Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AGRADECIMIENTO
Tambin les damos gracias a nuestros padres y familia por haber sido nuestro
gua en todo este tiempo, por su amor incondicional e incomparable, sabiendo
entendernos y apoyarnos en nuestros momentos ms difciles.
DEDICATORIA
Este trabajo se lo dedico a mis Padres, porque ellos siempre han estado a mi
lado en todo momento siempre aconsejndonos, ayudndonos y sobre todo
guindonos para seguir adelante.
A nuestros Abuelos que desde muy pequeos nos han enseado a hacer lo
bueno y no lo malo, a ser fuerte porque as llegaremos a las metas propuestas.
EDCOM
ESPOL
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de Graduacin, nos
corresponde exclusivamente, como miembros elaboradores de la misma; y el
patrimonio intelectual de la misma a la Escuela Superior Politcnica del Litoral.
EDCOM
ESPOL
___________________________________
MAE. VICTOR MUZ CHACHAPOLLA
DIRECTOR
__________________________________
MAE. ENRIQUE SALAZAR MEZA
DELEGADO
EDCOM
ESPOL
___________________________________
DIANA XIOMARA CALDERN ONOFRE
__________________________________
CARLOS MARTN ESTRELLA OCHOA
____________________________________
MANUEL ALEJANDRO FLORES VILLAMARN
EDCOM
ESPOL
RESUMEN GENERAL
El presente Trabajo de Graduacin se enfoca en la reorganizacin del
departamento de Recursos Humanos para mejorar sus procedimientos y
aplicarlos a la seguridad de la informacin, tomando esta ltima como un activo
ms de la empresa e indispensable para el desarrollo de sus actividades.
La implementacin de un sistema de gestin de seguridad de informacin en
una empresa busca un avance significativo en la confianza de sus clientes para
con ellos. Al conocer de la obtencin de una certificacin o la ejecucin de la
misma, la empresa crea una imagen de prestigio y de inters en resaltar entre
las dems.
Se decidi la aplicacin de la gestin de seguridad de informacin en el
departamento de personal debido a la importancia que tiene la informacin en
la empresa escogida. DECEVALE S.A. es una empresa que maneja datos
correspondientes a las Bolsas de Valores que funcionan en el Ecuador. Se
considero relevante aplicar procedimientos a la etapa de Aplicacin de
Funciones (Durante el empleo) debido a que existan situaciones tratadas sin
lineamientos que solucionen los posibles problemas que atentaban la
integridad de la informacin.
A continuacin, se determinan las generalidades de la empresa, los conceptos
principales de sistema de gestin de seguridad de informacin (ISO 27002), la
planeacin total aplicada a la empresa y el desarrollo de los lineamientos a
cada procedimiento segn la norma.
El esfuerzo empleado en realizar este trabajo de graduacin garantiza la
calidad del contenido. Exponemos, por ltimo, que el elaborar dicho
instrumento y adentrarlos en la aplicacin de la norma, nos ha dejado grandes
experiencias sobre distintos temas competentes y realidades desconocidas
sobre el ambiente laboral y el tratamiento con recurso humano para transmitir
ideas y tecnologas.
ndice General
EDCOM
ESPOL
ESPOL
ESPOL
EDCOM
10
ESPOL
ndice de Ilustraciones
CAPITULO 3: Etapa 1: Planeacin
Ilustracin 3. 1 Fase Planificacin......................................................................24
Ilustracin 3. 2 Fase Hacer............................................................................... 25
Ilustracin 3. 3 Fase Chequear..........................................................................26
Ilustracin 3. 4 Fase Actuar............................................................................... 27
EDCOM
11
ESPOL
ndices de Tablas
CAPITULO 4: Anlisis de Ries
Tabla 4. 1 Determinacin de Activos...................................................................31
Tabla 4. 2 Ponderacin de las Dimensiones de Activo Servicio...............................32
Tabla 4. 3 Ponderacin de las Dimensiones de Activo Datos..................................32
Tabla 4. 4 Ponderacin de las Dimensiones de Activo Aplicaciones........................32
Tabla 4. 5 Ponderacin de las Dimensiones de Activo Equipos Informticos.............32
Tabla 4. 6 Ponderacin de las Dimensiones de Activo Redes de Comunicaciones....33
Tabla 4. 7 Ponderacin de las Dimensiones de Activo Personal..............................33
Tabla 4. 8 Determinacin de Amenazas Activo Servicio.........................................33
Tabla 4. 9 Determinacin de Amenazas Activo Datos............................................34
Tabla 4. 10 Determinacin de Amenazas Activo Aplicaciones.................................34
Tabla 4. 11 Determinacin de Amenazas Activo Equipos Informticos.....................35
Tabla 4. 12 Determinacin de Amenazas Activo Redes de Comunicaciones.............35
Tabla 4. 13 Determinacin de Amenazas Activo Personal......................................35
Tabla 4. 14 Resultado del Clculo de Riesgo de los Activos...................................38
Tabla 4. 15 Plan de Tratamiento de Riesgo.........................................................42
Tabla 4. 16 Declaracin de Aplicabilidad.............................................................45
ANEXOS
Tabla Anexo. 1Descripcin de cada puesto de trabajo...........................................69
Tabla Anexo. 2Perfil de Cargo Gerente...............................................................70
Tabla Anexo. 3Perfil de Cargo Asesor Legal........................................................70
Tabla Anexo. 4 Perfil de Cargo Jefe Nacional Administrativo..................................71
Tabla Anexo. 5 Perfil de Cargo Asistente Administrativo........................................71
Tabla Anexo. 6 Perfil de Cargo Ayudante de Administracin...................................72
Tabla Anexo. 7 Perfil de Cargo Mensajero...........................................................72
Tabla Anexo. 8 Perfil de Cargo Representante de la Direccin...............................73
Tabla Anexo. 9 Perfil de Cargo Contador.............................................................73
Tabla Anexo. 10 Perfil de Cargo Jefe de Gestin de Cobro / Jefe Regional Sierra de
Gestin de Cobro y Libro de Acciones................................................................74
Tabla Anexo. 11 Perfil de Cargo Asistente de Gestin de Cobro y Libro de Acciones. 74
Tabla Anexo. 12 Perfil de Cargo Jefe Nacional de Custodia y Ejercicio de Derecho...75
Tabla Anexo. 13 Perfil de Cargo Asistente de Custodia y Ejercicio de Derecho.........75
Tabla Anexo. 14 Perfil de Cargo Jefe Nacional de Compensacin Y Liquidacin.......76
Tabla Anexo. 15 Perfil de Cargo Asistente de Compensacin y Liquidacin..............76
Tabla Anexo. 16 Perfil de Cargo Jefe de Sistemas................................................77
Tabla Anexo. 17 Perfil de Cargo Asistente de Sistemas / Desarrollador...................77
Tabla Anexo. 18 Escala de Valoracin de Dimensiones.........................................79
Tabla Anexo. 19 Escala de Valoracin de Frecuencia............................................79
Tabla Anexo. 20 Escala de Valoracin de Impacto................................................79
EDCOM
12
ESPOL
EDCOM
13
ESPOL
CAPTULO 1
MARCO REFERENCIAL
1. Marco Referencial
Las normas ISO surgen para armonizar la gran cantidad
de normas sobre gestin de calidad y seguridad que
estaban
apareciendo
en
distintos
pases
y
organizaciones del mundo. Los organismos de
normalizacin de cada pas producen normas que
resultan del consenso entre representantes del estado y
de la industria. De la misma manera las normas ISO
surgen del consenso entre representantes de los
distintos pases integrados a la I.S.O.
Uno de los activos ms valiosos que hoy en da posee
las diferentes empresas, es la informacin y parece ser
que cada vez ms sufre grandes amenazas en cuanto a
su confiabilidad y su resguardo, de igual forma la
informacin es vital para el xito y sobrevivencia de las
empresas en cualquier mercado. Con todo esto todo
parece indicar que uno de los principales objetivos de
toda organizacin es el aseguramiento de dicha
informacin, as como tambin de los sistemas que la
procesan.
Para que exista una adecuada gestin de la seguridad
de la informacin dentro de las organizaciones, es
necesario implantar un sistema que aborde esta tarea
de una forma metdica y lgica, documentada y basada en unos objetivos
claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin. Para lograr estos objetivos, existen
organizaciones o entes especializados en redactar estndares necesarios y
especiales para el resguardo y seguridad de la informacin, los estndares
correspondientes se encuentran en la norma ISO 27000.
EDCOM
14
ESPOL
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
El objetivo de desarrollar un sistema de gestin de seguridad de la informacin
para la organizacin es disminuir el nmero de amenazas que, aprovechando
cualquier vulnerabilidad existente, pueden someter a activos de informacin a
diversas formas de fraude, sabotaje o vandalismo. Las amenazas que pueden
considerarse de mayor relevancia en la institucin son los virus informticos, la
violacin de la privacidad de los empleados, los empleados deshonestos,
intercepcin de transmisin de datos o comunicaciones y/o fallas tcnicas de
manera voluntaria o involuntariamente.
La importancia de realizar el anlisis referente a la gestin de Recursos
Humanos, radica en conocer el manejo de la informacin correspondiente a
esta rea y su flujo dentro de la empresa. De esta manera, se establece que
personas conocen o manejan que informacin y se establecen los
procedimientos a seguir para resguardar dicha informacin. Al implementar
estos procedimientos se deben realizar controles u observaciones de su
funcionamiento dentro del rea dispuesta, los cuales permitirn desarrollar
cambios en los mismos.
La empresa DECEVALE requiere implementar un sistema de gestin de
seguridad de la informacin con respecto a los recursos humanos debido a que
regiran lineamientos que permitirn reclutar personal calificado de acuerdo al
rol a desempear. La empresa maneja informacin de vital importancia para
sus clientes, la cual se considera delicada y no se puede arriesgar a incorporar
personal que pueda hacer mal uso, voluntaria o involuntariamente, de sta.
DECEVALE considera que una seleccin adecuada de su personal evitara
problemas a futuro con el mismo. Adems, cree que aplicar un sistema de
gestin de seguridad de la informacin agregara confiabilidad al desarrollo de
sus actividades. La empresa desea ser pionera en la implementacin de dicho
EDCOM
15
ESPOL
EDCOM
16
ESPOL
CAPTULO 2
GENERALIDADES DE LA EMPRESA
2.
Generalidades de la Empresa:
2.1
Antecedentes de la empresa:
La
por
mil
del
La
del
17
ESPOL
EDCOM
18
ESPOL
19
ESPOL
20
ESPOL
CAPTULO 3
ETAPA 1: PLANEACIN
EDCOM
21
ESPOL
3. Etapa 1: Planeacin
3.1 Definicin de la Norma ISO 27002
3.1.1 Seguridad Informtica:
Proteccin de la Infraestructura de las tecnologas de la Informacin dentro de
la empresa. Este tipo de seguridad es importante para la compaa, ya que se
encarga de precautelar por el perfecto estado y funcionamiento de los equipos
informticos donde fluye la informacin. La informacin reside en medios como
estos equipos, soportes de almacenamiento y redes de datos, y teniendo en
cuenta estos aspectos, se hace vital mantener la seguridad informtica a travs
de lineamientos de proteccin.
22
ESPOL
23
ESPOL
La ISO 27000 es una serie de estndares desarrollados, por ISO e IEC 5. Este
estndar ha sido preparado para proporcionar y promover un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un
Sistema de Gestin de Seguridad de Informacin. La adopcin de este
estndar diseo e implementacin debe ser tomada en cuenta como una
decisin estratgica para la organizacin; se pretende que el SGSI se extienda
con el tiempo en relacin a las necesidades de la organizacin. La aplicacin
de cualquier estndar ISO 27000 necesita de un vocabulario claramente
definido, que evite distintas interpretaciones de conceptos tcnicos y de
gestin, que proporcionan un marco de gestin de la seguridad de la
informacin utilizable por cualquier tipo de organizacin, pblica o privada,
grande o pequea.
24
ESPOL
EDCOM
25
ESPOL
3.1.6.1 PLANIFICACIN
26
ESPOL
27
ESPOL
EDCOM
28
ESPOL
29
ESPOL
30
ESPOL
EDCOM
31
ESPOL
EDCOM
32
ESPOL
CAPTULO 4
ANLISIS DE RIESGO
4. Anlisis de Riesgo
4.1
Valoracin de Activos
La
de
Tipo de Activo
Servicios
Datos
Aplicaciones
Equipos Informticos
Redes de Comunicaciones
Personal
EDCOM
Activo
Servicio de Internet
Correo Electrnico Interno
Gestin de Identidades
Datos de Gestin Interna
Datos de Carcter Personal
Software Utilitario
Sistemas Operativos
Navegador Web
Sistema de Backup Open KM
Antivirus
Informtica Personal
Perifricos
Soporte de Red
Central Telefnica
Equipos de Acceso a Internet
rea Gestin de Calidad
rea Direccin
rea Compensacin y Liquidacin
33
ESPOL
Activo: Servicio
Servicio de Internet
Correo Electrnico
Interno
Gestin de
Identidades
Disponibilida
d
5
5
Confiabilida
d
4
4
Integrida
d
4
5
Total
15
13
14
Activo: Datos
Datos de Gestin
Interna
Datos de Carcter
Personal
Disponibilida
d
5
Confiabilida
d
5
Integrida
d
4
Total
11
14
Activo: Aplicaciones
Confiabilida
d
4
4
Integrida
d
4
3
Total
Software Utilitario
Sistema Operativo
Disponibilida
d
5
5
Navegador Web
13
12
34
ESPOL
Sistema Backup
OPEN KM
Antivirus
14
12
Activo: Equipos
Informticos
Informtica Personal
Disponibilida
d
5
Confiabilida
d
4
Integrida
d
4
Total
Perifricos
12
Soporte de Red
13
13
Activo: Redes de
Comunicaciones
Central Telefnica
Equipo de Acceso a
Internet
Disponibilida
d
5
5
Confiabilida
d
5
5
Integrida
d
4
5
Total
14
15
Activo: Personal
Confiabilida
d
5
Integrida
d
5
Total
15
rea Compensacin 5
y Liquidacin
15
rea Custodia y 5
Ejercicio de Derecho
15
rea Gestin de
Cobro y Libro de
Acciones
rea Sistemas
rea Administrativa
y
Recursos
Humanos
rea Contabilidad
15
4
5
5
5
4
5
15
15
15
rea Legal
15
rea Gestin
Calidad
rea Direccin
EDCOM
Disponibilida
d
de 5
35
15
ESPOL
Correo Electrnico
Interno
Gestin de
Identidades
Amenazas
Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Usurpacin de identidad
Falta de servicio
Acceso no autorizado
Reencaminamiento de mensajes
Uso no previsto
Uso no previsto
Manipulacin de la credencial de acceso
Falta de energa elctrica
Manipulacin de la configuracin del aplicativo
Usurpacin de identidad
Robo o perdida de la credencial de acceso
Activo: Datos
Datos de Gestin
Interna
Datos de Carcter
Personal
Amenazas
Alteracin de la informacin
Destruccin de la informacin
Cambio de ubicacin de la informacin
Conocimiento no autorizado
Manipulacin de la configuracin
Divulgacin de la informacin
Errores de los usuarios
Acceso no autorizado
Conocimiento no autorizado
Destruccin de la informacin
Degradacin de la informacin
Divulgacin de la informacin
Activo: Aplicaciones
Software Utilitario
Sistema Operativo
EDCOM
Amenazas
Ataque de virus
Manipulacin de programas
Errores de usuario
Suplantacin de la identidad de usuario
Errores de administracin
36
ESPOL
Navegador Web
Sistema Backup
OPEN KM
Antivirus
Activo: Equipos
Informticos
Informtica Personal
Amenazas
Perifricos
Acceso no autorizado
Accidentes imprevistos
Cambio de ubicacin no autorizado
Soporte de Red
Acceso no autorizado
Modificacin de la asignacin del equipo
Accidentes imprevistos
Falta de energa elctrica
Manipulacin de las propiedades del equipo
Ingreso no autorizado del equipo
Activo: Redes de
Comunicaciones
Central Telefnica
Equipo de Acceso a
Internet
EDCOM
Amenazas
Manipulacin de la asignacin de las Ips
Falta de energa elctrica
Accidentes imprevistos
Cada del servidor de la central telefnica
Manipulacin de la configuracin
Accidentes imprevistos
Cada del servidor proveedor
Problemas con las conexiones del proveedor
Errores de administracin
37
ESPOL
Activo: Personal
Amenazas
Desconocimiento de sus funciones
rea Gestin de
Calidad
Mala organizacin
rea Direccin
rea Compensacin y Indisponibilidad del personal
Liquidacin
Divulgacin de la informacin
rea Custodia y
Extorsin
Ejercicio de Derecho
rea Gestin de Cobro Manipulacin de la informacin
y Libro de Acciones
Destruccin de la informacin
rea Sistemas
rea Administrativa y
Recursos Humanos
rea Contabilidad
rea Legal
Tabla 4. 13 Determinacin de Amenazas Activo Personal
Amenazas
Correo
Electrnico
Interno
Usurpacin de
identidad
Falta de servicio
Acceso no
autorizado
Reencaminamiento
de mensajes
Uso no previsto
Uso no previsto
Manipulacin de la
credencial de acceso
Gestin de
Identidades
Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Frecuencia
3
2
1
2
Impacto
3
4
5
4
Total
9
8
5
8
1
4
4
3
4
12
12
3
2
3
3
4
5
9
8
15
38
ESPOL
Datos de
Gestin Interna
Datos de
Carcter
Personal
Software
Utilitarios
Sistemas
Operativos
Navegador Web
EDCOM
Falta de energa
elctrica
Manipulacin de la
configuracin del
aplicativo
Usurpacin de
identidad
Robo o perdida de la
credencial de acceso
12
20
Alteracin de la
informacin
Destruccin de la
informacin
Manipulacin de la
configuracin
Divulgacin de
informacin
10
15
10
16
Errores de los
usuarios
Acceso no
autorizado
Destruccin de
informacin
Degradacin de la
informacin
Divulgacin de
informacin
Ataque de virus
Manipulacin de
programas
Errores de usuario
16
10
10
2
3
2
2
4
6
16
Suplantacin de
identidad de usuario
Errores de
administracin
Propagacin de
software malicioso
12
Acceso no
autorizado
Abuso de privilegios
de acceso
Manipulacin de
configuracin de red
12
12
39
ESPOL
Sistema de
BackUp
Open KM
Antivirus
Informtica
Personal
Perifricos
Impresoras
Scanners
Soporte de Red
EDCOM
Manipulacin de
programas
Manipulacin de
programas
Suplantacin de
identidad de usuario
Cada del servidor
web Open KM
Errores de usuario
Desactualizacin de
antivirus
Errores de
administracin
Manipulacin de
programas
Acceso no
autorizado
Modificacin de la
asignacin del
equipo
Accidentes
imprevistos
Falta de energa
elctrica
Manipulacin de las
propiedades del
equipo
Ingreso no
autorizado de equipo
Acceso no
autorizado
Accidentes
imprevistos
Cambio de ubicacin
no autorizado
Manipulacin de
configuracin de red
Errores de
administracin
Falta de energa
elctrica
15
12
20
40
ESPOL
Central
Telefnica
Equipo de
Acceso a
Internet
Personal:
Diferentes reas
Ausencia de puntos
de red
16
Manipulacin de
asignacin de Ips
Falta de energa
elctrica
Accidentes
imprevistos
Cada del servidor
de la central
telefnica
Manipulacin de
configuracin
Accidentes
imprevistos
Cada del servidor
proveedor
Problemas con las
conexiones del
proveedor
Errores de
administracin
Falta de energa
elctrica
Desconocimientos
de sus funciones
Mala organizacin
15
16
15
16
Indisponibilidad del
personal
Divulgacin de
informacin
Extorsin
Manipular
informacin
Destruir informacin
3
4
2
4
6
16
16
EDCOM
AMENAZAS
VULNERABILIDADES
41
PTR
ESPOL
Servicio
de
Internet
Uso inapropiado
Acceso no autorizado
Falta de servicio
Interferencia
Correo
Electrnic
o Interno
Usurpacin de identidad
Falta de servicio
Acceso no autorizado
Reencaminamiento de
mensajes
Gestin de
Identidades
Uso no previsto
Uso no previsto
Manipulacin de la
credencial de acceso
42
Aceptar
Aceptar
Falta de seguridad en la
transferencia de
mensajes
Falta de polticas
Falta de polticas
Falta de
implementacin de
mayor seguridades en
la credencial
Falta de generador
elctrico
Falta de polticas
Aceptar
Falta de control en el
acceso
Falta de mtodo de
apoyo para el caso
Reducir
Reducir
Transferir
Aceptar
Reducir
Reducir
Transferir
Reducir
Aceptar
Reducir
Reducir
Reducir
Reducir
Aceptar
Reducir
Reducir
ESPOL
Datos de
Gestin
Interna
Alteracin de la
informacin
Destruccin de la
informacin
Cambio de ubicacin de
la informacin
Manipulacin de la
configuracin
Divulgacin de la
informacin
Errores de los usuarios
Datos de
Carcter
Personal
Acceso no autorizado
Destruccin de la
informacin
Degradacin de la
informacin
Divulgacin de la
informacin
Ataque de virus
Manipulacin de
programas
Software
Utilitario
Errores de usuario
Suplantacin de la
identidad de usuario
Errores de administracin
Sistema
Operativo
EDCOM
Propagacin de software
malicioso
43
Insuficiente
entrenamiento de
empleados
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de proteccin
fsica adecuada
Falta de un debido
control de acceso a
usuarios
Almacenamiento no
protegido
Falta de conocimiento y
oportuno entrenamiento
Falta de polticas y
proteccin fsica
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de mantenimiento
adecuado
Almacenamiento no
protegido
Reducir
Falta de proteccin
contra aplicaciones
dainas
Insuficiente
entrenamiento de
empleados
Falta de conocimiento y
oportuno entrenamiento
Falta de control de
acceso
Falta de conocimiento
de funciones del
administrador
Falta de proteccin y
controles en las
Aceptar
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Aceptar
Aceptar
Reducir
Aceptar
Reducir
Aceptar
ESPOL
configuraciones de la
red
Acceso no autorizado
Navegador
Web
Sistema
Backup
OPEN KM
Reducir
Suplantacin de la
identidad de usuario
Falta de polticas y
proteccin fsica
Falta de conocimiento y
oportuno entrenamiento
Falta de control de
acceso
Insuficiente
entrenamiento de
empleados
Falta de control de
acceso
Instalacin de SW no
Autorizado
Aceptar
Errores de usuario
Falta de conocimiento y
oportuno entrenamiento
Aceptar
Desactualizacin de
antivirus
Errores de administracin
Aceptar
Falta de conocimiento
de funciones del
administrador
Insuficiente
entrenamiento de
empleados
Falta de polticas
Reducir
Falta de control de
Acceso
Condiciones locales
donde los recursos son
fcilmente afectados
Falta de acuerdos bien
definidos con terceras
partes
Falta de control de
acceso
Falta de control de
acceso
Falta de control de
Aceptar
Abuso de privilegio de
acceso
Manipulacin de
configuracin de red
Manipulacin de
programas
Manipulacin de
programas
Antivirus
Acceso no autorizado
Modificacin de la
asignacin del equipo
Accidentes imprevistos
Informtica
Personal
Manipulacin de las
propiedades del equipo
Ingreso no autorizado del
equipo
Acceso no autorizado
EDCOM
44
Reducir
Aceptar
Aceptar
Aceptar
Aceptar
Reducir
Reducir
Aceptar
Aceptar
Aceptar
Reducir
ESPOL
acceso
Accidentes imprevistos
Perifricos
Cambio de ubicacin no
autorizado
Manipulacin de la
configuracin de red
Errores de administracin
Soporte
de Red
Ausencia de puntos de
red
Manipulacin de la
asignacin de las Ips
Falta de energa elctrica
Accidentes imprevistos
Central
Telefnica
EDCOM
Condiciones locales
donde los recursos son
fcilmente afectados
Falta de proteccin
fsica adecuada
Falta de control de
seguridad
Falta de conocimiento
de funciones del
administrador
Falta de acuerdos bien
definidos con terceras
partes
Capacidad insuficiente
de los recursos
Falta de control de
acceso
Falta de acuerdos bien
definidos con terceras
partes
Condiciones locales
donde los recursos son
fcilmente afectados
Falta de acuerdos bien
definidos con terceras
partes
Falta de control de
acceso
Reducir
Condiciones locales
donde los recursos son
fcilmente
afectados
Reducir
Aceptar
Aceptar
Reducir
Reducir
Reducir
Aceptar
Reducir
Reducir
Reducir
Aceptar
Transferir
Transferir
Reducir
ESPOL
Recursos
Humanos
Indisponibilidad del
personal
Divulgacin de la
informacin
Extorsin
Manipulacin de la
informacin
Destruccin de la
informacin
Falta de capacitacin
del administrador
Falta de conocimiento y
oportuno entrenamiento
Reducir
Desconocimiento de
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Reducir
Falta de conocimiento y
oportuno entrenamiento
Almacenamiento no
protegido
Desconocimiento de
estndares y reglas
establecidas por la
empresa
Falta de reglas segn el
caso
Insuficiente
entrenamiento de
empleados
Falta de un debido
control de acceso a
usuarios y de una
proteccin fsica
Falta de
especificaciones con
respecto a la seleccin
de personal
Aceptar
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
EDCOM
46
ESPOL
ISO
27001:
Controles
Clau
sula
Segu
EDCOM
2005 Cont
roles
Utiliz
ados
S
ec
.
Objetivo de
control/Con
troles
8.
1
Antes del
Empleo
Observa
ciones
(Justific
acin de
exclusi
n)
47
Controles
seleccionados y
las razones para la
seleccin
L
R
C
O
BR
/B
P
Observaciones
(Descripcin
general de la
aplicacin)
RR
A
ESPOL
ridad
de
los
Recu
rsos
Hum
anos
EDCOM
Control
es
desarrol
lados
por otra
ISO
Control
es
desarrol
lados
por otra
ISO
Control
es
desarrol
lados
por otra
ISO
8.
1.
1
Roles y
Responsa
bilidades
8.
1.
2
Deteccin
8.
1.
3
Trminos
y
condicione
s
del
empleado
8.
2
8.
2.
1
Durante el
Empleo
Responsa
bilidad de
la
Direccin
8.
2.
2
Formacin
y
capacitaci
n
en
seguridad
de
la
informaci
n
8.
2.
Comunica
cin
de
48
Se debe detallar
los
procedimientos
para controlar
que las polticas
de seguridad de
la empresa se
estn aplicando
en las labores
diarias.
Definir
las
actividades a
realizar
para
aplicar
el
control
y
transmitir
las
polticas
de
seguridad
o
actualizaciones
de las mismas.
Se
debe
estructurar un
ESPOL
eventos y
debilidade
s de la
seguridad
de
la
informaci
n
8.
3
Terminaci
n y
Cambio
de Empleo
Terminaci
n de las
responsab
ilidades
8.
3.
1
8.
3.
2
Restituci
n
de
activos
8.
3.
3
Remover
los
permisos
de acceso
procedimiento
a seguir en
caso de que
alguna poltica
sea infringida
por
los
usuarios.
Desarro
llado
por otro
grupo
Desarro
llado
por otro
grupo
Desarro
llado
por otro
grupo
EDCOM
49
ESPOL
EDCOM
50
ESPOL