CD 2254

ESCUELA POLITCNICA NACIONAL
FACULTAD DE INGENIERA DE SISTEMAS
DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN PARA COOPERATIVAS DE AHORRO Y
CRDITO EN BASE A LA NORMA ISO 27001
TESIS PREVIA A LA OBTENCIN DEL GRADO DE MSTER, EN GESTIN

DE LAS COMUNICACIONES Y TECNOLOGAS DE LA INFORMACIN, MSC.
AUTOR: ING. ANIBAL RUBEN MANTILLA GUERRA

amantilla@andinanet.net
DIRECTOR: ING. JAIME FABIAN NARANJO ANDA, MSC
subdecano.sistemas@epn.edu.ec
Quito, Junio del 2009
ii
DECLARACIN
Yo, Ing. Anbal Rubn Mantilla Guerra declaro bajo juramento que el trabajo
aqu descrito es de mi autora; que no ha sido previamente presentada para
ningn grado o calificacin profesional; y, que he consultado las referencias
bibliogrficas que se incluyen en este documento.
A travs de la presente declaracin cedo mis derechos de propiedad
intelectual correspondientes a este trabajo, a la Escuela Politcnica Nacional,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento
y por la normatividad institucional vigente.
iii
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por el Ing. Anbal Rubn Mantilla
Guerra, bajo mi supervisin.
Ing. Jaime Naranjo, Msc

DIRECTOR DE TESIS
iv
AGRADECIMIENTO
A todos quienes han hecho posible esta Tesis.
DEDICATORIA
A mi amado padre Wilson Mantilla,
por todo el amor prodigado.
A mi amado Sobrinito, Isidro Montenegro,

Por toda la ternura entregada.
vi
INDICE GENERAL
Pg.
RESUMEN. xiii
INTRODUCCION..
xiv
CAPTULO 1.
MARCO DE REFERENCIA..
1.1
NATURALEZA DE UN SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN
1.1.1
Seguridad informtica...
1.1.2
Vulnerabilidades y amenazas..
1.1.3
Influencia del factor humano, la organizacin, y la tecnologa en la seguridad de la

informacin..
10
1.1.4
Sistema de gestin de seguridad de la informacin.
12
1.2
LA NORMA ISO 27001
16
1.2.1
La familia ISO 27000.
16
1.2.2
Evolucin de la norma ISO 27001..
17
1.2.3
Naturaleza de la norma ISO 27001
17
1.2.4.
Actividades para alcanzar la certificacin ISO 27001... .
23
1.2.5.
Organizaciones certificadas en el mundo con ISO 27001...
24
1.3
COOPERATIVAS DE AHORRO Y CRDITO EN EL ECUADOR.
26
1.3.1
Ley de La Superintendencia de Bancos y Seguros para aplicacin en

Instituciones del Sistema Financiero .
26
1.3.2
Leyes y reglamentos de las Cooperativas de Ahorro y Crdito
...
30
1.3.3
Estadsticas de las Cooperativas de Ahorro y Crdito Ecuatorianas
.....
35
1.4
ENFOQUE DE LA NORMA ISO 27001 PARA COOPERATIVAS DE

AHORRO Y CRDITO....
40
1.4.1
Actores del sistema cooperativo...........................
40
1.4.2
Beneficios de una cooperativa con ISO 27001
42
1.4.3
Desafos para las cooperativas de ahorro y crdito..
43
vii
CAPTULO 2.
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA COOPERATIVAS DE AHORRO Y CRDITO..
2.1
ANLISIS Y DETERMINACIN DEL SGSI PARA COOPERATIVAS

DE AHORRO Y CRDITO.
2.1.1
46
Desarrollo de Gua para la aplicacin de las Clusulas de la norma ISO 27001 en

base a la Ley de la SBS y la Ley de CAC, del Sistema Financiero Ecuatoriano..
2.1.2
45
47
Ejemplo de aplicacin resumida de gua metodolgica para anlisis,

evaluacin, y tratamiento del riesgo en CAC..
73
2.2
GESTIN PARA LA CONTINUIDAD DEL NEGOCIO.
77
2.2.1
FASE I: Gestionar el riesgo.
78
2.2.2
FASE II: Analizar el impacto al negocio(BIA)
84
2.2.3
FASE III: Desarrollar estrategias para el plan de continuidad
88
2.2.4
FASE IV: Desarrollar el plan de reanudacin de operaciones.
89
2.2.5
FASE V: Ensayar el plan de continuidad de negocios................................
91
2.2.6
Ejemplo de aplicacin resumida de gua metodolgica para gestionar el riesgo a

travs de un plan de continuidad del negocio en CAC....
93
2.3
DOCUMENTACION DEL SGSI.. .
100
2.3.1
Pirmide documental del ISO 27001:2005
100
2.3.2
Gua para documentar el SGSI..
102
CAPTULO 3.
CASO DE ESTUDIO...
3.1
106
ANLISIS DE LA COOPERATIVA DE AHORRO Y CRDITO DEL

CASO DE ESTUDIO, EN REFERENCIA A LA GESTIN DE LA
3.1.1
3.1.2
3.1.3
SEGURIDAD DE LA INFORMACIN
107
Diagnstico
Aspectos evaluados
Resultados.
107
108
108
viii
3.1.4
Anlisis de los resultados.
3.2
ELABORACIN DEL SISTEMA DE GESTIN DE SEGURIDAD
110
DE INFORMACIN PARA EL CASO DE ESTUDIO.. .
111
3.2.1
Determinacin y anlisis de riesgos en la CAC.......
112
3.2.2
Plan para el tratamiento de los riesgos ......
121
CAPTULO 4.
CONCLUSIONES Y RECOMENDACIONES.
137
4.1
Conclusiones
138
4.2
Recomendaciones
140
BIBLIOGRAFA...
141
ANEXOS .
144
ANEXO 1
La Norma ISO 27001....
145
ANEXO 2
Documentos exigidos por el ISO 27001
172
ANEXO 3
Estadsticas de las Cooperativas de Ahorro y Crdito Ecuatorianas.
178
ANEXO 4
Cuestionarios preparados para determinar la situacin de la Gestin de la Seguridad
Informtica en las Cooperativas de Ahorro y Crdito...
187
GLOSARIO DE TERMINOS.
204
ix
NDICE DE FIGURAS
Figura 1.1
Elementos de un sistema informtico
Figura 1.2
Aspectos de la seguridad informtica... .
Figura 1.3
Planos sobre los que acta la seguridad de la informacin
Figura 1.4
Seguridad de la informacin como proceso y no como producto
Figura 1.5
Gestin de riesgos en una organizacin.....
12
Figura 1.6
Aspectos fundamentales del sistema de gestin de seguridad

de la informacin
13
Figura 1.7
Proyectos que constituyen un SGSI...
14
Figura 1.8
La Familia ISO 27000.....
16
Figura 1.9
Evolucin de la norma ISO 27001.....
17
Figura 1.10
Enfoque del SGSI hacia procesos......
18
Figura 1.11
Enfoque de los controles de la norma ISO 27001......
20
Figura 1.12
Actividades para alcanzar la certificacin ISO 27001 del SGSI...
24
Figura 1.13
Participacin de CAC en el sistema financiero nacional .
36
Figura 1.14
Evolucin del nmero de socios....
38
Figura 1.15
Evolucin de los depsitos en CAC controladas por la SBS....
38
Figura 1.16
Evolucin de la cartera en CAC controladas por la SBS..
39
Figura 1.17
Actuacin del SGSI sobre el riesgo operativo.....
40
Figura 1.18
Actores del sistema cooperativo...
41
Figura 1.19
Retos de las cooperativas de ahorro y crdito..
43
Figura 2.1
Secciones de las clusulas focales y globales de la Norma ISO 27001
47
Figura 2.2
Pasos metodolgicos del anlisis del riesgo.
55
Figura 2.3
Clasificacin de amenazas a la organizacin...
57
Figura 2.4
Clasificacin de las vulnerabilidades de la organizacin.
59
Figura 2.5
Relacin causa-efecto entre activos, riesgo, vulnerabilidades y

amenazas
60
Figura 2.6
Proceso de toma de decisiones para el tratamiento del riesgo...
63
Figura 2.7
Nivel de riesgo residual.
64
Figura 2.8
Fases para el plan de continuidad..
78
Figura 2.9
Metodologa para el clculo del riesgo..
79
Figura 2.10
Escenarios de riesgos en la organizacin...
82
Figura 2.11
Pasos para elaborar un BIA...
85
Figura 2.12
Tiempos para la recuperacin ante un desastre.
87
Figura 2.13
Desarrollo de una estrategia de continuidad..
89
Figura 2.14
Fases para el Plan de Reanudacin de Operaciones.....
91
Figura 2.15
Exposicin a riesgos..
95
Figura 2.16
Pirmide documental del SGSI..
100
Figura 3.1
Aspectos que abarca el SGSI en la Cooperativa del caso de estudio
112
Figura 3.2
Representacin grfica de la exposicin al riesgo ante amenazas

potenciales.
117
FIGURAS DEL ANEXO 3

Estadsticas de las Cooperativas de Ahorro y Crdito Ecuatorianas
Figura 1
Evolucin del activo fijo en las CAC
179
Figura 2
Estructura del activo total de las CAC - Del ao 2001 al ao 2004.
179
Figura 3
Evolucin del nmero de empleados
180
Figura 4
Evolucin del activo total CAC versus bancos privados.
180
Figura 5
Evolucin de cartera total CAC versus bancos privados.
181
Figura 6
Evolucin del activo fijo del total CAC versus bancos privados
181
Figura 7
Estructura de los activos - CAC y Bancos Privados
181
Figura 8
Evolucin total de depsitos: CAC versus bancos privados
182
Figura 9
Evolucin total de ingresos. CAC versus bancos privados.
182
Figura 10
Evolucin total de egresos. CAC versus bancos privados..
182
Figura 11
Evolucin de la utilidad neta. CAC versus bancos privados..
183
Figura 12
Total de CAC: evolucin de cartera por regiones..
183
Figura 13
Total de CAC: distribucin total de captaciones por regiones..
184
Figura 14
Total de CAC: distribucin del patrimonio neto por regiones..
184
Figura 15
Total de CAC: evolucin del nmero de socios por regiones...
184
xi
INDICE DE TABLAS
Tabla 1.1
Consecuencias de la falta de seguridad en el manejo de la informacin.
Tabla 1.2
Estructura de la Norma ISO 27001..
19
Tabla 1.3
Organizaciones certificadas con ISO 27001 en el mundo, por pases.....
25
Tabla 1.4
Comparacin de la Participacin de las CAC en el Sistema Financiero.
36
Tabla 1.5
Participacin de cooperativas en el sistema financiero nacional en ao

2007........................................
37
Tabla 2.1
Tasacin de activos de informacin y sus propietarios.
74
Tabla 2.2
Evaluacin total del riesgo de los activos de informacin..
75
Tabla 2.3
Priorizacin, planes para tratamiento del riesgo y controles..
76
Tabla 2.4
Metodologa para el clculo de exposicin al riesgo .
93
Tabla 2.5
Clculo de exposicin al riesgo ante amenazas potenciales
94
Tabla 2.6
Funciones del negocio, procesos e ilustracin de impacto financiero y

nivel de severidad
96
Tabla 2.7
Ilustracin de impactos operacionales..
97
Tabla 2.8
Procesos crticos de negocio, prioridad de recuperacin, sistemas

crticos de TI y aplicaciones...
98
Tabla 2.9
Valores RTO y WRT para el proceso de generacin de ordenes
99
Tabla 2.10
Recursos crticos de manufactura y produccin.
99
Tabla 3.1
Indicadores de la situacin actual de la CAC.....
109
Tabla 3.2
Determinacin y anlisis del riego, en el rea organizacional
113
Tabla 3.3
Estimacin del nivel de severidad de amenazas potenciales..
115
Tabla 3.4
Clculo de exposicin al riesgo ante amenazas potenciales..
116
Tabla 3.5
Determinacin y anlisis del riego, en el rea personal.
118
Tabla 3.6
Determinacin y anlisis del riego, en el rea tecnolgica
119
Tabla 3.7
Determinacin y anlisis del riego, en el rea legal
120
Tabla 3.8
Subplan para Definir polticas de seguridad
122
Tabla 3.9
Subplan para Clasificar la informacin..
124
Tabla 3.10
Subplan para Incorporar un departamento de seguridad informtica.
125
Tabla 3.11
Subplan para Registrar e inventariar los accesos a los sistemas

informticos ..
126
Tabla 3.12
Subplan para Adaptar contratos de proveedores.
126
Tabla 3.13
Subplan para Elaborar manual de seguridad de la informacin.
127
Tabla 3.14
Subplan para Contratar seguros.
128
Tabla 3.15
Subplan para Gestionar incidentes de seguridad
129
Tabla 3.16
Plan de contingencia Actividades contra incendios.
130
xii
Tabla 3.17
Subplan para Concientizar a los funcionarios y empleados de la

Cooperativa..
Tabla 3.18
131
Subplan para Capacitar al personal en el uso seguro de los servicios de

Internet..
132
Tabla 3.19
Subplan para Adaptar la configuracin de los sistemas de comunicacin
133
Tabla 3.20
Subplan para Adaptar la arquitectura de red
134
Tabla 3.21
Subplan para Estandarizar y actualizar el software.
135
Tabla 3.22
Subplan para Verificar el cumplimiento legal.
136
Tabla 1 del Anexo 3
Tabla 2 del Anexo 3
Monto de participacin de CAC y Bancos en Amrica Latina

al 2007..
185
Evolucin financiera de CAC y Bancos en Amrica Latina
186
xiii
RESUMEN
En esta Tesis se dise un Sistema de Gestin de Seguridad de la Informacin
para Cooperativas de Ahorro y Crdito, en base a la norma ISO 27001, la Ley de
la Superintendencia de Bancos y Seguros, la Ley de Cooperativas de Ahorro y
Crdito, considerando adems, su evolucin y problemtica en el Sistema
Financiero Nacional. De manera metodolgica, cientfica y objetiva, se muestra
como identificar, evaluar y gestionar el riesgo, en Cooperativas de Ahorro y
Crdito, presentando incluso ejemplos para su aplicacin prctica. Este diseo de
Sistema de Gestin, fue aplicado a una Cooperativa de Ahorro y Crdito Caso
de Estudio, demostrndose la validez del mismo. En los Anexos se presenta la
Norma ISO 27001 y sus exigencias documentales, estadsticas de las
Cooperativas de Ahorro y Crdito Ecuatorianas, as como cuestionarios para
determinar las condiciones en las que se encuentra su Seguridad de la
informacin.
xiv
INTRODUCCIN
El trabajo de realizacin de esta Tesis de Grado de Maestra, lo inici con un
anlisis completamente amplio de posibilidades de Temas, relacionados
directamente y de la mejor manera con mi formacin tcnica de Ingeniera en
Electrnica y Control, y mi formacin de posgrado a nivel de Maestra, en Gestin
de las Comunicaciones y Tecnologas de la Informacin. Esto a su vez, directa y
estrechamente relacionado con las necesidades del Pas y de nuestra sociedad, y
de los ms altos propsitos Institucionales de la Escuela Politcnica Nacional, de
contribuir al desarrollo del Pas, como lo ha venido haciendo a lo largo de su
fructfera existencia. Por otra parte tambin estuvo la consideracin fundamental
de que el trabajo de desarrollo de la Tesis estuviera enmarcado en los ms altos y
actuales niveles y avances de la ciencia y la tecnologa. Tambin mantuve
incluidas, las orientaciones fundamentales impartidas por la Facultad en la que
estudi la Ingeniera, y la Facultad en la que estudi la Maestra.
Con el avance de los anlisis correspondientes, fui definiendo el campo de
realizacin de mi Tesis, en el mbito financiero del Pas. Despus fui haciendo
diversos anlisis de posibilidades, llegando a concluir, despus de los anlisis
indicados, estudios y numerosas consultas, que el Tema estara orientado a las
Cooperativas de Ahorro y Crdito, por la cantidad de este tipo de Instituciones que
existen en el Pas, por el monto de participacin en el Sistema Financiero
Nacional, por el nmero de personas vinculadas al Sistema Cooperativo, y por la
evidente necesidad de introducir mejoras en el manejo de las Cooperativas de
Ahorro y Crdito, en el aspecto de la Seguridad de la Informacin. La Ciencia y
Tecnologas aplicables, no se utilizan an en nuestro medio, al menos en forma
significativa, y son tendencias mundiales que van ganando importancia en cada
vez ms pases, a partir de los del primer mundo, con el fin de lograr significativas
y muy importantes mejoras, para hacer de las Organizaciones, como las
Cooperativas de Ahorro y Crdito, Instituciones con las mejores condiciones de
eficiencia, seguridad, crecimiento, y lo que quiz es especialmente importante en
la actualidad, los ms altos ndices de competitividad, a nivel local, regional y
global, de acuerdo a las exigencias de evolucin a nivel mundial.
xv
En consecuencia, y relacionando de la mejor manera posible, las caractersticas

de mi formacin en la Maestra, y lo anteriormente expuesto en relacin con las
Cooperativas de Ahorro y Crdito, llegu a determinar que la mejor opcin era
realizar la Tesis sobre el DISEO DE UN SISTEMA DE GESTIN DE
SEGURIDAD DE LA INFORMACIN PARA COOPERATIVAS DE AHORRO Y
CRDITO EN BASE A LA NORMA ISO 27001 .
El contenido de la Tesis, en resumen es el siguiente: Introduccin; Marco de
referencia; Diseo del Sistema de Gestin de Seguridad de la Informacin para
Cooperativas
de
Ahorro
Crdito;
Caso
de
estudio;
Conclusiones
recomendaciones; Bibliografa; Anexos; Glosario.

Junto con todas las consideraciones ya indicadas, siempre he tenido presente la
idea de producir un documento que fuera de lo ms til posible para nuestro Pas,
que me deje la satisfaccin plena de haber correspondido a travs este trabajo,
con la sociedad que me permiti obtener la elevada formacin tcnica que poseo,
y con el concepto tan alto y trascendente que es el lema de la Escuela Politcnica
Nacional, de que el bienestar del hombre proviene de la Ciencia
He puesto mis mejores esfuerzos en todo sentido, para lograr de la mejor manera
estos propsitos.
La Tesis, gracias a todo lo indicado, ha sido realizada exitosamente.
CAPTULO 1.
MARCO DE REFERENCIA
Se analiza la naturaleza de los Sistemas de Gestin de Seguridad de la

Informacin,
en
sus
cuatro
aspectos
bsicos:
Organizacin,
Personas,
Tecnologa, y el Aspecto Legal. Se explica la naturaleza, evolucin y ciclo

metodolgico de la Norma ISO 27001.
De manera resumida se presenta las Ley de Cooperativas de Ahorro y Crdito,
indicando las responsabilidades y atribuciones de las personas al interior de la
misma. Se analiza las estadsticas ms trascendentes para la Tesis, de las
Cooperativas de Ahorro y Crdito.
Con estos tres elementos, es decir, Sistemas de Gestin de Seguridad de la
Informacin, Ley de Cooperativas de Ahorro y Crdito, y la Norma ISO 27001, se
procede a presentar y analizar la problemtica y desafos que deben afrontar en
un mbito nacional e internacional.
1.1
NATURALEZA
DE
UN
SISTEMA
DE
GESTIN
DE
SEGURIDAD DE LA INFORMACIN
Para toda organizacin, es fundamental contar con un sistema de gestin de
seguridad de informacin. Numerosas organizaciones creen tener sistemas
eficientes y eficaces para proteger y asegurar la informacin; tienen controles,
software para aplicar los controles, disean controles, pero los aplican solo
cuando aparecen los incidentes de seguridad; de manera que actan solo de
forma reactiva, sin tener un enfoque claro y bien estructurado de un sistema para
gestionar la seguridad de la informacin.
En la organizaciones se requiere un sistema que permita asegurar la informacin
de manera preactiva, sin embargo, hay organizaciones que han diseado
verdaderos sistemas de gestin de seguridad de la informacin, pero que al
momento resultan caducos, o incluso no aplican sus controles; otras
organizaciones ni siquiera cuentan con un sistemas de seguridad de la
informacin.
La seguridad de la informacin involucra a la tecnologa, las personas, la
estructura organizacional, las normativas, lo cual hace necesario un amplio
conocimiento sobre la gestin de todos estos recursos. Sin embargo, esta gestin
puede servir de parcialmente, poco o nada si existen fallas de hardware, de
software, fallas humanas, desastres naturales, ataques terroristas, entre otros, sin
que la organizacin haya estado preparada para estos eventos.
Es fundamental en todo este proceso, saber de proteger, de qu proteger, y cmo
proteger, esta es la clave para poder direccional adecuadamente el diseo, la
implantacin y el mejoramiento continuo del sistema de gestin de seguridad de la
informacin.
Dada la competencia que la globalizacin y las nuevas formas de comercio
internacional, las empresas, sin importar su tamao, su actividad o ubicacin,
deben estar preparadas para asegurar su informacin, de manera preactiva, de
manera tal que su productividad mejore, y alcance sus objetivos institucionales.
1.1.1 SEGURIDAD INFORMTICA

Seguridad de informacin es mucho ms que establecer firewalls, aplicar parches
para corregir nuevas vulnerabilidades en el sistema de software, o guardar copias
de seguridad en bvedas.
Seguridad de informacin es determinar qu requiere ser protegido y por qu, de

qu debe ser protegido y cmo protegerlo.
La seguridad informtica es cualquier medida que impida la ejecucin de

operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos
puedan conllevar daos sobre la informacin, comprometer su confidencialidad,
autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema.
Dependiendo del tipo de informacin manejada y de los procesos realizados por

una organizacin, esta podr destinar ms o menos recursos a garantizar la
confidencialidad, la integridad o la disponibilidad de sus activos de informacin.
GENTE
PROCESOS
Aplicaciones
(Web, SAP, people soft)
Servidores de aplicacin
(IIS, SQL, WebSphere, Notes)
Sistemas operativos
(Windows, Unix, Linux, OS/400)
Red
(TCP/IP, FW, Router, Switch)
Dependencias, Amenazas,
Vulnerabilidades, Impacto
Usuarios
Polticas, Estndares,
Procedimientos y controles
TECNOLOGA
Clientes
FIGURA 1.1
Elementos de un sistema informtico 1
ELABORADO POR
Ing. Mantilla Anbal
La seguridad del sistema informtico depende de varios factores:

-
La sensibilizacin de los directivos y responsables de la organizacin, que

deben ser concientes de la necesidad de destinar recursos a esta funcin.
Los conocimientos, las capacidades e implicaciones de los responsables del

sistema informtico: dominio de la tecnologa utilizada en el sistema
informtico y conocimiento sobre posibles amenazas y los tipos de ataque.
La mentalizacin, formacin y asuncin de responsabilidades de todos los

usuarios del sistema.
Correcta instalacin, configuracin y mantenimiento del los equipos.
Soporte de los fabricantes de hardware y software, que permitan realizar

actualizaciones, y mejoras para cubrir fallos y problemas relacionados con la
seguridad.
Considerar que hay amenazas internas y externas a la seguridad de la

informacin.
Adaptacin de los objetivos de seguridad y de las actividades a realizar,
Fuente:Above SECURITY, Sergio Quiroz
acorde a las necesidades reales de la organizacin.
Administracin
del riesgo
Continuidad
del negocio
Conformidad
Usuarios y
administradore
s del sistema
Disponibilidad
Integridad
Proteccin de
activos y bienes
Actores
Propietarios
del sistema
SI
Fiabilidad
Proteccin
de la marca
Confidencialidad
Requerimientos
Requerimientos
de negocio
FIGURA 1.2
Aspectos de la seguridad informtica2
ELABORADO POR
Ing. Mantilla Anbal
Los objetivos de la seguridad informtica fundamentalmente son:

1.
Minimizar y gestionar riesgos
2.
Detectar posibles amenazas y problemas de seguridad
3.
Garantizar la adecuada utilizacin de los recursos y las aplicaciones del

sistema
4.
Limitar las prdidas y conseguir la adecuada recuperacin del sistema en

caso de incidente de seguridad
5.
Cumplir con el marco legal
En base a lo indicado, los planos de actuacin de la seguridad de la informacin

son: Tcnico, Humano, Organizativo, Legal.
Fuente: Above SECURITY, Sergio Quiroz
Plano Humano
Sensibilizacin y formacin
Funciones, obligaciones y
responsabilidades del personal
Control y supervisin de los
empleados
Plano Tcnico
Seleccin, instalacin,
configuracin y actualizacin de
soluciones HW y SW.
Criptografa
Estandarizacin de productos
Desarrollo seguro de
aplicaciones
Organizacin
Polticas, Normas y
Procedimientos.
Legislacin
Planes de Contingencia y
Respuesta a Incidentes
Cumplimiento y adaptacin a
la legislacin vigente:
Relaciones con terceros

(clientes, proveedores)
Firma Electrnica, Cdigo

Penal, Propiedad Intelectual
FIGURA 1.3
Planos sobre los que acta la seguridad de la informacin3
ELABORADO POR
Ing. Mantilla Anbal
La seguridad informtica en una organizacin debe ser un proceso basado en un

ciclo iterativo, en el que incluyen actividades como valoracin del riesgo,
prevencin, deteccin, y respuesta ante incidentes de seguridad.
Reducir la probabilidad de
que se produzcan
incidentes de seguridad.
Revisin y
actualizacin de las
medidas de seguridad
implantadas (auditora)
La Seguridad
como Proceso
Conseguir la rpida
recuperacin de los
daos experimentados.
FIGURA 1.4
3y4
Facilitar la rpida
deteccin de los
incidentes de seguridad
Minimizar el impacto en
el sistema de
informacin.
Seguridad de la informacin como proceso y no como producto4
Fuente: Enciclopedia de la Seguridad Informtica, lvaro Gmez
ELABORADO POR
Ing. Mantilla Anbal
Los servicios de la seguridad de informacin son:

-
Confidencialidad
Integridad
Disponibilidad
No repudio
Las consecuencias de la falta de seguridad informtica, dependern de la

organizacin, sus actividades, volumen de sus operaciones, entre otras
caractersticas propias de la misma. Sin embargo, en una expresin general, en
un enfoque local, regional, e incluso global, las consecuencias pueden ser:
-
Conflictos sociales y laborales
Prdidas econmicas en el negocio
Deterioro de la imagen personal o profesional (empresarial)
Extorsiones y secuestros
Robo de informacin confidencial
Retrasos en procesos empresariales
Daos a la salud y prdida de vidas humanas
Daos y perjuicios
IMAGEN
VOLUMEN DE NEGOCIO
PRODUCTIVIDAD Y
PRESTACION DEL
SERVICIO
- Prdida de imagen respecto
-Prdida de ingresos/ facturacin
-Disminucin rendimiento
de cliente
-Posibles indemnizaciones a
laboral
- Prdida de imagen respecto a
terceros
-Interrupciones en
proveedores
-Posibles sanciones
procesos productivos
- Prdida de imagen respecto a
-Prdida de oportunidades de
- Retraso en entregas
otras partes
negocio
- Cese de transacciones
- Ventajas de los competidores
-Prdida de contratos/ cada
- Enfado de los empleados
- Etc.
acciones
- Etc.
-Etc.
TABLA 1.1
Consecuencias de la falta de seguridad en el manejo de la informacin 5
Fuente: www.nexusasesores.com
ELABORADO POR
Ing. Mantilla Anbal
1.1.2 VULNERABILIDADES Y AMENAZAS

Existen diferentes causas que provocan vulnerabilidades en los sistemas
informticos, a continuacin se mencionan algunas:
-
Debilidad en el diseo de los protocolos utilizados en las redes
Errores de programacin
Configuracin inadecuada de los sistemas informticos
Polticas de seguridad deficiente o inexistente
Desconocimiento y falta de sensibilizacin de los usuarios y de los

responsables de la informtica
Fcil acceso a herramientas que posibilitan los ataques
Limitaciones normativas gubernamentales y en las organizaciones
Descuido de fabricantes
Los tipos de vulnerabilidades se clasifican de diversas maneras, a continuacin se

presenta una clasificacin dependiendo del objeto de afectacin:
Vulnerabilidades que afectan a los equipos, se tiene el caso de afectacin a

routers, cable-modem, cmaras web, servidores de video, impresoras, escaners,
faxes, fotocopiadoras, telfonos mviles, agendas electrnicas, etc.
Vulnerabilidades que afectan a los programas y aplicaciones informticas,
afectan a sistemas operativos, servidores, bases de datos, navegadores,
aplicaciones ofimticas, compresores, etc.
De las numerosas formas de amenaza a la seguridad informtica, se consideran

fundamentalmente las siguientes:
-
Hackers, Crackers, sniffers, Phreakers, Spammers
Virus
Espionaje en redes
Ciber terrorismo
Piratas informticos
Ex - empleados
Lammers
Amenazas del personal interno
Intrusos remunerados
Las motivaciones de los atacantes pueden ser las que siguen:

-
Consideraciones econmicas
Diversin
Ideologa
Autorealizacin, bsqueda de reconocimiento social y estatus
Las fases de ataque informtico, suelen ser las siguientes:

-
Descubrimiento y explotacin del sistema informtico
Bsqueda de la vulnerabilidad del sistema
Explotacin de las vulnerabilidades detectadas
Corrupcin o compromiso del sistema
Eliminacin de pruebas que puedan identificar al atacante
Los tipos de ataque ms comunes son:

-
Actividades de reconocimiento de sistemas
Deteccin de vulnerabilidades de los sistemas
Robos de informacin mediante la interceptacin de mensajes
Modificacin del contenido y secuencia de los mensajes
Anlisis del trfico
Suplantacin de identidad
Modificacin del trfico y de las tablas de enrutamiento
Conexin no autorizada a equipos y servidores
Introduccin de malware
Ataques contra sistemas criptogrficos
Fraudes, engaos y extorsiones
Denegacin de servicio
Marcadores telefnicos
10
1.1.3 INLFUENCIA DEL FACTOR HUMANO, LA ORGANIZACIN,
Y LA
TECNOLOGA EN LA SEGURIDAD DE LA INFORMACIN

El factor humano refiere a las personas, pues son el elemento ms dbil dentro
de la seguridad informtica, por ello es necesario analizar su papel con los
sistemas y redes informticas de la organizacin. El principio bsico es que todas
las soluciones informticas implantadas por la organizacin (firewall, antivirus,
servidores
Proxy,
planes,
polticas),
pueden
resultar
intiles
ante
el
desconocimiento, la falta de informacin, desinters o nimo de causar dao por

parte de algn empleado.
La Ingeniera social, es otro factor a considerar, se han presentado casos como

los siguientes:
-
Llamado telefnico de un supuesto investigador amenazando con obstruir la

justicia.
Supuesto tcnico que pide autorizacin para reparar un ordenador.
Correos electrnicos suplantando identidad
Utilizacin de foros y chats, donde se entrega informacin
Puesta en marcha de website maliciosos
Por otro lado, muchos empleados con acceso a Internet en la organizacin,

tienden a hacer un mal uso del mismo, pudiendo incluso perjudicar a la
organizacin. Debido a esto, es necesario muchas veces, tomar medidas para
controlar y vigilar el uso de los servicios de Internet, como por ejemplo:
-
Limitacin de los servicios a Internet
Posibilidad de revisin del correo electrnico del empleado
Acceso al ordenador de un trabajador, sus archivos y sus carpetas
Bloque de direcciones web
Asignacin de permisos de acceso en funcin del perfil del usuario
En lo referente a la organizacin, se habla de todo cuanto debe realizase en el

mbito de gestin para la adecuada seguridad de la informacin. Debera
definirse e implantarse Polticas de Seguridad, inventariarse los recursos y definir
11
los servicios ofrecidos, realizar pruebas y auditorias peridicas. Junto con estos
aspectos, es fundamental hacer referencia a:
-
Seguridad frente a egreso e ingreso de los empleaos a la organizacin
Adquisicin de productos
Relacin con proveedores
Seguridad fsica de las instalaciones
Sistemas de proteccin elctrica
Control de emisin electromagntica
Vigilancia de la red
Proteccin de equipos e instalaciones
Control de equipos que pueden salir de la organizacin
Copias de seguridad
Identificacin y autenticacin de usuarios
Seguridad en el desarrollo, implantacin y mantenimiento de aplicaciones

informticas
Auditoria de la gestin de la seguridad
Para contrarrestar las vulnerabilidades y las amenazas, se han desarrollado

diferentes medios tecnolgicos en redes de informacin, a continuacin se
presentan los de ms amplio uso:
-
Antivirus
Servidores de autenticacin
Gestores de contraseas
Centros de respaldo de datos
Implantacin de sistemas biomtricos
Firma electrnica
Protocolos criptogrficos
Servidores Proxy
Cortafuegos (firewall)
Zona desmilitarizada
Analizadores de registro de actividad
Sistemas de deteccin de intrusos
Sistemas Honeypots y las Honeynets (Host y redes seuelos)
12
1.1.4 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Como puede verse, el manejo de la seguridad informtica como un procesos,
requiere de conocimientos, habilidades y capacidades en las reas tcnica, legal,
humana, y organizacional.
Un sistema en el que se pueden integrar todos estos factores con todos los
requerimientos y consideraciones organizacionales, recibe el nombre de
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN, conocido por
sus siglas como SGSI.
FIGURA 1.5 Gestin de riesgos en una organizacin6
La parte del sistema general de gestin, que comprende a la poltica, la

estructura organizativa, los procedimientos, los procesos, y los recursos
necesarios para implantar la gestin de la seguridad de la informacin en una
organizacin se denomina SISTEMA DE GESTIN DE SEGURIDAD DE LA
INFORMACIN (SGSI).
13
Personas
Tecnologa
Sensibilizacin y formacin
Seleccin, instalacin,
configuracin y actualizacin de
soluciones HW y SW
Obligaciones y
responsabilidades del personal
Criptografa
Control y supervisin
Estandarizacin de productos
Colectivos a considerar:
Directivos,
Administradores,
Programadores,
Usuarios,
Personal Externo
Desarrollo seguro de
aplicaciones
S.G.S.I
Legislacin
Organizacin
Polticas, Normas y
Procedimientos.
Cumplimiento y adaptacin
a la legislacin vigente:
Planes de Contingencia y
Respuesta a Incidentes
Firma Electrnica, Cdigo

Penal, Propiedad Intelectual
Relaciones con terceros

(clientes, proveedores)
FIGURA 1.6 Aspectos fundamentales del sistema de gestin de seguridad de la informacin7

ELABORADO POR
Ing. Mantilla Anbal
Para implantar un Sistema de Gestin de Seguridad de la Informacin, una

organizacin debe considerar:
-
Formalizar la gestin de la seguridad de la informacin
Analizar y gestionar los riesgos
Establecer los procesos de gestin de la seguridad en base a la metodologa
Certificar la gestin de la seguridad
Para esto debe tenerse en cuenta el marco legal, los estndares, las
metodologas, los requerimientos; entre otros aspectos fundamentales.
14
SEGURIDAD DE LA
INFORMACIN
Elementos constitutivos
Necesarios para construir una infraestructura y una
Administracin del riesgo
Continuidad del
negocio
Control de acceso
Arquitectura segura de
red y aplicacin
Administracin de:
Configuraciones,
Actualizaciones y
Cambios
Monitoreo de la
seguridad y manejo del
incidente
Auditora, rastreo y
monitoreo de
cumplimiento
Documentacin y
evidencia de procesos
y operaciones
Entrenamiento en
seguridad y
sensibilizacin
Poltica de Seguridad de la Informacin

Debe cumplir con los objetivos y con los requerimientos legales para
Gente/Procesos/Tecnologa
FIGURA 1.7
Proyectos que constituyen un SGSI 8
ELABORADO POR
Ing. Mantilla Anbal
Por su trascendencia, es importante mencionar algunos de los enfoques ms

relevantes al tema de la gestin para la continuidad de las operaciones:
Plan para recuperacin ante desastres (Disaster Recovery Planning

DRP). Se enfoca en la recuperacin de los servicios de TI y los recursos,
dado
un
evento
que
ocasionara
una
interrupcin
mayor
en
su
funcionamiento.
Plan para reanudacin del negocio (Business Resumption Planning BRP).

Se centraliza en la reanudacin de los procesos de negocios afectados por
una falla en las aplicaciones de TI. Se enfoca en la utilizacin de
15
procedimientos relacionados con el rea de trabajo.
Plan para la continuidad de las operaciones (Continuity of Operations

Planning COOP). Busca la recuperacin de las funciones estratgicas de
una organizacin que se desempean en sus instalaciones corporativas.
Plan de contingencia (Contingency Planning CP). Se enfoca en la

recuperacin de los servicios y recursos de TI, despus de un desastre de
dimensiones
mayores
de
una
interrupcin
menor.
Especifica
procedimientos y lineamientos para la recuperacin, tanto en reas de la

empresa como en las alternas.
Plan de respuesta ante emergencias (Emergency Response Planning). Su

objetivo es salvaguardar a los empleados, el pblico, el ambiente y los
activos de la empresa. ltimamente se busca de inmediato llevar la situacin
de crisis a un estado de control.
Todos estos enfoques tienen un denominador comn, el cual, es un limitado

alcance. Cada una de estas pticas de planeacin se centra en la proteccin de
aspectos especficos de la organizacin, ignorando otras reas crticas. Para
atender esta limitacin, se requiere un enfoque de planeacin integrado, que
permita proteger todas las reas crticas de la organizacin.
El Plan de Continuidad del Negocio PCN (o por sus siglas en ingls BCP
Business Continuity Plan) integra el alcance y los objetivos de todos estos
enfoques.
16
1.2
LA NORMA ISO 27001
La Norma ISO 27001, es un estndar

establecimiento,
implementacin,
desarrollado como modelo para el
operacin,
monitorizacin,
revisin,
mantenimiento y mejora de un SGSI para cualquier tipo de organizacin. Permite

disear e implantar un SGSI, se encuentra influenciado por las necesidades,
objetivos, requisitos de seguridad, los procesos, los empleados, el tamao, los
sistemas de soporte y la estructura de la organizacin.
1.2.1 LA FAMILIA ISO 27000

Dada la importancia que tiene un SGSI para las empresas, en Ginebra, donde se
encuentra la sede de ISO, se ha establecido la necesidad de hacer las revisiones
a las normas, cada cinco aos, para decidir las posibles modificaciones. As, se
ha creado la familia ISO 27000, en la que se encuentra la norma ISO 27001:2005,
el cdigo de prcticas ISO/IEC 17799:2005, entre otros.
Familia ISO 27000
ISO 27000 (2007) Vocabulario y Definiciones

ISO 27001 (2005) Estndar Certificable ya en Vigor
ISO 27002 (2007) Cdigo de Buenas Prcticas relevo de ISO 17799
ISO 27003 (2008) Gua para Implantacin
ISO 27004 (2008) Mtricas e Indicadores
ISO 27005 (2008) Gestin de Riesgos (BS 7799-3: 2006)
ISO 27006 (2007) Requisitos para Acreditacin de Entidades de Certificacin
FIGURA 1.8 La Familia ISO 270009

ELABORADO POR
Ing. Mantilla Anbal
17
1.2.2 EVOLUCIN DE LA NORMA ISO 27001

Su origen es britnico, hasta que, en el ao 2005, la Organizacin Internacional
para la Normalizacin (ISO) la oficializ como norma.
El ISO 27001:2005 es el nico estndar certificable, aceptado internacionalmente

de manera global para la gestin de la seguridad de la informacin; aplica a todo
tipo de organizaciones, tanto por su tamao como por su actividad.
Evolucin normativa
1995 BS 7799-1: 1995 (Norma britnica)

1999 BS 7799-2: 1999 (Norma britnica)
1999 Revisin BS 7799-1: 1999
2000 ISO/IEC 17799: 2000 (Norma Internacional cdigo de prcticas)
2002 Revisin BS 7799-2: 2002
2004 UNE 71502 (Norma espaola)
2005 Revisin ISO/IEC 17799:2005
2005 Revisin BS 7799:2005
2005 ISO/IEC 27001:2005 (Norma internacional certificable)
FIGURA 1.9 Evolucin de la norma ISO 27001 10

ELABORADO POR
Ing. Mantilla Anbal
1.2.3 NATURALEZA DE LA NORMA

La norma ISO 27001, acta bajo el enfoque de procesos. La aplicacin de un
sistema de procesos, dentro de la organizacin, junto con la identificacin y las
interacciones de estos procesos, as como su gestin, puede denominarse como
enfoque basado en procesos
El enfoque basado en procesos para la gestin de la seguridad de la informacin
presentado en esta norma, enfatiza a los usuarios, la importancia de:
A)
10
La comprensin de los requisitos de seguridad de la informacin de una
18
organizacin y la necesidad de establecer la poltica y objetivos para la

seguridad de la informacin.
B)
Implementar y operar controles para dirigir los riesgos de seguridad de la

informacin de una organizacin en el contexto de los riesgos globales del
negocio de la organizacin
C)
Realizar seguimiento y revisar el desempeo y la eficacia del SGSI; y
D)
La mejora continua con base en mediciones objetivas.
FIGURA1.10
Enfoque del SGSI hacia procesos 11
Esta Norma adopta el modelo "Planificar, Hacer, Verificar, Actuar" (PHVA), el cual
se aplica para estructurar todos los procesos del SGSI, y tiene por objeto:
establecer, gestionar y documentar el SGSI, responsabilizando a la Direccin,
incluso en el monitoreo, auditoria y mejoramiento continuo.
Para cumplir con este objetivo, la norma ISO 27001 ha sido estructurada de forma
metodolgica con CLAUSULAS y Anexos, que incluyen objetivos de control y
controles, as como tambin su relacin con otras normas ISO. Como punto de
partida, la norma en referencia presenta un prefacio, de manera seguida se
presentan las clusulas y anexos. En la tabla siguiente se muestra esta
estructura:
11
Fuente:www.nexusasesores.com
19
CLAUSULA
INTRODUCCIN
OBJETO
REFERENCIAS NORMATIVAS
TRMINOS Y DEFINICIONES
SECCIN
SUBSECCIN
4.1Requisitos
Generales
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar el SGSI
SISTEMA DE GESTIN DE
SEGURIDAD DE LA
INFORMACIN
4.2 Establecer y
Gestionar el SGSI
4.2.3 Monitorear y revisar el SGSI

4.2.4 Mantener y mejorar el SGSI
4.3.1 Generalidades
4.3 Documentar el
SGSI
4.3.2 Controlar documentos

4.3.3 Controlar los registros
5.1 Compromiso de la
direccin
RESPONSABILIDAD DE LA
DIRECCIN
AUDITORAS INTERNAS DEL
SGSI
5.2 Gestionar los

recursos
5.2.1 Provisin de recursos

5.2.2 Capacitacin y entrenamiento
6
7.1 Generalidades
REVISIN POR LA DIRECCIN

DEL SGSI
7.2 Elementos de
entrada para revisin
7.3 Resultados de la
revisin
8.1Mejoramiento
continuo
8
MEJORA DEL SGSI
8.2 Accin correctiva

8.3 Accin preventiva
A. Normativo
ANEXOS
B. Informativo
C. Informativo
TABLA 1.2
Estructura de la Norma ISO 27001
ELABORADO POR
Ing. Mantilla Anbal
Los objetivos de control y sus controles respectivos (anexo A - normativo de la

norma ISO 27001) enfocan la Seguridad de la Informacin a travs de 11 reas
20
fundamentales para la organizacin, estas son:

A)
Poltica de seguridad
B)
Organizacin de la seguridad de la informacin
C)
Gestin de activos
D)
Seguridad de los recursos humanos
E)
Seguridad fsica y del entorno
F)
Gestin de las comunicaciones y operaciones
G)
Control de accesos
H)
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
I)
Gestin de los incidentes de seguridad
J)
Gestin de la continuidad del negocio
K)
Cumplimiento normativo (legales, de estndares, tcnicas y auditorias)
En la siguiente figura, puede verse como el objetivo final de la norma ISO 27001
es preservar la disponibilidad, la confidencialidad, la integridad, y el no repudio de
la informacin.
21
FIGURA 1.11 Enfoque de los controles de la norma ISO 27001 12
A continuacin por la importancia que tienen estas 11 reas de control, se detalla

a qu refieren cada una de ellas:
Se necesita una poltica que refleje las expectativas de la organizacin en materia
de seguridad con el fin de suministrar administracin con direccin y soporte, la
cual tambin se puede utilizar como base para el estudio y evaluacin en curso.
Organizacin de la seguridad de la informacin

Sugiere
disear
una
estructura
de
administracin
que
establezca
la
responsabilidad de los grupos en ciertas reas de la seguridad y un proceso para

el manejo de respuesta a incidentes.
Gestin de activos
Muestra la necesidad de un inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, asegurar que se brinde un nivel
adecuado de proteccin.

Establece la necesidad de educar e informar a los empleados actuales y
potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de
confidencialidad. Tambin determina cmo incide el papel que desempean los
empleados en materia de seguridad en el funcionamiento general de la CAC o se
debe implementar un plan para reportar los incidentes.
Seguridad fsica y del entorno

Responde a la necesidad de proteger las reas, el equipo y los controles
generales.
Gestin de las comunicaciones y operaciones

Los objetivos de esta seccin son:
12
22
Asegurar el funcionamiento correcto y seguro de las instalaciones de

procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y la comunicacin

de la informacin.
Garantizar la proteccin de la informacin en las redes y de la infraestructura

de soporte.
Evitar daos a los recursos de informacin e interrupciones en las

actividades de la compaa.
Evitar la prdida, modificacin o uso indebido de la informacin que

intercambian las organizaciones.
Control de accesos
Establece la importancia de monitorear y controlar el acceso a la red y los
recursos de aplicacin para proteger contra los abusos internos e intrusos
externos.
Adquisicin, desarrollo y mantenimiento de sistemas de informacin

Recuerda que en toda labor de la tecnologa de la informacin, se debe
implementar y mantener la seguridad mediante el uso de controles de seguridad
en todas las etapas del proceso.
Gestin de incidentes de seguridad

Asegura que los eventos y debilidades de seguridad de la informacin asociadas
con los sistemas de informacin sean comunicados de una manera tal que
permita que la accin correctiva sea tomada oportunamente.
Gestin de continuidad del negocio

Aconseja estar preparado para contrarrestar las interrupciones en las actividades
de la empresa y para proteger los procesos importantes, en caso de una falla
grave o desastre.
23
Cumplimiento Normativo (legales, de estndares, tcnicas y auditoras)

Imparte instrucciones para que se verifique si el cumplimiento con la norma
tcnica ISO 27001 concuerda con otros requisitos jurdicos. Esta seccin tambin
requiere una revisin a las polticas de seguridad, al cumplimiento y
consideraciones tcnicas que se deben hacer en relacin con el proceso de
auditora del sistema a fin de garantizar que las empresas obtengan el mximo
beneficio.
1.2.4 ACTIVIDADES PARA ALCANZAR CERTIFICACIN ISO 27001

Para alcanzar la certificacin internacional, las organizaciones deben realizar una
serie de actividades, para posteriormente tener un historial de funcionamiento
demostrable de al menos tres meses antes de solicitar el proceso formal de
auditoria para su primera certificacin. El proceso para la certificacin bebera
efectuarse de la manera que indica en la siguiente figura:
24
FIGURA1.12
1.2.5
Actividades para alcanzar la certificacin ISO 27001 del SGSI 13
ORGANIZACIONES CERTIFICADAS EN EL MUNDO CON ISO 27001
De acuerdo al Internacional Register of ISMS Certificates, en Febrero del 2009, el

nmero total de organizaciones en el mundo, certificadas con ISO 27001 llegaba
a 5200, en la siguiente tabla se muestra la distribucin por pases, de estas
organizaciones:
13
Fuente: www.ISO27000.es
25
Japn
2997
Islandia
12
Oman
India
435
Pakistn
12
Per
Reino Unido
370
Holanda
11
Portugal
Taiwn
221
Singapur
11
Vietnam
China
180
Filipinas
10
Bangladesh
Alemania
112
Federacin Rusa
10
Canad
USA
85
Araba Saudita
10
Isla de Man
Korea
82
Grecia
Marruecos
Repblica Checa
70
Eslovenia
Yemen
Hungra
64
Suecia
Armenia
Italia
58
Eslovakia
Blgica
Polonia
35
Sur frica
Egipto
Hong Kong
31
Bahrain
Irn
Espaa
30
Colombia
kazakhstan
Austria
29
Croacia
Kyrgyzstan
Australia
28
Indonesia
Lbano
Irlanda
26
Kuwait
Lituania
Malasia
26
Suiza
Luxemburgo
Brasil
20
Bulgaria
Macedonia
Mxico
20
Gibraltar
Moldavia
Tailandia
20
Noruega
Nueva Zelanda
UAE
18
Qatar
Ucrania
Turqua
17
Sri Lanka
Uruguay
Rumania
15
Chile
Francia
12
Macau
Total
Absoluto
TABLA 1.3
Organizaciones certificadas con ISO 27001 en el mundo, por pases 14
ELABORADO POR
Ing. Mantilla Anbal
14
Fuente: Internacional Register of ISMS Certificates
5206
26
1.3
COOPERATIVAS DE AHORRO Y CRDITO EN EL ECUADOR
Las Cooperativas de Ahorro y Crdito han alcanzado una participacin que llega
al 10% del Sistema Financiero Nacional, incidiendo directamente en la actividad
de aproximadamente tres millones de personas. Existen en el Ecuador alrededor
de mil trescientas Cooperativas de Ahorro y Crdito, de las cuales solo algo ms
de treinta son controladas por la Superintendencia de Bancos y Seguros. En
forma general, ao tras ao, desde hace cinco aos, los depsitos y el nmero de
socios de las Cooperativas de Ahorro y Crdito han ido en aumento. A
continuacin se presenta el aspecto reglamentario y estadsticas referentes a este
sector de la economa.
1.3.1
LEY DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS PARA

APLICACIN EN INSTITUCIONES DEL SISTEMA FINANCIERO
A continuacin se presenta un extracto de esta Ley, obtenido en base a

consideraciones de Gestin integral de la Seguridad informtica en Instituciones
financieras, y que tienen relacin directa y estrecha con el Sistema de Gestin de
Seguridad de la Informacin.
La Ley General de Instituciones del Sistema Financiero dispone que es deber de
la Superintendencia de Bancos y Seguros proteger los intereses del pblico,
adems, y establece que las Cooperativas de Ahorro y Crdito que realizan
intermediacin financiera con el pblico son instituciones financieras.
Establece que las Cooperativas de Ahorro y Crdito que realizan intermediacin
financiera con el pblico en general estn expuestas a una serie de riesgos, lo
que determina la necesidad de identificar, medir, controlar y monitorear los
mismos, en funcin de la naturaleza y complejidad de sus operaciones. Adems
considera necesario en funcin de las prcticas modernas, que las Cooperativas
de Ahorro y Crdito que realizan intermediacin financiera con el pblico, cuenten
con una adecuada disciplina financiera en concordancia con los principios de
prudencia y solvencia financiera a fin de ser viables y sostenibles, que facilite el
desarrollo de la supervisin por riesgos, tomando en consideracin el mercado
actual en que esas entidades desenvuelven sus actividades y la dinmica del
sistema financiero ecuatoriano, en todo lo cual se tendr presente los principios
del cooperativismo. Expresamente, la Superintendencia de Bancos y Seguros
27
indica que se debe promover una mayor eficiencia y competitividad en las

Cooperativas de Ahorro y Crdito controladas por la Superintendencia de Bancos
y Seguros, que redunde en beneficio de los socios de esas entidades. En lo
concerniente al Riesgo operativo, tiene cinco partes que se detallan a
continuacin:
PARTE I: MBITO, DEFINICIONES Y ALCANCE

Para administrar adecuadamente el riesgo operativo, se han establecido
disposiciones que son aplicables a las instituciones financieras pblicas y
privadas, al Banco Central del Ecuador, a las compaas emisoras y
administradoras de tarjetas de crdito, entre otras, cuyo control compete a la
Superintendencia
de
Bancos
Seguros,
denominadas
instituciones
controladas. Se establece definiciones fundamentales para la aplicacin de

las disposiciones
PARTE II: FACTORES DEL RIESGO OPERATIVO

Establece que con el propsito de que se minimice la probabilidad de incurrir
en
prdidas
financieras
atribuibles
al
riesgo
operativo,
deben
ser
adecuadamente administrados los siguientes aspectos, los cuales se

interrelacionan entre s, estos son:
-
Procesos
Personas
Tecnologa de informacin
Eventos externos
PARTE III: ADMINISTRACIN DEL RIESGO OPERATIVO

Se debe disear un proceso de administracin de riesgo operativo, que
permita a las instituciones controladas identificar, medir, controlar/mitigar y
monitorear sus exposiciones a este riesgo al que se encuentran expuestas en
el desarrollo de sus negocios y operaciones.
Una vez identificados los eventos de riesgo operativo y las fallas o
28
insuficiencias en relacin con los factores de este riesgo y su incidencia para

la institucin, los niveles directivos estn en capacidad de decidir si el riesgo
se
debe
asumir,
compartirlo,
evitarlo
transferirlo,
reduciendo
sus
consecuencias y efectos. La administracin del riesgo operativo constituye un

proceso continuo y permanente. En esta parte, se establece la necesidad de
contar con sistemas de control interno adecuados, esto es, polticas,
procesos, procedimientos y niveles de control formalmente establecidos y
validados peridicamente. Los controles deben formar parte integral de las
actividades regulares de la entidad para generar respuestas oportunas ante
diversos eventos de riesgo operativo y las fallas o insuficiencias que los
ocasionaron.
PARTE IV: CONTINUIDAD DEL NEGOCIO

Se establece que as instituciones controladas deben implementar planes de
contingencia y de continuidad, a fin de garantizar su capacidad para operar en
forma continua y minimizar las prdidas en caso de una interrupcin severa del
negocio. Para el efecto, debern efectuar adecuados estudios de riesgos y
balancear el costo de la implementacin de un plan de continuidad con el riesgo
de no tenerlo, esto depender de la criticidad de cada proceso de la entidad; para
aquellos de muy alta criticidad se deber implementar un plan de continuidad,
para otros, bastar con un plan de contingencia. Deber contarse con
procedimientos de difusin, comunicacin y concienciacin del plan y su
cumplimiento.
PARTE V.- RESPONSABILIDADES EN LA ADMINISTRACIN DEL RIESGO

OPERATIVO
El directorio u organismo que tenga a su cargo la administracin del riesgo
operativo, entre otras tiene las siguientes responsabilidades:
-
Crear una cultura organizacional con principios y valores de comportamiento

tico que priorice la gestin eficaz del riesgo operativo.
29
Aprobar las polticas, procesos y procedimientos para la administracin del

capital humano.
Aprobar las polticas y procedimientos de tecnologa de informacin
Aprobar los planes de contingencia y de continuidad del negocio
El Comit de Administracin integral de riesgos tendr entre otras, las siguientes

responsabilidades:
-
Evaluar y proponer las polticas y el proceso de administracin del riesgo

operativo, y asegurarse que sean implementados en toda la institucin y que
todos los niveles del personal entiendan sus responsabilidades con relacin al
riesgo operativo.
Evaluar las polticas y procedimientos de procesos, personas y tecnologa de

informacin, y someterlas a aprobacin del directorio u organismo que haga
sus veces;
Definir los mecanismos para monitorear y evaluar los cambios significativos y

la exposicin a riesgos;
Evaluar y someter a aprobacin del directorio u organismo que haga sus veces
los planes de contingencia y de continuidad del negocio, asegurar la
aplicabilidad y el cumplimiento de los mismos
Analizar y aprobar la designacin de lderes encargados de llevar a cabo las

actividades previstas en el plan de contingencia y de continuidad del negocio.
30
1.3.2
LEYES Y REGLAMENTOS DE LAS COOPERATIVAS DE AHORRO Y

CRDITO
Al igual que en el caso de la Ley de la SBS para instituciones del Sistema

Financiero, en este caso, tambin se elabora un extracto de las Leyes y
Reglamentos de las Cooperativas de Ahorro y Crdito (CAC), que abarca aquellos
aspectos relacionados con la Seguridad de la Informacin, como base
fundamental para un adecuado diseo de un Sistema de Gestin de Seguridad de
la Informacin.
En estas Leyes y Reglamentos, se hace referencia a la estructura, operacin,
funciones, deberes y responsabilidades de los actores internos de la Cooperativa,
especficamente a los siguientes:
A)
La Asamblea General
B)
El Consejo de Administracin
C)
El Presidente
D)
El Comit de Auditoria
E)
El Comit de Crdito
F)
El Gerente General de la Cooperativa
G)
Los procesos de Contabilidad, Informacin Financiera y Auditoria
H)
Las Cooperativas de Ahorro yCrdito de Segundo Piso
A continuacin se presentan los aspectos ms relevantes de estas leyes y

reglamentos, relacionados con la presente Tesis:
A.
LA ASAMBLEA GENERAL DE LA COOPERATIVA
La asamblea general es la mxima autoridad de la cooperativa y sus resoluciones

son obligatorias para todos sus rganos internos y socios, en tanto sean
concordantes con la ley, el presente reglamento, las normas que expida la
Superintendencia, el estatuto social y la normativa interna.
-
La asamblea general podr ser de socios o de representantes, pero una vez

superados los doscientos socios obligatoriamente ser de representantes, en
un nmero no menor de treinta ni mayor de cincuenta.
31
Las asambleas generales de socios o de representantes son de carcter

ordinario o extraordinario y se reunirn nicamente en el domicilio principal
de la cooperativa.
Las asambleas generales ordinarias sern convocadas por el Presidente y

se reunirn una vez al ao dentro de los noventa das posteriores al cierre de
cada ejercicio econmico anual, para conocer y resolver sobre los informes
del Consejo de Administracin, del Gerente General, del Comit Integral de
Riesgos, del Comit de Auditora, de Auditora Interna y de Auditora
Externa, aprobar los estados financieros, decidir respecto de la distribucin
de los excedentes y cualquier otro asunto puntualizado en el orden del da,
de acuerdo a la convocatoria.
Son atribuciones de la asamblea general de socios o representantes de la

cooperativa:
-
Conocer y resolver las reformas del estatuto social, las que entrarn en
vigencia una vez aprobadas por la Superintendencia.
Acordar la disolucin y liquidacin voluntaria, o fusin de la cooperativa, en

los trminos previstos en este reglamento; y con el voto conforme de al
menos las dos terceras partes del nmero de socios o representantes
establecido en el estatuto social.
Conocer y resolver sobre la distribucin de los excedentes;
Resolver en ltima instancia los casos de expulsin de los socios, de

acuerdo a lo que establece el estatuto, una vez que el Consejo de
Administracin se haya pronunciado.
Aprobar el Reglamento de elecciones de la cooperativa y someterlo a

aprobacin de la Superintendencia;
Acordar el monto de aporte obligatorio en certificados de aportacin;
Remover a los miembros de la asamblea general, observando el debido

proceso previamente previsto en el estatuto;
Pedir cuentas al Consejo de Administracin y al Gerente General cuando lo

considere necesario.
32
Reglamentar el pago de dietas y viticos para los miembros del Consejo de

Administracin de acuerdo con lo establecido en este reglamento y siempre
que conste en el presupuesto aprobado de la cooperativa.
B.
EL CONSEJO DE ADMINISTRACIN DE LA COOPERATIVA
El Consejo de Administracin es el rgano directivo y administrativo de la

cooperativa y estar integrado por cinco vocales principales y cinco vocales
suplentes. Durarn tres aos en sus funciones y podrn ser reelegidos por una
sola vez para el perodo siguiente. Luego de transcurrido un perodo, podrn ser
elegidos nuevamente, de conformidad con estas disposiciones.
El Gerente General asistir a las reuniones del Consejo de Administracin con

voz, pero sin derecho a voto. Al menos dos de los vocales del Consejo de
Administracin debern tener ttulo profesional y acadmico de tercer nivel o
cuarto nivel en administracin, economa, finanzas, contabilidad, auditora o
derecho, registrado en el CONESUP, o haber aprobado un programa de al menos
dos aos en capacitacin especializada en gestin financiera cooperativa,
certificado por un centro de educacin superior reconocido en el pas.
Son atribuciones y deberes del Consejo de Administracin:

-
Aprobar y revisar anualmente, las estrategias de negocios y las principales

polticas de la entidad.
Presentar para conocimiento y resolucin de la asamblea general los

estados financieros y el informe de labores del consejo.
Nombrar y remover al Gerente General y determinar su remuneracin.
Pedir cuentas al Gerente General cuando lo considere necesario.
Nombrar a los miembros de los comits cuya creacin disponga la

Superintendencia; y, verificar que se integren conforme con la normatividad
vigente.
Sancionar
los
socios
que
infrinjan
las
disposiciones
legales,
reglamentarias o estatutarias previo el ejercicio del derecho de defensa y de

acuerdo con las causales y procedimiento previstos en el estatuto social.
33
Resolver los casos de expulsin de los socios, de acuerdo a lo que

establece el estatuto, una vez que el Gerente General se haya pronunciado.
Conocer las comunicaciones del organismo de control de acuerdo con lo

previsto en la letra b) del artculo 36 de la ley y disponer el cumplimiento de
las disposiciones, observaciones o recomendaciones.
Autorizar al Gerente General otorgar poderes especiales.
Las dems previstas en la ley, en este reglamento, en las normas expedidas

por la Junta Bancaria y en el estatuto.
C.
EL PRESIDENTE DE LA COOPERATIVA
Son atribuciones y deberes del Presidente:

-
Convocar y presidir las asambleas generales y las reuniones del Consejo de

Administracin.
Convocar a pedido del organismo electoral o de la Superintendencia en el

caso previsto en este reglamento, a elecciones de representantes de la
cooperativa.
Presidir todos los actos oficiales de la cooperativa.
Conocer las comunicaciones que la Superintendencia remita e informar de

inmediato del contenido de las mismas al Consejo de Administracin, y
cuando estime, a la asamblea general.
D.
EL COMIT DE AUDITORA
El Comit de Auditoria se integrar y cumplir las funciones y deberes de

conformidad a las normas de carcter general dictadas para el efecto por la Junta
Bancaria.
E.
EL COMIT DE CRDITO
Cada cooperativa tendr un comit de crdito integrado por tres miembros, dos de
los cuales sern designados por el Consejo de Administracin de entre los
funcionarios de la entidad, y por el Gerente General de la cooperativa quien lo
presidir. La funcin de comit ser resolver sobre las solicitudes de crdito en el
34
marco de las polticas, niveles y condiciones determinados por el Consejo de

Administracin en el reglamento de crdito.
F.
EL GERENTE GENERAL DE LA COOPERATIVA
El Gerente General, sea o no socio de la cooperativa, es el representante legal de

la misma y ser nombrado sin sujecin a plazo. Para ser nombrado Gerente
General se requiere tener ttulo profesional y acadmico de tercer nivel o cuarto
nivel, en administracin, economa y finanzas, debidamente registrado en el
CONESUP, y acreditar experiencia mnima de cuatro aos sea como
administrador, director o responsable de reas de negocios de cooperativas u
otras instituciones financieras, y no encontrarse incurso en ninguna de las
prohibiciones establecidas en la ley y las normas emitidas por la Junta Bancaria.
Son atribuciones y deberes del Gerente General:

-
Representar judicial y extrajudicialmente a la cooperativa.
Presentar para aprobacin del Consejo de Administracin el plan

estratgico, el plan operativo y el presupuesto de la cooperativa, estos dos
ltimos hasta mximo el 30 de noviembre del ao inmediato anterior a
planificar;
Delegar o revocar delegaciones conferidas a otros funcionarios de la

cooperativa,
para
lo
que
informar
previamente
al
Consejo
de
Administracin, sin que ello implique exonerarse de la responsabilidad legal.

-
Presidir el comit de crdito de la cooperativa y los que determinen las

normas de la Junta Bancaria;
Mantener y actualizar el registro de certificados de aportacin.
Ejecutar las polticas de tasas de inters y de servicios de acuerdo a los

lineamientos fijados por el Consejo de Administracin;
G.
LOS PROCESOS DE CONTABILIDAD, INFORMACIN FINANCIERA Y

AUDITORA
Las cooperativas adoptarn polticas internas de control para administrar

prudencialmente sus riesgos en funcin de las normas que la Junta Bancaria
emita para el efecto. Estas polticas sern aprobadas por el Consejo de
35
Administracin y sobre su cumplimiento debern informar las auditorias interna y

externa.
Las cooperativas, entre otras, tienen las siguientes obligaciones:
-
Exhibir y conservar en un lugar pblico y visible el certificado de

autorizacin concedido por la Superintendencia;
Llevar los libros sociales en orden cronolgico y en sistemas impresos y

magnticos;
Distribuir entre sus asociados el estatuto codificado y remitir a la

Superintendencia, una vez aprobado por ella.
H.
LAS COOPERATIVAS DE AHORRO Y CRDITO DE SEGUNDO PISO
Las Cooperativas de Ahorro y Crdito de segundo piso son instituciones

financieras debidamente autorizadas por la Superintendencia y sujetas a su
control, que tienen por objeto operar nicamente con las cooperativas asociadas
de primer piso. Debern cumplir con todas las normas de solvencia y prudencia
financiera establecidas en la ley y las que expida la Junta Bancaria,
especialmente en lo relacionado con el nivel de patrimonio tcnico, calificacin de
activos de riesgo y constitucin de provisiones y la gestin y administracin
integral de riesgos.
1.3.3 ESTADSTICAS DE LAS COOPERATIVAS DE AHORRO Y CRDITO

ECUATORIANAS
La trascendencia de las Cooperativas de Ahorro y Crdito, es cada vez ms
significativa. Del nmero de instituciones financieras controladas por la Super
Intendencia de Bancos y Seguros, las CAC controladas llegan a un equivalente
del 40 %. Miles de personas acceden a sus servicios en todo el pas, ubicando a
estas, en el tercer lugar de participacin del Sistema Financiero Nacional,
alcanzando el 10% del mismo. A continuacin se presentan tablas en las que se
muestra la evolucin de las Cooperativas de Ahorro y Crdito, en cuanto a:
Participacin en el sistema financiero nacional, Nmero de socios, Depsito y
Cartera.
36
A)
PARTICIPACIN EN EL SISTEMA FINANCIERO NACIONAL
Como puede verse en la
figura 1.13, las Cooperativas de Ahorro y Crdito
(controladas y no controladas, en conjunto), ao tras ao han aumentado su

participacin en el Sistema Financiero Nacional. Segn informacin documentada
de la Federacin de Cooperativas de Ahorro y Crdito- FECOAC, la participacin
en el 2001 era del 4.3%, y para el 2004 era del 8.3%; lo cual significa un
incremento de aproximadamente un 100% en su participacin.
PARTICIPACION DE LAS COOPERATIVAS EN EL SISTEMA FINANCIERO

NACIONAL
9,0%
8,0%
7,0%
6,0%
PORCENTAJE DE
5,0%
PARTICIPACION
4,0%
3,0%
2,0%
1,0%
0,0%
2001
2002
2003
2004
PERIODO
FIGURA 1.13 Participacin de CAC en el Sistema Financiero Nacional

ELABORADO POR
Ing. Mantilla Anbal
15
Para el 2006, segn la Asociacin de Cooperativas de Ahorro y Crdito

controladas por la Superintendencia de Bancos y Seguros (30 aproximadamente),
estas alcanzaban una participacin del 7% en el Sistema Financiero Nacional, lo
cual en aquel momento representaba el 8.41% de la participacin que alcanzaban
los bancos.
TABLA 1.4 Comparacin de la Participacin de las CAC en el Sistema Financiero 16

15
Fuente: FECOAC- Controladas y no controladas
37
De acuerdo a informacin de la Confederacin Alemana de Cooperativas- DGRV,

para el ao 2007, las Cooperativas de Ahorro y Crdito controladas alcanzaban
una participacin del 8.3% del Sistema Financiero Nacional, al tiempo que las no
controladas se posicionaban con una participacin del 2%, alcanzando juntas una
participacin total del 10% del Sistema Financiero Nacional, equivalente al 1643
millones de dlares aproximadamente.
TIPO
Nmero de Instituciones
Activos
(Millones de USD)
Participacin en
el mercado (%)
CAC
Supervisadas
39
1343
8,3
CAC No
Supervisadas
1300
300
2,0
TABLA 1.5
Participacin de cooperativas en el sistema financiero nacional en ao 200717
ELABORADO POR
Ing. Mantilla Anbal
B)
NMERO DE SOCIOS
En la figura 1.14 puede verse como el nmero de socios ha aumentado ao tras

ao en las Cooperativas de Ahorro y Crdito controladas por la Superintendencia
de Bancos y Seguros, aunque la tasa de crecimiento no ha sido siempre la
misma. Lo mismo ha ocurrido con las Cooperativas de Ahorro y Crdito no
controladas. La figura en referencia fue elaborada con informacin de la FECOAC
(2001 al 2004), y de la SBS (2005 al 2008).
Para el 2001 el nmero de socios era de 439889, y para el 2008 era de 2473302,
lo cual resulta en un incremento de aproximadamente seis veces el nmero de
socios del ao 2001. De acuerdo a informacin de la FECOAC, el nmero total de
socios que alcanzan las CAC, controladas y no controladas, supera las 3 millones
de personas.
16
17
Fuente: Asociacin de CAC controladas SBS

Fuente: DGRV
38
EVOLUCION DEL NUMERO DE SOCIOS

2500
2000
NUMERO
DE SOCIOS
1500
1000
500
0
2001
2002
2003
2004
2005
2006
2007
2008
PERIODO
FIGURA 1.14 Evolucin del nmero de socios

ELABORADO POR
Ing. Mantilla Anbal
C)
DEPSITOS
En la figura siguiente, puede verse como han evolucionado los depsitos en las
Cooperativas de Ahorro y Crdito controladas, de acuerdo a informacin de la
Superintendencia de Bancos y Seguros. En el 2005 los depsitos alcanzaban los
540 millones de dlares, mientras que para el ao 2008 se haba alcanzado la
cifra de 1100 millones de dlares, es decir que se haba duplicado.
EVOLUCION DE DEPOSITOS EN CAC

(EN MILLONES USD)
DEPOSITOS EN
CAC EN MILLONES DE
USD
1200
1000
800
600
400
200
0
2005
2006
2007
2008
PERIODO
FIGURA 1.15 Evolucin de los depsitos en CAC controladas por la SBS

ELABORADO POR
Ing. Mantilla Anbal
39
D)
CARTERA
De acuerdo a la Superintendencia de Bancos y Seguros, las Cooperativas de

Ahorro y Crdito controladas pasaron en su cartera, de 632 millones en el 2005, a
1269 millones en el 2008; siguiendo prcticamente la misma tendencia que el
comportamiento en los depsitos.
EVOLUCION DE LA CARTERA DE CAC

(EN MILLONES DE DOLARES)
1400
1200
1000
CARTERA EN MILLONES
DE DOLARES
800
600
400
200
0
2005
2006
2007
2008
PERIODO
FIGURA 1.16 Evolucin de la cartera en CAC controladas por la SBS

ELABORADO POR
Ing. Mantilla Anbal
40
1.4
ENFOQUE DE LA NORMA ISO 27001 PARA COOPERATIVAS

DE AHORRO Y CRDITO
Para enfocar la norma ISO 27001 a Cooperativas de Ahorro y Crdito, debe

tomarse en cuenta que estas organizaciones estn expuestas a diferentes
riesgos, sin embargo, el enfoque de la norma se puede establecer en las
personas, organizacin, tecnologa y en el mbito legal. En forma general, los
riesgos pueden ser de diferente naturaleza, sin embargo, el Sistema de Gestin
de Seguridad de la Informacin definido en la norma ISO 27001, acta sobre el
riesgo operativo, La siguiente figura muestra este concepto:
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
Riesgos
Financieros
Estructura
Rentabilidad
De Crdito
De Liquidez
De tasa de
inters
De Mercado
De Moneda
Riesgos de
Negocios
Riesgos de
Poltica
Riesgo pas
Riesgo de Crisis
Bancarias
Riesgos de
Operaciones
Procesos
Tecnologa
Personas
Incidentes
FIGURA 1.17
Actuacin del SGSI sobre el Riesgo Operativo
ELABORADO POR
Ing. Mantilla Anbal
1.4.1 ACTORES DEL SISTEMA COOPERATIVO

En las Cooperativas de Ahorro y Crdito, se realizan una gran cantidad de
operaciones, tanto hacia adentro como hacia fuera de la organizacin. En la
actual economa global, es importante comprender que la cadena de valor
requiere innovacin, cambiar el modo de competir, atender adecuadamente a la
41
Infraestructura de la empresa, la gestin de los recursos humanos, al desarrollo

de la tecnologa, al aprovisionamiento, a las actividades fundamentales y a las de
apoyo; disminuir las barreras y colocarse en el lugar del cliente, sea este usuario
final, o proveedor. Es fundamental reconocer y entender adecuadamente a los
actores del proceso.
Clientes y negocios
locales
Clientes y negocios
extranjeros
Gobierno
Inversionistas
extranjeros
Regulacin
Inversionistas/socios
potenciales
FIGURA 1.18 Actores del sistema cooperativo 18
ELABORADO POR
Ing. Mantilla Anbal
Para poder alcanzar un elevado nivel de calidad, es necesario dirigir la empresa

para los clientes (usuarios finales), estableciendo orden, dando total prioridad a
los procesos,
midiendo y evaluando lo realmente importante, planificando y
expandiendo en forma sostenida a la organizacin, y preparndose para cualquier

escenario impredecible.
18
42
1.4.2 BENEFICIOS DE UNA COOPERATIVA CON ISO 27001

Los beneficios de un SGSI con ISO 27001:2005 en una organizacin financiera,
son enormes, y repercuten sobre todos los aspectos en los que puede medirse la
calidad de una organizacin.
Permite a la Organizacin Financiera alinearse con las exigencias de

BASILEA II en relacin al riesgo patrimonial
Desarrolla un sistema para mitigar el riesgo operativo con indicadores de

eficacia del desempeo de los controles, facilitando la labor del gobierno
corporativo.
Alto impacto econmico al reducir sustancialmente el riesgo operativo en la

organizacin.
Permite a la empresa tener un sistema que le asegure continuidad en su

funcionamiento.
Por ejemplo, en febrero del 2008, la Cooperativa de Ahorro y Crdito Caja

Inmaculada CAI, obtuvo la mxima certificacin de su sistema de gestin de
seguridad de la informacin para todos sus procesos de negocio, conforme a la
norma ISO/IEC 27001; siendo la primera entidad financiera espaola que lo
consigue. Esto supone para el cliente disfrutar de los estndares ms elevados de
seguridad en cuanto a la gestin de sus datos en los distintos canales de la
entidad: oficinas, cajeros, Internet y telfono.
La forma en que la norma ISO 27001:2005 establece Sistema de Gestin de

Seguridad de la Informacin, lo transforma en un recurso valioso que amerita la
dedicacin de tiempo y esfuerzo. La Poltica que adopte la organizacin brinda
una base slida para respaldar el Plan de Seguridad y una base slida sirve para
respaldar empresas slidas. Dicho de otra manera, esta norma ayuda a formar y
mantener slidas organizaciones.
43
1.4.3 DESAFOS PARA LAS COOPERATIVAS DE AHORRO Y CRDITO

En un mbito local y nacional, las expectativas de las Cooperativas de Ahorro y
Crdito, anhelan alcanzar un nivel de cambio que les permita realizar
exitosamente el E-Business, una operacin global, estndar internacional, entre
otros aspectos.
Servicios tradicionales
Operacin regional-global
Operacin local
Presencia en el mercado
Evolucin
Incremento en valor
Reglamentacin local
Reglamentacin internacional
Reconocimiento
FIGURA 1.19
Retos de las Cooperativas de Ahorro y Crdito 19
ELABORADO POR
Ing. Mantilla Anbal
Dado que la norma ISO 27001:2005, esta enfocada en los procesos, en la mejora
continua, en base al ciclo de Deming (planificar, actuar, medir, corregir), es un
excelente soporte para lograr el xito organizacional en la Gestin de la
Seguridad de la Informacin.
En el mbito regional latinoamericano, existen tambin grandes desafos para las
Cooperativas de Ahorro y Crdito; estos son:
Los desafos en el mbito regional latinoamericano son:
1.
Cooperativas de Ahorro y Crdito bajo supervisin
2.
Crecimiento y sostenimiento del sector en el tiempo
3.
Gestin adecuada de las TICs
4.
Competitividad y calidad
19
44
5.
Participacin trascendente en la Integracin de Cooperativas
6.
Responsabilidad social
7.
Cumplimiento de estndares
8.
Capacidad para influir en grandes decisiones de un pas
9.
Transparencia en sus operaciones
10. Elevado desarrollo interno
Estos desafos pueden entenderse mejor, al analizar los siguientes datos

estadsticos.
En Cooperativas de Ahorro y Crdito de Latinoamrica: 20
Nmero de CAC: 7262
Nmero de CAC supervisadas: 2896
Monto de activos: 29638 USD
Monto de cartera de crdito: 16426 Millones de USD
Nmero de asociados: 20.306.210
Crdito promedio por asociado: 1236 USD
Asociados PEA: Ecuador: 46.4 %, Paraguay 34%, Costa Rica 34%, Chile 11%.
20
Fuente: Desafos para la Gestin de Cooperativas

de Ahorro y Crdito en Latinoamrica, lvaro Durn
CAPTULO 2.
DISEO DEL SISTEMA DE GESTIN DE SEGURIDAD DE
LA INFORMACIN PARA COOPERATIVAS DE
AHORRO Y CRDITO
46
En este captulo se disea un Sistema de Gestin de Seguridad de la Informacin

para Cooperativas de Ahorro y Crdito, en base a la norma ISO 27001, la ley de
la Sper Intendencia de Bancos y Seguros, y la Ley de Cooperativas de Ahorro y
Crdito, del Sistema Financiero Ecuatoriano.
Se realiza el anlisis y la determinacin del Sistema de Gestin de Seguridad de
la Informacin para Cooperativas de Ahorro y Crdito, desarrollando de esta
manera una gua para la aplicacin de las clusulas y anexos de la norma ISO
27001, seguidamente, de manera resumida a travs de un ejemplo se muestra
una metodologa para el anlisis, evaluacin y tratamiento del riesgo.
En segundo lugar, dada la importancia que tiene para este tipo de organizaciones,
se trata en una seccin especfica, el Plan para la Continuidad del Negocio,
desarrollando de esta manera, una gua para el manejo del mismo en la
Cooperativas de Ahorro y Crdito, igual que en el caso anterior, se presenta un
ejemplo resumido para desarrollo y aplicacin de BCP.
Finalmente, se establece una gua para documentar el Sistema de Gestin de
Seguridad de la Informacin para Cooperativas
de Ahorro y Crdito,
estableciendo lo que verdaderamente tiene importancia para ser documentado

por la organizacin, y una forma adecuada de efectuarlo.
2.1
ANLISIS
DETERMINACIN
DEL
SGSI
PARA
COOPERATIVAS DE AHORRO Y CRDITO

Para poder realizar el proceso de anlisis de determinacin es fundamental
comprender el enfoque de las clusulas globales y focales de la norma ISO
27001. Es necesario tener el conocimiento de las normas, reglamentos, estatutos,
objetivos, polticas de la Cooperativa de Ahorro y Crdito; en est seccin, esto se
realiza en las CLAUSULAS 0,1, 2 y 3.
El establecimiento y gestin del SGSI, con la metodologa para identificar,
evaluar, y tratar el riesgo, incluyendo una gua para documentar el SGSI, es
abordado en la CLAUSULA 4.
Las CLAUSULAS 5, 6, 7, y 8 hacen referencia a la responsabilidad de la
direccin, a las auditorias, al monitoreo y mejoramiento continuo del SGSI.
47
ESTABLECER EL SGSI
4.2.1
4.3 DOCUMENTACION
4.3.1 Generalidades
4.3.2 Control de documentos
4.3.3 Control de registros
5. RESPONSABILIDAD DE LA DIRECCION
5.1 Compromiso de la direccin
5.2 Gestin de los recursos
IMPLEMENTAR
Y OPERAR EL
SGSI
4.2.2
AUDITORIAS INTERNAS DEL SGSI
REVISIN GERENCIAL
MEJORAMIENTO DEL SGSI
MANTENER Y
MEJORAR EL
SGSI
4.2.4
8.1 Mejoramiento continuo

MONITOREAR Y REVISAR EL
SGSI 4.2.3
CLAUSULAS FOCALES
CLAUSULAS GLOBALES
FIGURA 2.1
Secciones de la Clusulas focales y globales de la Norma ISO 2700121
ELABORADO POR
Ing. Mantilla Anbal
2.1.1 DESARROLLO DE GUA PARA LA APLICACIN DE LAS CLUSULAS

DE LA NORMA ISO 27001 EN BASE A LA LEY DE LA SBS Y LA LEY DE
CAC, DEL SISTEMA FINANCIERO ECUATORIANO.
CLUSULA 0.
INTRODUCCIN
El modelo ISO 27001:2005 est diseado bajo una ptica de enfoque a procesos.
El SGSI est conceptualizado para funcionar en cualquier tipo de organizacin,
operando bajo el enfoque de procesos, sin embargo, cada SGSI se elabora de la
manera ms adecuada para cada empresa. En el caso de las Cooperativas de
Ahorro y Crdito, son un sector en constante crecimiento, que representa a una
21
Fuente: Implantacin del ISO 27001, Alexander, P:hD
48
parte importante del Sistema Financiero Nacional, razn por la cual requieren un
SGSI acorde a su naturaleza y objetivos.
CLUSULA 1.
OBJETO
En esta clusula se indica los requerimientos del estndar que no pudiesen ser
aplicados debido a la naturaleza de una organizacin y su negocio, considerando
as, exclusiones. Adems especifica los requisitos para la implementacin de
controles de seguridad adaptados a la organizacin o parte de ella. El objeto en
este caso, hace referencia a las ms de mil trescientas Cooperativas de Ahorro y
Crdito Ecuatorianas, considerando que dependiendo de los montos que
manejan, estructura y organizacin, tienen, unas ms que otras, la posibilidad de
enfocarse en los procesos de la norma ISO 27001.
CLUSULA 2.
Hace referencia a documentos que son indispensables para la aplicacin de esta

estndar. Pueden ser documentos fechados como no fechados, en los dos casos
se requiere justificacin para su uso. En este caso, las referencias normativas
alineadas
la
norma
ISO
27001,
son
aquellas
establecidas
por
la
Superintendencia de Bancos y Seguros, y la Ley de Cooperativas en referencia a

las Cooperativas de Ahorro y Crdito.
CLUSULA 3.
Aqu se establecen los principales trminos y definiciones en base a los cuales

trabaja la norma ISO 27001. Algunos de los trminos ms frecuentemente citados
en este desarrollo son:
Activo de informacin: Es algo que la organizacin directamente le asigna un

valor, y por lo tanto, la organizacin lo debe proteger.
Amenaza: Cualquier evento accidental o intencionado que pueda ocasionar algn
dao en el sistema informtico, provocando prdidas materiales, financieras o de
otro tipo a la organizacin.
CAC: cooperativas de ahorro y crdito
49
Riesgo: Es la probabilidad de que la amenaza se materialice sobre una

vulnerabilidad del sistema informtico, causando un determinado impacto en la
organizacin.
SBS: Superintendencia de Bancos y Seguros.
Tecnologa de la informacin: Es el conjunto de herramientas y mtodos
empleados para llevar a cabo la administracin de la informacin. Incluye el
hardware, software, sistemas operativos, sistemas de administracin de bases de
datos, redes, multimedia, servicios asociados, entre otros.
Vulnerabilidad: Cualquier debilidad en el sistema informtico que pueda permitir
a las amenazas causarle daos y producir perdidas a la organizacin.
En el glosario de trminos se encuentra una lista ms amplia de los trminos a los

que se hace referencia en este captulo.
CLUSULA 4.
SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN
Refiere a los requerimientos de la organizacin, el establecimiento y gestin del

SGSI, su respectiva documentacin.
CLUSULA 4: Seccin 4.1
ESTABLECER LOS REQUISITOS GENERALES
Los Requisitos Generales para los SGSI de las Cooperativas de Ahorro y Crdito,
son aquellos propios a la naturaleza, operacin y riesgos
a los que estn
sometidas.
La implementacin de un SGSI requiere el despliegue de recursos significativos;
por esto las organizaciones deben estar conscientes sobre sus razones para
implantar el sistema. Diferentes organizaciones tendrn distintos estmulos para
implantar el SGSI. Los motivos podrn estar derivados de aspectos regulatorios,
legales, su estado, el tamao de la firma, su ubicacin geogrfica, el tipo de
negocio en que estn inmiscuidas o el servicio que ofrecen. La razn de por qu
implementar el SGSI, debe estar claramente documentada, y debe plantear los
costos en contraposicin a los beneficios que puedan obtenerse al incrementar la
habilidad, al gestionar el riesgo de la informacin en la empresa.
50
El SGSI no puede implantarse de manera aislada; la empresa debe considerar los

riesgos de la organizacin y las estrategias globales de la firma. Siempre se debe
tener presente que el SGSI es un sistema de gestin, el cual se convierte en una
herramienta de la alta gerencia.
Las instituciones controladas por la SBS deben mantener inventarios actualizados
de los procesos existentes, que cuenten, como mnimo con la siguiente
informacin: tipo de proceso (gobernante, productivo y de apoyo), nombre del
proceso, responsable, productos y servicios que genera el proceso, clientes
internos y externos, fecha de aprobacin, fecha de actualizacin, adems de
sealar si se trata de un proceso crtico.
ESTABLECER Y GESTIONAR EL SGSI
Para el Establecer y Gestionar el SGSI en Cooperativas de Ahorro y Crdito, se

considera documentacin de la Superintendencia de Bancos y Seguros, referente
a la operacin, los riesgos, los controles, las auditorias internas y externas, los
planes de continuidad, entre otros, para determinar los activos a proteger y como
protegerlos, en el Sistema Financiero. Se ha tomado adems, como elemento
fundamental para el establecimiento del SGSI, la realidad de la Cooperativas de
Ahorro y Crdito, en su desempeo, organizacin, controles, riesgos, crecimiento,
entre otros. Como puede verse en la figura anterior, esta clusula posee cuatro
componentes, que permiten en el SGSI: el establecimiento, la implementacin y la
operacin, el monitoreo y la revisin, y, el mantenimiento y la mejora.
Seccin 4.2: Subseccin 4.2.1
ESTABLECRE EL SGSI
Las fases que se listan a continuacin, son aquellas que deben seguirse para
poder establecer el SGSI:
A)
Definir el alcance y los lmites del SGSI
B)
Definir la poltica para el SGSI
C)
Definir el enfoque para la evaluacin del riesgo
D)
Identificar, analizar y evaluar los riesgos
E)
Identificar y evaluar las opciones para el tratamiento del riesgo, incluyendo

al riesgo residual
51
F)
Seleccionar los objetivos de control para el tratamiento del riesgo
G)
Obtener la aprobacin de los riesgos residuales por la direccin
H)
Obtener la autorizacin de la direccin para implementar y operar el SGSI
I)
Preparar una declaracin de aplicabilidad
A continuacin se desarrollan cada una de estas fases:
A.
DEFINIR EL ALCANCE Y LOS LMITES DEL SGSI
La definicin del alcance del SGSI es una de las ms importantes decisiones en

todo el proceso de su establecimiento. La definicin del alcance y su magnitud
est en la decisin que tome la empresa. El alcance del SGSI, puede ser toda la
organizacin, o simplemente una parte de ella, o un simple proceso, o un sistema
de informacin.
En esencia, el alcance obedece a decisiones estratgicas de la organizacin. Una
vez determinado el alcance del estndar en la empresa, se debe proceder a
identificar los distintos activos de informacin que se convierten en el eje principal
del modelo. La definicin del alcance del SGSI debe incluir las interfaces, y debe
contemplar los intereses y dependencias del SGSI con otras partes de la
organizacin, otras organizaciones, los proveedores o cualquier otra entidad
externa al SGSI. El alcance de un SGSI debe ser adecuado y apropiado, tanto
para las capacidades organizacionales y su responsabilidad de proveer seguridad
en la informacin que cumpla con los requerimientos determinados por la
evaluacin del riesgo, como por los controles regulatorios y legales. Las
Cooperativas de Ahorro y Crdito que realizan intermediacin financiera con el
pblico en general estn expuestas a una serie de riesgos, lo que determina la
necesidad de identificar, medir, controlar y monitorear los mismos, en funcin de
la naturaleza y complejidad de sus operaciones. Las prcticas modernas de
supervisin han demostrado que es necesario que las Cooperativas de Ahorro y
Crdito que realizan intermediacin financiera con el pblico, cuenten con una
adecuada disciplina financiera en concordancia con los principios de prudencia y
solvencia financiera a fin de ser viables y sostenibles, que facilite el desarrollo de
la supervisin por riesgos, tomando en consideracin el mercado actual en que
52
esas entidades desenvuelven sus actividades y la dinmica del sistema financiero

ecuatoriano.
B.
DEFINIR LA POLTICA PARA EL SGSI
En las Cooperativas de Ahorro y Crdito, todo esfuerzo enfocado a la seguridad

de la informacin tiene su base fundamental en las Polticas para la Gestin de
las tecnologas de la informacin y comunicacin. El proceso para fortalecer la
seguridad de la informacin debe tener un conjunto de polticas que brinden
instrucciones claras y establezcan el soporte sobre el cual se manejar la alta
gerencia. Las polticas son usadas como punto de referencia para un sin nmero
de actividades relacionadas con la seguridad de la informacin tales como:
Diseo de controles en los sistemas de informacin, controles de acceso, anlisis
de riesgos, sanciones disciplinarias de funcionarios por violaciones en la
seguridad, entre otros. Las polticas de seguridad tienen un impacto muy alto en la
organizacin,
debiendo
ser
revisadas
peridicamente
para
asegurar
su
aplicabilidad en la organizacin.
El ISO 17799 plantea que el objetivo de la poltica es proveer a la gerencia

direccin y apoyo para la seguridad de la informacin.
La gerencia debe aprobar la poltica, y asegurarse de que todos los empleados la
han recibido y entienden su efecto en sus tareas cotidianas. En forma general,
las polticas deben referirse por lo menos a:
-
Diseo claro de los procesos, los cuales deben ser adaptables y dinmicos
Descripcin en secuencia lgica y ordenada de las actividades, tareas, y

controles
Determinacin de los responsables de los procesos, que sern aquellas

personas encargadas de su correcto funcionamiento, a travs de establecer
medidas y fijar objetivos para gestionarlos y mejorarlos, garantizar que las
metas globales se cumplan, definir los lmites y alcance, mantener contacto
con los clientes internos y externos del proceso para garantizar que se
satisfagan y se conozcan sus expectativas, entre otros
Difusin y comunicacin de los procesos buscando garantizar su total

aplicacin
53
Actualizacin y mejora continua a travs del seguimiento permanente en su

aplicacin
Polticas y procedimientos de seguridad de la informacin que establezcan

sus objetivos, importancia, normas, principios, requisitos de cumplimiento,
responsabilidades y comunicacin de los incidentes relativos a la seguridad;
considerando los aspectos legales, as como las consecuencias de violacin
de estas polticas.
La Asamblea General, tiene atribucin para conocer el plan estratgico, el plan

operativo y presupuesto de la cooperativa, adems de nombrar y remover a los
vocales
del
Consejo
de
Administracin.
Mientras
que
el
Consejo
de
Administracin debe dictar los reglamentos interno, orgnico - funcional, de

crdito y las dems normas internas, con sujecin a las disposiciones contenidas
en la ley de CAC y las normas expedidas por la Junta Bancaria, los cuales podrn
ser revisados por el organismo de control.
C.
DEFINIR EL ENFOQUE PARA LA EVALUACIN DEL RIESGO
Es importante que la informacin de seguridad se gestione con transparencia y

consistencia a travs de la organizacin. La gestin de los riesgos puede utilizar
distintos enfoques gerenciales y mtodos de clculo que satisfagan las
necesidades de la organizacin. La organizacin decidir qu mtodo de clculo
del riesgo se escoge.
En la seccin 4.2.1 de la norma ISO 27001:2005,
se establece el marco
conceptual para escoger el enfoque para hacer el clculo del riesgo, describiendo
los elementos obligatorios que el proceso del clculo del riesgo debe contener.
Los elementos obligatorios a tener en cuenta son:
-
Determinacin del criterio para la aceptacin del riesgo. Se deben

documentar las circunstancias bajo las cuales la organizacin est dispuesta
a aceptar los riesgos.
54
Identificacin de los niveles aceptables del riesgo. Al margen del tipo de

enfoque que se utilice para el clculo del riesgo, deben estar identificados
los niveles de riesgo que la organizacin considere aceptables.
Cobertura de todos los aspectos del alcance del SGSI. El enfoque escogido
por la empresa, para el clculo del riesgo debe contemplar un anlisis
exhaustivo de todos los controles presentados en el Anexo A del ISO
27001:2005.
El clculo del riesgo debe lograr un claro entendimiento sobre qu factores

deben controlarse, en la medida en que estos factores afecten sistemas y
procesos que sean crticos para la organizacin. Las actividades de la
gestin del riesgo deben contemplar la relacin costo-beneficio y verificar su
pragmatismo. Una eficaz gestin del riesgo significa un buen balance entre
el gasto en recursos contra el deseado grado de proteccin, y asegurando
que los recursos gastados sean correlacionados con la potencial prdida y el
valor de los activos protegidos.
El enfoque que la empresa escoja y su nivel de detalle y complejidad influencian

el esfuerzo y los recursos requeridos durante el proceso del clculo del riesgo. El
clculo del riesgo debe ser tan detallado y complejo como sea necesario, para as
poder atender todos los requerimientos de la organizacin y lo que se requiera por
el alcance del SGSI, pero nada ms. El exceso de detalles puede determinar un
exceso de trabajo, y un enfoque muy genrico puede conducir a subestimar
aspectos de riesgos importantes. Por esta razn, el enfoque debe identificar los
requerimientos de seguridad relacionados con la tecnologa de informacin,
considerando principalmente: la evaluacin de los riesgos que enfrenta la
institucin; los requisitos legales, normativos, reglamentarios y contractuales; y, el
conjunto especfico de principios, objetivos y condiciones para el procesamiento
de la informacin que respalda sus operaciones.
55
D.
IDENTIFICAR, ANALIZAR Y EVALUAR LOS RIESGOS
Este proceso incluye:
IDENTIFICACIN DE
ACTIVOS DE
INFORMACIN
TASACIN DE
ACTIVOS DE
INFORMACIN
IDENTIFICACIN
DE AMENAZAS Y
POSIBILIDADES
DE OCURRENCIA
IDENTIFICACIN DE
VULNERABILI
DADES Y
POSIBILIDADES DE
SER EXPLOTADAS
POR LAS
MAENAZAS
ESTIMACIN DE LA
EXPOSICIN AL
RIESGO DE LOS
ACTIVOS DE
INFORMACIN
PRIORIZACIN DE
LAS AMENAZAS
POR SU
EXPOSICIN AL
RIESGO
FIGURA 2.2
Pasos metodolgicos del anlisis del riesgo22
ELABORADO POR
Ing. Mantilla Anbal
Identificar los activos de informacin

El anlisis, la evaluacin del riesgo, y las decisiones que se tomen en relacin con
el tratamiento del riesgo en la empresa giran alrededor de los activos de
informacin identificados.
En el contexto del ISO un activo de informacin es algo a lo que una organizacin
directamente le asigna un valor y, por lo tanto, la organizacin debe proteger.
El ISO 17799:2005 clasifica los activos de informacin en las categoras
siguientes:
-
Activos de informacin (datos, manuales de usuario, etc).
Documentos de papel (contratos).
Activos de software (aplicacin, software de sistemas, etc).
Activos fsicos (computadoras, medios magnticos, etc).
Personal (clientes, personal).
Imagen de la compaa y reputacin
Servicios (en comunicaciones).
22
Fuente: Anlisis y evaluacin del riesgo de informacin, Alexander, P:hD
56
El Gerente General de la CAC, deber actualizar y mantener bajo su custodia los

inventarios de bienes y valores de la entidad, informar al Consejo de
Administracin sobre la situacin financiera de la entidad, de riesgos y su impacto
en el patrimonio, cumplimiento del plan estratgico, y sobre otros que sean
solicitados, as como presentar el informe anual de gestin.
Identificar los requerimientos legales y comerciales para los activos
identificados
Los requerimientos de seguridad en cualquier organizacin, al margen del tamao
de la empresa, se derivan de tres fuentes. La primera fuente deriva de la
evaluacin de los riesgos que afectan a la organizacin. Aqu se determinan las
amenazas de los activos, luego se ubican las vulnerabilidades, se evala su
posibilidad de ocurrencia, y se estiman los potenciales impactos. La segunda
fuente es el aspecto legal. Aqu estn los requerimientos contractuales que deben
cumplirse. La tercera fuente es el conjunto particular de principios, objetivos y
requerimientos para procesar informacin, que la empresa ha desarrollado para
apoyar sus operaciones.
Tasar los activos de informacin

La tasacin de activos se la realiza de manera que muestre cualitativamente el
valor de los mismos para la organizacin, se puede utilizar la escala de Likert, la
cual establece: 1 Muy bajo, 2 Bajo, 3 - Medio, 4 Alto, 5 Muy alto.
El propietario de los activos debe ser responsable por definir apropiadamente la
clasificacin de seguridad y los derechos de acceso a los activos, y establecer los
sistemas de control. La responsabilidad del propietario debiera ser tambin la de
revisar peridicamente los derechos de acceso y la clasificacin de seguridad.
Las personas que utilizan los activos, deben estar conscientes de las reglas para
el manejo de activos como parte de su descripcin del puesto.
Identificacin de amenazas y posibilidad de ocurrencia

Una amenaza es una indicacin de un evento desagradable con el potencial de
causar dao.
La clasificacin de amenazas por su naturaleza, indica lo siguiente:
57
Amenazas naturales (inundaciones, tsunamis o maremotos, tornados,

huracanes, sismos, tormentas, incendios forestales).
Amenazas a instalaciones (fuego, explosin, cada de energa, suspensin

del servicio de agua, prdida de acceso, fallas mecnicas).
Amenazas humanas (huelgas, epidemias, materiales peligrosos, problemas

de transporte, prdida de personal clave).
Amenazas tecnolgicas (virus, hacking, prdida de datos, fallas de hardware,

fallas de software, fallas en la red, fallas en las lneas telefnicas).
Amenazas operacionales (prdida de proveedores, fallas en equipos,

aspectos regulatorios, mala publicidad).
Amenazas sociales (motines, protestas, sabotaje, vandalismo, bombas,

violencia laboral, terrorismo).
AMENAZAS
NATURALES
AMENAZAS A
INSTALACIONES
AMENAZAS
HUMANAS
AMENAZAS
TECNOLOGICA
AMENAZAS
OPERACIONALES
AMENAZAS
SOCIALES
FIGURA 2.3 Clasificacin de amenazas a la organizacin

ELABORADO POR
Ing. Mantilla Anbal
Para que una amenaza cause dao a algn activo de informacin tendra que
explotar una o ms vulnerabilidades del sistema, aplicaciones o servicios usados
por la organizacin a efectos de poder ser exitosa en su intencin de hacer dao.
Una vez identificadas las distintas amenazas que pueden afectar un activo, se
debe evaluar su posibilidad de ocurrencia. Una amenaza con baja posibilidad de
58
ocurrencia pudiera tener severas consecuencias econmicas en la organizacin.

Por cada amenaza, para medir la posibilidad de ocurrencia se puede utilizar la
escala de Likert: 1 Muy bajo, hasta 5 Muy alto.
Identificar las vulnerabilidades y la posibilidad de ser explotadas por las

amenazas
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
informacin de una organizacin.
Las vulnerabilidades no causan dao. Simplemente son condiciones que pueden
hacer que una amenaza afecte un activo. La clasificacin de las vulnerabilidades
en base a la ISO 17799:2005, indica lo siguiente:
Seguridad de los recursos humanos (falta de entrenamiento en seguridad,

carencia de toma de conciencia en seguridad, falta de mecanismos de
monitoreo, falta de polticas para el uso correcto de las telecomunicaciones,
no eliminar los accesos al trmino del contrato de trabajo, carencia de
procedimiento que asegure la entrega de activos al trmino del contrato de
trabajo, empleados desmotivados).
Control de acceso (segregacin inapropiada de redes, falta de poltica sobre

escritorio y pantalla limpia, falta de proteccin al equipo de comunicacin
mvil, poltica incorrecta para control de acceso, passwords sin modificarse).
Seguridad fsica y ambiental (control de acceso fsico inadecuado a oficinas,

salones y edificios, ubicacin en reas sujeta a inundaciones, almacenes
desprotegidos, carencia de programas para sustituir equipos, mal cuidado de
equipos, susceptibilidad de equipos a variaciones de voltaje.
Gestin de operaciones y comunicacin (complicadas interfaces para

usuarios, control de cambio inadecuado, gestin de red inadecuada, carencia
de mecanismos que aseguren el envo y recepcin de mensajes, carencia de
tareas segregadas, carencia de control de copiado, falta de proteccin en
redes pblicas de conexin).
Mantenimiento, desarrollo y adquisicin de sistemas de informacin
59
(proteccin inapropiada de llaves criptogrficas, polticas incompletas para el

uso de criptografa, carencia de validacin de datos procesados, carencia de
ensayos de software, documentacin pobre de software, mala seleccin de
ensayos de datos).
Una vez identificadas las vulnerabilidades, por cada una de ellas, se debe evaluar
la posibilidad de que sean explotadas por la amenaza; para ello se puede utilizar
la escala de Likert: 1 Muy bajo,hasta 5 Muy alto.
Las vulnerabilidades y las amenazas deben presentarse juntas, para poder causar
incidentes que pudiesen daar los activos.
Control de acceso
Seguridad de
los recursos
humanos
Mantenimiento,
desarrollo y adquisicin
de sistemas de
informacin
Seguridad fsica
y ambiental
Gestin de
operaciones y
comunicacin
FIGURA 2.4 Clasificacin de las vulnerabilidades de la organizacin

ELABORADO POR
Ing. Mantilla Anbal
Entre las amenazas, existen las vulnerabilidades, los riesgos y los activos de
informacin, una secuencia de relacin de causalidad y probabilidad de
ocurrencia.
60
Amenazas
CAUSA
Vulnerabilidad
PROBABILIDAD
Riesgo
Activos de
informacin
EFECTO
FIGURA 2.5 Relacin causa-efecto entre activos, riesgo, vulnerabilidades y amenaza23

ELABORADO POR
Ing. Mantilla Anbal
Estimar la exposicin al riesgo de los activos de informacin

El riesgo se define como la probabilidad de que una amenaza pueda explotar una
vulnerabilidad en particular.
Los riesgos se calculan de la combinacin de los valores de los activos, que
expresan el impacto de prdidas por confidencialidad, integridad y disponibilidad y
del clculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se
junten y causen un incidente.
Los niveles de riesgo calculados proveen un medio para poder priorizar los
riesgos e identificar aquellos otros riesgos que son ms problemticos para la
organizacin.
Todo riesgo tiene dos factores: uno que expresa el impacto del riesgo si ocurriera
(Valor econmico del activo en riesgo), y otro que expresa la probabilidad de que
el riesgo ocurra.
Priorizar las amenazas por su exposicin al riesgo

Finalmente, las amenazas pueden ser priorizadas en orden, con base en su factor
de exposicin al riesgo. Esta priorizacin permitir tomar las acciones adecuadas
al momento de tratar el riesgo.
23 Fuente:
Anlisis y evaluacin del riesgo de informacin, Alexander, P:hD
61
Evaluar el riesgo
Una vez realizado el clculo del riesgo por cada activo, en relacin con su
amenaza, se debe determinar cules son aquellas amenazas cuyos riesgos son
los mas significativos. A este proceso se denomina evaluacin del riesgo.
Los criterios que Alberto Alexander, Ph.D. recomienda para determinar los niveles
o importancia del riesgo son:
-
Impacto econmico del riesgo.
Tiempo de recuperacin de la empresa
Posibilidad real de ocurrencia del riesgo
Posibilidad de interrumpir las actividades de la empresa
E.
IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO

DEL RIESGO, INCLUYENDO AL RIESGO RESIDUAL
Reduccin del riesgo

Para todos aquellos riesgos donde la opcin de reducidos se ha tomado, se
deben implementar controles apropiados para poder reducidos al nivel que se
haya definido como aceptable. Al haber identificado el nivel de control, conviene
considerar los requerimientos de seguridad relacionados con los riesgos.
Los controles pueden reducir el riesgo estimado en dos maneras:
-
Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la

amenaza
Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos no

deseados, reaccionando y recuperndose de ellos
Para proteger sus activos, una organizacin, es decir, la Cooperativa de Ahorro y

Crdito escoge adoptar cul de estas maneras o una combinacin de ambas; sta
es una decisin comercial que depende de los requerimientos del negocio, el
ambiente y las circunstancias en las cuales la organizacin necesita operar.
No existe un enfoque universal para hacer la seleccin de objetivos de control y
controles. El proceso de seleccin comprende numerosas decisiones y consultas,
y usualmente discusiones con distintas partes de la organizacin y con un
62
determinado nmero de personas clave. El proceso de seleccin requiere producir

un resultado que ms se adecue a la organizacin en trminos de sus
requerimientos para la proteccin de sus activos, inversiones, cultura y tolerancia
al riesgo.
Aceptar objetivamente el riesgo

Muchas veces se presenta la situacin en la cual la organizacin no encuentra
controles para mitigar el riesgo, o en la cual la implantacin de controles tiene un
costo mayor que las consecuencias del riesgo. En estas circunstancias la decisin
de aceptar el riesgo y vivir con las consecuencias es la ms adecuada.
Transferir el riesgo
La transferencia del riesgo es una opcin cuando para la compaa es difcil
reducir o controlar el riesgo a un nivel aceptable. La alternativa de transferencia a
una tercera parte es ms econmica ante estas circunstancias. Algo muy
importante que debe recordarse es el riesgo residual que siempre estar
presente.
Evitar el riesgo
Se refiere a cualquier accin orientada a cambiar las actividades, o la manera de
desempear una actividad comercial en particular, para as evitar la presencia del
riesgo. El riesgo puede evitarse por medio de:
-
No desarrollar ciertas actividades comerciales
Mover los activos de un rea de riesgo
Decidir no procesar informacin particularmente sensitiva
En la figura 2.6 se presenta en forma esquemtica el proceso de toma de

decisiones para elegir una opcin de tratamiento del riesgo.
63
(1)
OPCIN DE REDUCCIN DEL
RIESGO
SI
LOS CONTROLES
ES ECONMICAMENTE FACTIBLE
IMPLANTARLOS?
NO
LAS CONSECUENCIAS SON

ECONOMICAMENTE
DEVASTADORAS
PARA LA EMPRESA?
(2)
OPCIN DE EVITAR EL
RIESGO
NO
SI
(3)
OPCIN DE TRANSFERENCIA
DEL RIESGO
LOS CONTROLES
PERMITEN REDUCIR
EL RIESGO A
NIVELES
ACEPTABLES?
NO
(4)
OPCIN DE ACEPTACIN DEL
RIESGO
SI
IMPLANTAR LOS CONTROLES
FIGURA 2.6 Proceso de toma de decisiones para el tratamiento del riesgo 24

ELABORADO POR
Ing. Mantilla Anbal
Riesgo residual
Despus de implementar las decisiones relacionadas con el tratamiento de un
riesgo, siempre habr un remanente de ese mismo riesgo. Justamente el riesgo
que queda, despus de implantar el plan de tratamiento, se denomina riesgo
residual, que puede ser difcil de calcular, pero por lo menos debe realizarse una
evaluacin para asegurar que logra la proteccin suficiente.
Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para
resolver su caso. Una opcin es identificar diferentes opciones de tratamiento de
riesgo; otra es instaurar ms controles, o hacer arreglos con aseguradoras para
24
Fuente: Gestin del riesgo en el Business Continuity Planning, Alexander, P:hD
64
reducir finalmente el riesgo a niveles aceptables.

A veces, dada la naturaleza de la industria y de los riesgos inherentes, reducir los
riesgos a un nivel aceptable pudiera no ser posible o financieramente aceptable.
Ante estas circunstancias, pudiera necesitarse objetivamente aceptar el riesgo.
Todos los riesgos residuales que se hayan aceptado debieran ser documentados
Nivel de riesgo
y aprobados por la gerencia.
Equilibrio entre el esfuerzo tcnico y

econmico y el nivel de riesgo aceptable para
la organizacin
Riesgo residual
Contramedidas implantadas
(esfuerzo tcnico y econmico)
FIGURA 2.7 Nivel de riesgo residual 25
ELABORADO POR Ing. Mantilla Anbal
F.
SELECCIONAR
LOS
OBJETIVOS
DE
CONTROL
PARA
EL
TRATAMIENTO DEL RIESGO

Una vez se realiza el proceso de identificar las opciones de tratamiento del riesgo
y haberlas evaluado, la empresa debe decidir cules objetivos de control y
controles escoger para el tratamiento del riesgo.
La seleccin de objetivos de control y controles debe efectuarse tomando en
cuenta el criterio establecido para la aceptacin de los riesgos, as como los
requerimientos legales, reguladores y contractuales. La seleccin de los objetivos
de control y los controles, segn el ISO 27001:2005, debe ser del Anexo A.
25
Fuente.Enciclopedia de la Seguridad Informtica, lvaro Gmez
65
G.
OBTENER LA APROBACIN DE LOS RIESGOS RESIDUALES POR LA

DIRECCIN
Es imposible llevar los riesgos a cero en la organizacin, y aun si fuera posible

hacerlo, quiz su costo operativo y financiero lo hara inviable. Esto significa que
hay que asumir un riesgo, ya sea para transferirlo a una tercera parte como una
aseguradora, o para que la misma organizacin se encargue de ella. Sin
embargo, se requiere que la Direccin empresarial conozca cuales son los riesgos
residuales, y que prueben los planes para su tratamiento, ya sea por parte de la
organizacin, o actividad de terceros.
H.
OBTENER
LA
AUTORIZACIN
DE
LA
DIRECCIN
PARA
IMPLEMENTAR Y OPERAR EL SGSI

Una vez que se han tomado las decisiones relacionadas con el tratamiento del
riesgo, las actividades para poder implantar estas decisiones tienen que
ejecutarse. Para este fin hay que identificar y planear las actividades. Cada
actividad de implementacin debe ser identificada con claridad y desagregarse en
una
gama
de
subactividades
requeridas
para
poder
distribuir
las
responsabilidades a las personas, estimar los requerimientos de recursos, el

conjunto de entregables, las fechas crticas y la supervisin del progreso.
La implantacin del plan de tratamiento del riesgo se convierte en un proyecto, y
debe manejarse como tal. La empresa debe hacer hincapi en asignar a la
persona idnea para responsabilizarla del proyecto, visualizar los recursos
necesarios y manejar los reforzadores de conducta organizacional, que aseguren
el correcto desempeo del proyecto.
I.
PREPARAR UNA DECLARACIN DE APLICABILIDAD
Todos los objetivos de control y controles escogidos del Anexo A forman parte de
la declaracin de aplicabilidad. La declaracin de aplicabilidad debe incluir todos
los objetivos de control, los controles seleccionados y se exige que se haga una
breve explicacin de las razones para su seleccin. Tambin deben incluirse los
objetivos de control y controles existentes y, por ltimo, detallarse la exclusin de
cualquier objetivo de control y controles del Anexo A, con la respectiva explicacin
de su exclusin.
66
Deben implementarse controles adecuados para detectar y evitar la instalacin de

software no autorizado o sin la respectiva licencia, as como instalar y actualizar
peridicamente aplicaciones de deteccin y desinfeccin de virus informticos y
dems software maliciosos. Deben existir controles formales para proteger la
informacin contenida en documentos, medios de almacenamiento u otros
dispositivos externos; el uso e intercambio electrnico de datos contra dao, robo,
accesos, utilizacin o divulgacin no autorizada de informacin para fines
contrarios a los intereses de la entidad, por parte de todo su personal y de sus
proveedores. Las instituciones controladas que ofrezcan los servicios de
transferencias y transacciones electrnicas deben contar con polticas y
procedimientos de seguridad de la informacin que garanticen que las
operaciones slo pueden ser realizadas por personas debidamente autorizadas;
que el canal de comunicaciones utilizado sea seguro, mediante tcnicas de
encriptacin de informacin; que existan mecanismos alternos que garanticen la
continuidad del servicio ofrecido; y, que aseguren la existencia de pistas de
auditora. El Gerente General debe suministrar la informacin que le soliciten los
socios, representantes, rganos internos de la cooperativa, la Superintendencia y
otras instituciones, de acuerdo con la ley.
MONITOREAR Y REVISAR EL SGSI
Para poder efectuar seguimiento, es necesario contar con adecuados sistemas de

control y autenticacin para evitar accesos no autorizados, inclusive de terceros;
y, ataques externos especialmente a la informacin crtica y a las instalaciones de
procesamiento. Debe existir adems, un plan para evaluar el desempeo del
sistema de administracin de la seguridad de la informacin, que permita tomar
acciones orientadas a mejorarlo. El Gerente General deber responder por la
marcha administrativa, operativa y financiera de la cooperativa e informar, al
menos trimestralmente, al Consejo de Administracin de los resultados; cumplir y
hacer cumplir a los socios las disposiciones emanadas de la Asamblea general y
del Consejo de Administracin.
67
MANTENER Y MEJORA EL SGSI
Es fundamental, una metodologa que permita la adecuada administracin y

control del proceso de compra de software y del ciclo de vida de desarrollo y
mantenimiento de aplicaciones, con la aceptacin de los usuarios involucrados;
Se requiere adems, documentacin tcnica y de usuario permanentemente
actualizada de las aplicaciones de la institucin. Mantener los controles y
procedimientos adecuados para asegurar el control interno son atribuciones y
responsabilidades del Gerente General.
DOCUMENTAR EL SGSI
Refiere a la necesidad de existencia de Manuales o reglamentos internos,

debidamente aprobados por el directorio u organismo que haga sus veces, que
establezcan como mnimo las responsabilidades y procedimientos para la
operacin, el uso de las instalaciones de procesamiento de informacin y
respuestas a incidentes de tecnologa de informacin. Las instituciones
controladas debern contar con polticas y procedimientos que permitan la
adecuada administracin, monitoreo y documentacin de las bases de datos,
redes de datos, software de base y hardware, con el objeto de garantizar que la
infraestructura tecnolgica que soporta las operaciones, sea administrada,
monitoreada y documentada de forma adecuada.
El Gerente General deber presentar a la Superintendencia cuando lo requiera,
los manuales de control interno, de administracin de riesgos y los que disponga
la normativa aprobada por la Junta Bancaria;
y remitir los informes y otros
reportes que sean requeridos por la Superintendencia en la forma y periodicidad

que sta determine.
CLUSULA 5.
DEFINIR LA RESPONSABILIDAD DE LA DIRECCIN
Esta clusula hace referencia al compromiso de la gerencia y su gestin de los

recursos, acorde los requerimientos de la norma ISO 27001. Las instituciones
controladas deben administrar el capital humano de forma adecuada, e identificar
apropiadamente las fallas o insuficiencias asociadas al factor "personas", tales
68
como: falta de personal adecuado, negligencia, error humano, nepotismo de

conformidad con las disposiciones legales vigentes, inapropiadas relaciones
interpersonales y ambiente laboral desfavorable, falta de especificaciones claras
en los trminos de contratacin del personal, entre otros.
Para considerar la existencia de un apropiado ambiente de gestin de riesgo
operativo, las instituciones controladas debern definir formalmente polticas,
procesos y procedimientos que aseguren una apropiada planificacin y
administracin del capital humano, los cuales considerarn los procesos de
incorporacin, permanencia y desvinculacin del personal al servicio de la
institucin. Dichos procesos corresponden a:
-
Los procesos de incorporacin.- Que comprenden la planificacin de

necesidades, el reclutamiento, la seleccin, la contratacin e induccin de
nuevo personal
Los procesos de permanencia.- Que cubren la creacin de condiciones

laborales idneas; la promocin de actividades de capacitacin y formacin
que permitan al personal aumentar y perfeccionar sus conocimientos,
competencias y destrezas; la existencia de un sistema de evaluacin del
desempeo; desarrollo de carrera; rendicin de cuentas; e incentivos que
motiven la adhesin a los valores y controles institucionales.
Los procesos de desvinculacin.- Que comprenden la planificacin de la

salida del personal por causas regulares, preparacin de aspectos jurdicos
para llegar al finiquito y la finalizacin de la relacin laboral.
Los procesos de incorporacin, permanencia y desvinculacin antes indicados

debern ser soportados tcnicamente, ajustados a las disposiciones legales y
transparentes para garantizar condiciones laborales idneas. El Gerente General
es quien tiene la atribucin y el deber de contratar, remover y sancionar, de
acuerdo a las polticas que fije el Consejo de Administracin a los empleados de
la cooperativa, cuyo nombramiento o remocin no sea de competencia de otro
rgano de la entidad, y fijar sus remuneraciones que debern constar en el
presupuesto de la entidad;
69
Las instituciones controladas deben analizar su organizacin con el objeto de

evaluar si han definido el personal necesario y las competencias idneas para el
desempeo de cada puesto, considerando no slo experiencia profesional,
formacin acadmica, sino tambin los valores, actitudes y habilidades
personales que puedan servir como criterio para garantizar la excelencia
institucional. Adems, mantendrn informacin actualizada del capital humano,
que permita una adecuada toma de decisiones por parte de los niveles directivos
y la realizacin de anlisis cualitativos y cuantitativos de acuerdo con sus
necesidades. Dicha informacin deber referirse al personal existente en la
institucin; a la formacin acadmica y experiencia; a la forma y fechas de
seleccin, reclutamiento y contratacin; informacin histrica sobre los eventos de
capacitacin en los que han participado; cargos que han desempeado en la
institucin; resultados de evaluaciones realizadas; fechas y causas de separacin
del personal que se ha desvinculado de la institucin; y, otra informacin que la
institucin controlada considere pertinente. El Consejo de Administracin debe
aprobar el plan estratgico, el plan operativo y el presupuesto y llevados a
conocimiento de la asamblea general. De haber modificaciones, stas no
superarn el 10% del presupuesto conocido por la Asamblea.
La direccin, adems, es responsable de:
-
Apoyar y establecer un compromiso formal con el organismo que haga las

veces de alta gerencia.
Ubicar a una persona que se encargue principalmente de definir y autorizar

de manera formal los accesos y cambios funcionales a las aplicaciones y
monitorear el cumplimiento de los controles establecidos.
Difundir y comunicar a todo el personal involucrado, las mencionadas

polticas, procesos y procedimientos, de tal forma que se asegure su
implementacin.
Conocer los informes que presente el Gerente General sobre la situacin

financiera de la cooperativa, el diagnstico de riesgos y su impacto en el
patrimonio, el cumplimiento del plan estratgico, as como el informe anual
70
correspondiente y tomar las decisiones que estime apropiadas; as como

tambin debe conocer el informe que presente el Comit de Administracin
Integral de Riesgos. En este punto particular, es el Consejo de
Administracin el llamado a conocer esos informes.
-
Capacitar y entrenar tcnicamente al personal del rea de tecnologa de

informacin y a los usuarios de la misma
Establecer un procedimiento de clasificacin y control de activos de

tecnologa de informacin, que considere por lo menos, su registro e
identificacin, as como los responsables de su uso y mantenimiento,
especialmente de los ms importantes.
Definir niveles de autorizacin de accesos y ejecucin de las funciones de

procesamiento
de
las
aplicaciones,
formalmente
establecidos,
que
garanticen una adecuada segregacin de funciones y reduzcan el riesgo de

error o fraude. Adems de asegurar instalaciones de procesamiento de
informacin crtica en reas protegidas con los suficientes controles que
eviten el acceso de personal no autorizado y daos a los equipos de
computacin y a la informacin en ellos procesada, almacenada o
distribuida.
-
Cuidar las condiciones fsicas y ambientales necesarias para garantizar el

correcto funcionamiento del entorno de la infraestructura de tecnologa de
informacin.
Crear una cultura organizacional con principios y valores de comportamiento

tico que priorice la gestin eficaz del riesgo operativo.
Aprobar los planes de contingencia y de continuidad del negocio.
Conocer
aprobar
esquemas
de
administracin,
que
incluyan
procedimientos para la administracin, gestin y control de riesgos

inherentes a su negocio. Adems de designar a la firma calificadora de
riesgos. Esta responsabilidad corresponde al Consejo de Administracin.
-
Fijar el monto de la proteccin que debe adquirir la cooperativa ante posibles

riesgos de operacin, sin perjuicio de exigir caucin a los funcionarios que
71
defina y por el monto que determine. Igualmente compete al Consejo de

Administracin.
Es importante indicar, que la autorizacin para la adquisicin de bienes inmuebles
o la enajenacin o gravamen total o parcial de ellos, as como los contratos para
la adquisicin de servicios cuyo monto supere el 25% del patrimonio tcnico de la
institucin, es atribucin directa de la Asamblea General de la CAC.
CLUSULA 6.
AUDITAR INTERNAMENTE EL SGSI
Esta clusula establece que la organizacin debe realizar auditorias internas del
SGSI a intervalos planeados para determinar si los objetivos, controles, procesos
y procedimientos de su SGSI.
El esquema de administracin del riesgo operativo de las instituciones controladas
debe estar sujeto a una auditoria interna efectiva e integral, por parte de personal
competente, debidamente capacitado y operativamente independiente. La funcin
de auditoria interna coadyuva al mejoramiento de la efectividad de la
administracin de riesgos a travs de una evaluacin peridica, pero no es
directamente responsable de la gestin del riesgo operativo. Al auditar una
entidad financiera, esta mejora en su continuidad y credibilidad de clientes y
usuarios. Es la Asamblea General de la Cooperativa de Ahorro y Crdito, quien
debe designar al auditor interno y al auditor externo, de las listas de personas
calificadas por la Superintendencia, que le presente el Consejo de Administracin
de la propuesta realizada por el comit de auditora, as como a removerlos de
conformidad con la ley. De esta manera, es el Consejo de Administracin quien
debe presentar a la asamblea general la terna de personas calificadas por la
Superintendencia para la designacin de auditor interno y auditor externo, previa
propuesta presentada por el Comit de Auditora.
72
CLUSULA 7.
REALIZAR REVISIN GERENClAL
En esta clusula se evidencia si que la gerencia est comprometida con el SGSI,

incluyendo la poltica de seguridad y los objetivos de seguridad.
Las instituciones controladas deben contar permanentemente con un esquema
organizado de reportes que permitan disponer de informacin suficiente y
adecuada para gestionar el riesgo operativo en forma continua y oportuna.
Los reportes deben contener al menos lo siguiente:
-
Detalle de los eventos de riesgo operativo, agrupados por tipo de evento; las
fallas o insuficiencias que los originaron relacionados con los factores de
riesgo operativo y clasificado por lneas de negocio;
Informes de evaluacin del grado de cumplimiento de las polticas

relacionadas con los factores de riesgo operativo y los procesos y
procedimientos establecidos por la institucin; y,
Indicadores de gestin que permitan evaluar -la eficiencia y eficacia de las

polticas, procesos y procedimientos aplicados.
Estos informes deben ser dirigidos a los niveles adecuados de la institucin de

manera que puedan ser analizados con una perspectiva de mejora constante del
desempeo en la administracin del riesgo operativo; as como para establecer o
modificar polticas, procesos, procedimientos, entre otros.
CLUSULA 8. MEJORAR EL SGSI

Refiere a la necesidad de realizar una mejora continua para aumentar la
probabilidad de incrementar la satisfaccin de las partes interesadas.
Para realizar el proceso de mejora continua del SGSI, es necesario definir los
mecanismos para monitorear y evaluar los cambios significativos y la exposicin a
riesgos, disear las polticas y el proceso de administracin del riesgo operativo; y
monitorear y evaluar los cambios significativos y la exposicin a riesgos
provenientes de los procesos, las personas, la tecnologa de informacin y los
eventos externos.
73
2.1.2 EJEMPLO DE APLICACIN RESUMIDA DE GUIA METODOLGICA

PARA ANLISIS, EVALUACIN, Y TRATAMIENTO DEL RIESGO EN
CAC
En el siguiente ejemplo, se va desde la identificacin de activos, y se llega hasta
el establecimiento de los controles para el tratamiento del riesgo al que estn
expuestos.
Para una Cooperativa de Ahorro y Crdito, los activos de informacin entre
muchos otros podran ser: Bases de Datos, Equipo de cmputo, Lnea dedicada,
Internet, Servidor de archivos, Servidor de BD, Copias de respaldo, Switchers,
Routers, Mdem, Lneas Telefnicas, Central telefnica, Disco duro, cmaras,
telfonos. para este ejemplo especfico, se han considerado tres: bases de datos
de ahorro cliente , servidor de bases de datos, copias de respaldo.
El proceso metodolgico que se desarrolla a continuacin es el siguiente:
Para iniciar el proceso, se identifica y
se tasa a los activos de informacin;
reconociendo en unos casos y asignndoles en otros,
sus correspondientes
custodios y propietarios. Luego, se determina las amenazas y su posibilidad de

ocurrencia; de manera seguida se identifica las vulnerabilidades y la posibilidad
de que sean explotadas por cada amenaza.
El valor total del riesgo se determina en funcin del valor del activo de
informacin, y del valor ms alto de la posibilidad de que una amenaza explote a
una vulnerabilidad. Una vez evaluado el riesgo, es posible determinar la prioridad
con que debe ser tratado el riesgo, se elaboran planes para el tratamiento de los
riesgos, y finalmente se aplican los controles respectivos a cada uno de los
planes.
En las Tablas 2.1, 2.2, y 2.3, se presenta el procedimiento metodolgico indicado,
con sus respectivos clculos. Dado que la Norma ISO 27001 est enfocada hacia
procesos, es imprescindible que las operaciones de la Cooperativa de Ahorro y
Crdito se encuentren establecidas por procesos.
74
VALOR
DEL
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
PROPIETARIOS
ACTIVO
ACTIVOS DE
INFORMACIN
BD
AHORRO
CLIENTE
SERVIDOR DE BD
COPIAS
RESPALDO
DE
SISTEMAS
SISTEMAS
SISTEMAS
TABLA 2.1 Tasacin de activos de informacin y sus propietarios

En este ejemplo, siguiendo la metodologa establecida, la confidencialidad, la integridad y la disponibilidad, han sido evaluados
de 1 a 5, dependiendo del activo de informacin, y su trascendencia para la organizacin. El valor del activo se obtiene
promediando y aproximando a nmero entero, los valores de confidencialidad, integridad, y disponibilidad. As, el valor del activo
de informacin denominado BD- Ahorro Cliente (base de datos de ahorros de los clientes), es igual a (5+5+4)/3= 4.67, con lo
cual, el valor entero aproximado es 5. Esto representa un valor muy alto para la organizacin.
Una vez determinado el activo de informacin se establece quien es el propietario del mismo, para establecer as
responsabilidades claras y definidas. Todo esto puede apreciarse en la tabla 2.1 .
Para cada activo de informacin se determinan las amenazas y la posibilidad de que ocurran en una escala de 1 a 5, de acuerdo
a la metodologa establecida. Se determinan las vulnerabilidades, y en una escala de 1 a 5 se establece la posibilidad de que
una amenaza atraviese a una vulnerabilidad.
75
ACTIVOS
DE INFORMACIN
BD
AHORRO
CLIENTE
SERVIDOR DE BD
COPIAS
RESPALDO
DE
AMENAZA
POSIBILIDAD DE
OCURRENCIA
VULNERABILIDADES
POSIBILIDAD
DE QUE AMENAZA
EXPLOTE A UNA
VULNERABILIDAD
Virus
Falta de antivirus
Dao del HD
Falla tcnica
Dao de
partes
Falla tcnica
Virus
Software
desactualizado
Dao fsico
Mal
almacenamiento
POSIBILIDAD
DE OCURRENCIA DE
AMENAZA
VALOR
TOTAL
DEL
RIESGO
20
15
12
VALOR DE
ACTIVOS
DE
RIESGOS
TABLA 2.2
Evaluacin total del riesgo de los activos de informacin
Se toma el valor ms elevado de la posibilidad de que una vulnerabilidad sea atravesada por una amenaza, y se multiplica por
el valor del activo de informacin. El valor obtenido, representa el riesgo al cual se encuentra expuesto el activo de informacin.
As, en la tabla 2.2 puede verse que la posibilidad de que el disco duro con la base de datos de ahorros de clientes se dae por
falla tcnica es igual a 4, mientras que la posibilidad de que virus afecten a la misma base de datos, es igual a 3. Por esta razn,
se toma el valor ms alto, esto es 4, y se multiplica por el valor del activo de informacin, en este caso igual a 5. La
multiplicacin de estos dos valores es igual a 20, que representa el riesgo al cual esta expuesta esta base de datos.
76
ACTIVOS
DE INFORMACIN
(en orden de prioridad)
BD AHORRO CLIENTE
ORDEN DE
PRIORIDAD
PLANES PARA TRATAMIENTO DEL RIESGO

-Elaborar una poltica de seguridad de informacin incluyendo
responsabilidades y sanciones.
-Realizar un plan de mantenimiento de equipos computacionales y

una revisin peridica del cableado elctrico.
COPIAS DE RESPALDO
A.8.1.1
A.8.2.3
1
-Elaborar un programa detallado de capacitacin para crear
conciencia sobre la importancia de la seguridad de la informacin.
SERVIDOR DE BD
CONTROLES
-Capacitar a los usuarios de los SI sobre sus responsabilidades en el

cuidado de los equipos y su informacin; y establecer
responsabilidades para ello.
Elaborar planes para
informacin.
verificar peridicamente respaldos de
A.8.2.2
A.6.1.3
A.9.2.3
A.9.2.4
A.10.4.1
A.8.2.3
A.10.5.1
TABLA 2.3
Priorizacin, planes para tratamiento del riesgo y controles
Una vez evaluado el riesgo para cada activo de informacin, se establece el orden de prioridad, se analizan las opciones para el
tratamiento del riesgo, y se elaboran planes. Del Anexo A (normativo) de la norma ISO 27001, se seleccionan los controles y los
objetivos de control a aplicarse en cada uno de los planes para el tratamiento del riesgo.
Esto puede verse en la tabla 2.3.
77
2.2
GESTIN PARA LA CONTINUIDAD DEL NEGOCIO
Al analizar la NATURALEZA DEL PLAN DE GESTIN DE CONTINUIDAD DEL

NEGOCIO, se establece que No sirven de mucho los planes estratgicos, ni los
modelos de investigacin de mercados, ni los sistemas de aseguramiento de
calidad, si no se tiene una metodologa implantada que asegure a la cadena de
suministros continuidad en el funcionamiento si un desastre se presentara (Ph.D
Alberto Alexander, 2007)
Las empresas no slo son vulnerables al impacto de calamidades, sino de
pequeos eventos que pueden interrumpir las actividades de la firma. Diversos
factores, tales como: a) incremento en la dependencia tecnolgica y b) las
presiones de "velocidad del mercado", han hecho a las empresas sumamente
sensibles a catstrofes o eventos menores que generan perturbacin en sus
operaciones. Eventos sencillos pero con efecto calamitoso en la empresa, tales
como: cortes en el fluido elctrico, fallas en el sistema de tecnologa de
informacin (TI), defectos en equipos de operaciones, materia prima contaminada,
errores en el sistema de comunicacin y virus en las computadoras
(Ph.D.
Alberto Alexander, 2007)

Los sismos, los terremotos, los incendios, los atentados, los asaltos a mano
armada, son ejemplos de sucesos o eventos que pudieran ser catastrficos para
la organizacin.
El Plan de Continuidad del Negocio debe ser considerado en cinco fases

secuenciales (Ph.D. Alberto Alexander, 2007), distribuidas en actividades:
-
Gestionar el riesgo
Analizar el Impacto al Negocio
Desarrollar estrategias para el plan de continuidad del negocio
Desarrollar el plan de reanudacin de operaciones
Ensayar el plan de continuidad de negocio
78
entregables
FASE I
Gestionar el
Riesgo
entregables
Impacto al Negocio
Procesos crticos,
operacionales y
financieros
Requerimientos de
recuperacin
FASE IV
Desarrollar
un Plan de
Continuidad del Negocio
Riesgo y Controles
Amenazas, exposiciones, niveles de riesgo y
controles.
FASE III
FASE II
Analizar el impacto
al negocio
Estrategia de Continuidad
Recursos crticos,
opciones, servicios y
mtodos de recuperacin
entregables
Desarrollar el plan
de reanudacin de
operaciones
Plan de Continuidad
del Negocio
Documentado
FASE V
Ensayar el Plan de
Continuidad de
Negocio
entregables
Plan de Continuidad
del Negocio
Validado
FIGURA 2.8 Fases para el plan de continuidad

ELABORADO POR
Ing. Mantilla Anbal
26
2.2.1 FASE I: GESTIONAR EL RIESGO

Las actividades de la gestin del riesgo evalan las amenazas de un desastre,
pormenorizan las vulnerabilidades existentes, los potenciales impactos de un
desastre, identifican e implementan los controles necesarios para prevenir o
reducir los riesgos de un desastre y terminan identificando escenarios de
amenazas para aquellos procesos considerados esenciales en el BIA.
Un programa de PCN no slo debe atender la recuperacin de las instalaciones
frente a un desastre, sino tambin contemplar las acciones preventivas a que
haya lugar. Para este propsito, en todo programa de PCN, se debe efectuar con
regularidad un clculo del riesgo que no slo contemple la identificacin de
amenazas significativas que afecten las operaciones de la empresa, las
vulnerabilidades y el grado de exposicin al riesgo, sino que igualmente es
26
79
necesario identificar los controles a instaurar para minimizar el dao del impacto
de un posible desastre en la empresa.
En la metodologa del PCN, un resultado esperado del clculo del riesgo es
determinar los distintos escenarios de amenazas que pueden presentarse a los
procesos esenciales de la empresa, los cuales se usarn para elaborar las
estrategias de continuidad y desarrollo de los planes de reanudacin de
operaciones.
Los objetivos de esta fase son los siguientes:

A)
Identificar
las
distintas
amenazas
que
podran
impedir
el
normal
desenvolvimiento de las operaciones en la empresa.

B)
Identificar la vulnerabilidad organizacional, es decir de la Cooperativa de

Ahorro y Crdito, en relacin a cada amenaza y determinacin de qu tan
severamente podran afectarse las operaciones en la empresa.
C)
Revisar los controles actuales para reducir el riesgo o mitigar las prdidas.
D)
Evaluar el nivel de exposicin al riesgo.
E)
Determinar los escenarios de amenazas para los cuales se deben

desarrollar las estrategias de continuidad y los planes respectivos.
Identificar las
Amenazas
Identificar las
Vulnerabilidades
Revisar los Controles

Actuales y Mitigar el
Riesgo
Calcular el Nivel de
Exposicin al Riesgo
Determinar los
Escenarios de
Amenazas
FIGURA 2.9
Metodologa para el clculo del riesgo 27
ELABORADO POR
Ing. Mantilla Anbal
27
80
A.
IDENTIFICAR LAS AMENAZAS
Las amenazas que se desea identificar son aquellas que afectan los activos de
las funciones organizacionales. El mtodo recomendado para buscar las
amenazas tiene dos etapas:
Anlisis general de amenazas. Aqu se revisan las distintas potenciales
amenazas que pueden afectar la organizacin. Uno de los objetivos de esta etapa
es identificar las exposiciones especficas que puedan requerir medidas
protectoras y as minimizar la probabilidad de que las amenazas pudiesen causar
dao a la organizacin. Este anlisis es conducido en las instalaciones de la
empresa y puede usualmente atender los aspectos siguientes: ubicacin de
instalaciones, seguridad interna y externa, ambiente fsico, proteccin de activos,
proteccin del personal, proteccin de informacin y anlisis de la cobertura de
plizas.
Anlisis de procesos esenciales. Aqu, en esta investigacin se hace especial
hincapi en las interrupciones a las que los procesos esenciales estn expuestos
por la prdida de recursos bsicos, tales como: instalaciones, sistemas de
cmputo, registros vitales, sistemas telefnicos, personal clave, conectividad de la
red, equipo especializado, materias primas y material de empaque. En este nivel
de anlisis el objetivo es identificar las funciones organizacionales que tienen la
mayor exposicin a la interrupcin, y poder identificar los recursos de los que
dependen las funciones organizacionales.
A cada amenaza identificada se le deben calcular su posibilidad de ocurrencia y el

impacto econmico que pudiese ocasionar en la organizacin. En esta etapa la
empresa debe tomar decisiones sobre las opciones de tratamiento del riesgo.
Decidir cules amenazas se reducirn con controles, cules se aceptarn y se
decidir vivir con ellas, cules se transferirn (por ejemplo, a una aseguradora.) y
cules se evitarn.
81
B.
IDENTIFICAR LAS VULNERABILIDADES
Por cada amenaza identificada en el paso anterior se deben identificar sus

vulnerabilidades. Es fundamental recalcar que una vulnerabilidad no causa dao;
simplemente es una condicin o conjunto de condiciones que pueden hacer que
una amenaza afecte un activo. Una vez identificadas las distintas vulnerabilidades
por cada amenaza, se debe hallar el grado en que la amenaza puede explotar
cada vulnerabilidad.
Disminuye la vulnerabilidad, el hecho de mantener los sistemas de comunicacin
y redundancia que permitan garantizar la continuidad de sus servicios; adems de
contar con Informacin de respaldo y procedimientos de restauracin en una
ubicacin remota, a una distancia adecuada que garantice su disponibilidad ante
eventos de desastre en el centro principal de procesamiento.
C.
REVISAR LOS CONTROLES ACTUALES
Al haber identificado las distintas amenazas y las respectivas vulnerabilidades

organizacionales, en esta etapa se deben analizar con la debida profundidad las
distintas salvaguardas existentes en la empresa. Si una amenaza explota una
vulnerabilidad podra generarse un desastre. Deberan existir Controles para
minimizar riesgos potenciales de equipos de computacin ante eventos
imprevistos, tales como: fallas, daos o insuficiencia de los recursos de tecnologa
de informacin; robo; incendio; humo; inundaciones; polvo; interrupciones en el
fluido elctrico, desastres naturales; entre otros. Adems, deberan estar
operando polticas y procedimientos de respaldo de informacin peridicos, que
aseguren al menos que la informacin critica pueda ser recuperada en caso de
falla de la tecnologa de informacin o con posterioridad a un evento inesperado;.
D.
EVALUAR EL NIVEL DE EXPOSICIN AL RIESGO
Una vez detectadas las amenazas, la dependencia de recursos de cada funcin

organizacional y sus vulnerabilidades, se debe proceder a precisar el grado de
severidad de cada potencial amenaza identificada y la cobertura, la cual es el
grado de proteccin que tiene la empresa frente a una amenaza en particular. Los
niveles de severidad se estiman en una escala de cuatro puntos..
82
Se empieza con N/A = No Aplica, B = Bueno, M = Moderada y A = Alta

Los grados de cobertura que van de un rango de 0 hasta 100, clasificados en seis
categoras. Posteriormente se calcula la exposicin al riesgo.
E.
DETERMINAR LOS ESCENARIOS DE AMENAZAS
Una vez calculada la exposicin al riesgo por cada amenaza potencial y por
funciones organizacionales en la empresa, se elaboran escenarios particulares de
riesgos que la empresa pudiera tener y el dao que pudiesen causar a las
operaciones de la empresa.
Los escenarios de amenazas se clasifican desde los menos graves, que en este
caso son el escenario 1, hasta los ms complejos que son el escenario 5. Para
cada escenario identificado, se requiere elaborar, segn la metodologa del PCN,
las FASES III, IV Y V. Es decir, para cada escenario hay que desarrollar las
respectivas estrategias de continuidad del negocio, los planes de continuidad y los
ensayos respectivos para cada plan.
Los escenarios, de acuerdo a las amenazas pueden relacionarse de la manera
siguiente:
NIVEL 1
NIVEL 2
-Amenazas para
la continuidad de
uno o ms
procesos, debido
a la prdida de un
recurso nico
pero critico en
una de las
instalaciones de
la organizacin
- Una amenaza
para la
continuidad de
muchos
procesos,
debido a un
evento que
proviene
acceso a una de
las
instalaciones
de la
organizacin,
pero no daa
recursos
crticos
NIVEL 3
-Amenazas para
la continuidad de
varios procesos,
debido a un
evento que daa o
destruye un
nmero de
recursos crticos
en una de las
instalaciones de
la organizacin.
NIVEL 4
NIVEL 5
-Una amenaza
para la
continuidad de
varios procesos,
debido a un
evento que
totalmente
destruye una de
las instalaciones
de la
organizacin, y
recursos crticos.
- Una amenaza
para la
continuidad de
muchos
procesos.
-Prdida de las
instalaciones
crticas
compartidas.
-Evento que
causa dao a
ms de una
instalacin
-Prdida del
equipo
gerencial.
FIGURA 2.10
Escenarios de riesgos en la organizacin28
ELABORADO POR
Ing. Mantilla Anbal
28
Fuente:www.eficienciagerencial.com
83
Amenaza nivel 1. Aqu se identifica una amenaza para la continuacin de una o

ms funciones organizacionales en la empresa. Esta amenaza se debe a la
prdida de un recurso nico pero crtico en una de las instalaciones de la
organizacin (energa, sistemas de computacin, archivos electrnicos, personal
clave).
Amenaza nivel 2. En este escenario se identifica una amenaza para la

continuidad de muchas funciones organizacionales, debido a un evento que
previene el acceso a una de las instalaciones de la organizacin, pero no daa
ningn recurso crtico.
Amenaza nivel 3. Una amenaza para la continuidad de varias funciones

organizacionales, debido a un evento que daa o destruye un nmero de recursos
crticos en una de las instalaciones de la organizacin. Este escenario es una
combinacin de los niveles 1 y 2.
Amenaza nivel 4. Una amenaza para la continuidad de varias funciones

organizacionales en la empresa, debido a un evento que destruye totalmente una
de las instalaciones de la organizacin y sus respectivos recursos crticos. Esto
podran ser imprevistos, tales como incendios o explosiones.
Amenaza nivel 5. Una amenaza para la continuidad de muchas funciones

organizacionales e instalaciones mltiples, debido a la prdida de instalaciones
crticas compartidas (energa, telecomunicaciones, sistemas centralizados). El
evento causa dao y/o acceso restringido a ms de una instalacin en la
organizacin (sismo o terremoto, huracn, incidente ambiental). Se puede generar
prdida del equipo gerencial (accidente areo, bomba, terrorismo biolgico).
Una vez identificadas las amenazas y las respectivas vulnerabilidades

organizacionales, es fundamental establecer los respectivos controles para
fortalecer las vulnerabilidades y minimizar la posibilidad de que el desastre
penetre en la empresa y le cause dao.
84
2.2.2 FASE II: ANALIZAR EL IMPACTO AL NEGOCIO (BIA)

Consiste en identificar aquellos procesos relacionados con apoyar la misin de la
empresa, y analizar con muchos detalles los impactos en la gestin comercial del
negocio, si esos procesos fuesen interrumpidos como resultado de un desastre.
Es necesario analizar los impactos financieros y operacionales de un desastre en
la organizacin, sus reas y procesos.
Los impactos financieros se refieren a prdidas monetarias, tales como prdidas

de ventas, penalidades contractuales o degradacin de productos.
Los impactos operacionales representan prdidas no monetarias relacionadas

con las operaciones del negocio, pueden incluir la prdida de competitividad, dao
a la confidencialidad de la inversin, pobre servicio al cliente y dao a la
reputacin del negocio.
En base al Anlisis de Impacto al Negocio (BIA), es posible determinar lo

siguiente:
-
Establecer las funciones y procesos organizacionales, esenciales para la

supervivencia de la empresa. A los otros procesos no considerados slo se
les prepararn planes de recuperacin.
Calcular las consecuencias operacionales y financieras que una interrupcin

tendra en los procesos considerados clave.
Establecer los tiempos requeridos para la recuperacin.
Identificar
los
requerimientos
de
recursos
indispensables
para
el
funcionamiento de los procesos claves.

La forma metodolgica en que debera efectuarse el Anlisis de Impacto al
Negocio (Ph.D. Alberto Alexander, 2007), se indica a continuacin:
A)
Evaluar los impactos financieros
B)
Evaluar los impactos operacionales
C)
Identificar los procesos crticos
85
D)
Establecer los tiempos de recuperacin
E)
Identificar los requerimientos de recursos
F)
Generar un informe del anlisis del impacto al negocio
EVALUAR
LOS IMPACTOS
FINANCIEROS
ESTABLECER LOS
TIEMPOS DE
RECUPERACIN
EVALUAR LOS
IMPACTOS
OPERACIONALES
IDENTIFICAR
LOS PROCESOS
CRTICOS
IDENTIFICAR LOS
REQUERIMIENTOS
DE RECURSOS
GENERAR UN
INFORME DEL BIA
FIGURA 2.11
Pasos para elaborar un BIA
ELABORADO POR
Ing. Mantilla Anbal
A.
29
EVALUAR LOS IMPACTOS FINANCIEROS
En este paso deben evaluarse los impactos de una interrupcin en la

organizacin, tanto desde una perspectiva financiera como operacional.
Luego de haber identificado el impacto financiero, se debe medir el impacto en
una base de severidad, basada en el valor de la prdida monetaria. Se
recomienda utilizar la escala siguiente:
1.
Nivel de severidad 0 (impacto 0).
2.
Nivel de severidad 1 (menor impacto).
3.
Nivel de severidad 2 (impacto intermedio).
4.
Nivel de severidad 3 (impacto mayor).
B.
EVALUAR LOS IMPACTOS OPERAClONALES
Por otro lado la medicin de los impactos operacionales evala el impacto

negativo de una interrupcin, en varios aspectos de las operaciones del negocio.
29
Fuente: Gestin del Business Impact Analysis, Alexander, P:hD
86
Los impactos operacionales se pueden medir utilizando un esquema de

jerarquizacin cualitativo, tal como: bajo, mediano, alto, altsimo y ninguno.
C.
IDENTIFICAR LOS PROCESOS CRTICOS
La clasificacin financiera y operacional de los impactos provee una base para

identificar
procesos
crticos
del
negocio.
Considerando
usualmente
la
jerarquizacin financiera y operacional, un proceso es crtico si satisface los

requerimientos siguientes:
1.
Una severidad de 2 o 3 se asigna a sus impactos financieros.
2.
Una clasificacin de alta se asigna por lo menos a tres de sus impactos

operacionales.
3.
Una clasificacin de alta se asigna al menos a dos, y una clasificacin de

altsima se asigna a uno de sus aspectos operacionales.
4.
Una clasificacin de altsima se asigna por lo menos a dos de sus impactos

operacionales.
D.
ESTABLECER LOS TIEMPOS DE RECUPERACIN
Los requerimientos de los tiempos de recuperacin consisten en una serie de

componentes que tienen que ver con el tiempo disponible para recuperarse de
una alteracin.
Tiempo mximo tolerable sin operacin (Maximun Tolerable DowntimeMTD). Consiste en el espacio de tiempo durante el cual un proceso puede estar
inoperante hasta que la empresa empiece a tener prdidas y colapse.
Tiempo objetivo de recuperacin (Recovery Time Objetive - RTO). Est

asociado con la recuperacin de recursos, tales como sistemas de computacin,
equipos de manufactura e infraestructura fsica. El RTO es el tiempo transcurrido
entre una interrupcin y la recuperacin. Indica el tiempo disponible para
recuperar sistemas y recursos interrumpidos. Es importante enfatizar que jams el
RTO podra ser superior al MTD.
87
Punto objetivo de recuperacin (Recovery Point Objetive - RPO). Este tiempo

est relacionado con la tolerancia que la empresa puede tener, sobre la prdida
de datos, medidos en trminos del tiempo entre el ltimo respaldo de datos y el
evento del desastre.
Tiempo de recuperacin de trabajo (Work Recovery Time - WRT). Se calcula
como el tiempo entre la recuperacin del sistema y la normalizacin del
procesamiento. Es el tiempo invertido en buscar datos perdidos y realizar
reparaciones. El WRT es el tiempo requerido para completar el trabajo
interrumpido a fin de volverlo a la normalidad.
MTD
RTO
RPO
Datos
perdidos
WRT
Procesar
amontona
miento de
trabajo
Recuperara
amontona
miento de
trabajo
Recuperara
datos
perdidos
Recuperacin manual
de datos
Recolectar datos
manualmente
Procedimientos
normales
Procedimientos normales y manuales

Sistemas
recursos
inexistentes.
Procedimiento
manual
Procedimientos
manuales de
emergencia
ULTIMO
BACKUP
EVENTO
ALTERADOR
SISTEMAS Y
RECURSOS
RECUPERADOS
INICIO DE
PROCESAMIENTO
FIGURA 2.12
Tiempos para la recuperacin ante un desastre 30
ELABORADO POR
Ing. Mantilla Anbal
E.
IDENTIFICAR LOS REQUERIMIENTOS DE RECURSOS
Un sistema de tecnologa de informacin o una aplicacin se considera vital si

apoya un proceso crtico del negocio. Este paso identifica sistemas crticos de
tecnologa de informacin y aplicaciones que apoyan los procesos identificados
en el literal (D).
30
Fuente: www.eficienciagerencial.com
88
F.
GENERAR UN INFORME DEL ANLISIS DEL IMPACTO AL NEGOCIO
Los resultados de los pasos que han precedido se resumen en esta fase para
convertirlos en una gua para el BIA.
2.2.3 FASE III: DESARROLLAR ESTRATEGAS
PARA EL PLAN DE
CONTINUIDAD
Aqu se evalan los requerimientos y se identifican las opciones para la
recuperacin de procesos crticos y sus recursos, en el escenario en que fuesen
interrumpidos por un desastre.
Por cada escenario de amenazas se elaboran estrategias que contemplen los
escenarios de amenazas identificados.
El propsito de esta fase del proceso BCP es desarrollar estrategias de
continuidad del negocio, que satisfagan los requerimientos de recuperacin
identificados en la etapa del BIA, y en los escenarios de amenazas.
El diseo de una estrategia de continuidad consiste de cuatro fases secuenciales:
Fase A: Identificacin de requerimientos de la recuperacin.

Determina los requerimientos de recuperacin para ser atendidos por la
estrategia del plan de continuidad.
Fase B: Identificacin de opciones de la recuperacin.

Busca identificar posibles opciones como soluciones a los requerimientos de
recuperacin.
Fase C: Evaluacin de disponibilidad del tiempo.

Elimina
aquellas
opciones
que
no
cumplen
aquellos
tiempos
de
recuperacin identificados en el BIA.
Fase D: Evaluacin de los costos.

Con las opciones que quedan, evala los costos y las potencialidades para
seleccionar las opciones ms viables y eficaces.
89
Identificar requerimientos de identificacin
Identificar reas de
trabajo
requeridas
centro de comando
Identificar sistemas de
TI requeridos
Identificar requerimientos
de produccin, equipos,
alternativas de
produccin
Requerimientos de
datos vitales,
documentos y
registros
Identificar opciones de recuperacin
reas de trabajo
Sistemas de TI
Produccin
Documentos
Evaluar disponibilidad de opciones
Evaluar opciones de
recuperacin
Seleccionar opciones
de recuperacin
Documentar
estrategias de
continuidad
FIGURA 2.13
Desarrollo de una estrategia de continuidad31
ELABORADO POR
Ing. Mantilla Anbal
2.2.4 FASE
IV:
DESARROLLAR
EL
PLAN
DE
REANUDACIN
DE
OPERACIONES
Basado en las fases previas, se establece los procedimientos y lineamientos
concretos para la recuperacin y el restablecimiento de los recursos daados, y
los procesos cuyo desempeo se ha interrumpido.
El objetivo del plan de reanudacin de operaciones es la recuperacin de
procesos crticos en un determinado tiempo.
Un plan de reanudacin de operaciones son una serie de actividades
31
90
documentadas, que pudiesen requerir desempearan los grupos de continuidad

del negocio, como respuesta a la aparicin de un escenario de amenazas. El plan
de reanudacin de operaciones lleva a cabo las estrategias de continuidad. Una
clsica estructura de equipos consiste en los tipos siguientes:
Grupo comando. Est encargado de dirigir el plan de reanudacin de
operaciones.
Grupo de respuesta. El conjunto de individuos, usualmente personas
relacionadas con las instalaciones y del rea de seguridad, que se activa de
inmediato si ocurriese una emergencia.
Grupo departamental. Es el conjunto de individuos, usualmente gerentes de
primera lnea, que pueden ser activados por el grupo comando para coordinar
actividades de un departamento operativo especfico despus del incidente.
Grupo de tecnologa de informacin.
Es un conjunto de especialistas en
tecnologa de informacin que pueden ser activados por el grupo comando para
restablecer la infraestructura tecnolgica, los sistemas de computacin o los datos
electrnicos.
Grupo de apoyo. Es un conjunto especializado que puede ser activado por el
grupo comando para ayudar a gestionar las variadas actividades que demanda el
incidente.
La estructura del equipo para la continuidad del negocio es lo que har que los
planes funcionen o no. No existe una estructura estandarizada de equipos. El
establecimiento de una estructura que sea la correcta para la organizacin es
vital.
Los factores que deben tomarse en cuenta, al estructurar los equipos, son los
siguientes:
-
Tamao de la organizacin,
Ubicacin de las instalaciones y unidades operativas,
Estructura organizacional,
Cultura organizacional,
91
Escenarios potenciales de amenazas,
Estrategias de continuidad,
Complejidad de los planes de continuidad del negocio,
Conocimiento especializado requerido.
RESPUESTA
INICIAL Y
EVALUACIN
MEDIDAS DE
CONTINGENCIA
PROVISIONALES
APROVISIONAMIENTO
DE
RECURSOS
REANUDACIN
DE
OPERACIONES
RECONSTITUCIN
FIGURA 2.14 Fases para el Plan de Reanudacin de Operaciones

ELABORADO POR
Ing. Mantilla Anbal
2.2.5 FASE V: ENSAYAR EL PLAN DE CONTINUIDAD DE NEGOCIOS

En esta fase se efecta el ensayo del plan, con miras a poder determinar su grado
de precisin y actualizacin. El valor de esta fase es ensayar el plan de
reanudacin de operaciones para que pueda considerarse aceptable.
La fase del ensayo tiene dos objetivos fundamentales:
A)
Verificar si el plan de reanudacin de operaciones es adecuado y confiable

para la recuperacin del negocio dentro de un tiempo prudencial.
B)
Identificar debilidades y brechas que pudiesen existir en el plan de

reanudacin de operaciones.
Los tipos de ensayos ms utilizados son los siguientes:

A)
Lista de chequeo. Es el ensayo ms bsico. Revisa el plan de reanudacin

de operaciones y chequea la disponibilidad y adecuacin de la informacin y
recursos requeridos para la ejecucin del plan.
B)
Paseo de revisin. ste es un mtodo no costoso. Se realiza usualmente

previo a la conduccin de un ensayo de simulacin. Los equipos se renen y
92
verbalmente describen las actividades, los procedimientos y tareas que

seguiran dado un desastre.
C)
Simulacin. En este ensayo se simula un tipo de alteracin mediante un

escenario de desastre. Permite a los equipos practicar la ejecucin del plan
de reanudacin de operaciones y poder validar una o ms partes del plan.
D)
Interrupcin completa. Este ensayo activa todos los componentes del plan
de reanudacin de operaciones. Este ensayo parte del hecho de que todos
los procesos esenciales se han alterado.
93
2.2.6 EJEMPLO DE APLICACIN RESUMIDA DE GUA METODOLGICA

PARA GESTIONAR EL RIESGO A TRAVES DE UN PLAN DE
CONTINUIDAD DEL NEGOCIO EN CAC
Dada la importancia que tiene el BCP, para que una organizacin pueda
recuperarse rpidamente y continuar operando, cuando sus operaciones han sido
gravemente alteradas por causas de desastres, el Sistema de Gestin de
Seguridad de la Informacin basada en la norma ISO 27001, lo enmarca
especficamente en el rea de control Gestin de la Continuidad del Negocio,
correspondiente al control A.14. Para alcanzar la certificacin con esta norma,
este control es obligatorio; debiendo ser confiable, ensayado y mantenido en el
tiempo.
A continuacin se presenta en un ejemplo, de manera resumida el proceso de
elaboracin de un Plan para la Continuidad del Negocio. En este ejemplo, se
presentan, para una Cooperativa de Ahorro y Crdito: la Gestin de Riesgos
(amenazas, nivel de severidad, exposicin - escenario de riesgos), Anlisis del
Impacto
al
Negocio
(funciones,
procesos,
impacto
financiero,
impacto
operacional, tiempos de recuperacin, requerimientos para recuperacin), y

Desarrollo de Estrategias para el Plan de Continuidad de Negocio
(estrategias de continuidad, opciones, recursos crticos).
En la siguiente tabla se muestra la forma de calcular a exposicin al riesgo, en

funcin del nivel de severidad de cada amenaza potencial identificada y la
cobertura de la seguridad de la Cooperativa a cada una de ellas.
NIVELES DE SEVERIDAD
Escala
Representacin
No
aplica
Valor
----------
EXPOSICIN AL RIESGO
Baja
Moderada
Alta
10
50
100
Nivel de severidad
cobertura)
TABLA 2.4
Metodologa para el clculo de exposicin al riesgo
ELABORADO POR
Ing. Mantilla Anbal
(100%
94
94
SEVERIDAD
AMENAZAS
POTENCIALES
PRDIDA DE
FINANCIERO
N/A
20 - 39
40 - 59
60 - 79
80 - 99
PRDIDA DE ENTREGA DE
CORREO
SISTEMA
0 -19
SERVICIOS
PRDIDA
DE
TELEFNICO
INFORME
PRDIDA DE SERVICIO DE
FAX
PRDIDA DE
GENERALES
COBERTURA (EN %)
2000
400
100
EXPOSICIN
AL RIESGO
3000
1000
2000
TABLA 2.5
Clculo de exposicin al riesgo ante amenazas potenciales
ELABORADO POR
Ing. Mantilla Anbal
En la tabla 2.5, primero se determina el nivel de severidad en base a una escala de cuatro niveles, esto es N/A= no aplica, B=
Baja, M= Moderada, A= Alta; con sus correspondientes valores, como se indic en la tabla 2.4. De forma seguida se encuentran
los grados de cobertura de la seguridad, clasificados en seis categoras, y luego se calcula la exposicin al riesgo en base a la
ecuacin presentada en la tabla 2.4. Para el caso de este ejemplo, el nivel de severidad de perder la entrega de correo es 50
(nivel de severidad moderado), una cobertura entre 80 y 99. Se escoge siempre el valor ms bajo, esto es 80, y se determina la
exposicin al riesgo, multiplicando 50 con (100 - 80), el resultado obtenido es 50*20=1000, que es la medida de exposicin a
este riesgo.
95
EXPOSICION AL RIESGO
Prdida de sistema telefnico
Prdida de entrega de Correo
Prdida de servicios generales
Prdida de servicio de fax
Prdida de Informe Financiero
500
1000
1500
2000
2500
3000
3500
FIGURA 2.15 Exposicin a riesgos

ELABORADO POR
Ing. Mantilla Anbal
En la figura 2.15, una vez calculada la exposicin al riesgo, se presenta de forma comparativa el valor que este alcanz, para
cada amenaza potencial. En base a estos clculos y a los datos de la figura 2.10, se determinan los escenarios de riesgo en los
que pudiera encontrarse la organizacin.
96
FUNCIN DEL NEGOCIO
Crditos
Marketing
MAGNITUD DE PRDIDA
FINANCIERA DIARIA (en USD)
NIVEL DE
SEVERIDAD
Generacin de solicitudes
700
Informe de datos del socio
10000
Promocin de productos
5000
Manejo problemas del cliente
15000
Proceso de solicitudes
30000
PROCESO DEL NEGOCIO
Servicio al cliente
TABLA 2.6 Funciones del negocio, procesos e ilustracin de impacto financiero y nivel de severidad
En el proceso de Anlisis del Impacto al Negocio, es necesario identificar las funciones y los procesos que son utilizadas para
apoyar la misin, las metas y los objetivos donde se encuentra el alcance del Sistema de Gestin de Seguridad de la
Informacin. Estas funciones y procesos son el aspecto fundamental para el Anlisis y Desarrollo del BIA. Una vez determinado
el Impacto financiero, se mide dicho impacto en una base de severidad, basada en el valor de la prdida monetaria. La escala
utilizada es la siguiente: Nivel de severidad 0 (impacto 0), Nivel de severidad 1 (menor impacto), Nivel de severidad 2 (impacto
intermedio), Nivel de severidad 3 (impacto mayor). En este ejemplo de aplicacin resumida de metodologa para gestionar el
riesgo a travs de un Plan de Continuidad del Negocio en CAC, se presenta en la tabla 2.6, dichas funciones y procesos, con su
correspondiente magnitud de prdida (impacto financiero) y nivel de severidad.
97
NEGOCIO
FUNCION
JERARQUIZACION DE IMPACTOS OPERACIONALES

Flujo caja
Confianza
inversin
Participacin
mercado
Competitividad
Satisfaccin
cliente
Alto
Alto
Altsimo
Alto
Ninguno
Ninguno
Alto
Alto
Mediano
Ninguno
Promocin de productos
Mediano
Bajo
Alto
Mediano
Bajo
Bajo
Alto
Alto
Altsimo
Mediano
Mediano
Alto
Bajo
Mediano
Mediano
PROCESO
Crditos
Marketing
Manejo problemas del cliente

Servicio al cliente
Proceso de solicitudes
TABLA 2.7
Ilustracin de impactos operacionales
En la tabla 2.7 se muestra como se mide los Impactos Operacionales, utilizando un esquema de jerarquizacin cualitativa, en
este caso: ninguno, bajo, mediano, alto, altsimo. Con la medicin del Impacto operacional, es posible evaluar el impacto
negativo de una interrupcin, en varios aspectos de las operaciones de la organizacin. Una vez identificados los impactos
financieros y operacionales, se puede con mayor facilidad identificar los procesos crticos del negocio, en funcin de la
severidad y la jerarquizacin del impacto.
98
FUNCIONES CRTICAS
DEL NEGOCIO
PROCESOS CRTICOS
DEL NEGOCIO
MTD
(En das)
PRIORIDAD DE
RECUPERACIN
Sistema de informacin cliente

Sistema entrada de solicitud
Aplicaciones e- mail
Sistema de informacin cliente

Aplicaciones e- mail
Manejo
cliente

Gestin sistema inventario
Sistema cobranza clientes
Crditos
Servicio al cliente
problemas
del
SISTEMAS DE TI
APLICACIONES
CRTICOS
TABLA 2.8
Procesos crticos de negocio, prioridad de recuperacin, sistemas crticos de TI y aplicaciones
En esta tabla se presentan las funciones y procesos crticos del negocio, el MTD (tiempo mximo de inactividad para la CAC sin
colapsar), las prioridades de recuperacin, y los recursos de TI crticos, que se requiere para Gestionar el Riesgo con el Plan de
Continuidad del Negocio.
99
En la tabla 2.9 se presenta el RTO (tiempo disponible para recuperar el sistema y

los recursos que han sufrido alteracin) y el WRT (tiempo disponible para
recuperar datos perdidos una vez que los sistemas estn reparados). Como
puede verse en comparacin con la tabla 2.8, la suma entre el RTO y WRT debe
ser siempre menor o igual al MTD.
FUNCION
CRTICA
DEL
NEGOCIO
Crditos
PROCESO CRITICO
DEL NEGOCIO
APLICACIONES
CRITICAS DEL SISTEMA
A TECNOLOGA
INFORMTICA
RTO
(en das)
WRT
(en Das)
- Sistema de informacin
cliente
-Sistema
entrada
de
solicitud
- Aplicaciones e- mail
2,5
0,5
TABLA 2.9
Valores RTO y WRT para el proceso de generacin de ordenes
Una vez determinado los requerimientos de recursos de TI crticos, se establece

todos los recursos que no son de tecnologa informtica, pero que son
fundamentales para los procesos crticos del negocio.
FUNCIONES CRTICAS
DEL NEGOCIO
Crdito
PROCESOS CRITICOS
DEL NEGOCIO
TIPO DE
RECURSO
DETALLES DE
RECURSOS
Maquinara
Equipos
Mquina
escribir
Copiadora
Archivadores
de
Materia prima
Hojas
formularios
Pegamentos
Carpetas
de
TABLA 2.10
Recursos crticos de manufactura y produccin
100
2.3 DOCUMENTACION DEL SGSI

En esta seccin, se presenta una gua para elaborar adecuadamente el Manual
de Seguridad de la Organizacin. Cuando se va a iniciar el proceso de
documentacin del ISO 27001, en una empresa determinada, los grupos
responsables del proyecto, deben saber que es lo que se debe documentar, y
efectuarlo de una manera adecuada. La trascendencia que tiene est gua, radica
en la gran cantidad de documentos y debidamente elaborados, que requiere la
ISO 27001; estos requerimientos se presentan en los anexos.
2.3.1 PIRMIDE DOCUMENTAL DEL ISO 27001:2005

En la siguiente figura, pueden verse los diferentes componentes, y la interrelacin
entre ellos.
A)
Nivel I - Manual de seguridad
B)
Nivel II - Procedimientos
C)
Nivel III - Instrucciones de trabajo
D)
Nivel IV - Documentos
Manual de
seguridad
Procedimiento
Instrucciones
Registros
FIGURA 2.16 Pirmide documental del SGSI 32

ELABORADO POR
Ing. Mantilla Anbal
32
101
A.
NIVEL I - MANUAL DE SEGURIDAD
el Manual de Seguridad de Informacin no es un requisito del modelo. No existe

clusula que lo exija, pero tenerlo organiza la documentacin, facilita la auditora y
agrupa la documentacin considerada por el modelo ISO 27001:2005 como vital.
Los aspectos bsicos que un manual de seguridad debiera tener son:
-
Enunciados de la poltica del SGSI
Alcance del SGSI
Procedimientos y controles de soporte
Descripcin de la metodologa de evaluacin del riesgo
Reporte de evaluacin del riesgo
Plan de tratamiento del riesgo
Declaracin de aplicabilidad
B.
NIVEL II - PROCEDIMIENTOS
De acuerdo al ISO 9000, un procedimiento es una manera especfica de

desempear una actividad.
En el ISO 27001:2005, los procedimientos son requeridos en una serie de
clusulas. Cuando en el proceso de "opciones para el tratamiento del riesgo" se
decide por la reduccin del riesgo, la empresa debe acudir a escoger controles del
Anexo A. Se debe por cada control escogido, documentar su procedimiento.
C.
NIVEL III - INSTRUCCIONES DE TRABAJO
Una instruccin de trabajo es la "informacin que explica en detalle cmo se

efecta una operacin concreta". Es comn utilizar flujogramas. La utilizacin de
instrucciones de trabajo depende directamente de la experiencia y el nivel de
entrenamiento por parte del ejecutor de las tareas.
D.
NIVEL IV - DOCUMENTOS
Este nivel de la pirmide agrupa tanto los registros como los documentos
utilizados en un SGSI.
102
La seccin 4.3.3 de la clusula 4 de la norma dice que se deben establecer y

mantener registros para proporcionar evidencia de conformidad con los
requerimientos y la operacin efectiva del SGSI.
El ISO 27001:2005 tiene que utilizarse tambin para desenredar la complejidad
incremental que usualmente se ha ido desarrollando en los sistemas
organizacionales,
generando altos costos por la mala calidad de su
funcionamiento.
2.3.2 GUIA PARA DOCUMENTAR EL SGSI

La metodologa sugerida consta de los siguientes pasos:
A)
Identificar procedimientos a documentar
B)
Definir el formato del procedimiento
C)
Identificar actores del procedimiento
D)
Levantar y validar el flujograma
E)
Redactar toda la informacin del flujograma
F)
Identificar, redactar y validar instrucciones de trabajo
G)
Identificar los registros requeridos
H)
Identificar los documentos de seguridad de informacin
A. DENTIFICAR PROCEDIMIENTOS A DOCUMENTAR
Al iniciar un proyecto de documentacin del ISO 27001:2005, es importante

visualizar todas las actividades que se tendrn que documentar y ordenadas de
acuerdo con la naturaleza de las clusulas del modelo. Se debe identificar todos
los procedimientos que se van a documentar y ponerlos en un diagrama Gantt
para planificar su realizacin.
B. DEFINIR EL FORMATO DEL PROCEDIMIENTO
No existe un modelo en particular que se debe seguir para documentar los

procedimientos. El ISO 9000 define que "un procedimiento es una manera
especfica de desempear una actividad".
103
Un formato para organizar la informacin del procedimiento tiene, en base a la

prctica internacional y las empresas certificadoras, seis aspectos (Alexander,
2007), estos son:
Propsito. El propsito es la razn de ser del procedimiento. Se debe definir para
qu se crea el procedimiento.
Alcance. Aqu se debe definir la amplitud que tiene el procedimiento. Se debe
especificar desde dnde se inicia hasta dnde concluye dicho procedimiento.

Procedimiento. Se deben pormenorizar cada uno de los actores que intervienen
en el procedimiento, as como las actividades que realizan. Aqu se explica a cada
"quin hace qu" y "cundo".
Referencias. En este punto, se deben especificar aquellos documentos que se
consideran fuentes de consulta o medios de clarificacin de algn punto del

procedimiento, los cuales no pertenecen al sistema de calidad.
Definiciones. Es necesario explicar algn trmino que resulte ajeno para los
lectores, o para quienes conforman algn grupo o un comit en particular que

participe en el procedimiento.
Documentos. Este punto incluye todo documento controlado que incida en el
procedimiento que se est elaborando.
C. DENTIFICAR ACTORES DEL PROCEDIMIENTO
Los actores deben participar en el diseo del procedimiento y ser identificados

estratgicamente. Un flujograma ayuda a determinar exactamente quienes son
los actores del procedimiento. La idea es llegar a tener una representacin de un
modelo que pudiera ser normativo.
D. LEVANTAR Y VALIDAR EL FLUJOGRAMA
El flujograma permite disear estratgicamente el futuro procedimiento con las

caractersticas particulares de rapidez que se desean, pocos actores y actividades
y documentos que den valor agregado.
104
El propsito es crear un flujograma normativo, que d valor agregado, que

aumente la productividad y reduzca el tiempo del ciclo. El flujograma no es un
documento controlado, nicamente es una herramienta grfica para elaborar el
procedimiento. La norma no exige un flujograma.
Es fundamental, validar el flujograma por cada proceso que va siendo analizado y
graficado, de no hacerlo, una vez documentado todo el procedimiento, pueden
aparecer personas que no estn de acuerdo con el resultado final.
E. REDACTAR TODA LA INFORMACION DEL FLUJOGRAMA
Se debe, de una manera sencilla, de fcil lectura y presentada amigablemente,

transcribir toda la informacin que efectan los actores descritos en el flujograma;
as, se permite a los lectores entender fcilmente la secuencia de las actividades
comprendidas en el procedimiento y detallar con precisin quin es responsable
de ejecutar las tareas. Una vez ms, es fundamental la validacin del
procedimiento, as incluso, se refuerza el hecho de que se involucren los actores
del procedimiento.
F. IDENTIFICAR, REDACTAR Y VALIDAR INSTRUCCIONES DE TRABAJO
Con los actores involucrados, hay que identificar si se necesitan instrucciones de

trabajo.
Para hacer la redaccin de las instrucciones de trabajo, es requisito fundamental
que el usuario del documento participe en su elaboracin. Se le debe entrevistar,
observar en el trabajo, de ser necesario, realizar uno mismo la tarea, para as
concluir con una informacin.
La validacin de las instrucciones de trabajo, una vez que se obtenga la versin
final, no es solamente asegurarse de la transparencia del proceso, sino
cerciorarse de que el usuario la entiende y la utiliza.
G. IDENTIFICAR LOS REGISTROS REQUERIDOS
Una vez concluida la labor de desarrollar el procedimiento, hay que ubicar los
documentos que pudiesen presentarse a terceros para dar fe de que se cumpli
105
con los requisitos indicados de la norma, esto es lo que refiere a un registro. Una
metodologa adecuada y bien ejecutada para documentar el ISO 27001, debera
constituir una herramienta poderosa que ayude al establecimiento del SGSI en la
organizacin.
H.
IDENTIFICAR LOS DOCUMENTOS DE SEGURIDAD DE INFORMACIN
Al disear el flujograma, de manera natural aparecen aquellos documentos que se

considerarn parte del Sistema de Seguridad de Informacin. Hay que
cuestionarse sobre la validez de los documentos, en especial si datan de mucho
tiempo atrs, perteneciendo a otra poca empresarial. Es fundamental, una vez
identificado el documento, verificar con el usuario si el contenido del documento
genera la informacin necesaria. Las polticas de seguridad de informacin son
consideradas tambin como documentos.
CAPTULO 3.
CASO DE ESTUDIO
107
En base al Diseo del Sistema de Gestin de Seguridad de la Informacin para

Cooperativas de Ahorro y Crdito efectuado en el captulo 2, se procede a realizar
un diagnstico de la Cooperativa del caso de estudio, indicando las reas
evaluadas y la forma de hacerlo, se realiza un anlisis de resultados que hace
posible determinar los riesgos para la organizacin, y los planes para su
tratamiento.
3.1
ANALISIS DE LA COOPERATIVA DE AHORRO Y CRDITO

DEL CASO DE ESTUDIO, EN REFERENCIA A LA GESTION
DE LA SEGURIDAD DE LA INFORMACION
Para analizar la situacin actual de la Cooperativa de Ahorro y Crdito, primero

fue necesario realizar un diagnstico de su situacin en cuanto a la Gestin de la
Seguridad de la Informacin. Se indican las 11 reas evaluadas, se presenta de
forma grfica los resultados, y luego se efecta su respectivo anlisis.
3.1.1 DIAGNOSTICO
Para poder realizar el diagnstico, se realiz consultas, entrevistas, y visitas
tcnicas, tanto a la propia Cooperativa, como a otras organizaciones del mbito
del sector cooperativo, entre ellas la FECOAC y a la SBS. Se elabor un conjunto
de preguntas para realizar encuestas, en base a la publicacin Auditoria de la
Tecnologas de la Informacin y Comunicacin de Cooperativas de Ahorro y
Crdito, desarrollado por la Confederacin Alemana de Cooperativas. En este
proceso, entre otras personas, fue fundamental, la participacin de:
-
Presidente de la Cooperativa
Gerente
Responsable del sistema informtico
Personal de dicha Institucin.
En el anexo 4, se encuentran los cuestionarios, que fueron uno de los medios

utilizados para obtener informacin. La evaluacin de la informacin recopilada,
108
esta realizada en base a la norma ISO 27001, la parte correspondiente de la ley

de Superintendencia de Bancos y Seguros, la ley de Cooperativas en su parte
pertinente a las Cooperativas de Ahorro y Crdito, y en consideracin de la
estructura y estatutos de la Cooperativa del caso de estudio; esto es, en apego al
Sistema de Gestin de Seguridad de la informacin diseado en al Captulo 2.
3.1.2 ASPECTOS EVALUADOS

Los aspectos evaluados fueron aquellos que la Norma ISO 27001, considera
fundamentales para poder llegar a establecer, implementar, operar, monitorear y
corregir, con la correspondiente documentacin y mejora continua. As, la
evaluacin vers sobre 11 reas de control que son: Poltica de seguridad,
Organizacin de la seguridad de la informacin, Gestin de activos de
informacin, Seguridad de los recursos humanos, Seguridad fsica y ambiental,
Gestin de comunicaciones y operaciones, Control de accesos, Adquisicin desarrollo y mantenimiento de los sistemas, Gestin de incidentes de seguridad,
Gestin de continuidad del negocio, Cumplimiento Normativo.
La referencia con respecto a la cual se evaluaron estos aspectos, est constituida
por el Sistema de Gestin de Seguridad de la Informacin para Cooperativas de
Ahorro y Crdito, desarrollado en el captulo 2. De esta manera se evala el grado
de cumplimiento, y a su vez se determina la brecha existente con los ms altos
niveles que haran posible una Certificacin Internacional ISO 27001.
3.1.3 RESULTADOS
Una vez que se proces toda la informacin a la que se tuvo acceso, en la
Cooperativa de Ahorro y Crdito, fue posible realizar un diagnstico cuyos
resultados se presentan en la Tabla 3.1. Estos resultados se presentan de forma
grfica para facilitar su interpretacin.
En cada grfico de pastel, el rea de color azul muestra el grado de cumplimiento
en referencia al SGSI diseado en el captulo II; mientras que el rea blanca
indica la brecha existente con el grado de cumplimiento.
109
Cobertura alcanzada en Gestin de la Seguridad de la Informacin por la CAC

Medida de la brecha existente con relacin al SGSI diseado para CAC
N ASPECTOS EVALUADOS
Organizacin de la seguridad de la
informacin
Gestin de activos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento
Gestin de incidentes de seguridad
GRADO DE
CUMPLIMIENTO
10 Gestin de continuidad del negocio
11 Cumplimiento Normativo
TABLA 3.1
Indicadores de la situacin actual de la CAC
ELABORADO POR
Ing. Mantilla Anbal
110
3.1.4 ANALISIS DE LOS RESULTADOS

Todos los indicadores estn interrelacionaos entre s, ya que obedecen al enfoque
en procesos y determinan desde perspectivas diferentes pero complementarias,
la medida de la Gestin en cuanto a la Seguridad de la Informacin en la
Cooperativa de Ahorro y Crdito del caso de estudio.
Como puede verse, la Poltica de Seguridad de la Informacin que es la base
fundamental para un Sistema de Gestin de Seguridad de la Informacin, debe
recibir especial atencin, pues el nivel alcanzado es mnimo, al igual que
indicadores como los de Gestin de Incidentes de seguridad, Gestin para la
Continuidad del negocio, y el Cumplimiento normativo.
Si bien es cierto que dentro de los niveles alcanzados por la CAC, en lo referente
a la Seguridad de los Recursos humanos, a la Gestin de Comunicaciones y
Operaciones, y al Control de accesos, tienen los valores ms altos en la Tabla
3.1, la verdad es que deben realizarse muchas actividades an para llegar a los
niveles que plantea el SGSI diseado en el captulo II.
Con la informacin de la Tabla 3.1, es posible determinar las vulnerabilidades y
amenazas que podran producir riesgos para la Cooperativa, por supuesto, las
posibles medidas a tomar para mitigar o asumir el riesgo.
111
3.2
ELABORACIN DEL SISTEMA DE GESTIN DE

SEGURIDAD DE INFORMACIN PARA EL CASO DE
ESTUDIO
Dado que la norma ISO 27001 trabaja sobre un enfoque a procesos, una
aplicacin detallada y puntual de la misma, requiere de un manual de procesos
completa y debidamente establecidos, definidos, documentados y validados.
La aplicacin de la norma en referencia y el modelo del SGSI diseado, a ms de
proteger la informacin, hace ms dinmica la operacin de la organizacin, sin
embargo, si no se ha aplicado una reingeniera de procesos a la organizacin,
esta se vuelve muy lenta en sus operaciones.
Segn la informacin obtenida, la Cooperativa de Ahorro y Crdito del caso de
estudio no cuenta con un manual de procesos documentado, que permita analizar
sobre cada uno de ellos y en su interrelacin, las amenazas, las vulnerabilidades,
y los riesgos; identificando los activos de informacin, los custodios de dichos
activos, y ms elementos que forman parte del SGSI diseado.
Para determinar y evaluar los riesgos en una organizacin, se requiere entre
otros: especialistas en seguridad informtica, encargados de levantar flujogramas
de procesos con los actores de los mismos y su correspondiente validacin, el
compromiso de la Direccin, la participacin activa del personal de la
organizacin, los recursos necesarios, entre otros.
La elaboracin del SGSI para el caso de estudio, muestra la determinacin y
anlisis de los riesgos, a los que esta sometida la Cooperativa, incluidos aquellos
que pudieran resultar desastrosos para la organizacin, en caso de ocurrir. Tanto
la determinacin de riesgos, como el Plan para el tratamiento del riesgo, cubren
los cuatro aspectos que establece el Sistema de Gestin de Seguridad de la
Informacin: Organizacin, Personas, Tecnologa, Marco Legal.
An cuando no es posible aplicar en el caso de estudio, en forma puntual el
modelo diseado con enfoque a procesos, se sigue estrictamente los principios
metodolgicos establecidos, esto es:
-
Determinacin de amenazas, vulnerabilidades, y riesgos
Planes para el tratamiento del riesgo
112
COOPERATIVA DE AHORRO Y
CREDITO DEL CASO DE ESTUDIO
Personal
Tecnolgica
S.G.S.I
Legal
Organizacional
FIGURA 3.1
Aspectos que abarca el SGSI en la Cooperativa del caso de estudio
ELABORADO POR
Ing. Mantilla Anbal
Para facilitar la organizacin y presentacin de estos dos aspectos , en las dos

secciones siguientes respectivamente, se conserva los colores distintivos de los
aspectos: Organizacional, Personal, Tecnolgica y Legal, de acuerdo a lo
establecido en la Figura 3.1
3.2.1 DETERMINACION Y ANALISIS DE RIESGOS EN LA CAC

A continuacin se presentan tablas en las que pueden verse las amenazas, las
vulnerabilidades y los riesgos, sobre la seguridad de la informacin de la
Cooperativa. Estas tablas se encuentran en el orden siguiente:
- Organizacional
- Personal
- Tecnolgica
- Legal
Todas las tablas y su contenido fueron elaboradas por el autor de esta Tesis.
113
AREA: ORGANIZACIONAL
AMENAZA VULNERABILIDAD - RIESGO
IMPLICACIN A LA SEGURIDAD DE LA
INFORMACIN
Prdida de informacin producto

de infeccin por virus informtico
El riesgo de prdida de informacin por virus

informtico es alto si no se administra
adecuadamente el sistema antivirus y los
usuarios no han sido concientizados en seguridad
de la informacin.
Fuga de informacin a travs del

personal que ingresa en forma
temporal
El personal que ingresa temporalmente podra

realizar actividades no autorizadas, lo cual podra
ser detectado en algunos casos, nicamente al
finalizar las actividades de la Cooperativa. Esto
podra ser ms grave de lo previsible, si se
considera que no existe una total divisin fsica
de reas de trabajo, ni poltica de mesas vacas.
Gestin de Tecnologas de la
Informacin y Comunicacin
A partir del 11 de Septiembre del 2001, la Gestin

de TICs, considera con mucho ms nfasis, la
seguridad de la informacin, lo cual hace
necesario que todo el personal tenga
conocimientos sobre SGSI, y los interiorice.
Fuga de informacin estratgica

mediante la sustraccin de
computadoras
Es posible obtener informacin existente en las

computadoras mediante el robo de las mismas,
en especial si son equipos porttiles de altos
directivos de la Cooperativa.
Divisin inadecuada de espacios

de trabajo
Esto imposibilita un manejo ms confidencial de

la informacin, haciendo ms complicada la
situacin, el hecho que no hay poltica de mesas
vacas, con lo cual la informacin sobre dichas
mesas esta al alcance de muchas manos.
TABLA 3.2
Determinacin y anlisis del riego, en el rea organizacional33
AREA: ORGANIZACIONAL
33
ELABORADO POR: Ing. Mantilla Anbal
114
INFORMACIN
Medio de comunicacin
No existe un grupo o persona especficamente

designada para dar informacin en caso de
incidentes de seguridad, para evitar rumores,
malos entendidos, desinformacin e incluso
prdida de seguros y plizas.
Inexistencia
de
manual
de
procesos para la Cooperativa de
Ahorro y Crdito
Se imposibilita la planificacin, la evaluacin, el

control y las correcciones, necesarias en los
modelos de procesos. No es posible aplicar un
SGSI con enfoque a procesos.
Inexistencia en el organigrama de
la
Cooperativa,
de
un
departamento
o
persona
destinado a la Gestin de la
Seguridad Informtica
Se determina la existencia de fallas en la

documentacin de la Cooperativa. No se ha
considerado una Poltica de Seguridad, que
ubique cerca de la alta gerencia, a un
Departamento fundamental para la seguridad.
Inexistencia de una clasificacin

de la informacin en trminos de
su uso
Como consecuencia de esto pudiera hacerse un

mal manejo de la informacin, que afecta su
seguridad y por ende a los intereses de la
Cooperativa.
Asalto o robo
Si bien es cierto, se ha mejorado la seguridad

fsica y los controles de acceso, no existe un
detector de metales que permita conocer si hay
personas armadas intentando ingresar a la
Cooperativa
Riesgo de incendio
En la Cooperativa existe una gran cantidad de

material inflamable, y no existen las debidas
protecciones, ni plan ni poltica ni capacitacin al
personal, en caso de incendios. Dependiendo de
la magnitud de un incendio en la Cooperativa,
este hecho pudiera resultar catastrfico para la
organizacin.
TABLA 3.2
Determinacin y anlisis del riego, en el rea organizacional (continuacin)33
De igual manera, en apego al enfoque a procesos presentado en el Diseo del

SGSI del captulo 2, la determinacin de los riesgos que de ocurrir pueden
33
115
resultar desastrosos para la organizacin, incluida la continuidad
de sus
operaciones, requiere de las actividades secuenciales siguientes:

-
Determinacin de la exposicin al riesgo y controles
Determinacin de impactos financieros, impactos operacionales, procesos

crticos, tiempos crticos, requerimientos de recursos.
Elaboracin de planes en base a estrategias, desarrollo de los planes

seleccionados con su respectiva documentacin.
Ensayo del Plan de Continuidad de Negocio
Sin embargo, dado que no es posible contar con todo esto para el desarrollo de
esta Tesis, no se desarroll un Plan de Continuidad de Negocio (lo cual en s
mismo podra constituir una Tesis de Grado), sino que se elabor un Plan de
Contingencias para la Organizacin. A continuacin se realiza el clculo de la
exposicin al riesgo a amenazas potenciales a los que est sometida la
Organizacin.
AMENAZAS
POTENCIALES
SEVERIDAD
N/A
Prdida de Personal clave
Prdida debido a incendios

Prdida de la red de
computadores
Prdida del sistema
telefnico
Prdidas debido a robo
TABLA 3.3
AMENAZAS
34
Estimacin del nivel de severidad de amenazas potenciales34
COBERTURA (EN %)
EXPOSICIN
116
POTENCIALES
0 -19
20 39
40 59
60 79
80 99
Prdida de
Personal clave
Prdida debido a
incendios
100
AL RIESGO
1000
8000
Prdida de la red
de computadores
200
Prdida del
sistema de
comunicaciones
con el exterior
400
Prdidas debido a
robo
TABLA 3.4
6000
Clculo de exposicin al riesgo ante amenazas potenciales35
Como se indic en el captulo 2, para calcular la exposicin al riesgo se requiere

multiplicar el nivel de severidad y la medida en que est desprotegida (sin
cobertura de seguridad) la Cooperativa. Estos valores fueron determinados en
funcin de la naturaleza, ubicacin, sistemas de apoyo, ms aspectos inherentes
a la Cooperativa del caso de estudio. Los clculos realizados fueron los
siguientes:
1. Prdida de personal clave: 50 (100-80)= 50 (20) = 1000

2. Prdida debido a incendios: 100 (100-20)=100 (80) = 8000
3. Prdida de la red de computadores: 10 (100-80)= 10 (20) =200
4. Prdida del sistema de comunicaciones con el exterior: 10(100-60)=10(40) = 400
5. Prdidas debido a robo: 100 (100 40) = 100 (60) = 6000
En la siguiente figura se han graficado los valores de exposicin al riesgo, para

que de manera visual sea ms fcil poder compararlos, y visualizar la magnitud
de cada uno de ellos.
35
117
EXPOSICIN A RIESGOS
Prdida de personal
clave
Prdidas debido a
incendios
Prdidas de PC/LAN
Prdida del sistema de
comunicaciones
Prdidas debido a robo
0
FIGURA 3.2
1000
2000
3000
4000
5000
6000
7000
8000
Representacin grfica de la exposicin al riesgo ante amenazas potenciales36
Como puede ver en la figura 3.2, los riesgos de prdidas debido a incendios y de
prdidas debido a robo, superan por mucho a las otras prdidas que pudieran
producirse por amenazas potenciales.
El orden de prioridad con el que deberan atenderse estos riesgos es el siguiente:

1. Perdida debido a incendios
2. Perdidas debido a robo
3. Perdida de personal clave
4. Prdida del sistema de comunicaciones con el exterior
5. Perdida de la red de computadores
A continuacin se presenta la determinacin y anlisis de amenazas,

vulnerabilidades y riesgos en la Cooperativa Caso de estudio, para las reas
Personal, Tecnolgica, y Legal:
36
118
AREA: PERSONAL
INFORMACIN
Inters en obtener informacin

estratgica de la Cooperativa, con
fines polticos y econmicos
Existe informacin de la Cooperativa que pudiera

ser atractiva para empresas,
personas,
instituciones, y hacer un mal uso de ella.
Inters en obtener beneficios

econmicos mediante actividades
fraudulentas.
Dado el monto de dinero que es administrado por

la Cooperativa, pudiera resultar muy tentador, a
personal interno y externo a la Cooperativa, el
intento de obtener beneficio econmico, a travs
de actividades fraudulentas
Actividad Vandlica
La disponibilidad, la integridad de la informacin

de la Cooperativa pudieran verse afectadas por
personal interno o externo a la misma, como por
ejemplo el caso de personas que pudieran haber
salido resentidas de la organizacin.
Falta de conciencia en seguridad

de la informacin por parte del
personal de la Cooperativa
El personal de la Cooperativa es el vnculo entre

la poltica de seguridad y su implementacin final;
se pueden establecer controles y monitoreo
constante, pero la persona es siempre el punto
ms dbil en el sistema de seguridad; esto
constituye un riesgo para la organizacin, ms
aun si el personal no recibe una adecuada
capacitacin y orientacin sobre la seguridad de
la informacin.
Fuga de informacin a travs del

personal
Puede suceder que personal de la organizacin

comente sobre procesos de la Cooperativa y su
informacin, que puedan hacer dao a la misma,
aun existiendo algn compromiso sobre
confidencialidad
Controles
adecuados
para
informacin
almacenada
en
computadores personales
Es comn que el personal de organizaciones

posea en los computadores a su cargo,
aplicaciones e informacin, que no corresponden
a las actividades de la organizacin, haciendo un
mal uso de estos equipos, y poniendo en riesgo a
la organizacin.
TABLA 3.5
37
Determinacin y anlisis del riego, en el rea personal37
119
AREA: TECNOLOGICA
INFORMACIN
Computadores personales
- Se debe contar con adecuados controles de

acceso
a
informacin
existente
en
computadores personales.
- Se requieren adecuados controles de acceso a
la informacin de los sistemas desde las
computadoras personales de usuarios.
- Debe tenerse un mismo sistema operativo en
todo el parque de computadores, para
estandarizar la configuracin de los mismos.
- Debe haber un control sobre los dispositivos
que pudieran facilitar la fuga de informacin
(memorias pen drive, flash, cds, impresoras
personales, cmaras digitales, etc.)
- Se debe controlar y monitorear las aplicaciones
y sistemas existentes en los PCs.
Correo electrnico
- Posibilidad de interceptacin no autorizada de

mensajes de correo electrnico
- Posibilidad de utilizacin de recursos por parte
de personas no autorizadas para enviar correo
electrnico a terceros.
- Posibilidad de recepcin de correo inservible
(SPAM).
Conexin a Internet
- Riesgos de accesos no autorizados desde el

Internet y redes externas hacia los sistemas de
la Cooperativa.
- Riesgos de uso inadecuado de Internet por
parte de usuarios.
Fuga de informacin estratgica

de computadoras en sistemas
inalmbricos
Con la actual tecnologa para comunicacin

mvil, fcilmente podra extraerse informacin de
PCs, que se encuentren en enlace inalmbrico
TABLA 3.6
38
Determinacin y anlisis del riego, en el rea tecnolgica38
120
AREA: LEGAL
Existen aplicaciones
debidas licencias
las
Esto podra impedir actualizaciones, introducir

virus al sistema, incompatibilidad con sistemas,
aplicaciones, y hardware; adems de hacer
perder las garantas
de contratos de
aseguramiento.
No se cumplen normas de
seguridad en la prevencin y
control de incendios.
Por efectos de incendio, podra perderse gran

cantidad de informacin, equipos, vidas
humanas; todos ellos considerados como activos
de informacin. Los efectos de un incendio
pudieran ser devastadores para la organizacin
No existe poltica de seguridad,

documentada y llevada a norma.
La Poltica de seguridad establece la gua y

directriz para las actividades de la organizacin
en cuanto a su seguridad informtica. Esta
poltica llevada a norma interna establece
responsabilidades
y
sanciones
por
su
incumplimiento. Por falta de esta normativa,
podra estar afectndose gravemente a la
confidencialidad y a la integridad de la
informacin que maneja la Cooperativa.
TABLA 3.7
39
sin
INFORMACIN
Determinacin y anlisis del riego, en el rea legal 39
121
3.2.2 PLAN PARA EL TRATAMIENTO DE LOS RIESGOS

Una vez que se han determinado los riesgos y su implicacin a la seguridad de la
informacin de la Cooperativa del Caso de estudio, se debe buscar la manera de
tratar el riesgo. El riesgo puede ser mitigado, evitado, transferido o asumido. Para
que este proceso se lleve a efecto, es necesario que todos los elementos de la
organizacin, es decir, personas, equipos, instalaciones, procesos, tareas,
documentos, y ms componentes de la misma, se encuentren perfectamente
alineadas a Directrices claras y documentadas que establezcan lo que debe
hacerse, la manera de hacerlo, y las responsabilidades por su incumplimiento. De
aqu, se deriva la urgente necesidad de contar con una Poltica de seguridad para
la organizacin, como un factor fundamental y bsico para enfocar la actividad de
la seguridad de la informacin de manera efectiva.
La Poltica de Seguridad, es la base sobre la cual ms tarde se podr construir un

Sistema de Gestin de Seguridad de la Informacin, para el caso de la presente
Tesis, alineado al estndar internacional ISO 27001, y a la realidad del sector de
las Cooperativas de Ahorro y Crdito ecuatorianas, de acuerdo al Diseo del
SGSI realizado en el captulo 2 de esta Tesis.
Este Plan para el tratamiento del riesgo posee varios subplanes, que abarcan a
todos los elementos enfocados por el Sistema de Gestin de Seguridad de la
Informacin; estos son:
- Organizacional
- Personal
- Tecnolgica
- Legal
De acuerdo a los requerimientos del diseo, por su trascendencia para la

organizacin, se incluye tambin, el enfoque para la continuidad de operaciones,
en este caso, un Plan de contingencias, de acuerdo a lo establecido tambin en la
Ley de la Superintendencia de Bancos y Seguros, para las Instituciones del
Sistema Financiero. A continuacin se presentan tablas, en las que pueden verse
los planes antes mencionados:
122
AREA ORGANIZACIONAL
En esta rea, se plantean los siguientes Subplanes para el tratamiento del riesgo:
-
Definir polticas de seguridad
Clasificar la informacin
Incorporar un departamento de seguridad informtica
Registrar e inventariar los accesos a los sistemas informticos
Adaptar contratos con proveedores
Elaborar un manual de seguridad
Contratar seguros
Gestionar incidentes de seguridad
Plan de contingencias: actividades contra incendios
AREA:
ORGANIZACIONAL
SUBPLAN :
DEFINIR POLITICAS DE SEGURIDAD
OBJETIVO
Proveer direccin y gua, a todas las actividades de la organizacin y en todos los

niveles jerrquicos, para asegurar la informacin en base a un enfoque global, con
normas, responsabilidades y procedimientos para el efecto.
ACTIVIDADES
POLITICAS DE SEGURIDAD GENERALES PARA LA ORGANIZACIN
- Debe existir un comit de sistemas (informtica), conformado por funcionarios de
reas de administracin, que ser el encargado de avalar los requerimientos de
hardware o software de la CAC.
- Se debe asignar presupuesto por rea, para todo lo que tiene que ver con recursos
de informtica.
- Se debe realizar compras, cambios o eliminaciones de elementos de software o
Hardware, con las debidas justificaciones.
- Deben existir alternativas manuales que garanticen normal desempeo.
- Continuamente deben difundirse las polticas de seguridad
- Contar con respaldo tcnico y garanta tecnolgica.
- Capacitar y entrenar permanentemente a usuarios de computadores
TABLA 3.8 Subplan para Definir polticas de seguridad40
40
123
AREA:
ORGANIZACIONAL
SUBPLAN : (CONTINUACIN)
DEFINIR POLITICAS DE SEGURIDAD
ACTIVIDADES
POLITICAS DE SEGURIDAD PARA EL SOFTWARE

- Debe cumplirse con leyes de Propiedad Intelectual
- Debe desarrollarse software de acuerdo a estndares
- Documentar el desarrollo de sistemas y aplicaciones que usan
- Realizar auditoras
POLITICAS DE SEGURIDAD PARA EL HARDWARE
- Aplicar criterios de compatibilidad con la base instalada de equipos de la CAC
- Compartir al mximo los recursos, definiendo restricciones de seguridad.
- Realizar un inventario peridico.
- Documentar cambios de localizacin, apertura y mantenimiento de equipos.
- Justificar solicitudes de equipos de tecnologa informtica
POLITICAS DE SEGURIDAD QUE DEBE SEGUIR EL USUARIO
- Justificar toda solicitud de programas o equipos de acuerdo con los procedimientos
de compras de la CAC.
- Responsabilizarse por de la correcta administracin de la informacin que utilice,
previendo las acciones de seguridad y confidencialidad.
- Identificar individualmente cada acceso.
- Verificar un espacio adecuado en el disco duro del servidor para el sistema
operativo, programas de aplicacin o utilitarios; de la misma manera en los dems
computadores.
- Prohibir el uso de cualquier tipo de software que no est autorizado por la CAC
POLITICAS DE SEGURIDAD PARA EL REA DE SISTEMAS
- Atender a usuarios de manera continua y segura.
- Mantener la continuidad en el procesamiento
- Verificar el espacio en disco necesario para almacenamiento de datos.
- Garantizar la permanencia fiel de los datos que residan en discos del servidor.
TABLA 3.8
40
Subplan para Definir polticas de seguridad (continuacin)40
124
AREA:
ORGANIZACIONAL
SUBPLAN:
CLASIFICAR LA INFORMACIN
OBJETIVO
Priorizar adecuadamente la utilizacin de recursos para asegurar de mejor manera la

informacin. Determinar en forma especfica, las personas y las circunstancias en que
puede utilizar la informacin de la Cooperativa.
ACTIVIDADES
- Elaborar un inventario de activos de informacin incluyendo informacin
almacenada en medios digitales e informacin impresa.
- Definir responsables por activos identificados.
- Clasificar la informacin en base a los siguientes criterios:
Informacin Restringida (R): Informacin con mayor grado de sensibilidad;
el acceso a esta informacin debe de ser autorizado caso por caso.
Informacin Confidencial (C): Informacin sensible que solo debe ser
divulgada a aquellas personas que la necesiten para el cumplimiento de sus
funciones.
Informacin de Uso Interno (I): Datos generados para facilitar las operaciones
diarias; deben de ser manejados de una manera discreta, pero no requiere de
medidas elaboradas de seguridad.
Informacin General (G): Informacin que es generada especficamente para
su divulgacin al pblico en general. Puede ser de mucha sensibilidad; el
acceso a esta informacin debe de ser autorizado caso por caso.
- Determinar las medidas de seguridad a ser aplicados para cada activo clasificado.
TABLA 3.9
41
Subplan para Clasificar la informacin41
125
AREA:
ORGANIZACIONAL
SUBPLAN :
INCORPORAR UN DEPARTAMENTO DE
SEGURIDAD INFORMATICA
OBJETIVO
Contar con un departamento con alta jerarqua organizacional, con capacidad para
intervenir en todos los aspectos de planificacin, ejecucin, control, cambio,
mantenimiento, auditoria y actualizacin, en aspectos relacionados con el Sistema de
Gestin de Seguridad de la Informacin.
ACTIVIDADES
- Crear un Departamento de Seguridad informtica con jerarqua alta y suficiente
para disponer con autoridad e independencia frente a los departamentos usuarios.
- El Departamento de Seguridad informtica debe depender directamente de la
Direccin General, as incluso, no dejar dudas sobre su ecuanimidad.
- El Director de este Departamento debe ser miembro del Comit de Direccin
- Este departamento debe incorporarse al Organigrama de la Cooperativa, y a su
vez, tener su propio organigrama.
- En este departamento deben definirse clara y documentadamente, las
responsabilidades de cada uno de sus miembros, y esta informacin debe darse a
conocer a los miembros de la organizacin relacionados con el departamento.
- Debe asegurarse la segregacin de funciones.
- Una de las responsabilidades del Departamento es el Aseguramiento en la
Calidad del servicio que prestan, en base a estndares y metodologas.
- Es fundamental que el Departamento elabore planes de contingencia para
Hardware, Software y comunicaciones. Documentados, validados y difundidos.
- Participar en la planificacin y adquisicin de los recursos de tecnologas de
informacin que requiere la organizacin, as como de auditorias relacionadas a
este aspecto.
- Este departamento juega un papel muy importante en el establecimiento y

posterior implantacin de un Sistema de Gestin de Seguridad de la Informacin
en la Cooperativa.
TABLA 3.10
42
Subplan para Incorporar un departamento de seguridad informtica42
126
AREA:
ORGANIZACIONAL
SUBPLAN :
REGISTRAR
E
ACCESOS
A
INFORMATICOS
INVENTARIAR
LOS
LOS
SISTEMAS
OBJETIVO
Controlar de manera adecuada el acceso de los usuarios a los sistemas de la
Cooperativa.
ACTIVIDADES
- Elaborar un inventario de las aplicaciones, los sistemas de la Cooperativa y los
perfiles de acceso en cada caso
- Verificar los perfiles definidos en los sistemas para cada usuario
- Revisar y aprobar los accesos por parte de las gerencias respectivas
- Depurar los perfiles accesos de los usuarios a los sistemas.
- Realizar mantenimiento peridico del inventario.
- Realizar revisiones peridicas de los accesos otorgados en los sistemas
TABLA 3.11
Subplan para Registrar e inventariar los accesos a los sistemas informticos43
AREA:
ORGANIZACIONAL
SUBPLAN :
ADAPTAR
CONTRATOS
PROVEEDORES
CON
OBJETIVO
Asegurar el cumplimiento de las polticas de seguridad de la Cooperativa en relacin
con los proveedores, y las clusulas de los contratos establecidos con estos.
ACTIVIDADES
- Elaborar clusulas estndar referidas a seguridad de informacin, para ser
incluidas en los contratos con proveedores
- Elaborar un inventario de los contratos existentes con proveedores
- Revisar los contratos y analizar el grado de cumplimiento de la poltica de
seguridad.
- Modificar los contratos en caso de ser necesario.
- Negociar con los proveedores para la inclusin de las clusulas en los contratos.
TABLA 3.12
43
Subplan para Adaptar contratos de proveedores 44
- 44 ELABORADO POR: Ing. Mantilla Anbal
127
AREA:
ORGANIZACIONAL
SUBPLAN :
ELABORAR UN MANUAL DE SEGURIDAD
OBJETIVO
Documentar instrucciones de trabajo, procedimientos, polticas, evaluacin del riesgo

y su tratamiento, entre otros aspectos fundamentales del SGSI, para manejar de
mejor manera la seguridad informtica, aplicar una reingeniera a la organizacin, y
preparase mejor para alcanzar una certificacin internacional ISO 27001.
ACTIVIDADES
- Recopilar los registros y documentos relacionados con el Sistemas de Gestin de
Seguridad de la Informacin
- Aplicar una reingeniera sobre las Instrucciones de trabajo, que se realizan en la
Cooperativa, en apego a la Poltica de seguridad.
- Documentar las nuevas instrucciones de trabajo
- Revisar y modificar si es necesario, los procesos y su interrelacin.
- Documentar los procedimientos relacionados con la Seguridad de la Informacin.
- Incorporar en un solo manual, lo siguiente:
Enunciados de la poltica del SGSI
Alcance del SGSI, Procedimientos y controles de soporte
Descripcin de la metodologa de evaluacin del riesgo
Reporte de evaluacin del riesgo
Plan de tratamiento del riesgo
Declaracin de aplicabilidad
Todos aquellos documentos adicionales que la Cooperativa considere
necesarios para la Seguridad de la Informacin.
- Revisar peridicamente la validez de las tareas, instrucciones de trabajo,
procesos, enfoque de los procesos, procedimientos.
- Incluir todas las modificaciones y actualizaciones al Manual de Seguridad

TABLA 3.13
45
Subplan para Elaborar manual de seguridad de la informacin 45
128
AREA:
ORGANIZACIONAL
SUBPLAN :
CONTRATAR SEGUROS
OBJETIVO
Cubrir las perdidas ocasionadas a travs de impactos financieros y operacionales,

causadas por amenazas que han explotado vulnerabilidades, una vez que el riesgo ha
sido tratado en cualquiera de las siguientes formas: evitarlo, transferirlo, mitigarlo, o
asumirlo.
ACTIVIDADES
- Inventariar todos los activos de informacin.

- Tasar los activos de informacin
- Determinar el nivel de exposicin al riesgo de los activos
- Determinar el impacto sobre la organizacin
- Para el caso de afectacin o prdida de instalaciones, se debera considerar la
contratacin de los siguientes seguros:
Contra incendios
Contra amenazas naturales (erupciones, terremotos, rayos)
Contra el ataque a las instalaciones por parte de personas o bandas
organizadas.
- Para el caso de personal clave, podran considerarse seguros de vida, seguros de
accidentes laborales, seguros por daos a la reputacin de las personas.
- Podra considerarse adems, un seguro en caso de accidentes aviatorios
relacionados con los edificios de la Organizacin, y que pudieran afectar a las
operaciones de la Cooperativa.
- Seguros contra robo, dao o destruccin de equipos vitales para la organizacin.
- Seguros en caso de incumplimiento de contratos de confidencialidad, incluyendo
adems, los productos de propiedad intelectual de la Cooperativa.
- Contratar un seguro que posibilite los recursos para enfrentar desastres y poder
aplicar el Plan para la Continuidad del Negocio.
TABLA 3.14
46
Subplan para Contratar seguros46
129
AREA:
ORGANIZACIONAL
SUBPLAN :
GESTIONAR INCIDENTES DE SEGURIDAD
OBJETIVO
Actuar de forma proactiva ante incidentes de seguridad, asegurar un correcto manejo

del incidente, evitar que el incidente de seguridad se convierta en problema de
seguridad, as como tambin, que vuelva a suceder.
ACTIVIDADES
- Definir un plan de actuacin y de procedimientos ante incidentes de seguridad,
con la adecuada documentacin de los mismos.
- Comprobar que el plan cumple con los requisitos legales
- Adquirir los medios tecnolgicos que faciliten la Gestin de incidentes
- Aislar los equipos afectados por el incidente
- Capturar y proteger toda la informacin relacionada con el incidente
- Analizar la informacin del incidente para catalogarlo
- Comunicar sobre el incidente a quienes tengan la competencia del caso
- Aplicar soluciones de acuerdo al plan de actuacin
- Eliminar los medios que faciliten un nuevo incidente similar
- Recuperar la actividad normal de los sistemas afectados
- Identificar las lecciones y conclusiones de cada incidente
- Incorporar las lecciones aprendidas a las Polticas
TABLA 3.15
47
Subplan para Gestionar incidentes de seguridad47
130
DENTRO DEL PLAN GENERAL, EL PLAN

DE CONTINGENCIAS:
ACTIVIDADES CONTRA INCENDIOS
AREA:
ORGANIZACIONAL
OBJETIVO
Elaborar de manera documentada y normativa, un plan que permita prevenir
incendios, actuar adecuadamente durante el siniestro, establecer condiciones
adecuadas para la organizacin despus del siniestro. En esencia, minimizar las
potenciales prdidas en la Cooperativa, y si es posible evitar el incendio.
ACTIVIDADES
-
Contratar un seguro contra incendios en el local de la Cooperativa.

Prohibir que se fume en la Organizacin
Liberar de obstculos las puertas y pasillos
Revisar las condiciones del sistema elctrico
Disminuir la cantidad de material inflamable e incluso innecesario en las oficinas de
la Cooperativa
Adquirir e instalar extintores de incendio en reas visibles y accesibles; se debera
tambin considerar mangueras para incendio. Los extintores debern contener los
compuestos qumicos correspondientes a un incendio en la Cooperativa, y
peridicamente debern ser revisados.
Instalar varios sensores detectores de humo y revisarlos peridicamente
Capacitar y orientar al personal en el uso de extintores
La informacin vital debe protegerse en armarios antifuego
Deberan instalarse salidas de humo
Capacitar al personal en primeros auxilios, para atender rpidamente a los
lesionados.
Contar con un botiqun de primeros auxilios bien equipado
El plan de contingencia debe ser documentado y difundido
Se debern realizar simulacros, contando con la supervisin del Cuerpo de
Bomberos
La persona que se percate de la existencia de humo o fuego, debe alertar
inmediatamente sin provocar pnico a la persona designada de antemano para
liderar las actividades ante un incendio.
Formar tres Grupos: Grupo de lucha contra el incendio, Grupo de primeros auxilios,
Grupo de informacin (este grupo es fundamental tambin, pues el responsable de
dar la informacin certera a las personas y autoridades competentes, incluidas las
de las aseguradoras, y evitar as perder con el seguro en el cumplimiento
normativo o las clusulas del contrato)
Tratar de desalojar lo ms rpidamente y en orden las instalaciones, de no ser
posible, evitar lo ms posible el humo y por supuesto el fuego, a menos que se
cuente con los medios efectivos para extinguirlos.
Tener una lista de fcil acceso, con los telfonos de emergencia (ambulancias,
Cruz Roja, Bomberos, Hospitales, Polica, Defensa Civil, etc.)
TABLA 3.16
48
Plan de contingencia Actividades contra incendios 48
131
AREA PERSONAL
Para elaborar estos Subplanes, a ms de las consideraciones mencionadas antes

para el tratamiento del riesgo, se ha tomado en cuenta los roles y actividades de
las personas que conforman la organizacin. Los Subplanes son los siguientes:
-
Concientizar a los funcionarios y empleados de la cooperativa
Capacitar al personal en uso seguro de los servicios de internet
AREA:
PERSONAL
SUBPLAN :
CONCIENTIZAR A LOS FUNCIONARIOS Y
EMPLEADOS DE LA COOPERATIVA
OBJETIVO
Lograr un alto grado de compromiso y capacitacin de los funcionarios y empleados

de la Cooperativa en temas relacionados con la seguridad de la informacin en la
organizacin; estableciendo en forma documentada y normativa, los beneficios y
responsabilidades, incluso de ndole penal, que cada uno tiene en la seguridad de la
informacin.
ACTIVIDADES
- Establecer como prioridad, la interiorizacin de la necesidad y conveniencia de
tener un adecuado Sistema de Gestin de Seguridad de la Informacin, hasta que
llegue a ser parte de la cultura organizacional de la Cooperativa.
- Definir de forma fcilmente comprensible el mensaje a transmitir y material a ser
empleado para los distintos grupos de usuarios, entre ellos:
Personal en general: informacin general sobre seguridad, polticas y
estndares incluyendo proteccin contra virus, contraseas, seguridad fsica,
sanciones, correo electrnico y uso de Internet.
Personal de Sistemas: Polticas de seguridad, estndares y controles
especficos para la tecnologa y aplicaciones utilizadas.
Gerencias y jefaturas: Monitoreo de seguridad, responsabilidades de
supervisin, polticas de sancin. Identificacin del personal de cada
departamento que se encargar de actualizar a su propio grupo en temas de
seguridad.
- Establecer un cronograma de capacitacin, el cual debe incluir a los empleados
nuevos.
TABLA 3.17
49
Subplan para Concientizar a los funcionarios y empleados de la Cooperativas49
132
AREA:
PERSONAL
SUBPLAN :
CAPACITAR AL PERSONAL EN USO
SEGURO DE LOS SERVICIOS DE INTERNET
OBJETIVO
Obtener el mximo aprovechamiento de los servicios que posibilita el Internet, en

funcin de los roles y funciones de cada empleado y departamentos de la
Cooperativa, minimizando los riesgos de virus, spam, estafas y ms riesgos
existentes al usar de manera insegura el Internet.
ACTIVIDADES
- Interiorizar en las personas, las responsabilidades, amenazas y riesgos que puede
correr la persona y la Cooperativa cuando no usa de manera segura el Internet.
- Limitar el acceso a Internet a los usuarios, dependiendo de las actividades que
realizan en la Organizacin. Sin embargo, an cuando tengan accesos limitados
diferentes, afrontarn amenazas comunes al usar los servicios de Internet.
- Una vez configurados los controles de acceso para cada usuario, ste no debe
cambiarlos, pero en el caso de los programas exploradores de Internet, debe saber
como se han configurado los controles de contenido, pues puede haber
aplicaciones que pidan excepciones o consultas al usuario para poder operar.
- Capacitar al usuario en el uso seguro del correo electrnico, y un uso adecuado de
los sistemas antivirus.
- Tomar medidas para minimizar el spam
- Sobre todo dependiendo de las responsabilidades y atribuciones de los
funcionarios y empleados, debe capacitarse al personal para evitar las estafas por
Internet, especialmente por tratarse de una entidad financiera.
TABLA 3.18
50
Subplan para Capacitar al personal en el uso seguro de los servicios de internet50
133
AREA TECNOLOGICA
Para realizar los Subplanes del rea Tecnolgica, se han considerado aspectos
fundamentales para mejorar la Seguridad de la Informacin en la Cooperativa,
todos ellos alineados a lo que ms tarde ser documentado y normado como
Poltica de Seguridad. Estos Subplanes son:
Adaptar los sistemas de comunicacin
Adaptar la arquitectura de red
Estandarizar y actualizar el software
AREA:
TECNOLOGICA
SUBPLAN:
ADAPTAR LA CONFIGURACIN DE LOS
SISTEMAS DE COMUNICACION
OBJETIVO
Alinear la configuracin en hardware y software de los sistemas de comunicacin, con

las polticas de seguridad, tanto para la operacin interna como para la operacin
externa de la organizacin, pues en ltima instancia son las personas quienes
producen ataques a la seguridad de la informacin, siendo estos equipos, medios de
defensa, o en el caso contrario medios de vulnerabilidad.
ACTIVIDADES
- Elaborar un inventario de equipos de comunicaciones (routers, switches, firewalls,
etc)
- Elaborar estndares de configuracin para los equipos de comunicaciones
(basarse en la poltica de seguridad definida, documentacin de proveedores, etc.)
- Evaluar equipos identificados.
- Adaptar los equipos a la poltica de seguridad.
TABLA 3.19
51
Subplan para Adaptar la configuracin de los sistemas de comunicacin51
134
AREA:
TECNOLOGICA
SUBPLAN :
ADAPTAR LA ARQUITECTURA DE RED
OBJETIVO
Crear una red que sea rpida, eficiente y segura, al soportar todos los requerimientos
de la Cooperativa, y en apego a las polticas de la seguridad
ACTIVIDADES
Implementar una red DMZ: para evitar el ingreso de conexiones desde Internet
directamente hacia la red interna de datos; adems debe evitar el trfico ilegtimo
entre la Cooperativa y el Internet. Esta zona desmilitarizada consta de dos
cortafuegos; un cortafuegos protege los accesos desde el exterior hacia la zona
desmilitarizada y el otro protege los accesos desde la zona desmilitarizada hacia la
Intranet. Un ataque de Denegacin de Servicio, que saturara o comprometiera al
cortafuegos exterior, no pondra en peligro al cortafuegos interno. En esta zona
desmilitarizada se instalar un servidor Proxy, para recuperar la informacin que haya
solicitado un usuario interno, y almacenndola para que pueda ser recuperada desde
la intranet; si el requerimiento de informacin es en sentido contrario, el usuario
interno coloca esta informacin en la zona desmilitarizada, y luego esta es entregada
a un equipo externo.
Implementar un sistema de Antivirus: para servicios de Internet (SMTP, FTP,

HTTP) que requiere la Cooperativa, con la adecuada configuracin, mantenimiento,
actualizacin, y documentacin.
Implementar sistemas de Alta Disponibilidad: para aumentar la seguridad y

fiabilidad de la red, es necesario instalar sistemas de redundancia, para ser utilizados
en firewalls, servidores, y otros equipos de comunicacin.
Implementar un sistema de deteccin de Intrusos (IDS): para detectar los intentos

de intrusin o ataque desde redes externas hacia la red de datos de la Cooperativa,
as como aquellos ataques realizados desde la red interna de la organizacin.
TABLA 3.20
52
Subplan para Adaptar la arquitectura de red52
135
AREA:
TECNOLOGICA
SUBPLAN :
ESTANDARIZAR
SOFTWARE
ACTUALIZAR
EL
OBJETIVO
Determinar fcil y rpidamente vulnerabilidades en el software, elevar los niveles de
proteccin de la informacin, disminuir los incidentes de seguridad, y responder ms
eficaz y eficientemente ante amenazas y riesgos potenciales.
ACTIVIDADES
- Elaborar un inventario de sistema operativo de servidores y computadores
personales.
- Elaborar una base de datos de aplicaciones.
- Actualizar permanente y peridicamente, los antivirus tanto de los servidores como
de los PCs de cada usuario en cada uno de los departamentos.
- Mantener el sistema operativo permanentemente actualizado
- Elaborar estndares de configuracin para los sistemas operativos de las PCs de
la Cooperativa
- Elaborar una gua para configuracin de aplicaciones
- Mantener las aplicaciones permanentemente actualizadas
- Evaluar permanentemente la estandarizacin y actualizacin del software.
- Elaborar guas de chequeo y revisin para establecer si se estn cumpliendo las
polticas de seguridad en el software que utiliza la Cooperativa.
TABLA 3.21
53
Subplan para Estandarizar y actualizar el software53
136
AREA LEGAL
Toda la actividad de la Cooperativa del Caso de estudio, debe realizarse en base

al cumplimiento legal, pues a ms de ser lo que corresponde a una organizacin
que aspira a mejorar sus niveles de desempeo en la seguridad de la informacin
en base a estndares internacionales, podr lograr as, efectividad en sus
operaciones, minimizar las interferencias en el procesos de auditora de
sistemas, y evitar prdidas a la organizacin.
AREA:
LEGAL
SUBPLAN :
VERIFICAR EL CUMPLIMIENTO LEGAL
OBJETIVO
Evitar incumplimientos de cualquier ley, reglamento, norma, o contrato, para asegurar

el cumplimiento de los sistemas con las Polticas de Seguridad.
ACTIVIDADES
- Revisar que la actividad informtica se la realiza dentro de las normas legales,
referentes a:
Normas laborales
Propiedad intelectual del software
Requisitos en la cobertura de seguros
Prevencin de riesgos.
- Debe cumplirse con la Ley en lo que corresponde a :
rgano de Supervisin y Control en el Sistema Financiero Nacional
Ley de Cooperativas de Ahorro y Crdito
Normativa propia de la Cooperativa, incluyendo los puntos especficos de la
Poltica de seguridad.
- Al implementarse medidas para la seguridad de la informacin, debe tenerse
cuidado de no contradecir los principios del derecho a la intimidad de las personas,
y aquellos establecidos en la tica laboral, personal y profesional.
- As mismo, debe verificarse el cumplimiento legal con usuarios y proveedores; no
hay que olvidar que las clusulas de confidencialidad tienen implicaciones legales,
en algunos casos penales.
- Para el efecto se debern realizar Comits, reuniones departamentales, y controles

de auditora.
TABLA 3.22
54
Subplan para Verificar el cumplimiento legal54
CAPTULO 4.
CONCLUSIONES Y RECOMENDACIONES
138
CONCLUSIONES
-
Se han cumplido completamente con todos los objetivos planteados para la

realizacin de esta Tesis. Sin embargo, en el desarrollo de este trabajo,
siempre tuve la predisposicin y la actitud permanente de alcanzar los ms
altos y mejores resultados, que incluso fueron ms all del cumplimiento de los
objetivos inicialmente planteados. Puse lo mejor de mis conocimientos y mis
recursos en este propsito.
La funcin de la Seguridad de la Informacin en cualquier tipo de organizacin,

debe ser considerada como un factor bsico empresarial fundamental, de la
misma trascendencia que los aspectos comercial, financiero, administrativo.
No es necesario que se dispongan en el Pas, de las normas correspondientes

a la Seguridad de la Informacin, para afrontar y resolver los problemas de
seguridad en las empresas nacionales, pues puede recurrirse a normas ya
adaptadas o existentes en otros pases.
La aplicacin exhaustiva y detallada del Diseo de un Sistema de Gestin

de Seguridad de la Informacin para Cooperativas de Ahorro y Crdito en
base a la norma ISO 27001, requiere de procesos claros, validados,
optimizados, actualizados, para evitar que la implantacin del SGSI conlleve a

procesos confusos, demasiado complejos y lentos, que a la final, en lugar de
mejorar a la organizacin, le resten eficiencia y competitividad.
La seguridad de la informacin es un aspecto, que
debe ser parte de la
cultura organizacional; cursos, seminarios, y talleres no bastan, hay que

interiorizar en las personas de la organizacin, la necesidad y beneficios de
dicha cultura, as como los riesgos de no tenerla.
El Sistema de Gestin de Seguridad de la Informacin debe ser

permanentemente revisado, mejorado y actualizado, para que brinde la
mxima utilidad que la organizacin espera.
139
Una eficiente Gestin de la Seguridad de la Informacin, debe considerar los

aspectos: organizacional, personal, tecnolgico y legal, en base a un enfoque
sistmico, en el que cada uno de sus componentes esta interrelacionado con
los dems, en su operacin y funcionamiento; y cada uno de ellos como todo
el sistema, obedece al principio fundamental causa efecto.
En el desarrollo de la presente Tesis, se ha comprobado la evidente necesidad

de que las Cooperativas de Ahorro y Crdito del Ecuador, implanten Sistemas
de Gestin de Seguridad de la Informacin para una mayor eficiencia en sus
actividades, que les proporcione un crecimiento sostenido y productivo, a la
vez que propenda a la mejora de la calidad de vida de sus socios, y a un
mayor desarrollo del Pas.
140
4.2
-
RECOMENDACIONES
Se considera importante, que tomando como base inicial esta Tesis, se
establezcan y desarrollen Proyectos en varias Tesis de Maestra, sucesivas y
concatenadas, en los siguientes aspectos:
Implantar el Plan para el tratamiento de los riesgos elaborado en el

Captulo tres de esta Tesis, en la Cooperativa de Ahorro y Crdito del
Caso de estudio, a travs de los diferentes Subplanes (organizacional,
personal, tecnolgico, y legal), como una etapa previa y alternativa
mientras la organizacin se prepara para llegar a la certificacin
internacional.
Desarrollar la planificacin y las actividades necesarias, para obtener la

certificacin internacional ISO 27001, para la Cooperativa de Ahorro y
Crdito del Caso de estudio.
Se sugiere la publicacin y difusin de este trabajo, a nivel nacional, para que

pueda ser utilizado en beneficio del mejoramiento de las Cooperativas de
Ahorro y Crdito; particularmente en lo que se refiere al tema tratado en esta
Tesis, esto es, la Seguridad de la Informacin en una perspectiva global y
como un pilar fundamental en las actividades de estas instituciones.
Incorporar a la estructura organizacional de las Cooperativas de Ahorro y

Crdito, un departamento que trabaje de manera proactiva y reactiva, en
Sistemas de Gestin de Seguridad de la Informacin.
BIBLIOGRAFA
142
LIBROS
ABAD Alfredo, Redes de rea Local, McGraw Hill. 2001
DURAN Alvaro, Desafos para la gestin de Cooperativas de Ahorro y

Crdito de Amrica Latina y el Caribe, 2007
GMEZ V. Alvaro, Enciclopedia de la seguridad informtica, Alfaomega

2007
GORDILLO Estuardo, Memoria estadstica de las Cooperativas de Ahorro y

Crdito ecuatoriano, FECOAC, 2005
HILL Brian, Manual de referencia CISCO, McGraw Hill,2002.
INSTITUTO ARGENTINO DE NORMALIZACIN, Norma ISO 17799,

Cdigo de Practica para la Gestin de Seguridad de la Informacin, 2002
JAMES A. O Brien. Sistemas de Informacin Gerencial. McGraw Hill. 2003
KENNETH C. Laudon. Sistemas de Informacin Gerencial. Prentice Hall.

2006
LEY DE COOPERATIVAS ECUATORIANAS, Editorial Forum,2008
NARANJO Jaime. Gestin de Proyectos. Escuela Politcnica Nacional, 2006
Norma Venezolana - Tecnologas de la Informacin, Tcnicas de seguridad.

Sistema
de
Gestin
de Seguridad
de
la
Informacin.
Requisitos.
FONDONORMA- ISO/IEC 27001:2005
OCHOA Jos, 101 claves
de Tecnologas de Informacin
para
Directivos,Prentice Hall, 2004
PENIN, Aquilino, Sistemas SCADA, Alfaomega, 2007
PIATTINI Mario, Auditoria de Tecnologas y Sistemas de Informacin,

Alfaomega, 2008.
PRESSMAN Roger, Ingeniera del Software, McGraw Hill, 2005
RENDER. Administracin de Operaciones. Prentice Hall. 2004
ROBBINS Stephen, Fundamentos de Administracin, Prentice Hall, 2002
SAMANIEGO Gustavo, Redes de Computadoras, Escuela Politcnica

Nacional, 2006
143
SOSA Pablo, Sistemas de Gestin de Seguridad de la Informacin, Escuela

Politcnica Nacional, 2006
TANEMBAUM Andrew, Redes de Computadoras, Prentice Hall, 2003
VASQUEZ Rodrigo, Antecedente y Contemporaneidad del Pensamiento

Cooperativo, FECOAC, 2008
WEITZENFELD Alfredo, Ingeniera de Software Orientada a Objetos,

Thomson, 2005
SITIOS WEB
-
www.dgrv.org
www.igepn.edu.ec
www.pnud.org.ec
www.stgestionriesgos.gov.ec
www.nexusasesores.com
www.eficienciagerencial.com
www.iso27000.es
www.dpya-sa.com.ar
www.comercio.com.ec
www.superban.gov.ec
www.dinacoop.gov.ec
www.acsb.fin.ec
ANEXOS
ANEXO 1
LA NORMA ISO 27001
146
En este anexo se presenta la norma ISO 27001 de manera resumida, la cual

consta de un Prefacio, 8 Clusulas, un anexo Normativo y dos anexos
Informativos. El anexo normativo (Anexo A de la norma ISO 27001) presenta los
controles que deben aplicarse en las once reas de control que establece esta
norma; para una mejor identificacin, se presentan en tablas separadas y con
diferentes colores. En los anexos Informativos, se presenta la relacin de esta
norma con los principios de la Organizacin para la Cooperacin y el Desarrollo
Econmico (OEDC), y con otras normas ISO; en los anexos B y C de la norma
ISO 27001, respectivamente.
En la tabla siguiente se muestra los elementos, estructura organizacin de esta
norma:
ELEMENTO
ASPECTO SOBRE EL QUE TRATA
PREFACIO
PRESENTACION
CLAUSULA 0.
INTRODUCCIN
CLAUSULA 1.
OBJETO
CLAUSULA 2.
REFEENCIAS NORMATIVAS
CLAUSULA 3.
CLAUSULA 4.
SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN
CLAUSULA 5.
RESPONSABILIDAD DE LA DIRECCIN
CLAUSULA 6.
AUDITORAS INTERNAS DEL SGSI
CLAUSULA 7.
REVISIN POR LA DIRECCIN DEL SGSI
CLAUSULA 8.
MEJORA DEL SGSI
ANEXO A.
NORMATIVO
ANEXO B.
INFORMATIVO
ANEXO C.
INFORMATIVO
TABLA 1 del Anexo 1
ELABORADO POR
Elementos de la norma ISO 27001

Ing. Mantilla Anbal
A continuacin se detallan cada uno de estos elementos:
PREFACIO
Hace referencia a las razones por loas cuales fue desarrollada esta norma y su
trascendencia a nivel mundial para un manejo adecuado de la seguridad
147
Informtica, a travs de un Sistema de Gestin que abarca en su actividad a

todos los elementos de la organizacin
CLUSULA 0.
INTRODUCCIN
El ISO 27001:2005 define la seguridad de informacin como la "preservacin de la

confidencialidad, integridad, no repudio y confiabilidad". Se ha desarrollado como
modelo para el establecimiento, la implementacin, la operacin, el monitoreo, la
revisin, el mantenimiento y la mejora de un SGSI para cualquier clase de
organizacin.
El diseo y la implantacin de un SGSI se encuentran influenciados por las

necesidades, los objetivos, los requisitos de seguridad, los procesos, los
empleados, el tamao, los sistemas de soporte y la estructura de la organizacin.
El modelo ISO 27001:2005 est diseado bajo una ptica de enfoque a procesos.
El SGSI est conceptualizado para funcionar en cualquier tipo de organizacin,
operando bajo el enfoque de procesos, sin embargo, cada SGSI se elabora de la
manera ms adecuada para cada empresa.
FIGURA 1del Anexo 1
55
Enfoque de la norma hacia procesos a travs del ciclo de Deming 55
148
CLUSULA 1.
OBJETO
En la seccin 1.2 del estndar se precisa su aplicacin. Aqu se puntualiza que el

modelo se ha creado para ser aplicable a toda clase de organizacin, sin importar
su tipo, el tamao y la naturaleza del negocio. Aqu tambin se explica que si
algunos de los requerimientos del estndar no pudiesen ser aplicados debido a la
naturaleza de una organizacin y su negocio, se puede considerar el
requerimiento para su exclusin.
Para que las exclusiones sean vlidas, no podrn afectar la capacidad y / o la
responsabilidad de la organizacin a fin de proporcionar seguridad en la
informacin que satisfaga los requerimientos de seguridad determinados por la
evaluacin del riesgo y los requerimientos reguladores aplicables. Las clusulas
de las secciones 4 a 8 no son excluibles. Adems especifica los requisitos para la
implementacin de controles de seguridad adaptados a la organizacin o parte de
ella.
CLUSULA 2.
Hace referencia a documentos que son indispensables para la aplicacin de esta

estndar. Pueden ser documentos fechados como no fechados, en los dos casos
se requiere justificacin para su uso.
CLUSULA 3.
En esta clusula se indican los trminos y definiciones fundamentales para esta

norma, relacionados directamente con el Sistema de Gestin de Seguridad de la
Informacin. Entre otros trminos, se tiene: activo de informacin, disponibilidad,
confidencialidad, seguridad de la informacin, evento de seguridad de la
informacin. Ms trminos con sus correspondientes definiciones se encuentran
en el Glosario de Trminos.
149
CLUSULA 4.
SISTEMA
DE
GESTIN
DE
SEGURIDAD
DE
LA
INFORMACIN
El
SGSI
debe
ser
ESTABLECER LOS REQUISITOS GENERALES
establecido,
implementado,
monitoreado,
corregido,
documentado, mejorado, de acuerdo a los requerimientos especficos de la

organizacin.
ESTABLECER y GESTIONAR EL SGSI
ESTABLECER EL SGSI
Actividades organizacionales
A)
Definir el alcance y los lmites del SGSI
B)
Definir la poltica para el SGSI
C)
Definir el enfoque para la evaluacin del riesgo
D)
Identificar, analizar y evaluar los riesgos
E)
Identificar y evaluar las opciones para el tratamiento del riesgo, incluyendo

al riesgo residual
F)
Seleccionar los objetivos de control para el tratamiento del riesgo
G)
Obtener la aprobacin de los riesgos residuales por la direccin
H)
Obtener la autorizacin de la direccin para implementar y operar el SGSI
I)
Preparar una declaracin de aplicabilidad
Actividades organizacionales:
A)
Formular un plan para el tratamiento del riesgo
B)
Implementar plan para el tratamiento del riesgo
C)
Implementar los controles seleccionados
D)
Definir como mediar la eficacia de los controles seleccionados
E)
Implementar programas de formacin y toma de conciencia
F)
Gestionar la operacin del SGSI
G)
Gestionar los recursos para el SGSI
150
H)
Implementar los procedimientos y otros controles capaces de permitir la

pronta deteccin de los eventos de seguridad y la respuesta a incidentes de
seguridad
MONITOREAR Y REVISAR EL SGSI
A)
Realizar el seguimiento y revisar los procedimientos
B)
Llevar a cabo revisiones regulares de eficacia del SGSI (incluyendo el

cumplimiento de la poltica y objetivos del SGSI)
C)
Medir la eficacia de los controles
D)
Realizar las evaluaciones del riesgo a intervalos planificados, revisar los

riesgos residuales y los niveles de riesgo aceptables.
E)
Conducir auditorias internas
F)
Revisin del SGSI por parte de la direccin sobre una base regular
G)
Actualizar los planes de seguridad
H)
Registrar las acciones y los eventos que podran tener un efecto obre la
eficacia o el desempeo del SGSI.
MANTENER Y MEJORAR EL SGSI
A)
Implementar las mejoras identificadas
B)
Tomar adecuadas acciones correctivas y preventivas
C)
Comunicar los resultados a todas las partes interesadas
D)
Asegurar que las mejoras alcanzan los objetivos deseados
DOCUMENTAR EL SGSI
GENERALIDADES
Aqu, se establece que los documentos del SGSI son los siguientes:
1.
Los enunciados de la poltica de seguridad, los procedimientos y los

objetivos de control.
2.
El alcance del SGSI, los procedimientos y los controles que sostienen el

SGSI.
151
3.
El plan de tratamiento del riesgo.
4.
Los procedimientos documentados necesarios para la organizacin, a fin de

asegurar la planeacin, la operacin y el control efectivos de sus procesos
de seguridad de la informacin.
5.
Los registros requeridos por el estndar.
6.
Declaracin de aplicabilidad.
7.
El reporte de evaluacin del riesgo.
8.
La descripcin de la metodologa de evaluacin del riesgo
CONTROLAR LOS DOCUMENTOS
En este apartado se pide tener un procedimiento documentado que defina las

acciones gerenciales para:
A)
Aprobar la idoneidad de los documentos antes de su emisin.
B)
Revisar y actualizar los documentos conforme sea necesario, y reaprobarlos.
C)
Asegurar que se identifiquen los cambios y el estatus de la revisin actual de

los documentos.
D)
Asegurar que las versiones ms recientes de los documentos relevantes

estn disponibles en los puntos de uso.
E)
Asegurar que los documentos se mantengan legibles y fcilmente

identificables.
F)
Asegurar que se identifiquen los documentos de origen externo;
G)
Asegurar que se controle la distribucin de documentos;
H)
Evitar el uso indebido de documentos obsoletos;
I)
Aplicar a los documentos una identificacin adecuada si se van a retener por

algn propsito.
CONTROLAR LOS REGISTROS
Esta clusula plantea que se tenga un procedimiento documentado para ejercer

un control relevante para la identificacin, el almacenaje, la proteccin, la
recuperacin, el tiempo de retencin y la disposicin de los registros. Por
disposicin se entienden las acciones que se toman con los registros, al vencer el
tiempo de retencin.
152
CLUSULA 5.
Seccin 5.1:
DEFINIR LA RESPONSABILIDAD DE LA DIRECCIN

COMPROMISO DE LA DIRECCIN
Esta clusula est dirigida a la gerencia y a puntualizar sus responsabilidades en

relacin con el SGSI; el modelo es muy puntual. La gerencia debe desempear un
papel protagnico en el manejo de un SGSI.
Seccin 5.2 :
GESTIONAR LOS RECURSOS
PROVISIN DE LOS RECURSOS
En esta clusula se le dan varias exigencias a la organizacin, por medio del

grfico de la gerencia. Las exigencias son las siguientes:
A)
Establecer, implementar, operar y asegurar que los procedimientos de

seguridad de la informacin sostengan los requerimientos comerciales;
B)
Asegurar que los procedimientos de seguridad de la informacin, respalden

los requerimientos comerciales.
C)
Identificar y tratar los requerimientos legales y reguladores y las obligaciones

de seguridad contractuales;
D)
Mantener una seguridad adecuada mediante la correcta aplicacin de todos

los controles implementados;
E)
Llevar
cabo
revisiones
cuando
sean
necesarias,
reaccionar
apropiadamente ante los resultados de estas revisiones;

F)
Mejorar la efectividad del SGSI donde se requiera.
CAPACITACIN, CONOCIMIENTO Y
CAPACIDAD
En esta clusula la norma tiene cuatro exigencias especficas:

1.
Se debe determinar los perfiles requeridos del personal al que se le asigna

responsabilidades en el SGSI y diagnosticar sus necesidades de
entrenamiento.
2.
Capacitar y seleccionar al personal para satisfacer los perfiles requeridos.
3.
Efectuar una evaluacin de la eficacia del entrenamiento efectuado.
153
4.
Mantener expedientes del personal en detalle sobre: educacin recibida,

capacitacin
realizada,
capacidades
desarrolladas,
experiencias
profesionales y calificaciones obtenidas.
CLUSULA 6.
AUDITAR INTERNAMENTE EL SGSI
En esta clusula la norma es muy precisa, al detallar el propsito de las

auditorias. Establece que la organizacin debe realizar auditorias internas del
SGSI a intervalos planeados para determinar si los objetivos, controles, procesos
y procedimientos de su SGSI:
A)
Cumplen con los requerimientos de este estndar y la legislacin o

regulaciones relevantes.
B)
Cumplen con los requerimientos de seguridad de informacin identificados.
C)
Son implementados y mantenidos de manera efectiva.
D)
Se desempean como se esperaba.
CLUSULA 7.
REALIZAR REVISIN GERENClAL
Debe incluir oportunidades de evaluacin para el mejoramiento y la necesidad de

cambios en el SGSI, incluyendo la poltica de seguridad y los objetivos de
seguridad. La revisin gerencial se convierte en una excelente evidencia objetiva
de que la gerencia est comprometida con el SGSI. Cuando el SGSI est en
proceso de implantacin, es conveniente que las referidas revisiones se hagan
con mayor frecuencia.
GENERALIDADES
Como parte del ciclo de Deming, la Direccin debe realizar continuas revisiones a
todos los elementos que forman parte del Sistema de Gestin de Seguridad de la
Informacin, con resultado documentados que deben propender oportunidades de
mejora
154
ELEMENTOS DE ENTRADA PARA REVISIN
Como elemento fundamental dentro de los elementos de entrada para revisin, se

encuentra la retroalimentacin de las partes interesadas; as como tambin las
acciones tomadas en revisiones previas, cualquier cambio en el SGSI y la
evaluacin previa de riesgo realizada, ente otras.
RESULTADOS DE LA REVISIN
Estos resultados se relacionan con la mejora de la eficacia del SGSI, la

actualizacin en la medicin y plan para tratamiento del riesgo, necesidades de
los recursos, y modificacin de procedimientos que pudieran impactar al SGSI.
CLUSULA 8.
MEJORAR DEL SGSI
Esta clusula hace referencia a la necesidad de mejorar continua y

permanentemente el Sistema de Gestin de Seguridad de la Informacin, en
concordancia con los ciclos de mejora continua, tomando como elemento
fundamental, la accin correctiva y la accin preventiva.
MEJORAMIENTO CONTNUO
La mejora continua es visualizada como el conjunto de acciones emprendidas por

la organizacin, para aumentar la probabilidad de incrementar la satisfaccin de
las partes interesadas.
En esta clusula, la norma especifica que la organizacin debe tomar como fuente
de inspiracin, para iniciar la mejora continua:
- La poltica de seguridad de la informacin
- Los objetivos de seguridad
- Los resultados de auditora
- El anlisis de los eventos monitoreados
- Las acciones correctivas y preventivas
- La revisin gerencial
155
CLAUSULA 8: Seccin 8.2
ACCIN CORRECTIVA
La accin correctiva se define como "accin tomada para eliminar la causa de una
no-conformidad detectada u otras situaciones indeseables" (ISO 9000:2000). En
el contexto del SGSI, una no-conformidad es el" incumplimiento de un requisito."
Cada vez que algo que se haya planificado, o un requerimiento de la norma que
no se hubiese cumplido, automticamente se debe iniciar la accin correctiva.
CLAUSULA 8: Seccin 8.3
ACCIN PREVENTIVA
La accin preventiva se entiende como la accin tomada para eliminar la causa

de una no-conformidad potencial u otra situacin potencialmente indeseable" (ISO
9000:2000).
156
ANEXO A DE LA NORMA ISO 27001:

OBJETIVOS DE CONTROL Y CONTROLES
En esta seccin, se presentan los objetivos de control y controles de la norma, en

base a las 11 reas de control establecidas por la misma. Pueden considerarse
todos los controles, una parte de ellos, e incluso controles adicionales
dependiendo de los requerimientos de la organizacin y su estructura. Sin
embargo si lo que se busca es la Certificacin Internacional, deben aplicarse
todos los controles de una forma exhaustiva
A.5 POLTICA DE SEGURIDAD

OBJETIVO: DIRIGIR Y DAR SOPORTE A LA GESTIN DE LA SEGURIDAD DE LA
INFORMACIN. DE ACUERDO CON LOS REQUISITOS DEL NEGOCIO, LAS LEYES Y
REGLAMENTOS PERTINENTES.
SECCIN
A.5.1.1
A.5.1.2
REQUERIMIENTO
CONTROL
Un documento de poltica de seguridad de informacin ser

Documento de la poltica de seguridad aprobado por la direccin, publicado y comunicado a todos los
de la informacin
empleados y partes externas pertinentes.
La poltica de seguridad de la informacin debe revisarse a
Revisin de la poltica de seguridad de intervalos planificados, o si ocurren cambios significativos asegurar
la informacin
su conveniencia, adecuacin y eficacia continua.
157
A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

A.6.1 ORGANIZACIN INTERNA
OBJETIVO:
GESTIONAR LA SEGURIDAD DE LA INFORMACIN DENTRO DE LA ORGANIZACIN
SECCIN
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
REQUERIMIENTO
CONTROL
Compromiso de la direccin
para la seguridad de la
informacin
La direccin debe apoyar activamente la seguridad dentro de la

organizacin a travs de la direccin clara, del compromiso
demostrado, la asignacin explcita, y el reconocimiento de las
responsabilidades de seguridad de la informacin.
Coordinacin de la seguridad
de la informacin
Las actividades de seguridad de la informacin deben coordinarse

con representantes de diferentes partes de la organizacin, con
roles y funciones de trabajo pertinentes.
Asignacin
de
responsabilidades Deben definirse claramente todas las responsabilidades de
sobre seguridad de la informacin
Proceso de autorizacin para los
Debe definirse e implementarse un proceso de autorizacin para
recursos de procesamiento de la
cada nuevo recurso de procesamiento de la informacin.
informacin
A.6.1.5
Acuerdos de confidencialidad
Debe identificarse y regularmente revisarse los requisitos para los

acuerdos de confidencialidad o no divulgacin que reflejan las
necesidades de la organizacin, para la proteccin de la
informacin.
A.6.1.6
Contacto con las autoridades
Deben mantenerse los contactos apropiados con las autoridades

pertinentes.
A.6.1.7
Contacto con grupos

interesados especiales
Deben mantenerse los contactos apropiados con grupos

interesados especiales u otros foros de especialistas de seguridad
y asociaciones profesionales.
Revisin independiente de la
seguridad de la informacin
El enfoque de la organizacin para gestionar la seguridad de la

informacin y su implementacin (es decir, objetivos de control,
controles, polticas, procesos, y procedimientos para la seguridad
de la informacin) deben revisarse de forma independiente, a
intervalos planificados, o cuando ocurren cambios significativos en
la implementacin de la seguridad.
A.6.1.8
A.6.2 PARTES EXTERNAS

OBJETIVO:
MANTENER LA SEGURIDAD DE LA INFORMACIN Y RECURSOS DE PROCESAMIENTO
DE LA INFORMACIN DE LA ORGANIZACIN QUE SON ACCESADOS, PROCESADOS,
COMUNICADOS, O GESTIONADOS POR ENTIDADES O PARTES EXTERNAS.
SECCIN
REQUERIMIENTO
A.6.2.1
Identificacin de riesgos
relacionados a partes externas
CONTROL
Los riesgos a la informacin y recursos de procesamiento de la
informacin de la organizacin, para los procesos del negocio que
involucran partes externas, deben identificarse y deben
implementarse los controles apropiados antes de otorgar el
acceso.
A.6.2.2
Tratamiento de la seguridad
en las relaciones con clientes
Todos los requisitos de seguridad identificados deben tratarse

antes de dar el acceso al cliente a la informacin, o posesiones de
la organizacin.
A.6.2.3
Tratamiento de la seguridad
en los acuerdos de terceras
partes
Los acuerdos con usuarios de terceras partes que involucran

acceder, procesar, comunicar o gestionar la informacin de la
organizacin o los recursos para el tratamiento de la informacin,
o agregar productos o servicios a recursos para el tratamiento de
la informacin, deben cubrir todos los requisitos de seguridad
pertinentes.
158
A.7 GESTIN DE ACTIVOS

A.7.1 RESPONSABILIDAD POR LOS ACTIVOS
OBJETIVO:
ALCANZAR Y MANTENER LA PROTECCIN APROPIADA DE LOS ACTIVOS DE LA
ORGANIZACIN.
SECCIN
REQUERIMIENTO
CONTROL
A.7.1.1
Inventario de activos
Todos los activos deben identificarse claramente y elaborarse, y

mantenerse el inventario de todos los activos importantes.
A.7.1.2
Propiedad de los activos
A.7.1.3
Utilizacin aceptable de los

Activos
Toda informacin y activos asociados con las instalaciones de

procesamiento de la informacin deben ser "dueo"' por una parte
designada de la organizacin.
Deben identificarse, documentarse e implementarse las reglas, para
la utilizacin aceptable de la informacin y los activos asociados con
las instalaciones de procesamiento de la informacin.
A.7.2 CLASIFICACIN DE LA INFORMACIN

OBJETIVO:
ASEGURAR QUE LA INFORMACIN RECIBA UN NIVEL APROPIADO DE PROTECCIN.
SECCIN
REQUERIMIENTO
CONTROL
A.7.2.1
Directrices de clasificacin
La informacin debe clasificarse en relacin con su valor, requisitos

legales, sensibilidad y criticidad para la organizacin.
A.7.2.2
Etiquetado y manejo de la
Informacin
Un conjunto apropiado de procedimientos para etiquetar y manejar

la informacin debe desarrollarse e implementarse de acuerdo con
el esquema adoptado por la organizacin.
A.8 SEGURIDAD DE LOS RECURSOS HUMANOS

A.8.1 ANTES DEL EMPLEO
OBJETIVO:
ASEGURAR QUE LOS EMPLEADOS, LOS CONTRATISTAS Y USUARIOS DE TERCERAS
PARTES COMPRENDAN SUS RESPONSABILIDADES. Y QUE SEAN APROPIADOS PARA
LOS ROLES CONSIDERADOS, Y PARA REDUCIR EL RIESGO DEL ROBO, FRAUDE O MAL
USO DE LOS RECURSOS.
SECCIN
REQUERIMIENTO
CONTROL
Roles y responsabilidades
Los roles y responsabilidades de seguridad de los empleados,

contratistas y usuarios terceras partes deben definirse y
documentarse de acuerdo con la poltica de seguridad de la
informacin de la organizacin.
A.8.1.2
Seleccin
La verificacin de los antecedentes sobre todos los candidatos para

empleados, contratistas, y usuarios de terceras partes deben
llevarse a cabo de acuerdo con las leyes, reglamentaciones y tica
pertinentes, y proporcionales a los requisitos del negocio, a la
clasificacin de la informacin a ser accesada, y los riesgos
percibidos.
A.8.1.3
Trminos y condiciones de
Empleo
Como parte de su obligacin contractual, los empleados contratistas

y usuarios de terceras partes deben acordar y firmar los trminos y
condiciones de su contrato de trabajo, que debe declarar sus
responsabilidades por la seguridad de la informacin de la
organizacin.
A.8.1.1
159
A.8.2 DURANTE EL EMPLEO

OBJETIVO:
ASEGURAR QUE TODOS LOS EMPLEADOS, CONTRATISTAS Y USUARIOS DE TERCERAS
PARTES SON CONSCIENTES DE LAS AMENAZAS Y ASPECTOS RELACIONADOS CON LA
SEGURIDAD DE LA INFORMACIN, SUS RESPONSABILIDADES Y OBLIGACIONES, Y QUE
ESTN EQUIPADOS PARA RESPALDAR LA POLTICA DE SEGURIDAD DE LA
ORGANIZACIN EN EL CURSO NORMAL DE SU TRABAJO, Y REDUCIR EL RIESGO DE
ERROR HUMANO.
SECCIN
A.8.2.1
A.8.2.2
REQUERIMIENTO
CONTROL
Responsabilidades de la
Direccin
La direccin debe requerir que los empleados, contratistas y

usuarios de terceras partes apliquen la seguridad de acuerdo con
las polticas y procedimientos establecidos de la organizacin.
Todos los empleados de la organizacin y, cuando sea pertinente,

los contratistas y usuarios de terceras partes deben recibir la
Toma de conciencia, educacin y
formacin en toma de conciencia y las actualizaciones regulares
formacin en la
seguridad de la
apropiadas en las polticas y procedimientos de la organizacin,
informacin
como sea pertinente para su funcin de trabajo.
Debe haber un proceso disciplinario formal para los empleados
quienes cometan un incumplimiento de seguridad.
A.8.2.3
Proceso disciplinario
A.8.3 TERMINACIN O CAMBIO DE EMPLEO

OBJETIVO:
ASEGURAR QUE LOS EMPLEADOS, CONTRATISTAS Y USUARIOS DE TERCERAS PARTES
SE RETIRAN DE UNA ORGANIZACIN O CAMBIAN EL EMPLEO DE UNA MANERA
ORDENADA.
SECCIN
REQUERIMIENTO
CONTROL
A.8.3.1
Responsabilidades de la terminacin
Deben definirse y asignarse claramente las responsabilidades para

llevar a cabo la terminacin o cambio de empleo.
A.8.3.2
Devolucin de los activos
A.8.3.3
Retiro de los derechos de acceso
Todos los empleados, contratistas y usuarios de terceras partes

deben devolver todos los activos de la organizacin en su posesin,
una vez terminado su empleo, contrato o acuerdo.
Los derechos de acceso de todos los empleados, contratistas y
usuarios de terceras partes a la informacin y recursos para el
procesamiento de la informacin deben retirarse una vez terminado
su empleo, contrato o acuerdo, o una vez ajustado el cambio.
160
A.9 SEGURIDAD FSICA Y AMBIENTAL

A.9.1 REAS SEGURAS
OBJETIVO:
PREVENIR EL ACCESO FSICO NO AUTORIZADO, DAO E INTERFERENCIA A LAS
INSTALACIONES E INFORMACIN DE LA ORGANIZACIN.
SECCIN
REQUERIMIENTO
CONTROL
A.9.1.1
Permetro de seguridad fsica
Los permetros de seguridad (barreras tales como paredes, puertas

de entrada controladas por tarjeta, o puesto de recepcin manual)
deben utilizarse para proteger las reas que contienen la informacin,
y las instalaciones de procesamiento de la informacin.
A.9.1.2
Controles fsicos de entrada
Las reas de seguridad deben estar protegidas por controles de

entrada apropiados que aseguren el permiso de acceso slo al
personal autorizado.
A.9.1.3
Seguridad de oficinas, habitaciones Debe disearse y aplicarse la seguridad fsica para oficinas,
e instalaciones.
habitaciones, e instalaciones.
A.9.1.4
Debe disearse y aplicarse la proteccin fsica contra el dao por

Proteccin contra las amenazas
fuego, inundacin, sismo, explosin, disturbios, y las otras formas de
externas y ambientales
desastre natural o hecho por el hombre.
A.9.1.5
Trabajo en reas seguras
A.9.1.6
Deben disearse y aplicarse la proteccin fsica y las directrices para

trabajar en reas seguras.
Los puntos acceso, como las reas de entrega y carga y otras donde
las personas no autorizadas pueden entrar en las instalaciones,
reas de acceso al pblico, entrega
deben controlarse y, si es posible, aislarse de instalaciones de
y carga
procesamiento de la informacin para evitar el acceso no autorizado.
A.9.2 SEGURIDAD DE LOS EQUIPOS

OBJETIVO:
PREVENIR PRDIDAS, DAOS, ROBO O COMPROMETER LOS ACTIVOS E INTERRUPCIN
DE LAS ACTIVIDADES DE LA ORGANIZACIN.
SECCIN
REQUERIMIENTO
A.9.2.1
Ubicacin y proteccin del equipo
A.9.2.2
Servicio de apoyo
A.9.2.3
Seguridad del cableado
A.9.2.4
Mantenimiento de equipos
A.9.2.5
A.9.2.6
A.9.2.7
CONTROL
El equipo debe ubicarse o protegerse para reducir los riesgos de
amenazas y peligros ambientales, y oportunidades para el acceso no
autorizado.
El equipo debe protegerse contra fallas de energa y otras
interrupciones elctricas causadas por fallas en los servicios de
apoyo.
El cableado de energa elctrica y de comunicaciones, que transporta
datos o brinda apoyo a los servicios de informacin, debe protegerse
contra interceptacin o dao.
Los equipos deben mantenerse adecuadamente para asegurar su
continua disponibilidad e integridad.
Seguridad de equipos fuera de las Debe aplicarse la seguridad a los equipos exteriores teniendo en
instalaciones de la organizacin
cuenta los diferentes riesgos de trabajar fuera de las instalaciones de
la organizacin.
Seguridad en la reutilizacin
eliminacin de equipos
Retiro de la propiedad
Todos los elementos del equipo que contengan dispositivos de

almacenamiento de datos deben controlarse, para asegurar que
cualquier dato sensible y software bajo licencia ha sido removido o
tachado antes de su disposicin.
No deben sacarse de las instalaciones, sin autorizacin, los equipos,
la informacin o el software.
161
A.10 GESTIN DE LAS COMUNICACIONES Y OPERACIONES

A.10.1 PROCEDIMIENTOS Y RESPONSABILIDADES DE OPERACIN
OBJETIVO:
ASEGURAR LA OPERACIN CORRECTA Y SEGURA DE LOS RECURSOS
TRATAMIENTO DE INFORMACIN.
SECCIN
REQUERIMIENTO
A.10.1.1
Documentacin
operativos
de
DE
CONTROL
procedimientos Los procedimientos operativos deben documentarse, mantenerse, y
estar disponibles a todos los usuarios que los necesitan.
A.10.1.2
Gestin de cambio
Deben controlarse los cambios para los recursos y sistemas de

procesamiento de la informacin.
A.10.1.3
Segregacin de tareas
Las tareas o reas de responsabilidad deben segregarse para

reducir las oportunidades de modificacin no autorizada o mal uso
de los activos de la organizacin.
A.10.1.4
Separacin de los recursos para el Deben separase los recursos para el desarrollo, prueba/ensayo y
desarrollo,
prueba/
ensayo
y operacin para reducir los riesgos del acceso no autorizado o
operacin.
cambios al sistema operativo.
A.10.2 GESTIN DE ENTREGA DE SERVICIO DE TERCERA PARTE

OBJETIVO:
IMPLEMENTAR Y MANTENER EL NIVEL APROPIADO DE SEGURIDAD DE LA
INFORMACIN Y LA ENTREGA DEL SERVICIO EN LNEA CON LOS ACUERDOS DE
ENTREGA DE SERVICIO DE TERCERA PARTE.
SECCIN
A.10.2.1
A.10.2.2
A.10.2.3
REQUERIMIENTO
Entrega del servicio
Seguimiento y revisin de los

servicios de tercera parte
Gestin de cambios para los

servicios de tercera parte
CONTROL
Debe asegurarse que los controles de seguridad. las definiciones
del servicio y niveles de entrega incluidos en el acuerdo de entrega
de servicio de tercera parte son implementados, operados, y
mantenidos por la tercera parte.
Los servicios, informes y registros suministrados por la tercera parte
deben ser seguidos y revisados regularmente, y deben ser llevadas
a cabo auditorias regularmente.
Los cambios para el suministro de servicios, incluyendo el
mantenimiento y mejora de las polticas, procedimientos y controles
de seguridad de informacin existentes, deben gestionarse,
tomando en cuenta la criticidad del sistemas del negocio y los
procesos involucrados y la reevaluacin de los riesgos.
A.10.3 PLANIFICACIN Y ACEPTACIN DEL SISTEMA

OBJETIVO:
MINIMIZAR EL RIESGO DE FALLAS DE LOS SISTEMAS.
SECCIN
REQUERIMIENTO
CONTROL
A.10.3.1
Gestin de la capacidad
Deben realizarse seguimiento, ajustes, y proyecciones de los

requisitos de la capacidad futura de la utilizacin de los recursos,
para asegurar el desempeo del sistema requerido
A.10.3.2
Aceptacin del sistema
Deben establecerse los criterios de aceptacin para los nuevos

sistemas de informacin y versiones nuevas o mejoradas y deben
desarrollarse pruebas adecuadas de los sistemas durante el
desarrollo y antes de la aceptacin.
162
A.10.4 PROTECCIN CONTRA CDIGO MALICIOSO Y MOVIBLE

OBJETIVO:
PROTEGER LA INTEGRIDAD DEL SOFTWARE Y DE LA INFORMACIN.
A.10.4.1
A.10.4.2
Controles contra cdigo- malicioso
Control contra cdigo movible
Deben implantarse los controles de deteccin, prevencin y

recuperacin para la proteccin contra cdigo malicioso, y
procedimientos adecuados de toma de conciencia de los usuarios.
Donde la utilizacin de cdigo movible est autorizada, la
configuracin debe asegurar que el cdigo movible autorizado opera
de acuerdo con una poltica de seguridad claramente definida, y
debe prevenirse el ejecutar el cdigo movible no autorizado.
A.10.5 COPIA DE SEGURIDAD

OBJETIVO:
MANTENER LA INTEGRIDAD Y LA DISPONIBILIDAD DE LA INFORMACIN Y LOS
RECURSOS DE PROCESAMIENTO DE LA INFORMACIN.
SECCIN
A.10.5.1
REQUERIMIENTO
CONTROL
Copia de seguridad de la
Informacin
Las copias de seguridad de la informacin y software deben ser

tomadas y probadas con regularidad de acuerdo con la poltica de
copia de seguridad acordada.
A.10.6 GESTIN DE SEGURIDAD DE LA RED

OBJETIVO:
ASEGURAR LA PROTECCIN DE LA INFORMACIN EN LAS REDES Y LA PROTECCIN DE
SU INFRAESTRUCTURA DE SOPORTE.
SECCIN
A.10.6.1
A.10.6.2
REQUERIMIENTO
CONTROL
Controles de red
Las redes deben gestionarse y controlarse adecuadamente, a fin de

estar protegidas de las amenazas, y mantener la seguridad para los
sistemas y aplicaciones que utiliza la red, incluyendo la informacin
en trnsito.
Seguridad de servicios de red
Las caractersticas de seguridad, los niveles del servicio, y los

requisitos de gestin de todos los servicios en red deben
identificarse e incluirse en cualquier acordado de servicio de red, ya
sea que estos servicios sean proporcionados en la empresa o
subcontratados.
A.10.7 MANEJO DE MEDIOS DE INFORMACIN

OBJETIVO:
PREVENIR LA DIVULGACIN, MODIFICACIN, ELIMINACIN O DESTRUCCIN NO
AUTORIZADA DE LOS ACTIVOS, E INTERRUPCIN DE LAS ACTIVIDADES DEL NEGOCIO.
SECCIN
REQUERIMIENTO
CONTROL
A.10.7.1
Gestin de medios removibles
Deben existir procedimientos para la gestin de medios removibles.
A.10.7.2
Disposicin de medios
Cuando ya no son requeridos, los medios de informacin deben

eliminarse de forma segura y sin peligro, utilizando procedimientos
formales.
A.10.7.3
A.10.7.4
Se deben establecer procedimientos para el manejo y

Procedimientos de manejo de la
almacenamiento de la informacin para protegerla contra su uso
informacin
inadecuado o divulgacin no autorizada.
Seguridad de la documentacin de La documentacin de sistema debera protegerse contra el acceso
sistemas
no autorizado.
163
A.10.8 INTERCAMBIO DE INFORMACIN

OBJETIVO:
MANTENER LA SEGURIDAD DE LA INFORMACIN Y EL SOFTWARE INTERCAMBIADO
DENTRO DE UNA ORGANIZACIN Y CON CUALQUIER ENTIDAD EXTERNA.
SECCIN
A.10.8.1
A.10.8.2
A.10.8.3
A.10.8.4
A.10.8.5
REQUERIMIENTO
CONTROL
Polticas y procedimientos
intercambio de informacin
Deben establecerse polticas, procedimientos de intercambio

de formales, y controles para proteger el intercambio de informacin a
travs de la utilizacin de toda clase de recursos de comunicacin.
Deben establecerse acuerdos, para el intercambio de informacin y
software entre la organizacin y partes externas.
Acuerdos de intercambio
Los medios que contienen la informacin deben protegerse contra el

Medios de informacin fsicos en acceso no autorizado, mal uso o corrupcin durante el transporte
trnsito
ms all de los lmites fsicos de una organizacin.
Debe estar apropiadamente protegida la informacin involucrada en
el mensaje electrnico.
Mensaje electrnico
Deben desarrollarse e implementarse las polticas y procedimientos

para proteger la informacin asociada con la interconexin de los
sistemas de informacin del negocio.
Sistemas de informacin del

Negocio
A.10.9 SERVICIOS DE COMERCIO ELECTRNICO

OBJETIVO:
ASEGURAR LA SEGURIDAD DE SERVICIOS DE COMERCIO ELECTRNICO, Y SU
UTILIZACIN SEGURA.
SECCIN
REQUERIMIENTO
CONTROL
A.10.9.1
Comercio electrnico
La informacin involucrada en la transferencia de comercio

electrnico en redes pblicas debe protegerse de la actividad
fraudulenta, litigios contractuales, y la divulgacin o modificacin no
autorizada.
A.10.9.2
Transacciones en lnea
La informacin involucrada en las transacciones en lnea debe

protegerse para prevenir la transmisin incompleta, prdida de
rutas, alteracin de mensaje no autorizado, divulgacin no
autorizada y duplicacin o repeticin de mensaje no autorizada.
A.10.9.3
La integridad de la informacin que est disponible sobre un sistema

disponible pblicamente debe protegerse para prevenir la
modificacin no autorizada.
Informacin disponible
Pblicamente
A.10.10 SEGUIMIENTO
OBJETIVO:
DETECTAR LAS
AUTORIZADAS.
SECCIN
A.10.10.1
ACTIVIDADES
REQUERIMIENTO
Registro de auditora
DE
PROCESAMIENTO
DE
LA
INFORMACIN NO
CONTROL
Deben producirse y mantenerse los registros de auditorias que
registren actividades, excepciones y eventos de seguridad de la
informacin del usuario, durante un periodo definido para ayudar en
futuras investigaciones y seguimiento del control de accesos.
Deben establecerse los procedimientos para el seguimiento de la
utilizacin de los recursos de procesamiento de la informacin, y los
resultados de las actividades de seguimiento revisadas
regularmente.
A.10.10.2
Seguimiento de la utilizacin
de los sistemas
A.10.10.3
Proteccin de la informacin
del registro
Deben protegerse los recursos de registro e informacin de registro

contra el acceso manipulado y no autorizado.
A.10.10.4
Administrador y operador de
Registros
Deben registrarse las actividades del administrador y el operador del

sistema.
A.10.10.5
Registro de fallas
Las fallas deben registrarse, analizarse y tomarse las acciones

apropiadas.
A.10.10.6
Sincronizacin de relojes
Los relojes de todos los sistemas de procesamiento de la

informacin pertinentes, dentro de una organizacin o dominio de
seguridad, deben sincronizarse con una fuente de tiempo exacta
acordada.
164
A.11 CONTROL DE ACCESOS

A.11.1 REQUISITOS DEL NEGOCIO PARA EL CONTROL DE ACCESOS
OBJETIVO:
CONTROLAR LOS ACCESOS A LA INFORMACIN.
SECCIN
A.11.1
REQUERIMIENTO
Poltica de control de accesos
CONTROL
Debe establecerse, documentarse y revisarse una poltica de
control de accesos, basada en los requisitos del negocio y de
seguridad para el acceso.
A.11.2 GESTIN DE ACCESO DE USUARIOS

OBJETIVO:
ASEGURAR EL ACCESO DEL USUARIO AUTORIZADO Y PREVENIR EL ACCESO NO
AUTORIZADO A LOS SISTEMAS DE INFORMACIN.
SECCIN
REQUERIMIENTO
CONTROL
A.11.2.1
Registro de usuarios
Debe existir un procedimiento formal de registro y desregistro de

usuarios para conceder y revocar el acceso a todos los sistemas y
servicios de informacin.
A.11.2.2
Gestin de privilegios
Deben restringirse y controlarse la utilizacin y la asignacin de

privilegios.
A.11.2.3
Gestin de contraseas de usuario
Debe controlarse la asignacin de contraseas a travs de un

proceso de gestin formal.
A.11.2.4
Revisin de los derechos de

acceso de usuario
La direccin debe revisar los derechos de acceso de los usuarios a

intervalos regulares, utilizando un proceso formal.
A.11.3 RESPONSABILIDADES DE USUARIOS

OBJETIVO:
PREVENIR EL ACCESO DE USUARIOS NO AUTORIZADOS, Y COMPROMETER O ROBAR
LA INFORMACIN Y LOS RECURSOS DE PROCESAMIENTO DE INFORMACIN.
SECCION
REQUERIMIENTO
CONTROL
A.11.3.1
Uso de contraseas
Debe requerirse a los usuarios seguir las buenas prcticas de

seguridad para la seleccin y uso de sus contraseas.
A.11.3.2
Equipo desatendido
Los usuarios deben asegurar que los equipos desatendidos estn

debidamente protegidos.
A.11.3.3
Para los recursos de procesamiento de informacin, debe

adoptarse una poltica de escritorios limpios de papel y de
Polticas de escritorios y pantallas
dispositivos de almacenamiento removibles, y una poltica de
limpias
pantallas limpias.
165
A.11.4 CONTROL DE ACCESO A LA RED

OBJETIVO:
PREVENIR EL ACCESO NO AUTORIZADO A LOS SERVICIOS DE RED.
SECCIN
REQUERIMIENTO
A.11.4.1
Poltica de utilizacin de los servicios Los usuarios slo deben tener acceso a tos servicios que han sido
de red
especficamente autorizados a utilizar.
A.11.4.2
Autenticacin de usuarios
para conexiones externas
Deben utilizarse mtodos de autentificacin apropiados para

controlar el acceso por usuarios remotos.
Identificacin de equipo en
Redes
Debe considerarse la identificacin de equipo automtico como

un medio de autentificar las conexiones de ubicaciones y equipos
especficos.
Proteccin del diagnstico

remoto y de la configuracin
de puerto
Debe controlarse el acceso fsico y lgico para el diagnstico y

configuracin de los puertos.
A.11.4.3
A.11.4.4
CONTROL
A.11.4.5
Segregacin en redes
Deben segregarse los grupos de los servicios de informacin, los

usuarios, y los sistemas de informacin en las redes.
A.11.4.6
Control de conexin de redes
Para redes compartidas, especialmente aquellas que atraviesan las

fronteras de la organizacin, la capacidad de usuarios a conectarse
a la red debe restringirse, de acuerdo con la poltica de control de
acceso y los requisitos de las aplicaciones del negocio
A.11.4.7
Deben implementarse los controles de direccionamiento a redes,

para asegurar que las conexiones entre computadora y los flujos de
informacin no violen la poltica de control de acceso de las
aplicaciones del negocio.
Control de direccionamiento
en la red
A.11.5 CONTROL DE ACCESO AL SISTEMA OPERATIVO

OBJETIVO:
PREVENIR EL ACCESO NO AUTORIZADO A LOS SISTEMAS OPERATIVOS.
SECCIN
REQUERIMIENTO
CONTROL
A.11.5.1
Procedimientos de conexin segura
Debe controlarse el acceso a los sistemas operativos por un

procedimiento de conexin segura.
A.11.5.2
Identificacin
usuario
A.11.5.3
Sistema de gestin de contraseas
A.11.5.4
A.11.5.5
A.11.5.6
autenticacin
del
Todos los usuarios deben disponer de un identificador nico (ID de

usuario) slo para su uso personal, y debe seleccionarse una
tcnica de autenticacin adecuada, para probar la identidad
declarada de un usuario.
Los sistemas para la gestin de contraseas deben ser interactivos,
y deben asegurar la calidad de las contraseas.
Debe restringirse y controlarse estrechamente la utilizacin de

Utilizacin de las prestaciones del
programas de servicio que podran ser capaces de eludir las
sistema.
medidas de control del sistema y de las aplicaciones.
Sesin inactiva
Limitacin del tiempo de
Conexin
Las sesiones inactivas deben apagarse despus de un periodo

definido de la inactividad.
Las restricciones al horario de conexin deben ser utilizadas para
proporcionar seguridad adicional a las aplicaciones de alto riesgo.
A.11.6 CONTROL DE ACCESO A LAS APLICACIONES E INFORMACIN

OBJETIVO:
PREVENIR EL ACCESO NO AUTORIZADO A LA INFORMACIN CONTENIDA EN LOS
SISTEMAS DE APLICACIN.
SECCIN
REQUERIMIENTO
CONTROL
A.11.6.1
El acceso a la informacin y las funciones del sistema de aplicacin

Restriccin de acceso a la informacin por usuarios y personal de soporte debe restringirse, de acuerdo
con la poltica de control de acceso definida.
A.11.6.2
Aislamiento de sistemas
Sensibles
Los sistemas sensibles deben tener un entorno informtico

dedicado (aislados).
166
A.11.7 COMPUTACIN MVIL Y TRABAJO A DISTANCIA

OBJETIVO:
ASEGURAR LA SEGURIDAD DE LA INFORMACIN CUANDO SE UTILIZAN RECURSOS DE
COMPUTACIN MVIL Y DE TRABAJO A DISTANCIA.
SECCIN
A.11.7.1
A.11.7.2
REQUERIMIENTO
CONTROL
Computacin mvil y comunicaciones
Debe implantarse una poltica formal, y deben adoptarse las

medidas de seguridad apropiadas para proteger contra los riesgos
de utilizar recursos de computacin mvil y de comunicacin.
Deben
desarrollarse
e
implementarse
polticas,
planes
operacionales y procedimientos para las actividades de trabajo a
distancia.
Trabajo a distancia
A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTO

A.1 2.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIN
OBJETIVO:
ASEGURAR QUE LA SEGURIDAD ES UNA PARTE INTEGRAL DE LOS SISTEMAS DE
INFORMACIN.
A.12.1.1
Anlisis y especificacin
requisitos de seguridad
de
los
Las declaraciones de los requisitos del negocio para los nuevos

sistemas de informacin o mejoras a los sistemas de informacin
existentes deben especificar los requisitos de control de seguridad.
A.12.2 PROCESAMIENTO CORRECTO EN LAS APLICACIONES

OBJETIVO:
PREVENIR LOS ERRORES. PRDIDA. MODIFICACIN NO AUTORIZADA O MAL USO DE LA
INFORMACIN EN LAS APLICACIONES.
A.12.2.1
Validacin de datos de entrada
Deben validarse los datos de entrada a las aplicaciones para

asegurarse de que stos son correctos y apropiados.
A.12.2.2
Control del procesamiento

Interno
Deben incorporarse a las aplicaciones las comprobaciones de

validacin para detectar cualquier corrupcin de la informacin a
travs de los errores de procesamiento o actos deliberados.
A.12.2.3
Integridad de mensaje
Deben identificarse los requisitos para asegurar la autenticidad y

proteger la integridad de mensajes en aplicaciones. e identificarse e
implementarse los controles apropiados.
A.12.2.4
Validacin de los datos de

Salida
Deben validarse los datos de salida de una aplicacin para

asegurarse de que el procesamiento de la informacin almacenada
es correcto y apropiado a las circunstancias.
A.12.3 CONTROLES CRIPTOGRFICOS

OBJETIVO:
PROTEGER LA CONFIDENCIALIDAD. AUTENTICIDAD O INTEGRIDAD DE LA INFORMACIN
POR LOS MEDIOS CRIPTOGRFICOS.
A.12.3.1
A.12.3.2
Poltica sobre la utilizacin

controles criptogrficos
Gestin de claves
de Debe desarrollarse e implementarse una poltica sobre la utilizacin

de controles criptogrficos para la proteccin de la informacin.
Debe establecerse la gestin de clave para dar apoyo a la utilizacin
por la organizacin de tcnicas criptogrficas.
167
A.12.4 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

OBJETIVO:
ASEGURAR LA SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA
A.12.4.1
Control del software operativo
Deben existir procedimientos establecidos para controlar

instalacin del software en sistemas en funcionamiento.
la
A.12.4.2
Proteccin de los datos de

prueba del sistema
Deben seleccionarse cuidadosamente y protegerse y controlarse los

datos de prueba.
A.12.4.3
Control de acceso al cdigo

fuente del programa
Debe restringirse el acceso al cdigo fuente del programa.
A.12.5 SEGURIDAD EN LOS PROCESOS DE DESARROLLO Y SOPORTE

OBJETIVO:
MANTENER LA SEGURIDAD DEL SOFTWARE Y LA INFORMACIN DEL SISTEMA DE
APLICACIN.
A.12.5.1
A.12.5.2
A.12.5.3
Procedimientos de control de de La implementacin de los cambios debe ser controlada por la

cambios
utilizacin de procedimientos formales de control de cambios.
Cuando los sistemas operativos son cambiados, deben revisarse y
Revisin tcnica de aplicaciones
probarse las aplicaciones crticas del negocio para asegurarse de
despus de los cambios de sistema
que no hay impacto adverso sobre las operaciones, o la seguridad de
operativo
la organizacin.
Las modificaciones a paquetes de software deben ser desalentadas,
Restricciones en los cambios a los
limitadas a los cambios necesarios, y todo cambio debe controlarse
paquetes de software.
estrictamente.
A.12.5.4
Fuga de informacin
A.12.5.5
Desarrollo de software contratado La organizacin debe supervisar y realizar seguimiento al desarrollo

externamente
de software contratado externamente.
Deben prevenirse las oportunidades de fuga de informacin.
A.12.6 GESTIN DE VULNERABILIDAD TCNICA

OBJETIVO:
REDUCIR LOS RIESGOS QUE RESULTAN DE LA EXPOSICIN
VULNERABILIDADES TCNICAS PUBLICADAS.
A.12.6.1
Control de
tcnicas
las
DE
LAS
Debe obtenerse la informacin oportuna sobre las vulnerabilidades

tcnicas del sistema de informacin que est siendo utilizado,
vulnerabilidades evaluarse la exposicin de la organizacin a tales vulnerabilidades, y
tomarse las medidas apropiadas para tratar el riesgo asociado.
A.13 GESTIN DE INCIDENTE DE SEGURIDAD

A.13.1 REPORTAR LOS EVENTOS Y DEBILIDADES DE SEGURIDAD DE LA INFORMACIN
OBJETIVO:
ASEGURAR QUE LOS EVENTOS Y DEBILIDADES DE SEGURIDAD DE LA INFORMACIN
ASOCIADAS CON LOS SISTEMAS DE INFORMACIN SEAN COMUNICADOS DE UNA
MANERA TAL QUE PERMITA QUE LA ACCIN CORRECTIVA SEA TOMADA
OPORTUNAMENTE.
A.13.1.1
A.13.1.2
Deben reportarse los eventos de seguridad de la informacin a travs

de los canales de gestin apropiados tan rpidamente como sea
Reporte de los eventos de seguridad
posible.
de informacin
Reporte de debilidades de seguridad
Debe requerirse a todos los empleados, contratistas y usuarios de

terceras partes de los sistemas y servicios de informacin, detectar e
informar cualquier debilidad en la seguridad de los sistemas o
servicios, que haya sido observada o sospechada.
168
A.13.2 GESTIN DE LOS INCIDENTES Y MEJORAS DE SEGURIDAD DE LA INFORMACIN

OBJETIVO:
ASEGURAR QUE UN ENFOQUE COHERENTE Y EFICAZ ES APLICADO A LA GESTIN DE
LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIN.
A.13.2.1
Responsabilidades y procedimientos
A.13.2.2
Aprendizaje de los incidentes

seguridad de la informacin
A.13.2.3
Deben establecerse las responsabilidades y procedimientos de

gestin para asegurar una respuesta rpida, eficaz y ordenada a los
incidentes de seguridad de informacin.
de
Deben establecerse mecanismos que permitan cuantificar y realizar

el seguimiento de los tipos, volmenes y costos de los incidentes de
seguridad de informacin.
Cuando una accin de seguimiento contra una persona u
organizacin, despus de un incidente de seguridad de la
informacin que involucra acciones legales (civiles o criminales),
deben recolectarse, conservarse y presentarse evidencias conforme
a las reglas establecidas por la legislacin aplicable, o por el tribunal
que sigue el caso.
Recoleccin de evidencias
A.14 GESTIN DE CONTINUIDAD DEL NEGOCIO

A.14 ASPECTOS DE SEGURIDAD DE LA INFORMACIN DE LA GESTIN DE
CONTINUIDAD DEL NEGOCIO
OBJETIVO:
CONTRARRESTAR LAS INTERRUPCIONES DE LAS ACTIVIDADES DEL NEGOCIO Y
PROTEGER LOS PROCESOS CRITICOS DEL NEGOCIO DE LOS EFECTOS DE FALLAS
SIGNIFICATIVAS O DESASTRES DE LOS SISTEMAS DE INFORMACIN, Y ASEGURAR SU
REANUDACIN OPORTUNA.
A.14.1.1
A.14.1.2
A.14.1.3
A.14.1.4
A.14.1.5
Un proceso dirigido debe ser desarrollado y mantenido para la

La informacin en el proceso de
continuidad del negocio, a travs de la organizacin que trate los
gestin de la continuidad del negocio
requisitos de seguridad de la informacin necesarios para la
continuidad del negocio de la organizacin.
Los eventos que pueden causar interrupciones a los procesos del
negocio deben identificarse, al mismo tiempo que la probabilidad e
Continuidad del negocio y evaluacin
impacto de tales interrupciones y sus consecuencias para la
del riesgo
Deben desarrollarse e implementarse planes para mantener y
Desarrollar e implementar planes de
recuperar las operaciones y asegurar la disponibilidad de la
continuidad que incluyan la seguridad
informacin al nivel requerido y en los plazos requeridos, tras la
de la informacin
interrupcin o la falla en los procesos crticos del negocio.
Marco de planificacin
continuidad del negocio
para
la
Se debe mantener un esquema nico de planes de continuidad del

negocio, para asegurar que dichos planes son coherentes, para
tratar coherentemente los requisitos de seguridad de la informacin,
y para identificar las prioridades de prueba y mantenimiento.
Prueba, mantenimiento y reevaluacin Deben probarse y actualizar con regularidad los planes de
de los planes de continuidad del continuidad del negocio, para asegurarse de su actualizacin y
negocio
eficacia.
169
A.15 CUMPLIMIENTO NORMATIVO

A.15.1 CUMPLIMIENTO DE REQUISITOS LEGALES
OBJETIVO:
EVITAR INCUMPLIMIENTOS DE CUALQUIER LEY, ESTATUTO, OBLIGACIN,
REGLAMENTARIOS O CONTRACTUALES, Y DE CUALQUIER REQUISITO DE SEGURIDAD.
A.15.1.1
A.15.1.2
A.15.1.3
A.15.1.4
Deben definirse, documentarse y mantenerse actualizados todos

los requisitos legales, reglamentarios y contractuales pertinentes y
Identificacin de la legislacin aplicable el enfoque de la organizacin que cumplan estos requisitos para
cada sistema de informacin y de la organizacin
Derechos
(DPI)
de
propiedad
Deben implementarse los procedimientos apropiados para asegurar

el cumplimiento de los requisitos legales, reglamentarios y
intelectual contractuales sobre el uso del material protegido por derechos de
propiedad intelectual, y sobre el uso de productos de software
reservados.
Deben protegerse los registros importantes contra prdida,

Proteccin de los registros de la
destruccin y falsificacin, de acuerdo con los requisitos legales,
organizacin
estatutarios, reglamentarios y contractuales y del negocio.
Deben asegurarse la proteccin de datos y la privacidad como sea
Proteccin de datos y de la privacidad
requerido en la legislacin, las reglamentaciones pertinentes, y, si
de la informacin personal
es aplicable, en las clusulas contractuales.
A.15.1.5
Debe disuadirse a los usuarios de utilizar los recursos de

Prevencin del mal uso de los recursos
procesamiento de la informacin para propsitos no autorizados.
de procesamiento de la informacin
A.15.1.6
Regulacin de controles criptogrficos
Deben utilizarse los controles criptogrficos en cumplimiento con

todos los acuerdos, leyes, y regulaciones pertinentes.
A.15.2 CUMPLIMIENTO CON LAS POLTICAS Y NORMAS DE SEGURIDAD Y EL

CUMPLIMIENTO TCNICO
OBJETIVO:
ASEGURAR EL CUMPLIMIENTO DE LOS SISTEMAS CON LAS POLTICAS Y NORMAS DE
SEGURIDAD DE LA ORGANIZACIN.
A.15.2.1
A.15.2.2
Cumplimiento con las

normas de seguridad
polticas
Comprobacin del cumplimiento

tcnico
Los gerentes deben asegurar que todos los procedimientos de

seguridad dentro de su rea de responsabilidad son llevados a cabo
correctamente, para alcanzar el cumplimiento con las normas y
polticas de seguridad.
Debe comprobarse regularmente la compatibilidad de los sistemas
de informacin con las normas de implementacin de seguridad.
A.15.3 CONSIDERACIONES DE AUDITORA DE LOS SISTEMAS DE INFORMACIN

OBJETIVO:
MAXIMIZAR LA EFECTIVIDAD Y MINIMIZAR LAS INTERFERENCIAS EN EL PROCESO DE
AUDITORIA DEL SISTEMA DE LA INFORMACIN.
A.15.3.1
A.15.3.2
Deben planificarse cuidadosamente y acordarse los requisitos y

actividades de auditoria que involucren comprobaciones en los
Control de auditoria de los sistemas de
sistemas operativos, para minimizar el riesgo de interrupcin de los
informacin
procesos de negocio.
Proteccin de las herramientas de Debe protegerse el acceso a las herramientas de auditoria del
auditoria
de
los
sistemas
de sistema de la informacin para prevenir cualquier posible mal uso o
informacin
compromiso.
170
ANEXO B DE LA NORMA ISO 27001:

PRINCIPIOS OECD Y LA ISO 27001
Los principios dados en las directrices OECD, para los sistemas de seguridad
de la informacin y redes, aplican a todos los niveles de la poltica y
operacional que rigen los sistemas de seguridad de la informacin y las
redes. Esta Norma proporciona un marco al sistema de gestin de seguridad
de la informacin para implementar algunos de los principios de OECD,
utilizando el modelo PHVA. El modelo est alineado con las guas y principios
de la Organizacin para la Cooperacin y el Desarrollo Econmico., OEDC.
PRINCIPIO OECD
PROCESO CORRESPONDIENTE DE LA NORMA DE

SISTEMA DE GESTIN Y ETAPA PHVA
Toma de conciencia
Esta actividad es parte de la etapa Hacer
Los participantes deberan estar conscientes de las
necesidad de los sistemas de seguridad de la informacin y
redes y de que pueden ellos hacer para incrementar la
seguridad.
Responsabilidad
Esta actividad es parte de la etapa Hacer
Todos los participantes son responsables de los sistemas y
de seguridad de la informacin y redes.
Respuesta
Los participantes deberan actuar de manera temprana y
cooperativa para prevenir, detectar y responder a los
incidentes de seguridad.
Esta es una parte de la actividad de seguimiento de la

etapa Verificar y una actividad de respuesta de la etapa
Actuar. Esto tambin puede estar cubierto por algunos
aspectos de las etapas Planificar y Verificar.
Evaluacin del riesgo

Esta actividad es parte de la etapa Planificar Y la
Los participantes deberan conducir las evaluaciones del reevaluacin del riesgo es parte de la etapa.
riesgo.
Diseo e implementacin de la seguridad
Los participantes deberan incorporar la seguridad como un
elemento esencial de los sistemas de informacin y las
redes.
Una vez que la evaluacin del riesgo ha sido completada,

los controles son seleccionados para el tratamiento de los
riesgos como parte de la etapa Planificar. La etapa Hacer
entonces cubre la implementacin y el uso operacional de
stos controles
Gestin de la seguridad
La gestin del riesgo es un proceso que incluye la
Los participantes deben adoptar un enfoque amplio para la prevencin, la deteccin y la respuesta a los incidentes, el
gestin de la seguridad.
mantenimiento continuo, la revisin y la auditora. Todos
estos aspectos son cubiertos en las etapas Planificar,
Hacer, Verificar y Actuar.
Reevaluacin
Los participantes deben revisar y deben revaluar
la seguridad de los sistemas de informacin y redes, y
hacer modificaciones apropiadas a las polticas, prcticas,
mediciones y procedimientos de seguridad.
La reevaluacin de la seguridad de la informacin es una

parte de la etapa Verificar donde revisiones regulares
deberan emprenderse para verificar la efectividad del
sistema de gestin de seguridad de la informacin, y la
mejora de la seguridad que es parte de la etapa
171
ANEXO C DE LA NORMA ISO 27001:

CORRESPONDENCIA CON LA ISO 9001:2000, ISO 14001:2004
La norma esta diseada que sea compatible con el ISO 9001:2000 y con el ISO
14001:2004.
Norma ISO 27001
ISO 9001 :2000
ISO 14001:2004
0 Introduccin
0.1 Generalidades
0.2 Enfoque de procesos
0.3 Compatibilidad con otros sistemas de
. gestin
0 Introduccin
0.1 Generalidades
0.2 Enfoque de procesos
0.3 Relacin con ISO 9004
0.4 Compatibilidad con sistemas de
Gestin
Introduccin
1 Objeto y campo de aplicacin

1.1 Generalidades
1.2 Aplicacin
1 Objeto y campo de aplicacin

1.1 Generalidades
1.2 Aplicacin
1 Objeto
aplicacin
2 Referencias normativas
3 Trminos y definiciones
Sistema de Gestin de Seguridad

de la Informacin
4.1 Requisitos generales
4.2 Establecimiento y gestin de SGSI
4.2.1Establecimiento del SGSI
4.2.2Implementacin y operacin del SGSI
4.2.3Seguimiento y revisin del SGSI
4.2.4 Mantenimiento y mejora del SGSI

8.2.3 Seguimiento y medicin de los
procesos
8.2.4 Seguimiento y medicin del
producto
4
Requisitos SGA
4.4
Implementacin
operacin
4.5.1Seguimiento y medicin
4.3 Requisitos de la documentacin

4.3.1 Generalidades
4.3.2 Control de los documentos
4.3.3 Control de los registros
4.2
Requisitos de
documentacin
4.2.1 Generalidades
4.2.2 Manual de la Calidad
4.2.3 Control de los documentos
4.4.5Control
de
la
documentacin
5 Responsabilidad de la direccin
5 Responsabilidad de la direccin
5.2 Enfoque al cliente
5.3 Poltica de la calidad
5.4 Planificacin
5.5 Responsabilidad, autoridad y
Comunicacin
4.2 Poltica ambiental

4.3 Planificacin
5.2 Gestin de los recursos

5.2.1 Provisin de recursos
5.2.2 Formacin, toma de toma de
conciencia y competencia
6
Gestin de los recursos
6.1 Provisin de recursos
6.2 Recursos humanos
6.2.2Competencia, toma de
conciencia y formacin
6.3 Infraestructura
6.4 Ambiente de trabajo
4.4.2 Competencia, formacin y

.
toma de conciencia
8.2.2 Auditorias internas
4.5.5 Auditorias internas
7 Revisin por la direccin del SGSI

7.1 Generalidades
7.2 Revisin de los elementos de
entrada
7.3 Revisin de los resultados
5.6 Revisin por la direccin

5.6.1 Generalidades
5.6.2 Revisin de los elementos
de entrada
5.6.3 Revisin de los resultados
4.6 Revisin por la direccin
8 Mejora del SGSI

8.1 Mejora continua
8.5 Mejora
8.5.1 Mejora continua
4.5.3 No-conformidad, accin

correctiva y accin preventiva
6 Auditoras internas del SGSI

Anexo A Objetivos de control y controles
Anexo B Principios OECD y esta norma
Anexo C Correspondencia entre la Norma
ISO 9001 :2000, ISO 14001:2004y esta
Norma
la
campo
de
8.5.3 Acciones correctivas

8.5.3 Acciones preventivas
Anexo A Correspondencia entre ISO
9001 :2000 e ISO 14001 :1996
Anexo A Orientaciones para la

utilizacin de esta norma Anexo
B Correspondencia entre ISO
14001:2004 e ISO 9001:2000
ANEXO 2
DOCUMENTOS EXIGIDOS POR EL ISO 27001
173
DOCUMENTOS EXIGIDOS POR EL ISO 27001 :2005
En la seccin 4.3, el ISO 27001:2005 plantea que los documentos y registros

pueden estar en cualquier forma o medio.
1.
Documentar el alcance del modelo
2.
Documentar la poltica de seguridad de informacin
3.
Documentar la metodologa de evaluacin del riesgo
4.
Documentar los criterios para aceptar los riesgos e identificar los niveles de
riesgo aceptables
5.
Documentar el inventario de activos y sus propietarios
6.
Documentar la tasacin de los activos de informacin
7.
Documentar las amenazas y vulnerabilidades de los activos de informacin
8.
Documentar los niveles de riesgo estimados
9.
Documentar el proceso de evaluacin de opciones de tratamiento del riesgo
10. Documentar el proceso de seleccin de objetivos de control y controles para

el tratamiento del riesgo
11. Documentar la aprobacin de la gerencia para los riesgos residuales
propuestos
12.
Documentar la autorizacin de la gerencia para implementar y operar el

SGSI
13.
Documentar el enunciado de aplicabilidad
14. Documentar el plan de tratamiento del riesgo

15. Documentar la asignacin del roles y responsabilidades del plan de
tratamiento del riesgo
16. Documentar cmo medir la efectividad de los controles o grupos de controles
seleccionados, y especificar cmo se van a utilizar estas mediciones para
evaluar la efectividad del control, para producir resultados comparables y
reproducibles
17. Documentar la implementacin de los programas de capacitacin y
conocimiento
18. Documentar cmo detectar prontamente los errores en los resultados de
procesamiento
174
19. Documentar cmo detectar prontamente los incidentes y violaciones de

seguridad fallidos y exitosos
20. Documentar cmo la gerencia determina si las actividades de seguridad
delegadas a las personas, e implementadas mediante la tecnologa de
informacin, se estn realizando como se esperaba
21. Documentar cmo se detectan los eventos de seguridad, para evitar los
incidentes de seguridad mediante el uso de indicadores
22. Documentar el procedimiento para verificar si las acciones tomadas para
resolver una violacin de seguridad han sido efectivas
23. Documentar el procedimiento para medir la efectividad de los controles para
verificar que se hayan cumplido los requerimientos de seguridad
24. Documento para revisar las evaluaciones del riesgo a intervalos planeados y
revisar el nivel de riesgo residual y riesgo aceptable identificado
25. Documento para actualizar los planes de seguridad para tomar en cuenta los
descubrimientos de las actividades de monitoreo y revisin
26. Elaborar el registro de las acciones y eventos que podran tener un impacto
sobre la efectividad o desempeo del SGSI
27. Procedimientos y controles de soporte
28. Procedimientos para describir cmo medir la efectividad de los controles
29. Procedimiento para el control de documentos
30. Mantener registros del desempeo del proceso y todas las ocurrencias de
incidentes de seguridad significativos relacionados con el SGSI
31. Establecimiento de objetivos y planes del SGSI
32. Documentar el establecimiento de roles y responsabilidades para la
seguridad de informacin.
33. Registros
de
educacin,
capacitacin,
capacidades,
experiencias
calificaciones
34. Definir en un procedimiento documentado las responsabilidades, los
requerimientos para la planeacin y realizacin de las auditoras y para el
reporte de resultados y mantenimiento de registros .
175
35. Registros de las revisiones gerenciales

36. Procedimiento documentado para el manejo de la accin correctiva
37. Procedimiento documentado para el manejo de la accin preventiva
38. Documentar las responsabilidades por la seguridad de informacin de las
personas en la empresa
39. Documentacin de la poltica del proceso disciplinario en la empresa
40. Procedimiento para reportar eventos de seguridad
41. Documentar los requerimientos legales de los sistemas de informacin.
42. Procedimiento para validar el insumo de data en las aplicaciones, para
asegurar que la data sea correcta y apropiada
43. Procedimiento para incorporar chequeos de validacin en las aplicaciones
para detectar cualquier corrupcin de la informacin, a travs de errores de
procesamiento o actos deliberado
44. Procedimiento para identificar los
requerimientos
para asegurar la
autenticidad y proteccin de la integridad de mensaje en las aplicaciones. En

el procedimiento se pueden incluir la identificacin y la implementacin de
los controles apropiados
45. Procedimiento para validar el resultado de data de una aplicacin para
asegurar que el procesamiento de la informacin almacenada sea correcto y
apropiado para las circunstancias
46. Procedimiento para obtener informacin oportuna sobre las vulnerabilidades
tcnicas de los sistemas de informacin en uso
47. Procedimiento para evaluar la exposicin de la organizacin ante las
vulnerabilidades tcnicas
48. Procedimiento para tomar las medidas apropiadas para tratar el riesgo
asociado con vulnerabilidades tcnicas
49. Documentar las responsabilidades para asegurar una respuesta rpida,
efectiva y ordenada a los incidentes de seguridad de la informacin
50. Procedimiento documentado para crear el mecanismo para cuantificar y
monitorear los tipos, volmenes y costos de los incidentes en la seguridad
de la informacin
51. Procedimiento
documentado
para
recolectar,
mantener
presentar
evidencias para cumplir las reglas de evidencia establecidas en las
176
jurisdicciones relevantes, cuando la accin de seguimiento contra una

persona u organizacin, despus de un incidente en la seguridad de la
informacin, involucra una accin legal (civil o criminal)
52. Documentar el proceso de anlisis y evaluacin del riesgo para el diseo de
un plan de continuidad del negocio
53. Documentar un Business Impact Analysis en el cual se identifiquen los:
procesos esenciales, los requerimientos de recursos y los tiempos de
recuperacin
54. Documentar los escenarios de amenazas para la continuidad del negocio
55. Documentar las estrategias de continuidad para el negocio
56. Documentar los planes de reanudacin de operaciones para la continuidad
del negocio
57. Procedimiento documentado para los ensayos orientados a probar los
planes de continuidad del negocio
58. Procedimiento documentado para efectuar el mantenimiento a los planes de
continuidad del negocio
59. Documentar los controles para la identificacin, el almacenaje, la proteccin,
la recuperacin, el tiempo de retencin y la disposicin de los registros
60. Evidencia documentada que asegure que los procedimientos de seguridad
de la informacin respaldan los requerimientos comerciales
61. Evidencia documentada donde se identifican y se tratan los requerimientos
legales y reguladores y las obligaciones de seguridad contractuales
62. Evidencia documentada de mantener una seguridad adecuada mediante la
correcta aplicacin de todos los controles implementados
63. Evidencia documentada de mejorar el SGSI donde se requiera
64. Evidencia documentada donde se determinan las capacidades necesarias
para el personal que realiza trabajo que afecta el SGSI
65. Evidencia documentada donde se proporciona la capacitacin o se realizan
otras acciones para satisfacer estas necesidades
66. Evidencia documentada donde se evala la efectividad de las acciones
tomadas
177
67. Evidencia documentada donde las actividades de seguimiento de las

auditorias internas incluyen la verificacin de las acciones tomadas y el
reporte de los resultados de verificacin
ANEXO 3
ESTADSTICAS DE LAS COOPERATIVAS DE AHORRO Y
CRDITO ECUATORIANAS
179
1.
ESTADISTICAS DE COOPERATIVAS DE AHORRO Y CRDITO EN EL

CONTEXTO NACIONAL
A)
EVOLUCIN
SOCIO
ECONMICA
DE
LAS
COOPERATIVAS
DE
AHORRO Y CRDTIO
En las siguientes figuras, puede verse como han crecido los fondos, los activos, el
nmero de socios, el nmero de empleados, indicando que es un sector en total
crecimiento financiero, lo cual no se refleja de la misma manera en el desarrollo
regional de sus actividades.
Todos estos datos estadsticos fueron extrados de la FECOAC y elaborados por
el Ing. Anbal Mantilla
EVOLUCION DEL ACTIVO FIJO CAC
(EN MILLONES USD)
ACTIVO FIJO DE CAC

EN MILLONES DE
USD
40
35
30
25
20
15
10
5
0
2001
2002
2003
2004
PERIODO
FIGURA 1del Anexo 3
FIGURA 2 del Anexo 3
Evolucin del activo fijo en las CAC
Estructura del activo total de las CAC - Del ao 2001 al ao 2004
180
EVOLUCION DEL NUEMRO DE EMPLEADOS
NUMERO DE
EMPLEADOS
4000
3500
3000
2500
2000
1500
1000
500
0
2001
2002
2003
2004
PERIODOS
B)
Evolucin del nmero de empleados
COMPARACIN ENTRE COOPERATIVAS DE AHORRO Y CRDTIO CON

BANCOS PRIVADOS
La expansin de las CAC ha sido dinmica en esos aos, evidenciando en

algunos caos, una tasa de crecimiento aun mayor que de los bancos. Esto hace
que las Cooperativas de ahorro y crdito, tengan cada vez una mayor relevancia
en el mercado financiero nacional.
EVOLUCION DEL ACTIVO TOTAL CAC VERSUS BANCOS

PRIVADOS
(EN MILLONES DE DOLARES)
9000
8000
7000
6000
ACTIVO TOTAL
5000
EN MILLONES DE
4000
DOLARES
3000
2000
1000
0
1
BANCOS PRIVADOS
CAC
Evolucin del activo total CAC versus bancos privados
181
EVOLUCION DE CARTERA TOTAL CAC VERSUS BANCOS PRIVADOS (EN

M ILLONES DE DOLARES)
4000
3500
3000
CARTERA TOTAL EN 2500
2000
MILLONES DE
DOLARES
1500
1000
500
0
BANCOS PRIVADOS
2001
2002
CAC
2003
2004
Evolucin de cartera total CAC versus bancos privados
EVOLUCION DEL ACTIVO FIJO DEL TOTAL CAC VERSUS

BANCOS PRIVADOS (EN MILLONES DE DOLARES)
400
350
300
250
ACTIVO FIJO EN
MILLONES DE
200
DOLARES
150
100
50
BANCOS PRIVADOS
0
2001
2002
CAC
2003
2004
Evolucin del activo fijo del total CAC versus bancos privados
Estructura de los activos - CAC y Bancos Privados
182
EVOLUCION TOTAL DE DEPOSITOS : CAC VERSUS

BANCOS PRIVADOS (EN MILLONES DE DOLARES)
7000
6000
5000
TOTAL
DEPOSITOS
4000
3000
2000
1000
0
2001
2002
2003
CAC
2004
BANCOS PRIVADOS
Evolucin total de depsitos: CAC versus bancos privados
EVOLUCION TOTAL DE INGRESOS. CAC VERSUS BANCOS

PRIVADOS (EN MILLONES DE DOLARES)
1200
1000
800
TOTAL
INGRESOS
600
400
200
0
2001
2002
2003
CAC
2004
BANCOS PRIVADOS
FIGURA 9 del Anexo 3 Evolucin total de ingresos. CAC versus bancos privados
EVOLUCION TOTAL DE EGRESOS. CAC VERSUS BANCOS

1200
1000
800
TOTAL
EGRESOS
600
400
200
0
2001
2002
CAC
2003
2004
BANCOS PRIVADOS
Evolucin total de egresos. CAC versus bancos privados
183
EVOLUCION DE LA UTILIDAD NETA. CAC VERSUS BANCOS

120
100
UTILIDAD NETA EN
MILLONES DE
DOLARES
80
60
40
20
0
2001
2002
2003
PERIODOS
CAC
2004
BANCOS PRIVADOS
FIGURA 11 del Anexo 3 Evolucin de la utilidad neta. CAC versus bancos privados
C)
PARTICIPACIN REGIONAL DE LAS COOPERATIVAS DE AHORRO Y

CRDITO
Las Cooperativas de Ahorro y Crdito han tenido un desenvolvimiento mucho mas

amplio en la Sierra que en la Costa; en el Oriente, el desarrollo aun es mnimo.
Esto puede apreciarse en varios indicadores.
TOTAL DE CAC: EVOLUCION DE CARTERA POR REGIONES

(MILLONES DE DOLARES)
600
500
400
CARTERA EN
MILLONES 300
DE USD
200
COSTA
SIERRA
ORIENTE
100
0
2001
2002
2003
2004
PERIODO
Total de CAC: evolucin de cartera por regiones
184
TOTAL DE CAC: DISTRIBUCION TOTAL DE

CAPTACIONES POR REGIONES (MILLONES DE
DOLARES)
600
500
CAPTACIONES 400
POR REGIONES
300
(MILLONES DE
200
DOLARES)
COSTA
SIERRA
ORIENTE
100
0
2001
2002
2003
2004
PERIODO
Total de CAC: distribucin total de captaciones por regiones
TOTAL DE CAC: DISTRIBUCION DEL PATRIMONIO NETO

POR REGIONES (MILLONES DE DOLARES)
150
PATRIMONIO
NETO POR 100
REGIONES
(MILLONES DE
50
DOLARES)
COSTA
SIERRA
ORIENTE
0
2001
2002
2003
2004
Total de CAC: distribucin del patrimonio neto por regiones
TOTAL DE CAC: EVOLUCION DEL NUMERO DE SOCIOS POR

REGIONES (MILLONES DE DOLARES)
1400
1200
NUMERO DE 1000
SOCIOS POR
800
REGIONES
(MILLONES DE 600
DOLARES)
400
COSTA
SIERRA
ORIENTE
200
0
2001
2002
2003
2004
PERIODO
Total de CAC: evolucin del nmero de socios por regiones
185
2. ESTADISTICAS DE LAS CAC EN EL AMBITO LATINIAMERICANO

Instituciones
Activos en
De las coop`s:
Pas
tipo
total
Supervisadas
por la SB/BC
Bolivia
Brasil
23
2974
97
743
99
Bancos
12
40983
5430
Coop. De Crdito y Coop. Centrales
CACs (DECOOP)1
Paraguay
Per
Venezuela
1460
38008
Reales
394
21467
22
10554
5961
152
2346666
1325426
1300
39
300
USD
300
39
1343
1343
Bancos
24
13735
13735
CACs supervisadas
7
Y
Cajas
no
469
51
13058
13058
CACs
168
Bancos
44
CACs
779
Bancos
14
CACs
168
Bancos
13
CACs*
1755
Bancos
54
TABLA 1 del Anexo 3
Fuente. www.dgrv.org
740
469
Dato no disponible
USD
180
No hay datos exactos
740
160
Bancos
80
CACs *
56
1460
Bolivarianos
CACs supervisadas (incl.2do piso)
Bancos
Trab.
supervisadas
Panam
(mill)
23
CACs no supervisadas
Nicaragua
En USD
mill.)
CACs Cerrada
Bancos
El salvador
Equivalente
CACs Abiertas
Bancos Coop.
Ecuador
Moneda
MN (en
225
160
Crdobas
12
60316
0
507
3191
Balboa/USD
56325
0
7194093
507
56325
Guaran
1515
21861093
168
2272
4602
Nuevos Soles
108349
0
251000
215864494
758
36164
Bolvares
251
2150846
Monto de participacin de CAC y Bancos en Amrica Latina al 200756

ELABORADO POR
Ing. Mantilla Anbal
186
Pas
Tipo de Instituciones
Nmero de
Activos
Participacin
instituciones
(USD Millones)
mercado (%)
1998
Bolivia
CACs supervisadas
Brasil
Coop. De Crdito
Bancos Coop.
Colombia
Bancos cooperativos
2007
1998
2007
256
394
3,9
6,7
103
97
99
1,7
1198
1460
2358
21,467
0,5
1,4
283
5961
0,1
0,4
1707
3,6
934
1084
2,0
1,3
451
209
1176
2326
2,5
2,8
45
0,1
CACs supervisadas
36
30
502
1510
3,3
7,4
74
35
89
151
0,6
0,7
Bancos cooperativos
18
CACs supervisadas
26
40
75
CACs
Organismo grado superior
Ecuador
1998
23
44
Coop. Financieras
Costa Rica
2007
17
1300
1,0
1343
0,8
300
2,0
Nicaragua*
CACs
180
191
225
0,4
Panam *
CACs
187
168
359
507
1,0
1,0
Paraguay
CACs
779
749
1515
7,0
22,9
Per
CACs
198
168
244
759
1,2
1,9
Repblica
Dominicana*
CACs
71
18
43
329
0,8
2,5
Venezuela*
CACs
45
1755
251
- Dato no disponible
* No se supervisa ninguna cooperativa
TABLA 2 del Anexo 3 Evolucin financiera de CAC y Bancos en Amrica Latina57

ELABORADO POR
Ing. Mantilla Anbal
57
8,3
Fuente. www.dgrv.org
0,1
ANEXO 4
CUESTIONARIOS PREPARADOS PARA DETERMINAR LA
SITUACIN DE LA GESTION DE LA SEGURIDAD
INFORMTICA EN LAS COOPERATIVAS DE AHORRO Y
CRDITO
188
CUESTIONARIO 1: APLICACIONES
NOTA:
1
Casi nunca
En las preguntas cuya respuesta sea afirmativa, la valoracin de la

escala planteada, cualitativamente corresponde a los siguientes parmetros:
2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
Preguntas
No
1
Si
3 4
POLITICAS Y PROCEDIMIENTOS
Existen manuales y procedimientos que documentan la
aplicacin?
Existen diagramas de flujo de datos que documenten las
operaciones que se describan?
ESTANDARES DE DESARROLLO Y PRODUCCIN
Se evala el procedimiento de actualizacin de los estndares?
Los mantenimientos efectuados a la aplicacin se ajustan a los
estndares de desarrollo?
Se cumplen las polticas de backups?
Se verifica que todos los procesos que se corren queden
registrados?
Los procesos de almacenamiento y restauracin de datos
cumplen con los estndares de produccin?
DATOS DE ENTRADA
Se verifica la consistencia e integridad en la informacin en los siguientes aspectos?
Legibilidad de la informacin
Manejo de errores en el documento fuente
Polticas de retencin de los documentos
Control de los documentos confidenciales
Almacenamiento de los documentos no diligenciados
Sistema de control sobre documento digitado
Sistema de control de lotes o grupos de documentos procesados
Conservacin del consecutivo del documento
PROCEDIMIENTO Y ACTUALIZACIN DE INFORMACIN
Se ejecutan pruebas a los programas correspondientes a la
aplicacin?
Se verifica la consistencia de la informacin (informes o
reportes por pantalla y listados) ?
Se analiza los programas fuente para los programas ms
crticos?
Existen consistencia entre los campos de los archivos con la
informacin que debe ser almacenada en ellos?
Utiliza alguna metodologa para la actualizacin de los
archivos?
Se realizan cambios y mantenimiento de los programas
verificando las debidas autorizaciones ?
189
INFORMES DE COMPUTADOR
Se utiliza una matriz para revisar la estructura de los informes?
Se analiza el origen y destino final de los informes?
Se evala el sistema de archivo y retencin de los informes del
computador?
Se evala la informacin de salida a la luz del sistema de
informacin requerido por la gerencia?
DOCUMENTACIN
Se documentan las modificaciones que evidencian los programas?
SEGURIDAD
Se evala el sistema de seguridad lgico a travs del archivo de
seguridad y los archivos de usuarios con privilegios?
Se analiza el periodo de modificaciones de los password propios
de la aplicacin?
Se verifica en el log del sistema de los accesos que observan los
programas y archivos ms crticos?
PROCEDIMIENTOS DE RESPALADO
Existe un plan de contingencia de las aplicacin y el conocimiento
del mismo por parte de los usuarios?
Se evala el sistema de backups utilizado para los archivos de
datos?
CAPACITACION Y SOPORTE A USUARIOS
Se determina el grado de conocimiento que tienen los usuarios
para el manejo de los mdulos propios de la aplicacin?
Se revisan los procedimientos de capacitacin que son utilizados
para la instruccin de los usuarios?
Se analizan las respuestas que tienen los usuarios sobre los
problemas tanto de hardware como de programas?
190
CUESTIONARIO 2: CENTRO DE CMPUTO / CAC : COOPERATIVA DE AHORRO Y CREDITO

NOTA:
1
Casi nunca

2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
Preguntas
No
1
PREGUNTAS CLAVE
Tienen procedimientos escritos que se manejan. Manuales
por aplicacin(sistemas y operacin) ?
Cual es el diagrama de red de la cooperativa?
Cuantos servidores tienen?

Cual es la ubicacin de los servidores?
Cual es el numero de terminales

conectadas?
Cual es el numero de usuarios
conectados al servidor?
Cuales son los protocolos y servicios instalados ?
Reciben y/o envan archivos a entidades externas?

Cuales son sus principales proveedores de tecnologa?
Hay sistemas de seguridad electrnica instalados?
Actualmente se tiene auditoria del sistema?
Hay planes de contingencia para el rea informtica?
Hay proyectos futuros?
Si
3
191
CUIDADO DE LAS INSTALACIONES

Ubicacin
Es adecuada la ubicacin del centro de computo?
Es adecuada la ubicacin de la estantera?
Es adecuada la ubicacin de la luz?
Existe un procedimiento claro de limpieza y aseo para los
computadores y el centro de cmputo?
Electricidad
Tienen reguladores de voltaje?
Hay corriente regulada identificada?
Existen pruebas de funcionamiento de la UPS?
Existe plano elctrico de la CAC?
Se cuenta con planta elctrica? Se tienen procedimientos
claros para su uso y mantenimiento?
Se hace revisin de los circuitos elctricos de la instalacin?
Aire acondicionado
Hay sistema de aire acondicionado?
Hay sistema de reserva energtica para el aire
acondicionado?
Es suficiente para el rea del centro de computo? Controla la
humedad del aire?
Se tiene sistema redundante de aire acondicionado?
Proteccin contra incendios
Tienen sistema de proteccin contra incendios?
Se hizo capacitacin al personal del rea para el manejo de
los extintores y se han probado?
Tienen procedimientos de emergencia?
Existen normas o actividades ante un desastre?
Existen estrategias para la evacuacin?
Seguros
Estn asegurados, contra qu, qu
est protegido, en qu medida?
Es seguro el sitio de ubicacin del bien asegurado?

Se evala los procedimientos para el manejo de los seguros?
Se revisa el inventario de equipos de cmputo de la
cooperativa y se notifica a la aseguradora?
Hardware
Estn asegurados los PC?
Se verifica sobre qu estn asegurados los PC?
Software
Tiene licencias?
Plizas de manejo
Hay plizas de manejo?
Cul es su cobertura?
Quines estn incluidos?
192
OPERACIN DE LOS SERVIDORES

Registro de operaciones
Evala el manejo de bitcoras en el centro de cmputo.
Cada cunto se revisan los registros?
Procedimientos del operador
Tienen manual de funciones?
Sus actividades estn basadas en normas claras?
Hay procedimientos para Prender el Servidor?
Hay procedimientos para Apagar el Servidor?
Hay procedimientos para Otorgar permisos en el sistema?
Programacin de actividades
Son programadas las actividades del operador?
Manejan cronogramas, planes de trabajo y/o acuerdos de
servicio?
Mantenimiento de archivos maestros
Se chequea o revisa las tablas principales del sistema
contable y las aplicaciones de misin crtica?
Se evala la frecuencia de depuracin de los archivos
maestros?
Se revisar los procedimientos de depuracin de archivos
maestros?
CONTROL DE ENTRADAS Y SALIDAS
Entradas
Que control hay sobre el documento que se recibe?
Salidas
Existen hoja de ruta de los informes?
Se comparan los informes contra los documentos de
entrada?
SEGURIDAD EN INSTALACIONES
Administracin general de la seguridad
Considera a los sistemas de vigilancia adecuados?
Hay garantas de seguridad del sitio donde est ubicado el
centro de cmputo?
Seguridad externa
Los controles de acceso son adecuados?
Seguridad interna
Son independientes las reas de trabajo?
Los computadores estn ubicados en sitios seguros?
Se protegen los equipos con cobertores plsticos?
Hay canaletas, iluminacin y ergonoma en el rea?
ORGANIZACIN Y PERSONAL
Organizacin y personal
Cules son los criterios de administracin?
Cules son los periodos vacacionales?
Hay rotacin de analistas en su cargo?
Cules son las estrategias de promocin?
Cules son los parmetros de ascenso establecidos?
Segregacin de funciones
Se detecta concentracin de funciones en algn empleado?
Existen criterios en el rea para difundir o multiplicar
conocimientos?
La capacitacin esta relacionada con los proyectos del rea?
193
PLANES DE CONTINGENCIA
Creacin del plan
Existen planes de contingencias?
Estn documentados?
Est establecido el personal que participa en la definicin
del plan de contingencias. ?
Hardware
Tienen equipo de soporte?
Tienen acuerdos con otras compaas?
Tienen acuerdos con los proveedores?
Tienen dispositivos claves?
Software
Tienen procedimientos manuales que garanticen la
continuidad del servicio?
Tienen previsto personal para el plan de contingencias?
Existe matriz de sustitutos - Quien reemplaza a quien?
Se realiza difusin del plan?
Hay planes de difusin y entrenamiento?
Se realizan pruebas de simulacin (ensayos)?
194
CUESTIONARIO 3: NUEVOS DESARROLLOS

NOTA:
1
Casi nunca

2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
Preguntas
No
1
PLANEACIN Y ANLISIS DEL PROYECTO

Se encuentra establecido el objetivo del proyecto?
Se encuentra establecido el personal involucrado?
Se encuentra establecido el cronograma de trabajo?
Se encuentra establecido el presupuesto?
Se encuentra establecido el equipo y aplicaciones asociados?
Se encuentra establecida la participacin y aceptacin por
parte del usuario?
Como se aplica la metodologa de desarrollo?
EN LA ETAPA DEL DISEO
Se ha revisado el cumplimiento de normas legales, polticas,
procedimientos, normas contables y tributarias?
Se han considerado perodos de retencin de archivos, backup,
procedimientos de recuperacin?
Se ha revisado el plan de pruebas y/o conversin de
programas.
Se ha revisado el plan de migracin de datos?
Se ha revisado la matriz de acceso a la aplicacin?
Se ha propuesto tablas-auditor para datos crticos, previa
discusin con el usuario?
Se ha sugerido cifras de control para los datos?
El grupo de diseo realiza reportes y consultas de control?
CONSTRUCCIN Y PRUEBAS
Se han implantado controles?
Se cumple con la documentacin referida en los estndares?
Se ha revisado el cumplimiento del presupuesto?
El usuario a participado y ha aprobado las pruebas de
aplicaciones y pruebas de conversin y/o migracin de
programas y datos?
La auditora interna ha participado en pruebas a programas?
Se han cumplido los planes de entrenamiento?
Existen controles automticos?
Se ha revisado el plan de contingencias de la aplicacin?
EN CONVERSIN E INSTALACIN
Se realiza revisiones al proceso de conversin?
Se realiza revisiones finales de los procedimientos. ?
Se verificar la creacin de controles recomendados?
Se verificar la completa aceptacin del usuario?
Se realizan pruebas completas antes de instalarse en
produccin?
Se informa sobre el cumplimiento de los presupuestos
iniciales?
Si
2 3 4
195
CUESTIONARIO 4: MICROCOMPUTADORES Y REDES LAN

CAC : COOPERATIVA DE AHORRO Y CREDITO
NOTA:
1
Casi nunca

2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
Preguntas
No
1
Si
3 4
POLTICAS ADMINISTRATIVAS
Existe una poltica documentada para la adquisicin de
microcomputadores?
Existe una poltica documentada para el uso de
microcomputadores?
Se mantiene una lista actualizada de todos los usuarios de
microcomputadores?
Existe un grupo de trabajo o comit para coordinar los proyectos
desarrollados en micros?
Se evalan los medios de difusin peridica de nuevos
desarrollos?
ADQUISICIN DE HARDWARE
Existe un respaldo, con anlisis de costo-beneficio, de las
solicitudes de compra de equipos por parte del usuario?
Qu documentacin existe para el hardware?
Se hace una planeacin del sitio en que se instala los equipos para garantizar:
Proteccin antimagntica?
Servicio elctrico regulado?
Conexin a la red?
Seguridad fsica?
La memoria RAM del servidor, frente al nmero de usuarios
que posee es adecuada?
La capacidad del disco duro del servidor, con relacin al
nmero de usuarios es adecuada?
Hay un registro de uso de microcomputadores para cada rea
usuaria?
ADQUISICIN DE SOFTWARE
Existen polticas para uso y adquisicin de software. ?
Tienen una lista de las versiones de paquetes en uso, en los
diferentes micros, y se verifican que sean copias originales y
licenciadas por la CAC ?
Existen alternativas manuales, para llevar a cabo las tareas que
actualmente se procesan en micros?
Existe un plan general sobre los desarrollos propuestos por los
usuarios?
196
DOCUMENTACIN
Existe un catlogo actualizado del software aplicativo,
desarrollado y adquirido por la CAC?
Existe una metodologa de desarrollo para micros?
Existe documentacin de aplicaciones desarrolladas en
microcomputadores?
COMUNICACIONES
Tomando como base los 7 niveles de red OSI:
Nivel 1. Fsico
Se evala el plano de la red, con base en los siguientes aspectos? :
Dispositivos adjuntos
Diagramas del cableado
Documentacin
Actualizacin
Se tiene procedimientos para mantenimiento peridico?
Se tiene soporte de proveedores alternos, si el proveedor falla?
Existen procedimientos para recuperacin de fallas?
Nivel 2: De enlace de datos
Existe un monitoreo de transmisiones continuo ?
Existen tasas de estadsticas de errores ?
Se investigan altas tasas de error?
Nivel 3: De redes
Verifican las estrategias para monitoreo de las tasas de trfico
de la red?
Existen tablas de ruta de la red?
Se revisa las estadsticas de trfico?
En que medida aprovecha las herramientas que provee el
sistema operativo (Monitor de eventos, Monitor del sistema,
Optimizacin del desempeo, Uso de alertas, Manejo de espacio
en disco, Servicios instalados del servidor?
Se verifica la conectividad a Internet en cuanto a:
-Controles de acceso a Internet. ?
-Firewall?
-Proxy ?
-DNS ?
-DHCP?
-Uso de correo electrnico, administracin del servicio,
definicin de usuarios etc, tamaos de adjuntos?
-Administracin del Antivirus?
Nivel 4: De transporte
Hay procedimientos actuales para la red despus de:
La instalacin inicial?
Falla o modificacin?
Operacin diaria?
Se cuenta con los medios para detectar errores y corregirlos,
en transmisiones fin a fin :
Con monitoreo ?
Con estadsticas?
Con investigacin de alzas?
Existe un registro automtico diario o huella de Auditora para
los cambios a las tablas?
Existen backups de las tablas del sistema operativo?
197
Nivel 5: De sesin
PARA CADA ESTACIN DE TRABAJO Y EL SERVIDOR DE RED:
Se verifica si se puede acceder el sistema operativo?
Se verifica si las claves de acceso son:
Usadas adecuadamente?
Compartidas?
Cambiadas peridicamente?
Cambiadas cuando el personal es transferido?
Requeridas para todas las estaciones de la red?
Requeridas por el sistema operacional de la red?
Existe un procedimiento para recuperacin de claves de acceso?
Existe un procedimiento de control para claves de acceso, a la
red de microcomputadores?
Se controla a travs del sistema operativo de la red:
Las actividades realizadas en cada estacin de trabajo?
Las violaciones de acceso realizadas por estacin de trabajo?
Los controles de acceso para tablas de seguridad son
adecuados?
Las tablas de seguridad son respaldadas frecuentemente y
almacenadas fuera del sistema?
Existe una huella de Auditora o un registro automtico diario?
Nivel 6: De presentacin
Existe criptografa por software ?
Existe criptografa por hardware?
Cuantas claves se usan?
Suministran seguridad apropiada?
Las claves son cambiadas y con qu frecuencia?
Nivel 7: De aplicacin
Se establece si las aplicaciones son individualmente seguras?
Existen limitaciones de clase de transaccin, para determinados
usuarios?
Existen restricciones establecidas para cada nivel de acceso
diferente?
Existe algn seguimiento para actividades invlidas?
El analista de la red es informado de la violacin; y ste avisa a
los usuarios involucrados?
Se usan archivos para pistas de Auditora, disco o servidor para
respaldo?
Existe un procedimiento para ayudar a los usuarios en la
recuperacin?
Existe alguien ms responsable para el respaldo del servidor?
Existe un procedimiento definido para backups?
Se revisa el software, antes de instalarse definitivamente en las
reas de Produccin?
Son adecuados los sitios de almacenamiento de la
documentacin sensible, cuando no est en uso?
Son usadas versiones de red (actualizadas) de programas de
aplicacin?
Se determina si hay violacin de rea entre los usuarios?
198
ENTRENAMIENTO Y SOPORTE A USUARIOS

Existe un programa de capacitacin definido, para los usuarios en
hardware y software?
Existe material para auto estudio?
Se incluye en la capacitacin a los usuarios, la difusin de normas
y polticas establecidas por la empresa con respecto a los micros?
Se analizan las necesidades de capacitacin de los usuarios?
MANTENIMIENTO
Se evalan los contratos de mantenimiento actuales.
Existe un programa para el mantenimiento preventivo y si existe,
que conozcan los usuarios?
Existe un control que relacione los nmeros de serie de las partes
de los equipos que son llevados a mantenimiento a otras
empresas?
Existe un procedimiento a seguir en caso de dao de equipo y es
conocido por los usuarios?
Hay instrucciones al personal de limpieza, cuando ste se
encuentra en un rea de micros?
Se protegen con forros plsticos el teclado, la pantalla y CPU?
Se revisa el tipo de mantenimiento?
Existe un programa de las actividades del mantenimiento
preventivo del contratista?
SEGUROS
Tienen plizas de seguros que amparen los

microcomputadores?
Se verifica si las estipulaciones de las clusulas
corresponden con las caractersticas fsicas de los micros
(tarjetas, velocidad, valor, etc.) ?
Se revisan los procedimientos de reporte a la aseguradora
con respecto a los eventos ocurridos con los equipos?
9
SEGURIDAD
Seguridad del hardware
Se tiene un registro de todos los nmeros seriales de los equipos
perifricos y sus partes ms relevantes (tarjetas especiales) ?
Se hacen comparaciones peridicas entre el inventario fsico y el
registro?
Estn los microcomputadores ubicados en reas de trfico
limitado?
Se puede determinar cuando un equipo ha sido destapado sin
autorizacin?
Seguridad del software
Se tiene establecido el procedimiento para autorizacin de nuevos
usuarios?
Se tienen identificados los archivos de datos confidenciales?
Se registra el acceso y uso de los equipos?
Se tienen identificados, para cada aplicacin, los archivos que
deben mantenerse residentes en el disco duro?
199
10
RESPALDO DE EQUIPOS Y PERIFRICOS

Existen procedimientos definidos para el uso de otros equipos, en
caso de fallas prolongadas?
Se tienen procedimientos manuales documentados, en caso de que
el procedimiento no pueda ser realizado en el microcomputador?
Se tienen identificadas las prioridades a seguir, en caso de daos
en los equipos?
Se utilizan programas de utilidad aprobados, para recuperar datos
en medios destruidos?
200
CAC
CUESTIONARIO 5: SEGURIDAD FISICA (CONTROL DE ACCESO)

: COOPERATIVA DE AHORRO Y CREDITO / CPD: CENTRO DE PROCESAMIENTO DE DATOS
NOTA:
1
Casi nunca

2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
CONTROL DE ACCESO
No
1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Se ha realizado un estudio de riesgo de intrusin en el edificio?

Se ha realizado un anlisis del riesgo de acceso al CPD?
El CPD est completamente aislado del resto del edificio y sus
accesos controlados?
Existe un circuito cerrado de televisin que controle el acceso al
CPD y las puertas de emergencia?
Existe un registro escrito o impreso de todos los accesos a todas
las salas de equipos informticos?
Existe un sistema de control de acceso biomtrico?
Todas las personas con acceso autorizado tienen una tarjeta de
identificacin y estn controlados?
Todo el personal, ajeno o no a la empresa, exhibe de forma clara
la tarjeta de identificacin?
Se utiliza un sistema de control de acceso automtico para el
acceso al CPD?
El acceso al CPD est auditado, tanto para la entrada como para
la salida?
Existen procedimientos especficos de control de acceso para el
personal ajeno a la empresa?
Existe una vigilancia exterior por medio de detectores de
intrusin, conectado a un puesto permanente de vigilancia?
Todas las salidas de emergencia estn equipadas con un
dispositivo de control, unido a un puesto permanente de
vigilancia que alerte de su apertura?
Las oficinas se cierran con llave y se verifica su cierre al
terminar la jornada laboral?
Se aplica a la empresa la poltica de mesas vacas?
Se ha verificado la resistencia de los muros del edificio ante un
intento de intrusin?
Se ha verificado la resistencia de las puertas (calidad de los
marcos, resistencia de la puerta, calidad de los cerrojos y
cerraduras, etc.)?
Se ha verificado la resistencia de las ventanas?
Las ventanas de las plantas bajas disponen de rejas o barrotes y
se ha verificado su resistencia?
Se necesita un permiso expreso para acceder al CPD?
Se notifican al CPD con suficiente antelacin las visitas
previstas?
Hay un control y archivo diario de las grabaciones del sistema
de vigilancia?
Si
3 4
201
23
24
25
26
27
28
Existe un servicio de vigilantes de seguridad?

Existe un procedimiento de rondas y verificacin de la
seguridad fsica?
Existe un procedimiento de recepcin de materiales, que
garanticen su inspeccin antes de su traslado al interior del
edificio?
Existe un control de la entrada y salida de material?
Existe un sistema de deteccin de metales?
Existe un procedimiento especfico de control de acceso del
personal de limpieza?
202
CAC
CUESTIONARIO 5: SEGURIDAD FISICA (INCENDIO)

: COOPERATIVA DE AHORRO Y CREDITO / CPD: CENTRO DE PROCESAMIENTO DE DATOS
NOTA:
1
Casi nunca

2
3
4
5
Regularmente
Bueno
Muy Bueno
Excelente
Frecuentemente
Casi Siempre
Siempre
INCENDIO
No
1
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Se ha realizado un estudio de los riesgos de incendio que cubra

tanto la prevencin como la proteccin?
Los tabiques y revestimientos de muros, techos y suelos estn
fabricados con materiales ignfugos?
El mobiliario del edificio del CPD es ignfugo?
Existe un sistema automtico de deteccin de incendios y est
conectado a una central de alarmas?
Los conductos de aire acondicionado/ventilacin estn
equipados con vlvulas automticas contra incendios?
Se activa automticamente el sistema de corte de energa
elctrica tras la deteccin de un incendio?
Hay barreras como puertas antifuego y/o cortinas antihumos en
los lugares susceptibles de ser utilizadas?
Las puertas cortafuegos se cierran automticamente al saltar la
alarma?
Existe una instalacin fija contra incendios en el CPD?
Existe un suministro adecuado de agua para los sistemas de
extincin de incendios?
La instalacin de deteccin automtica de incendios est
compuesta por al menos dos tipos de detectores (por ejemplo:
detectores de humo inicos y pticos)?
Existe un indicador luminoso y sonoro fuera del CPD cuando el
sistema contra incendios se dispara?
Estas instalaciones son revisadas peridicamente, conforme a la
reglamentacin y tiene un mantenimiento adecuado?
El nmero y distribucin de dispositivos de alarmas contra
incendios es el adecuado?
Las instalaciones de extincin automtica estn realizadas segn
la normativa vigente y estn certificadas como tales?
Las instalaciones de extincin automtica se verifican
peridicamente de acuerdo con la normativa, y su
mantenimiento se realiza regularmente?
Cuando las instalaciones de extincin automtica se quedan
fuera de servicio, se sealiza automticamente en un puesto
permanente de vigilancia ocupado por dos personas como
mnimo?
Existe una instalacin de extintores porttiles en el conjunto de
los locales informticos y el equipamiento del entorno?
La instalacin de extintores porttiles cumple la normativa
vigente?
Si
3
203
20
21
22
23
24
25
26
27
28
29
Existen indicaciones claramente visibles acerca de las

condiciones de uso de los extintores?
Los extintores porttiles se verifican peridicamente de acuerdo
con la normativa y su mantenimiento se realiza adecuadamente?
Se utilizan solo papeleras metlicas en el edificio y papeleras
ignfugas con sus correspondientes tapas en las salas de
ordenadores?
La cantidad de papel almacenada en las salas de impresin es
inferior a las necesidades de un da de produccin?
Los productos diversos de mantenimiento, fcilmente
inflamables, se almacenan fuera del CPD?
Los documentos o soportes informticos de inters para la
empresa se guardan en armarios ignfugos?
Est prohibido fumar en el CPD y se respeta la prohibicin?
Se efecta una limpieza peridica de los espacios ocultos (bajo
el falso suelo, escalera, etc.)?
Se evita la acumulacin de material innecesario en el CPD
Se utilizan contenedores de basura resistentes al fuego?
GLOSARIO DE TRMINOS
205
Aceptacin del riesgo: Es la decisin para aceptar un riesgo.

Actividad: Es el conjunto de tareas.
Activo de informacin: Es algo que la organizacin directamente le asigna un valor, y
por lo tanto, la organizacin lo debe proteger.
Administracin de la informacin: Es el proceso mediante el cual se captura, procesa,
almacena y transmite informacin, independientemente del medio que se utilice; ya sea
impreso, escrito en papel, almacenado electrnicamente, transmitido por correo o por
medios electrnicos o presentado en imgenes
Alta gerencia: La integran los presidentes y vicepresidentes ejecutivos, gerentes
generales, vicepresidentes o gerentes departamentales, entre otros, responsables de
ejecutar las disposiciones del directorio u organismo que haga sus veces, quienes toman
decisiones de alto nivel, de acuerdo con las funciones asignadas y la estructura
organizacional definida en cada institucin controlada.
Amenaza: Cualquier evento accidental o intencionado que pueda ocasionar algn dao
en el sistema informtico, provocando prdidas materiales, financieras o de otro tipo a la
organizacin. Es la indicacin de un potencial evento no deseado. Es una indicacin de
un evento inminentemente desagradable. Es una persona u objeto vista como posible
fuente de peligro o catstrofe. En sntesis amenaza es una indicacin de un evento
desagradable con el potencial de causar dao.
Anlisis del riesgo: Es la utilizacin sistemtica de la informacin para identificar las
fuentes y estimar el riesgo.
Aplicacin: Se refiere a los procedimientos programados a travs de alguna herramienta
tecnolgica, que permiten la administracin de la informacin y la oportuna toma de
decisiones.
BASILEA II: Representa una serie de recomendaciones para garantizar la adopcin y
aplicacin de prcticas adecuadas de gobierno corporativo. Promueve una mayor
consistencia en la forma en que los bancos y las entidades reguladoras bancarias
consideran la administracin del riesgo a travs de diversas fronteras nacionales.
BCP: Business Continuity Planning.
BIA: Business Impact Analysis.
CAC: Cooperativas de Ahorro y Crdito.
Confidencialidad: Es la garanta de que slo el personal autorizado accede a la
informacin preestablecida. Es la propiedad de que la informacin no esta disponible o
divulgada a individuos, entidades o procesos no autorizados.
Cumplimiento: Se refiere a la observancia de las leyes, regulaciones y acuerdos
contractuales a los que los procesos de las instituciones controladas estn sujetos.
206
Datos: Es cualquier forma de registro electrnico, ptico, magntico, impreso o en otros

medios, susceptible de ser capturado, almacenado, procesado y distribuido.
Declaracin de aplicabilidad: Es la declaracin documentada que describe los objetivos
de control y controles que son pertinentes y aplicable al SGSI de la organizacin.
Disponibilidad: Es la garanta de que los usuarios autorizados tienen acceso a la
informacin cada vez que lo requieran a travs de los medios adecuados que satisfagan
sus necesidades. Propiedad de estar accesible y utilizable bajo demanda de una
autoridad autorizada.
Eficacia: Es la capacidad para contribuir al logro de los objetivos institucionales de
conformidad con los parmetros establecidos.
Eficiencia: Es la capacidad para aprovechar racionalmente los recursos disponibles en
pro del logro de los objetivos institucionales, procurando la optimizacin de aquellos y
evitando dispendios y errores.
Encriptacin: Es el proceso mediante el cual la informacin o archivos son alterados en
forma lgica, con el objetivo de evitar que alguien no autorizado pueda interpretarlos al
verlos o copiarlos, por lo que se utiliza una clave en el origen y en el destino.
Enfoque basado en procesos: Es la aplicacin de un sistema de procesos dentro de la
organizacin, junto con la identificacin y las interacciones de estos procesos, as como
su gestin.
Evaluacin del riesgo: Es el proceso global del anlisis del riesgo y la valoracin del
riesgo.
Evento de riesgo operativo: Es el hecho que puede derivar en prdidas financieras para
la institucin controlada.
Evento de seguridad de la informacin: Es una ocurrencia identificada de un estado
del sistema, servicio o red que indica una brecha posible en la poltica de seguridad o
falla de las salvaguardas, o de una situacin previamente desconocida que puede ser
pertinente a la seguridad.
Factor de riesgo operativo: Es la causa primaria o el origen de un evento de riesgo
operativo. Los factores son los procesos, personas, tecnologa de informacin y eventos
externos.
Gestin del riesgo: Son las actividades coordinadas para dirigir y controlar una
organizacin con respecto al riesgo.
Impacto: Es la medicin y la valoracin del tamao que podra producir a la organizacin
un incidente de seguridad. Es la evaluacin del impacto del riesgo
Incidente de seguridad: Es cualquier evento que tenga o pueda tener como resultado la
interrupcin de los servicios suministrados por un sistema informtico y/o posibles
perdidas fsicas, de activos o financieras. Es decir, se considera que un incidente es la
materializacin de una amenaza. Es uno o una serie de eventos de seguridad de la
informacin, indeseados o inesperados que tienen una probabilidad significativa de
comprometer las operaciones del negocio, y amenacen la seguridad de la informacin.
207
Informacin: Es cualquier forma de registro electrnico, ptico, magntico o en otros

medios, previamente procesado a partir de datos, que puede ser almacenado, distribuido
y sirve para anlisis, estudios y toma de decisiones.
Informacin crtica: Es la informacin considerada esencial para la continuidad del
negocio y para la adecuada toma de decisiones.
Ingeniera social: Conjunto de tcnicas y trucos empleados por intrusos y hackers para
extraer informacin sensible de los usuarios de un sistema informtico.
Instalaciones: Es la infraestructura que permite alojar los recursos fsicos relacionados
con la tecnologa de informacin.
Instruccin de trabajo: Las instrucciones de trabajo son informacin muy detallada
sobre el "cmo" efectuar un trabajo en particular. Pueden presentarse de varias formas.
Las ms usadas son las listas de chequeo, las tablas de decisiones, los flujogramas y
dibujos. Es la informacin que explica en detalle como se efecta una operacin
concreta.
Insumo: Es el conjunto de materiales, datos o informacin que sirven como entrada a un
proceso.
Integridad: Es la garanta de mantener la totalidad y exactitud de la informacin y de los
mtodos de procesamiento. Es la propiedad de salvaguardad la exactitud y totalidad de
los activos.
Lnea de negocio: Es una especializacin del negocio que agrupa procesos
encaminados a generar productos y servicios especializados para atender un segmento
del mercado objetivo definido en la planificacin estratgica de la entidad
Manual de Seguridad: Es el documento que especifica o describe el SGSI de la
organizacin, definiendo responsabilidades, compromisos, autoridades y metodologas.
Medios electrnicos: Son los elementos de la tecnologa que tienen caractersticas
digitales, magnticas, inalmbricas, pticas, electromagnticas u otras similares.
No repudio: Negativa de organizacin o persona de haber enviado una determinada
informacin, que efectivamente si envi.
PEA: Poblacin econmicamente activa
PCN: Plan de continuidad del negocio.
Pista de auditoria: Es el registro de datos lgicos de las acciones o sucesos ocurridos
en los sistemas aplicativos u operativos, con el propsito de mantener informacin
histrica para fines de control, supervisin y auditoria.
Plan de seguridad: Es un conjunto de decisiones que definen cursos de accin futuros,
as como los medios que se van a utilizar para conseguirlos.
Poltica de seguridad: Es una declaracin de intenciones de alto nivel que cubre la
seguridad de los sistemas informticos y que proporciona las bases para definir y
208
delimitar las responsabilidades para las diversas actuaciones tcnicas organizativas que
requieran.
Procedimiento: Es la manera especfica de desempear una actividad o proceso.
Procedimientos de seguridad: Es la definicin detallada de los pasos a ejecutar para
llevar a cabo tareas determinadas. Los procedimientos de seguridad permiten aplicar e
implantar las Polticas de Seguridad que han sido aprobadas por la organizacin.
Proceso: Es el conjunto de actividades que transforman insumos en productos o
servicios con valor para el cliente, sea interno o externo. Es cualquier actividad que utiliza
recursos, y que se gestiona para permitir que los elementos de entrada se transformen en
resultados.
Proceso crtico: Es todo proceso vital para la organizacin, establecido en trminos de
impactos financieros y operacionales.
Recursos del sistema: Son los activos proteger del sistema informtico de la
organizacin.
Registros: Son documentos que sirven como evidencia para demostrar a terceros que
un requisito del Sistema de Gestin de Seguridad de la Informacin sea cumplido.
Responsable de la informacin: Es la persona encargada de identificar y definir
claramente los diversos recursos y procesos de seguridad lgica relacionados con las
aplicaciones.
Riesgo: Es la probabilidad de que la amenaza se materialice sobre una vulnerabilidad del
sistema informtico, causando un determinado impacto en la organizacin. Es la
probabilidad de que la amenaza llegue acaecer por la existencia de una vulnerabilidad.
Es la probabilidad de que una amenaza explote a una vulnerabilidad.
Riesgo legal: Es la posibilidad de que se presenten prdidas o contingencias negativas
como consecuencia de fallas en contratos y transacciones que pueden afectar el
funcionamiento o la condicin de una institucin del sistema financiero, derivadas de
error, dolo, negligencia o imprudencia en la concertacin, instrumentacin, formalizacin
o ejecucin de contratos y transacciones.
Riesgo residual: Es el riesgo remanente despus del tratamiento del riesgo
SBS: Superintendencia de Bancos y Seguros.
Seguridad de la informacin: Son los mecanismos implantados que garantizan la
confidencialidad, integridad y disponibilidad de la informacin y los recursos relacionados
con ella. Es la preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, adicionalmente pueden involucrarse otras propiedades, tales como
autenticidad, responsabilidad, no repudio y confiabilidad.
Seguridades lgicas: Se refieren a la seguridad en el uso del software, la proteccin de
los datos, procesos y programas, as como la del acceso ordenado y autorizado de los
usuarios a la informacin.
IMPLEMENTAR Y
OPERAR EL SGSI
4.2.2
209
Sistema de Gestin de Seguridad de la Informacin (SGSI): Es la parte del sistema de

gestin global, basado en un enfoque del riesgo del negocio, para establecer,
implementar, operar, realizar seguimiento, revisar, mantener y mejorar la seguridad de la
informacin. El sistema de gestin incluye la estructura de la organizacin, polticas,
actividades de planificacin, responsabilidades, prcticas, procedimientos, procesos y
recursos.
Tecnologa de la informacin: Es el conjunto de herramientas y mtodos empleados
para llevar a cabo la administracin de la informacin. Incluye el hardware, software,
sistemas operativos, sistemas de administracin de bases de datos, redes, multimedia,
servicios asociados, entre otros.
Transferencia electrnica de informacin: Es la forma de enviar, recibir o transferir en
forma electrnica datos, informacin, archivos, mensajes, entre otros.
Tratamiento del riesgo: Es el proceso de seleccin e implantacin de medidas para
modificar el riesgo, estas medidas pueden ser, evitarlo, transferirlo, reducirlo, o asumirlo.
Una poltica de seguridad de informacin es un conjunto de reglas aplicadas a todas las
actividades relacionadas al manejo de la informacin de una entidad, teniendo como
propsito, proteger la informacin, los recursos y la reputacin de la misma.
Valoracin del riesgo: Es el proceso de comparar el riesgo estimado contar los criterios
de riesgo dados para determinar la significacin del riesgo.
Vulnerabilidad: Cualquier debilidad en el sistema informtico que pueda permitir a las
amenazas causarle daos y producir perdidas a la organizacin. Las vulnerabilidades son
debilidades de seguridad asociadas con los activos de informacin de una organizacin.
Es una situacin creada por la falta de uno o varios controles, con la que la amenaza
pudiera afectar al entorno informtico.

CD 2254

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CD 2254

Caricato da

Copyright:

Formati disponibili

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE LA

TESIS PREVIA A LA OBTENCIN DEL GRADO DE MSTER, EN GESTIN

AUTOR: ING. ANIBAL RUBEN MANTILLA GUERRA

Quito, Junio del 2009

Ing. Jaime Naranjo, Msc

A mi amado Sobrinito, Isidro Montenegro,

NATURALEZA DE UN SISTEMA DE GESTIN DE SEGURIDAD

Influencia del factor humano, la organizacin, y la tecnologa en la seguridad de la

Sistema de gestin de seguridad de la informacin.

LA NORMA ISO 27001

La familia ISO 27000.

Evolucin de la norma ISO 27001..

Naturaleza de la norma ISO 27001

Actividades para alcanzar la certificacin ISO 27001... .

Organizaciones certificadas en el mundo con ISO 27001...

COOPERATIVAS DE AHORRO Y CRDITO EN EL ECUADOR.

Ley de La Superintendencia de Bancos y Seguros para aplicacin en

Leyes y reglamentos de las Cooperativas de Ahorro y Crdito

Estadsticas de las Cooperativas de Ahorro y Crdito Ecuatorianas

ENFOQUE DE LA NORMA ISO 27001 PARA COOPERATIVAS DE

Actores del sistema cooperativo...........................

Beneficios de una cooperativa con ISO 27001

Desafos para las cooperativas de ahorro y crdito..

ANLISIS Y DETERMINACIN DEL SGSI PARA COOPERATIVAS

Desarrollo de Gua para la aplicacin de las Clusulas de la norma ISO 27001 en

Ejemplo de aplicacin resumida de gua metodolgica para anlisis,

GESTIN PARA LA CONTINUIDAD DEL NEGOCIO.

FASE I: Gestionar el riesgo.

FASE II: Analizar el impacto al negocio(BIA)

FASE III: Desarrollar estrategias para el plan de continuidad

FASE IV: Desarrollar el plan de reanudacin de operaciones.

FASE V: Ensayar el plan de continuidad de negocios................................

Ejemplo de aplicacin resumida de gua metodolgica para gestionar el riesgo a

DOCUMENTACION DEL SGSI.. .

Pirmide documental del ISO 27001:2005

Gua para documentar el SGSI..

ANLISIS DE LA COOPERATIVA DE AHORRO Y CRDITO DEL

Anlisis de los resultados.

ELABORACIN DEL SISTEMA DE GESTIN DE SEGURIDAD

DE INFORMACIN PARA EL CASO DE ESTUDIO.. .

Determinacin y anlisis de riesgos en la CAC.......

Plan para el tratamiento de los riesgos ......

Elementos de un sistema informtico

Aspectos de la seguridad informtica... .

Planos sobre los que acta la seguridad de la informacin

Seguridad de la informacin como proceso y no como producto

Gestin de riesgos en una organizacin.....

Aspectos fundamentales del sistema de gestin de seguridad

Proyectos que constituyen un SGSI...

La Familia ISO 27000.....

Evolucin de la norma ISO 27001.....

Enfoque del SGSI hacia procesos......

Enfoque de los controles de la norma ISO 27001......

Actividades para alcanzar la certificacin ISO 27001 del SGSI...

Participacin de CAC en el sistema financiero nacional .

Evolucin del nmero de socios....

Evolucin de los depsitos en CAC controladas por la SBS....

Evolucin de la cartera en CAC controladas por la SBS..

Actuacin del SGSI sobre el riesgo operativo.....

Actores del sistema cooperativo...

Retos de las cooperativas de ahorro y crdito..