universidad regional autÓnoma de los...
Post on 30-Sep-2018
230 Views
Preview:
TRANSCRIPT
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIA LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
“PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001
PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE
PASTAZA”
AUTOR: AGUILAR CARRIÓN MANUEL RODRIGO
ASESORES: ING. FERNÁNDEZ VILLACRÉS GUSTAVO EDUARDO, MSC.
ING. MARTÍNEZ CAMPAÑA CARLOS EDUARDO, MSC
AMBATO – ECUADOR
2017
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quienes suscriben, legalmente CERTIFICAN QUE: El presente trabajo de titulación
realizado por el Señor Manuel Rodrigo Aguilar Carrión, estudiante del programa de
Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, con el tema
“PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001
PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE
PASTAZA” ha sido prolijamente revisado, y cumple con todos los requisitos
establecidos en la normativa pertinente de la Universidad Regional Autónoma de los
Andes – UNIANDES, por lo que aprueba su presentación.
Ambato, Junio de 2017
Ing. Gustavo Eduardo Fernández V., Msc.
TUTOR
Ing. Carlos Eduardo Martínez C., Msc.
TUTOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Manuel Rodrigo Aguilar Carrión, estudiante del programa de Maestría en
Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos los
resultados obtenidos en el presente trabajo de investigación, previo a la obtención del
grado académico de MAGISTER EN INFORMÁTICA EMPRESARIAL, son
absolutamente originales, auténticos y personales; a excepción de las citas, por lo que
son de mi exclusiva responsabilidad.
Ambato, marzo de 2017
Ing. Manuel Rodrigo Aguilar Carrión
CI: 1600148991
AUTOR
DERECHOS DE AUTOR
Yo, AGUILAR CARRIÓN MANUEL RODRIGO, declaro que conozco y acepto la
disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional
Autónoma de los Andes, que en su parte pertinente textualmente dice: El Patrimonio
de la UNIANDES, está constituido por: La propiedad intelectual sobre la
Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría
que se realice en la Universidad o por cuenta de ella.
Ambato, Junio del 2017
Ing. Manuel Rodrigo Aguilar Carrión
CI: 1600148991
AUTOR
DEDICATORIA
A Dios, por darme la oportunidad de vivir y por estar conmigo en cada paso que doy,
por fortalecer mi corazón e iluminar mi mente y por haber puesto en mi camino a
aquellas personas que han sido mi soporte y compañía durante todo el periodo de
estudio.
A mi esposa Amparito, a mi hija Daniela Lizeth por darme aliento y soportarme largos
días fuera de casa, y demostrarme que siempre han creído en mí, porque siempre me
apoyaron para continuar en esta nueva tarea.
A todos aquellos familiares y amigos que siempre estuvieron a mí lado durante estos
dos años de estudio
Rodrigo.
RESUMEN
La información que forma parte de un gobierno seccional, se la considera el activo
más valioso para su correcto desempeño dentro de la política pública y su relación con
los conciudadanos en este nuevo siglo, porque ésta será elemento fundamental en el
cumplimiento de sus objetivos, es por ello que, resguardar todo tipo de Información de
cualquier posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos,
puede significar un respaldo para el normal desarrollo de sus actividades.
Sin embargo, pese a la falta de conocimiento sobre cómo protegerla adecuadamente,
o debido a la complejidad de las normas internacionales que indican los
procedimientos para lograr un adecuado nivel de protección, muchas organizaciones,
en especial el sector de los Gobiernos Locales, no logra alcanzar este objetivo. Por lo
tanto, este estudio propone una forma de aplicar la seguridad de la información para la
gestión de riesgo informático aplicable al entorno de pequeñas y medianas empresas
como a los gobiernos seccionales del Ecuador. Para el efecto, se utilizó la herramienta
proporcionada por Microsoft denominada Herramienta de Evaluación de Seguridad de
Microsoft (MSAT).
Esta herramienta es internacionalmente utilizada en la gestión del riesgo de la
información, concomitante a los parámetros de referencia de la norma: ISO 27001,
27002 y 27005, con los informes resultantes de esta herramienta, se generó el Plan de
Seguridad de la Información, que deberá ser aplicado para mejorar los controles
internos del Gobierno Seccional en lo relacionado a seguridad informática.
Palabras clave: riesgos, gestión, Seguridad de la Información, Seguridad Informática.
ABSTRACT
Information which takes part in sectional governments has been considered as an
essential asset on due diligence from public politics since it has got a close relationship
with citizen actions of this new century due to the fact that the mentioned information
can be safeguarded. Unfortunately, data misusage, data alteration, and information
loss cause problems when gathering data.
Despite, the lack of knowledge on protecting information as well as applying
international regulations in terms of achieving proper levels of accomplishment, many
organizations such as public institutions (Gobiernos Locales) have not reached their
objectives. Therefore, the objective of this research is to apply information safeguard
on computing risk management at small and medium-sized enterprises (Gobiernos
Seccionales del Ecuador). It is important to mention that Microsoft safety assessment
(MSAT) was used as a tool in the current research.
In Addition, this tool is used on information risk management processes; it has also a
relationship with ISO 27001, 27002 and 27005. Consequently, an Information
Safeguard Plan was created in order to improve internal environments at Gobiernos
Seccionales.
Key Words: Risks, management, information safeguard, computer security.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR
DEDICATORIA
RESUMEN
ABSTRACT
ÍNDICE GENERAL
ÍNDICE DE TABLAS.
ÍNDICE DE FIGURAS.
Antecedentes
Introducción .................................................................................................................. 1
Antecedentes de la Investigación ................................................................................. 1
Situación Problémica .................................................................................................... 1
Problema científico ....................................................................................................... 3
Delimitación del problema. ............................................................................................ 3
Objeto de investigación. ................................................................................................ 3
Campo de acción. ......................................................................................................... 3
Identificación de la Línea de Investigación. ................................................................... 3
Objetivo ........................................................................................................................ 3
General ......................................................................................................................... 3
Específicos ................................................................................................................... 4
Idea a Defender ............................................................................................................ 4
Justificación del tema .................................................................................................... 4
CAPITULO I. ................................................................................................................. 6
MARCO TEÓRICO ....................................................................................................... 6
1.1 Origen y evolución de la Seguridad Informática. ................................................ 6
1.1.1. Importancia de la Seguridad Informática ..................................................... 7
1.1.2. Los Principios de la Seguridad Informática .................................................. 7
1.1.2.1. Confidencialidad .................................................................................. 8
1.1.2.2. Autenticación ....................................................................................... 8
1.1.2.3. Integridad ............................................................................................. 8
1.1.2.4. Disponibilidad ....................................................................................... 8
1.1.3. Áreas que se debe proteger. ....................................................................... 9
1.1.4. Política De Seguridad Informática ............................................................. 10
1.1.4.1. Elementos de una Política de Seguridad Informática ......................... 10
1.1.5. Plan de Seguridad Informática .................................................................. 12
1.1.6. Amenaza a la seguridad de la Información. ............................................... 12
1.1.6.1. Tipos de Amenazas. .......................................................................... 12
1.1.7. Sistema de Gestión de la Seguridad de la Información. ............................ 13
1.1.8. Estándares de la Gestión de la Seguridad de la Información. ................... 14
1.1.8.1. Normas ISO ....................................................................................... 14
1.1.8.2. Organización ISO ............................................................................... 14
1.1.8.3. Serie ISO 27000 ................................................................................ 14
1.1.8.4. Evolución de la norma ISO 27000 ...................................................... 15
1.1.8.5. Estándar de Seguridad ISO 27001 ..................................................... 17
1.1.9. Seguridad de la información ...................................................................... 17
1.1.9.1. Necesita seguridad de la información ................................................. 18
1.1.10. Políticas de seguridad. .............................................................................. 18
1.1.11. Seguridad de la información. ..................................................................... 19
1.1.11.1. Amenazas a la Información ................................................................ 20
1.1.12. Activos. ..................................................................................................... 21
1.1.13. Utilización adecuada de los activos ........................................................... 22
1.1.14. Seguridad de los activos. .......................................................................... 23
1.1.15. Clasificación de seguridad ........................................................................ 23
1.1.15.1. Amenazas Físicas. ............................................................................... 24
1.1.15.2. Amenazas Lógicas: .............................................................................. 24
1.1.15.3. Amenazas provocadas por las personas. ............................................ 25
1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad
Informática. ............................................................................................................. 26
1.1.16.1 Plan.................................................................................................... 27
1.1.16.2 Desarrollar ......................................................................................... 27
1.1.16.3 Check/Evaluación .............................................................................. 27
1.1.16.4 El Apalancamiento/Set/Ley ................................................................ 27
1.1.17 La norma ISO EIC 27005. ......................................................................... 28
1.1.18 Objeto Y Campo De Aplicación ................................................................. 28
1.1.19 Términos Y Definiciones ........................................................................... 28
1.1.20 Estructura De Esta Norma ........................................................................ 30
1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática. ........ 32
1.3 Valoración crítica. ............................................................................................. 32
1.4 Conclusiones parciales del capítulo. ................................................................ 33
CAPITULO II ............................................................................................................... 34
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA .................... 34
2.1 Caracterización del sector. ................................................................................. 34
2.1.1 GAD Cantonal de Pastaza. .......................................................................... 34
2.1.1.1 Organigrama Estructural .................................................................... 34
2.1.1.2 Políticas Generales de Acción............................................................ 35
2.1.1.3 Objetivos Estratégicos ....................................................................... 36
2.1.1.4 MISIÓN .............................................................................................. 37
2.1.1.5 VISIÓN ............................................................................................... 37
2.2 Descripción del Procedimiento Metodológico. .................................................. 38
2.2.1 Modalidad de Investigación ....................................................................... 38
2.2.1.1 Cualitativa ................................................................................................ 38
2.2.1.2 Cuantitativa. ....................................................................................... 38
2.2.2 Tipos de Investigación. .............................................................................. 39
2.2.2.1 Investigación Bibliográfica .................................................................. 39
2.2.2.2 Investigación de Campo ..................................................................... 39
2.2.3 Métodos de Investigación .......................................................................... 39
2.2.3.1 Método Inductivo/Deductivo ............................................................... 39
2.2.4 Técnicas de Investigación ......................................................................... 39
2.2.4.1 La Entrevista. ..................................................................................... 39
2.2.4.2 La Encuesta ....................................................................................... 39
2.2.4.3 Observación ....................................................................................... 40
2.2.5 Instrumentos de Investigación. .................................................................. 40
2.2.6 Población y Muestra. ................................................................................. 40
2.2.6.1 Población. .......................................................................................... 40
2.2.6.2 Muestra. ............................................................................................. 41
2.2.7 Análisis e Interpretación de Resultados. ................................................... 42
2.2.8 Análisis de la entrevista al Ing. Adrián Pacheco Director del departamento
de TIC´s………… .................................................................................................... 52
2.3 Propuesta del investigador ............................................................................... 53
2.4 Conclusiones parciales del capítulo. ................................................................ 53
CAPITULO III. ............................................................................................................. 54
MARCO PROPOSITIVO ............................................................................................. 54
3.1 Tema ................................................................................................................ 54
3.1.1 Objetivos de la Propuesta. ........................................................................ 54
3.1.1.1 Objetivo General. ............................................................................... 54
3.1.1.2 Objetivos Específicos. ........................................................................ 54
3.1.1.3 Descripción de la Propuesta .............................................................. 54
3.2 Dominios de la norma ISO 27001. .................................................................... 55
3.3 Análisis de la Situación Actual .......................................................................... 56
3.3.1 Análisis FODA de la Institución. ................................................................ 56
3.3.2 Evaluación de la Situación Actual.............................................................. 58
3.3.3 Evaluación general .................................................................................... 59
3.3.4 Perfil de riesgos para la empresa vs Índice de defensa en profundidad
Informe resumido ................................................................................................. 59
3.3.4.1 Madurez de la seguridad .................................................................... 59
3.3.5 Iniciativas de seguridad ............................................................................. 62
3.4 PDCA Ciclo Miding ........................................................................................... 63
3.4.1 Alcance del SGSI: ..................................................................................... 63
3.4.2 Políticas Generales ................................................................................... 64
3.4.3 Metodología para evaluación de riesgos ................................................... 65
3.4.4 Identificación y evaluación de activos. ....................................................... 65
3.4.4.1 Identificación de activos informáticos .............................................. 65
3.4.5 Identificación de amenazas a los activos de información. ......................... 76
3.4.6 Ponderación del Impacto de materializarse la amenaza. ........................... 78
3.4.6.1 Tasación de la probabilidad de que la amenaza explote la
vulnerabilidad. .................................................................................................... 81
3.4.7 Análisis y Evaluación del Riesgo .............................................................. 81
3.4.7.1 Opciones para el tratamiento del riesgo ............................................. 85
3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza ................. 100
3.5 Conclusiones parciales del capítulo. .............................................................. 112
CONCLUSIONES GENERALES............................................................................... 113
RECOMENDACIONES ............................................................................................. 113
REFERENCIAS BIBLIOGRÁFICAS. ......................................................................... 114
ÍNDICE DE TABLAS.
Tabla 1 Población de la Investigación. ................................................................... 40
Tabla 2 Encuesta a Empleados. ............................................................................ 42
Tabla 3 Encuesta a Empleados. ............................................................................ 43
Tabla 4 Encuesta a Empleados. ............................................................................ 44
Tabla 5 Encuesta a Empleados. ............................................................................ 45
Tabla 6 Encuesta a Empleados. ............................................................................ 46
Tabla 7 Encuesta a Empleados. ............................................................................ 47
Tabla 8 Encuesta a Empleados. ............................................................................ 48
Tabla 9 Encuesta a Empleados. ............................................................................ 49
Tabla 10 Encuesta a Empleados. ............................................................................ 50
Tabla 11 Encuesta a Empleados. ............................................................................ 51
Tabla 12 Matriz del análisis FODA ........................................................................... 57
Tabla 13 Iniciativas de seguridad ............................................................................. 62
Tabla 14 Servidor Administrativo. ............................................................................ 66
Tabla 15 Servidor de Sistema de Información Geográfica. ...................................... 67
Tabla 16 Servidor web.......................................................................................... 68
Tabla 17 Detalle servidor de archivos. .................................................................. 69
Tabla 18 Equipos en las Diferentes Oficinas y Departamentos ............................ 70
Tabla 19 Tiempo de vida de los equipos .............................................................. 71
Tabla 20 Equipos Conectados y fuera de Red. .................................................... 72
Tabla 21 Caracteristica de Procesadores ............................................................. 73
Tabla 22 Equipos en res y fuera de red ................................................................ 74
Tabla 23. Ponderación para valorar los activos ..................................................... 75
Tabla 24. Tasación de activos ............................................................................. 75
Tabla 25 Amenazas de los activos ....................................................................... 77
Tabla 26 Ponderación del impacto en caso de materializarse la amenaza ...... 78
Tabla 27 Vulnerabilidades encontradas ................................................................ 79
Tabla 28 Probabilidad de que explote una amenaza ............................................ 81
Tabla 29 Calificación del riesgo. ........................................................................... 82
Tabla 30 Mapeo de controles seleccionados ........................................................... 86
ÍNDICE DE FIGURAS.
Figura 1 Familia de la serie 27000 ....................................................................... 15
Figura 2 Objetivos de la Norma ISO 27001 ........................................................... 17
Figura 3 Ciclo de vida de los documentos. ............................................................ 19
Figura 4 Ataques contra la seguridad de la información .......................................... 20
Figura 5 Modelo PHVA aplicado a los procesos del SGSI ..................................... 26
Figura 6 Proceso de gestión del riesgo en la seguridad de la información .............. 31
Figura 7 Orgánico Estructural ................................................................................. 34
Figura 8 Encuesta a empleados .............................................................................. 42
Figura 9 Encuesta a empleados .............................................................................. 43
Figura 10 Encuesta a empleados. ......................................................................... 44
Figura 11 Encuesta a empleados .......................................................................... 45
Figura 12 Encuesta a empleados. ......................................................................... 46
Figura 13 Encuesta a empleados. ......................................................................... 47
Figura 14 Encuesta a empleados .......................................................................... 48
Figura 15 Encuesta a empleados .......................................................................... 49
Figura 16 Encuesta a empleados .......................................................................... 50
Figura 17 Encuesta a empleados .......................................................................... 51
Figura 18 Distribución de defensa de riesgos ........................................................ 59
Figura 19 Tarjeta de puntuación de la evaluación de riesgos herramienta MSAT .. 61
Figura 20 PDCA Proceso Miding. .......................................................................... 63
Figura 21 Tiempo de vida de los equipos. ............................................................. 71
Figura 22 Equipos en res y fuera de red ................................................................ 72
Figura 23 Equipos en res y fuera de red ................................................................ 73
Figura 24 Utilización de Sistemas Operativos. ....................................................... 74
1
Introducción
Antecedentes de la Investigación
En una investigación preliminar, llevada a cabo en el repositorio de Uniandes se ha
encontrado el trabajo de titulación a nivel de grado del Sr. Rigoberto Gonzalo Ñauta
Benavides presentada en el año 2015 en Uniandes Ibarra con el tema “Plan de
seguridad Informática para mejorar la gestión de la Información en la Sociedad
financiera VISIONFUND-FODEMI de la ciudad de Ibarra” en la cual se hace énfasis en
la importancia de la seguridad para prevenir cualquier daño accidental o intencionado,
como también estar preparados para una auditoría informática, considerando el
estándar ISO-IEC 27002 como norma establecida para implementar un plan de
seguridad informática.
Investigando en los repositorios digitales de varias universidades del país, se ha
encontrado la tesis de la Sta. Verónica Chamorro Alvarado, presentada en enero del
2013, en la Escuela Politécnica Nacional con el tema “Plan de seguridad de la
información basada en el estándar ISO 13335 aplicada a un caso de estudio”, este
plan está orientado a brindar seguridad a la información de una empresa mediana de
desarrollo de software.
Revisando la información de repositorios de universidades de otros países se ha
encontrado la tesis para obtener el grado de Magister de la Sta. Ing. Arelys Altagracia
López M. presentada en junio del 2011 en la UNIVERSIDAD CENTROCCIDENTAL
LISANDRO ALVARADO” de Barquisimeto, Venezuela con el tema “Diseño de un Plan
de Gestión de Seguridad de la Información, caso: Dirección de Informática de la
Alcaldía del Municipio Jiménez del Estado Lara”, en el cual se puntualiza la
importancia de diseñar un Plan de Gestión de Seguridad de la Información dentro del
marco de la norma ISO/IEC 27000, conllevando a la confidencialidad, accesibilidad y
seguridad de la información.
Situación Problémica
La época actual, está caracterizada por la celeridad de las acciones y
consecuentemente los usuarios externos o internos de cualquier empresa sea de
bienes o servicios, publica o privada esperan esa forma de actuar, es decir que para
2
todo cliente la rapidez en la atención es un sinónimo de buen servicio. Para lo cual, las
empresas e instituciones públicas deben contar con instrumentos que mejoran la
gestión dentro de la institución, permitiendo dar solución inmediata a una situación
emergente presentada.
El cantón Pastaza se halla ubicado en la zona central de la región oriental del país, en
la cual se encuentra el Gobierno Autónomo Descentralizado Cantonal de Pastaza que
ofrece servicios públicos a la ciudadanía de la cabecera cantonal y parroquias
aledañas, el cual tienen la predisposición de mejorar el nivel de vida de los
conciudadanos según lo estipula el Suma Kausay.
En varias de las visitas realizadas a la Institución, se han podido apreciar algunas
dificultades relacionadas con el área Informática como, por ejemplo:
• La conectividad a los diferentes dispositivos Wireless se saturan con prontitud
debido a la cantidad de conexiones que utilizan los usuarios internos con los
diferentes dispositivos.
• La Institución ha aplicado limitadas normas inherentes a la seguridad informática,
esto nos determina que poco se hace por implementar políticas que permitan
proteger los datos y la información.
• Los equipos informáticos de la institución están siendo utilizados por los diferentes
departamentos sin el debido control de los funcionarios de las TIC´s.
• No cuenta con planes de contingencia para eventuales problemas surgidos de las
situaciones climatológicas, las cuales afectan directamente a los equipos
tecnológicos.
• En diferentes ocasiones se ha suspendidos los servicios de atención al público
debido al corte de energía eléctrica.
• Las políticas de seguridad implementadas por el departamento de TIC´s no se
rigen a ningún estándar.
• No existe seguridad en el área determinada para los servidores ni en los puestos
de trabajo.
3
De todo lo mencionado anteriormente se puede deducir que, la institución tiene un
problema relacionado con el área tecnológica en lo que tiene que ver con la seguridad
de la información y activos que se utilizan y almacenan en la institución, la cual incide
directamente en el servicio brindado a la ciudadanía y en el aprovechamiento
adecuado de estos recursos.
Problema científico
¿Cómo proteger los activos y la información del GAD cantonal de Pastaza?
Delimitación del problema.
El presente trabajo de investigación se lo realizó en Puyo provincia de Pastaza, en el
GAD cantonal de Pastaza con la información obtenida del año 2016-2017.
Objeto de investigación.
Procesos Informáticos.
Campo de acción.
Seguridad Informática
Identificación de la Línea de Investigación.
Tecnologías de Información y Comunicaciones.
Objetivo
General
Realizar un plan de seguridad Informática Basado en estándar ISO-IEC 27001 para
proteger la información y activos del GAD Cantonal de Pastaza.
4
Específicos
• Fundamentar científicamente el plan de seguridad informática, sus herramientas y
la protección de activos e información.
• Diagnosticar la situación actual del área informática del GAD Cantonal de Pastaza
para conocer sus fortalezas y debilidades.
• Delinear un plan de seguridad que permitan mejorar la seguridad de activos e
información del GAD cantonal de Pastaza.
Idea a Defender
Con el diseño de un plan de seguridad informática se incentivará al mejoramiento de la
seguridad de activos e información del GAD cantonal de Pastaza.
Justificación del tema
La seguridad informática ha tomado gran importancia a nivel mundial, su impulso se
debe a la necesidad de proteger la información y los activos de las empresas
instaurando políticas precisas y claras para establecer los requisitos de seguridad que
se deben mantener, desplegando un conjunto de normas que sinteticen como se
gestionara la protección del negocio.
El continuo adelanto y desarrollo de las tecnologías de información y comunicación,
que han venido a la par con los ataques cibernéticos en las organizaciones, ponen de
manifiesto la necesidad de adoptar políticas que permitan resguardas a las empresas
e instituciones ante las amenazas a los activos informáticos y especialmente a su
información.
A nivel mundial, nacional o local nadie escapa de esta problemática ya que
continuamente se ha vulnerado la seguridad de los usuarios que utilizan los sistemas
informáticos, las tarjetas de crédito o cajeros automáticos clonando sus datos y
causando perjuicio económico a él y a las empresas financieras; además utilizando
algunos softwares malintencionados se pueden hackear las redes e infringir en la
confidencialidad de la información.
5
Tomando en consideración estos elementos, se hace imprescindible diseñar un
sistema de seguridad Informática que permita salvaguardar los recursos informáticos
del GAD Cantonal de Pastaza, ayudando de esta manera a la organización a cumplir
sus objetivos y garantizar la confidencialidad, integridad y disponibilidad de la
información.
El presente trabajo de investigación tiene como objetivo principal brindar al GAD
Cantonal de Pastaza directrices y políticas de seguridad que pueden ser
implementadas por el Departamento de Gestión de las Tics tanto a los activos como a
la información, logrando con ello proteger de manera adecuada el activo más preciado
del Gobierno Local y se podrá cumplir con las premisas de la seguridad informática
como son: disponibilidad, confiabilidad e integridad de la información para poder
brindar un mejor servicio a los usuarios internos y externos del cantón y demás
organismos que lo requieran.
6
CAPITULO I.
MARCO TEÓRICO
1.1 Origen y evolución de la Seguridad Informática.
La seguridad informática toma vigencia desde el aparecimiento de las redes de
comunicaciones, en principio como una forma de tener confidencialidad e integridad de
la información que se transmite en las redes. En el año 1972 comienza a aparecer de
repente en las pantallas de las computadoras IBM 360 un mensaje: “I’m a creeper…
catch me if you can” (Soy una enredadera. ¡Atrápame si puedes!), al principio dejo
desconcertadas a las personas que trabajaban y se lo llego a considerar como el
primer programa introducido ilegalmente en los equipos, este hecho se le atribuye a
Robert Thomas Morris y posteriormente se lo conoció como virus informático; este
mítico virus dio origen lógicamente al primer programa antivirus llamado “Reaper”
(segadora) (Maldonado, 2006) , con el cual se logró erradicar el código de los equipos
informáticos.
En las últimas décadas, con el avance vertiginoso de las tecnologías de la información
y la comunicación, ha aumentado considerablemente la inseguridad de la información,
donde las empresas públicas y privadas invierten grandes cantidades de dinero en
investigaciones de seguridad para proteger la razón de ser, que es su información.
“Todas las empresas grandes y pequeñas realizan una inversión en seguridad. Según
la última encuesta del CSI/FBI realizada en EE.UU. sobre seguridad y crimen
informático correspondiente al año 2003, el 99% de las empresas utilizan antivirus y el
98% también cortafuegos. Por tanto, todas son conscientes de amenazas frente a las
que hay que protegerse” (Alvares & Perez, 2004).
“El objetivo de la seguridad informática será mantener la Integridad, Disponibilidad,
Privacidad (sus aspectos fundamentales), Control y Autenticidad de la información
manejada por computadora” (Aldegani, 2004).
La seguridad Informática no solo debe encargarse de los posibles fallos
desaprensivos, sino que también debe tener en cuenta los errores que se pudieran
generar por el mal funcionamiento del hardware, así como prevenir acciones
involuntarias que puedan afectar la seguridad de la información que se encuentre
7
contenida en los sistemas. La seguridad informática también ha pasado de utilizarse
para preservar los datos clasificados del gobierno en cuestiones militares a tener una
aplicación de dimensiones inimaginables y crecientes que incluyen transacciones
financieras, acuerdos contractuales, información personal, archivos médicos, negocios
por internet y más. (Areito, 2008)
1.1.1. Importancia de la Seguridad Informática
“La Seguridad Informática es un concepto de Seguridad que nació en la época en la
que no existían las redes de banda ancha, los teléfonos móviles o los servicios de
internet como las redes sociales o las tiendas virtuales. Es por ello que la Seguridad
Informática suele hacer un especial énfasis en proteger los sistemas, es decir, los
ordenadores, las redes y el resto de infraestructuras de nuestra organización. La
Seguridad Informática es un concepto fundamentalmente técnico” (Nando, Seguridad
en Sistemas de Seguridad, 2010).
Según la Norma UNE-ISO/IEC 27001, “Un Sistema de Gestión de Seguridad de la
Información (SGSI), es una parte del sistema de gestión general, basada en un
enfoque de riesgo empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa
que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el
control sobre lo que sucede en los sistemas de información y sobre la propia
información que se maneja en la organización. Nos permitirá conocer mejor nuestra
organización, cómo funciona y qué podemos hacer para que la situación mejore”.
Si a la seguridad Informática la miramos desde esta óptica, comprenderemos la gran
importancia que tiene dentro de cualquier empresa, sea esta pública o privada, porque
a través de ella podemos resguardar lo más preciado y vulnerable que es su
información.
1.1.2. Los Principios de la Seguridad Informática
Una organización debe entender a la Seguridad Informática como un proceso y no
como un producto que se pueda “comprar” o “instalar”. Se trata, por lo tanto, de un
ciclo iterativo, en el que se incluyen actividades como la valoración de riesgos,
prevención, detección y respuesta ante incidentes de seguridad.
8
Para poder alcanzar las actividades descritas en el apartado anterior, dentro del
proceso de gestión de la seguridad informática es necesario contemplar una serie de
servicios o funciones de seguridad de la información:
1.1.2.1. Confidencialidad
Se trata de la cualidad que debe poseer un documento o archivo para que este sólo se
entienda de manera comprensible o sea leído por la persona o sistema que esté
autorizado.
De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y
sólo si puede ser comprendido por la persona o entidad a quien va dirigida o esté
autorizada. En el caso de un mensaje esto evita que exista una intercepción de éste y
que pueda ser leído por una persona no autorizada (Costas Santos, 2014)
1.1.2.2. Autenticación
La autenticación es la situación en la cual se puede verificar que un documento ha
sido elaborado (o pertenece) a quien el documento dice. Aplicado a la verificación de
la identidad de un usuario, la autenticación se produce cuando el usuario puede
aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a
partir de ese momento se considera un usuario autorizado. La autenticación en los
sistemas informáticos habitualmente se realiza mediante un usuario o login y una
contraseña o pasword (Costas Santos, 2014).
1.1.2.3. Integridad
La Integridad de la Información es la característica que hace posible garantizar su
exactitud y confiabilidad, velando por que su contenido permanezca inalterado a
menos que sea modificado por personal autorizado, de modo autorizado y mediante
procesos autorizados. A su vez, es de suma importancia que esta modificación sea
registrada para posteriores controles o auditorias (Nando, 2010).
1.1.2.4. Disponibilidad
La definiremos como la capacidad de garantizar que tanto el sistema como los datos
van a estar disponibles al usuario en todo momento.
9
Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa
encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo
consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible
para sus usuarios (Ruano, Saiz Herrero, Fernández Álvarez, & Fernández Aranda,
2010).
1.1.3. Áreas que se debe proteger.
Las principales áreas que se deben proteger según las necesidades son las
siguientes:
• Política de Seguridad de la Información.
• Organización de la Seguridad de la Información.
• Gestión de Activos de Información.
• Seguridad de los Recursos Humanos.
• Seguridad Física y Ambiental.
• Gestión de las Comunicaciones y Operaciones.
• Control de Accesos.
• Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
• Gestión de Incidentes en la Seguridad de la Información.
• Gestión de Continuidad del Negocio.
• Marco Legal, y Buenas Prácticas. (ISO 27000)
10
1.1.4. Política De Seguridad Informática
Son una forma de comunicación con el personal, ya que las mismas constituyen un
canal formal de actuación, en relación con los recursos y servicios informáticos de la
organización. Estas a su vez establecen las reglas y procedimientos que regulan la
forma en que una organización previene, protege y maneja los riesgos de diferentes
datos, sin importar el origen de estos (Arrieta, 2011).
1.1.4.1. Elementos de una Política de Seguridad Informática
Entre los elementos de las políticas de seguridad se puede enumerar los siguientes:
a. Alcance y ámbito de la Política de Seguridad: En este punto se debe detallar si
la política es global, para toda la empresa, o si está delimitada para determinados
departamentos o personas.
b. Responsabilidades y Organización de la Seguridad de la Información: Se
establecerá una estructura de responsables para la toma de decisiones respecto a
inversiones, seguimiento y aseguramiento del cumplimiento de lo recogido en las
políticas. Así mismo, puede establecerse la composición de un Comité para la
toma de decisiones conjuntas en materia de seguridad.
c. Control de la información: Se indicarán las pautas para asegurar el buen uso de
la información. Una buena práctica puede ser establecer una guía de clasificación
de la información en función de su contenido y/o grado de confidencialidad. A cada
nivel (por ejemplo: información de uso interno, confidencial, reservada), se le
dotarán de diferentes medidas de seguridad en cada una de sus fases de
tratamiento (creación, distribución, eliminación…)
d. Seguridad del personal: Se especificarán las medidas de seguridad a tomar en
relación al personal de la organización desde su incorporación en la que deberían
firmarse acuerdos y cláusulas de confidencialidad, uso de los sistemas, etc,
pasando por su permanencia en la empresa, en la que deberá establecerse un
programa de formación y concienciación en Seguridad de la Información hasta la
finalización de la relación laboral donde se detallarán las medidas para asegurar la
devolución del equipamiento (móviles, portátiles, entre otros) que hayan sido
11
cedidos al empleado para su desarrollo de actividades en la empresa y la
eliminación de autorizaciones de acceso.
e. Seguridad física: Hablar de seguridad informática no es solo hablar de un hacker
o de un PC que ha perdido los datos, debemos de tomar medidas para asegurar
que, físicamente, nuestros equipos de procesamiento de datos están protegidos
contra fuego, inundación o robo.
f. Seguridad en las comunicaciones: Se trata de un apartado meramente técnico y
orientado al equipamiento informático, en el deberá recogerse los mecanismos
para el control de código malicioso (por ejemplo, los PCs deberán contar con un
antivirus actualizado), la estrategia a seguir para la gestión de copias de seguridad
o el uso que los empleados pueden hacer de Internet o del correo electrónico
corporativo.
g. Control de los accesos a los sistemas de información: Este punto debiera
especificar cómo debe ser la política de asignación de privilegios y gestión de
usuarios orientado a evitar el acceso no autorizado a los sistemas y activos de
información. No todos los empleados deben tener acceso a toda la información y,
este es el punto, en el que debe especificarse cuál es el principio en el que se
basará la asignación de privilegios. Un ejemplo es establecer los mismos en base
al principio de “necesidad de conocer”, es decir, nadie debe tener acceso a aquello
que no deba conocer para ejecutar su actividad.
h. Mantenimiento de las aplicaciones: Deberá recoger cómo será la estrategia para
mantener las aplicaciones, como se asegurará que los PCs son actualizados, con
qué periodicidad, entre otros.
i. Continuidad del negocio: ¿Ha pensado alguna vez en qué pasaría si su oficina
saliese ardiendo? A menudo, no somos conscientes de las amenazas que nos
rodean hasta que nos damos cuenta…y desgraciadamente, suele ser demasiado
tarde. En la política de seguridad deben recogerse qué medidas deben tomarse
para asegurar que un “accidente” no paraliza nuestro negocio. Es muy importante
tener en cuenta que la política de seguridad es una “declaración de principios” y,
por lo tanto, es la guía sobre la que se cimentarán los principios para asegurar la
Seguridad de la Información de nuestras organizaciones. (Forum, s/f)
12
1.1.5. Plan de Seguridad Informática
Para el autor (García, 2011), es el manual elemental que determina los principios
organizativos y funcionales de la actividad de Seguridad Informática en una
organización y captara abiertamente las políticas de seguridad y las responsabilidades
de cada uno de los involucrados en el proceso informático, así como las medidas y
procedimientos que permitan prevenir, detectar y responder a las amenazas que
gravitan sobre el mismo, al ser una política de seguridad esta debe guiar en las
decisiones que se toman en relación con la seguridad informática, también se necesita
la disposición de todos los miembros de la empresa para lograr una visión conjunta de
lo que se considera relevante.
1.1.6. Amenaza a la seguridad de la Información.
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra
la seguridad de la información. Las amenazas surgen a partir de la existencia de
vulnerabilidades, es decir que una amenaza sólo puede existir si existe
una vulnerabilidad que pueda ser aprovechada, e independientemente de que se
comprometa o no la seguridad de un sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas
de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso
de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado
en los últimos años el aumento de amenazas intencionales (Universidad Nacional de
Luján, s/f).
1.1.6.1. Tipos de Amenazas.
Las amenazas a un sistema informático pueden provenir desde un hacker
remoto que entra en nuestro sistema con un troyano, pasando por un programa
descargado gratuito que nos ayuda a gestionar nuestras fotos, pero que supone
una puerta trasera a nuestro sistema permitiendo la entrada a espías, hasta
la entrada no deseada al sistema mediante una contraseña de bajo nivel de
seguridad. Se pueden clasificar por tanto en amenazas provocadas por:
• Personas.
13
• Amenazas lógicas.
• Amenazas físicas (Costas Santos, 2014).
Personas. No podernos engañarnos: la mayoría de ataques a nuestro sistema van a
provenir en última instancia de personas que, intencionada o inintencionadamente,
pueden causarnos enormes pérdidas. Generalmente se tratará de piratas que intentan
conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) de
los riesgos lógicos de los que hablaremos a continuación, especialmente agujeros del
software
Amenazas lógicas. Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de
programas que de una forma u otra pueden dañar a nuestro sistema, creados de
forma intencionada para ello (software malicioso, también conocido como malware) o
simplemente por error (bugs o agujeros).
Amenazas físicas. Algunas de las amenazas físicas que pueden afectar a la
seguridad y por tanto al funcionamiento de los sistemas son: Robos, sabotajes,
destrucción de sistemas. Cortes, subidas y bajadas bruscas de suministro eléctrico.
Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas
extremas que afecten al comportamiento normal de los componentes informáticos.
Las catástrofes (naturales o artificiales). Son la amenaza menos probable contra
los entornos habituales: simplemente por su ubicación geográfica. Un subgrupo de las
catástrofes es el denominado de riesgos poco probables. Como ejemplos de
catástrofes hablaremos de terremotos, inundaciones, incendios, humo o atentados de
baja magnitud (más comunes de lo que podamos pensar); obviamente los riesgos
poco probables los trataremos como algo anecdótico. (Costas Santos, 2014)
1.1.7. Sistema de Gestión de la Seguridad de la Información.
Un Sistema de Gestión de la Seguridad de la Información implementa los procesos
que permiten que una Organización ejecute un servicio o producto de manera
confiable y en conformidad con unas especificaciones internacionales
14
1.1.8. Estándares de la Gestión de la Seguridad de la Información.
1.1.8.1. Normas ISO
Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestión de
calidad y seguridad que estaban apareciendo en distintos países y organizaciones del
mundo.
Los organismos de normalización de cada país producen normas que resultan del
consenso entre representantes del estado y de la industria. De la misma manera las
normas ISO surgen del consenso entre representantes de los distintos países
integrados a la I.S.O.
Existen grandes familias de normas ISO: Las de la familia 9000, las de la familia 14000
y las de la familia 27000 además de otras complementarias (ISO 8402; ISO 10011).
1.1.8.2. Organización ISO
Existe la organización ISO, que significa International Organization for Standardization
(Organización Internacional para la Estandarización), constituye una organización no
gubernamental organizada como una Federación Mundial de Organismos Nacionales
de Normalización, creada en 1947, con sede en Ginebra (Suiza). Reúne las entidades
máximas de normalización de cada país.
1.1.8.3. Serie ISO 27000
La ISO 27000 es realmente una serie de estándares desarrollados, por ISO
(International Organization for Standardization) e IEC (International Electrotechnical
Commission) En este apartado se resumen las distintas normas que componen la
serie ISO 27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001. Los rangos de
numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Esta ISO Contiene términos y definiciones que se emplean en toda la serie 27000. La
aplicación de cualquier estándar necesita de un vocabulario claramente definido, que
evite distintas interpretaciones de conceptos técnicos y de gestión, que proporcionan
15
un marco de gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
1.1.8.4. Evolución de la norma ISO 27000
Según el grafico siguiente, se puede definir cada una de las normas según el objetivo
que enfoca de la siguiente manera:
Figura 1 Familia de la serie 27000
Fuente: (Ocampo & Gaviria, 2014)
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de
Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de
resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para
que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. La ISO
27001:2005 proporciona un modelo sólido para implementar los principios y
lineamientos de un SGSI.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a Seguridad de la Información. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo
PDCA y de los requerimientos de sus diferentes fases.
16
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la
información. Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de
la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de
organizaciones que tienen la intención de gestionar los riesgos que puedan
comprometer la organización de la seguridad de la información.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de Sistemas de Gestión de Seguridad de la Información. Es decir, ayuda a
interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a
entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí
misma.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica
para Telecomunicaciones.
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías
de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes,
arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento
de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento
de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad
en redes.
ISO 27034: Consiste en una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el sector
salud. (Iriarte Ahon, s/f)
17
1.1.8.5. Estándar de Seguridad ISO 27001
La norma ISO 27001 le brinda a la Organización los objetivos de control, de los cuales
surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la
protección de la información más sensible y las aplicaciones más críticas para cada
área de negocio establecidos (Descalzo, 2014)
Figura 2 Objetivos de la Norma ISO 27001
Fuente: (Descalzo, 2014)
1.1.9. Seguridad de la información
La información es un activo vital que, como otros activos comerciales importantes, es
esencial para el negocio de una organización y en consecuencia necesita ser
protegido adecuadamente. En el curso de los años la globalización ha originado que la
información fluya más rápido de tal manera que para ello debe haber interconectividad
entre las organizaciones a grandes distancias.
La seguridad de la información es la protección de la información de un rango amplio
de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de
controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales
y funciones de software y hardware. Se necesitan establecer, implementar, monitorear,
revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan
los objetivos de seguridad y comerciales específicos.
18
1.1.9.1. Necesita seguridad de la información
Definir, lograr, mantener y mejorar la seguridad de la información puede ser esencial
para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal
e imagen comercial. Las organizaciones y sus sistemas y redes de información
enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude
por computadora, espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de
daño como código malicioso, pirateo computarizado o negación de ataques de servicio
se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas.
La seguridad de la información es importante tanto para negocios del sector público
como privado, y para proteger las infraestructuras críticas. En ambos sectores, la
seguridad de la información funcionará como un facilitador; para evitar o reducir los
riesgos relevantes.
Existen tres fuentes principales de requerimientos de seguridad:
• Una fuente se deriva de evaluar los riesgos para la organización, tomando en
cuenta la estrategia general y los objetivos de la organización. A través de la
evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la
vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.
• Otra fuente son los requerimientos legales, reguladores, estatutarios y
contractuales que tienen que satisfacer una organización, sus socios comerciales,
contratistas y proveedores de servicio; y su ambiente socio-cultural.
• Otra fuente es el conjunto particular de principios, objetivos y requerimientos
comerciales para el procesamiento de la información que una organización ha
desarrollado para sostener sus operaciones.
(Universidad de EL Salvador, 2009)
1.1.10. Políticas de seguridad.
Su principal objetivo es recoger las directrices que debe seguir la seguridad de la
información de acuerdo a las necesidades de la organización y a la legislación vigente.
Además, debe establecer las pautas de actuación en el caso de incidentes y definir las
responsabilidades.
El documento debe delimitar qué se tiene que proteger, de quién y por qué. Debe
19
explicar qué es lo que está permitido y qué no; determinar los límites del
comportamiento aceptable y cuál es la respuesta si estos se sobrepasan; e identificar
los riesgos a los que está sometida la organización. (INTECO, s/f)
1.1.11. Seguridad de la información.
En la Seguridad de la Información el objetivo de la protección son los datos mismos y
trata de evitar su perdida y modificación no autorizado. La protección debe garantizar
en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin
embargo, existen más requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que responden a la
Seguridad de la Información, es el propio interés de la institución o persona que
maneja los datos, porque la pérdida o modificación de los datos, le puede causar un
daño material o inmaterial (Erb, 2009).
“La información es la sangre de todas las organizaciones y puede existir en muchas
formas. Puede ser impresa o escrita en papel, almacenada electrónicamente,
transmitida por correo electrónico, mostrada en películas o hablada en una
conversación. En el ambiente de negocio competitivo de hoy, tal información está
constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas,
externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al
almacenar, transmitir y recuperar la información, hemos abierto un gran número y tipo
creciente de amenazas” (Nando, 2010)
Figura 3 Ciclo de vida de los documentos.
Fuente: (Frayssinet Delgado, s/f)
20
1.1.11.1. Amenazas a la Información.
La disciplina de la seguridad informática no dista mucho de la seguridad tradicional. De
igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo digital
también existen: alguien puede substraer dinero de cuentas de Internet, se puede
robar documentación importante a través de la red o se puede tirar abajo un servidor
Web de comercio electrónico. En suma, existen múltiples delitos dentro del mundo
digital, todos ellos ligados a la información que se aloja en sistemas o que se transmite
por las redes de comunicaciones.
Las amenazas a la información en una red pueden caracterizarse modelando el
sistema como un flujo de información desde una fuente, como por ejemplo un archivo
o una región de la memoria principal, a un destino, como por ejemplo otro archivo o un
usuario. (Alvares & Perez, 2004)
Figura 4 Ataques contra la seguridad de la información
Fuente: (Alvares & Perez, 2004)
La definición de cada uno de los ataques se los determina como:
a Flujo normal: La información sigue el curso sin ninguna dificultad.
b Interrupción de la información: Los atacantes también pueden alterar la
disponibilidad de los datos alojados en los sistemas o los que viajan por las redes de
comunicaciones. Por tanto, la seguridad informática se ocupará de ser la garante de
que la información esté disponible para todo aquel que la necesite y durante todo el
tiempo que sea necesario. Ejemplos de este tipo de ataque son la destrucción de un
21
elemento hardware, como un disco duro, el corte de una línea de comunicación o la
caída del servidor Web de comercio electrónico.
c Intercepción de información: Los sistemas informáticos albergan a menudo
información sensible, que sólo debería ser accedida por un grupo autorizado de
personas. Si alguien ajeno a este grupo accede a dichos datos se estará incurriendo
en un ataque contra la confidencialidad de la información. Como ejemplos se pueden
citar el pinchar una línea para hacerse con datos que circulen por la red, la copia ilícita
de ficheros o programas secretos o privados o incluso la lectura de las cabeceras de
paquetes para desvelar la identidad de uno o más de los usuarios implicados en una
comunicación observada ilegalmente.
d Modificación de información: La alteración de información dentro de los sistemas
o mientras viaja por redes de comunicaciones representa un ataque contra la
integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos,
manipular un programa para que funcione de forma diferente o modificar el contenido
de mensajes que están siendo transferidos por la red.
e Creación de información: Si se inyecta información nueva que antes no existía
dentro de un sistema se está atentando contra la seguridad del mismo. Por ejemplo, la
creación de una cuenta inexistente en un banco de Internet o la adición de registros a
una base de datos.
(Alvares & Perez, 2004)
1.1.12. Activos.
Los activos dentro de la seguridad informática son todos los bienes que tiene o posee
una institución o empresa y se los puede agrupar de acuerdo a su grupo o
característica común.
Sabemos que existen un gran número de activos dentro del área de seguridad
informática, entre los que podemos incluir:
• Activos de información: son archivos, bases de datos, documentación del sistema,
manuales de usuarios, material de formación, procedimientos, planes de
continuidad, configuración de soporte, etc.
22
• Activos de software: software de aplicación, software del sistema, herramientas y
programas de desarrollo, etc.
• Activos físicos: equipo de cálculo, equipo de comunicación, etc.
• Servicios: servicios de cálculo y comunicaciones, generales, etc.
• Personas
• Activos intangibles: reputación, imagen de la organización, etc.
(ISOTools Excellence, 2015)
1.1.13. Utilización adecuada de los activos
Para la utilización adecuada de los activos se debe tomar en cuenta lo que manifiesta
(ISOTools Excellence, 2015)
Se debe identificar una regla general, que sea aceptable, para que los activos
asociados a las instalaciones del procesamiento de la información sean identificados,
documentados e implantados.
Todos los trabajadores, internos o externos, y las terceras personas implicadas tienen
que seguir ciertas reglas para utilizar de forma aceptable la información y los activos
que se encuentran asociados a las instalaciones del procesamiento de información, en
las que se incluyen:
• Las reglas mediante correo electrónico y la utilización de internet.
• Guías de uso de aparatos móviles, especialmente fuera de las instalaciones de la
organización.
Todas las reglas específicas o guías, establecidas por la norma ISO-27001, tienen que
estar provistas por parte gerencia de una forma relevante. Los trabajadores,
contratistas y clientes que utilizan o tienen acceso a los activos de la empresa tienen
que encontrarse al tanto de los límites que existen para utilizar la información de la
empresa y de todos los activos que se asocian con las instalaciones de procesamiento
de información y recursos. Ellos tienen que ser los responsables de utilización de
cualquier recurso del procesamiento de información y de cualquier otra utilización
parecida bajo su responsabilidad.
23
Aunque la responsabilidad debe mantenerse en el propietario asignado al activo de
información, el o las personas encargadas de monitorear los activos son los
corresponsables en vigilar dichos activos.
1.1.14. Seguridad de los activos.
Los Elementos de información son todos los componentes que contienen, mantienen o
guardan información. Dependiendo de la literatura, también son llamados Activos o
Recursos.
Son estos los Activos de una institución que tenemos que proteger, para evitar su
perdida, modificación o el uso inadecuado de su contenido, para impedir daños para
nuestra institución y las personas presentes en la información.
Generalmente se distingue y dividen en tres grupos.
• Datos e Información: son los datos e informaciones en sí mismo
• Sistemas e Infraestructura: son los componentes donde se mantienen o guardan
los datos e informaciones
• Personal: son todos los individuos que manejan o tienen acceso a los datos e
informaciones y son los activos más difíciles de proteger, porque son móviles,
pueden cambiar su afiliación y son impredecibles. (Erb, 2009).
1.1.15. Clasificación de seguridad
Se pueden hacer diversas clasificaciones de la seguridad informática en función de
distintos criterios.
Según el activo a proteger, es decir, todos los recursos del sistema de información
necesarios para el correcto funcionamiento de la actividad de la empresa,
distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de
actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el
percance, de tal manera que se eviten los daños en el sistema, o después del
percance, minimizando los efectos ocasionados por el mismo (Ruano, Saiz Herrero,
Fernández Álvarez, & Fernández Aranda, 2010).
Análisis de Amenazas: Los activos están expuestos a amenazas y estas pueden
afectar a los distintos aspectos de la seguridad. A nivel metodológico, se analizará qué
24
amenazas pueden afectar a qué activos. Una vez estudiado, estimar cuán vulnerable
es el activo a la materialización de la amenaza indicando cuán perjudicado resultaría el
valor del activo, así como la frecuencia estimada de la misma, cuán probable o
improbable es que se materialice la amenaza.
1.1.15.1. Amenazas Físicas.
Las amenazas físicas y ambientales afectan a las instalaciones y/o el hardware
contenido en ellas, y suponen el primer nivel de seguridad a proteger para garantizar
la disponibilidad de los sistemas y estos pueden ser:
• Robos, sabotajes, destrucción de sistemas. Cortes, subidas y bajadas bruscas de
suministro eléctrico.
• Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas
extremas.
• Catástrofes (naturales o artificiales) terremotos, inundaciones, incendios, humo o
atentados de baja magnitud, entre otros.
1.1.15.2. Amenazas Lógicas:
Una amenaza lógica es software o código que de una forma u otra pueden afectar o
dañar a nuestro sistema, creados de forma intencionada para ello, o simplemente por
error (bugs o agujeros). Entre otros encontramos:
Herramientas de seguridad: existen herramientas para detectar y solucionar fallos
en los sistemas, pero se pueden utilizar para detectar esos mismos fallos y
aprovecharlos para atacarlos. Rogueware o falsos programas de seguridad: también
denominados Rogue, FakeAVs, Badware, Scareware, son falsos antivirus o
antiespías.
Puertas traseras o backdoors: los programadores insertan “atajos” de acceso o
administración, en ocasiones con poco nivel de seguridad.
Virus: secuencia de código que se inserta en un fichero ejecutable (denominado
huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace. Los
códigos maliciosos dentro de este grupo se los conoce como malware.
25
Gusano o Worm: programa capaz de ejecutarse y propagarse por sí mismo a
través de redes, normalmente mediante correo electrónico basura o spam.
Troyanos o Caballos de Troya: aplicaciones con instrucciones escondidas de forma
que éste parezca realizar las tareas que un usuario espera de él, pero que realmente
ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el
conocimiento del usuario.
Programas conejo o bacterias: programas que no hacen nada útil, simplemente se
dedican a reproducirse hasta que el número de copias acaba con los recursos del
sistema (memoria, procesador, disco...), produciendo una negación de servicio.
Canales cubiertos: canales de comunicación que permiten a un proceso transferir
información de forma que viole la política de seguridad del sistema; un proceso
transmite información a otros que no están autorizados a leer dicha información.
(Costas Santos, 2014).
1.1.15.3. Amenazas provocadas por las personas.
La mayoría de ataques a nuestro sistema provienen de personas que,
intencionadamente o no, pueden causarnos enormes pérdidas. Generalmente se
tratará de piratas informáticos, ciberdelincuentes, hackers o crackers, que intentan
conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades
del software. Se dividen en dos grandes grupos:
Los atacantes pasivos que fisgonean el sistema, pero no lo modifican o destruyen, y
los activos que dañan el objetivo atacado, o lo modifican en su favor.
Atacantes internos: el propio personal puede producir un ataque intencionado,
nadie mejor conoce los sistemas y sus debilidades, o un accidente causados por un
error o por desconocimiento de las normas básicas de seguridad. Por otro lado ex-
empleados o personas descontentas con la organización pueden aprovechar
debilidades que conocen o incluso realizar chantajes.
Atacantes externos: comúnmente denominados y englobados en el término Hacker,
experto o gurú en aspectos técnicos relacionados con la informática. Personas que les
26
apasionan el conocimiento, descubrir o aprender nuevas cosas y entender el
funcionamiento de éstas. Suele distinguirse entre aquellos cuyas acciones son de
carácter constructivo, informativo o solo intrusivo, o que además lo son de tipo
destructivo, catalogados respectivamente de hackers y crackers, o white hat y black
hat. Recientemente ha aparecido el término, más neutro, grey hat (sombrero gris) que
ocasionalmente traspasan los límites entre ambas categorías. Otros términos y
categorías son:
Pirata informático, ciberdelincuente o delincuente informático: dedicadas a
realizar actos delictivos y perseguidos legalmente: como la copia y distribución de
software, música o películas de forma ilegal, fraudes bancarios o estafas económicas.
Newbie: Hacker novato. Wannaber: Les interesa el tema de hacking pero que por
estar empezando no son reconocidos por la élite.
Lammer o Script-Kiddies: Pretenden hacer hacking sin tener conocimientos de
informática. Sólo se dedican a buscar y descargar programas de hacking para luego
ejecutarlos.
Luser (looser + user): Es un término utilizado por hackers para referirse a los
usuarios comunes, de manera despectiva y como burla.
1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad
Informática.
La metodología PDCA, Planificación – Ejecución – Evaluación – Actuación (en
inglés, PDCA, de Plan-Do-Check-Act) es una secuencia cíclica de actuaciones que se
hacen a lo largo del ciclo de vida de un servicio o producto para planificar su calidad,
en particular en la mejora continua (Métodoss, s/f).
Figura 5 Modelo PHVA aplicado a los procesos del SGSI
Fuente: (INTECO, s/f)
27
Al PDCA se lo puede describir de la siguiente manera:
1.1.16.1 Plan
Establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo
con los proyectados (objetivos o metas). Para determinar el resultado de la confianza,
la integridad y exactitud de la especificación es también una parte de la mejora
almacenada cuando puede comenzar a pequeña escala para probar los posibles
efectos.
1.1.16.2 Desarrollar
Implementar el plan, ejecutar el proceso, hacer el producto. Recopilar datos para el
mapeo y análisis de los próximos pasos “salida” y “set”. Por lo que este paso genera
mucho cuidado porque no puede ser la causa raíz.
1.1.16.3 Check/Evaluación
Los resultados del estudio (medidos y recopilados en el paso anterior “Reproducir”) y
compararlo con los resultados esperados (objetivos establecidos en el “plan” paso)
para determinar cualquier diferencia.
Búsqueda de desviaciones sobre todo en la aplicación del plan y también mira la
adecuación y el alcance del plan permite la ejecución de la etapa siguiente, es decir,
“ACT”.
Gráficos de datos pueden hacer esto mucho más fácil ver tendencias a lo largo de
varios ciclos PDCA y así convertir los datos recogidos en información. La información
es lo que necesita para el siguiente paso “Ajuste”.
1.1.16.4 El Apalancamiento/Set/Ley
Tomar acciones correctivas sobre las diferencias entre los datos reales y previstos.
Analizar las diferencias para determinar sus causas. Determinar dónde para aplicar los
cambios que incluyen la mejora del proceso o producto.
28
Cuando un pase a través de estos cuatro pasos no da lugar a la necesidad de alguna
mejora, el método al que se aplica PDCA puede ser refinado con mayor detalle en la
siguiente iteración del ciclo, o la atención debe ser colocado en una forma diferente en
cualquier etapa del proceso. (Métodoss, s/f)
1.1.17 La norma ISO EIC 27005.
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la
información en una organización, dando soporte particular a los requisitos de un
sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma
ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica
para la gestión del riesgo en la seguridad de la información. Corresponde a la
organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo
del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se
puede utilizar una variedad de metodologías existentes bajo la estructura descrita en
esta norma para implementar los requisitos de un sistema de gestión de seguridad de
la información.
1.1.18 Objeto Y Campo De Aplicación
Esta norma brinda soporte a los conceptos generales que se especifican en la norma
ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la
seguridad de la información con base en el enfoque de gestión del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologías que se
describen en la norma ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total
comprensión de esta norma.
Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas
comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden
gestionar los riesgos que podrían comprometer la seguridad de la información de la
organización.
(Osorio, 2013)
1.1.19 Términos Y Definiciones
Para los propósitos de este documento, se aplican los términos y definiciones de las
normas ISO/IEC 27001 e ISO/IEC 27002 y las siguientes:
29
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos causando
así daño a la organización.
NOTA Se mide en términos de una combinación de la probabilidad de que suceda un
evento y sus consecuencias.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar
acción para retirarse de dicha situación.
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo
entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las
consecuencias de un riesgo
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos causando
así daño a la organización.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar
acción para retirarse de dicha situación.
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo
entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las
consecuencias de un riesgo.
Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia
de un riesgo.
(Osorio, 2013)
30
1.1.20 Estructura De Esta Norma
Esta norma contiene la descripción de los procesos para la gestión del riesgo en la
seguridad de la información y sus actividades.
La gestión del riesgo en la seguridad de la información debería ser un proceso
continuo. Tal proceso debería establecer el contexto, evaluar los riesgos, tratar los
riesgos utilizando un plan de tratamiento para implementar las recomendaciones y
decisiones. La gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las
posibles consecuencias, antes de decidir lo que se debería hacer y cuando hacerlo,
con el fin de reducir el riesgo hasta un nivel aceptable.
La gestión del riesgo en la seguridad de la información debería contribuir a:
• la identificación de los riesgos;
• La evaluación de los riesgos en términos de sus consecuencias para el negocio y
la probabilidad de su ocurrencia;
• La comunicación y entendimiento de la probabilidad y las consecuencias de estos
riesgos;
• El establecimiento del orden de prioridad para el tratamiento de los riesgos;
• La priorización de las acciones para reducir la ocurrencia de los riesgos;
• La participación de los interesados cuando se toman las decisiones sobre gestión
del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo;
• La eficacia del monitoreo del tratamiento del riesgo;
• El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de
riesgos;
• La captura de información para mejorar el enfoque de la gestión de riesgos;
• La educación de los directores y del personal acerca de los riesgos y las acciones
que se toman para mitigarlos.
31
Figura 6 Proceso de gestión del riesgo en la seguridad de la información
Fuente: Proyecto de norma técnica colombiana.
Como se observa en el gráfico N° 6 el proceso de gestión del riesgo en la seguridad
de la información puede ser iterativo para las actividades de valoración del riesgo y/o
de tratamiento del riesgo. Un enfoque iterativo para realizar la valoración del riesgo
puede incrementar la profundidad y el detalle de la valoración en cada iteración. El
enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el
esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos
altos se valoren de manera correcta.
La norma ISO/IEC 27001 especifica que los controles implementados dentro del
alcance, los límites y el contexto de SGSI se deben basar en el riesgo. La aplicación
de un proceso de gestión del riesgo en la seguridad de la información puede satisfacer
este requisito. Existen muchos enfoques mediante los cuales se puede implementar
exitosamente el proceso en una organización. La organización debería utilizar
cualquier enfoque que se ajuste mejor a sus circunstancias para cada aplicación
específica del proceso.
32
1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática.
La seguridad informática es el área de las tecnologías de Información y comunicación
que se encarga de la protección de la infraestructura y equipos tecnológicos y
fundamentalmente la información como el activo más importante de las empresas o
instituciones públicas o privadas. Para ello existen una serie de estándares, normas,
métodos, reglas, herramientas con el afán de contrarrestar o minimizar los posibles
riesgos a la infraestructura tecnológica o a la información.
La seguridad informática es la disciplina que se encarga de analizar y diseñar las
normas, procedimientos, métodos y técnicas encaminadas a lograr que los activos e
información se mantengan seguros y confiables.
En importante determinar que la seguridad informática no es un producto, es un
proceso que se va desarrollando de acuerdo a las necesidades y características de las
empresas o instituciones en las que se van implementando, teniendo como objetivo
principal precautelar lo más importante que tiene una institución o empresa que es su
información.
1.3 Valoración crítica.
Una vez realizada la investigación bibliográfica correspondiente del Marco Teórico, en
lo referente a seguridad informática, las amenazas, las vulnerabilidades, los tipos de
ataques y a lo que se comprometen diariamente los activos informáticos de cualquier
organización, es imprescindible la implementación de un Sistema de Gestión de
Seguridad Informática (SGSI), teniendo en cuenta para ello los lineamientos
establecidos en los estándares y normativas internacionales cuya valides está
sustentada rigurosamente por los organismos y organizaciones creadas para el efecto.
Desde este enfoque, la aplicación de las normas ISO 27000 y específicamente la
norma ISO-IEC 27001 permite desarrollar un plan de Gestión de la Seguridad
Informática tomando en cuenta los factores de amenazas lógicos, físicas y de usuarios
internos y externos con la implementación de controles que están especificados en las
políticas de seguridad, porque la información está considerada el activo más valioso
de toda organización.
33
1.4 Conclusiones parciales del capítulo.
• A través del marco teórico como elemento fundamental de ampliar los
conocimientos de las temáticas que tiene el objeto de investigación, permite tener
una perspectiva más extensa y poder enfocarse de mejor manera para dar una
solución más adecuada a los impases suscitados.
• El proceso de la seguridad informática debe ser considerado como imprescindible
en la gestión de las empresas, ya que de este depende la confidencialidad,
integridad y disponibilidad de los datos.
• Es importante considerar tanto la seguridad lógica como física para prever a través
de gestión de riesgos y vulnerabilidad de los activos la recuperación inmediata
mitigando los daños que se puedan producir en los mismos.
• Permite conocer los posibles riesgos que están expuestos los activos y la
información, para establecer planes de recuperación y mitigación con los cuales la
empresa continuara en el tiempo.
34
CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA.
2.1 Caracterización del sector.
2.1.1 GAD Cantonal de Pastaza.
El presente trabajo de investigación se realizó en la Provincia de Pastaza, Cantón
Pastaza, Parroquia Puyo, en el Gobierno Autónomo descentralizado del Cantón
Pastaza (GAD-CP), haciendo de este estudio el punto de partida donde se determina
la necesidad de diseñar un plan de Seguridad Informática basado en la Norma IEC-
ISO 27001 para mitigar y contrarrestar cualquier acto en contra de la información y los
activos de la institución, sea este realizado intencionalmente o no en forma interna o
externa.
2.1.1.1 Organigrama Estructural
El GAD Cantonal de Pastaza cuenta con el siguiente Organigrama Estructural.
Figura 7 Orgánico Estructural
Fuente: GADM Pastaza
35
2.1.1.2 Políticas Generales de Acción
El GAD Cantonal de Pastaza desarrollará las siguientes políticas de acción durante el
presente ejercicio financiero 2017:
• Actualización y expedición de los catastros de contribuyentes de los tributos y
rentas municipales que determina la ley.
• Alcanzar el mayor rendimiento de las fuentes de financiamiento, procurar a la vez el
ordenamiento racional y lógico del costo municipal.
• Procurar el ordenamiento urbanístico del cantón, mejorar e incrementar los
servicios públicos de la comunidad, a la vez que mantener en buen estado los
existentes.
• Revisar y actualizar lo que corresponde a la Legislación Tributaria Municipal.
• Continuar en forma permanente y vigilada la actualización computarizada de los
diferentes sistemas, especialmente en lo que se refiere al predial urbano a base de
las inscripciones y los permisos de demolición y/o construcción de edificaciones.
• Propender a mejorar el sistema económico - administrativo del Cabildo para
fortificar las finanzas y alcanzar una eficiente racionalización administrativa.
• Organización actualizada de los registros tributarios que estará bajo la supervisión y
responsabilidad de la Sección de Rentas.
• Puesta en marcha de los procesos de recuperación de cartera vencida efectivizar el
cobro de los títulos pendientes, actividades que se desarrollarán con la supervisión
del director Financiero y bajo la responsabilidad de la Tesorería Municipal.
• Se continuará con la legalización de la tenencia de la tierra a favor de los actuales
posesionarios en las zonas periféricas urbanas cumpliendo de esta manera de
contenido social y creando a la vez potenciales fuentes de tributación.
36
• Ampliación de los formularios, corrección de procedimientos administrativos e
incorporación de las diferentes áreas que todavía no están computarizadas a fin de
brindar un servicio más eficiente a la colectividad.
2.1.1.3 Objetivos Estratégicos
Los Objetivos y las funciones de la Entidad están en concordancia a la Ley Orgánica
de Régimen Municipal y de las disposiciones constantes en el Presupuesto Municipal,
aprobadas por la Entidad y las metas propuestas en los planes de trabajo,
programadas por el Pleno del Concejo, previo el visto bueno del ejecutivo principal,
siendo entre otras las siguientes:
• Planificar, programar, coordinar, ejecutar y evaluar de manera participativa el
desarrollo cantonal y formular los correspondientes planes de ordenamiento
territorial, articulando con la planificación nacional, regional, provincial y parroquial,
en el marco de la plurinacionalidad y respeto a la diversidad, con el fin de promover
el desarrollo integral sostenible del cantón Pastaza.
• Implementar el Plan de Desarrollo y Ordenamiento Territorial, tendientes a
fortalecer, equilibrar y cualificar los servicios municipales, para garantizar el uso
sostenible de los recursos naturales y el buen vivir.
• Contribuir al fortalecimiento del desarrollo social sostenible del Cantón, para
mejorar la calidad de vida de la población, promoviendo el desarrollo de sus
capacidades, a través de una participación ciudadana.
• Fomentar e impulsar la conservación integral del medio ambiente del cantón
Pastaza, mediante la ejecución de un sistema de gestión ambiental continuo y
dinámico, que permita potenciar la biodiversidad amazónica.
• Potenciar al cantón Pastaza, como destino turístico atractivo, diferenciado y de
calidad, mediante estrategias inspiradas en la sostenibilidad capaces de reconciliar
la rentabilidad económica con la conservación del patrimonio cultural, natural e
histórico.
• Gestionar la cooperación Internacional, para coadyuvar al progreso del Cantón
Pastaza.
37
• Emprender en actividades de evaluación a las actividades y tareas cumplidas por
los servidores de las diferentes dependencias de la Institución en procura del
mejoramiento de los servicios reclamados por los contribuyentes.
• Ejecutar obras de infraestructura en beneficio de la colectividad especialmente, las
relacionadas con la dotación del sistema de Agua Potable y Alcantarillado,
Mejoramiento Vial Urbano, Regeneración Urbana, Construcción y Mantenimiento de
calles, plazas, avenidas y demás espacios públicos.
Para el eficiente cumplimiento de los objetivos propuestos por el Concejo, ha adoptado
como política de acción, la presupuestación pragmática de sus recursos a fin de
utilizarlos con estricta sujeción a sus disponibilidades y en el concerniente a la
elaboración de los programas que beneficien en forma directa a la colectividad,
mediante la ejecución de las obras. Para lograr los objetivos propuestos la Ilustre
Municipalidad adoptará la política de acción sucesiva, establecidos las prioridades
planificadas por los respectivos departamentos municipales, para lo que creemos
oportuno seguir activando aún más nuestras propias recaudaciones ya que contamos
con los medios tecnológicos, y humanos necesarios.
2.1.1.4 MISIÓN
Formular políticas y administrar procesos que promuevan el buen vivir, mediante un
esquema de gestión pública, con la participación ciudadana, el fortalecimiento del
espacio público, el desarrollo integral, equitativo y sostenible del área urbana y rural,
por medio de la articulación y coordinación política, priorizando siempre la parte
humana.
2.1.1.5 VISIÓN
Ser reconocida como una Institución eficiente, con un equipo humano capacitado,
modelo de gestión participativo, honesto y solidario, que provee a la población
servicios de calidad; generando oportunidades de desarrollo y bienestar, donde todos
trabajemos y vivamos con dignidad.
38
2.1.1.6 Objetivo
Transformar al cantón en un espacio geográfico desarrollado en todos los aspectos,
con la finalidad de que sus habitantes podamos vivir y trabajar con dignidad, bajo el
principio de honestidad y solidaridad, comprometidos con todas las organizaciones,
nacionalidades, instituciones y ciudadanía en general.
1. Incrementar la cobertura y calidad de los servicios municipales en el cantón Pastaza
2. Incrementar el desarrollo sustentable del territorio cantonal
3. Incrementar la transparencia de la gestión municipal
4. Incrementar la eficiencia operacional en la municipalidad
5. Incrementar el desarrollo del talento humano en la municipalidad
6. Incrementar la efectividad de la gestión financiera en la municipalidad.
2.2 Descripción del Procedimiento Metodológico.
2.2.1 Modalidad de Investigación.
2.2.1.1 Cualitativa
Para lograr un mayor conocimiento acerca del Objeto de Investigación y su Campo de
Acción, se utilizó la modalidad cualitativa, en donde a través de la realización de una
entrevista al Director de Departamento de las TIC´s y al Oficial de Seguridad
Informática se pudo conocer la gestión de las políticas aplicadas en torno a la
Seguridad Informática aplicadas a los Activos e Información del Gobierno Autónomo
Descentralizado del Cantón Pastaza.
2.2.1.2 Cuantitativa.
Se aplicó la investigación cuantitativa para lograr a través de las encuestas conocer el
estado del objeto de investigación y poder proyectarse de acuerdo al análisis de los
datos numéricos, cuál es su situación y contrastar con la información lograda en la
entrevista i detectar cuales son los puntos más débiles en cuanto al campo de acción.
39
2.2.2 Tipos de Investigación.
2.2.2.1 Investigación Bibliográfica
Este tipo de investigación permitió conocer y profundizar diferentes enfoques, teorías,
conceptualizaciones de diversos autores sobre una cuestión determinada, basándose
en información de la WEB, libros y otros documentos que fueron necesarios en este
proceso y que constituyeron base fundamental de la información primaria.
2.2.2.2 Investigación de Campo
La investigación de campo permitió recolectar la información necesaria en el mismo
lugar de los hechos, donde se circunscribe el objeto de investigación que es el GAD
Municipal Pastaza, para conocer y tener la información de primera mano acerca de la
Gestión de Seguridad Informática en la Institución.
2.2.3 Métodos de Investigación
2.2.3.1 Método Inductivo/Deductivo
El método Inductivo/Deductivo se aplicó porque a través de la base de conceptos y
definiciones del marco teórico, permitió conocer más a profundidad el impacto positivo
que podría tener al pasar de la parte teórica a la práctica en la gestión de la seguridad
de la Información y los Activos del GAD Cantonal de Pastaza.
2.2.4 Técnicas de Investigación
2.2.4.1 La Entrevista.
Para el presente trabajo de investigación, fue necesario e imprescindible realizar la
entrevista como técnica fundamental para la obtención de información de primera
mano, la cual fue aplicada al Director del Departamento de las TIC´s y al Oficial
encargado de Seguridad Informática del GAD Cantonal de Pastaza.
2.2.4.2 La Encuesta
Con el afán de recabar información que refleje la situación actual de los Procesos de
Seguridad Informática en el GAD Cantonal de Pastaza, y con la finalidad de realizar un
40
diagnóstico inicial de la problemática, se optó por aplicar la técnica de la encuesta al
personal que labora con la información sensible de la institución, dichos cuestionarios,
permitieron la recolección de datos en forma dinámica y específica, permitiendo
encausar los distintos problemas presentados en Gestión de Seguridad Informática.
2.2.4.3 Observación
Permitió verificar directamente en el sitio, la forma en la que se desarrolla el trabajo en
relación a la Gestión de Seguridad Informática.
2.2.5 Instrumentos de Investigación.
Los instrumentos utilizados en la investigación son:
a) Hoja de ítems de la encuesta.
b) Guía de entrevista.
c) Guía de observación.
2.2.6 Población y Muestra.
2.2.6.1 Población.
La población con la cual cuenta la institución se presenta en la siguiente tabla.
Tabla 1 Población de la Investigación.
Población y muestra Cantidad
Director del Departamento de las TIC´s 1
Oficial encargado de Seguridad 1
Personal que utiliza Equipos Tecnológicos 152
TOTAL 154
41
2.2.6.2 Muestra.
Para la realización de la investigación se calculó la muestra la misma que servirá para
la realización de la encuesta, para lo cual no se ha tomado en cuenta a los
funcionarios del Departamento delas TIC´s, porque a ellos se les aplico una entrevista.
𝑚 =𝑃
(𝑃 − 1) ∗ 𝑒2 + 1
E = 0,05
𝑚 =152
(152 − 1) ∗ 0,052 + 1
m = 110
42
2.2.7 Análisis e Interpretación de Resultados.
1. ¿La estructura tecnológica del GAD municipal de Pastaza mantiene una
seguridad informática?
Tabla 2 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Si 38 34,55%
No 42 38,18%
No sé 30 27,27%
Total 110 100,00%
Figura 8 Encuesta a empleados
Interpretación
El 34,55 % de empleados de la Institución afirma que la estructura del GAD municipal
de Pastaza mantiene una seguridad informática, el 38,18 % asevera que no existe
mientras que el 27,27 % no da ninguna información.
34,55%
38,18%
27,27%
Si
No
No sé
43
2. ¿conoce usted si existen políticas de seguridad en el área informática.
Tabla 3 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Si 41 37,27%
No 34 30,91%
No sé 35 31,82%
Total 110 100,00%
Figura 9 Encuesta a empleados
Interpretación
El 37,27% de Empleados encuestados afirma que existen políticas de seguridad en el
área informática, el 30,91% lo niega mientras que el 31,82% desconoce su existencia.
37,27%
30,91%
31,82%
Si
No
No sé
44
3. Se dispone de una adecuada disponibilidad de la información en el momento
que se requiera.
Tabla 4 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 83 75,45%
A veces 27 24,55%
Nunca. 0 0,00%
Total 110 100,00%
Figura 10 Encuesta a empleados.
Interpretación
El 75,45% de los encuestados aseguran que cuentan de una adecuada disponibilidad
de la información en el momento que se requiera mientras el 24,55% asegura que el
acceso solo lo tienen esporádicamente.
75,45%
24,55%0,00%
Siempre.
A veces
Nunca.
45
4. ¿Se permite el acceso a la información sólo a personas debidamente
autorizadas?
Tabla 5 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 23 20,91%
A veces 36 32,73%
Nunca. 51 46,36%
Total 110 100,00%
Figura 11 Encuesta a empleados
Interpretación
El 20,91% asegura que se permite el acceso a la información sólo a personas
debidamente autorizadas, el 32,73% afirma que frecuentemente se permite mientras
que el 46,36% certifica que no existe restricciones.
20,91%
32,73%
46,36%Siempre.
A veces
Nunca.
46
5. ¿El GAD Cantonal de Pastaza cuenta y actualiza el inventario de activos
donde existen los responsables de su custodia?
Tabla 6 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 63 57,27%
A veces 47 42,73%
Nunca. 0 0,00%
Total 110 100,00%
Figura 12 Encuesta a empleados.
Interpretación
El 57,27% de los encuestados aseguran que perennemente el GAD Cantonal de
Pastaza cuenta y actualiza el inventario de activos donde existen los responsables de
su custodia, mientras que el 42,73% afirma que esto se da ocasionalmente.
57,27%
42,73%
0,00%
Siempre.
A veces
Nunca.
47
6. ¿Usuarios y trabajadores de área respetan los reglamentos y políticas
estipuladas dentro del departamento TIC´s?
Tabla 7 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 48 43,64%
A veces 62 56,36%
Nunca. 0 0,00%
Total 110 100,00%
Figura 13 Encuesta a empleados.
Interpretación
El 43,64% asegura que siempre los usuarios y trabajadores de área respetan los
reglamentos y políticas estipuladas dentro del departamento TIC´s mientras que el
56,36% atestigua que solo se da ocasionalmente.
43,64%
56,36%
0,00%
Siempre.
A veces
Nunca.
48
7. ¿Se han instalado equipos que protejan la información y los dispositivos en
caso de variación de voltaje como: Reguladores de voltaje, supresores de
picos, UPS, generador de energía?
Tabla 8 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 78 70,91%
A veces 26 23,64%
Nunca. 6 5,45%
Total 110 100,00%
Figura 14 Encuesta a empleados
Interpretación
El 70,91% de encuestados afirman que se han instalado equipos que protejan la
información y los dispositivos en caso de variación de voltaje como: Reguladores de
voltaje, supresores de picos, UPS, generador de energía, el 23,64% aseguran que a
veces, mientras que el 5,45% asevera que no.
70,91%
23,64%
5,45%
Siempre.
A veces
Nunca.
49
8. ¿Se mantiene programas y procedimientos de detección e inmunización de
virus en copias no autorizadas o datos procesados en otros equipos?
Tabla 9 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 49 44,55%
A veces 61 55,45%
Nunca. 0 0,00%
Total 110 100,00%
Figura 15 Encuesta a empleados
Interpretación:
El 44,55% de los encuestados afirman que se mantiene programas y procedimientos
de detección e inmunización de virus en copias no autorizadas o datos procesados en
otros equipos, mientras que el 55,45% afirma que se da ocasionalmente.
44,55%
55,45%
0,00%
Siempre.
A veces
Nunca.
50
9. ¿Existen restricciones cuando se navega por Internet?
Tabla 10 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 46 41,82%
A veces 41 37,27%
Nunca. 23 20,91%
Total 110 99,99%
Figura 16 Encuesta a empleados
Interpretación
El 41,82% de los encuestados afirman que existen restricciones cuando se navega por
Internet, el 37,27% afirma que existe ocasionalmente, mientras que el 20,91% niega la
existencia de restricciones.
41,82%
37,27%
20,91%
Siempre.
A veces
Nunca.
51
10. ¿En algún momento dentro de sus actividades que realiza en la institución,
ha sufrido perdida, deterioro, infección de virus o robo de su información?
Tabla 11 Encuesta a Empleados.
Respuestas Resultados
Frecuencia Porcentaje
Siempre. 37 33,64%
A veces 48 43,64%
Nunca. 25 22,72%
Total 110 100,00%
Figura 17 Encuesta a empleados
Interpretación:
El 33,64% de los encuestados aseguran que en algún momento dentro de sus
actividades que realiza en la institución, ha sufrido perdida, deterioro, infección de
virus o robo de su información, el 43,64% asevera que ocurre ocasionalmente,
mientras que el 22,73% nunca ha tenido este problema.
33,64%
43,64%
22,73%
Siempre.
A veces
Nunca.
52
2.2.8 Análisis de la entrevista al Ing. Adrián Pacheco Director del departamento
de TIC´s
1. ¿El gobierno local tiene un plan de seguridad informática donde todos los
empleados lo conocen y lo cumplen adecuadamente?
La institución cuenta con un manual de trabajo del área de informática (TIC´s) el cual
no abarca todo lo relacionado a la seguridad informática, sino más bien el
cumplimiento de ciertas disposiciones legales que se debe cumplir porque lo demanda
la legislación actual.
2. ¿El antivirus de las máquinas es un software centralizado, actualizado y
gestionado a menudo?
Se mantiene un antivirus centralizado que se actualiza y protege la información que se
encuentra en los servidores y otro en los diferentes puestos de trabajo el cual se lo
gestiona y actualiza en un periodo aproximado de 2 semanas.
3. ¿La seguridad en los pasword de los usuarios cumple requisitos
mínimos (¿combinación de mayúsculas, minúsculas, símbolos?)?
Se establece los pasword que cumplan con lo establecido en combinación con lo
anteriormente determinados.
4. ¿Se realiza una auditoría de seguridad de forma regular?
No se realiza regularmente, sino en forma esporádica cuando se tiene indicios de
algún problema o dificultad para poder solucionarla y continuar con el trabajo
establecido en cada departamento.
5. ¿Los datos de la institución están cubiertos por una copia de seguridad
robusta y administrada regularmente?
Se extrae las copias de seguridad regularmente según lo establecido en el manual y
se las guarda en el lugar dedicado para el efecto donde solo ingresa el personal que
labora en el departamento de las TIC´s, pero no todos tienen acceso a esa
información.
53
6. ¿Se conciencia a los usuarios de la institución del riesgo que entraña el uso
de sus propios dispositivos (BYOD), o se les da una formación para que
tengan un mínimo de conocimientos?
El gobierno Autónomo no permite que los trabajadores realicen sus trabajos en sus
propios dispositivos, sino que la institución les provee de los recursos tecnológicos
para que realicen sus tareas en el mismo lugar de trabajo, y no realizarlo desde otro
lugar distinto al asignado.
2.3 Propuesta del investigador
De acuerdo a los resultados obtenidos en las técnicas de recolección de datos como
son las encuestas y entrevistas con las personas involucradas en el departamento de
TIC´s, es necesario contar con un Plan de Seguridad Informática que permita proteger
el activo más importante de la institución que es su información, como también los
bienes informáticos del GAD Cantonal de Pastaza.
El plan de Seguridad Informática que se pretende desarrollar se lo debe realizar de
acuerdo a lo que estipula la norma ISO 27001:2013 para lo cual se debe documentar y
formalizar todo el proceso.
2.4 Conclusiones parciales del capítulo.
• En el GAD Cantonal de Pastaza no existe una cultura organizacional, por lo que no
se ha indicado a cada usuario que responsabilidad tienen cuando se ejecuta una
acción, y las consecuencias por no precautelas los equipos custodiados y la
información que manejan en cada uno de ellos.
• Al no contar con políticas se cometen muchas anomalías de forma inconsciente,
las que pueden perjudicar a los activos y la información que se maneja o genera.
• El desconocimiento de las políticas de seguridad que existen en la institución, ha
permitido que personas ajenas a esas dependencias ingresen a los equipos y
manipulen alguna información o prueben memorias extraíbles infectando muchas
veces a los equipos y comprometiendo la información.
54
CAPITULO III.
MARCO PROPOSITIVO
3.1 Tema
Plan de Seguridad Informático basado en estándar ISO-IEC 27001 para proteger la
Información y Activos del GAD Cantonal de Pastaza
3.1.1 Objetivos de la Propuesta.
3.1.1.1 Objetivo General.
Realizar un plan de seguridad Informática Basado en estándar ISO-IEC 27001 para
proteger la información y activos del GAD Cantonal de Pastaza.
3.1.1.2 Objetivos Específicos.
• Preparar políticas de seguridad basado en la norma IEC/ISO 27001 para el GAD
Cantonal de Pastaza.
• Desarrollar una matriz que permita determinar la gestión de riesgo
• Elaborar el plan de seguridad informática para activos e información.
3.1.1.3 Descripción de la Propuesta
La presente propuesta está orientada al desarrollo de un plan de seguridad informática
que permita la integridad, confidencialidad y alta disponibilidad de la información
basada en el parámetro de la norma ISO 27001.
La información al ser un recurso que, como el resto de los activos, tiene valor para la
empresa y por consiguiente debe ser debidamente protegida, garantizando la
continuidad de los sistemas de información, minimizando los riesgos de daño y
contribuyendo de esta manera, a una mejor gestión del GAD Cantonal de Pastaza.
55
Para que estos principios sean positivos, resulta necesaria la implementación de una
Política de Seguridad de la Información que forme parte de la cultura organizacional de
GAD Cantonal de Pastaza, lo que implica que se debe contar con el compromiso de
todos los funcionarios involucrados de una manera u otra en las TIC´s, para contribuir
en la difusión, consolidación y cumplimiento de esta normativa.
3.2 Dominios de la norma ISO 27001.
La norma ISO-27001, tiene como objetivo la salvaguardia de la información de una
organización impidiendo que ésta se pierda, proporcionando la certeza a las mismas
de la continuidad de los servicios prestados en situaciones de riesgo.
Los objetivos contemplados en la norma ISO 27001 de los dominios de la información
a valuar se muestran de forma resumida a continuación:
• El dominio de la Política de Seguridad para facilitar a las organizaciones, conforme
a los requisitos legales e institucionales, la gestión de la seguridad en la
información.
• El dominio en la Organización de la Seguridad de la Información a través de un
marco relacionado que ayuda a la misma a implantar y controlar la seguridad de la
información en la entidad.
• El dominio en la Gestión de Activos para la seguridad de los mismos en la entidad.
• El dominio de la Seguridad física para la salvaguarda de la información y las
instalaciones de la entidad a través por ejemplo de controles de llegada.
• El dominio de la Gestión de las comunicaciones y operaciones mediante la
creación de una serie de procedimientos que garanticen la seguridad de la
información.
• El dominio del Control de Llegada para asegurar los sistemas de información.
• El dominio en la consecución, desarrollo y sostenimiento de los sistemas de
información.
56
• El dominio en la Gestión de accidentes en la seguridad de la información mediante
la mejora constante y progresiva de la gestión de seguridad.
• El dominio de la Gestión de la Continuidad del Negocio con la finalidad de asegurar
el encadenamiento operativo del negocio.
1. El dominio en el Cumplimiento de los requisitos legales aplicables.
3.3 Análisis de la Situación Actual
El GAD Cantonal de Pastaza, objeto de este proyecto está dedicado a ofrecer
servicios a los ciudadanos del cantón, por ello se debe considerar que, en la
actualidad las amenazas más importantes contra de la información, la encontramos
dentro de la misma institución donde se labora, ya sea por accesos indebidos o no
autorizados a los sistemas realizados principalmente por los empleados de la misma
institución.
Se debe tener en cuenta además los ataques de virus informáticos que son
ocasionados intencionalmente o por desconocidos de los mismos empleados al
ingresar memorias extraíbles o al instalar posibles softwares que les permitirán
mejorar el rendimiento de los equipos.
En las diferentes conversaciones mantenidas con algunos de los miembros de la
organización, se sienten preocupados más por los agentes internos que por los
externos factor por el cual es necesario realizar el estudio y dar respuesta satisfactoria
a estos interrogantes.
3.3.1 Análisis FODA de la Institución.
Se realizó el análisis FODA al GAD Cantonal de Pastaza, con el objetivo de visualizar
su situación actual, la cual permitió diagnosticar el aspecto informático institucional,
con el propósito de tomar decisiones, concernientes a la propuesta.
Las fortalezas y debilidades se obtuvieron, realizando un análisis interno en la
empresa con las personas involucradas en el área informática. Para el análisis de
oportunidades y las amenazas se consideraron los posibles agentes externos que
57
puedan influenciar en ésta, tratando de puntualizar las de mayor relevancia para que el
resultado sea el más idóneo.
Tabla 12 Matriz del análisis FODA
Fortalezas Debilidades
• Equipos informáticos en buen
estado.
• Cobertura del internet en todas las
dependencias.
• Ancho de banda adecuado a sus
necesidades.
• Ambiente laboral adecuado.
• Predisposición de las autoridades
en dar mayor presupuesto.
• Predisposición del área informática
en aplicar políticas de seguridad.
• Falta de políticas de Seguridad
Informática.
• No existe controles de seguridad
de acceso.
• Falta seguridad en el centro de
servidores.
• Escaso personal para dar soporte y
monitoreo.
• Libre acceso a equipos e
información.
• Los procesos con que cuenta la
institución no son documentados
Oportunidades Amenazas
• Implementación del estándar ISO
27001.
• Implemento de nuevas tecnologías.
• Mejorar la capacitación de los
involucrados en las TIC´s.
• Existencia en el mercado de
herramientas para la mejora de la
seguridad.
• Desastres naturales como
terremoto.
• Inestabilidad y cortes de la energía
eléctrica.
• Incendios.
• Incremento de delitos informáticos.
58
3.3.2 Evaluación de la Situación Actual.
Para la realización de la evaluación de la situación actual se utilizo la herramienta
Microsoft Security Assessment Tool (MSAT). Esta herramienta está diseñada para
ayudar a las organizaciones a evaluar los puntos débiles de su entorno de seguridad
de TI. Presenta un listado de cuestiones ordenadas por prioridad, así como orientación
específica para minimizar esos riesgos. MSAT permite fortalecer la seguridad de su
entorno informático y de su negocio de manera fácil y efectiva.
El objetivo de la herramienta es cubrir la mayor cantidad posible de áreas de riesgo del
entorno empresarial y no mide la efectividad de las medidas de seguridad empleadas,
sino que proporciona una guía preliminar sobre la cual desarrollar la línea a seguir en
áreas específicas que requieren una mayor atención. Está diseñada para ayudar a
identificar y abordar los riesgos de seguridad en un entorno tecnológico determinado.
Su evaluación se basa en los siguientes parámetros.
• Índice de defensa de profundidad (DiDi): (Defense-in-Depth Index) Medida de
las defensas de seguridad utilizadas en el personal, los procesos y la
tecnología para contribuir a reducir los riesgos identificados en una empresa.
Tiene una puntuación de 0 a 100. Una puntuación más alta significa un entorno
donde han tomado más medidas para implementar estrategias de defensa.
• Perfil de riesgos para la empresa (BRP): El BRP mide el riesgo asociado a la
forma en que el cliente está llevando a cabo sus negocios o interactuando con
otras empresas o clientes. Se centra principalmente en riesgos técnicos u
operativos. Si el resultado obtenido en el BRP es alto, indica que el cliente está
realizando operaciones en un entorno de alto riesgo, tiene una competencia muy
fuerte o bien sus sistemas, herramientas o procesos están siendo amenazados
directa e indirectamente. BRP ayuda a identificar esos riesgos y ofrece unos
valores de referencia sobre los que comparar los resultados obtenidos por el
Defense-in-Depth Index (DiDI).
• AoAs: Áreas de análisis que son la infraestructura, las aplicaciones,
operaciones, y la gente.
59
3.3.3 Evaluación general
En el análisis realizado, la figura 18, está dividido en áreas, donde se muestran las
diferencias en el resultado de la defensa en profundidad. La barra azul muestra el
nivel de riesgo al que está expuesto El GAD Cantonal de Pastaza y la medida
violeta muestra el nivel de controles que se han incluido considerando defensa en
profundidad.
Es mejor contar con una calificación de DiDI del mismo nivel que otra de BRP para la
misma categoría. Un desequilibrio, ya sea dentro de una categoría o entre categorías,
en cualquier dirección, puede indicar la necesidad de volver a alinear sus inversiones
de TI.
3.3.4 Perfil de riesgos para la empresa vs Índice de defensa en profundidad
Informe resumido
Figura 18 Distribución de defensa de riesgos
3.3.4.1 Madurez de la seguridad
La madurez de la seguridad incluye los controles (tanto físicos como técnicos), la
competencia técnica de los recursos informáticos, las directivas, los procesos y las
prácticas sostenibles. La madurez de la seguridad se puede medir únicamente a
través de la capacidad de la empresa para utilizar de forma eficaz las herramientas
60
disponibles de forma que se cree un nivel de seguridad sostenible a lo largo de
muchas disciplinas. Debe establecerse una línea de partida de la madurez de la
seguridad y usarse para definir las áreas en las que centrar los programas de
seguridad de la empresa. No todas las empresas deben esforzarse por alcanzar el
nivel óptimo, pero todas deben evaluar en qué punto se encuentran y determinar el
lugar que deberían ocupar en vista de los riesgos comerciales a los que se enfrentan.
Por ejemplo, puede que una empresa con un entorno de bajo riesgo no necesite nunca
subir encima del límite superior del nivel básico o el límite inferior del nivel estándar.
Las empresas con un entorno de alto riesgo probablemente entren de lleno en el nivel
optimizado. Los resultados del perfil de riesgos para la empresa le permiten hacer un
balance de los riesgos.
Madurez de la seguridad. Una medida de las prácticas de una empresa con respecto
a las mejores prácticas de la industria para la seguridad sostenible. Todas las
empresas deben esforzarse en alinear su nivel de madurez y estrategia de seguridad
asociada, en relación a los riesgos que conlleva su actividad comercial:
Básica. Algunas medidas eficaces de seguridad utilizadas como primer escudo
protector; respuesta de operaciones e incidentes aún muy reactiva
Estándar. Capas múltiples de defensa utilizadas para respaldar una estrategia
definida
Optimizada. Protección efectiva de los asuntos de forma correcta y garantía de la
utilización del mantenimiento de las mejores prácticas recomendadas
Leyenda:
Cumple las mejores prácticas Necesita mejorar Carencias severas
62
Como se puede observar en la tarjeta de puntuación, en la sección Aplicaciones,
debemos poner atención en los puntos relacionados a la implementación y uso de
aplicaciones, equilibrio de cargas, aplicación y recuperación de datos, fabricante de
software independiente, desarrollo intermitente, vulnerabilidades entre otros.
La tabla N° 13 presenta las áreas que no cumplen las mejores prácticas
recomendadas y deben dirigirse a aumentar la seguridad del entorno del GAD
Cantonal de Pastaza.
3.3.5 Iniciativas de seguridad
Las siguientes áreas no cumplen las mejores prácticas recomendadas y deben
dirigirse a aumentar la seguridad de su entorno. Las secciones Detalles de la
evaluación y Lista de acciones recomendadas de este informe incluyen más detalles,
como resultados, mejores prácticas y recomendaciones.
Tabla 13 Iniciativas de seguridad
Prioridad alta Prioridad intermedia Prioridad baja
• Inalámbrico
• Segmentación
• Usuarios de acceso
remoto
• Seguridad física
• Creación segura
• Evaluaciones de
seguridad
• Validación de datos de
entrada
• Usuarios
administrativos
• Reglas y filtros de
cortafuegos
• Antivirus
• Host de gestión-
Servidores
• Host de gestión -
Dispositivos de red
• Protocolos y servicios
• Copias de seguridad
• Antivirus - Equipos de
escritorio
Fuente: Evaluación realizada utilizando la herramienta MSAT
63
3.4 PDCA Ciclo Miding
Para establecer y planificar un Sistema de Gestión de la Seguridad de la Información
en base al estándar de la ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en
los sistemas de gestión de la calidad.
Figura 20 PDCA Proceso Miding.
Fuente: (Frayssinet, s/f)
3.4.1 Alcance del SGSI:
El Plan de Gestión de Seguridad de la Información del GAD Cantonal de Pastaza
abarca todas las áreas, procesos, servicios e información vital para garantizar la
disponibilidad de los servicios que la Municipalidad presta, tanto a nivel interno como a
nivel externo; asegurando la confidencialidad, integridad y disponibilidad de los
servicios y los sistemas de información existentes.
Por ello, se hará énfasis en aquellos activos que, por su valor en relación a la
disponibilidad de los sistemas de información y los servicios puedan ser susceptibles a
64
sufrir riesgos de seguridad, y a su vez puedan comprometer el objetivo general de la
Municipalidad.
• Activos de Información (Dirección de Informática). Bases de datos, documentos
del sistema, manuales de usuario, procedimientos documentados, información
archivada en medios digitales o impresos.
• Documentos legales (Síndico). Contratos con proveedores, contratistas,
Empleados, Obreros relacionados con los procesos críticos.
• Activos de Software (Dirección de Informática). De aplicación, del sistema
operativo, nuevos desarrollos que puedan exponer información crítica de la
Institución.
• Activos de Hardware (Dirección de Informática). Servidores de aplicación, de
base de datos, web, de respaldo, PC.
3.4.2 Políticas Generales
a) Garantizar la disponibilidad de los Sistemas de Información administrativos.
b) Garantizar el funcionamiento de estos sistemas y así apoyarlos con las actividades
de Soporte Técnico.
c) Minimizar el hurto de partes y piezas de los equipos de computación que se utilizan
para el manejo de los sistemas de información administrativos y financieros.
d) Asegurar que los contribuyentes y público en general, tengan acceso a los
servicios que se prestan dentro del GAD Cantonal.
e) Asegurar la confidencialidad, integridad y la disponibilidad, de la información para
garantizar los servicios que presta el GAD Cantonal.
65
f) Garantizar que la información que la Alcaldía maneja o que está contenida en los
equipos de computación, sólo sea accedida por sus propietarios o por personal
autorizado.
g) Asegurar que el desarrollo de software esté dentro de los parámetros de calidad
utilizando para ello los estándares necesarios.
3.4.3 Metodología para evaluación de riesgos
Existen numerosas metodologías estandarizadas para la evaluación de riesgos y la
organización puede optar por una de ellas, aplicar una combinación de varias o crear
la suya propia. ISO 27001 no impone ninguna metodología para que cada
organización pueda aplicar la que estime más oportuno y funcional según el esfuerzo
de análisis y recursos que pueda aplicar (ISO27000.ES, n.d.).
3.4.4 Identificación y evaluación de activos.
Se debe realizar un inventario antes del diseño de la política, porque es necesario
identificar y evaluar, aspectos fundamentales con los cuales opera la institución, para
lo cual, se analizarán los activos y la información.
De conformidad a la norma 27005 se debe realizar las siguientes fases:
3.4.4.1 Identificación de activos informáticos
El inventario de activos informático fue proporcionado por el departamento de
TIC´s del GAD Cantonal de Pastaza, mismo que se describen a continuación.
66
Detalle técnico de los servidores.
Tabla 14 Servidor Administrativo.
Datos Generales
Fecha de la
compra 1/6/2005 Fecha actual 18/02/2011
Tiempo de Trabajo
17 días 8 meses 5 años
Departamento SERVIDORE
S Usado para
SERVIDOR ADMINISTRATIVO
N° Personas que la usan
1
Nombre del
Equipo SERVERAD
M Dominio de
trabajo Responsable
del PC Ing. Cristian
Riofrio
Hardware del Equipo
Tipo PC Escritorio Procesador 2 INTEL XEON 3,0
GHZ Memoria 4GB
Estado M Estado M Estado M
MainBoard Intel CD-Rom/DVD-
Rom CD-Rom
Unidades Adicionales
Estado M Estado M Estado M
Disco Duro 4 DD SCI 320 GB
Mouse Genius Parlantes
Estado M Estado M Estado
Teclado HP Tarjeta
Adicional Marca/Armada HP
Estado M Estado
Monitor SAMSUNG Impresora Nombre PC ANTV
Estado M Estado
Software Instalado
Sistema
Operativo Win Server 2003 Stad
Sistema Cliente/Servido
r Ofimática M. Office 2007
Estado B Estado Estado M
Antivirus K Utilitarios Drivers del PC
S/N
Estado M Estado Estado
Otros Otros Otros
Estado M Estado Estado
Soporte
Respaldos de
Información
Uso de Flash, CD o DVD
SI IP 172.18.x.xx
Observaciones.-
CPU 008-01-01-
0143 1500
MONITOR 008-02-01-
0143 50
IMPRESORA
Estado: M = Muy bueno B = Bueno R =
Regular X = Malo Observación 1= Espacio/cables 2= Software 3=
Hardware Combinar #
AntiVirus: K = Kaspersky M = Malwarebytes
CC = Ccleaner
Información recopilada el:
Fuente GAD Municipal de Pastaza.
67
Tabla 15 Servidor de Sistema de Información Geográfica.
Datos Generales
Fecha de la
compra 1/6/2005 Fecha actual 18/02/2011
Tiempo de Trabajo
17 días 8 meses 5 años
Departamento SERVIDORE
S Usado para SERVIDOR GIS
N° Personas que la usan
1
Nombre del
Equipo SERVERGIS
Dominio de trabajo
Responsable del PC
Ing. Cristian Riofrio
Hardware del Equipo
Tipo PC Escritorio Procesador 2 INTEL XEON
3,0 GHZ Memoria 4GB
Estado M Estado M Estado M
MainBoard Intel CD-Rom/DVD-
Rom CD-Rom
Unidades Adicionales
Estado M Estado M Estado M
Disco Duro 4 DD SCI 320
GB Mouse Genius Parlantes
Estado M Estado M Estado
Teclado HP Tarjeta
Adicional Marca/Armada HP
Estado M Estado
Monitor Impresora Nombre PC ANTV
Estado M Estado
Software Instalado
Sistema
Operativo Win Server 2003 Stad
Sistema Cliente/Servidor
Ofimática M. Office 2007
Estado B Estado Estado M
Antivirus K Utilitarios Drivers del PC
S/N
Estado M Estado Estado
Otros Otros Otros
Estado M Estado Estado
Soporte
Respaldos de
Información
Uso de Flash, CD o DVD
SI IP 172.18.x.xx
Observaciones.-
CPU 008-01-01-
0144 1500
MONITOR
IMPRESORA
Estado: M = Muy bueno B = Bueno R =
Regular X = Malo Observación 1= Espacio/cables 2= Software
3= Hardware Combinar #
AntiVirus: K = Kaspersky M = Malwarebytes
CC = Ccleaner
Información recopilada el:
Fuente GAD Municipal de Pastaza.
68
Tabla 16 Servidor web
Datos Generales
Fecha de la
compra 1/6/2005 Fecha actual 18/02/2011
Tiempo de Trabajo
17 días 8 meses 5 años
Departamento SERVIDORE
S Usado para
SERVIDOR WEB
N° Personas que la usan
1
Nombre del
Equipo SERVERGIS
Dominio de trabajo
Responsable del PC
Ing. Cristian Riofrio
Hardware del Equipo
Tipo PC Escritorio Procesador INTEL XEON
3,0 GHZ Memoria 4GB
Estado M Estado M Estado M
MainBoard Intel CD-Rom/DVD-
Rom CD-Rom
Unidades Adicionales
Estado M Estado M Estado M
Disco Duro 4 DD SCI 320
GB Mouse Genius Parlantes
Estado M Estado M Estado
Teclado HP Tarjeta
Adicional Marca/Armada HP
Estado M Estado
Monitor Impresora Nombre PC ANTV
Estado M Estado
Software Instalado
Sistema
Operativo Win Server 2003 Stad
Sistema Cliente/Servidor
Ofimática M. Office 2007
Estado B Estado Estado M
Antivirus K Utilitarios Drivers del PC
S/N
Estado M Estado Estado
Otros Otros Otros
Estado M Estado Estado
Soporte
Respaldos de
Información
Uso de Flash, CD o DVD
SI IP 172.18.x.xx
Observaciones.-
CPU 008-01-01-
0145 1500
MONITOR
IMPRESORA
Estado: M = Muy bueno B = Bueno R =
Regular X = Malo Observación 1= Espacio/cables 2= Software
3= Hardware Combinar #
AntiVirus: K = Kaspersky M = Malwarebytes
CC = Ccleaner
Información recopilada el:
Fuente GAD Municipal de Pastaza.
69
Tabla 17 Detalle servidor de archivos.
Fecha de la compra
1/6/2005 Fecha actual 18/02/2011 Tiempo de
Trabajo 17 días 8 meses
5 años
Departamento SERVIDORES Usado para SERVIDOR DE
ARCHIVOS N° Personas que
la usan 1
Nombre del Equipo
SERVERFILES Dominio de
trabajo Responsable del
PC Ing. Cristian
Riofrio
Tipo PC Escritorio Procesador INTEL P III 3,0
GHZ Memoria 1GB
Estado M Estado M Estado M
MainBoard Intel CD-Rom/DVD-
Rom CD-Rom
Unidades Adicionales
Estado M Estado M Estado M
Disco Duro 4 DD SCI 320
GB Mouse Genius Parlantes
Estado M Estado M Estado
Teclado HP Tarjeta Adicional Marca/Armada HP
Estado M Estado
Monitor Impresora Nombre PC
Estado M Estado
Sistema Operativo Win Server 2003 Stad
Sistema Cliente/Servidor
Ofimática M. Office 2007
Estado B Estado Estado M
Antivirus K Utilitarios Drivers del PC
S/N
Estado M Estado Estado
Otros Otros Otros
Estado M Estado Estado
Respaldos de Información
Uso de Flash, CD
o DVD SI IP 172.18.x.xx
CPU 008-01-01-0146 600
MONITOR 50
IMPRESORA
Estado: M = Muy bueno B = Bueno R = Regular X = Malo
Observación 1= Espacio/cables 2= Software 3= Hardware Combinar #
AntiVirus: K = Kaspersky M = Malwarebytes CC = Ccleaner
Información recopilada el:
Fuente GAD Municipal de Pastaza.
70
Tabla 18 Equipos en las Diferentes Oficinas y Departamentos
Departamentos PC-
Escritorio PC-Portátil
Impresoras Copiadora Scanner
Plotter Proyector TOTAL,
PC
Administrativo 6 1 2 7
Secretaría General 3 2 3
Proveeduría 4 2 4
Personal 2 1 2
Jurídico 8 2 8
Obras Públicas 14 5 14
Turismo 5 1 2 6
Desarrollo Local 7 1 4 1 8
Recaudación 5 5 5
Tesorería 3 2 3
Rentas 3 1 3
Sistemas 2 3 2 2 5
Avalúos y Catastros 19 2 1 19
Planificación 24 2 3 1 1 26
Financiero 10 7 10
Auditoria Interna 2 1 2
Proyecto AGIP 2 1 2
Alcaldía 1 1 1 2
Antivirus 1 1
Compras Publicas 4 1 4
Registro de la Propiedad 12 2
12
Seguridad Ciudadana 2 1
2
SERVIDORES 4 4
TOTAL 143 8 45 2 4 152
Fuente GAD Municipal de Pastaza.
71
Comparación de equipos
Tabla 19 Tiempo de vida de los equipos
Comparación de Equipos Cantidad
Menor a un año 25
1 año 21
2 años 34
3 años 18
5 años 49
6 años 2
7 años 2
9 años 1
TOTAL 152
Fuente GAD Cantonal de Pastaza.
Figura 21 Tiempo de vida de los equipos.
Fuente GAD Cantonal de Pastaza.
05
101520253035404550
Menor aun año
1 año 2 años 3 años 5 años 6 años 7 años 9 años
2521
34
18
49
2 2 1
Comparación de Equipos
72
Equipos conectados y fuera de red
Tabla 20 Equipos Conectados y fuera de Red.
Red Cantidad
En Red 146
Fuera de Red 6
TOTAL 152
Fuente GAD Cantonal de Pastaza.
Figura 22 Equipos en res y fuera de red
Fuente GAD Cantonal de Pastaza.
0
20
40
60
80
100
120
140
160
En Red Fuera de Red
146
6
Equipos en Red y Fuerea de Red
73
Característica del Hardware (Procesadores)
Tabla 21 Caracteristica de Procesadores
PROCESADORES TOTAL
Core I7 4
Core I3 8
Intel Core 2 Quad 2
Intel Core 2 Duo 42
Intel Dual Core 12
Intel Centrino 7
Intel P4 75
Intel P3 2
TOTALES 152
Fuente GAD Cantonal de Pastaza.
Figura 23 Equipos en res y fuera de red
Fuente GAD Cantonal de Pastaza.
48
2
42
12 7
75
2
PROCESADORES
74
Sistemas Operativos
Tabla 22 Equipos en res y fuera de red
SISTEMAS OPERATIVOS TOTAL
Win XP SP2 77
WIN XP SP3 57
Win 7 32 bits 2
Win 7 64 bits 12
Win Server 2003 Stad 4
TOTALES 152
Fuente GAD Cantonal de Pastaza.
Figura 24 Utilización de Sistemas Operativos.
Fuente GAD Cantonal de Pastaza.
Definir el enfoque de Evaluación de riesgo
Una vez identificados todos los activos de información comprendidos en el alcance y
siguiendo las pautas del estándar ISO 27001:2013 en su sección 4.2.1, donde se
establece que el análisis y evaluación de riesgo se debe efectuar de forma disciplinada
y sistemática, para determinar cuáles de los activos que deben ser protegidos para
mitigar su riesgo, así como también determinar cuál es el riesgo residual (riesgo con el
cual la institución está decidida a convivir), los pasos a seguir en la aplicación son:
WIN XPSP3
Win 7 32bits
Win 7 64bits
Win Server2003 Stad
57
2
124
SISTEMAS OPERATIVOSSISTEMAS OPERATIVOS TOTAL
75
Ponderación de la criticidad de activos.
La ponderación de activos es una etapa en la que se debe determinar en términos
cualitativos la criticidad de los distintos activos. Esta ponderación se realizó en
términos de “alto, medio o bajo” donde se asigna un valor cuantitativo a cada valor
cualitativo, como se muestra en la Tabla 23.
Tabla 23. Ponderación para valorar los activos
Ponderación Calificación
Alto 3
Medio 2
Bajo 1
Tasación de activos
La valoración se la realiza respecto a la confidencialidad, integridad y
disponibilidad de la información, ya que estos son los ejes en los que se basa la
seguridad de la información. La Tabla 24 contiene la tasación del inventario de
activos de información levantados; el valor de tasación es el promedio de los
campos “Criterios de Tasación”.
Tabla 24. Tasación de activos
Activos
Criterios de tasación
Tasación
Confidencialidad Integridad Disponibilidad
Servidor 2 3 3 2,67
Computadores 2 3 3 2,67
Teléfonos 1 1 1 1,00
Impresoras 1 1 2 1,33
Sistema Financiero 3 3 3 3,00
76
Sistema Catastral 3 3 3 3,00
Sistema de Planificación 3 3 3 3,00
Información Financiera 3 3 3 3,00
Correo electrónico 3 2 2 2,33
Sistema operativo 2 3 2 2,33
Información institucional 3 3 3 3,00
Desarrollo de software 2 2 1 1,66
Administrativo 2 2 2 2,00
Departamental 1 1 2 1,33
3.4.5 Identificación de amenazas a los activos de información.
Una amenaza es cualquier causa que pueda infligir daño a un sistema u
organización. Las amenazas pueden clasificarse como:
• Naturales
• Tecnológicas
• Fallas Humanas intencionales
• Fallas Humanas no intencionales
Junto con el Director del Departamento de las TICps del GAD Cantonal de
Pastaza, se determinó que los activos cuya valoración resultó ser mayor de dos
(2), serán los que sirven para identificar las amenazas. En la Tabla 25, se muestra
el listado de las amenazas que están sujetos los activos.
77
Tabla 25 Amenazas de los activos
Activos Amenazas
Servidor
• Interrupción de la red
• Código malicioso (virus, troyano, entre otros)
• Falla o daño del equipo
• Acceso físico no autorizado
• Falla de suministro de energía
Computadores
• Interrupción de la red
• Código malicioso (virus, troyano, entre otros)
• Falla o daño del equipo
• Acceso físico no autorizado
• Falla de suministro de energía
Sistema financiero
• Interrupción del servicio
• Modificación, eliminación, hurto de datos por usuario no autorizado
Sistema Catastral
• Interrupción del servicio
• Perdida de información.
• Modificación, eliminación, hurto de datos por usuario no autorizado
Sistema de Planificación
• Pérdida de información
• Corrupción de la información
• Hurto de la información
Información financiera
• Pérdida de información
• Corrupción de la información
• Hurto de la información
Correo electrónico • Imposibilidad de descargar o enviar mensaje
• Acceso no autorizado a este servicio.
Sistema operativo • Código malicioso (virus, troyano, malware, entre
otros)
Información institucional
• Pérdida de información
• Corrupción de la información
• Hurto de la información
78
Desarrollo de software
• No establecido con los estándares de calidad.
• Sin los requisitos no funcionales bien determinados.
• Sin establecimiento de autoría de desarrollo.
Administrativo
• Pérdida de información
• Corrupción de la información
• Hurto de la información
Departamental
• Pérdida de información
• Corrupción de la información
• Hurto de la información
3.4.6 Ponderación del Impacto de materializarse la amenaza.
La ponderación se la realizó conjuntamente con el personal del Departamento de
las TIC´s, tomando en cuenta el impacto financiero e institucional. Dicha
ponderación se encuentra listada en la Tabla 26.
Tabla 26 Ponderación del impacto en caso de materializarse la amenaza
Ponderación Calificación
Alto 3
Medio 2
Bajo 1
Identificación de vulnerabilidades
La vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un
atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y
consistencia del sistema y/o de sus datos o aplicaciones. Se puede decir que la
vulnerabilidad en sí mismo no causa daño, es simplemente una condición o
conjunto de condiciones que pueden permitir que una amenaza se concrete
afectando o dañando los sistemas e información
La Tabla 27, lista las distintas vulnerabilidades que se evidencian en los activos de
GAD Cantonal de Pastaza.
79
Tabla 27 Vulnerabilidades encontradas
Activos Amenazas Vulnerabilidades
Servidor
Interrupción de la red Cableado estructurado defectuoso
Código malicioso (virus,
troyano, entre otros)
Poco control de actualizaciones de
antivirus licenciados
Falla o daño del equipo Poco mantenimiento
Acceso físico no autorizado Control de acceso inadecuado
Falla de suministro de
energía
Inexistencia de sistema de
alimentación alterno de energía.
Computadores
Interrupción de la red Cableado estructurado defectuoso
Código malicioso (virus,
troyano, entre otros)
Poco control de actualizaciones de
antivirus licenciados
Falla o daño del equipo Poco mantenimiento
Acceso físico no autorizado Control de acceso inadecuado
Falla de suministro de
energía
Inexistencia de sistema de
alimentación alterno de energía
Sistema
financiero
Interrupción del servicio Control de acceso inadecuado
Modificación, eliminación,
hurto de datos por usuario
no autorizado
Control de acceso inadecuado
Sistema
Catastral
Interrupción del servicio Control de acceso inadecuado
Perdida de información Ausencia de políticas de respaldo
Modificación, eliminación,
hurto de datos por usuario Control de acceso inadecuado
80
no autorizado
Sistema de
planificación.
Pérdida de información Ausencia de políticas de respaldo
Corrupción de la información No existe antivirus licenciado
Hurto de la información Control de acceso inadecuado
Información
financiera
Pérdida de información Ausencia de políticas de respaldo
Corrupción de la información No existe antivirus licenciado
Hurto de la información Control de acceso inadecuado
Guías de envío
Pérdida de la guía Ausencia de políticas de respaldo
Corrupción del documento No existe antivirus licenciado
Correo
electrónico
Imposibilidad de descargar o
enviar mensaje No existe antivirus licenciado
Corrupción de archivo No existe antivirus licenciado
Sistema
operativo
Código malicioso (virus,
troyano, entre otros)
No se controla la actualización de
los antivirus licenciados
Información
institucional
Pérdida de información Ausencia de políticas de respaldo
Corrupción de la información No existe antivirus licenciado
Hurto de la información Control de acceso inadecuado
Desarrollo de
Software
No establecido con los
estándares de calidad
No se toma en cuenta los
estándares de calidad
Sin los requisitos no
funcionales bien definidos No hay análisis adecuado.
Sin establecimiento de
auditoria de desarrollo. No hay una auditoria de desarrollo
81
Administrativo
Pérdida de información Ausencia de políticas de respaldo
Corrupción de la información No existe antivirus licenciado
Hurto de la información Control de acceso inadecuado
Departamental
Perdida de la información. Ausencia de políticas de respaldo
Corrupción de la información No existe antivirus licenciado
Hurto de la información. Control de acceso inadecuado.
3.4.6.1 Tasación de la probabilidad de que la amenaza explote la
vulnerabilidad.
La calificación que se muestra en la Tabla 28, los cuales son términos cuantitativos
del 1 al 3, que nos indican que tan probable es que una amenaza se concrete con
una o varias de las vulnerabilidades encontradas.
Tabla 28 Probabilidad de que explote una amenaza
Ponderación Calificación
Alto 3
Medio 2
Bajo 1
Posterior a establecer y listar las amenazas y vulnerabilidades, la norma ISO/IEC
27005 recomienda hacer una calificación del riesgo y al mismo tiempo valorar
cualitativamente la amenaza para analizar posteriormente los controles a
implementar.
3.4.7 Análisis y Evaluación del Riesgo
La Tabla 29 muestra la calificación del riesgo, haciendo un análisis entre las
amenazas y las vulnerabilidades encontradas, esta calificación del riesgo se la
realiza haciendo una multiplicación de la probabilidad por el impacto (PxI).
82
Tabla 29 Calificación del riesgo.
Activos Amenazas Vulnerabilidades
Probabilidad
amenaza
concrete
vulnerabilidad
Impacto de
materializarse
la amenaza
Calificación
del riesgo
PxI
Servidor
Interrupción de la red
Cableado
estructurado
defectuoso
2 2 4
Código malicioso (virus,
troyano, entre otros)
No existe
antivirus
licenciado
2 3 6
Falla o daño del equipo Poco
mantenimiento 1 2 2
Acceso físico no
autorizado
Control de
acceso
inadecuado
1 2 2
Falla de suministro de
energía
Inexistencia de
sistema de
alimentación
alterno
1 3 3
Computadores
Interrupción de la red
Cableado
estructurado
defectuoso
1 2 2
Código malicioso (virus,
troyano, entre otros)
No existe
antivirus
licenciado
2 3 6
Falla o daño del equipo Poco
mantenimiento 1 2 2
Acceso físico no
autorizado
Control de
acceso
inadecuado
1 2 2
Falla de suministro de
energía
Inexistencia de
sistema de
1 3 3
83
alimentación
alterno
Sistema
financiero
Interrupción del servicio
Control de
acceso
inadecuado
2 2 4
Modificación,
eliminación, hurto de
datos por usuario no
autorizado
Control de
acceso
inadecuado
2 2 4
Sistema
Catastral
Interrupción del servicio
Control de
acceso
inadecuado
2 2 4
Modificación,
eliminación, hurto de
datos por usuario no
autorizado
Control de
acceso
inadecuado
2 2 4
Información de
Planificación
Pérdida de información
Ausencia de
políticas de
respaldo
2 3 6
Corrupción de la
información
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Hurto de la información
Control de
acceso
inadecuado
2 2 4
Información
financiera
Pérdida de información
Ausencia de
políticas de
respaldo
2 2 4
Corrupción de la
información
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Hurto de la información Control de 2 2 4
84
acceso
inadecuado
Correo
electrónico
Imposibilidad de
descargar o enviar
mensaje
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Corrupción de archivo
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Sistema
operativo
Código malicioso (virus,
troyano, entre otros)
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Información
institucional
Pérdida de información
Ausencia de
políticas de
respaldo
2 2 4
Corrupción de la
información
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Hurto de la información
Control de
acceso
inadecuado
2 2 4
Desarrollo de
software
No establecido con los
estándares de calidad.
No se toma en
cuenta los
estándares de
calidad
2 2 4
Sin los requisitos no
funcionales bien
determinados
No hay análisis
adecuado. 3 2 6
Sin establecimiento de
autoría de desarrollo
No hay una
auditoria de
2 2 4
85
desarrollo
Administrativo
Pérdida de información Ausencia de
políticas de
respaldo
2 2 4
Corrupción de la
información
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Hurto de la información Control de
acceso
inadecuado
2 2 4
Departamental
Pérdida de información Ausencia de
políticas de
respaldo
2 2 4
Corrupción de la
información
No existe
actualización
periódica del
antivirus
licenciado
2 3 6
Hurto de la información Control de
acceso
inadecuado
2 2 4
3.4.7.1 Opciones para el tratamiento del riesgo
Seleccionar los objetivos de control para el tratamiento de los riesgos.
Luego de identificar, estimar y cuantificar los riesgos, se deben determinar los
objetivos específicos de control y, con relación a ellos, establecer los procedimientos
de control más convenientes, para enfrentarlos de la manera más eficaz.
En la cláusula 4.2.1 (g) de la norma plantea de manera muy precisa que se deben
seleccionar objetivos de control y controles apropiados del estándar ISO 27001:2013:
(a) Aplicar controles apropiados. (b) Aceptar riesgos consistente y objetivamente. (c)
86
Evitar los riesgos. (d) Transferir los riesgos, y la selección se debe justificar sobre la
base de las conclusiones del análisis y evaluación de los riesgos.
En general, aquellos riesgos cuyo coste esté estimado como de baja frecuencia, se
puede asumir el riesgo y tratarlo más tarde. Por el contrario, los que se estiman de alta
frecuencia o costo ALTA es donde se debe tomar medidas. De las opciones
propuestas por la norma se decidió tomar las 2 primeras, por lo que en este caso
serán controlados o asumidos. En consecuencia, se deben proponer controles para
gestionar los riesgos calificados como tasación ALTA. Estos controles se toman de la
ISO/IEC 27002:20013; sin embargo, la norma aclara que los controles propuestos no
son exclusivos y podrían adoptarse otros tipos de controles.
Tabla 30 Mapeo de controles seleccionados
Referencia Control Aplicación
5. POLÍTICAS DE SEGURIDAD
5.1. Directrices de la
Dirección en
seguridad de la
información.
5.1.1. Conjunto de
políticas para la seguridad
de la información.
Definir un conjunto de políticas para la
seguridad de la información, aprobada
por el Departamento, publicada y
comunicada a los empleados y partes
interesadas del GAD Cantonal de
Pastaza.
5.1.2 Revisión de las
políticas para la seguridad
de la información
Realizar acciones preventivas y
correctivas cada vez que se evidencie un
hallazgo
Realizar revisiones periódicas de las
políticas de seguridad
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización
interna.
6.1.1 Asignación de
responsabilidades para la
seguridad de la
información.
Definir y asignar al personal las
responsabilidades de la seguridad de la
información
Documentar y definir los procesos de
asignación y seguridad
6.1.2 Segregación de
tareas.
Garantizar las actividades de seguridad
siguiendo la política de seguridad
87
6.1.3 Contacto con las
autoridades.
Se debe mantener contactos apropiados
con las autoridades pertinentes para
conseguir el apoyo institucional
6.1.4 Contacto con
grupos de interés
especial.
Se deben mantener controles apropiados
con grupos de interés especial u otros
foros y asociaciones profesionales
especializadas en seguridad
6.1.5 Seguridad de la
información en la gestión
de proyectos.
Autorización por la Dirección del
Departamento de TIC´s
Procedimientos documentados para
contactar con los involucrados en los
proyectos
6.2 Dispositivos para
movilidad y
teletrabajo.
6.2.1 Política de uso de
dispositivos para
movilidad.
Adoptar una política y unas medidas de
seguridad de soporte, para gestionar los
riesgos introducidos por el uso de
dispositivos móviles.
6.2.2 Teletrabajo Contar con los privilegios de acceso
remoto
7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS.
7.1 Antes de la
contratación.
7.1.1 Investigación de
antecedentes
Documentar el historial de vida y trabajo
de los involucrados dentro del
departamento de TIC´s
7.1.2 Términos y
condiciones de
contratación.
Los acuerdos contractuales con
empleados y contratistas deben
establecer sus responsabilidades y las de
la organización en cuanto a seguridad de
la información.
7.2 Durante la
contratación.
7.2.1 Responsabilidades
de gestión.
Exigir a todos los empleados y
contratistas la aplicación de la seguridad
de la información de acuerdo con las
políticas y procedimientos establecidos de
la organización.
7.2.2 Concienciación,
educación y capacitación
Capacitación al personal relacionado al
departamento en temas de seguridad de
88
en seguridad de la
información
la información.
Establecer procesos de formación y
concientización, diseñado para presentar
las políticas de seguridad de la
organización
7.2.3 Proceso disciplinario
Se debe contar con un proceso formal y
comunicado para emprender acciones
contra empleados que hayan cometido
una violación a la seguridad de la
información.
7.3 Cese o cambio
de puesto de trabajo.
7.3.1 Cese o cambio de
puesto de trabajo.
Documento de confidencialidad de la
información firmado por el ocupante del
puesto.
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad
sobre los activos.
8.1.1 Inventario de
activos.
Mantener un inventario de activos
actualizado semestralmente.
8.1.2 Propiedad de los
activos.
Identificar el propietario de los activos y el
custodio y documentarlo.
Clasificar los activos por niveles
8.1.3 Uso aceptable de
los activos.
Informar al personal sobre el uso de los
activos
8.1.4 Devolución de
activos.
Todos los empleados y usuarios de
partes externas deben devolver todos los
activos de la organización que se
encuentren a su cargo, al terminar su
empleo, contrato o acuerdo.
Procedimiento que garantice la
transferencia de información al finalizar su
contratación.
8.2 Clasificación de
la información.
8.2.1 Directrices de
clasificación.
Emitir directrices sobre cómo se clasifican
los activos informáticos
89
8.2.2 Etiquetado y
manipulado de la
información.
Desarrollar e implementar un conjunto
apropiado de procedimientos para el
etiquetado de la información, de acuerdo
con el esquema de clasificación de
información adoptado por la organización
8.2.3 Manipulación de
activos.
Generar manuales de configuración de
los activos informáticos
8.3 Manejo de los
soportes de
almacenamiento.
8.3.1 Gestión de soportes
extraíbles.
Responsabilizar a los custodios de la
confidencialidad de los activos de
información
8.3.2 Eliminación de
soportes.
Analizar e identificar los departamentos
que no necesitan soporte de
almacenamiento.
8.3.3 Soportes físicos en
tránsito.
Se deben implementar procedimientos
para la gestión de medios de soporte
removibles, de acuerdo con el esquema
de clasificación adoptado por la
organización.
9. CONTROL DE ACCESOS.
9.1 Requisitos de
negocio para el
control de accesos.
9.1.1 Política de control
de accesos.
Establecer, documentar y revisar una
política de control de acceso con base en
los requisitos del negocio y de seguridad
de la información.
9.1.2 Control de acceso a
las redes y servicios
asociados.
Solo se debe permitir acceso de los
usuarios a la red y a los servicios de red
para los que hayan sido autorizados
específicamente.
9.2 Gestión de
acceso de usuario.
9.2.1 Gestión de
altas/bajas en el registro
de usuarios.
implementar un proceso formal de
registro y de cancelación del registro para
posibilitar la asignación de los derechos
de acceso
9.2.2 Gestión de los
derechos de acceso
asignados a usuarios.
Documentar el derecho de acceso
asignado a los usuarios
90
9.2.3 Gestión de los
derechos de acceso con
privilegios especiales.
Establecer para cada tipo de activo los
privilegios otorgados de acuerdo a la
evaluación de riesgos asociada.
9.2.4 Gestión de
información confidencial
de autenticación de
usuarios.
Mantener un registro del acceso e
identificación de usuarios actualizándolo
periódicamente.
9.2.5 Revisión de los
derechos de acceso de
los usuarios.
Los dueños de los activos deben revisar
los derechos de acceso de los usuarios a
intervalos regulares.
9.2.6 Retirada o
adaptación de los
derechos de acceso
De acuerdo a las políticas, retirar o
adaptar los derechos de acceso y
documentar los mismos.
9.3
Responsabilidades
del usuario.
9.3.1 Uso de información
confidencial para la
autenticación.
Definir políticas de seguridad para
usuarios de los equipos.
Las contraseñas predeterminadas se
cambian inmediatamente después de la
instalación de los sistemas o del software
Las contraseñas temporales se
suministran de forma segura a los
usuarios
9.4 Control de
acceso a sistemas y
aplicaciones.
9.4.1 Restricción del
acceso a la información.
Garantizar que los datos de salida de los
sistemas de aplicación que manejan
información sensible solo contengan la
información pertinente para el uso de la
salida y que se envía únicamente a
terminales o sitios autorizados.
9.4.2 Procedimientos
seguros de inicio de
sesión.
Cuando lo requiere la política de control
de acceso, el acceso a sistemas y
aplicaciones se debe controlar mediante
un proceso de conexión segura.
9.4.3 Gestión de
contraseñas de usuario.
Autorizar a un funcionario la gestión de
contraseñas de usuarios, lo cual se lo
realice documentadamente.
91
9.4.4 Uso de
herramientas de
administración de
sistemas.
Restringir y controlar estrechamente el
uso de programas utilitarios que podrían
tener capacidad de anular el sistema y los
controles de las aplicaciones.
9.4.5 Control de acceso al
código fuente de los
programas
Previa autorización documentada se
podrá acceder al código fuente de los
programas.
10. CIFRADO.
10.1 Controles
criptográficos.
10.1.1 Política de uso de
los controles
criptográficos.
Se debe desarrollar e implementar una
política sobre el uso de controles
criptográficos para protección de
información.
10.1.2 Gestión de claves.
Se debe desarrollar e implementar una
política sobre el uso, protección y tiempo
de vida de claves criptográficas, durante
todo su ciclo de vida.
11. SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
11.1.1 Perímetro de
seguridad física.
Controlar el acceso autorizado a los
perímetros y locales de los equipos.
11.1.2 Controles físicos
de entrada.
Definir controles físicos, técnicos y
organizacionales para cada activo
11.1.3 Seguridad de
oficinas, despachos y
recursos.
Establecer el reglamento y las normas
sobre las actividades y procesos
informáticos
11.1.4 Protección contra
las amenazas externas y
ambientales.
Definir un plan de respuesta para cada
tipo de efecto que pudiera causar
amenaza externa
Suministrar equipos apropiados contra las
amenazas ambientales
11.1.5 El trabajo en áreas
seguras.
Se deben diseñar y aplicar
procedimientos para trabajo en áreas
seguras
11.1.6 Áreas de acceso Se deben controlar los puntos de acceso
92
público, carga y descarga. tales como áreas de despacho y de carga
y otros puntos en donde pueden entrar
personas no autorizadas, y si es posible,
aislarlos de las instalaciones de
procesamiento de información para evitar
el acceso no autorizado.
11.2 Seguridad de
los equipos.
11.2.1 Emplazamiento y
protección de equipos.
Los equipos deben estar ubicados y
protegidos para reducir los riesgos de
amenazas y peligros ambientales y las
posibilidades de acceso no autorizado
11.2.2 Instalaciones de
suministro.
Los equipos se deben proteger de fallas
de potencia y otras interrupciones
causadas por fallas en los servicios
públicos de soporte
11.2.3 Seguridad del
cableado.
11.2.4 Mantenimiento de
los equipos.
Los equipos se deben mantener
correctamente para asegurar su
disponibilidad e integridad continuas.
11.2.5 Salida de activos
fuera de las
dependencias de la
empresa.
Los equipos, información o software no se
deben retirar de su sitio sin autorización
previa
11.2.6 Seguridad de los
equipos y activos fuera de
las instalaciones.
Se deben aplicar medidas de seguridad a
los activos que se encuentran fuera de los
predios de la organización, teniendo en
cuenta los diferentes riesgos de trabajar
fuera de dichos predios.
11.2.7 Reutilización o
retirada segura de
dispositivos de
almacenamiento.
Se deben verificar todos los elementos de
equipos que contengan medios de
almacenamiento para asegurar que
cualquier dato confidencial o software con
licencia haya sido retirado o sobre escrito
en forma segura antes de su disposición
o reúso.
11.2.8 Equipo informático Los usuarios deben asegurarse de que el
93
de usuario desatendido. equipo sin supervisión tenga la protección
apropiada.
11.2.9 Política de puesto
de trabajo despejado y
bloqueo de pantalla.
Se debe adoptar una política de escritorio
limpio para los papeles y medios de
almacenamiento removibles, y una
política de pantalla limpia para las
instalaciones de procesamiento de
información.
12. SEGURIDAD OPERATIVA.
12.1Responsabilidad
es y procedimientos
de operación.
12.1.1 Documentación de
procedimientos de
operación.
Los procedimientos operativos se deben
documentar y poner a disposición de
todos los usuarios que los necesitan.
12.1.2 Gestión de
cambios.
12.1.3 Gestión de
capacidades.
12.1.4 Separación de
entornos de desarrollo,
prueba y producción.
Se deben separar los ambientes de
desarrollo, ensayo y operativos, para
reducir los riesgos de acceso o cambios
no autorizados al ambiente operacional.
12.2 Protección
contra código
malicioso.
12.2.1 Controles contra el
código malicioso.
Se deben implementar controles de
detección, de prevención y de
recuperación, combinarlos con la toma de
conciencia apropiada de los usuarios,
para proteger contra códigos maliciosos.
12.3 Copias de
seguridad.
12.3.1 Copias de
seguridad de la
información.
Hacer copias de respaldo de la
información, software e imágenes de los
sistemas y ponerlas a prueba
regularmente de acuerdo con una política
de copias de respaldo acordadas.
12.4 Registro de
actividad y
supervisión.
12.4.1 Registro y gestión
de eventos de actividad.
Monitorear los cambios de configuración
en los sistemas
12.4.2 Protección de los
registros de información.
Las instalaciones y la información de
registro se deben proteger contra
94
alteración y acceso no autorizado.
12.4.3 Registros de
actividad del
administrador y operador
del sistema.
Las actividades del administrador y del
operador del sistema se deben registrar y
los registros se deben proteger y revisar
con regularidad.
12.4.4 Sincronización de
relojes.
Los relojes de todos los sistemas de
procesamiento de información pertinentes
dentro de una organización o ámbito de
seguridad se deben sincronizar con una
única fuente de referencia de tiempo
12.5 Control del
software en
explotación.
12.5.1 Instalación del
software en sistemas en
producción.
Comprobar el licenciamiento antes de la
instalación de software en sistemas de
producción.
12.6 Gestión de la
vulnerabilidad
técnica.
12.6.1 Gestión de las
vulnerabilidades técnicas.
Establecer un cuadro de control o cuadro
de mando que evidencie los riesgos
asociados a la organización.
12.6.2 Restricciones en la
instalación de software.
Instalación de corta fuego y asignación de
privilegios a cada usuario conforme a su
perfil o cargo.
12.7Consideraciones
de las auditorías de
los sistemas de
información.
12.7.1 Controles de
auditoría de los sistemas
de información.
Realizar trimestralmente una auditoría
interna por los procesos de seguridad que
se han implementado.
13. SEGURIDAD EN LAS TELECOMUNICACIONES.
13.1 Gestión de la
seguridad en las
redes.
13.1.1 Controles de red.
13.1.2 Mecanismos de
seguridad asociados a
servicios en red.
13.1.3 Segregación de
redes.
13.2 Intercambio de
información con
partes externas.
13.2.1 Políticas y
procedimientos de
intercambio de
información.
Se debe contar con políticas,
procedimientos y controles de
transferencia formales para proteger la
transferencia de información, mediante el
95
uso de todo tipo de instalaciones de
comunicaciones.
13.2.2 Acuerdos de
intercambio.
Los acuerdos deben tratar la
transferencia segura de información del
negocio entre la organización y las partes
externas.
13.2.3 Mensajería
electrónica.
Se debe proteger apropiadamente la
información incluida en los mensajes
electrónicos
13.2.4 Acuerdos de
confidencialidad y
secreto.
Se deben identificar, revisar regularmente
y documentar los requisitos para los
acuerdos de confidencialidad o no
divulgación que reflejen las necesidades
de la organización para la protección de
la información.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
DE INFORMACIÓN.
14.1 Requisitos de
seguridad de los
sistemas de
información.
14.1.1 Análisis y
especificación de los
requisitos de seguridad.
Verificar las amenazas, riesgos y
vulnerabilidades asociados a la
organización
Establecer una propuesta para disminuir
el riesgo.
14.1.2 Seguridad de las
comunicaciones en
servicios accesibles por
redes públicas.
14.1.3 Protección de las
transacciones por redes
telemáticas.
14.2 Seguridad en
los procesos de
desarrollo y soporte.
14.2.1 Política de
desarrollo seguro de
software.
Establecer políticas para el desarrollo
seguro de software a través de los
estándares de calidad.
14.2.2 Procedimientos de
control de cambios en los
Los cambios a los sistemas dentro del
ciclo de vida de desarrollo de software y
96
sistemas. de sistemas a los desarrollos dentro de la
organización.
14.2.3 Revisión técnica
de las aplicaciones tras
efectuar cambios en el
sistema operativo.
Cuando se cambian las plataformas de
operación, se deben revisar las
aplicaciones críticas del negocio, y poner
a prueba para asegurar que no haya
impacto adverso en las operaciones o
seguridad organizacionales.
14.2.4 Restricciones a los
cambios en los paquetes
de software.
Controlar documentadamente el cambio
en los paquetes de software.
14.2.5 Uso de principios
de ingeniería en
protección de sistemas.
Se deben establecer, documentar y
mantener principios para la organización
de sistemas seguros, y aplicarlos a
cualquier trabajo de implementación de
sistemas de información
14.2.6 Seguridad en
entornos de desarrollo.
Establecer y proteger adecuadamente los
ambientes de desarrollo seguros para las
tareas de desarrollo e integración de
sistemas que comprendan todo el ciclo de
vida de desarrollo de sistemas.
14.2.7 Externalización del
desarrollo de software.
Supervisar y hacer seguimiento de la
actividad de desarrollo de sistemas
subcontratados
14.2.8 Pruebas de
funcionalidad durante el
desarrollo de los
sistemas.
Durante el desarrollo se deben llevar a
cabo ensayos de funcionalidad de la
seguridad
14.2.9 Pruebas de
aceptación.
Para los sistemas de información nuevos,
actualizaciones y nuevas versiones se
deben establecer programas de ensayo y
criterios relacionados.
14.3 Datos de
prueba.
14.3.1 Protección de los
datos utilizados en
pruebas
Los datos de ensayo se deben
seleccionar, proteger y controlar
cuidadosamente manteniendo la
97
confidencialidad.
15. RELACIONES CON SUMINISTRADORES.
15.1 Seguridad de la
información en las
relaciones con
suministradores.
15.1.1 Política de
seguridad de la
información para
suministradores.
15.1.2 Tratamiento del
riesgo dentro de acuerdos
de suministradores.
15.1.3 Cadena de
suministro en tecnologías
de la información y
comunicaciones.
15.2 Gestión de la
prestación del
servicio por
suministradores.
15.2.1 Supervisión y
revisión de los servicios
prestados por terceros.
Las organizaciones deben hacer
seguimiento, revisar y auditar con
regularidad la prestación de servicios de
los proveedores.
15.2.2 Gestión de
cambios en los servicios
prestados por terceros
Se deben gestionar los cambios en el
suministro de servicios por parte de los
proveedores, incluido el mantenimiento y
la mejora de las políticas, procedimientos
y controles de seguridad de la
información existentes, teniendo en
cuenta la criticidad de la información,
sistemas y procesos del negocio
involucrados y la reevaluación de los
riesgos.
16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.
16.1 Gestión de
incidentes de
seguridad de la
información y
mejoras.
16.1.1 Responsabilidades
y procedimientos.
Se deben establecer las
responsabilidades y procedimientos de
gestión para asegurar una respuesta
rápida, eficaz y ordenada a los incidentes
de seguridad de la información.
16.1.2 Notificación de los
eventos de seguridad de
Los eventos de seguridad de la
información se deben informar a través de
98
la información. los canales de gestión apropiados tan
pronto como sea posible.
16.1.3 Notificación de
puntos débiles de la
seguridad.
Se debe exigir a todos los empleados y
contratistas que usan los servicios y
sistemas de información de la
organización, que se observen e informen
cualquier debilidad de seguridad de la
información observada o sospechada en
los sistemas o servicios.
16.1.4 Valoración de
eventos de seguridad de
la información y toma de
decisiones.
Los eventos de seguridad de la
información se deben evaluar y se debe
decidir si se van a clasificar como
incidentes de seguridad de la información.
16.1.5 Respuesta a los
incidentes de seguridad.
Se debe dar respuesta a los incidentes de
seguridad de la información de acuerdo
con procedimientos documentados.
16.1.6 Aprendizaje de los
incidentes de seguridad
de la información.
El conocimiento adquirido al analizar y
resolver incidentes de seguridad de la
información se debe usar para reducir la
posibilidad o el impacto de incidentes
futuros.
Evaluar los incidentes de seguridad.
16.1.7 Recopilación de
evidencias
La organización debe definir y aplicar
procedimientos para la identificación,
recolección, adquisición y preservación
de información que pueda servir como
evidencia
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de
la seguridad de la
información.
17.1.1 Planificación de la
continuidad de la
seguridad de la
información.
Se debe determinar los requisitos para la
seguridad de la información y la
continuidad de la gestión de seguridad de
la información en situaciones adversas,
por ejemplo, durante una crisis o
desastres.
99
17.1.2 Implantación de la
continuidad de la
seguridad de la
información.
La organización debe establecer,
documentar, implementar y mantener
procesos, procedimientos y controles
para asegurar el nivel de continuidad
requerido para la seguridad de la
información durante una situación
adversa.
17.1.3 Verificación,
revisión y evaluación de
la continuidad de la
seguridad
de la información.
La organización debe verificar a intervalos
regulares los controles de continuidad de
la seguridad de la información
implementados con el fin de asegurar que
los válidos y eficaces durante situaciones
adversas.
17.2 Redundancias.
17.2.1 Disponibilidad de
instalaciones para el
procesamiento de la
información
Las instalaciones de procesamiento de
información se deben implementar con
redundancia suficiente para cumplir los
requisitos de disponibilidad.
18. CUMPLIMIENTO.
18.1 Cumplimiento
de los requisitos
legales y
contractuales.
18.1.1 Identificación de la
legislación aplicable.
Se deben identificar, documentar y
mantener actualizados explícitamente
todos los requisitos legislativos
estatutarios, de reglamentación y
contractuales pertinentes, y el enfoque de
la organización para cada sistema de
información y para la organización
18.1.2 Derechos de
propiedad intelectual
(DPI).
Implementar procedimientos apropiados
para asegurar el cumplimiento de los
requisitos legislativos, de reglamentación
y contractuales relacionados con los
derechos de propiedad intelectual y el uso
de productos de software licenciados.
18.1.3 Protección de los
registros de la
organización.
Los registros se deben proteger contra
pérdida, destrucción, falsificación, acceso
no autorizado y liberación no autorizada,
de acuerdo con los requisitos legislativos,
de reglamentación, contractuales y de
100
negocio.
18.1.4 Protección de
datos y privacidad de la
información personal.
Establecer el documento de seguridad de
conformidad con la legislación de
protección de datos personales.
18.1.5 Regulación de los
controles criptográficos.
18.2 Revisiones de
la seguridad de la
información.
18.2.1 Revisión
independiente de la
seguridad de la
información.
El enfoque de la organización para la
gestión de la seguridad de la información
y su implementación (es decir, los
objetivos de control, los controles, la
políticas, los procesos y los
procedimientos para seguridad de la
información se deben revisar
independientemente a intervalos
planificados o cuando ocurran cambios
significativos.
18.2.2 Cumplimiento de
las políticas y normas de
seguridad.
El Director debe revisar con regularidad el
cumplimiento del procesamiento y
procedimientos de información dentro de
su área de responsabilidad, con las
políticas y normas de seguridad
apropiadas y cualquier otro requisito de
seguridad.
18.2.3 Comprobación del
cumplimiento.
3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza
1.- Antecedentes.
Este documento es la síntesis del estudio que se realizó previamente para determinar
los parámetros básicos que se deben tomar en cuenta en la elaboración del Plan de
seguridad Informática.
101
2.- Objetivo.
Elaborar un Plan de seguridad informática basado en el estándar ISO 27001 para el
GAD Cantonal de Pastaza, y fomentar la cultura de la seguridad informática en los
empleados del Gobierno Cantonal.
3.- Alcance
El Plan de Seguridad Informática debe mitigar y controlar los Riesgos de Seguridad y
Privacidad de la Información como también proveer los mecanismos necesarios para
identificar, analizar, evaluar y tratar de manera adecuada los riesgos asociados a los
activos e información del GAD Cantonal de Pastaza.
Ámbito de aplicación
El presente plan de seguridad es aplicable en el GAD Cantonal de Pastaza
Requisitos de calidad aplicable
Este Plan de Seguridad da cumplimiento a los lineamientos establecidos en la Norma
ISO/IEC 27001-2013
Definiciones
Los siguientes términos y definiciones que se encuentran en el presente documento
están Basados en la Norma ISO 27000.
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos causando
así daño a la organización.
NOTA Se mide en términos de una combinación de la probabilidad de que suceda un
evento y sus consecuencias.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar
acción para retirarse de dicha situación.
102
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo
entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las
consecuencias de un riesgo.
NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del
término "proceso" para la estimación del riesgo.
NOTA 2 En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del
término "probabilidad" para la estimación del riesgo.
Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los
elementos de riesgo.
Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las
consecuencias negativas, o ambas, asociadas con un riesgo.
Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo
particular.
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se
consideran las consecuencias negativas (pérdidas) para la retención del riesgo.
Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia
de un riesgo.
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se
consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo.
Autenticidad: Propiedad de que una entidad es lo que afirma ser.
Confiabilidad de la Información: Garantiza que la fuente de la información generada
sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y
funciones.
103
Confidencialidad: Propiedad de la información de no ponerse a disposición o ser
revelada a individuos, entidades o procesos no autorizados
Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo
requiera una entidad autorizada.
Declaración de aplicabilidad: Documento que enumera los controles aplicados por el
SGSI de la organización tras el resultado de los procesos de evaluación y tratamiento
de riesgos y su justificación, así como la justificación de las exclusiones de controles
del anexo A de la norma técnica ISO 27001:2013.
Sistema de Gestión de la Seguridad de la Información SGSI: Conjunto de
elementos interrelacionados o interactuantes (estructura organizativa, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y recursos)
que utiliza una organización para establecer una política y unos objetivos de seguridad
de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del
riesgo y de mejora continua.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o
más amenazas.
4.- Políticas de Seguridad.
Generalidades
La seguridad informática ha tomado gran importancia, debido a las cambiantes
condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para
mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual
lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de
información. Estos riesgos que se enfrentan han llevado a que se desarrolle un
documento de directrices que orientan en el uso adecuado de las tecnológicas y
brindar recomendaciones para obtener el mayor provecho, de esta forma evitar el uso
indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes,
servicios y operaciones del GAD Cantonal de Pastaza.
104
En este sentido, las políticas de seguridad informática definidas partiendo desde el
análisis de los riesgos a los que se encuentra el GAD Cantonal de Pastaza, surgen
como una herramienta organizacional para concienciar a los colaboradores de la
organización sobre la importancia y sensibilidad de la información y servicios críticos
que permiten al gobierno local crecer y mantenerse competitivo. Ante esta situación,
se proponen políticas de seguridad que requiere un alto compromiso con la
organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y
constancia para renovar y actualizar dicha política en función del dinámico ambiente
que rodea a la institución.
Objetivos
Desarrollar un Plan de seguridad informática para organizar, dirigir y controlar las
actividades y garantizar la integridad física de los recursos informáticos, así como
resguardar los activos de información del GAD Cantonal de Pastaza.
Comprometer al personal del Gobierno Local a cumplir con el proceso de seguridad,
agilizando la aplicación de los controles con entusiasmo tomando en cuenta los
parámetros establecidos en el documento.
Alcance de las políticas
Este documento de políticas de seguridad está elaborado de acuerdo al análisis de
riesgos y de vulnerabilidades en las dependencias del GAD Cantonal de Pastaza, por
consiguiente, el alcance de estas políticas, se encuentra sujeto a la institución.
1.- De equipos
Instalación de equipos de computación
1 Todo equipo de computación ya sean laptop, computador de escritorio o servidor
que esté conectado a la red interna debe sujetarse a las normas y procedimientos
de instalación que debe generar el departamento de infraestructura.
1.1 El Director de las TIC´s en coordinación con el departamento de Activo Fijo deberá
tener un registro de todos los equipos de computación y de comunicación.
105
1.2 El equipo que sea de propósito específico y tenga una misión crítica asignada,
requiere estar ubicado en un área que cumpla con todos los requerimientos de:
seguridad física, condiciones ambientales, alimentación eléctrica, y acceso por el
personal de TIC´s.
1.3 La protección física de los equipos corresponde a la persona asignada, y le
corresponde notificar al departamento técnico cualquier anomalía o cambio de
ubicación.
Mantenimiento de equipos de computación
1.4 Le corresponde al departamento técnico la realización del mantenimiento
preventivo y correctivo de los equipos, la instalación, verificación de la seguridad
física y el acondicionamiento requerido. Para tal fin se deben emitir normas y
procedimientos respectivos.
1.5 Los responsables del departamento técnico de TIC´s no están autorizados a dar
mantenimiento preventivo y correctivo a equipos que no pertenezcan a la
institución.
1.6 El personal técnico tiene la obligatoriedad de acudir al llamado de algún
departamento cuando se produzca un inconveniente sea este físico o lógico.
Reubicación de equipos.
1.7 La reubicación de equipos informáticos se realizará de acuerdo a las normas y
procedimientos que el departamento técnico de las TIC´s emita para ello.
Notificando de equipos inventariados.
1.8 La reubicación de un equipo de computación se podrá realizar bajo la autorización
del responsable del departamento técnico de las TIC´s, con los medios necesarios
para la instalación del equipo y reportar inmediatamente para la actualización en el
departamento de Activos.
106
2 Control de Acceso:
Acceso a Áreas Críticas
2.1 El acceso del personal se llevará a cabo de acuerdo a las normas y
procedimientos que dicta la Dirección de las TIC´s.
2.2 En relación con la política de seguridad de la institución y debido a la naturaleza
de estas áreas se llevará un registro permanente del acceso y salida de personal,
sin excepción alguna.
2.3 El Director del departamento de las TIC´s, deberá gestionar los recursos
necesarios para proveer de la infraestructura de seguridad requerida con base en
los requerimientos específicos de cada área.
2.4 En situaciones de emergencia, el acceso a las áreas de servicio crítico estará
sujeto a las que especifiquen las autoridades superiores de la institución.
Control de Acceso al equipo de computación
2.5 Todos y cada uno de los equipos son asignados a un responsable, por lo que es
de su competencia preservarlos y hacer buen uso de los mismos.
2.6 En las áreas donde se tienen equipos de propósito general cuya misión es crítica
estarán sujetas a los requerimientos que la Dirección emita.
2.7 Los accesos a las áreas críticas deberán ser clasificados de acuerdo a las normas
que dicte la Dirección de común acuerdo con el Comité de Seguridad.
Control de acceso remoto
2.8 La Dirección es la responsable de proporcionar el servicio de acceso remoto y las
normas de acceso a los recursos informáticos disponibles.
2.9 Para dar acceso a los servidores a terceros, la Dirección deberá dar a conocer el
tiempo e indicar la finalidad del uso al analista correspondiente.
107
2.10 El usuario de los servicios de la red, deberá sujetarse al reglamento de uso y
en concordancia con los lineamientos generales del uso de Internet.
Acceso a los Sistemas de la Institución.
2.11 Tendrán acceso a los sistemas de la institución, solo el personal autorizado y
éste dependerá del perfil que tenga definido.
2.12 El manejo de información institucional que se considere de uso restringido
deberá ser cifrada con el objeto de garantizar su integridad.
2.13 La instalación y uso de los sistemas de información se rigen por el reglamento
de uso de la organización y por las normas y procedimientos establecidos por la
Dirección del departamento de las TIC´s.
2.14 Los servidores de bases de datos son dedicados, porque lo que se prohíbe el
acceso a personal no autorizado.
2.15 El control de acceso a cada sistema de información será determinado por la
unidad responsable de generar y procesar los datos involucrados.
2.16 La Dirección determinará un procedimiento formal de alta y baja de usuarios
con objeto de habilitar la asignación de derechos de acceso.
2.19. La asignación y uso de derechos de acceso con privilegios especiales debería
ser restringido y monitoreado.
2.20 La asignación de información confidencial para la autenticación debería ser
controlada mediante un proceso de gestión controlado.
2.21 Los propietarios de los activos deberían revisar con regularidad los derechos
de acceso de los usuarios.
2.22 Se debe quitar los derechos de acceso para todos los empleados, contratistas
o usuarios de terceros a la información y a las instalaciones del procesamiento de
información a la finalización del empleo, contrato o acuerdo, o ser revisados en
caso de cambio.
108
2.23 Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar
contraseñas de calidad combinando caracteres en mayúsculas, minúsculas
numéricos y especiales permitidos.
La utilización de contraseñas complejas es un elemento fundamental del índice de
defensa en profundidad. Las contraseñas complejas deben tener de 8 a 14
caracteres e incluir caracteres alfanuméricos y especiales. Debe establecer una
longitud mínima, un historial, un límite a la duración y una caducidad para reforzar
la defensa. Generalmente, la caducidad de las contraseñas debe configurarse de
esta forma:
• Duración máxima de 90 días
• Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión
• Un historial de 8 contraseñas (mínimo de 8 días)
Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas
siguientes:
• Bloqueo después de entre 7 y 10 intentos de registro fallidos para las cuentas
administrativas y de acceso remoto
• Bloqueo después de 10 intentos de registro fallidos para las cuentas de usuario
estándar
• Requerir la intervención de un administrador para desbloquear las cuentas de
acceso remoto y de administrador, y para reactivar automáticamente las
cuentas de usuarios estándar al cabo de 5 minutos.
2.24 El uso de utilitarios (software) que puedan ser capaces de anular o evitar
controles en aplicaciones y sistemas deberán estar restringidos y estrechamente
controlados.
2.25 Se debe restringir el acceso al código fuente de las aplicaciones software,
permitiendo solo a personal autorizado para el efecto.
109
Web
2.26 La sección de Analista de Desarrollo de Software, es responsable de instalar y
administrar los servidores web, es decir, sólo se permiten servidores de páginas
autorizadas.
2.27 El departamento de TIC´s deberá emitir las normas y requerimientos para la
instalación de servidores de páginas locales, base de datos, uso de la intranet
institucional, así como las especificaciones para que el acceso a estos sea seguro.
2.28 Al personal responsable de los servidores web, corresponde la verificación de
respaldo, actualización y protección adecuada.
2.29 Toda la programación involucrada en la tecnología web deberá estar de
acuerdo con las normas y procedimientos que la Dirección emita de conformidad a
los estándares existentes.
2.30 La información que aparezca en la página web de la institución deberá ser
aprobado por la Dirección, respetando la ley de propiedad intelectual y normativas
existentes.
2.31 En cuanto a la seguridad, protección y diseño de las páginas web, deberá
considerarse las especificaciones establecidas por la Dirección de las TIC´s.
2.32 La Dirección de TIC´s tiene la facultad de llevar a cabo la revisión periódica de
los accesos a los servicios de información y conservar información del tráfico.
3 Software.
Adquisición del software
3.20 En concordancia con la política de la institución, el comité de seguridad y la
Dirección de TIC´s, son los organismos oficiales para establecer los mecanismos
de adquisición de los sistemas informáticos y los informes pasaran a las instancias
correspondientes.
3.21 La Dirección promoverá y propiciará que la adquisición de software de dominio
público provenga de sitios oficiales y seguros.
110
3.22 Corresponde a la Dirección emitir las normas para el tipo de licenciamiento,
cobertura, transferibilidad, certificación y vigencia de software.
Instalación del software
3.23 El Comité de Seguridad Informática debe emitir las normas y procedimientos
para la instalación y supervisión del software básico para cualquier tipo de equipo.
3.24 En los equipos informáticos y telecomunicaciones, únicamente se permitirá la
instalación de software con licenciamiento apropiada y acorde a la propiedad
intelectual.
3.25 El departamento técnico es el responsable de brindar asesoría y supervisión
para la instalación de software informático, así mismo el departamento de redes
para el software de telecomunicaciones.
3.26 Cualquier software que la Dirección considere que pone en riesgo los activos
informáticos de la institución no está permitido su utilización.
3.27 Para proteger la integridad, disponibilidad y confidencialidad de los sistemas
informáticos, es necesario que todos los equipos involucrados dispongan de
software de seguridad como son antivirus, vacunas, privilegios de acceso, parches
de seguridad, y otros que se apliquen para proteger su vulnerabilidad.
Actualización del software
3.28 La obtención y actualización de software para equipo de computación se
llevará a cabo de acuerdo al cronograma que anualmente sea propuesto por la
Dirección de las TIC´s.
3.29 Concierne al departamento de TIC´s solicitar la adquisición y autorizar la
actualización del software.
3.30 Las actualizaciones del software de uso común se llevarán a cabo de acuerdo
al plan de actualización desarrollado por la Dirección.
111
Auditoría de software instalado
3.31 La Dirección encaminará la conformación de un grupo especializado en
auditoría de sistemas de computación y sistemas de información.
3.32 Recaerá en al grupo especializado de auditoria, dictar las normas,
procedimientos y calendarizar los procesos de control establecidos.
Software propiedad de la institución
3.33 Todos los programas desarrollados o comprados por la institución son
propiedad de la institución y mantendrán los derechos que la ley de propiedad
intelectual les confiera.
3.34 La Dirección en coordinación con el departamento técnico deberá tener un
registro de todos los paquetes de programación propiedad de la institución.
3.35 Es necesidad prioritaria de todos los usuarios que manejen información masiva,
mantener el respaldo correspondiente de la misma ya que se considera como un
activo de la institución que debe preservarse.
3.36 La información, base de datos, datos generados por el personal y los recursos
informáticos de la institución, deben ser resguardados con ética profesional.
3.37 Corresponde al departamento de TIC´s promover y difundir los mecanismos de
respaldo y resguardo de los datos y de los sistemas.
3.38 El departamento técnico administrará los diferentes tipos de licencia de
software y vigilará su vigencia en concordancia con la política informática.
Uso de Software en la Institución
3.39 Todo software que requiera ser instalado para trabajar sobre la red deberá ser
evaluado por el departamento técnico.
112
3.40 Los softwares de propiedad de la institución, deberán ser usado
exclusivamente para asuntos relacionados con las actividades para los que fueron
adquiridos.
4 Supervisión y Evaluación
4.20 Las auditorías de las actividades donde se involucren aspectos de seguridad
lógica y física deberán realizarse periódicamente y convendrá sujetarse al
calendario que establezca la Dirección o el grupo especializado de seguridad.
4.21 Los sistemas considerados críticos, deberán estar bajo monitoreo permanente.
Generales
1 Cada uno de los departamentos del GAD Cantonal, deberán emitir los planes de
contingencia que correspondan a las actividades críticas que realicen.
2 Debido al carácter confidencial de la información, el personal del departamento de
las TIC´s deberá conducirse de acuerdo a los códigos de ética profesional, normas
y procedimientos establecidos.
Para la puesta en ejecución de esta planificación, es necesario contar con los recursos
necesarios, para lo cual la Dirección Administrativa esta presta a colaborar, y asignar
para el nuevo periodo fiscal los recursos necesarios y la reorganización del
departamento de las TIC´s según el nuevo organigrama funcional realizado por el
director del departamento asignando las tareas necesarias para el efecto.
3.5 Conclusiones parciales del capítulo.
Para poder cumplir con los requerimientos se ha contado con la norma ISO/IEC
27001:2013 que facilita controles que son implementados a nivel técnico, este
estándar facilita el trabajo de la implementación del SGSI dentro de la organización.
La propuesta puede servir como base para que la organización continúe en las tareas
específicas de la seguridad informática, con el fin que, a mediano plazo se pueda
acceder a la certificación ISO/IEC 27001:2013.
113
CONCLUSIONES GENERALES.
Las amenazas están latentes, todo sistema de información es vulnerable y la
probabilidad de riesgo es inminente dependiendo de su contexto. Sin embargo,
pueden presentarse situaciones no controladas o inesperadas; dejando en claro que el
riesgo no puede ser mitigado en su totalidad, pero si puede ser controlado.
Las normas ISO influyen directamente en cada una de las etapas que contempla la
metodología aplicada. Las ISO 27001 y 27002 comprenden las mejores prácticas para
establecer un ciclo de gestión de seguridad de la información, mientras que el aporte
indiscutible sobre la gestión de riesgos está dado por las normas ISO 27005, todos de
la familia ISO 27000.
Ecuador aún no tiene la legislación clara en lo referente a la confidencialidad de la
información, sin embargo, son aspectos importantes y que han sido considerados en la
aplicación de esta metodología
RECOMENDACIONES
Implementar el Sistema de Seguridad Informática en el GAD Cantonal, en base a los
objetivos y lineamientos de la institución, permitiendo de esta manera evaluar de forma
correcta los riesgos de seguridad.
Revisar periódicamente las respectivas obligaciones contractuales entre los
empleados y la institución con el objetivo de identificar los riesgos; de la misma forma
debe evaluarse detenidamente cualquier cláusula estándar que abarque limitaciones
de responsabilidad.
Mantener actualizado la normativa y los controles de seguridad de acuerdo a los
objetivos y lineamiento de la institución y a los avances tecnológicos.
REFERENCIAS BIBLIOGRÁFICAS.
Aguirre, J. (2006). Libro Electrónico de Seguridad Informática y Criptografía Versión
4.1. Madrid.
Aldegani, G. (2004). Seguridad Informática. Madrid.
Alvares, G., & Perez, P. (2004). Seguridad Informática para empresas y particulares.
Madrid - Espania: McGRAW-HILL.
Areito, J. (2008). Seguridad de la información. Barcelona: Paraninfo.
Arrieta, A. (2011). CVS. Obtenido de
http://www.cvs.gov.co/jupgrade/images/stories/docs/Alertas/Politicas_de_Segur
idad_Informatica_CVS_2011-.pdf
Costas Santos, J. (2014). Seguridad Informática. Madrid: RA-MA, S.A.
Descalzo, F. (3 de Mayo de 2014). Slideshare. Obtenido de
https://es.slideshare.net/fabiandescalzo/270012013-seguridad-orientada-al-
negocio
Erb, M. (Agosto de 2009). Gestión de Riesgo en la Seguridad Informática. Obtenido de
https://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccio
n/
Forum, I. (s/f). protege tu informacion. Obtenido de
http://www.protegetuinformacion.com/docs/7/autonomos_1_politica_seguridad.
Frayssinet Delgado, M. (s/f). docplayer. Obtenido de http://docplayer.es/4468178-
Taller-de-implementacion-de-la-norma-iso-27001-ing-maurice-frayssinet-
delgado-mfrayssinet-pcm-gob-pe-www-ongei-gob-pe.html
Frayssinet, M. (s/f). Slideshare. Obtenido de https://www.slideshare.net/zerobar/si-
semana11-iso27001v011
García, A. (2011). Sistemas Informaticos y Redes. Madrid-Esoaña: Paraninfo.
INTECO. (s/f). Implantación de un SGSI en la Empresa. España.
Iriarte Ahon, E. (s/f). ISO 27000.es. Obtenido de http://www.iso27000.es/iso27000.html
ISOTools Excellence. (6 de Mayo de 2015). Blog especializado en Sistemas de
Gestión. Obtenido de http://www.pmg-ssi.com/2015/05/como-clasificar-los-
activos-de-seguridad-en-un-sgsi/
Maldonado, C. (15 de Mayo de 2006). carlosmaldonado73. Obtenido de
http://carlosmaldonado73.blogspot.com/
Métodoss. (s/f). Metodoss. Obtenido de http://metodoss.com/metodologia-pdca-ciclo-
shewhart-deming/
Nando, A. (2010). Seguridad en Sistemas de Información. Venezuela.
Nando, A. (junio de 2010). Seguridad en Sistemas de Seguridad. Obtenido de
https://norbertomn.files.wordpress.com/2014/02/curso-seguridad-en-sistemas-
de-informacion.pdf
Ocampo, S., & Gaviria, J. (29 de Marzo de 2014). Slideshare. Obtenido de
https://es.slideshare.net/georgepereira01/ntc-isoiec-27001-jorge-h-gaviria-y-
shernndra-ocampo
Osorio, G. (08 de Febrero de 2013). Scribd. Obtenido de
https://es.scribd.com/doc/124454177/ISO-27005-espanol
Ramió Aguirre, J. (2003). Curso de Seguridad Informatoica y Criptografía. Madrid:
Universidad Politécnica de Madrid.
Ruano, C. S., Saiz Herrero, A. B., Fernández Álvarez, E., & Fernández Aranda, L.
(2010). Seguridad Informática. Madrid - España: Mc Graw Hill.
Universidad de EL Salvador. (2009). Norma ISO 27000. El Salvador.
Universidad Nacional de Luján. (s/f). seguridadinformatica. Obtenido de
http://www.seguridadinformatica.unlu.edu.ar/?q=node/7
top related