TFM ENT05 AlejandroBautista

TFM Plan de Seguridad de la Informacin Pg. 1 de 45 Luis Alejandro au!is!
a Torres

Mster Interuniversitario en Seguridad de las TIC
(MISTIC)

Trabajo de Final de Mster

Plan de Seguridad de la Informacin

Compaa XYZ Soluciones

Luis Alejandro Bautista Torres
DNI: 79520578
TFM Plan de Seguridad de la Informacin Pg. " de 45 Luis Alejandro au!is!a Torres

Tabla de Contenido
0 DESCRIPCIN 4
1 FASE 1: CONTEXTUALIZACIN Y DOCUMENTACIN 4
1.1 XYZ Soluciones 4
1.2 Documentacin y Recoleccin de Informacin 4
1.3 Glosario de Trminos 5
1.4 Metodologa de Valoracin y Anlisis 7
2 FASE 2: OBJETIVOS DEL PLAN DIRECTOR 16
2.1 Introduccin 16
2.2 Mecanismos de Ejecucin 16
2.3 Objetivos 17
3 FASE 3: ESTADO DEL RIESGO: IDENTIFICACIN Y VALORACIN DE ACTIVOS Y
AMENAZAS 20
3.1 Introduccin 20
3.2 Criterios de identificacin de activos 20
3.3 Caracterizacin y tipificacin de los activos 20
3.4 Valoracin de los activos 22
3.5 Inventario de activos 22
3.6 Herencias 24
3.7 Anlisis de amenazas 24
3.8 Estimacin del riesgo, probabilidad e impacto 27
3.9 Efectividad de los controles. 29
4 FASE 4: AUDITORA DE CUMPLIMIENTO DE LA ISO:IEC 27002:2005 31
4.1 Introduccin 31
4.2 Metodologa 31
4.3 Evaluacin de la madurez 31
4.4 Presentacin de resultados 32
4.5 Conclusiones 38
5 FASE 5: PROPUESTAS DE PROYECTOS 39
5.1 Introduccin 39
5.2 Propuestas 39
5.3 Realimentacin de resultados Error! Marcador no definido.
6 FASE 6: PRESENTACIN DE RESULTADOS Y ENTREGA DE INFORMES 44
6.1 Introduccin 44
6.2 Objetivos de la fase Error! Marcador no definido.
6.3 Entregables 45

TFM Plan de Seguridad de la Informacin Pg. # de 45 Luis Alejandro au!is!a Torres

Tabla de ilustraciones

Ilustracin 1. Metodologa de Valoracin y Anlisis .......................................................................... 8
Ilustracin 2. Ciclo de Estimacin y Valoracin de Riesgos ............................................................. 8
Ilustracin 3. Valoracin de la Probabilidad .................................................................................... 10
Ilustracin 4. Valoracin del Impacto .............................................................................................. 11
Ilustracin 5. Impacto Cuantificado ................................................................................................. 11
Ilustracin 6. Mapa de Riesgo ......................................................................................................... 12
Ilustracin 7. Descripcin de Escalas de Riesgo ............................................................................ 12
Ilustracin 8. Criterios de Aceptacin.............................................................................................. 13
Ilustracin 9 Evaluacin Niveles de Confidencialidad..................................................................... 13
Ilustracin 10. Evaluacin Niveles de Integridad ............................................................................ 14
Ilustracin 11. Evaluacin Niveles de Disponibilidad ...................................................................... 14
Ilustracin 12. Evaluacin Niveles de Autenticidad y Trazabilidad ................................................. 14
Ilustracin 13. Nivel de Madurez de los Controles .......................................................................... 15
Ilustracin 14. Activos Capa 1 ......................................................................................................... 22
Ilustracin 15. Activos Capa 2 y 3 ................................................................................................... 23
Ilustracin 16. Activos Capa 4 ......................................................................................................... 24
Ilustracin 17. Herencia de los Activos .......................................................................................... 24
Ilustracin 18. Vulnerabilidades ...................................................................................................... 25
Ilustracin 19. Amenazas por Categora ......................................................................................... 26
Ilustracin 20. Distribucin de Amenazas ....................................................................................... 27
Ilustracin 21. . Impactos o consecuencias por materializacin de amenazas .............................. 28
Ilustracin 22. Distribucin de impactos ......................................................................................... 29
Ilustracin 23. Categoras de los controles ..................................................................................... 30
Ilustracin 24. Controles difundidos ................................................................................................ 30
Ilustracin 25. Cumplimiento Dominio A5 / ISO 27001 ................................................................... 32
Ilustracin 30. Cumplimiento Dominio A10 / ISO 27001 ................................................................. 35
Ilustracin 36. Madurez de los Controles ........................................................................................ 38

TFM Plan de Seguridad de la Informacin Pg. 4 de 45 Luis Alejandro au!is!a Torres

0 DESCRIPCIN
El presente documento suministra detalles del contexto general de la compaa XYZ Soluciones
(nombre ficticio), metodologa requerida para la elaboracin del Plan de Seguridad de la
Informacin, resultados de las diferentes fases de recoleccin y anlisis de informacin y
sugerencias de proyectos y planes de tratamiento en seguridad de la informacin y consolidados
en un solo documento como proyecto final del programa oficial Mster en Seguridad de las TIC de
las universidades UOC-URV-UAB.

1 FASE 1: CONTEXTUALIZACIN Y DOCUMENTACIN
1 1. .1 1 X XY YZ Z S SO OL LU UC CI IO ON NE ES S
XYZ Soluciones es una compaa de servicios, que cuenta con 60 funcionarios a nivel nacional y
cinco dependencias conocidas como: rea de Seguridad Informtica, Bases de Datos, Redes,
Procesamiento de Informacin, y Help. Todas ellas con personal especializado para suministra
servicios de almacenamiento y procesamiento bsico de informacin para pequeas empresas a
travs de ambientes Windows y bases de datos SQL Server. Adicionalmente provee a travs de
su mesa de ayuda, servicios como alistamiento y puesta en produccin de equipos de escritorio,
instalacin de software ofimtico y soporte bsico de PC para todos sus clientes.

Algunas responsabilidades asignadas a las dependencias existentes en XYZ Soluciones son:

rea de Seguridad Informtica: Gestin de antivirus, administracin de firewall, control de
contenido perimetral, administracin de circuito cerrado de televisin, etc.

Bases de Datos: Mantenimiento de las bases de datos, gestin y administracin de capacidad de
bases de datos, etc.
Redes: Administracin de enlaces, configuracin y monitoreo de dispositivos de red, etc.

Procesamiento de informacin: Administracin de servidores, administracin de licenciamiento,
respaldos, almacenamiento, etc.

Help: Soporte y Atencin de usuarios

1 1. .2 2 D DO OC CU UM ME EN NT TA AC CI I N N Y Y R RE EC CO OL LE EC CC CI I N N D DE E I IN NF FO OR RM MA AC CI I N N
Para los propsitos del presente anlisis y documentacin, se emplean normas, tcnicas y
sugerencias referenciadas en publicaciones reconocidos internacionalmente como:

International Standards Organization, ISO/IEC 27001: Tecnologa de la Informacin
Tcnicas de Seguridad Sistemas de Gestin de la seguridad de la Informacin (SGSI)
Requisitos.

Tcnicas de Seguridad Cdigo de prctica para la gestin de la seguridad de la
informacin.

Tcnicas de Seguridad Gestin del Riesgo en la seguridad de la informacin.


NIST: Computer Security Division of the National Institute of Standards and Technology,
NIST 800-30: Risk Management Guide for Information Technology Systems

MAGERIT: Metodologa de Anlisis y Gestin de riesgos de lossistemas de informacin.

ISACA: Control Objectives For Information And Related Technology COBIT 4.0

ISACA: Gobierno de seguridad de la Informacin. CISM.

ISC2: Information Security Governance. CISSP

1 1. .3 3 G GL LO OS SA AR RI IO O D DE E T T R RM MI IN NO OS S

Los trminos y principios establecidos en el presente documento tienen por base definiciones
constituidas en las normas ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27005 con exactitudes
como:

Aceptacin del riesgo: Admisin de la prdida o ganancia proveniente de un riesgo
particular.

Activo: bienes o recursos de informacin que tienen valor para la compaa.

Amenaza: Origen, fuente potencial de afectacin que causa un incidente no deseado y
puede resultar en un dao a un sistema u organizacin y/o a sus activos.

Anlisis de riesgo: Uso sistemtico de una metodologa para la identificacin fuentes o
amenazas a las cuales estn expuestos los activos, bienes o recursos de la compaa y
estimar el riesgo.

Comunicacin del riesgo: Compartir la informacin acerca del riesgo entre las personas o
rea responsable que toma la decisin y otras partes interesadas.

Confidencialidad: Propiedad que determina que la informacin no est disponible ni sea
revelada a individuos, entidades o procesos no autorizados.

Control: Es una forma de mitigar el impacto generado por la materializacin de los riesgos
existentes. Un control incluye entre otras: la definicin de polticas, la puesta en marcha
de procedimientos, la definicin de guas, la definicin de cambios en una estructura
organizacional, o la ejecucin de buenas prcticas que pueden ser de carcter
administrativo, tcnico o legal.

Declaracin de aplicabilidad: Documento que describe los objetivos de control y los
controles pertinentes y aplicables para el sistema de gestin de seguridad de la
informacin de la compaa.

Disponibilidad. Propiedad que determina que la informacin sea accesible y utilizable bajo
solicitud por individuos, entidades o procesos autorizados.

Estimacin del riesgo: Proceso de asignacin de valores a la probabilidad y
consecuencias de un riesgo.

Evaluacin del riesgo: Proceso para determinar la importancia del riesgo con base en la
comparacin del mismo contra unos criterios dados.

Evento de seguridad de la informacin: Presencia identificada de una condicin de un
bien o recurso (sistema, servicio, red, etc.), asociada a una posible violacin de la poltica
TFM Plan de Seguridad de la Informacin Pg. $ de 45 Luis Alejandro au!is!a Torres

de seguridad de la informacin, falla en controles y contramedidas, o que implica una
situacin desconocida que puede ser pertinente a la seguridad.

Evitar el riesgo: Decisin de la organizacin de no involucrarse en una situacin de riesgo
o tomar acciones para retirarse de dicha situacin.

Gestin del riesgo: Actividades coordinadas para dirigir y controlar los aspectos
asociados al Riesgo dentro de una organizacin.

Identificacin del riesgo: Proceso para encontrar, enumerar y caracterizar los elementos
de riesgo asociados a la seguridad de la informacin.

Impacto: Se establece como la consecuencia directa o indirecta de la materializacin de
los escenarios de riesgo generando cambios adversos en los objetivos del negocio.

Incidente de seguridad de la informacin: Un evento o serie de eventos de seguridad de
la informacin no deseados o inesperados, que tiene una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la informacin.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

Reduccin del riesgo: Acciones que se toman para disminuir la probabilidad y/o el
impacto negativo asociado a un riesgo.

Riesgo en la seguridad de la informacin: Es la probabilidad de que una amenaza
determinada explote las vulnerabilidades de los activos o grupos de activos causando
dao a la organizacin.

Riesgo inherente: Es aquel riesgo que por su naturaleza no se puede separar de la
situacin donde se presenta. Es propio de las actividades que conlleva el proceso
relacionado.

Riesgo residual: Nivel restante de riesgo despus de su tratamiento.

Seguridad de la Informacin: Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin.

Sistema de gestin de seguridad de la informacin SGSI: Parte del sistema de gestin
global cuyo fin es establecer, implementar, operar, monitorear y mejorar la seguridad de
la informacin.

Transferencia del riesgo: Compartir con otra de las partes la prdida (consecuencias
negativas) de un riesgo.

Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas para
modificar el riesgo.

Valoracin del riesgo: Proceso global de anlisis y evaluacin del riesgo.

Vulnerabilidad: Debilidad asociada con los procesos, recursos o infraestructura de una
organizacin. Una vulnerabilidad frecuentemente aumenta la probabilidad de que se
materialice una amenaza.

Para el logro de objetivos del Plan de seguridad, se acord con la organizacin realizar una
reunin de inicio en la cual con apoyo del gerente asignado por parte de XYZ soluciones, se
conocieran detalles de los procesos involucrados por cada rea, los perfiles y roles relacionados,
las entradas y salidas de cada proceso y los productos o servicios misionales entregados por
cada unidad.

TFM Plan de Seguridad de la Informacin Pg. % de 45 Luis Alejandro au!is!a Torres

Una vez finalizada esta reunin, se acuerda la directriz de anlisis de riesgo a ser empleada (ISO
27005) y los criterios de evaluacin a ser utilizados, adems de definir el personal idneo frente a
la identificacin de activos y anlisis de riesgos contemplando los lmites de tiempo de cada
entrevista bajo un cronograma que vislumbre las fechas de entrega aceptables para cada fase.

1 1. .4 4 M ME ET TO OD DO OL LO OG G A A D DE E V VA AL LO OR RA AC CI I N N Y Y A AN N L LI IS SI IS S

La valoracin de riesgos es el primer proceso de la metodologa de administracin de riesgos.
Esta valoracin de riesgos permite determinar la extensin de amenazas potenciales y riesgos
asociados con los activos. La salida de este proceso permite la identificacin de controles que
reducen o eliminan riesgos durante el proceso de mitigacin.

Riesgo es una funcin de la probabilidad de que una fuente de amenaza dada explote una
vulnerabilidad potencial, y que el impacto resultante sea un evento adverso para la organizacin.

Para determinar la probabilidad de un evento adverso, las amenazas de los recursos deben ser
analizadas en conjunto con las vulnerabilidades potenciales y los controles existentes en los
mismos.

El impacto se refiere a la magnitud del dao que podra ser causado porque las amenazas
exploten una vulnerabilidad. El nivel de impacto es determinado por el impacto potencial en el
logro de la misin y el valor relativo de los activos de informacin que resultaren afectados (por
ejemplo, la criticidad y sensibilidad de componentes de procesamiento y los datos).

La Metodologa de valoracin de riesgos est compuesta por nueve (10) pasos primarios, que
son:

Paso 1 Caracterizacin del Contexto Evaluado
Paso 2 - Identificacin de activos y sus amenazas
Paso 3 - Identificacin de vulnerabilidades
Paso 4 - Anlisis de controles
Paso 5 - Determinacin de probabilidades
Paso 6 - Anlisis de impacto
Paso 7 - Determinacin de riesgos
Paso 8 - Recomendaciones de control
Paso 9 Otros factores de evaluacin
Paso 10 Resultados Documentados

TFM Plan de Seguridad de la Informacin Pg. & de 45 Luis Alejandro au!is!a Torres

Ilustracin 1. Metodologa de Valoracin y Anlisis

Paso 1 - Caracterizacin del Contexto Evaluado: En este paso se define principalmente el alcance
de los esfuerzos requeridos y los lmites de ejercicio para su ejecucin.
Para este paso es importante contar con la identificacin de elementos involucrados como
Hardware, software, interfaces de sistemas, datos de informacin, personas involucradas y para
conocer finalmente los lmites del contexto evaluado, sus funciones principales, la criticidad de
sus datos y recursos adems de identificar la sensibilidad de su informacin.

Paso 2 Identificacin de Activos y sus Amenazas: Una fuente de amenaza se define como
cualquier circunstancia o evento con el potencial para causar daos en la informacin. Las
fuentes comunes de amenazas son las personas, la naturaleza y el ambiente. Sin embargo segn
la norma ISO/IEC 27005 y el anexo C los ejemplos de amenazas comunes se pueden tipificar en
varias clases como:

Causantes de dao fsico (Fuego, dao por agua, contaminacin, destruccin de equipos
o medios, polvo corrosin, congelamiento, etc.),
Eventos naturales,
Perdida de servicios esenciales,
Perturbacin por radiacin,
Compromiso de la informacin,
Fallas tcnicas,
Acciones no autorizadas,
Compromiso de las funciones,
Intrusiones, terrorismo, etc

Los activos de informacin de cada proceso o actividad analizada son identificados y clasificados
de acuerdo a su criticidad (integridad, confidencialidad y disponibilidad) y a su vez los recursos
crticos son agrupados de acuerdo a sus funciones dentro de los procesos, para posteriormente
ser revisados a travs de un ciclo continuo de valoracin de riesgos para determinar las
amenazas relevantes, las consecuencias de su materializacin y la existencia y efectividad de
controles implementados que disminuyen el impacto o la probabilidad de concretar la amenaza.

Ilustracin 2. Ciclo de Estimacin y Valoracin de Riesgos

Para efectos del presente ejercicio y con la idea de apoyar a XYZ Soluciones en la tipificacin
inicial de amenazas existentes se establece que: con base en la norma ISO/IEC 27005 la lista de
amenazas aplicables al contexto mediante una declaracin formal de peligros a ser
contemplados, facilitando as el proceso de levantamiento de informacin durante las entrevistas.
TFM Plan de Seguridad de la Informacin Pg. ' de 45 Luis Alejandro au!is!a Torres

Las amenazas aplicables al contexto de XYZ Soluciones y finalmente acordadas con la
organizacin para la fase de entrevistas se registran a continuacin:

A01. Fuego
A02. Accidentes Laborales
A03. Fallas de hardware
A04. Acceso fsico no autorizado
A05. Causas naturales (terremoto, inundacin, huracn, tormenta elctrica, etc.)
A06. Fallas en suministro de servicios pblicos (energa, agua, gas, etc.)
A07. Causas ambientales (Clima, Temperatura,
Contaminacin, Polvo, Corrosin, Congelamiento, humedad extrema)
A08. Seales de interferencia (Electromagntica, Trmica)
A09. Espionaje
A10. Intrusin
A11. Escucha encubierta
A12. Hurto de informacin, medios o documentos (negocio, clientes, personal o privada)
A13. Hurto de equipos
A14. Recuperacin de medios reciclados o desechados
A15. Divulgacin
A16. Datos Provenientes de fuentes no confiables
A17. Manipulacin del Hardware
A18. Manipulacin del Software
A19. Deteccin de posiciones
A20. Deterioro de equipos
A21. Obsolescencia tecnolgica
A22. Fallas de software
A23. Saturacin del sistema de informacin
A24. Incumplimiento en el mantenimiento del SI
A25. Uso no automatizado del equipo
A26. Copia fraudulenta del software
A27. Uso de software no licenciado o copiado
A28. Corrupcin de los datos
A29. Procesamiento ilegal de los datos
A30. Errores humanos/operacin
A31. Abuso de Derechos
A32. Falsificacin de Derechos
A33. Negacin de acciones
A34. Dependencia de funcionarios crticos
A35. Dependencia de terceras partes
A36. Actos malintencionados
A37. Asonada/Conmocin civil/terrorismo

Paso 3 Identificacin de Vulnerabilidades: las vulnerabilidades son movidas por un defecto o
debilidad en los procedimientos de seguridad, diseo, implementacin o de controles y que
podran ser explotadas (activadas accidentalmente o explotadas intencionalmente) generando
una brecha de seguridad.

La meta de este paso es identificar la lista de vulnerabilidades (defectos o debilidades) que
permiten la materializacin de amenazas potenciales y diferenciadas en el paso anterior.

Paso 4 Anlisis de Controles: Los controles de seguridad renen controles tcnicos y no
tcnicos. Los controles tcnicos son las protecciones incorporadas en el hardware, software o
firmware (por ejemplo, mecanismos de control de acceso, mecanismos de identificacin y
autenticacin, mtodos de encripcin, software de deteccin de intrusos).

Los controles no tcnicos son controles administrativos y operacionales, tales como polticas de
seguridad, procedimientos operacionales y seguridad del personal, fsica y ambiental.
TFM Plan de Seguridad de la Informacin Pg. 1( de 45 Luis Alejandro au!is!a Torres

La meta de este paso es identificar con los entrevistados los controles que se encuentran
implementados en XYZ Soluciones, o cuya implementacin es viable para minimizar la
probabilidad de que las amenazas exploten vulnerabilidades.

Paso 5 - Determinacin de probabilidades: Se deben tener en cuenta los siguientes factores a la
hora de construir una escala de probabilidad que mida el grado en que pueden ser explotadas las
vulnerabilidades existentes:

Motivos de las fuentes de amenazas y su dimensin (capacidad de hacer dao)
Naturaleza de las vulnerabilidades
Existencia y efectividad de los controles existentes

Los grados de medicin establecidos para la probabilidad de que una vulnerabilidad pueda ser
explotada por una fuente de amenaza se acuerdan con XYZ Soluciones, mediante la siguiente
Ilustracin.

PROBABILIDAD
Calificacin Explicacin
A 1 100%, Alta, certera, siempre ocurre
M+ 0,75
75%, Mayor, probable, se espera que
ocurra
M 0,5
50%, se espera que no ocurra
regularmente
M- 0,25
25%, No esperado, pero podra ocurrir
algunas veces
B 0,1
10%, Remoto, puede ocurrir en
circunstancias excepcionales

Ilustracin 3. Valoracin de la Probabilidad

Paso 6 - Anlisis de Impacto: El impacto adverso de un evento de seguridad se puede describir
en trminos de la degradacin de una o varias de las metas de seguridad (Integridad,
Disponibilidad y Confidencialidad)

Prdida de Integridad: Se pierde integridad cuando se presentan modificaciones no autorizadas
sobre los datos y sistemas, bien sea de manera accidental o intencional.

Prdida de Disponibilidad: Si un sistema de misin crtica no est disponible para sus usuarios
finales, se afecta el logro de la misin de la organizacin.

Prdida de Confidencialidad: La confidencialidad de los datos y sistemas se refiere a la proteccin
contra divulgacin no autorizada.


IMPACTO
A
Muy Alto. La explotacin de la
vulnerabilidad puede resultar en
altas prdidas financieras por: dao
de activos o recursos tangibles,
impedimento del logro de los
objetivos de la organizacin,
deterioro de la reputacin e
intereses.
M+
Alto. Prdida financiera significativa,
amenaza con prdida de imagen de
la Organizacin.
M
Medio. Prdida financiera
moderada, no amenaza la imagen y
confianza de la Organizacin
M- Bajo. Prdida financiera menor.
B
Menor, Si perjuicios, costos
asociados bajos.

Ilustracin 4. Valoracin del Impacto

Es necesario tener en cuenta que una valoracin cuantitativa exige del personal entrevistado
contar con la siguiente informacin:

Un costo aproximado de cada ocurrencia
Una ponderacin del impacto de cada ocurrencia
Una estimacin del valor de los activos

Por lo cual se suministra la siguiente ilustracin de referencia

IMPACTO
A Mas de US$500.000 mensuales
M+ De U$ 250.001 - U$ 500.000
M De US$ 100.001 - US$ 250.000
M- Hasta US$100.000
B Hasta US$ 50.000

Ilustracin 5. Impacto Cuantificado

Paso 7 - Determinacin de Riesgos: El propsito de este paso es determinar el nivel de riesgo
que tienen los activos de informacin evaluados. La determinacin del riesgo para una
amenaza/vulnerabilidad en particular se expresa en funcin de:

La probabilidad que una fuente de amenaza intente explotar una vulnerabilidad
La magnitud del impacto resultante de la explotacin exitosa de una vulnerabilidad
La efectividad de los controles existentes o planeados para reducir o mitigar los riesgos.

Para determinar el nivel de riesgo inherente se multiplican los valores asignados a la probabilidad
de una amenaza por los valores asignados a la magnitud del impacto, como se muestra en la
siguiente matriz:
TFM Plan de Seguridad de la Informacin Pg. 1" de 45 Luis Alejandro au!is!a Torres

Ilustracin 6. Mapa de Riesgo

La escala de riesgo, con los niveles Alto, Medio Alto, Medio, Medio Bajo y Bajo, representa el
grado o nivel a que se encuentra expuesto el activo de informacin evaluado, cuando una
vulnerabilidad es explotada exitosamente. Tambin presenta las acciones que deben tomar la
gerencia ejecutiva y los responsables del logro de la misin, en cada uno de los niveles como se
indica en la siguiente ilustracin

Ilustracin 7. Descripcin de Escalas de Riesgo

Los criterios de aceptacin de riesgo demandados por XYZ soluciones, establece que riesgos de
niveles Extremo y Alto se consideran inaceptables y deben ser tratados de forma inmediata
con los recursos necesarios requeridos. As mismo, para los niveles Medio y Bajo su
tratamiento depende del aporte del control para mitigar riesgos, la relacin coste/beneficio y la
contribucin que ste aporte al cumplimiento de objetivos del negocio.

TFM Plan de Seguridad de la Informacin Pg. 1# de 45 Luis Alejandro au!is!a Torres

Mejor esfuerzo Inaceptables
Bajo Alto
Medio Extremo

Ilustracin 8. Criterios de Aceptacin
Paso 8 Recomendaciones de Control: Las recomendaciones de control son los resultados del
proceso de valoracin de riesgos y proveen una entrada al proceso de mitigacin de riesgos,
durante el cual los controles tcnicos y procedimientos recomendados se evalan, priorizan e
implementan teniendo en cuenta los siguientes factores:

Efectividad de las opciones recomendadas (compatibilidad de sistemas, por ejemplo)
Legislacin y regulaciones
Poltica organizacional
Impacto operacional
Seguridad y confiabilidad

Es posible que no todos los controles recomendados se implementen, esto depende del resultado
del anlisis costo/beneficio, el cual debe demostrar que la implementacin se justifica porque hay
una reduccin en el nivel de riesgo.

Paso 9 Otros factores de evaluacin Otros factores de evaluacin suelen ser relacionados con
la identificacin de umbrales de seguridad alcanzados frente a los requeridos por la organizacin
a nivel de confidencialidad, integridad y disponibilidad, para con los activos evaluados.

CONFIDENCIALIDAD
Pblica
Cuya divulgacin no afecte a la
Empresa en trminos de prdida de
imagen y/o econmica.
Uso Interno
La informacin debe mantenerse
dentro de la Empresa y no debe estar
disponible externamente
Restringida
Informacin sensible, interna a reas
o proyectos a los que deben tener
acceso controlado por seguridad e
intereses de la compaa.
Reservada
Informacin de alta sensibilidad que
debe ser protegida por su relevancia
sobre decisiones estratgicas,
impacto financiero, oportunidad de
negocio, potencial de fraude o
requisitos legales.

Ilustracin 9 Evaluacin Niveles de Confidencialidad


INTEGRIDAD
Baja
Si tras el dao, la informacin se
puede recuperar fcilmente con la
misma calidad
Normal
Recuperacin fcil con una calidad
semejante
Alta
Si la calidad necesaria se reconstruye
de forma difcil y costosa.
Crtica
No puede volver a reconstruir

Ilustracin 10. Evaluacin Niveles de Integridad
DISPONIBILIDAD
De 0 a 1
hora
Se puede estar sin el activo en
funcionamiento mximo 1 hora
De 1 a 2
horas
funcionamiento mximo 2 horas
De 2 a 4
horas
De 4 a 8
horas
De 8 a 24
Das
funcionamiento mximo 1 da
24H +
funcionamiento ms de un da

Ilustracin 11. Evaluacin Niveles de Disponibilidad

AUTENTICIDAD Y TRAZABILIDAD
ALTO
Requiere fuertes medidas de
control para autenticidad y
trazabilidad del manejo de la
informacin.
MEDIO ALTO
Requiere Vigilancia constante con
planes de tratamiento y manejo de
incidentes apoyados por el rea de
seguridad y Directores
NORMAL
Requiere monitoreo bsico de
autenticidad y trazabilidad con el
manejo de la informacin.

Ilustracin 12. Evaluacin Niveles de Autenticidad y Trazabilidad

Otro criterio de evaluacin es identificar los niveles de madurez alcanzados con los controles
implementados empleando mediciones como las sugeridas por CMM de COBIT bajo las
siguientes convenciones:

0 No Existente: No hay procesos de control reconocidos.

1 Inicial / Ad hoc: La Direccin reconoce un problema que debe ser tratado, Sin
embargo, no existen procesos estandarizados sino procedimientos particulares aplicados.

2 Repetible pero intuitivo: Se desarrollan procesos por diferentes personas entendiendo
las mismas tareas. No hay una comunicacin ni entrenamiento formal y la
responsabilidad recae sobre los individuos.

3 Procesos definidos: Los procesos se definen, documentan y se comunican a travs de
entrenamiento formal.

4 Administrados y medibles: Existen mediciones y monitoreo sobre el cumplimiento de
los procedimientos.

5 Optimizado: Los procesos se refinan a nivel de buenas prcticas con base en los
resultados del mejoramiento continuo y los modelos de madurez.

Ilustracin 13. Nivel de Madurez de los Controles

Paso 10 Resultados Documentados: El informe final de los resultados permite a la alta direccin
y los diferentes grupos y funcionarios responsables de gestionar la seguridad, tomar decisiones,
calcular presupuestos y gestionar los cambios administrativos y operacionales.

Identificacin de Controles para Mitigacin de Riesgos

En la implementacin de controles para mitigar riesgos, una organizacin debe considerar
controles tcnicos, operativos y administrativos para maximizar la efectividad de los controles a
ser implementados en la empresa en general.

Para ubicar los recursos e implementar los controles efectivos, es tambin necesario llevar a cabo
un anlisis costo beneficio determinando cules controles son requeridos y apropiados segn las
circunstancias.

Una vez implementados los controles, el riesgo remanente con los nuevos controles es el riesgo
residual. Sin embargo, es importante tener siempre presente que no hay activos de informacin
libres de riesgos, y no todos los controles implementados eliminan los riesgos

TFM Plan de Seguridad de la Informacin Pg. 1$ de 45 Luis Alejandro au!is!a Torres

Implementacin de Buenas Prcticas

Los sistemas de gestin de seguridad de la informacin (SGSI) se inician con los procesos de
valoracin y mitigacin de riesgos, pues las medidas de seguridad deben apuntar hacia los
riesgos ms importantes para el negocio.

La norma ISO 27001, exige compresin de requerimiento (integridad, disponibilidad y
confidencialidad), implantacin y gestin adecuada de controles que ayuden a mitigar riesgos,
monitoreo constante del adecuado desempeo del SGSI y mejoramiento continuo para las
organizaciones que deseen emplear buenas prcticas y aplicar a una posible certificacin.

El objetivo final de este trabajo y la implantacin de la presente metodologa es suministrar
finalmente un plan director de Seguridad para la compaa XYZ Soluciones que le permita
alcanzar las prcticas requeridas para manejar niveles de seguridad adecuados en el suministro
de sus servicios y servir de pedestal para una futura certificacin en ISO 27001

2 FASE 2: O!"ETIVOS DEL PLAN DIRECTOR
2 2. .1 1 I IN NT TR RO OD DU UC CC CI I N N
La identificacin y valoracin de riesgos asociados a la gente, los procesos, las tecnologas,
arquitecturas, aplicaciones, y todos los recursos que soportan y procesan informacin de XYZ
Soluciones, ser la forma de establecer medidas de tratamiento y proteccin que gestionadas
oportunamente permitan mitigar impactos negativos y mantener niveles tolerables de riesgos as
como aumentar los umbrales de seguridad requeridos por la Organizacin.

XYZ Soluciones busca particularmente con sta actividad, promover la ejecucin de prcticas de
seguridad adecuadas y la posible implementacin un Sistema de Gestin de Seguridad de la
Informacin (SGSI) con base en la norma ISO/IEC 27001:2005 para cubrir los servicios de
Soporte y Servicios Especializados, disponibles para clientes interno y externos a travs de su
Centro de Operaciones.

Como parte del anlisis, se establecieron diferentes frentes de trabajo y etapas de registro de
informacin (contextualizacin, identificacin de activos, anlisis de impacto, anlisis de riesgo)
que posteriormente se consolidan y registran en el presente documento, detectando escenarios
de riesgo que pudieran atentar contra la operacin y manejo adecuado de los recursos o activos
de informacin crticos de XYZ Soluciones.

2 2. .2 2 M ME EC CA AN NI IS SM MO OS S D DE E E E" "E EC CU UC CI I N N
Los mecanismos con los que contar el Plan Director para hacer viable su ejecucin son:

Sensibilizar a la Alta Direccin, de la necesidad de optimizar las relaciones de confianza con sus
clientes y convertirse en una alternativa ms confiable y competitiva frente a otras empresas del
mercado con actividades como:

El uso de estadsticas financieras, donde las proyecciones se vean afectadas con prdida
de negocios por inadecuados manejo de la informacin.

Por otra parte, identificando un Retorno de Inversin en transformaciones alcanzadas con
la implementacin de mejores controles de seguridad, frente a perdidas de imagen o
costos por incidentes no controlados o manejados a tiempo y daos colaterales con
clientes y propietarios de la informacin.

TFM Plan de Seguridad de la Informacin Pg. 1% de 45 Luis Alejandro au!is!a Torres

En segundo lugar, promover en la organizacin una metodologa estndar con fundamentos
lgicos soportados en normatividad reconocida internacionalmente para el desarrollo de un
programa de administracin de riesgos efectivo y trasversal a toda la organizacin con ventajas
como:

Unificacin de criterios de evaluacin y valoracin
Lenguaje comn entre las reas o unidades de negocio
Cuadros de mando unificados con mtricas e indicadores claros
Toma de decisiones rpidas y objetivas

Por otra parte, fomentar el uso de tcnicas de recoleccin de informacin para consolidacin de la
informacin sobre las reas operacionales de la organizacin con:

Cuestionarios: El personal responsable por la valoracin de riesgos desarrolla
cuestionarios para recoger informacin sobre los controles administrativos y
operacionales planeados o utilizados por las diferentes dependencias de la organizacin.

Entrevistas en sitio: Las entrevistas en sitio con personal idneo (con experiencia y
conocimiento de sus funciones y contratiempos manejados) de los procesos con el objeto
de obtener informacin til para la valoracin de riesgos. Las visitas en sitio tambin son
contempladas para valorar reas y ambientes de trabajo.

Revisin de documentos: La documentacin de ejercicios anteriores, procesos, normas,
directrices, formatos, plantillas de control, bitcoras, informes de auditoras previas,
proveen excelente informacin acerca de los controles usados y planeados por la
organizacin.

Herramientas de escaneo: Mediante el uso de herramientas tcnicas, y proactivas se
recolecta informacin complementaria y validan perfiles y configuraciones individuales
sobre recursos tecnolgicos.

Finalmente, Auxiliar a XYZ Soluciones en el desarrollo y manejo de una tcnica de seleccin de
controles y medidas de seguridad efectivas con el objeto de instaurar un RoadMap que
proporcione mejoras a los niveles de seguridad involucrados en los procesos de almacenamiento
y transporte seguro de la informacin mediante un Sistema de Gestin de la Seguridad de la
Informacin formalmente establecido.

2 2. .3 3 O O! !" "E ET TI IV VO OS S

Objetivos Generales

XYZ Soluciones desea principalmente mejorar los niveles de seguridad incluidos en sus servicios,
con el objeto de optimizar las relaciones de confianza con sus clientes y convertirse en una
alternativa ms confiable y competitiva frente a otras empresas del mercado.

En segundo lugar XYZ Soluciones, se ha propuesto encauzar sus procesos con practicas
adecuadas a nivel de seguridad y solicita de la consultora: identificar los activos de informacin
relevantes de sus actuales servicios, conocer los riesgos relacionados, los niveles de madurez
alcanzados con los controles actualmente implementados y finamente identificar un plan de
accin que le permita en un tiempo no mayor a dos aos acercarse a un marco de referencia
certificable en temas de seguridad de la informacin.

TFM Plan de Seguridad de la Informacin Pg. 1& de 45 Luis Alejandro au!is!a Torres

Objetivos Especficos

Consolidar en el presente documento los resultados, conclusiones, y recomendaciones de la
identificacin de activos, evaluacin y valoracin de riesgos, as como determinar las bases para
el tratamiento de riesgos y establecer el mapa de ruta o Plan Director de Seguridad de la
Informacin para XYZ Soluciones.

Definir y estructurar lineamientos, procesos y directrices en seguridad de la informacin y soportar
la posible construccin de un Sistema de Gestin de Seguridad de la Informacin (SGSI).

En general, mitigar riesgos, impacto o consecuencia que podran materializarse al infringir los
niveles de confidencialidad, integridad y disponibilidad adems de registrar y documentar:

La Identificacin de recursos crticos dentro de la operacin de Soporte y Servicios
Especializados de XYZ Soluciones.
La identificacin de las amenazas y vulnerabilidades a las que estn supeditados los
procesos y activos crticos durante su operacin.
La estimacin de la probabilidad de materializacin de cada una de las amenazas
identificadas al explotar vulnerabilidades existentes.
La estimacin del impacto de comprometer las operaciones del negocio y amenazar la
seguridad de la informacin con la materializacin de amenazas
La identificacin de consecuencias por afectacin interna o externa de las operaciones
del negocio y la seguridad de la informacin de la compaa.
La identificacin de los controles que actualmente se tienen implementados, y que
permiten la mitigacin en mayor o menor medida de las fuentes de riesgo.
La estimacin de los niveles de efectividad de los controles existentes.
La estimacin de los niveles de riesgo residual a los cuales an se encuentra expuesta la
operacin.
La identificacin de hallazgos y recomendaciones de mejora.

Facilitar los instrumentos suficientes para refinar compromisos a nivel de seguridad de la
informacin a travs de los diferentes roles y perfiles con metas como:

Operadores y usuarios: Garantizar que el uso de los activos de XYZ Soluciones y su
informacin por parte de Operadores y Usuarios, es congruente con las rdenes
administrativas, polticas, guas y reglas de la organizacin para mitigar los riesgos y
proteger adecuadamente los recursos. Adicionalmente, conocer los programas de
entrenamiento y concientizacin requeridos para estos perfiles.

Propietarios o Dueos de la informacin: Lograr que los propietarios (existentes dentro y
fuera de las reas) sean responsables por definir, aprobar y autorizar los lineamientos de
seguridad y cambios en sus sistemas, razn por la cual deben entender el rol que juegan
en la administracin de riesgos.

Administradores y Coordinadores de reas o dependencias: Como responsables de la
infraestructura y servicios de XYZ Soluciones (administradores Bases de Datos, Redes,
Procesamiento de la Informacin, Help, Seguridad Informtica) o custodios
comprometidos con la apropiada implementacin y monitoreo de los requerimientos de
seguridad demandados por la alta direccin y los dueos de la informacin.

Analista de monitoreo e incidentes: Contar con un grupo responsable de consolidar logs
y pistas de auditora y definir los procedimientos para monitorear los comportamientos
anormales o posibles incidentes y escalar en tiempos adecuados para tomar las medidas
de contencin necesarias o realizar investigaciones especiales bajo un procedimiento de
recoleccin de evidencia confiable sin afectar los derechos fundamentales de las
personas.

Oficial de Seguridad de la Informacin: Jugando un rol lder en la introduccin de una
apropiada y estructurada metodologa para ayudar a identificar, evaluar y minimizar los
TFM Plan de Seguridad de la Informacin Pg. 1' de 45 Luis Alejandro au!is!a Torres

riesgos de los sistemas que soportan la misin de la organizacin y cumpliendo funciones
como:

o Liderar y coordinar la implementacin de polticas de seguridad de la informacin.
o Evaluar y coordinar la implementacin de controles.
o Monitorear cambios significativos en los riesgos que afecten los activos de
informacin.
o Identificar las necesidades y recursos necesarios para el mantenimiento de los
niveles de seguridad adecuados.
o Identificar las necesidades de formacin, capacitacin o concienciacin.
o Actuar como asesor de la seguridad de la informacin.
o Responder al comit de seguridad de la informacin sobre el estado de la
investigacin y monitoreo de incidentes de seguridad.
o Presentar al comit informes peridicos del estado de la seguridad de la
informacin dentro de las reas y la organizacin en general.

Comit de Seguridad de la Informacin: Para que pueda estar conformado por los lderes
o responsables de las diferentes reas de la organizacin y determine, apruebe y de
seguimiento a polticas, planes y proyectos que requiera la entidad en materia de
seguridad de la informacin y responda por actividades como:

o Proponer cambios en mejora de los niveles de seguridad de la informacin.
o Mantener informada a la alta direccin sobre el estado general de la seguridad de
la informacin.
o Conocer, vigilar y apoyar las actividades del oficial de seguridad de la
informacin.
o Proponer iniciativas de inversin a nivel de seguridad de la informacin.
o Evaluar y aprobar metodologas y procesos especficos relativos a seguridad de
la informacin.
o Adoptar indicadores de gestin para seguridad de la informacin.
o Promover la difusin y apoyo en campaas de sensibilizacin o concienciacin.

Alta Direccin: Lograr que la Alta direccin, pueda mantener y apoyar formalmente los
proyectos y directrices a nivel de seguridad de la informacin a fin de garantizar la
participacin de todas las partes interesadas y sancionar los incumplimiento.

Adicionalmente, ayudar a XYZ Soluciones, a emplazar sus esfuerzos en fines como:

Disponer de las bases suficientes para establecer y mantener una poltica y estndares
de seguridad de informacin que cubra toda la organizacin.
Tener una metodologa estndar de evaluacin a procesos y actividades relacionados
con la seguridad de Informacin.
Establecer un programa de evaluacin peridica de vulnerabilidades sobre los activos de
la Organizacin.
Administrar conscientemente el programa de identificacin y clasificacin de activos de
informacin.
Establecer y documentar las responsabilidades de la organizacin en cuanto a seguridad
de informacin.
Identificar y Monitorear vulnerabilidades reconocidas sobre funciones de los proveedores.
Mejorar los procesos de control de incidentes de seguridad o violaciones de seguridad.
Coordinar todas las funciones relacionadas a seguridad, como seguridad fsica, seguridad
de personal y seguridad de informacin, etc.
Desarrollar y administrar con fundamento el presupuesto de seguridad de informacin.
Generar y ejecutar programas peridicos de concientizacin para comunicar aspectos
bsicos de seguridad de informacin y lineamientos.

TFM Plan de Seguridad de la Informacin Pg. "( de 45 Luis Alejandro au!is!a Torres

3 FASE 3: ESTADO DEL RIESGO: IDENTIFICACIN Y
VALORACIN DE ACTIVOS Y AMENAZAS
La presente seccin informa los resultados obtenidos del levantamiento de informacin de activos
crticos de XYZ Soluciones. La principal meta es caracterizar los elementos de infraestructura por
el tipo de activo, sus relaciones con otros activos y determinar en qu dimensiones de seguridad
son importantes y valorados.
3 3. .2 2 C CR RI IT TE ER RI IO OS S D DE E I ID DE EN NT TI IF FI IC CA AC CI I N N D DE E A AC CT TI IV VO OS S
Se denominan activos los recursos del sistema de informacin o relacionados con ste,
necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos
por su direccin. El activo esencial es la informacin; o sea los datos. Y alrededor de estos datos
se pueden identificar otros activos relevantes como:

Los equipos informticos que permiten hospedar datos, aplicaciones y servicios.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los servicios que se pueden prestar gracias a aquellos datos,
Los servicios que se necesitan para poder gestionar dichos datos
Los dispositivos de soporte para el almacenamiento de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente citados.

Dependiendo del tipo de activo, las amenazas y requerimiento de los controles pueden variar.
Cuando un sistema maneja datos de carcter misional, estos suelen ser importantes por s
mismos y requieren de controles minuciosos o regulados con mayor frecuencia.

Por otra parte, se debe tener presente que los activos que manejen datos de carcter misional,
siempre trascienden su importancia a todos los dems activos involucrados exigiendo de la
organizacin y sus responsables el mismo tratamiento y conservacin.
3 3. .3 3 C CA AR RA AC CT TE ER RI IZ ZA AC CI I N N Y Y T TI IP PI IF FI IC CA AC CI I N N D DE E L LO OS S A AC CT TI IV VO OS S
Para cada activo es necesario determinar las caractersticas que lo definen:

Cdigo o nombre, tpicamente procedente del inventario
Tipo de activo (Qu caracterizan el activo)
Servicios soportados
Datos o Informacin comprendida
Unidad responsable. (Custodia y Propiedad o explotacin).
Ubicacin geogrfica (en activos materiales)
Otras caractersticas especficas del tipo de activo.

Una vez identificadas las caractersticas que componen los activos estos pueden ser
representados bajo la siguiente clasificacin:

Equipos Informticos (Servicios / Informacin)
Redes de Comunicaciones
Soportes de Informacin
Instalaciones
TFM Plan de Seguridad de la Informacin Pg. "1 de 45 Luis Alejandro au!is!a Torres

Personal

Equipos informticos: son bienes materiales, fsicos, destinados a soportar directa o
indirectamente los servicios que presta la organizacin, siendo pues depositarios temporales o
permanentes de los datos, soporte de ejecucin de las aplicaciones informticas o responsables
del procesamiento y transporte de datos (Equipos de macro-procesamiento de datos, Servidores,
Microcomputadores, Equipo Mvil, Switch, Router, Firewall, IDS, IPS, etc.)

Redes de comunicaciones: incluye instalaciones dedicadas a servicios de comunicaciones
propios o contratados a terceros; pero siempre centrndose en que son medios de transporte que
llevan datos de un sitio a otro (Canales de comunicacin, interfaces de comunicacin, antenas,
etc.) Soportes de Informacin: se consideran otros equipos que sirven de soporte a los sistemas
de informacin como: dispositivos de almacenar datos de forma permanente o, al menos, durante
largos periodos de tiempo, fuentes de alimentacin, equipos de climatizacin, cableados,
mobiliarios, etc.

Instalaciones: Identifica los lugares fsicos donde se hospedan los sistemas de informacin y
comunicaciones (Edificaciones, Establecimientos, Oficinas, Centros de procesamiento de datos,
Zonas, etc.)

Personal y Funciones: En este nivel aparecen las personas y sus funciones relacionadas con los
sistemas de informacin (Desarrolladores, Operadores, Usuarios, etc.) Los servicios: aparecen
como las funciones que satisfacen las necesidades de los usuarios y tienen mltiples
denominaciones (Software, Sistemas Operativos, programas, aplicativos, desarrollos, etc.) y han
sido automatizadas para su desempeo.

Los Datos / Informacin: se muestran como elementos de informacin que, de forma singular o
agrupada, representan el conocimiento que se tiene de algo (Las aplicaciones gestionan, analizan
y transforman los datos permitiendo la explotacin de la informacin para la prestacin de los
servicios.)

Cabe resaltar que los activos ms llamativos suelen ser los datos y los servicios; pero estos
activos dependen de otros activos base como pueden ser los equipos, las comunicaciones o las
personas que trabajan con aquellos.

Se dice que un activo superior depende de otro activo inferior cuando las necesidades de
seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras
palabras, cuando la materializacin de una amenaza en el activo inferior tiene como
consecuencia un perjuicio sobre el activo superior.

Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la
seguridad de los activos superiores. Por esta razn, la estructura general del conjunto de activos
de la organizacin puede verse en capas de soporte a la informacin, donde las capas superiores
dependen de las inferiores:

Capa 1: Son activos que se precisan para garantizar las siguientes capas como el
entorno fsico, suministros de energa, climatizacin, edificios, mobiliarios, personal, etc.

Capa 2 y 3: el sistema de informacin propiamente dicho como los equipos informticos
hardware), aplicaciones (software), dispositivos de comunicaciones, soportes de
informacin (discos, cintas, etc.) y la informacin, los datos, meta-datos, ndices, claves
de cifra, etc.

Capa 4: las funciones misionales de la Organizacin, que justifican la existencia del
sistema de informacin y le dan finalidad

Capa 5: otros activos como credibilidad o buena imagen.

TFM Plan de Seguridad de la Informacin Pg. "" de 45 Luis Alejandro au!is!a Torres

Normalmente los activos inferiores acumulan el valor de los activos que se apoyan en ellos. Es
decir, el valor nuclear suele estar en la informacin (o datos) que el sistema maneja, quedando
los dems activos subordinados a las necesidades de explotacin y proteccin de la informacin
3 3. .4 4 V VA AL LO OR RA AC CI I N N D DE E L LO OS S A AC CT TI IV VO OS S
La valoracin de los activos depende de los atributos que hacen valioso el activo (Ej.:
Autenticidad, integridad, confidencialidad, disponibilidad, trazabilidad). Una dimensin es una
faceta o aspecto en particular (confidencialidad) y puede ser usada para valorar el activo de forma
independiente de lo que ocurra con otras dimensiones.

Para valorar los activos es muy importante usar una escala comn o criterio homogneo que
permita comparar anlisis realizados en ejercicios previos. Para nuestro caso, la valoracin es por
aproximacin cuantitativa para confidencialidad, integridad, disponibilidad y trazabilidad como se
establece en las ilustraciones 8 a 10 del presente documento y tomado en consideracin:

Obligaciones regulatorias y contractuales.
Intereses comerciales y econmicos
Afectacin financiera
Interrupcin del servicio

Los interrogantes a resolver con estos criterios de evaluacin son: Qu dao causara a la
Organizacin, el que la Informacin fuese conocida por quien no debe?. Qu perjuicio causara
que el activo valorado estuviera daado o suministrara informacin corrupta?. Qu perjuicio
causara el no tener o poder usar el activo valorado?. Qu niveles de Autenticidad y
trazabilidad son requeridos para el manejo adecuado de la informacin?

3 3. .# # I IN NV VE EN NT TA AR RI IO O D DE E A AC CT TI IV VO OS S
La estructura general del conjunto de activos crticos identificados en XYZ Soluciones es:

Capa 1: Activos que se precisan para garantizar las siguientes capas de soporte a la informacin
como el entorno fsico, suministros de energa, climatizacin, edificios, mobiliarios, personal, etc.

NOMBRE ACTIVO TIPIFICACION JERARQUIAS
EIXYZSOL17 Instalaciones CAPA 1
EIXYZSOL19 Soporte CAPA 1
EIXYZSOL73 Red CAPA 1

Ilustracin 14. Activos Capa 1

Instalaciones: Identifica el Centro de computo, lugar fsicos donde se hospedan los
sistemas de informacin y comunicaciones.

Soporte: son equipos de relacionados con aire acondicionado, UPS, alarmas de fuego,
etc. Vitales para garantizar el ambiente de funcionamiento adecuado para el centro de
cmputo y los sistemas de comunicacin e informacin hospedados.

Red de comunicaciones: incluye las instalaciones dedicadas a servicios de
comunicaciones contratados a terceros para el transporte de datos de XYZ soluciones
sus oficinas, instalaciones y clientes

Capa 2 y 3: el sistema de informacin propiamente dicho como los equipos informticos,
servidores, Microcomputadores, dispositivos de comunicaciones, dispositivos de seguridad,
TFM Plan de Seguridad de la Informacin Pg. "# de 45 Luis Alejandro au!is!a Torres

soportes de informacin (discos, cintas, etc.) con informacin de directrices de seguridad,
configuraciones comunicacin y acceso, aplicaciones, bases de datos y servicios suministrados
por XYZ Soluciones.

EIXYZSOL08 Hardware CAPA 2
EIXYZSOL04 Aplicacin CAPA 3

Ilustracin 15. Activos Capa 2 y 3

Un Dispositivo de Seguridad

Firewall - EIXYZSOL08

Tres equipos encargados de filtrar el acceso y navegacin en Internet y el correo
electrnico.

Proxy EIXYZSOL12
Internet EIXYZSOL35
Correo Electrnico EIXYZSOL36

Cuatro Equipos de Comunicaciones (Switches)

Switch EIXYZSOL14
Switch EIXYZSOL15
Switch EIXYZSOL16
Switch EIXYZSOL18

Dos Servidores: depositarios temporales o permanentes de datos y ejecucin de las
aplicaciones informticas de los clientes

WebServices - EIXYZSOL34
Servidor clientes Corporativos - EIXYZSOL32

Siete Aplicaciones que soportan servicios internos o de soporte a clientes de la
organizacin

Antivirus - EIXYZSOL04
AntiSpam - EIXYZSOL05
Help - EIXYZSOL21
Domain Controller - EIXYZSOL25
Financieras - EIXYZSOL45
Servicios en lnea - EIXYZSOL46

Bases de datos y Reporte de Servicios - EIXYZSOL46

Capa 4: Informacin o datos de las funciones misionales de la Organizacin, que justifican la
existencia del sistema de informacin o le dan finalidad

EIXYZSOL33 Datos CAPA 4
EIXYZSOL40 Personal CAPA 4
EIXYZSOL70 Personal CAPA 4

Ilustracin 16. Activos Capa 4
3 3. .$ $ % %E ER RE EN NC CI IA AS S
Es necesario resaltar que los activos ms importantes suelen ser los datos; por lo cual activos
base como aplicaciones y servidores (de los que dependen para el procesamiento adecuado de la
informacin) heredan la criticidad y niveles de valoracin dados a los activos clasificados como
informacin.

La siguiente Ilustracin muestra un resumen del cdigo identificador de los activos que heredan
su valoracin e importancia a otros activos de capas inferiores.

HERENCIAS
ACTIVOS CAPA 1 CAPA 2 Y 3 CAPA 4 CAPA 5
CAPA 1
1,2,3 N/A N/A N/A
CAPA 2 Y 3
4 al 20 4 al 20 N/A N/A
CAPA 4 21,22,24 y
26 al 29
21,22,24 y
26 al 29
21,22,24 y
26 al 29 N/A
CAPA 5
N/A N/A N/A N/A

Ilustracin 17. Herencia de los Activos

El anexo Act_Consolidado.pdf ADICIONALMENTE suministra detalles de la identificacin y
valoracin de activos, con base en la peso de la informacin bajo los umbrales de Autenticidad,
Confidencialidad, Integridad, Disponibilidad y Trazabilidad.
3 3. .& & A AN N L LI IS SI IS S D DE E A AM ME EN NA AZ ZA AS S
Las amenazas son eventos inesperados con el potencial para causar daos. Las amenazas
explotan las vulnerabilidades presentes en las tecnologas, las personas o los procesos. Las
amenazas se conocen como causas de riesgos, esto es, si la amenaza no explota una
vulnerabilidad el riesgo no acontece. Algunas vulnerabilidades ms notorias y registradas durante
las entrevistas son la falta de seleccin y validacin de zonas crticas, la falta de buenas prcticas
para administracin y operacin de las dependencias, La falta de lineamientos bsicos de
seguridad, la falta de procedimientos documentados y manuales, informacin no clasificada, y
ausencia de planes de continuidad.


A continuacin se registra la estadstica de vulnerabilidades ms referenciadas por los
entrevistados o identificadas durante las visitas a sitio.

Ilustracin 18. Vulnerabilidades
De acuerdo con el Anexo C de la norma NTC-ISO/IEC 27005 las categoras de amenazas o
fuentes de amenazas se pueden clasificar en:

A_ Dao Fsico
B_ Eventos Naturales
C_ Prdida de servicios esenciales
D_ Perturbacin por radiacin
E_ Compromiso de la informacin
F_ Fallas Tcnicas
G_ Acciones no Autorizadas
H_ Compromiso de la Funciones
I_ Errores Humanos
J_ Fallas en la gestin y operacin del servicio

Para la elaboracin del presente informe, por cada activo de informacin se indag a los
responsables de atender las entrevistas, acerca de las posibles amenazas potenciales (pueden
suceder) y reales (han sucedido). Esta informacin se consolido en tablas de Excel y a
continuacin se presentan estadsticas de anlisis a los resultados obtenidos agrupando las
amenazas por su categora:

Vulnerabilidades Identificadas

TFM Plan de Seguridad de la Informacin Pg. "$ de 45 Luis Alejandro au!is!a Torres

Ilustracin 19. Amenazas por Categora

La categora ms representativa y que ms debe preocupar a XYZ Soluciones es la
correspondiente a COMPROMISO DE LA INFORMACION que comprende amenazas como
Errores humanos, Accidentes Laborales, Divulgacin, Interceptacin, Escucha encubierta o
Espionaje, manipulacin del hardware, manipulacin del software, entre otros. Dichos actos
afectan principalmente a los recursos de la Organizacin, puesto que son las barreras a vencer
por posibles atacantes internos y externos. Hay varias circunstancias particulares que explican el
por qu en esta categora es la que ms se concentran las amenazas y son:

Insuficiencia de personal a nivel de seguridad de la informacin.
Carencias en la generacin y distribucin de Polticas de Seguridad.
Carencias en la generacin de lineamientos de seguridad plenamente definidos.
Deficiencia en la capacitacin y concienciacin en temas de seguridad de la informacin.
Deficiencias en la asignacin formal de funciones y responsabilidades
Deficiencia en la segregacin de funciones y acuerdos de confidencialidad

La categora de ACCIONES NO AUTORIZADAS se ubica en segundo lugar principalmente por
accesos no autorizados y la ausencia de esquemas fuertes de control de acceso (fsico y lgico).
Tambin afecta de manera importante la falta de asignacin formal de responsabilidades,
segregacin de funciones, acuerdos de confidencialidad y acuerdos de niveles de servicio.

La categora de " DAO FISICO concentra amenazas como Contaminacin, Polvo, Corrosin,
congelamiento y Temperatura o humedad extremas y se ubica en tercer lugar debido a que las
condiciones fsicas del Centro de Cmputo.

Dicho activo no cuentan con esquemas confiables para soportar el apropiado funcionamiento y
operacin de los recursos crticos de la Organizacin.

Las amenazas presentes por FALLAS TECNICAS se deben principalmente a que XYZ
Soluciones mantiene un nivel alto de dependencia de software sobrellevado en plataformas
antiguas y no estandarizadas, que requieren de migracin y unificacin inmediata con niveles de
seguridad adecuados.

La categora de EVENTOS NATURALES se deben a que son elementos externos que pueden
ocurrir en cualquier lugar y a cualquier organizacin, para los cuales no se cuenta con un proceso
de continuidad con el nivel apropiado En la siguiente grfica se presenta la distribucin de las
amenazas identificadas:
Amenazas por Categora

16,22%
14,05%
22,16%
15,14%
17,84%
13,51%
1,08%
A_Dao Fsico
B_Ev!"os Na"#$als
E_%o&'$o&iso ( la i!)o$&aci*!
F_Fallas +,c!icas
-_Accio!s !o A#"o$i.a(as
/_%o&'$o&iso ( la F#!cio!s
0_Fallas ! la 1s"i2! y o'$aci2!
(l s$vicio
TFM Plan de Seguridad de la Informacin Pg. "% de 45 Luis Alejandro au!is!a Torres

Ilustracin 20. Distribucin de Amenazas

Las principales amenazas identificadas son:

Errores humanos: Esta amenaza se presenta en mayor medida siempre que la organizacin no
realice programas de conciencia y capacitacin a nivel de seguridad de la informacin, genere y
monitoree lineamientos y directrices de seguridad o realice auditoras internas de desempeo,
seguridad y clima organizacional de manera peridica.

Contaminacin, polvo, corrosin, temperatura y humedad extrema: Por las deficiencias en
las condiciones fsicas localizadas sobre puntos crticos o nicos de falla como el centro de
cmputo e instalacin de soporte a equipos de comunicacin y procesamiento de datos que
salvaguardan los activos de informacin de todo XYZ Soluciones.

Acceso fsico no autorizado: Se encuentran identificados de igual forma sobre puntos nicos de
falla (principalmente sobre el centro de cmputo). Un incidente por acceso no autorizado sobre
este recurso se convierte en una gran amenaza para la continuidad de los servicios.

Fallas de software: Las mltiples aplicaciones de software no estandarizadas y soportadas por
fabricantes, se convierten en espacios crticos de falla, que afectan en todo momento la
prestacin de los servicios.

Desastres Naturales: Dentro de las amenazas principales se encuentra la posibilidad de un
desastre natural que exige de la Organizacin se cuente con un proceso de continuidad con el
nivel apropiado.
3 3. .' ' E ES ST TI IM MA AC CI I N N D DE EL L R RI IE ES SG GO O( ( P PR RO O! !A A! !I IL LI ID DA AD D E E I IM MP PA AC CT TO O

Los resultados de las entrevistas tambin permitieron establecer que las amenazas identificadas
como relevantes conducen a los siguientes impactos tipificados segn la norma ISO 27005:

AMENAZA IMPACTO
Errores
Humanos -
Operacin
Alteracin / perdida o Fuga de Informacin
Costos Excesivos
Dao / Prdida de activos o Indisponibilidad colateral de otros servicios
Distribucin de Amenazas

17,62%
13,22%
12,78%
12,33%
11,89%
11,45%
11,01%
2,64%
1,76%
1,76% 1,32% 1,32% 0,88%
E$$o$s /#&a!os 3 4'$aci*!
%o!"a&i!aci*!, 5olvo, %o$$osi*!,
co!1la&i!"o
+&'$a"#$a o 6#&(a(
7"$&as
Accso )sico !o a#"o$i.a(o
Fallas ( 89
Dsas"$s Na"#$als
TFM Plan de Seguridad de la Informacin Pg. "& de 45 Luis Alejandro au!is!a Torres

AMENAZA IMPACTO
Informacin para la toma de decisiones errada o inoportuna
Interrupcin del servicio o del negocio
Prdida de credibilidad, competitividad o imagen de la entidad
Prdida de productividad de los empleados
Sanciones econmicas o legales
Contaminacin,
Polvo,
Corrosin,
congelamiento
Costos Excesivos
Ingresos Deficientes
Temperatura o
humedad
extremas
Costos Excesivos
Ingresos Deficientes
Acceso fsico
/lgicos no
autorizado
Fraude/Robo o malversacin de fondos
Fallas de SW
Desastres
Naturales

Ilustracin 21. . Impactos o consecuencias por materializacin de amenazas

Para cada una de las amenazas identificadas tambin se indag por la probabilidad de ocurrencia
y el impacto con base en los niveles definidos en las ilustraciones 3 y 4 del presente documento y
estableciendo las consecuencias que puede producir la materializacin de dichas amenazas.

A continuacin se presenta de forma grfica los principales impactos que enfrenta la
Organizacin. Las escalas numricas que aparecen indican la frecuencia con que un impacto fue
asociado por los entrevistados a los diferentes recursos de infraestructura.
TFM Plan de Seguridad de la Informacin Pg. "' de 45 Luis Alejandro au!is!a Torres

Ilustracin 22. Distribucin de impactos

En la grfica se puede apreciar que los riesgos ms mencionados son:

Prdida de Productividad de los Empleados: La principal preocupacin es por la dependencia
generalizada de los clientes de XYZ Soluciones por el uso de recursos tecnolgicos y activos de
informacin que all se manejan.

Alteracin prdida o fuga de Informacin, Dao de Activos e Interrupcin del servicio: Son
riesgos inherentes favorecido por vulnerabilidades como ausencia de lineamientos de seguridad,
software no estandarizado, especificaciones incompletas o no claras para administradores y
operadores, puntos nicos de falla (redes y comunicaciones), procedimientos inadecuados de
contratacin, uso inadecuado del hardware o software y falta de conciencia y entrenamiento a
nivel de seguridad entre otros.

Informacin para la toma de decisiones errada o inoportuna: La mayor preocupacin es
generada por el promedio mximo de recuperacin de los servicios para los clientes que debe ser
inferior a 4 horas.
3 3. .) ) E EF FE EC CT TI IV VI ID DA AD D D DE E L LO OS S C CO ON NT TR RO OL LE ES S. .
Los controles identificados durante el proceso de entrevistas son categorizados de la siguiente
forma:

.
Tipo Explicacin Ejemplos de controles
Preventivo
Evitan que la amenaza se
materialice
Acceso por contraseas
Cifrado de mensajes
Autenticacin fuerte
Detectivo
Alertan sobre violaciones o intentos
de violacin de la poltica de
seguridad
Pistas de auditora
Sistemas de deteccin de intrusos IDS
Dgitos de chequeo
Correctivo
Se utilizan para restaurar recursos
de computacin perdidos o
Restauracin de sistemas y datos
Plan de recuperacin de desastres
Distribucin de Impactos

16,67%
16,25%
15,83%
15,83%
15,00%
12,50%
3,33%
2,50% 1,67%
0,42%
5,$(i(a ( '$o(#c"ivi(a( ( los
&'la(os
Al"$aci*! / '$(i(a o F#1a (
:!)o$&aci*!
Dao / 5,$(i(a ( ac"ivos o
:!(is'o!i;ili(a( cola"$al (
o"$os s$vicios
:!"$$#'ci*! (l s$vicio o (l
!1ocio
:!)o$&aci*! 'a$a la "o&a (
(cisio!s $$a(a o i!o'o$"#!a
TFM Plan de Seguridad de la Informacin Pg. #( de 45 Luis Alejandro au!is!a Torres

Tipo Explicacin Ejemplos de controles
daados
Sistemas automticos de extincin de incendios
Automtico
El control se ejecuta sin
intervencin humana
Control de acceso biomtrico
Manual
Es requerida la intervencin
humana para la ejecucin del
control
Inspeccin fsica de paquetes, bolsos, etc.
Entrevistas de seleccin
Procedimientos de aprobacin
Mandatorio El control se ejecuta siempre
Verificacin de antecedentes
Discrecional
La ejecucin del control es
potestativa de una persona o grupo
de personas
Aseguramiento de plataformas (actualizacin de parches,
desactivacin de puertos y servicios)
Revisin de logs de acceso

Ilustracin 23. Categoras de los controles

A continuacin se identifican los controles ms mencionados o difundidos para mitigacin de
riesgos relacionados con los activos de informacin.

Ilustracin 24. Controles difundidos
Controles ms difundidos

TFM Plan de Seguridad de la Informacin Pg. #1 de 45 Luis Alejandro au!is!a Torres

4 FASE 4: AUDITORA DE CUMPLIMIENTO DE LA
ISO:IEC 2&002:200#
La presente seccin registra un GAP_Analysis (anlisis de brecha) de seguridad para XYZ
Soluciones el cual consiste en identificar el nivel de eficiencia y eficacia de los controles
existentes en la organizacin para proteger la integridad, confidencialidad y disponibilidad de
sus activos de informacin.
4 4. .2 2 M ME ET TO OD DO OL LO OG G A A
Dentro de las diferentes metodologas para establecer el nivel de madurez alcanzado por
controles implementados para una organizacin, la valoracin propuesta por el Engineering
Institutes Capability Maturity Model (CMM) y adoptada en el presente ejercicio, requiere las
siguientes mtricas de comprobacin:

0 No Existente: No hay procesos de control reconocidos. La organizacin no reconoce el
problema y por ende la necesidad de su tratamiento.

1 Inicial / Ad hoc: La organizacin reconoce un problema que debe ser tratado. No existen
procesos estandarizados sino procedimientos particulares aplicados a casos individuales.

2 Repetible pero intuitivo: Se desarrollan procesos para ser aplicados por personas diferentes
entendiendo las mismas tareas. No hay una comunicacin ni entrenamiento formal y la
responsabilidad recae sobre los individuos. Excesiva confianza en el conocimiento de los
individuos, por tanto, los errores son comunes.

3 Procesos definidos: Los procesos se definen, documentan y se comunican a travs de
entrenamiento formal. Es obligatorio el cumplimiento de los procesos y por tanto la posibilidad
de detectar desviaciones es alta. Los procedimientos por si mismos no son sofisticados pero se
formalizan las prcticas existentes.

4 Administrados y medibles: Existen mediciones y monitoreo sobre el cumplimiento de los
procedimientos. Los procedimientos estn bajo constante mejoramiento y proveen buenas
prcticas. Normalmente requiere de herramientas automatizadas para la medicin.

5 Optimizado: Los procesos se refinan a nivel de buenas prcticas con base en los resultados
del mejoramiento continuo y los modelos de madurez de otras empresas.
4 4. .3 3 E EV VA AL LU UA AC CI I N N D DE E L LA A M MA AD DU UR RE EZ Z
Actualmente XYZ soluciones no cuenta con un SGSI o prcticas alineadas con la normatividad
requerida para certificacin en temas de seguridad de la informacin.

De acuerdo a los datos aportados por los funcionarios entrevistados, en XYZ Soluciones el
compromiso de seguridad de informacin solo se concentra sobre el rea de seguridad
Informtica, donde se realizan bajo funcin y aprobacin de un Analista de Seguridad,
actividades de administracin tcnica o a nivel de maquinas con gestin de dispositivos como
firewall, IPS y antivirus entre otras.

Las reas de Bases de Datos, Redes, Procesamiento de la Informacin cuentan con
Administradores o Coordinadores. Todos ellos, encargados de labores administrativas y

TFM Plan de Seguridad de la Informacin Pg. #" de 45 Luis Alejandro au!is!a Torres

operativas que ajustan sus actividades con prcticas bsicas a nivel de seguridad de la
informacin como uso de usuarios y contraseas seguras.

El rea de Help cumple con labores de soporte bsico (primer nivel) a solicitudes de pre-
configuracin de equipos, instalacin y soporte a sistemas operativos y aplicaciones de
software avalando lineamientos funcionales como la creacin de perfiles bsicos de usuario
para operacin bsica de funciones y servicios en los sistemas.

Es importante reconocer que concluidas las entrevistas, se pudo observar la existencia de
directivas administrativas que cubren distintos aspectos de la seguridad de la informacin de
forma aislada. Sin embargo, la Organizacin en general necesita adoptar mayor cantidad de
prcticas que permitan gestionar la seguridad de la informacin y establecer mayor nmero de
responsabilidades.

Haciendo una validacin frete a los objetivos de control de la norma ISO 27001 y con ayuda de
la mtrica CMM de COBIT, se pudo establecer que los niveles de madurez alcanzados son de
grado cero0 - No Existente en algunos dominios y el mximo nivel de madurez encontrado es
de 3 Procesos definidos

4 4. .4 4 P PR RE ES SE EN NT TA AC CI I N N D DE E R RE ES SU UL LT TA AD DO OS S

A continuacin se emiten las principales conclusiones del anlisis gap ISO 27002 por cada
dominio:

Poltica de seguridad de la informacin: La existencia, revisin y cumplimiento de Polticas
de Seguridad de la Informacin es solo una idea / no existe. Se requiere definir, documentar e
implementar las directrices con un alcance definido y procurando el compromiso de la Alta
Direccin.

POLTICA DE SEGURIDAD
CTROL - ISO Aplica CMM % CMM
5.1
5.1.1
S 1 20,00%
5.1.2
S 0 0,00%
Total 2 0 0,10%

Ilustracin 25. Cumplimiento Dominio A5 / ISO 27001

Organizacin de la seguridad de la informacin: La implementacin de controles de este
Dominio tambin se encuentra prcticamente en nivel 0 (inexistente). Se requiere trabajar en
controles bsicos como, lograr mayor compromiso de la Alta Direccin con la seguridad de la
informacin, depuracin de roles y perfiles con asignacin formal de responsabilidades y
renovacin de acuerdos de confidencialidad

ORGANIZACIN DE LA SEGURIDAD
CTROL - ISO Aplica CMM % CMM
6.1

6.1.1
S 0 0,00%
6.1.2
S 0 0,00%
6.1.3
S 0 0,00%
6.1.4
S 0 0,00%
6.1.5
S 0 0,00%

TFM Plan de Seguridad de la Informacin Pg. ## de 45 Luis Alejandro au!is!a Torres

ORGANIZACIN DE LA SEGURIDAD
6.1.6
S 1 20,00%
6.1.7
S 0 0,00%
6.1.8
S 0 0,00%
6.2

6.2.1
S 0 0,00%
6.2.2
S 0 0,00%
6.2.3
S 0 0,00%
11 0 1,82%

Gestin de Activos: En general este Dominio se encuentra en nivel de madurez 1 (Inicial/Ad
hoc). Dada la relevancia de la informacin que se gestiona de los clientes, es primordial
desarrollar e implementar un apropiado conjunto de procedimientos para clasificar y manejar la
informacin.

GESTION DE ACTIVOS
CTROL Aplica CMM % CMM
7.1
7.1.1
S 1 20,00%
7.1.2
S 1 20,00%
7.1.3
S 2 40,00%
7.2

7.2.1
S 1 20,00%
7.2.2
S 0 0,00%
5 1 0,20%


Seguridad de los recursos humanos: Este dominio tiene un nivel de madurez 3 debido a las
directrices fuertemente vigiladas por el estado y por normatividad interna. Sin embargo a travs
de auditoras peridicas se deben escudriar mejoras, ya que un incidente de seguridad
relacionado con este tema podra poner en riesgo la confidencialidad de informacin.

RECURSOS HUMANOS
8.1
8.1.1
S 3 60,00%
8.1.2
S 3 60,00%
8.1.3
S 3 60,00%
8.2

8.2.1
S 3 60,00%
8.2.2
S 3 60,00%
8.2.3
S 3 60,00%
8.3

8.3.1
S 3 60,00%
8.3.2
S 3 60,00%
8.3.3
S 3 60,00%
9 3 0,60%



Seguridad fsica y del entorno: Este dominio se encuentra en nivel de madurez 1 (Inicial/Ad
hoc), y es necesario fortalecer la implementacin de controles como sistemas de tarjetas de
acceso inteligente, bitcoras de ingreso a zonas restringidas, CCTV, alarmas y equipos de
deteccin de incendios, entre otros

SEGURIDAD FISICA Y DEL ENTORNO
9.1
9.1.1
S 2 40,00%
9.1.2
S 2 40,00%
9.1.3
S 3 60,00%
9.1.4
S 1 20,00%
9.1.5
S 1 20,00%
9.1.6
S 1 20,00%
9.2

9.2.1
S 3 60,00%
9.2.2
S 3 60,00%
9.2.3
S 3 60,00%
9.2.4
S 3 60,00%
9.2.5
S 0 0,00%
9.2.6
S 0 0,00%
9.2.7
S 3 60,00%
13 1 0,38%


Gestin de operaciones y comunicaciones: Este dominio se encuentra en nivel de madurez
1 (Inicial/Ad hoc) y concentra la mayora de controles en soluciones de nivel tcnico olvidando
procedimientos y intervenciones administrativas.

GEST. DE COMUNICACIONES Y OPER.
10.1
10.1.1 S 2 40,00%
10.1.2 S 2 40,00%
10.1.3 S 2 40,00%
10.1.4 S 2 40,00%
10.2
10.2.1 S 0 0,00%
10.2.2 S 0 0,00%
10.2.3 S 0 0,00%
10.3
10.3.1 S 2 40,00%
10.3.2 S 2 40,00%
10.4
10.4.1 S 3 60,00%
10.4.2 S 0 0,00%
10.5
10.5.1 S 2 40,00%
10.6
10.6.1 S 0 0,00%
10.6.2 S 3 60,00%
10.7
10.7.1 S 0 0,00%
10.7.2 S 0 0,00%
10.7.3 S 0 0,00%
10.7.4 S 1 20,00%
10.8


GEST. DE COMUNICACIONES Y OPER.
10.8.1 S 3 60,00%
10.8.2 S 3 60,00%
10.8.3 S 1 20,00%
10.8.4 S 1 20,00%
10.8.5 S 3 60,00%
10.9
10.9.1 N
10.9.2 N
10.9.3 S 3 60,00%
10.10
10.10.1 S 0 0,00%
10.10.2 S 0 0,00%
10.10.3 S 0 0,00%
10.10.4 S 2 40,00%
10.10.5 S 2 40,00%
10.10.6 S 2 40,00%
30 1 31,54%


Control de acceso: La implementacin de controles de este Dominio se encuentra en un nivel
de madurez 2 (Repetible pero intuitivo). Los puntos ms importantes por trabajar son:
Revisin de los derechos de acceso de los usuarios Polticas de escritorios limpios y
estaciones desatendidas, tiempo de inactividad de sesin, limitacin del tiempo de conexin,
entre otras.

CONTROL DE ACCESO
11.1
11.1.1
S 2 40,00%
11.2

11.2.1
S 2 40,00%
11.2.2
S 1 20,00%
11.2.3
S 3 60,00%
11.2.4
S 0 0,00%
11.3

11.3.1
S 3 60,00%
11.3.2
S 1 20,00%
11.3.3
S 1 20,00%
11.4

11.4.1
S 3 60,00%
11.4.2
S 3 60,00%
11.4.3
S 3 60,00%
11.4.4
S 3 60,00%
11.4.5
S 3 60,00%
11.4.6
S 3 60,00%
11.4.7
S 3 60,00%
11.5

11.5.1
S 3 60,00%
11.5.2
S 3 60,00%
11.5.3
S 3 60,00%
11.5.4
S 3 60,00%
11.5.5
S 2 0,00%
11.5.6
S 2 0,00%
11.6

TFM Plan de Seguridad de la Informacin Pg. #$ de 45 Luis Alejandro au!is!a Torres

CONTROL DE ACCESO
11.6.1
S 3 60,00%
11.6.2
S 2 40,00%
11.7

11.7.1
S 2 40,00%
11.7.2
N
24 2 44,17%


Adquisicin, desarrollo y mantenimiento de software: Este dominio se encuentra en nivel
de madurez 2 (Repetible pero intuitivo). Sin embargo se requiere implementar procesos de
control de cambios y separacin de ambientes para minimizar los riesgos por acceso no
autorizado a datos de produccin o activacin de cambios sin previa verificacin de alcances.

DESARROLLO Y MANT. DE SISTEMAS
12.1
12.1.1 S 2 40,00%
12.2
12.2.1 S 2 40,00%
12.2.2 S 2 40,00%
12.2.3 S 3 60,00%
12.2.4 S 3 60,00%
12.3
12.3.1 S 2 0,00%
12.3.2 S 1 0,00%
12.4
12.4.1 S 2 40,00%
12.4.2 S 2 0,00%
12.4.3 S 2 0,00%
12.5
12.5.1 S 2 40,00%
12.5.2 S 2 40,00%
12.5.3 S 3 60,00%
12.5.4 S 2 40,00%
12.5.5 S 1 0,00%
12.6
12.6.1 S 2 20,00%
16 2 0,30%


Gestin de incidentes de seguridad: Este dominio se encuentra en nivel de madurez 2
(Repetible pero intuitivo). Es necesario documentar con mayor detalle los procedimientos
relacionados con reporte de incidentes, y determinar los responsables por la evaluacin y
seguimiento de los mismos.

GESTION DE INCIDENTES
13.1
13.1.1
S 2 40,00%
13.1.2
S 2 40,00%
13.2

13.2.1
S 2 40,00%
13.2.2
S 2 40,00%

TFM Plan de Seguridad de la Informacin Pg. #% de 45 Luis Alejandro au!is!a Torres

GESTION DE INCIDENTES
13.2.3
S 2 40,00%
5 2 0,40%


Gestin de la continuidad del negocio: Este dominio, el cual se encuentra en nivel de
madurez 0 arriesga la subsistencia de la organizacin y varios clientes ya que no se dispone de
infraestructura, conciencia, ni procedimientos relacionados para superar eventos catastrficos
que afecten la operacin y normal funcionamiento de la Organizacin.

CONTINUIDAD DEL NEGOCIO
14.1
14.1.1
S 0 0,00%
14.1.2
S 0 0,00%
14.1.3
S 1 20,00%
14.1.4
S 0 0,00%
14.1.5
S 0 0,00%
5 0 0,04%


Cumplimiento: Este dominio se encuentra en nivel de madurez 0 (inexistente), por lo cual es
necesario trabajar esencialmente en todo lo relacionado con:
Proteccin de los registros de la DNIE
Proteccin de los Datos y privacidad de la informacin personal
Prevencin del uso inadecuado de los servicios de procesamiento de informacin.

CUMPLIMIENTO
15.1
15.1.1
S 1 20,00%
15.1.2
S 1 20,00%
15.1.3
S 1 20,00%
15.1.4
S 1 20,00%
15.1.5
S 0 0,00%
15.1.6
S 0 0,00%
15.2

15.2.1
S 0 0,00%
15.2.2
S 0 0,00%
15.3

15.3.1
S 1 20,00%
15.3.2
S 1 20,00%
10 0 0,12%


TFM Plan de Seguridad de la Informacin Pg. #& de 45 Luis Alejandro au!is!a Torres

Consolidando los niveles de madurez alcanzados sobre los 130 controles aplicables podemos
encontrar que:

30,83% estn en nivel 0
2,26% No aplican para la Organizacin

A continuacin se comparan los niveles de madurez alcanzados con cada dominio de la norma
ISO 27002 frente a las prcticas recomendadas.

Ilustracin 36. Madurez de los Controles
4 4. .# # C CO ON NC CL LU US SI IO ON NE ES S
La organizacin requiere implementar mayor nmero de controles y mejorar la eficacia de los
existentes con jornadas de sensibilizacin y divulgacin de directrices en seguridad de la
informacin.

Los controles y procesos manejados por la organizacin deben ser conocidos por todos los
funcionarios de la organizacin adems de controlados y mejorados.

Es importante concientizar a todos los funcionarios que la seguridad de la informacin es
responsabilidad de todos.

BUENAS PRACTICAS Vs. NIVEL DE MADUREZ ALCANZADO

0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
01< 54=>+:%A DE
8E-?@:DAD
02<
4@-AN:AA%:BN
DE =A
8E-?@:DAD
03< -E8+:4N DE
A%+:C48
04< @E%?@848
/?DAN48
05< 8E-?@:DAD
F:8:%A E DE=
EN+4@N4
06< -E8+< DE
%4D?N:%A%:4N
E8 E 45E@<
07< %4N+@4= DE
A%%E84
08< DE8A@@4==4
E DAN+< DE
8:8+EDA8
09< -E8+:4N DE
:N%:DEN+E8
10<
%4N+:N?:DAD
DE= NE-4%:4
11<
%?D5=:D:EN+4
A%+?A=
+A@-E+

TFM Plan de Seguridad de la Informacin Pg. #' de 45 Luis Alejandro au!is!a Torres

# FASE #: PROPUESTAS DE PROYECTOS
# #. .1 1 I IN NT TR RO OD DU UC CC CI I N N
La presente seccin identifica planes de tratamiento de riesgos que incorporan proyectos de
seguridad de la informacin, acciones rpidas y/o de contingencia para mitigar riesgos
identificados en la fase de anlisis sobre activos de informacin de XYZ Soluciones.

La principal meta es suministrar un documento base que permita establecer las medidas de
seguridad demandadas para mitigar los riesgos identificados

# #. .2 2 P PR RO OP PU UE ES ST TA AS S P PR RO OY YE EC CT TO OS S
Diseo e Implementacin del Sistema de Gestin de Seguridad de la Informacin (SGSI).
Propsito del Plan:
Disear y adoptar un modelo de gestin de seguridad de la informacin que facilite establecer,
revisar, mantener y mejorar los niveles de seguridad demandados por el estado, los clientes y
toda la Organizacin.

Situacin actual:
Se realizan esfuerzos aislados por mantener niveles de seguridad adecuados sobre sus
plataformas y servicios de la Organizacin.

Requerimientos Legales:
Las organizaciones requiere dar uso adecuado de la Informacin para cumplir con
requerimientos hechos por disposiciones dadas a travs de: La Constitucin Espaola CE,
LOPD, Cdigo Penal CP , LEC, estndares Internacionales de Seguridad de la Informacin
como ISO27001:2005, entre otras.

Identificacin de recursos y actividades:
El apoyo de la alta direccin, seguido de la formalizacin del cargo de Oficial de Seguridad de
la Informacin y la vinculacin de un especialista en gestin de incidentes.

Posteriormente la capacitacin de lderes de las diferentes reas en temas de seguridad y la
conformacin de un comit de seguridad encargado de ejecutar, apoyar y monitorear los
cambios requeridos sobre toda la Organizacin.

El desarrollo de Polticas, Normas y Procedimientos de seguridad de la Informacin que den
respuesta a los objetivos de control y controles establecidos por ISO27001 es el principal
entregable de esta actividad.

Campaa de sensibilizacin difundiendo la importancia de las buenas prcticas de seguridad
que tienen aprobacin de la Alta Direccin y sern exigidas en toda la Organizacin.

Prioridad: Alta - Corto Plazo

Tempos Estimados:
La dimensin de los cambios y ajustes requeridos sobre todas las dependencias son un factor
decisivo, pero se puede estimar avances significativos al trmino de un ao contando con el
apoyo de un comit de Seguridad.

Implementacin de un Plan de Continuidad del Negocio

Propsito del Plan:

TFM Plan de Seguridad de la Informacin Pg. 4( de 45 Luis Alejandro au!is!a Torres

Tratar de reducir los riesgos relacionados situaciones poco probables y difcil de evitar como:
desastres naturales, incendios, fallos elctricos prolongados, conmocin o atentados terroristas
por nombrar algunos.

Situacin actual:
Se mantienen los servicios core del negocio con operacin bsica y sin opcin de respuesta
oportuna ante situaciones de desastre.

Identificacin de recursos:

El anlisis de impactos sobre procesos implicados en la misin del negocio son el eje principal
de todo Plan de Continuidad del Negocio, Este proceso es conocido formalmente como BIA
(Business Impact Analisys) y se sugiere contar inicialmente con asistencia o consultora de
personal experto para la valoracin y anlisis de consecuencias econmicas.

Adicionalmente y por ser un elemento estratgico, requiere del apoyo continuo de la alta
direccin y participacin activa de lderes administrativos de las diferentes reas de la
Organizacin.

Prioridad: Alta - Corto Plazo

Tempos Estimados:
Cuatro meses para superar la etapa inicial (BIA y Definicin de estrategias de continuidad) y 6
meses en documentacin y probas los planes.

Marco de trabajo para Control de Operaciones

Propsito del Plan:
Contar con un marco de trabajo ampliamente aceptado (Ej: ITIL) para el gobierno y control de
operaciones.

Situacin actual:
Hay diversificacin de razonamientos, mtodos implantados, trminos manejados, criterios de
evaluacin adoptados que dificultan y generan contratiempos en la operacin diaria de las
diferentes dependencias.

La adopcin de un marco de trabajo estndar permite:

Facilitar el gobierno de las reas, protegiendo los intereses de los stakeholders
(clientes, accionistas, empleados, etc.)
Optimizar la eficacia y eficiencia de los procesos y actividades de la organizacin
Mejorar los niveles de confidencialidad, integridad y disponibilidad de la informacin
Responder al cumplimiento normativo del sector al que pertenezca la organizacin

Apoyo de la alta direccin, seguido de la adquisicin de asesora o consultora para implantar el
marco de trabajo seleccionado. Posteriormente capacitacin de lderes y usuarios de las
diferentes dependencias de XYZ Soluciones

Prioridad: Moderada - Largo Plazo

Tiempos Estimados:
Contando con la disposicin requerida se estima un perodo de doce meses para vislumbrar
cambios significativos.

Clasificacin de la Informacin

Propsito del Plan:


La informacin tratada por la Organizacin necesita identificar prioridades de manejo y grado
de proteccin esperado.

Situacin actual:
La informacin de las diferentes dependencias de la Organizacin tiene desiguales grados de
sensibilidad e importancia. Sin embargo, la Organizacin no tiene definido niveles de
clasificacin, ocasionando exposicin por errores humanos, uso inadecuado de la informacin
o actos mal intencionados.

Apoyo en marcos de referencia como ISO 900l, ISO 27001 y lderes de las diferentes
dependencias para la implantacin, concienciacin y exigencia de los procesos.

Prioridad: Mediano Plazo

Tiempo estimado de ejecucin: 1 a 6 meses

Entregables: Niveles de proteccin y categorizacin de la informacin, procesos de
clasificacin de la informacin y concienciacin al interior de la Organizacin.

Concienciacin en Seguridad de la Informacin

Propsito del Plan:
Disear y ejecutar un plan de concientizacin en seguridad de la informacin que permita
agrupar esfuerzos para mantener y mejorar los niveles de seguridad de toda la Organizacin.

Situacin actual:
No hay cultura de manejo seguro y responsable de la informacin

El objetivo principal de la campaa es difundir la importancia de las buenas prcticas a nivel de
seguridad de la informacin contando para ello con el apoyo de la Alta Direccin

Prioridad: Actividad Permanente

# #. .3 3 P PR RO OP PU UE ES ST TA AS S A AC CC CI IO ON NE ES S R R P PI ID DA AS S Y Y P PE ER RM MA AN NE EN NT TE ES S

Acuerdos de Confidencialidad

Se recomienda formalizar los acuerdos de confidencialidad con personal directo y
subcontratado y a la vez con empresas prestadoras de servicios.


Tiempo estimado de ejecucin: 1 mes

Controlar acceso a recursos tecnolgicos

Establecer e implantar directrices de configuracin y control acceso a los diferentes activos
tecnolgicos de la organizacin.


Tiempo estimado de ejecucin: 3 meses

TFM Plan de Seguridad de la Informacin Pg. 4" de 45 Luis Alejandro au!is!a Torres

# #. .4 4 P PR RO OP PU UE ES ST TA A D DE E C CO ON NT TR RO OL LE ES S
La seleccin de controles o medidas viables para reducir la probabilidad de ocurrencia de
eventos negativos en seguridad de la informacin e impactos nocivos de los mismos a la
organizacin y sus clientes es factor clave de todo plan de tratamiento. Las siguientes listas
sugieren controles especficos a ser mantenidos, mejorados o aplicados en XYZ Soluciones de
acuerdo con la evaluacin de riesgos previamente identificada.

Monitorear y mantener los siguientes controles y prcticas identificadas en los procesos de
valorados.

Buenas prcticas de Backups (Frecuencia, Tipo de Backups, Rotacin, pruebas,
custodia, niveles de autorizacin, etc.)
La generacin de Backups o copias de seguridad, registro de bitcoras gestin y
etiquetados y envos correspondientes.
Garantizar la existencias de medio magnticos suficientes para el almacenamiento de
respaldos, considerando periodos de vida til.
Mantener hardware de respaldo por convenio con proveedores para el suministro de
equipos de contingencia con caractersticas similares o mejores y disponibilidad 7*24
bajo tiempos de respuesta acordados.

Actualizar, comunicar, monitorear y exigir mayor cumplimiento de controles existentes como:

Polticas de seguridad definidas, documentadas, aprobadas y socializadas
Concientizacin y participacin activa en temas de seguridad de la informacin.
Concientizacin en temas Clasificacin de informacin
Reporte y manejo de incidentes Empresariales
Mantener una poltica de escritorios y reas limpias
Almacenamiento de datos en sitios seguros y restringidos segn la clasificacin de la
informacin.
Bloqueos de sesin por inactivacin
Identificacin permanente del personal(portar documento)
Procedimiento de autorizacin y acompaamiento de ingreso de visitantes o personal
de soporte.
Asignacin de permisos por roles y perfiles acordes con las funciones (menor privilegio)
Esquemas de seleccin y contratacin del personal
Actualizacin peridica de acuerdos de confidencialidad
Mediciones de desempeo (capacity planning)
Manual de funciones y/o operaciones documentado
Documentacin de los procedimientos de Administracin y Operacin
Proceso formal de solicitud, autorizacin y asignacin de cuentas (especialmente las
asignadas a terceros o contratistas)
Custodia de contraseas administradoras (especialmente contratistas con acceso a
recursos crticos)
Mantener y actualizar los inventario de activos crticos
Seleccin y validacin de ambientes propicios para zonas crticas
Control de acceso fsico (tarjetas de aproximacin, zonas restringidas, anunciar
visitantes, etc.).
Acuerdos de nivel de servicio (ANS) con responsabilidades claramente definidas e
indicadores de gestin para evaluar cumplimiento
Validacin de riesgos asociados con la dependencia de proveedores de servicios y
tecnologas rentadas.

Analizar la viabilidad de implementacin de nuevos controles como:

TFM Plan de Seguridad de la Informacin Pg. 4# de 45 Luis Alejandro au!is!a Torres

Implementar el sistema de control de activos de informacin clasificados y
documentados.
Implementar el sistema de control de ingreso y retiro de elementos administrados por
personal de XYZ Soluciones
Bandas detectoras / detectores de metales
La adquisicin de seguro contra robo de equipos y porttiles.
Ejecucin peridica de pruebas de penetracin internas y externas
Ejecucin peridica de pruebas de ingeniera social
Estudios peridicos de anlisis de vulnerabilidades de los sistemas de informacin
Definicin de OLAs o acuerdos de nivel de operacin internos entre las unidades de
negocio
Ejecutar mediciones de desempeo y cumplimiento a empleado o contratista
Promover la disponibilidad de Funcionario Backup
Incorporacin de firmas digital sobre archivos relevantes en el origen
Ambientes independientes de Produccin, Desarrollo y Pruebas
Auditoras peridicas en seguridad de la informacin internas/externas
Establecer y comunicar los procesos disciplinarios por faltas a seguridad de la
informacin.
Configuracin de servidores y equipos de comunicacin con lineamientos bsicos de
seguridad.
Para casos de daos fsicos mayores y/o desastre naturales, contar con directivas de
evaluacin de daos, procesos de traslado y reactivacin de servicios, secuencias de
reactivacin de servicios crticos y un centro de operaciones alterno
Plan de contingencias, Plan de recuperacin de desastres DRP y Sitio Alterno
# #. .# # R RO OA AD DM MA AP P D DE E P PR RO OP PU UE ES ST TA AS S
Las siguientes tablas muestra el mapa de ruta establecido para encarar de manera acertada la
prioridad de actividades que conforman los planes estratgicos y acciones rpidas del presente
informe.

PROYECTOS Y ACTIVIDADES SUGERIDAS.
01 Implementacin del SGSI (1 ao)
02
Implementacin del PCN (1 ao)
03 Clasificacin de la Informacin. (1 - 6 meses)
04
Implementacin Marco de Trabajo Estndar (1 ao)
05 Concienciacin en Seguridad de la Informacin
06 Renovacin Acuerdos de Confidencialidad
07 Control de acceso a recursos

Ilustracin 37. Proyectos Sugeridos

2013 2014
ACTIV. Nov Dic Jul Dic Ene Jun
1
Corto plazo

2

3

Mediano plazo

4

Largo plazo
5
Actividades Permanentes
6
7


Ilustracin 38. Roadmap de implementacin

2013 2014
ACTIV. US$150000 US$100000 US$50000
1
Corto plazo

2

3

Mediano plazo

4

Largo plazo
5
ACT < US$30000
6
7

Ilustracin 39. Costos de implementacin

La primaca es para Jornadas de implementacin del SGSI y los planes de Continuidad debido
a la criticidad de los servicios de la Organizacin para con sus clientes. Todas estas
actividades manejan una prelacin alta con necesidad de ejecucin en el corto plazo.

Una vez terminada las actividades previas se sugiere depurar los niveles identificacin,
clasificacin y tratamiento de la informacin. Estas actividades tienen una prelacin media y se
sugiere su ejecucin en un mediano plazo.

Seguido por la implementacin de un marco de trabajo que permita unificar criterios de
operacin, control e indicadores de servicio de todas las dependencias de la Organizacin.
Estas actividades tienen una prelacin de largo plazo.

Finalmente y bajo la etiqueta de actividades permanentes se debe promover actividades de
concienciacin, renovacin de acuerdos de confidencialidad y activacin y monitoreo contante
a controles de acceso sobre recursos crticos de la organizacin.

$ FASE $: PRESENTACIN DE RESULTADOS Y
ENTREGA DE INFORMES
$ $. .1 1 I IN NT TR RO OD DU UC CC CI I N N
La siguiente seccin resume los hallazgos que tienen mayor afectacin o relevancia en los
niveles de seguridad de XYZ Soluciones.
Para la presentacin y publicacin de resultados del presente ejercicio, la consultora acude a
la creacin de un archivo en PowerPoint el cual se anexa y abrevia todo el proceso de
identificacin y valoracin de activos as como la valoracin de riesgos, planes de tratamiento
recomendado y mapa de ruta sugerido.


$ $. .2 2 % %A AL LL LA AZ ZG GO OS S R RE EL LE EV VA AN NT TE ES S
XYZ Soluciones realiza esfuerzos aislados por mantener niveles de seguridad mnimos sobre
sus plataformas y servicios. Sin embargo, para lograr armona y un perspectiva clara a nivel de
seguridad, es necesario coincidir en el logro de metas y objetivos que apoyados a nivel
estratgico y administrados apropiadamente permitan a la Organizacin implementar prcticas
de seguridad de la informacin en todas las reas funcionales con un tratamiento responsable
de la Informacin.

La organizacin no cuenta con ciclos constantes de monitoreo y seguimiento a los controles de
seguridad para ratificar el compromiso, concientizacin de alcances, caracterizacin de
necesidades puntuales, identificacin del valor de los mismos, condicin que hace difcil
canalizar inversiones y unificar esfuerzos para mejorar de los niveles de seguridad requeridos.

De acuerdo a las entrevistas realizadas, la informacin de las diferentes procesos de XYZ
Soluciones tiene desiguales criterios de evaluacin de sensibilidad e importancia, ocasionando
exposicin por errores humanos, uso inadecuado de la informacin o actos mal intencionados,
por lo cual se recomienda identificar un esquema de categorizacin consolidado, instituyendo
el conjunto apropiado de niveles de proteccin demandados para toda la Organizacin.

XYZ Soluciones carece de una solucin de software apropiada para identificar, estimar,
analizar, evaluar, monitorear y revisar peridicamente los riesgos de modo consecuente al
tamao y necesidades de la organizacin, razn por la cual se recomienda implementar un
sistema de gestin basado en un conjunto apropiado de reglas de proteccin, normas y
prcticas reconocidas internacionalmente para gestin del riesgo y seguridad de la informacin

XYZ Soluciones mantiene los servicios con procesos de operacin bsica pero carece de
disposiciones concertadas que le permitan una recuperacin ante eventos mayores o desastres
con procesos y fases debidamente documentados, informados y probados.

XYZ Soluciones no cuenta con oficial o lder en seguridad de la informacin para soportar toda
la carga estratgica y operativa de un Sistema de Gestin de Seguridad de la Informacin
(SGSI) el cual demanda recursos de tiempo completo para monitorear, controlar, tratar y
mejorar todas las medidas de control requeridas por la norma ISO/IEC 27001 y mitigar riesgos
asociados a la seguridad de la informacin

TFM ENT05 AlejandroBautista

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

TFM ENT05 AlejandroBautista

Caricato da

Copyright:

Formati disponibili

TFM Plan de Seguridad de la Informacin Pg. 1 de 45 Luis Alejandro au!is!

Potrebbero piacerti anche