1proyecto de Graduacion Implementacion de Sgsi A La Empresa

ESCUELA SUPERIOR POLITCNICA DEL LITORAL
ESCUELA DE DISEO Y COMUNICACIN VISUAL

PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DE
ANALISTA DE SISTEMAS
IMPLEMENTACIN DE
SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN APLICADA AL REA DE RECURSOS
HUMANOS DE LA EMPRESA DECEVALE S.A.
AUTORES:
CALDERN ONOFRE DIANA
ESTRELLA OCHOA MARTN
FLORES VILLAMARN MANUEL
DIRECTOR:
ING. VICTOR MUOZ CHACHAPOLLA
AO:
2011
AGRADECIMIENTO
Agradecemos a Dios por haber pensado en nosotros antes de nacer y

habernos dado sabidura e inteligencia en su infinito amor para con nosotros
porque sin l no hubiera sido posible llegar a la meta que nos hemos
propuesto.
Tambin les damos gracias a nuestros padres y familia por haber sido nuestro
gua en todo este tiempo, por su amor incondicional e incomparable, sabiendo
entendernos y apoyarnos en nuestros momentos ms difciles.
A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de

cada da para ensearme todo lo que en el futuro me sirva para ser personas
de bien.
Implementacin de Sistema de Gestin de Seguridad

Proyecto de Graduacin
de la Informacin a Empresa DECEVALE
DEDICATORIA
Este trabajo se lo dedico a mis Padres, porque ellos siempre han estado a mi
lado en todo momento siempre aconsejndonos, ayudndonos y sobre todo
guindonos para seguir adelante.
Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas

que como el Ing. Vctor Muoz, ha sabido poner en m todos sus conocimientos
para que pueda culminar con xito este trabajo.
A nuestros Abuelos que desde muy pequeos nos han enseado a hacer lo
bueno y no lo malo, a ser fuerte porque as llegaremos a las metas propuestas.
EDCOM
ESPOL

DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de Graduacin, nos
corresponde exclusivamente, como miembros elaboradores de la misma; y el
patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral.
EDCOM
ESPOL

FIRMA DEL DIRECTO DEL PROYECTO

Y MIEMBROS DEL TRIBUNAL
___________________________________
MAE. VICTOR MUZ CHACHAPOLLA
DIRECTOR
__________________________________
MAE. ENRIQUE SALAZAR MEZA
DELEGADO
EDCOM
ESPOL

FIRMA DE LOS AUTORES

DEL PROYECTO DE GRADUACIN
___________________________________
DIANA XIOMARA CALDERN ONOFRE
__________________________________
CARLOS MARTN ESTRELLA OCHOA
____________________________________
MANUEL ALEJANDRO FLORES VILLAMARN
EDCOM
ESPOL

RESUMEN GENERAL
El presente Trabajo de Graduacin se enfoca en la reorganizacin del
departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la empresa e indispensable para el desarrollo de sus actividades.
La implementacin de un sistema de gestin de seguridad de informacin en
una empresa busca un avance significativo en la confianza de sus clientes para
con ellos. Al conocer de la obtencin de una certificacin o la ejecucin de la
misma, la empresa crea una imagen de prestigio y de inters en resaltar entre
las dems.
Se decidi la aplicacin de la gestin de seguridad de informacin en el
departamento de personal debido a la importancia que tiene la informacin en
la empresa escogida. DECEVALE S.A. es una empresa que maneja datos
correspondientes a las Bolsas de Valores que funcionan en el Ecuador. Se
considero relevante aplicar procedimientos a la etapa de Aplicacin de
Funciones (Durante el empleo) debido a que existan situaciones tratadas sin
lineamientos que solucionen los posibles problemas que atentaban la
integridad de la informacin.
A continuacin, se determinan las generalidades de la empresa, los conceptos
principales de sistema de gestin de seguridad de informacin (ISO 27002), la
planeacin total aplicada a la empresa y el desarrollo de los lineamientos a
cada procedimiento segn la norma.
El esfuerzo empleado en realizar este trabajo de graduacin garantiza la
calidad del contenido. Exponemos, por ltimo, que el elaborar dicho
instrumento y adentrarlos en la aplicacin de la norma, nos ha dejado grandes
experiencias sobre distintos temas competentes y realidades desconocidas
sobre el ambiente laboral y el tratamiento con recurso humano para transmitir
ideas y tecnologas.
ndice General
EDCOM
ESPOL

CAPTULO 1: Marco Referencial...............................................................................13

1. Marco Referencial....................................................................................................14
CAPTULO 2: Generalidades de la Empresa............................................................16
2. Generalidades de la Empresa:.................................................................................17
2.1 Antecedentes de la empresa:.................................................................................17
2.2 Descripcin del funcionamiento del rea Recursos Humanos...............................18
2.2.1 Seleccin de personal.............................................................................. 18
2.2.2 Contratacin de personal..........................................................................18
2.2.4 Durante el empleo................................................................................... 19
2.2.5 Cambio o reubicacin del empleado...........................................................19
2.2.6 Separacin del empleado.........................................................................19
CAPTULO 3: Etapa 1: Planeacin............................................................................20
3. Etapa 1: Planeacin.................................................................................................21
3.1 Definicin de la Norma ISO 27002.........................................................................21
3.1.1 Seguridad Informtica:............................................................................. 21
3.1.2 Gestin de Seguridad de la informacin......................................................21
3.1.3 International Organization for Standarization (ISO):......................................22
3.1.4 ISO 27000, aplicada a la seguridad de la informacin:..................................22
3.1.5 ISO 27001.............................................................................................. 23
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar).......................................................24
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)...........................27
3.1.8 ISO 27002.............................................................................................. 28
3.2 Polticasde la Empresa DECEVALE S.A., aplicadas a Recursos Humanos...........29
3.2.1Reclutamiento, seleccin e ingreso de personal............................................29
3.2.2 Capacitacin de personal..........................................................................29
3.2.3Calificacin de personal............................................................................ 29
3.2.4Transporte y Alimentacin..........................................................................29
CAPTULO 4: Anlisis de Riesgo..............................................................................30
4. Anlisis de Riesgo....................................................................................................31
4.1 Valoracin de Activos.............................................................................................31
4.1.1 Determinacin de Activos:...................................................................................31
4.1.2 Ponderacin de la Dimensiones de los Activos:..................................................32
EDCOM
ESPOL

4.1.3 Determinacin de las Amenazas por Activo:.......................................................33

4.1.4 Clculo de riesgo:...............................................................................................35
4.2Plan de tratamiento de riesgo.................................................................................38
4.3Declaracin de Aplicacin.......................................................................................43
CAPTULO 5: Etapa 2: Hacer.....................................................................................46
5. Etapa 2: Hacer.........................................................................................................47
5.1 Alcance y Lmites de la Gestin de Seguridad.......................................................47
5.1.1 Control: Supervisin de las obligaciones.....................................................47
5.1.2 Control: Formacin y capacitacin en seguridad de la informacin..................47
5.1.3 Control: Procedimiento disciplinario............................................................47
5.2 Objetivos................................................................................................................48
5.2.1 Objetivo General:..................................................................................... 48
5.2.2 Objetivos Especficos:.............................................................................. 48
5.3Definicin de Polticas de Seguridad.......................................................................49
5.3.1 Polticas de Confiabilidad..........................................................................49
5.3.2 Polticas de integridad.............................................................................. 49
5.3.3 Polticas de disponibilidad.........................................................................50
5.3.4 Polticas de manejo de Recursos Humanos (Durante el Empleo)....................50
5.5 Procedimientos segn el sistema de gestin:........................................................51
5.5.1 Procedimiento para verificar que las polticas y procedimientos de seguridad de
la informacin estn siendo aplicados................................................................51
5.5.2 Procedimiento para capacitar sobre las polticas y procedimientos de seguridad
de la informacin y sus actualizaciones..............................................................53
5.5.3 Procedimiento para aplicar sanciones por infraccin sobre alguna poltica de
seguridad de la empresa.................................................................................. 56
Conclusiones y Recomendaciones........................................................................632
Anexos ........ 64
ANEXO 1: Definiciones y Trminos.............................................................................65
ANEXO 2: Descripcin de cada puesto de trabajo.......................................................67
ANEXO 3: Perfil o Requisitos de los diferentes cargos................................................70
ANEXO 4: Organigrama de la empresa.......................................................................78
ANEXO 5: Escala de Valoracin de los Activos...........................................................79
Anexo5.1Escala de Valoracin de Dimensiones:..................................................79
Anexo5.2Escala de Valoracin de Frecuencia:.....................................................79
EDCOM
ESPOL

Anexo5.3Escala de Valoracin de Impacto:.........................................................79

ANEXO 6: Formulario de Aplicabilidad de las Polticas de Seguridad..........................80
ANEXO 7: Registro de Inconformidades......................................................................82
ANEXO 8: Plan de Verificacin de Aplicabilidad de Seguridades.................................83
ANEXO 9: Boletn de informacin: Plan de Verificacin de Aplicabilidad.....................85
ANEXO 10: Formulario de Control de Asistencia de Verificacin de Aplicabilidad.......86
ANEXO 11: Plan de Capacitacin: Seguridad de la Informacin..................................87
ANEXO 12: Carta de convocatoria a empleados.........................................................88
ANEXO 13: Formulario de Control de Asistencia a Capacitacin.................................90
ANEXO 14: Formulario de Infraccin de Polticas de Seguridad..................................91
ANEXO 15: Seguimiento de la Aplicacin de los Procedimientos Disciplinarios..........92
BIBLIOGRAFA........................................................................................................... 93
EDCOM
10
ESPOL

ndice de Ilustraciones
CAPITULO 3: Etapa 1: Planeacin
Ilustracin 3. 1 Fase Planificacin......................................................................24
Ilustracin 3. 2 Fase Hacer............................................................................... 25
Ilustracin 3. 3 Fase Chequear..........................................................................26
Ilustracin 3. 4 Fase Actuar............................................................................... 27
EDCOM
11
ESPOL

ndices de Tablas
CAPITULO 4: Anlisis de Ries
Tabla 4. 1 Determinacin de Activos...................................................................31
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio...............................32
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos..................................32
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones........................32
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos.............32
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones....33
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal..............................33
Tabla 4. 8 Determinacin de Amenazas Activo Servicio.........................................33
Tabla 4. 9 Determinacin de Amenazas Activo Datos............................................34
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones.................................34
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos.....................35
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones.............35
Tabla 4. 13 Determinacin de Amenazas Activo Personal......................................35
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos...................................38
Tabla 4. 15 Plan de Tratamiento de Riesgo.........................................................42
Tabla 4. 16 Declaracin de Aplicabilidad.............................................................45
CAPITULO 5: Etapa 2: HacerY

Tabla 5. 1 Infracciones o Violaciones de Polticas de Seguridad..................................58
Tabla 5. 2 Deteccin de las Infracciones o Violaciones de Polticas de Seguridad......59
ANEXOS
Tabla Anexo. 1Descripcin de cada puesto de trabajo...........................................69
Tabla Anexo. 2Perfil de Cargo Gerente...............................................................70
Tabla Anexo. 3Perfil de Cargo Asesor Legal........................................................70
Tabla Anexo. 4 Perfil de Cargo Jefe Nacional Administrativo..................................71
Tabla Anexo. 5 Perfil de Cargo Asistente Administrativo........................................71
Tabla Anexo. 6 Perfil de Cargo Ayudante de Administracin...................................72
Tabla Anexo. 7 Perfil de Cargo Mensajero...........................................................72
Tabla Anexo. 8 Perfil de Cargo Representante de la Direccin...............................73
Tabla Anexo. 9 Perfil de Cargo Contador.............................................................73
Tabla Anexo. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones................................................................74
Tabla Anexo. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones. 74
Tabla Anexo. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho...75
Tabla Anexo. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho.........75
Tabla Anexo. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin.......76
Tabla Anexo. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin..............76
Tabla Anexo. 16 Perfil de Cargo Jefe de Sistemas................................................77
Tabla Anexo. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador...................77
Tabla Anexo. 18 Escala de Valoracin de Dimensiones.........................................79
Tabla Anexo. 19 Escala de Valoracin de Frecuencia............................................79
Tabla Anexo. 20 Escala de Valoracin de Impacto................................................79
EDCOM
12
ESPOL

EDCOM
13
ESPOL

CAPTULO 1
MARCO REFERENCIAL
1. Marco Referencial
Las normas ISO surgen para armonizar la gran cantidad
de normas sobre gestin de calidad y seguridad que
estaban
apareciendo
en
distintos
pases
y
organizaciones del mundo. Los organismos de
normalizacin de cada pas producen normas que
resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO
surgen del consenso entre representantes de los
distintos pases integrados a la I.S.O.
Uno de los activos ms valiosos que hoy en da posee
las diferentes empresas, es la informacin y parece ser
que cada vez ms sufre grandes amenazas en cuanto a
su confiabilidad y su resguardo, de igual forma la
informacin es vital para el xito y sobrevivencia de las
empresas en cualquier mercado. Con todo esto todo
parece indicar que uno de los principales objetivos de
toda organizacin es el aseguramiento de dicha
informacin, as como tambin de los sistemas que la
procesan.
Para que exista una adecuada gestin de la seguridad
de la informacin dentro de las organizaciones, es
necesario implantar un sistema que aborde esta tarea
de una forma metdica y lgica, documentada y basada en unos objetivos
claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
EDCOM
14
ESPOL

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
El objetivo de desarrollar un sistema de gestin de seguridad de la informacin
para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
violacin de la privacidad de los empleados, los empleados deshonestos,
intercepcin de transmisin de datos o comunicaciones y/o fallas tcnicas de
manera voluntaria o involuntariamente.
La importancia de realizar el anlisis referente a la gestin de Recursos
Humanos, radica en conocer el manejo de la informacin correspondiente a
esta rea y su flujo dentro de la empresa. De esta manera, se establece que
personas conocen o manejan que informacin y se establecen los
procedimientos a seguir para resguardar dicha informacin. Al implementar
estos procedimientos se deben realizar controles u observaciones de su
funcionamiento dentro del rea dispuesta, los cuales permitirn desarrollar
cambios en los mismos.
La empresa DECEVALE requiere implementar un sistema de gestin de
seguridad de la informacin con respecto a los recursos humanos debido a que
regiran lineamientos que permitirn reclutar personal calificado de acuerdo al
rol a desempear. La empresa maneja informacin de vital importancia para
sus clientes, la cual se considera delicada y no se puede arriesgar a incorporar
personal que pueda hacer mal uso, voluntaria o involuntariamente, de sta.
DECEVALE considera que una seleccin adecuada de su personal evitara
problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La empresa desea ser pionera en la implementacin de dicho
EDCOM
15
ESPOL

sistema, ya que dentro de su mercado es muy escaso el conocimiento del

tema.
EDCOM
16
ESPOL

CAPTULO 2
GENERALIDADES DE LA EMPRESA
2.
Generalidades de la Empresa:
2.1
Antecedentes de la empresa:
La
Compaa Depsito Centralizado de Compensacin y

Liquidacin de Valores S.A., se constituy con la
denominacin Depsito Centralizado de Valores
DECEVALE S.A., mediante Escritura Pblica autorizada
el Notario Dcimo Sptimo de Guayaquil, Abogado
Nelson Gustavo Caarte Arboleda, el cuatro de Enero de
novecientos noventa y cuatro, inscrita en el Registro
Mercantil del Cantn Guayaquil el treinta y uno de marzo
mismo ao, con un capital suscrito y pagado de diez
millones de sucres (S/.10.000.000,00) y un capital
autorizado
de
veinte
millones
de
sucres
(S/.20.000.000.00).
por
mil
del
La
del
Junta General de Accionistas de la Compaa, en sesin

veintiuno de agosto del dos mil uno, decidi convertir en
dlares el capital de la compaa resultando que el capital
actual es de USD$240,000.00 (doscientos cuarenta mil
dlares de los Estados Unidos de Amrica), y atribuir a
cada
accin el valor de un dlar de los Estados Unidos de
Amrica. Se realizaron varios aumentos al capital llegando, finalmente a un
capital autorizado, suscrito y pagado de la compaa es de Ochocientos
ochenta mil dlares de los Estados Unidos de Amrica (US$ 880,000.00)
dividido en 880,000 acciones ordinarias y nominativas de Un dlar de los
Estados Unidos de Amrica (US$ 1.00).
DECEVALE es una Sociedad Annima autorizada y controlada por la
Superintendencia de Compaas a travs de la Intendencia de Mercado de
EDCOM
17
ESPOL

Valores que se encuentra a nivel nacional en operacin y autorizado por la Ley

del Mercado de Valores del Ecuador. En la actualidad liquida las operaciones
negociadas en las dos Bolsas de Valores existentes en el Ecuador. Su casa
matriz est ubicada en la ciudad de Guayaquil en las calles Pichincha 334 y
Elizalde. Su sucursal mayor est ubicada en la capital del Ecuador, la ciudad de
Quito en la Av. Amazonas y Av. Naciones Unidas
DECEVALE, opera y brinda sus servicios al amparo de:
La Ley de Mercado de Valores,
Su Reglamento General,
El Reglamento para el Funcionamiento de Depsitos Centralizados de
Valores expedido por el Consejo Nacional de Valores CNV,
En su reglamentacin interna y Manuales Operativos.
Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin

accionara:
Las Bolsas de Valores
Las Casas de Valores
Las Instituciones Financieras
Las Instituciones Pblicas
Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE

S.A. tiene una certificacin ISO9001:2008 en los siguientes procesos:
Custodia
Compensacin
Liquidacin y registro de las transferencia de valores inscritos en el registro
de mercado de valores y que se negocian en el mercado burstil y
extraburstil.
EDCOM
18
ESPOL

2.2 Descripcin del funcionamiento del rea Recursos

Humanos
2.2.1 Seleccin de personal
Se recibe una carpeta o CV y se analiza los datos del postulante y si lo
considera apto para alguna de las posiciones de la empresa. Se archiva para
posterior contratacin, en caso de que se requiera.
Antes de iniciar el reclutamiento de personal, se analiza si dentro de la
empresa no hay algn colaborador que pueda ser promovido o reasignado para
ocupar la vacante.
En caso de realizar el reclutamiento de personal, se preseleccionan algunos
CV y se realizan entrevistas.
2.2.2 Contratacin de personal

Califica al candidato que apruebe la entrevista, tomando como base la
informacin del perfil del cargo 1. Una vez finiquitada la contratacin se coordina
la presentacin de los documentos para archivo en la Carpeta de Personal. Se
elabora el contrato de trabajo y se procede a la obtencin de la firma de ambas
partes.
2.2.3 Iniciacin del cargo
Se realiza una breve presentacin de la empresa informndole entre otros,

sobre los siguientes aspectos: ubicaciones, misin y visin de la empresa,
reglamentos, horarios de trabajo, beneficios, organigrama 2, entre dems
detalles que ayudaran a un mejor desempeo de sus actividades.
Tambin, es presentado a su Jefe Inmediato, quien le entrega copia de su
Manual de Funciones, donde se especifica la descripcin de cada cargo 3,
1Revisar Anexo 3: Perfil o Requisitos de los diferentes cargos.

2Revisar Anexo 4: Organigrama.
EDCOM
19
ESPOL

supervisando su lectura y comprensin y despejando cualquier duda que tenga

al respecto.
2.2.4 Durante el empleo

El empleado realiza las funciones de forma correcta y honesta. A cada
empleado es asignado un equipo informtico con su respectiva informacin de
acceso al sistema, para el proceso de autenticacin.
2.2.5 Cambio o reubicacin del empleado
En caso de cambio de cargo o reubicacin del empleado no existe
documentacin que detalle o deje constancia de lo sucedido. Se notifica,
oralmente al empleado; el rea de recursos humanos realiza en el sistema el
cambio de cargo y por ende, de sueldo, y el empleado se acerca al
departamento de sistema para comunicar su cambio de rol ya que ste puede
conllevar que se le concedan o restringen permisos dentro del sistema.
2.2.6 Separacin del empleado
El Gerente de la empresa comunica al empleado de la finalizacin de la

relacin laboral. En este proceso se finiquita el contrato laboral y se inactiva la
informacin de acceso correspondiente a dicho empleado. Los trmites de
liquidacin son llevados como un procedimiento perteneciente a la empresa.
3Revisar Anexo 2: Descripcin de cada puesto de trabajo.

EDCOM
20
ESPOL

CAPTULO 3
ETAPA 1: PLANEACIN
EDCOM
21
ESPOL

3. Etapa 1: Planeacin
3.1 Definicin de la Norma ISO 27002
3.1.1 Seguridad Informtica:
Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de
la empresa. Este tipo de seguridad es importante para la compaa, ya que se
encarga de precautelar por el perfecto estado y funcionamiento de los equipos
informticos donde fluye la informacin. La informacin reside en medios como
estos equipos, soportes de almacenamiento y redes de datos, y teniendo en
cuenta estos aspectos, se hace vital mantener la seguridad informtica a travs
de lineamientos de proteccin.
3.1.2 Gestin de Seguridad de la informacin

La seguridad de la informacin es la proteccin de los activos de la informacin
de un rango amplio de amenazas para poder asegurar la continuidad del
negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Estos activos se pueden detallar como:
correos electrnicos, pginas web, imgenes, base de datos,
telecomunicaciones, contratos, documentos, etc.
La seguridad de estos activos de la informacin se logra implementando un
adecuado conjunto de controles; incluyendo polticas, procesos,
procedimientos, estructuras organizacionales y funciones de software y
hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los
objetivos de seguridad y comerciales especficos.
La gestin de seguridad de la informacin apunta a mantener la estabilidad en
los siguientes aspectos con respecto a estos activos:
Confiabilidad: Acceso solo de personal autorizados.
Integridad: Exactitud y completitud de la informacin y procesos.
Disponibilidad: Acceso a la informacin y procesos por parte del personal
autorizado, cuando lo requieran.
EDCOM
22
ESPOL

3.1.3 International Organization for Standarization (ISO):

La ISO4 es una federacin internacional con sede en Ginebra (Suiza) de los
institutos de normalizacin de 157 pases (uno por cada pas). Es una
organizacin no gubernamental (sus miembros no son delegados de gobiernos
nacionales), puesto que el origen de los institutos de normalizacin nacionales
es diferente en cada pas (entidad pblica, privada).
Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestin de calidad y seguridad que estaban apareciendo en distintos pases y
organizaciones del mundo. Los organismos de normalizacin de cada pas
producen normas que resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO surgen del consenso entre
representantes de los distintos pases integrados a la I.S.O.
3.1.4 ISO 27000, aplicada a la seguridad de la informacin:

Uno de los activos ms valiosos que hoy en da posee las diferentes empresas,
es la informacin y parece ser que cada vez ms sufre grandes amenazas en
cuanto a su confiabilidad y su resguardo, de igual forma la informacin es vital
para el xito y sobrevivencia de las empresas en cualquier mercado. Con todo
esto todo parece indicar que uno de los principales objetivos de toda
organizacin es el aseguramiento de dicha informacin, as como tambin de
los sistemas que la procesan.
Para que exista una adecuada gestin de la seguridad de la informacin dentro
de las organizaciones, es necesario implantar un sistema que aborde esta
tarea de una forma metdica y lgica, documentada y basada en unos
objetivos claros de seguridad y una evaluacin de los riesgos a los que est
sometida la informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
4 Revisar Anexo 1: Definiciones y Trminos

EDCOM
23
ESPOL

La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC 5. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
3.1.4.1 Serie ISO 27000

ISO ha reservado la serie de numeracin 27000 para las normas relacionadas
con sistemas de gestin de seguridad de la informacin. En el 2005 incluy en
ella la primera de la serie (ISO 27001), las dems son:
ISO27000 (trminos y definiciones),
ISO27002 (objetivos de control y controles),
ISO27003 (se centra en aspectos crticos en la implementacin SGSI),
ISO27004 (desarrollo y utilizacin de mtricas y tcnicas de medida de la
efectividad de un SGSI),
ISO27005 (directivas gua para la gestin del riesgo de seguridad de la
informacin)
ISO27006 (proceso de acreditacin de entidades de auditoras, certificacin
y el registro de SGSI).
ISO/IEC 27007 Gua de Auditoria de un SGSI
3.1.5 ISO 27001

Es un estndar ISO que proporciona un modelo para establecer, implementar,
operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de
Seguridad de la Informacin (SGSI). Se basa en el ciclo de vida PDCA
(Planear-Hacer-Verificar-Actuar) de mejora continua, al igual que otras normas
de sistemas de gestin.

EDCOM
24
ESPOL

Este estndar es certificable, es decir, cualquier organizacin que tenga

implantado un SGSI segn este modelo, puede solicitar una auditora externa
por parte de una entidad acreditada y, tras superar con xito la misma, recibir la
certificacin en ISO 27001.
El origen de la Norma ISO27001 est en el estndar britnico BSI (British
StandardsInstitution) BS7799- Parte 2, estndar que fue publicado en 1998 y
era certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue
publicada el 15 de Octubre de 2005.
El enfoque del proceso para la gestin de la seguridad de la informacin
presentado en este estndar internacional fomenta que sus usuarios enfaticen
la importancia de:
Entender los requerimientos de seguridad de la informacin de una
organizacin y la necesidad de establecer una poltica y objetivos para la
seguridad de la informacin.
Implementar y operar controles para manejar los riesgos de la seguridad de
la informacin.
Monitorear y revisar el desempeo del SGSI
Realizar mejoramiento continuo en base a la medicin del objetivo
3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)

El modelo de proceso PDCA, se detalla a continuacin a travs de cada una de
sus fases:
EDCOM
25
ESPOL

3.1.6.1 PLANIFICACIN
Ilustracin 3. 1 Fase Planificacin
Definir alcance del SGSI: en funcin de caractersticas del negocio,

organizacin, localizacin, activos y tecnologa, los lmites del SGSI. El
SGSI no tiene por qu abarcar toda la organizacin; de hecho, es
recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos
de seguridad de la informacin de la organizacin, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad.
Definir el enfoque de evaluacin de riesgos: definir una metodologa de
evaluacin de riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de riesgos y determinar el
nivel de riesgo aceptable.
Inventario de activos: todos aquellos activos de informacin que tienen
algn valor para la organizacin y que quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos
del inventario.
Identificar los impactos: los que podra suponer una prdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo
de seguridad y la probabilidad de ocurrencia del fallo; estimar el nivel de
riesgo resultante y determinar si el riesgo es aceptable o requiere
tratamiento.
EDCOM
26
ESPOL

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede

reducido, eliminado, aceptado o transferido.
Seleccin de controles: seleccionar controles para el tratamiento el riesgo
en funcin de la evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de
implantar el SGSI: hay que recordar que los riesgos de seguridad de la
informacin son riesgos de negocio y slo la Direccin puede tomar
decisiones sobre su aceptacin o tratamiento.
Confeccionar una Declaracin de Aplicabilidad: Es, en definitiva, un
resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
3.1.6.2 IMPLEMENTACIN (HACER)
Ilustracin 3. 2 Fase Hacer
Definir plan de tratamiento de riesgos: que identifique las acciones,

recursos, responsabilidades y prioridades en la gestin de los riesgos
de seguridad de la informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los
objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase
anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la
seguridad de la informacin.
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le
asignen.
Implantar procedimientos y controles de deteccin y respuesta a
incidentes de seguridad.
EDCOM
27
ESPOL

3.1.6.3 SEGUIMIENTO (CHEQUEAR)
Ilustracin 3. 3 Fase Chequear
Ejecutar procedimientos y controles de monitorizacin y revisin: para

detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, y comprobar si las acciones tomadas para
resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados
de auditoras de seguridad.
Medir la eficacia de los controles.
Revisar regularmente la evaluacin de riesgos: influencian los cambios
en la organizacin, tecnologa, procesos y objetivos de negocio,
amenazas, eficacia de los controles o el entorno.
Realizar regularmente auditoras internas: para determinar si los
controles, procesos y procedimientos del SGSI mantienen la
conformidad con los requisitos de ISO 27001.
Revisar regularmente el SGSI por parte de la Direccin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorizacin y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o
el rendimiento del SGSI.
EDCOM
28
ESPOL

3.1.6.4 MEJORA CONTINA (ACTUAR)
Ilustracin 3. 4 Fase Actuar
Implantar mejoras: poner en marcha todas las mejoras que se hayan

propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la
eficacia de cualquier accin, medida o cambio debe comprobarse
siempre.
3.1.7 Sistema de Gestin de Seguridad de la Informacin (SGSI)
El Sistema de Gestin de Seguridad de la Informacin es el concepto central
sobre el que se construye ISO 27001. La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado y
conocido por toda la organizacin. Este proceso es el que constituye un SGSI,
que podra considerarse, como el sistema de calidad para la seguridad de la
informacin.
Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
gestin de la seguridad de la informacin es, por tanto, garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin de una forma documentada,
sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologas.
EDCOM
29
ESPOL

3.1.8 ISO 27002

ISO/IEC 27002 es un estndar para la seguridad de la informacin publicado
por primera vez como ISO/IEC 17799:2000 por la ISO e IEC en el ao 2000.
Tras un periodo de revisin y actualizacin de los contenidos del estndar, se
public en el ao 2005 el documento actualizado denominado ISO/IEC
17799:2005.
ISO/IEC 27002 proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestin de la
seguridad de la informacin. La seguridad de la informacin se define en el
estndar como "la preservacin de la confidencialidad (asegurando que slo
quienes estn autorizados pueden acceder a la informacin), integridad
(asegurando que la informacin y sus mtodos de proceso son exactos y
completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran)".
La versin de 2005 del estndar incluye las siguientes once secciones 6
principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
4. Seguridad de los Recursos Humanos.
5. Seguridad Fsica y Ambiental.
6. Gestin de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.
9. Gestin de Incidentes en la Seguridad de la Informacin.
10. Gestin de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada seccin, se especifican los objetivos de los distintos controles
para la seguridad de la informacin. Para cada uno de los controles se indica,
asimismo, una gua para su implantacin.

EDCOM
30
ESPOL

3.2 Polticas de la Empresa DECEVALE S.A., aplicadas a

Recursos Humanos
3.2.1 Reclutamiento, seleccin e ingreso de personal
POLTICA
Toda creacin de un nuevo puesto y/o cargo, debe ser aprobado por el
Gerente, previo al inicio de cualquier proceso de reclutamiento.
3.2.2 Capacitacin de personal
POLTICA
Se promueve la capacitacin del personal, con nfasis el entrenamiento
interno y continuo que cada Jefe de rea debe dar.
3.2.3 Calificacin de personal
POLTICA
Definir la forma de calificar el personal que labora en la empresa.
3.2.4 Transporte y Alimentacin
POLTICA
Normar el pago que por concepto de movilizacin y alimentacin que se
debe efectuar a los colaboradores que por motivo de trabajo deban
permanecer en la institucin. No aplica a Gerentes.
EDCOM
31
ESPOL

EDCOM
32
ESPOL

CAPTULO 4
ANLISIS DE RIESGO
4. Anlisis de Riesgo
4.1
Valoracin de Activos
La
valoracin de activos comprende el proceso de

determinacin de activos, establecimiento de las
amenazas sobre los activos y clculo del impacto a partir
varias escalas de valoracin.
de
4.1.1 Determinacin de Activos:

Los
de la
activos que intervienen en el rea de Recursos Humanos

empresa DECEVALE S.A. son los siguientes:
Tipo de Activo
Servicios
Datos
Aplicaciones
Equipos Informticos
Redes de Comunicaciones
Personal
EDCOM
Activo
Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos de Gestin Interna
Datos de Carcter Personal
Software Utilitario
Sistemas Operativos
Navegador Web
Sistema de Backup Open KM
Antivirus
Informtica Personal
Perifricos
Soporte de Red
Central Telefnica
Equipos de Acceso a Internet
rea Gestin de Calidad
rea Direccin
rea Compensacin y Liquidacin
33
ESPOL

rea Custodia y Ejercicio de Derecho

rea Gestin de Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa y Recursos
Humanos
rea Contabilidad
rea Legal
Tabla 4. 1 Determinacin de Activos
4.1.2 Ponderacin de la Dimensiones de los Activos:

Los activos enlistados sern ponderados en base a la escala correspondiente7. Las
dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A
continuacin, se detalla los activos y se estipula la ponderacin de las dimensiones
segn el levantamiento de informacin:
Activo: Servicio
Correo Electrnico
Interno
Gestin de
Identidades
Disponibilida
d
5
5
Confiabilida
d
4
4
Integrida
d
4
5
Total
15
13
14
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio
Activo: Datos
Datos de Gestin
Interna
Datos de Carcter
Personal
Disponibilida
d
5
Confiabilida
d
5
Integrida
d
4
Total
11
14
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos
Activo: Aplicaciones
Confiabilida
d
4
4
Integrida
d
4
3
Total
Software Utilitario
Sistema Operativo
Disponibilida
d
5
5
Navegador Web
13
12
7Revisar Anexo 5: Escala de Valoracin de los Activos

EDCOM
34
ESPOL

Sistema Backup
OPEN KM
Antivirus
14
12
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones
Activo: Equipos
Informticos
Informtica Personal
Disponibilida
d
5
Confiabilida
d
4
Integrida
d
4
Total
Perifricos
12
Soporte de Red
13
13
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos
Activo: Redes de
Comunicaciones
Central Telefnica
Equipo de Acceso a
Internet
Disponibilida
d
5
5
Confiabilida
d
5
5
Integrida
d
4
5
Total
14
15
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones
Activo: Personal
Confiabilida
d
5
Integrida
d
5
Total
15
rea Compensacin 5
y Liquidacin
15
rea Custodia y 5
Ejercicio de Derecho
15
rea Gestin de
Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa
y
Recursos
Humanos
rea Contabilidad
15
4
5
5
5
4
5
15
15
15
rea Legal
15
rea Gestin
Calidad
rea Direccin
EDCOM
Disponibilida
d
de 5
35
15
ESPOL

Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal
4.1.3 Determinacin de las Amenazas por Activo:

Activo: Servicio
Correo Electrnico
Interno
Gestin de
Identidades
Amenazas
Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Usurpacin de identidad
Falta de servicio
Reencaminamiento de mensajes
Uso no previsto
Uso no previsto
Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Robo o perdida de la credencial de acceso
Tabla 4. 8 Determinacin de Amenazas Activo Servicio
Activo: Datos
Datos de Gestin
Interna
Datos de Carcter
Personal
Amenazas
Alteracin de la informacin
Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Errores de los usuarios
Conocimiento no autorizado
Degradacin de la informacin
Tabla 4. 9 Determinacin de Amenazas Activo Datos
Activo: Aplicaciones
Software Utilitario
Sistema Operativo
EDCOM
Amenazas
Ataque de virus
Manipulacin de programas
Errores de usuario
Suplantacin de la identidad de usuario
Errores de administracin
36
ESPOL

Navegador Web
Sistema Backup
OPEN KM
Antivirus
Propagacin de software malicioso

Abuso de privilegio de acceso
Manipulacin de configuracin de red
Suplantacin de la identidad de usuario
Cada del servidor web Open KM
Errores de usuario
Desactualizacin de antivirus
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones
Activo: Equipos
Informticos
Informtica Personal
Amenazas
Perifricos
Accidentes imprevistos
Cambio de ubicacin no autorizado
Soporte de Red
Manipulacin de la configuracin de red

Ausencia de puntos de red
Modificacin de la asignacin del equipo
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos
Activo: Redes de
Comunicaciones
Central Telefnica
Equipo de Acceso a
Internet
EDCOM
Amenazas
Manipulacin de la asignacin de las Ips
Cada del servidor de la central telefnica
Manipulacin de la configuracin
Cada del servidor proveedor
Problemas con las conexiones del proveedor
37
ESPOL


Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones
Activo: Personal
Amenazas
Desconocimiento de sus funciones
rea Gestin de
Calidad
Mala organizacin
rea Direccin
rea Compensacin y Indisponibilidad del personal
Liquidacin
rea Custodia y
Extorsin
Ejercicio de Derecho
rea Gestin de Cobro Manipulacin de la informacin
y Libro de Acciones
rea Sistemas
rea Administrativa y
Recursos Humanos
rea Contabilidad
rea Legal
Tabla 4. 13 Determinacin de Amenazas Activo Personal
4.1.4 Clculo de riesgo:

A partir del levantamiento de informacin, donde se arrojo el nivel de frecuencia
e impacto8 al activo mediante la amenaza se han calculado los riesgos por
cada una:
Activo
Servicio de
Internet
Amenazas
Correo
Electrnico
Interno
Usurpacin de
identidad
Falta de servicio
Acceso no
autorizado
Reencaminamiento
de mensajes
Uso no previsto
Uso no previsto
Manipulacin de la
credencial de acceso
Gestin de
Identidades
Uso inapropiado
Falta de servicio
Interferencia
Frecuencia
3
2
1
2
Impacto
3
4
5
4
Total
9
8
5
8
1
4
4
3
4
12
12
3
2
3
3
4
5
9
8
15
8Revisar Anexo 5: Escala de Valoracin de Activos

EDCOM
38
ESPOL

Datos de
Gestin Interna
Datos de
Carcter
Personal
Software
Utilitarios
Sistemas
Operativos
Navegador Web
EDCOM
Falta de energa
elctrica
Manipulacin de la
configuracin del
aplicativo
Usurpacin de
identidad
Robo o perdida de la
12
20
Alteracin de la
informacin
Destruccin de la
informacin
Manipulacin de la
configuracin
Divulgacin de
informacin
10
15
10
16
Errores de los
usuarios
Acceso no
autorizado
Destruccin de
informacin
Degradacin de la
informacin
Divulgacin de
informacin
Ataque de virus
Manipulacin de
programas
Errores de usuario
16
10
10
2
3
2
2
4
6
16
Suplantacin de
identidad de usuario
Errores de
administracin
Propagacin de
software malicioso
12
Acceso no
autorizado
Abuso de privilegios
de acceso
Manipulacin de
configuracin de red
12
12
39
ESPOL

Sistema de
BackUp
Open KM
Antivirus
Informtica
Personal
Perifricos
Impresoras
Scanners
Soporte de Red
EDCOM
Manipulacin de
programas
Manipulacin de
programas
Suplantacin de
Cada del servidor
web Open KM
Errores de usuario
Desactualizacin de
antivirus
Errores de
administracin
Manipulacin de
programas
Acceso no
autorizado
Modificacin de la
asignacin del
equipo
Accidentes
imprevistos
Falta de energa
elctrica
Manipulacin de las
propiedades del
equipo
Ingreso no
autorizado de equipo
Acceso no
autorizado
Accidentes
imprevistos
Cambio de ubicacin
no autorizado
Manipulacin de
configuracin de red
Errores de
administracin
Falta de energa
elctrica
15
12
20
40
ESPOL

Central
Telefnica
Equipo de
Acceso a
Internet
Personal:
Diferentes reas
Ausencia de puntos
de red
16
Manipulacin de
asignacin de Ips
Falta de energa
elctrica
Accidentes
imprevistos
Cada del servidor
de la central
telefnica
Manipulacin de
configuracin
Accidentes
imprevistos
Cada del servidor
proveedor
Problemas con las
conexiones del
proveedor
Errores de
administracin
Falta de energa
elctrica
Desconocimientos
de sus funciones
Mala organizacin
15
16
15
16
Indisponibilidad del
personal
Divulgacin de
informacin
Extorsin
Manipular
informacin
Destruir informacin
3
4
2
4
6
16
16
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos
4.2 Plan de tratamiento de riesgo

ACTIVOS
EDCOM
AMENAZAS
VULNERABILIDADES
41
PTR
ESPOL

Servicio
de
Internet
Uso inapropiado
Falta de servicio
Interferencia
Correo
Electrnic
o Interno
Falta de servicio
Reencaminamiento de
mensajes
Gestin de
Identidades
Uso no previsto
Uso no previsto
Manipulacin de la

Manipulacin de la
configuracin del
aplicativo
Robo o perdida de la
EDCOM
42
No respetar los lmites de

acceso
Falta de capacitacin
sobre los lmites de
acceso
Aceptar
No respetar los lmites

de acceso
Problemas del
proveedor de internet
Falta de proteccin de
la red
Falta de control en el
acceso
Divulgacin de la
informacin de acceso
Falta del servicio de
Internet
Interferencia con el
servidor interno de
correo
No respetar los lmites
de acceso
Aceptar
Falta de seguridad en la
transferencia de
mensajes
Falta de polticas
Falta de polticas
Falta de
implementacin de
mayor seguridades en
la credencial
Falta de generador
elctrico
Falta de polticas
Aceptar
Falta de control en el
acceso
Falta de mtodo de
apoyo para el caso
Reducir
Reducir
Transferir
Aceptar
Reducir
Reducir
Transferir
Reducir
Aceptar
Reducir
Reducir
Reducir
Reducir
Aceptar
Reducir
Reducir
ESPOL

Datos de
Gestin
Interna
Alteracin de la
informacin
Destruccin de la
informacin
Cambio de ubicacin de
la informacin
Manipulacin de la
configuracin
Divulgacin de la
informacin
Errores de los usuarios
Datos de
Carcter
Personal
Destruccin de la
informacin
Degradacin de la
informacin
Divulgacin de la
informacin
Ataque de virus
Manipulacin de
programas
Software
Utilitario
Errores de usuario
Suplantacin de la
Sistema
Operativo
EDCOM
Propagacin de software
malicioso
43
Insuficiente
entrenamiento de
empleados
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de proteccin
fsica adecuada
Falta de un debido
control de acceso a
usuarios
Almacenamiento no
protegido
Falta de conocimiento y
oportuno entrenamiento
Falta de polticas y
proteccin fsica
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de mantenimiento
adecuado
Almacenamiento no
protegido
Reducir
Falta de proteccin
contra aplicaciones
dainas
Insuficiente
entrenamiento de
empleados
Falta de control de
acceso
Falta de conocimiento
de funciones del
administrador
Falta de proteccin y
controles en las
Aceptar
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Aceptar
Aceptar
Reducir
Aceptar
Reducir
Aceptar
ESPOL

configuraciones de la
red
Navegador
Web
Sistema
Backup
OPEN KM
Reducir
Suplantacin de la
Falta de polticas y
proteccin fsica
Falta de control de
acceso
Insuficiente
entrenamiento de
empleados
Falta de control de
acceso
Cada del servidor web

Open KM
Instalacin de SW no
Autorizado
Aceptar
Errores de usuario
Aceptar
Desactualizacin de
antivirus
Falla del servicio de red
Aceptar
de funciones del
administrador
Insuficiente
entrenamiento de
empleados
Falta de polticas
Reducir
Falta de control de
Acceso
Condiciones locales
donde los recursos son
fcilmente afectados
Falta de acuerdos bien
definidos con terceras
partes
Falta de control de
acceso
Falta de control de
acceso
Falta de control de
Aceptar
Abuso de privilegio de
acceso
Manipulacin de
configuracin de red
Manipulacin de
programas
Manipulacin de
programas
Antivirus
Modificacin de la
asignacin del equipo
Informtica
Personal
Manipulacin de las
propiedades del equipo
Ingreso no autorizado del
equipo
EDCOM
44
Reducir
Aceptar
Aceptar
Aceptar
Aceptar
Reducir
Reducir
Aceptar
Aceptar
Aceptar
Reducir
ESPOL

acceso
Perifricos
Cambio de ubicacin no
autorizado
Manipulacin de la
configuracin de red
Soporte
de Red
Ausencia de puntos de
red
Manipulacin de la
asignacin de las Ips
Central
Telefnica
Cada del servidor de la

central telefnica
Manipulacin de la
configuracin
Cada del servidor

proveedor
Equipo de
Acceso a
Internet
EDCOM
Condiciones locales
fcilmente afectados
Falta de proteccin
fsica adecuada
Falta de control de
seguridad
de funciones del
administrador
partes
Capacidad insuficiente
de los recursos
Falta de control de
acceso
partes
Condiciones locales
fcilmente afectados
partes
Falta de control de
acceso
Reducir
Condiciones locales
fcilmente
afectados
Reducir

partes
Problemas con las
conexiones del proveedor definidos con terceras
partes
Errores de administracin Falta de conocimiento
de funciones del
administrador
45
Aceptar
Aceptar
Reducir
Reducir
Reducir
Aceptar
Reducir
Reducir
Reducir
Aceptar
Transferir
Transferir
Reducir
ESPOL


Desconocimiento de sus
funciones
Mala organizacin
Recursos
Humanos
Indisponibilidad del
personal
Divulgacin de la
informacin
Extorsin
Manipulacin de la
informacin
Destruccin de la
informacin
Falla en la eleccin del

personal
Falta de capacitacin
del administrador
Reducir
Desconocimiento de
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Reducir
Almacenamiento no
protegido
Desconocimiento de
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Insuficiente
entrenamiento de
empleados
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de
especificaciones con
respecto a la seleccin
de personal
Aceptar
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Tabla 4. 15 Plan de Tratamiento de Riesgo
4.3 Declaracin de Aplicacin

A continuacin, se detallara la Declaracin de Aplicacin (SOA) para determinar
las responsabilidades del control a realizar a travs del sistema de gestin de
seguridad de la informacin:
EDCOM
46
ESPOL

ISO
27001:
Controles
Clau
sula
Segu
EDCOM
2005 Cont
roles
Utiliz
ados
S
ec
.
Objetivo de
control/Con
troles
8.
1
Antes del
Empleo
Observa
ciones
(Justific
acin de
exclusi
n)
47
Controles
seleccionados y
las razones para la
seleccin
L
R
C
O
BR
/B
P
Observaciones
(Descripcin
general de la
aplicacin)
RR
A
ESPOL

ridad
de
los
Recu
rsos
Hum
anos
EDCOM
Control
es
desarrol
lados
por otra
ISO
Control
es
desarrol
lados
por otra
ISO
Control
es
desarrol
lados
por otra
ISO
8.
1.
1
Roles y
Responsa
bilidades
8.
1.
2
Deteccin
8.
1.
3
Trminos
y
condicione
s
del
empleado
8.
2
8.
2.
1
Durante el
Empleo
Responsa
bilidad de
la
Direccin
8.
2.
2
Formacin
y
capacitaci
n
en
seguridad
de
la
informaci
n
8.
2.
Comunica
cin
de
48
Se debe detallar
los
procedimientos
para controlar
que las polticas
de seguridad de
la empresa se
estn aplicando
en las labores
diarias.
Definir
las
actividades a
realizar
para
aplicar
el
control
y
transmitir
las
polticas
de
seguridad
o
actualizaciones
de las mismas.
Se
debe
estructurar un
ESPOL

eventos y
debilidade
s de la
seguridad
de
la
informaci
n
8.
3
Terminaci
n y
Cambio
de Empleo
Terminaci
n de las
responsab
ilidades
8.
3.
1
8.
3.
2
Restituci
n
de
activos
8.
3.
3
Remover
los
permisos
de acceso
procedimiento
a seguir en
caso de que
alguna poltica
sea infringida
por
los
usuarios.
Desarro
llado
por otro
grupo
Desarro
llado
por otro
grupo
Desarro
llado
por otro
grupo
Tabla 4. 16 Declaracin de Aplicabilidad
EDCOM
49
ESPOL

EDCOM
50
ESPOL

1proyecto de Graduacion Implementacion de Sgsi A La Empresa

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

1proyecto de Graduacion Implementacion de Sgsi A La Empresa

Caricato da

Copyright:

Formati disponibili

ESCUELA SUPERIOR POLITCNICA DEL LITORAL

ESCUELA DE DISEO Y COMUNICACIN VISUAL

Agradecemos a Dios por haber pensado en nosotros antes de nacer y

A los jardineros del tiempo, nuestros maestros por su entrega y dedicacin de

Implementacin de Sistema de Gestin de Seguridad

Tambin queremos dedicarlo al esfuerzo y constancia de aquellas personas

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

FIRMA DEL DIRECTO DEL PROYECTO

Implementacin de Sistema de Gestin de Seguridad

FIRMA DE LOS AUTORES

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

CAPTULO 1: Marco Referencial...............................................................................13

Implementacin de Sistema de Gestin de Seguridad

4.1.3 Determinacin de las Amenazas por Activo:.......................................................33

Implementacin de Sistema de Gestin de Seguridad

Anexo5.3Escala de Valoracin de Impacto:.........................................................79

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

CAPITULO 5: Etapa 2: HacerY

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

sistema, ya que dentro de su mercado es muy escaso el conocimiento del

Implementacin de Sistema de Gestin de Seguridad

Compaa Depsito Centralizado de Compensacin y

Junta General de Accionistas de la Compaa, en sesin

Implementacin de Sistema de Gestin de Seguridad

Valores que se encuentra a nivel nacional en operacin y autorizado por la Ley

Pueden ser accionistas del DECEVALE, con hasta un 5% de participacin

Depsito Centralizado de Compensacin y Liquidacin de Valores DECEVALE

Implementacin de Sistema de Gestin de Seguridad

2.2 Descripcin del funcionamiento del rea Recursos

2.2.2 Contratacin de personal

Se realiza una breve presentacin de la empresa informndole entre otros,

1Revisar Anexo 3: Perfil o Requisitos de los diferentes cargos.

Implementacin de Sistema de Gestin de Seguridad

supervisando su lectura y comprensin y despejando cualquier duda que tenga

2.2.4 Durante el empleo

2.2.6 Separacin del empleado

El Gerente de la empresa comunica al empleado de la finalizacin de la

3Revisar Anexo 2: Descripcin de cada puesto de trabajo.

Implementacin de Sistema de Gestin de Seguridad

Implementacin de Sistema de Gestin de Seguridad

3.1.2 Gestin de Seguridad de la informacin

Implementacin de Sistema de Gestin de Seguridad

3.1.3 International Organization for Standarization (ISO):

3.1.4 ISO 27000, aplicada a la seguridad de la informacin:

4 Revisar Anexo 1: Definiciones y Trminos

Implementacin de Sistema de Gestin de Seguridad

3.1.4.1 Serie ISO 27000

3.1.5 ISO 27001

5 Revisar Anexo 1: Definiciones y Trminos

Implementacin de Sistema de Gestin de Seguridad

Este estndar es certificable, es decir, cualquier organizacin que tenga

3.1.6 PDCA (Planear-Hacer-Verificar-Actuar)

Implementacin de Sistema de Gestin de Seguridad

Ilustracin 3. 1 Fase Planificacin

Definir alcance del SGSI: en funcin de caractersticas del negocio,

Implementacin de Sistema de Gestin de Seguridad

Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede