE INVESTIGACIÓN Y VINCULACIÓN CON LA COLECTIVIDAD

VII PROMOCIÓN
TESIS DE GRADO MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS

TEMA “PROPUESTA METODOLÓGICA DE GESTIÓN DE RIESGOS DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN (TIC)

PARA ENTIDADES PÚBLICAS CONFORME NORMATIVA NTE INEN ISO/IEC 27005”

AUTOR:
PATIÑO, SUSANA GABRIELA

DIRECTOR: ING. FERNANDO SOLÍS MGT

SANGOLQUI, 2018
 ANTECEDENTES

CONTENIDO En el Ecuador , la Secretaría Nacional de la Administración Pública (SNAP)

creó la Comisión para la Seguridad Informática y de las Tecnologías de la
Información (CSITIC).
ANTECEDENTES

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS La CSITIC describe las amenazas más frecuentes en las entidades

gubernamentales en los últimos años.
MARCO TEÓRICO

METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA la CSITIC planteó la implementación de un Sistema de Gestión de

Seguridad de Información (SGSI) basado en la de la Norma ISO/IEC
VALIDACIÓN DE LA PROPUESTA 27001:2005.

CONCLUSIÓN
Las entidades realizarán una evaluación de riesgos y diseñarán e
RECOMENDACIÓN implementarán el plan de manejo de riesgos de su institución, en base a la
norma INEN ISO/IEC 27005 Gestión del Riesgo en la Seguridad de la
Información.
 PROBLEMÁTICA/JUSTIFICACIÓN

CONTENIDO
ANTECEDENTES PROBLEMÁTICA JUSTIFICACIÓN
PROBLEMÁTICA /JUSTIFICACIÓN La norma solo provee directrices. Facilite la identificación de las
Poca preparación o predisposición para vulnerabilidades a través de un
OBJETIVOS realizar análisis de las conjunto de etapas específicas
vulnerabilidades. Aporta a las entidades públicas un
MARCO TEÓRICO
Identificación de riesgo requiere mejor entendimiento de la norma ISO
METODOLOGÍA DE INVESTIGACIÓN inversión y tiempo. 27001 e ISO 27005.
Proporcionando mayor conocimiento de
PROPUESTA las posibles amenazas y una conciencia
VALIDACIÓN DE LA PROPUESTA
de las consecuencias que podrían
producirse al no ser tratadas.
CONCLUSIÓN

RECOMENDACIÓN
 OBJETIVOS

CONTENIDO • Elaborar una guía metodológica para la gestión de

riesgo de TIC en entidades del sector público conforme
ANTECEDENTES Objetivo General
normativa NTE INEN ISO/IEC 27005 para mejorar la
administración de la seguridad de la información.
PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS
• Investigar las normas INEC ISO/IEC 27001:2013 e INEC
MARCO TEÓRICO ISO/IEC 27005:2008.
METODOLOGÍA DE INVESTIGACIÓN
• Determinar el grado con el cual se administran los
riesgos tecnológicos en entidades del sector público;
Objetivos
PROPUESTA mediante la aplicación de una encuesta al responsable
Específicos
del área de tecnología.
VALIDACIÓN DE LA PROPUESTA
• Aplicar la guía metodológica de gestión de riesgos de
CONCLUSIÓN TIC basada en la normativa ISO 27005 en una entidad
del sector público.
RECOMENDACIÓN
 MARCO TEÓRICO
NORMATIVA
ECUATORIANA • Esquema Gubernamental de Seguridad
PARA LA GESTIÓN de Información
CONTENIDO DE RIESGO EN LA
SEGURIDAD DE
LA
• Norma INEC ISO/IEC 27001:2017
• Norma INEC ISO/IEC 27005:2011
INFORMACIÓN
ANTECEDENTES

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO

METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 METODOLOGÍA DE INVESTIGACIÓN

CONTENIDO Tipo de
• Enfoque mixto (cualitativo- cuantitativo).
• Investigación transeccional y de campo
investigación
ANTECEDENTES • Meses de abril y mayo de 2017.

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO • Entidades del sector público de Esmeraldas .

Población y muestra
• Se contactaron 24 pero accedieron 18 a participar.
METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA • Coeficiente alfa de Cronbach de 0,929 en una muestra de

Modalidad de la tamaño 18.
CONCLUSIÓN investigación • Las preguntas están organizadas para medir 5 ejes de nivel de
madurez basado en COBIT de Fernández y Monteros.
RECOMENDACIÓN
 CULTURA DE LA ADMINISTRACIÓN
DE RIESGO EN ENTIDADES
CONTENIDO PÚBLICAS
ANTECEDENTES
 El 72% de las tienen implementado
PROBLEMÁTICA /JUSTIFICACIÓN un proceso de administración de
OBJETIVOS riesgos.

MARCO TEÓRICO
 A penas el 44% de las entidades
METODOLOGÍA DE INVESTIGACIÓN
públicas se encuentran certificadas
PROPUESTA y tienen implementado un SGSI.

VALIDACIÓN DE LA PROPUESTA
 61% manifestaron poseer a la fecha
CONCLUSIÓN
un programa de administración de
RECOMENDACIÓN riesgo de TI.
 GUÍA METODOLÓGICA DE GESTIÓN
DEL RIESGO DE TI
CONTENIDO
ANTECEDENTES

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO

METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 Etapa 1: Establecimiento del
contexto
CONTENIDO
Actividad 1: • Características de la empresa
ANTECEDENTES Determinación • Presupuesto y tamaño
PROBLEMÁTICA /JUSTIFICACIÓN del alcance • Puede comprender todos o ciertos procesos.

OBJETIVOS Actividad 2: • Tener la documentación de los procesos existentes.

Selección de • Por medio de la participación del personal se recolecta
MARCO TEÓRICO procesos críticos la información necesaria.
METODOLOGÍA DE INVESTIGACIÓN
Actividad 3:
PROPUESTA Descripción de los • Estimación cualitativa.
criterios de
VALIDACIÓN DE LA PROPUESTA evaluación
CONCLUSIÓN

RECOMENDACIÓN
 Etapa 1: Establecimiento del
contexto
CONTENIDO Actividad 3: Descripción de los criterios de evaluación
5.- Muy Alto 5 10 15 20 25
ANTECEDENTES
4.- Alto 4 8 12 16 20
IMPACTO 3.- Medio 3 6 9 12 15
PROBLEMÁTICA /JUSTIFICACIÓN 2.-Bajo 2 4 6 8 10
1.- Muy Bajo 1 2 3 4 5
OBJETIVOS 5
MAPA/ MATRIZ DE
1. Altamente 2.Improbabl
Improbable e
3. Eventual 4. Probable Altamente Umbral de riesgo
RIESGOS Probable
MARCO TEÓRICO
FRECUENCIA

METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA
Impacto x Probabilidad Nivel de Riesgo
VALIDACIÓN DE LA PROPUESTA 1-2 Muy Bajo
3-4 Bajo
5-6-8-9 Medio
CONCLUSIÓN 10-12-15-16 Alto
20-25 Muy Alto
RECOMENDACIÓN
 Etapa 2: Identificación del riesgo

CONTENIDO Actividad 1: Identificación de

ANTECEDENTES los activos

PROBLEMÁTICA /JUSTIFICACIÓN Se debe identificar los activos, la

categoría general, categoría
OBJETIVOS específica y el propietario del
MARCO TEÓRICO activo de los procesos críticos
previamente identificados
METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 Etapa 2: Identificación del riesgo
Actividad 2: Tasación de los activos críticos

CONTENIDO Tasación de activos

Proceso N Activos Categoría Propietario Nivel de Impacto (1-5)

ANTECEDENTES Específica
C I D P
PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO
Disponibilidad
METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN Confidencialidad Integridad

 Etapa 2: Identificación del riesgo

CONTENIDO Actividad 3: • Analizar las amenazas que pueden explotar

Identificación la vulnerabilidad.
ANTECEDENTES
de las • Tipo de amenaza y origen.
PROBLEMÁTICA /JUSTIFICACIÓN amenazas • Catálogo de amenazas y vulnerabilidades.
OBJETIVOS
Lista de Chequeo
MARCO TEÓRICO
Fecha
METODOLOGÍA DE INVESTIGACIÓN Proceso
Responsable
PROPUESTA Categoría General Categoría Activo Amenaza Vulnerabilidad
Específica
VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 Etapa 2: Identificación del riesgo
Actividad 4: • Control es un mecanismo manual o
CONTENIDO Identificación
de los
automático.
• Amenazas neutralizadas por control.
ANTECEDENTES
controles • Lista de chequeo de controles actualizadas.

PROBLEMÁTICA /JUSTIFICACIÓN
Lista de Chequeo de Controles Existentes
OBJETIVOS Fecha
Proceso
Activo
MARCO TEÓRICO
Vulnerabilidad Amenaza Control Existente- Estado Observación
% de Ineficaz Insuficiente Injustificado
METODOLOGÍA DE INVESTIGACIÓN Implementación

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 Etapa 2: Identificación del riesgo

CONTENIDO Actividad 5: • Vulnerabilidades que pueden ser explotadas por

Identificación de amenazas.
ANTECEDENTES las • Identificar vulnerabilidades sin amenazas.
vulnerabilidades • Lista de vulnerabilidades con activos y amenazas.
PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO Fecha

Proceso
METODOLOGÍA DE INVESTIGACIÓN
Responsable
PROPUESTA Activo Categoría Categoría Amenaza Vulnerabilidad
General Específica
VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 Etapa 3: Estimación del riesgo
Actividad 1: • Califica la probabilidad de que la amenaza
Valoración de
CONTENIDO la probabilidad
de la amenaza
explote la vulnerabilidad a través de un valor
numérico comprendido en la escala definida.
ANTECEDENTES

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS Nivel Valor Descripción

Altamente 1 Ocurre solamente en circunstancias excepcionales. Los
improbable controles de seguridad existentes son seguros y hasta el
MARCO TEÓRICO momento han suministrado un adecuado nivel de
protección.
METODOLOGÍA DE INVESTIGACIÓN Improbable 2 Podría ocurrir en algún momento. Los controles de
seguridad existentes son moderados y en general han
PROPUESTA suministrado un adecuado nivel de protección.
Eventual 3 Es posible la ocurrencia de nuevos incidentes, pero no muy
VALIDACIÓN DE LA PROPUESTA probable.
Probable 4 Ocurre normalmente. Existe una gran probabilidad de que
CONCLUSIÓN haya incidentes así en el futuro.
Altamente 5 Se espera que ocurra en la mayoría de las circunstancias.
probable Los controles de seguridad existentes son bajos o
RECOMENDACIÓN ineficaces.
 Etapa 3: Estimación del riesgo
Actividad 2:
Valoración del • Califica el impacto de la materialización de la
impacto de amenaza en la organización de acuerdo con la escala
CONTENIDO materializarse la
amenaza
definida.

ANTECEDENTES
Nivel Valor Descripción
PROBLEMÁTICA /JUSTIFICACIÓN Insignificante 1 Pérdida económica que no pone en riesgo los intereses de la
compañía y no afecta el flujo normal de los procesos.
OBJETIVOS Menor 2 Pérdida económicamente asumible por la compañía sin
consecuencias ni esfuerzos adicionales que afecten notablemente su
MARCO TEÓRICO situación financiera y no afecta los procesos de manera
considerable.
METODOLOGÍA DE INVESTIGACIÓN
Serio 3 Perdida económicamente mediana, respaldable por la compañía y
PROPUESTA puede afectar el flujo normal de algún proceso de la compañía.
Desastroso 4 Pérdida económica importante, que implica esfuerzos adicionales no
VALIDACIÓN DE LA PROPUESTA planeados por la compañía y se puede presentar una interrupción
parcial en los procesos.
CONCLUSIÓN
Catastrófico 5 Pérdida económica que compromete seriamente el patrimonio y la
RECOMENDACIÓN estabilidad de la compañía y se interrumpe el proceso normal de las
operaciones de manera indefinida.
 Etapa 4: Evaluación del riesgo
Actividad 1: • Producto del impacto y probabilidad.
Valoración del
CONTENIDO riesgo
• Nuevos riesgos.

Actividad 2:
ANTECEDENTES Identificación de • Riesgos Altos y Muy Altos.
riesgos críticos
PROBLEMÁTICA /JUSTIFICACIÓN
Actividad 3: • Decidir acciones a desarrollar e implementar.
OBJETIVOS
Selección de • Mapa de calor.
MARCO TEÓRICO controles • Cuatro tratamientos del riesgo.

METODOLOGÍA DE INVESTIGACIÓN Tratamiento Descripción Costo-Beneficio

Mitigar A través de la implementación de controles El coste del tratamiento es
PROPUESTA eficientes. adecuado a los beneficios.
Transferir Compartir a través de la asociación con El coste del tratamiento por
VALIDACIÓN DE LA PROPUESTA alguien terceros es más beneficioso
que el tratamiento directo.
CONCLUSIÓN Aceptar Reconocer formalmente la existencia del El nivel de riesgo está muy
riesgo alejado del nivel de tolerancia.
Evitar Eliminar el origen del riesgo, y así el riesgo El coste del tratamiento es
RECOMENDACIÓN muy superior a los beneficios.
 VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES

Fase 1 Establecimiento del

PROBLEMÁTICA /JUSTIFICACIÓN
De acuerdo con el ambiente público en el cual se desarrolla la
OBJETIVOS entidad, se plantea el alcance como la evaluación de los
procesos críticos que podrían detener la continuidad de los
MARCO TEÓRICO servicios públicos ofrecidos a la ciudadanía.

contexto
METODOLOGÍA DE INVESTIGACIÓN
Criterios de evaluación
PROPUESTA Riesgo=Impacto x Probabilidad

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN Se estima como apetito al riesgo, aquellos riesgos que obtengan

como resultado hasta el número 9.
RECOMENDACIÓN
 VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES
Etapa 2: Identificación del riesgo
PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS 14 Activos 34 Amenazas 43 Vulnerabilidades

MARCO TEÓRICO
Fecha 5 de septiembre de 2017
METODOLOGÍA DE INVESTIGACIÓN Proceso Desarrollo y mantenimiento de software

Activo A001 - Data Center

PROPUESTA Vulnerabilidad Amenaza Control Existente - % de Estado del control Observación
Implementación Ineficaz Insuficient Injustificad
VALIDACIÓN DE LA PROPUESTA V001 Ubicación AM001 Terremoto ¿Existe un centro 0% N/A
e
N/A
o
N/A Presenta daños en las paredes
susceptible a alterno para el del Data Center después del
desastres levantamiento de terremoto del 16 de abril de
CONCLUSIÓN naturales los procesos 2016. El personal no laboró en
críticos? las instalaciones durante 8
meses hasta que el edificio se
RECOMENDACIÓN encontrara en un estado seguro
para el personal.
 VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES Etapa 3: Estimación del Riesgo

PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS FECHA 4 de septiembre de 2017

PROCESO Desarrollo y mantenimiento de software
MARCO TEÓRICO RESPONSABLE Departamento de TIC
PROBABILIDAD
IMPACTO DE
TIPIFICACIÓN QUE LA AMENAZA RIESGO DEL
METODOLOGÍA DE INVESTIGACIÓN RIESGO
ACTIVO VULNERABILIDAD AMENAZA
EXPLOTE LA
MATERIALIZARS
E LA AMENAZA
ACTIVO
VULNERABILIDAD
15=Alto
PROPUESTA R1 V001
Ubicación susceptible a
desastres naturales
AM00
1
Terremoto 3.0 5.0

A001 Data Center Acceso no 3=Bajo

Acceso físico no AM00
VALIDACIÓN DE LA PROPUESTA R2 V002
autorizado 2
autorizado a 1.0 3.0
instalaciones
Código ejecutable de Inadecuado control de AM00 Errores de 25=Muy alto
CONCLUSIÓN R3 A002
sistema en producción
V003
cambios 3 aplicaciones
5.0 5.0

RECOMENDACIÓN
 VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES Etapa 4: Evaluación del Riesgo
PROBLEMÁTICA /JUSTIFICACIÓN 4 Riesgo muy altos
OBJETIVOS 10 Riesgos altos
MARCO TEÓRICO

METODOLOGÍA DE INVESTIGACIÓN

PROPUESTA

VALIDACIÓN DE LA PROPUESTA

CONCLUSIÓN

RECOMENDACIÓN
 VERIFICACIÓN DE LA GUÍA
METODOLÓGICA PROPUESTA PARA
CONTENIDO LA GESTIÓN DE RIESGO DE TIC
ANTECEDENTES Etapa 4: Evaluación del Riesgo
PROBLEMÁTICA /JUSTIFICACIÓN

Posibles controles
OBJETIVOS Plan de Contingencia y Continuidad
MARCO TEÓRICO

METODOLOGÍA DE INVESTIGACIÓN Procedimiento formal de administración de cambios

PROPUESTA

VALIDACIÓN DE LA PROPUESTA Políticas de seguridad sobre los respaldos de información.

CONCLUSIÓN

RECOMENDACIÓN Metodología de desarrollo de software

 CONCLUSIÓN

CONTENIDO  La familia ISO 27001 proporciona los requisitos para establecer,

ANTECEDENTES implementar, mantener y mejorar un SGSI basado en los criterios:
integridad, disponibilidad y confiabilidad de la información en una
PROBLEMÁTICA /JUSTIFICACIÓN
organización. Por otro lado, la norma ISO 27005 dispone las directrices para
OBJETIVOS realizar un análisis de riesgo más no una guía de implementación.
MARCO TEÓRICO  Se evidenció que la incorporación de la normativa internacional en
METODOLOGÍA DE INVESTIGACIÓN
entidades públicas encuestadas. Sin embargo, todavía es un reto debido a
que los estándares fueron creados para empresas de otro contexto. Por
PROPUESTA otro lado, existe el compromiso por parte de las entidades públicas en
VALIDACIÓN DE LA PROPUESTA
implementar controles y planes de seguridad para salvaguardar la
información.
CONCLUSIÓN

RECOMENDACIÓN
 CONCLUSIÓN

CONTENIDO  La guía de gestión de riesgos de TIC propuesta está basada en la normativa

ISO 27005 y aporta en detalle con múltiples formatos y escalas de
ANTECEDENTES evaluación para facilitar la identificación de los activos, sus
vulnerabilidades, amenazas y controles.
PROBLEMÁTICA /JUSTIFICACIÓN

OBJETIVOS

MARCO TEÓRICO  Se realizó la comprobación de la hipótesis, siendo positiva debido a, que la

elaboración e implementación de la guía metodológica permitió mejorar la
METODOLOGÍA DE INVESTIGACIÓN administración de la seguridad de la información en la entidad del sector
PROPUESTA público, porque permitió la identificación de controles que posteriormente
serán implementados de acuerdo con los recursos disponibles en la
VALIDACIÓN DE LA PROPUESTA institución.
CONCLUSIÓN

RECOMENDACIÓN
 RECOMENDACIÓN

CONTENIDO  Es recomendable que las entidades públicas adopten la guía metodológica y la

establezcan formalmente como un proceso del departamento tecnológico con
ANTECEDENTES la finalidad de mejorar continuamente.
PROBLEMÁTICA /JUSTIFICACIÓN  Debido al impacto cultural en el personal del área tecnológica que puede
OBJETIVOS producirse al implementar la guía metodológica de gestión de riesgo de TIC, se
recomienda la participación de los mismos durante las diferentes etapas, así
MARCO TEÓRICO como contar con la correspondiente comunicación de las medidas de
METODOLOGÍA DE INVESTIGACIÓN tratamiento del riesgo a ser implementadas.

PROPUESTA  Es recomendable que las organizaciones que adopten la guía, luego de realizar
la correspondiente evaluación se realice un análisis de factibilidad tanto
VALIDACIÓN DE LA PROPUESTA
técnica como económica y así priorice en un plan de tratamiento de riesgos los
CONCLUSIÓN controles a implantarse en corto, mediano y largo plazo, debido a la inversión
económica que puede ser necesaria para mantener la seguridad de la
RECOMENDACIÓN
información.
Gracias