Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PLANIFICACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA SU APLICACIN
EN LA OPERACIN DEL SISTEMA
NACIONAL DE FINANZAS PBLICAS DEL
ECUADOR
2015
Universidad Politcnica de Madrid
Mster Universitario en
Ingeniera de Redes y Servicios Telemticos
PLANIFICACIN DE UN SISTEMA DE
GESTIN DE SEGURIDAD DE LA
INFORMACIN PARA SU APLICACIN
EN LA OPERACIN DEL SISTEMA
NACIONAL DE FINANZAS PBLICAS DEL
ECUADOR
Autor
Director
Victor A. Villagra
2015
Resumen
i
Abstract
This Final Master Project consists on studying the Ecuadorian Governmental Schema
for Managing Information Security (EGSI), based on international standard ISO/IEC
27000, and its applicability in the operation of The National System of Public Finance of
Ecuador (SINFIP).
The planning includes defining the ISMS scope, general security policies, risk
analysis and assessment applied to the assets managed for the aforementioned
Direction, and finally, selecting the control objectives and controls from the ISO/IEC
27001:2013 Annex A and EGSI Annex 1.
Finally, the study propose a process to implement control objectives, controls and
their respective specific processes, inside the Finance Ministry of Ecuador.
iii
ndice general
1 Introduccin .................................................................................................................... 1
v
5.7 Evaluacin de riesgos .......................................................................................... 51
7 Conclusiones ................................................................................................................. 87
8 Bibliografa .................................................................................................................... 90
vi
ndice de figuras
vii
Figura 33. Poltica de puesto de trabajo despejado y pantalla limpia ......................... 71
Figura 34. Autenticacin de usuarios para conexiones externas .................................. 72
Figura 35. Proteccin de los puertos de configuracin y diagnstico remoto ............ 72
Figura 36. Procedimientos de registro de inicio seguro................................................. 73
Figura 37. Identificacin y autenticacin de usuarios .................................................... 74
Figura 38. Sistema de gestin de contraseas ................................................................. 75
Figura 39. Computacin y comunicaciones mviles ...................................................... 76
Figura 40. Trabajo remoto .................................................................................................. 77
Figura 41. Inclusin de seguridad de la informacin en el proceso de gestin de
continuidad del negocio .......................................................................................................... 78
Figura 42. Continuidad del negocio y evaluacin de riesgos ....................................... 79
Figura 43. Desarrollo e implementacin de planes de continuidad que incluya la
seguridad de la informacin ................................................................................................... 80
Figura 44. Estructura para la planificacin de la continuidad del negocio................. 81
Figura 45. Pruebas, mantenimiento y revisin de los planes de continuidad del
negocio ....................................................................................................................................... 82
Figura 46. Proceso propuesto para implementacin de objetivos de control ............. 84
viii
ndice de tablas
ix
Siglas
TI Tecnologas de la Informacin
xi
1 Introduccin
La Secretara Nacional de la Administracin Pblica de la Repblica del Ecuador,
tiene como sus atribuciones el impulsar proyectos de estandarizacin en procesos,
calidad y tecnologas de la informacin y comunicacin, acorde a lo estipulado en el
artculo 15, letra i) del Estatuto del Rgimen Jurdico y Administrativo de la Funcin
Ejecutiva.
1
Para cumplir con lo dispuesto, el presente trabajo propone la planificacin de un
Sistema de Gestin de Seguridad de la Informacin, que considere los requisitos
establecidos en el estndar internacional ISO/IEC 27001 y las directrices estipuladas en
el documento del EGSI, para su aplicacin en el rea encargada de la operacin de los
sistemas de finanzas pblicas del Ecuador. A continuacin se detallan los objetivos,
mbito de aplicacin y estructura del presente trabajo.
En el captulo 2 se realiza una descripcin del rea de la entidad pblica que sirve de
escenario para la planificacin del Sistema de Gestin de Seguridad de la Informacin.
Concretamente se describen la misin, responsabilidades, productos y procesos
principales de la Direccin Nacional de Operaciones de los Sistemas de Finanzas
2
Pblicas, adems del entorno que le rodea, dentro del Ministerio de Finanzas del
Ecuador.
El captulo 6 propone un proceso que se seguira, dentro del mbito del Ministerio de
Finanzas del Ecuador, para iniciar la implementacin de los objetivos de control y
controles definidos en el captulo 5. En este proceso propuesto, se muestran las diferentes
reas que deben participar.
3
2 Descripcin de la Entidad Pblica de estudio
Mediante Acuerdo Ministerial No. 254 del 23 de noviembre de 2011, el Ministerio de
Finanzas del Ecuador emite su estatuto orgnico por procesos, en donde se definen la
misin, visin, objetivos y su estructura bsica [10].
La visin del Ministerio de Finanzas es Ser el ente rector de las finanzas pblicas,
reconocido como una entidad moderna orientada a brindar servicios pblicos con
calidad y oportunidad a nuestros clientes; integrado por un equipo de personas
competentes y comprometidas con la tica, probidad, responsabilidad, transparencia y
rendicin de cuentas.
4
Impulsar e implantar las iniciativas de innovacin y modernizacin del
Sistema Nacional de las Finanzas Pblicas.
Promover que la innovacin conceptual de las finanzas pblicas vaya alineada
a las nuevas tecnologas de informacin.
Planificar, definir estrategias, administrar y optimizar el Sistema de
Administracin Financiera y todas sus aplicaciones.
Planificar, promover, supervisar y ejecutar la entrega eficiente de los servicios
que el Sistema Nacional de las Finanzas Pblicas ofrece a los usuarios internos
y externos.
Establecer relaciones estratgicas con otras entidades pblicas para integrar
procesos comunes.
Proveer a los funcionarios pblicos capacitacin y asistencia tcnica,
conceptual y operativa en finanzas pblicas y en el uso del Sistema de
Administracin Financiera y todas sus aplicaciones.
Gestionar el portafolio de proyectos de la subsecretara y su ejecucin.
Realizar anlisis y planificacin de gestin de riesgos y seguridad de la
informacin.
Administrar el sistema oficial de la informacin de las finanzas pblicas y su
amplia difusin.
Las dems previstas en las leyes y reglamentos que rigen la materia; y, las que
le delegue la autoridad.
La Subsecretara de Innovacin est conformada por cuatro Direcciones
nacionales:
5
administracin pblica orientada al servicio y haciendo uso de las
tecnologas de informacin.
6
Promover y garantizar el uso del marco de referencia para el diseo y
operacin de los servicios para reducir el riesgo, mejorar la calidad y asegurar
la exactitud de las cargas de trabajo estimadas.
Gestionar la disponibilidad, capacidad, continuidad de operaciones,
seguridad e instalaciones de tecnologa de informacin y de los sistemas del
SINFIP.
Participar en la definicin de SLAs.
Administrar la plataforma de hardware y software base.
Administrar la base de datos de gestin de la configuracin (CMDB).
Gestionar los problemas, cambios, configuraciones y versionado de
plataforma.
Monitorear las operaciones y la produccin de los sistemas.
Gestionar riegos y seguridad de infraestructura tecnolgica de informacin y
de los sistemas del SINFIP.
Coordinar la entrega de servicios con las otras direcciones.
Las dems previstas en las leyes y reglamentos que rigen la materia y, las que
le delegue la autoridad.
7
Direccin Nacional
de Operaciones de
los Sistemas de
Finanzas Pblicas
Infraestructura de Redes,
Comunicaciones y Bases de Datos
TI
Seguridades
2.2.1 Infraestructura de TI
El rea de Infraestructura de TI tiene como responsabilidad la gestin de la
infraestructura tecnolgica, que soporta a los aplicativos y servicios web del SINFIP,
compuesta de las siguientes plataformas e instalaciones:
8
La figura 3 muestra de forma general la infraestructura tecnolgica gestionada por
el rea en mencin:
Librera Fsica
Aprovisionamiento de
(Robtica)
Recursos de TI
Servidor Virtual Servidor Virtual
Windows 2012 Server Red Hat Linux
Respaldos
Hipervisor Hyper-V Microsoft
Control de Acceso
Video Vigilancia IP Deteccin y extincin de Incendios
Biomtrico
Centro de Datos
Plataforma de Switching
Plataforma de Routing
Plataforma de Firewall e IPS
Plataforma de Balanceo de Carga
Plataforma de Balanceo de IPS
9
La figura 4 muestra de forma general la infraestructura tecnolgica de redes,
comunicaciones y seguridad de red, gestionada por el rea en mencin:
Redes, Comunicaciones
Balanceadores Balanceadores de
y Seguridad de Red de ISP Carga
10
2.3 Sistema Nacional de Finanzas Pblicas del Ecuador (SINFIP)
El SINFIP comprende el conjunto de normas, polticas, instrumentos, procesos,
actividades, registros y operaciones que las entidades y organismos del Sector Pblico
del Ecuador, deben realizar con el objeto de gestionar en forma programada los ingresos,
gastos y financiamiento pblicos, con sujecin al Plan Nacional de Desarrollo y a las
polticas pblicas establecidas en la Ley [11].
11
El aplicativo web SPRYN proporciona el servicio de programacin presupuestaria
de gastos en personal, y la respectiva evaluacin de su ejecucin a travs de la gestin
desconcentrada de la nmina y su posterior afectacin financiera en el eSigef. La figura
7 muestra la interfaz web respectiva.
12
3 Estndar Internacional ISO/IEC 27000
ISO/IEC 27000 es la raz para un amplio nmero de series numeradas de estndares
internacionales para la gestin de seguridad de la informacin [1]. Estos estndares
proveen una plataforma ampliamente reconocida de mejores prcticas para gestin de
seguridad de la informacin.
13
La Gestin de Seguridad de la Informacin es un subconjunto de la Gobernanza de
TI que se enfoca en proteger y asegurar los activos de informacin de una organizacin.
Los riesgos de la informacin pueden afectar uno o varios de los tres atributos
fundamentales de un activo de informacin, que son: disponibilidad, confidencialidad e
integridad.
14
conformidad legal e imagen institucional necesarios para lograr los objetivos de la
entidad pblica.
Con un SGSI, la entidad conoce los riesgos a los que est sometida su informacin y
los asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Proceso (procedimiento)
15
Tecnologa
Comportamiento del usuario
3.2.1 Alcance
Este estndar internacional especifica los requerimientos para el establecimiento,
implementacin, mantenimiento y mejoramiento continuo de un sistema de gestin de
seguridad de la informacin dentro del contexto de la entidad u organizacin. Este
estndar internacional tambin incluye requerimientos para la valoracin y tratamiento
de riesgos de seguridad de la informacin adaptados a las necesidades de la
organizacin. Los requerimientos expuestos en este estndar internacional son genricos
y pueden ser aplicados a todas las organizaciones, sin importar el tipo, tamao o
naturaleza.
16
La organizacin debe establecer, implementar, mantener y mejorar de forma
continua un sistema de gestin de seguridad de la informacin, de acuerdo a los
requerimientos de este estndar internacional.
3.2.3 Liderazgo
La alta gerencia o direccin debe demostrar liderazgo y compromiso respecto al
sistema de gestin de seguridad de la informacin mediante el:
17
Asegurar que el sistema de gestin de seguridad de la informacin est
acorde a los requerimientos de este estndar internacional.
Reportar a la alta gerencia o direccin acerca del desempeo del sistema de
gestin de seguridad de la informacin.
3.2.4 Planificacin
La planificacin tiene que ver con las acciones para manejar los riesgos y las
oportunidades. Cuando se est planificando el sistema de gestin de seguridad de la
informacin, la organizacin debe considerar los problemas y los requerimientos
referidos en el apartado 3.2.2 sobre contexto de la informacin, y determinar los riesgos
y oportunidades que necesitan ser manejados para:
18
Evale los riesgos de seguridad de la informacin; es decir, que compare los
resultados del anlisis de riesgos con el criterio de riesgo establecido, y que
priorice los riesgos analizados para su tratamiento.
19
Los responsables
Los plazos de ejecucin
La forma de evaluacin de los resultados.
20
4 Esquema Gubernamental de Seguridad de la Informacin EGSI
La Secretara Nacional de la Administracin Pblica del Ecuador, considerando que
las TIC son herramientas imprescindibles para el desempeo institucional e
interinstitucional, y como respuesta a la necesidad de gestionar de forma eficiente y
eficaz la seguridad de la informacin en las entidades pblicas, cre la Comisin para la
Seguridad Informtica y de las Tecnologas de la Informacin y Comunicacin [14].
21
Del estudio realizado al EGSI, su implementacin se la debe realizar a travs de la
planificacin, implementacin, control y mejora continua de un sistema de gestin de
seguridad de la informacin SGSI.
22
o Coordinar el proceso de gestin de la continuidad de la operacin de
los servicios y sistemas de informacin de la institucin frente a
incidentes de seguridad imprevistos.
o Designar a los custodios o responsables de la informacin.
o Gestionar la provisin permanente de recursos econmicos,
tecnolgicos y humanos para la gestin de la seguridad de la
informacin.
o Velar por la aplicacin de la familia de normas tcnicas ecuatorianas
INEN ISO/IEC 27000.
o Designar formalmente a un funcionario como Oficial de Seguridad de
la Informacin quien actuar como coordinador del Comit.
23
5 Planificacin del SGSI
Dado que el SGSI es bsicamente un conjunto de procesos y procedimientos
enfocados en gestionar la seguridad de la informacin, dentro de una organizacin, se
utiliza el ciclo continuo PDCA (Plan, Do, Check, Act) por sus siglas en ingls, que es
tradicional en los sistemas de gestin de calidad [5].
24
destruccin, divulgacin, modificacin, indisponibilidad y utilizacin no autorizada de
toda informacin, comprometindose a planificar, desarrollar, implantar, mantener,
mejorar y evaluar continuamente un Sistema de Gestin de Seguridad de la Informacin
(SGSI) y del uso del Esquema Gubernamental de Seguridad de la Informacin (EGSI).
25
Figura 10. Fundamentos de la metodologa de evaluacin de riesgos
Para simplificar la metodologa a usar, se definen etapas para una correcta gestin
de los riesgos y su relacin para un continuo proceso de mejora. La figura 11 muestra las
etapas definidas.
26
El resumen de las etapas es el siguiente:
Activo: son todos aquellos bienes, espacios, procesos y cualquier otro elemento de
consideracin que sea susceptible de sufrir las consecuencias de una amenaza.
Servicios
Aplicaciones (Software)
Redes de comunicaciones
Plataforma tecnolgica de almacenamiento
Plataforma tecnolgica de procesamiento
Plataforma tecnolgica de respaldo
Plataforma tecnolgica de seguridad
Plataforma tecnolgica de Bases de Datos
Datos/informacin
Desastres Naturales
Ataques Intencionados
Errores y fallos no intencionados
27
La figura 12 muestra la arquitectura tecnolgica sobre la cual operan los diferentes
servicios y aplicativos web proporcionados por el Ministerio de Finanzas del Ecuador,
cuya gestin est a cargo de la Direccin Nacional de Operaciones de los Sistemas de
Finanzas Pblicas.
Figura 12. Arquitectura tecnolgica de los servicios y aplicativos web del Ministerio de Finanzas
28
Tabla 1. Activos del grupo Almacenamiento vs amenazas
Grupo Almacenamiento
Activo Arreglo de Discos Controladora SAN
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X
Desastres Naturales Terremotos X X X
Desastres Naturales Erupcin Volcnica X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X X
Errores y Fallos No Intencionados Errores de configuracin X X X
Errores y Fallos No Intencionados Incendios X X X
29
Tabla 2. Activos del grupo Procesamiento vs amenazas
Grupo Procesamiento
Activo Servidores Blade Chasis Blade
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio X
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X
Desastres Naturales Terremotos X X
Desastres Naturales Erupcin Volcnica X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X
Errores y Fallos No Intencionados Errores de configuracin X X
Errores y Fallos No Intencionados Incendios X X
30
Tabla 3. Activos del grupo Comunicaciones vs amenazas
Grupo Comunicaciones
Activo Switch Core Switch Distribucin Switch Acceso Balanceadores de carga Balanceadores ISP
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio X X
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X X X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X X X
Desastres Naturales Terremotos X X X X X
Desastres Naturales Erupcin Volcnica X X X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X X X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X X X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X X X X
Errores y Fallos No Intencionados Errores de configuracin X X X X X
Errores y Fallos No Intencionados Incendios X X X X X
31
Tabla 4. Activos del grupo Seguridad vs amenazas
Grupo Seguridad
Activo Firewall IPS Antivirus
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X
Desastres Naturales Terremotos X X X
Desastres Naturales Erupcin Volcnica X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X X
Errores y Fallos No Intencionados Errores de configuracin X X X
Errores y Fallos No Intencionados Incendios X X X
32
Tabla 5. Activos del grupo Respaldos vs amenazas
Grupo Respaldos
Activo Librera virtual Controlador
Tipo Amenaza Amenaza
Ataques Intencionados Malware
Ataques Intencionados Denegacin de Servicio
Ataques Intencionados Alteracin de Informacin
Ataques Intencionados Destruccin de Informacin
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad
Ataques Intencionados Abuso de privilegios de acceso
Ataques Intencionados Interceptacin de informacin
Ataques Intencionados Manipulacin de programas
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X
Desastres Naturales Terremotos X X
Desastres Naturales Erupcin Volcnica X X
Errores y Fallos No Intencionados Corte de Suministro elctrico X X
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad X X
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin X X
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones
Errores y Fallos No Intencionados Interrupcin de servicios de soporte X X
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X
Errores y Fallos No Intencionados Errores de configuracin X X
Errores y Fallos No Intencionados Incendios X X
33
Tabla 6. Activos del grupo Bases de Datos vs amenazas
34
Tabla 7. Activos del grupo Sistemas Operativos vs amenazas
35
Tabla 8. Activos del grupo Aplicativos vs amenazas
Grupo Aplicativos
Activo eSigef eSipren eSByE SPRYN Servicios WEB
Tipo Amenaza Amenaza
Ataques Intencionados Malware X X X X
Ataques Intencionados Denegacin de Servicio X X X X X
Ataques Intencionados Alteracin de Informacin X X X X X
Ataques Intencionados Destruccin de Informacin X X X X X
Ataques Intencionados Fugas de Informacin X X X X X
Ataques Intencionados Acceso no autorizado a la Informacin
Ataques Intencionados Suplantacin de Identidad X X X X X
Ataques Intencionados Abuso de privilegios de acceso X X X X X
Ataques Intencionados Interceptacin de informacin X X X X X
Ataques Intencionados Manipulacin de programas X X X X X
Ataques Intencionados Ingeniera Social
Ataques Intencionados Manipulacin de configuraciones X X X X X
Ataques Intencionados Repudio
Ataques Intencionados Ocupacin no autorizada (huelgas) X X X X X
Desastres Naturales Terremotos X X X X X
Desastres Naturales Erupcin Volcnica X X X X X
Errores y Fallos No Intencionados Corte de Suministro elctrico
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin
Errores y Fallos No Intencionados Agotamiento de recursos X X X X X
Errores y Fallos No Intencionados Indisponibilidad del personal X X X X X
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones X X X X X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte
Errores y Fallos No Intencionados Errores de usuarios
Errores y Fallos No Intencionados Errores de administrador X X X X X
Errores y Fallos No Intencionados Errores de configuracin X X X X X
Errores y Fallos No Intencionados Incendios X X X X X
36
Tabla 9. Activos del grupo Informacin vs amenazas
Grupo Informacin
Activo Almacenada En trnsito
Tipo Amenaza Amenaza
Ataques Intencionados Malware X
Ataques Intencionados Denegacin de Servicio
Ataques Intencionados Alteracin de Informacin X X
Ataques Intencionados Destruccin de Informacin X
Ataques Intencionados Fugas de Informacin
Ataques Intencionados Acceso no autorizado a la Informacin X X
Ataques Intencionados Suplantacin de Identidad X X
Ataques Intencionados Abuso de privilegios de acceso X
Ataques Intencionados Interceptacin de informacin X
Ataques Intencionados Manipulacin de programas X
Ataques Intencionados Ingeniera Social X
Ataques Intencionados Manipulacin de configuraciones
Ataques Intencionados Repudio X
Ataques Intencionados Ocupacin no autorizada (huelgas) X
Desastres Naturales Terremotos X
Desastres Naturales Erupcin Volcnica X
Errores y Fallos No Intencionados Corte de Suministro elctrico
Errores y Fallos No Intencionados Condiciones inadecuadas de temperatura o humedad
Errores y Fallos No Intencionados Errores de mantenimiento/actualizacin
Errores y Fallos No Intencionados Agotamiento de recursos
Errores y Fallos No Intencionados Indisponibilidad del personal
Errores y Fallos No Intencionados Fallo de servicios de comunicaciones X
Errores y Fallos No Intencionados Interrupcin de servicios de soporte
Errores y Fallos No Intencionados Errores de usuarios X
Errores y Fallos No Intencionados Errores de administrador
Errores y Fallos No Intencionados Errores de configuracin
Errores y Fallos No Intencionados Incendios X
37
5.5 Identificacin de riesgos
En esta etapa las combinaciones aplicables de activos-amenazas son consideradas.
Cada posible combinacin de activo-amenaza se denomina Situacin de Riesgo [4]. El
conjunto de estos genera el Mapa de Riesgos [2], [6], [7].
Las tablas 1 hasta la 9 muestran el mapa de riesgos con las situaciones de riesgo
encontradas.
IMPACTO
MA Impacto muy alto, muy grave o severo para la Organizacin
A Impacto alto, grave para la Organizacin
M Impacto medio, moderado, importante para la Organizacin
B Impacto bajo, menor para la Organizacin
MB Impacto muy bajo, irrelevante para la Organizacin
38
Tabla 11. Valoracin de Probabilidad de Ocurrencia de Amenazas
PROBABILIDAD
Probabilidad muy alta de ocurrencia del evento, evento probablemente
MA ocurra
A Probabilidad alta de ocurrencia del evento, evento posible
M Probabilidad moderada de ocurrencia del evento, evento improbable
B Probabilidad baja de ocurrencia del evento, evento raro
MB Probabilidad muy baja de ocurrencia del evento, evento muy raro
Las salvaguardas reducen ciertos riesgos mediante dos vas: reduciendo el impacto
de las amenazas o reduciendo la probabilidad o frecuencia de ocurrencia. La necesidad
de salvaguardas es inversamente proporcional al nivel de salvaguardas que afectan a un
activo. Su valoracin se define basndose en el modelo CMMI, obteniendo valores
cuantitativos, conforme se indica en la tabla 12:
39
La criticidad mide las consecuencias que se estiman o asignan a cada dimensin de
seguridad en los activos considerados, independiente de amenazas.
40
Interrupcin de
servicios de
Almacenamiento Controladora soporte A B A DEFINIDO
Errores de
Almacenamiento Controladora administrador A B A DEFINIDO
Errores de
Almacenamiento Controladora configuracin A B A DEFINIDO
Almacenamiento Controladora Incendios MA B M GESTIONADO
Manipulacin de
Almacenamiento SAN configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Almacenamiento SAN (huelgas) MA M MA REPETIBLE
Almacenamiento SAN Terremotos MA B MA REPETIBLE
Almacenamiento SAN Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Almacenamiento SAN elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Almacenamiento SAN humedad A B M GESTIONADO
Errores de
mantenimiento/act
Almacenamiento SAN ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Almacenamiento SAN soporte A B A DEFINIDO
Errores de
Almacenamiento SAN administrador A B A DEFINIDO
Errores de
Almacenamiento SAN configuracin A B A DEFINIDO
41
Ocupacin no
autorizada
Procesamiento Chasis Blade (huelgas) MA M MA REPETIBLE
Procesamiento Chasis Blade Terremotos MA B MA REPETIBLE
Procesamiento Chasis Blade Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Procesamiento Chasis Blade elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Procesamiento Chasis Blade humedad A B M GESTIONADO
Errores de
mantenimiento/act
Procesamiento Chasis Blade ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Procesamiento Chasis Blade soporte A B A DEFINIDO
Errores de
Procesamiento Chasis Blade administrador A B A DEFINIDO
Errores de
Procesamiento Chasis Blade configuracin A B A DEFINIDO
42
Errores de
Switch mantenimiento/act
Comunicaciones Distribucin ualizacin M B M GESTIONADO
Interrupcin de
Switch servicios de
Comunicaciones Distribucin soporte A B A DEFINIDO
Switch Errores de
Comunicaciones Distribucin administrador A B A DEFINIDO
Switch Errores de
Comunicaciones Distribucin configuracin A B A DEFINIDO
Switch
Comunicaciones Distribucin Incendios MA B M GESTIONADO
Manipulacin de
Comunicaciones Switch Acceso configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Comunicaciones Switch Acceso (huelgas) MA M MA REPETIBLE
Comunicaciones Switch Acceso Terremotos MA B MA REPETIBLE
Comunicaciones Switch Acceso Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Comunicaciones Switch Acceso elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Comunicaciones Switch Acceso humedad A B M GESTIONADO
Errores de
mantenimiento/act
Comunicaciones Switch Acceso ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Comunicaciones Switch Acceso soporte A B A DEFINIDO
Errores de
Comunicaciones Switch Acceso administrador A B A DEFINIDO
Errores de
Comunicaciones Switch Acceso configuracin A B A DEFINIDO
Comunicaciones Switch Acceso Incendios MA B M GESTIONADO
Balanceadores Denegacin de
Comunicaciones de carga Servicio A M A DEFINIDO
Balanceadores Manipulacin de
Comunicaciones de carga configuraciones MA B A DEFINIDO
Ocupacin no
Balanceadores autorizada
Comunicaciones de carga (huelgas) MA M MA REPETIBLE
Balanceadores
Comunicaciones de carga Terremotos MA B MA REPETIBLE
Balanceadores
Comunicaciones de carga Erupcin Volcnica A B MA REPETIBLE
Corte de
Balanceadores Suministro
Comunicaciones de carga elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Balanceadores temperatura o
Comunicaciones de carga humedad A B M GESTIONADO
Errores de
Balanceadores mantenimiento/act
Comunicaciones de carga ualizacin M B M GESTIONADO
Interrupcin de
Balanceadores servicios de
Comunicaciones de carga soporte A B A DEFINIDO
Balanceadores Errores de
Comunicaciones de carga administrador A B A DEFINIDO
Balanceadores Errores de
Comunicaciones de carga configuracin A B A DEFINIDO
Balanceadores
Comunicaciones de carga Incendios MA B M GESTIONADO
43
Balanceadores Denegacin de
Comunicaciones ISP Servicio A M A DEFINIDO
Balanceadores Manipulacin de
Comunicaciones ISP configuraciones MA B A DEFINIDO
Ocupacin no
Balanceadores autorizada
Comunicaciones ISP (huelgas) MA M MA REPETIBLE
Balanceadores
Comunicaciones ISP Terremotos MA B MA REPETIBLE
Balanceadores
Comunicaciones ISP Erupcin Volcnica A B MA REPETIBLE
Corte de
Balanceadores Suministro
Comunicaciones ISP elctrico A B M GESTIONADO
Condiciones
inadecuadas de
Balanceadores temperatura o
Comunicaciones ISP humedad A B M GESTIONADO
Errores de
Balanceadores mantenimiento/act
Comunicaciones ISP ualizacin M B M GESTIONADO
Interrupcin de
Balanceadores servicios de
Comunicaciones ISP soporte A B A DEFINIDO
Balanceadores Errores de
Comunicaciones ISP administrador A B A DEFINIDO
Balanceadores Errores de
Comunicaciones ISP configuracin A B A DEFINIDO
Balanceadores
Comunicaciones ISP Incendios MA B M GESTIONADO
Manipulacin de
Seguridad Firewall configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad Firewall (huelgas) MA M MA REPETIBLE
Seguridad Firewall Terremotos MA B MA REPETIBLE
Seguridad Firewall Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Seguridad Firewall elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Seguridad Firewall humedad A B M GESTIONADO
Errores de
mantenimiento/act
Seguridad Firewall ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Seguridad Firewall soporte A B A DEFINIDO
Errores de
Seguridad Firewall administrador A B A DEFINIDO
Errores de
Seguridad Firewall configuracin A B A DEFINIDO
Seguridad Firewall Incendios MA B M GESTIONADO
Manipulacin de
Seguridad IPS configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad IPS (huelgas) MA M MA REPETIBLE
Seguridad IPS Terremotos MA B MA REPETIBLE
Seguridad IPS Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Seguridad IPS elctrico A B M GESTIONADO
44
Condiciones
inadecuadas de
temperatura o
Seguridad IPS humedad A B M GESTIONADO
Errores de
mantenimiento/act
Seguridad IPS ualizacin M B M GESTIONADO
Interrupcin de
servicios de
Seguridad IPS soporte A B A DEFINIDO
Errores de
Seguridad IPS administrador A B A DEFINIDO
Errores de
Seguridad IPS configuracin A B A DEFINIDO
Seguridad IPS Incendios MA B M GESTIONADO
Manipulacin de
Seguridad Antivirus configuraciones MA B A DEFINIDO
Ocupacin no
autorizada
Seguridad Antivirus (huelgas) MA M MA REPETIBLE
Seguridad Antivirus Terremotos MA B MA REPETIBLE
Seguridad Antivirus Erupcin Volcnica A B MA REPETIBLE
Errores de
mantenimiento/act
Seguridad Antivirus ualizacin A M M GESTIONADO
Interrupcin de
servicios de
Seguridad Antivirus soporte A B A DEFINIDO
Errores de
Seguridad Antivirus administrador A B A DEFINIDO
Errores de
Seguridad Antivirus configuracin A B A DEFINIDO
45
Respaldos Controladora Terremotos MA B MA REPETIBLE
Respaldos Controladora Erupcin Volcnica A B MA REPETIBLE
Corte de
Suministro
Respaldos Controladora elctrico A B M GESTIONADO
Condiciones
inadecuadas de
temperatura o
Respaldos Controladora humedad A B M GESTIONADO
Errores de
mantenimiento/act
Respaldos Controladora ualizacin A B M GESTIONADO
Interrupcin de
servicios de
Respaldos Controladora soporte A B A DEFINIDO
Errores de
Respaldos Controladora administrador A B A DEFINIDO
Errores de
Respaldos Controladora configuracin A B A DEFINIDO
46
Microsoft Errores de
Sistemas Windows mantenimiento/act
Operativos Server 2012 ualizacin A B MA REPETIBLE
Microsoft Interrupcin de
Sistemas Windows servicios de
Operativos Server 2012 soporte A B A DEFINIDO
Microsoft
Sistemas Windows Errores de
Operativos Server 2012 administrador A B A DEFINIDO
Microsoft
Sistemas Windows Errores de
Operativos Server 2012 configuracin A B A DEFINIDO
Microsoft
Sistemas Windows
Operativos Server 2012 Incendios MA B M GESTIONADO
Sistemas Linux Red
Operativos Hat Malware A M M GESTIONADO
Sistemas Linux Red Manipulacin de
Operativos Hat configuraciones A B A DEFINIDO
Ocupacin no
Sistemas Linux Red autorizada
Operativos Hat (huelgas) MA M MA REPETIBLE
Sistemas Linux Red
Operativos Hat Terremotos MA B MA REPETIBLE
Sistemas Linux Red
Operativos Hat Erupcin Volcnica A B MA REPETIBLE
Errores de
Sistemas Linux Red mantenimiento/act
Operativos Hat ualizacin A B MA REPETIBLE
Interrupcin de
Sistemas Linux Red servicios de
Operativos Hat soporte A B A DEFINIDO
Sistemas Linux Red Errores de
Operativos Hat administrador A B A DEFINIDO
Sistemas Linux Red Errores de
Operativos Hat configuracin A B A DEFINIDO
Sistemas Linux Red
Operativos Hat Incendios MA B M GESTIONADO
Aplicativos eSigef Malware A M M GESTIONADO
Denegacin de
Aplicativos eSigef Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSigef Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSigef Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSigef Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSigef Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos eSigef acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSigef informacin A M M GESTIONADO
Manipulacin de
Aplicativos eSigef programas M B M GESTIONADO
Manipulacin de
Aplicativos eSigef configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos eSigef (huelgas) MA M MA REPETIBLE
Aplicativos eSigef Terremotos MA B MA REPETIBLE
Aplicativos eSigef Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSigef recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSigef del personal A M MA REPETIBLE
47
Fallo de servicios
Aplicativos eSigef de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSigef administrador A B M GESTIONADO
Errores de
Aplicativos eSigef configuracin A B M GESTIONADO
Aplicativos eSigef Incendios MA B M GESTIONADO
Aplicativos eSipren Malware A M M GESTIONADO
Denegacin de
Aplicativos eSipren Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSipren Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSipren Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSipren Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSipren Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos eSipren acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSipren informacin A M M GESTIONADO
Manipulacin de
Aplicativos eSipren programas M B M GESTIONADO
Manipulacin de
Aplicativos eSipren configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos eSipren (huelgas) MA M MA REPETIBLE
Aplicativos eSipren Terremotos MA B MA REPETIBLE
Aplicativos eSipren Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSipren recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSipren del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos eSipren de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSipren administrador A B M GESTIONADO
Errores de
Aplicativos eSipren configuracin A B M GESTIONADO
Aplicativos eSipren Incendios MA B M GESTIONADO
Aplicativos eSByE Malware A M M GESTIONADO
Denegacin de
Aplicativos eSByE Servicio A M A DEFINIDO
Alteracin de
Aplicativos eSByE Informacin MA M A DEFINIDO
Destruccin de
Aplicativos eSByE Informacin MA B M GESTIONADO
Fugas de
Aplicativos eSByE Informacin M M A DEFINIDO
Suplantacin de
Aplicativos eSByE Identidad M A A DEFINIDO
Abuso de
privilegios de
Aplicativos eSByE acceso MA M A DEFINIDO
Interceptacin de
Aplicativos eSByE informacin A A A DEFINIDO
Manipulacin de
Aplicativos eSByE programas M B M GESTIONADO
Manipulacin de
Aplicativos eSByE configuraciones A M M GESTIONADO
48
Ocupacin no
autorizada
Aplicativos eSByE (huelgas) MA M MA REPETIBLE
Aplicativos eSByE Terremotos MA B MA REPETIBLE
Aplicativos eSByE Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos eSByE recursos A M M GESTIONADO
Indisponibilidad
Aplicativos eSByE del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos eSByE de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos eSByE administrador A B M GESTIONADO
Errores de
Aplicativos eSByE configuracin A B M GESTIONADO
Aplicativos eSByE Incendios MA B M GESTIONADO
Aplicativos SPRYN Malware A M M GESTIONADO
Denegacin de
Aplicativos SPRYN Servicio A M A DEFINIDO
Alteracin de
Aplicativos SPRYN Informacin MA M A DEFINIDO
Destruccin de
Aplicativos SPRYN Informacin MA B M GESTIONADO
Fugas de
Aplicativos SPRYN Informacin M M A DEFINIDO
Suplantacin de
Aplicativos SPRYN Identidad M M M GESTIONADO
Abuso de
privilegios de
Aplicativos SPRYN acceso MA M A DEFINIDO
Interceptacin de
Aplicativos SPRYN informacin A M M GESTIONADO
Manipulacin de
Aplicativos SPRYN programas M B M GESTIONADO
Manipulacin de
Aplicativos SPRYN configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos SPRYN (huelgas) MA M MA REPETIBLE
Aplicativos SPRYN Terremotos MA B MA REPETIBLE
Aplicativos SPRYN Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos SPRYN recursos A M M GESTIONADO
Indisponibilidad
Aplicativos SPRYN del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos SPRYN de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos SPRYN administrador A B M GESTIONADO
Errores de
Aplicativos SPRYN configuracin A B M GESTIONADO
Aplicativos SPRYN Incendios MA B M GESTIONADO
Denegacin de
Aplicativos Servicios Web Servicio A M A DEFINIDO
Alteracin de
Aplicativos Servicios Web Informacin MA A A DEFINIDO
Destruccin de
Aplicativos Servicios Web Informacin MA B M GESTIONADO
Fugas de
Aplicativos Servicios Web Informacin M M A DEFINIDO
Suplantacin de
Aplicativos Servicios Web Identidad A M A DEFINIDO
Abuso de
privilegios de
Aplicativos Servicios Web acceso A M A DEFINIDO
49
Interceptacin de
Aplicativos Servicios Web informacin A M A DEFINIDO
Manipulacin de
Aplicativos Servicios Web programas M B M GESTIONADO
Manipulacin de
Aplicativos Servicios Web configuraciones A M M GESTIONADO
Ocupacin no
autorizada
Aplicativos Servicios Web (huelgas) MA M MA REPETIBLE
Aplicativos Servicios Web Terremotos MA B MA REPETIBLE
Aplicativos Servicios Web Erupcin Volcnica A B MA REPETIBLE
Agotamiento de
Aplicativos Servicios Web recursos A M M GESTIONADO
Indisponibilidad
Aplicativos Servicios Web del personal A M MA REPETIBLE
Fallo de servicios
Aplicativos Servicios Web de comunicaciones MA B M GESTIONADO
Errores de
Aplicativos Servicios Web administrador A B M GESTIONADO
Errores de
Aplicativos Servicios Web configuracin A B M GESTIONADO
50
5.7 Evaluacin de riesgos
Una vez establecidos los niveles de riesgo para los diferentes activos definidos, se
procede a definir las medidas de proteccin, controles, salvaguardas o contramedidas
que se deben implementar para cada uno de los activos en funcin del impacto que
pueda representar la materializacin de la amenaza [4].
Con la finalidad de relacionar las situaciones de riegos con los objetivos de control y
controles a ser definidos en el subcaptulo 5.8 para su mitigacin, se ha procedido a
asignar un identificador a cada situacin de riego, mismo que se puede observar en la
primera columna de la tabla 14.
51
Librera Ocupacin no
R1 Respaldos Virtual autorizada (huelgas) MA M MA REPETIBLE
Ocupacin no
R2 Respaldos Controladora autorizada (huelgas) MA M MA REPETIBLE
Sistema de
Bases de Ocupacin no
B1 Bases de Datos Datos autorizada (huelgas) MA M MA REPETIBLE
Microsoft
Sistemas Windows Ocupacin no
SO1 Operativos Server 2012 autorizada (huelgas) MA M MA REPETIBLE
Sistemas Linux Red Ocupacin no
SO2 Operativos Hat autorizada (huelgas) MA M MA REPETIBLE
A1 Aplicativos eSigef Denegacin de Servicio A M A DEFINIDO
Alteracin de
A2 Aplicativos eSigef Informacin MA M A DEFINIDO
A3 Aplicativos eSigef Fugas de Informacin M M A DEFINIDO
Abuso de privilegios
A4 Aplicativos eSigef de acceso MA M A DEFINIDO
Ocupacin no
A5 Aplicativos eSigef autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A6 Aplicativos eSigef personal A M MA REPETIBLE
A7 Aplicativos eSipren Denegacin de Servicio A M A DEFINIDO
Alteracin de
A8 Aplicativos eSipren Informacin MA M A DEFINIDO
A9 Aplicativos eSipren Fugas de Informacin M M A DEFINIDO
Abuso de privilegios
A10 Aplicativos eSipren de acceso MA M A DEFINIDO
Ocupacin no
A11 Aplicativos eSipren autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A12 Aplicativos eSipren personal A M MA REPETIBLE
A13 Aplicativos eSByE Denegacin de Servicio A M A DEFINIDO
Alteracin de
A14 Aplicativos eSByE Informacin MA M A DEFINIDO
A15 Aplicativos eSByE Fugas de Informacin M M A DEFINIDO
Suplantacin de
A16 Aplicativos eSByE Identidad M A A DEFINIDO
Abuso de privilegios
A17 Aplicativos eSByE de acceso MA M A DEFINIDO
Interceptacin de
A18 Aplicativos eSByE informacin A A A DEFINIDO
Ocupacin no
A19 Aplicativos eSByE autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A20 Aplicativos eSByE personal A M MA REPETIBLE
A21 Aplicativos SPRYN Denegacin de Servicio A M A DEFINIDO
Alteracin de
A22 Aplicativos SPRYN Informacin MA M A DEFINIDO
A23 Aplicativos SPRYN Fugas de Informacin M M A DEFINIDO
Abuso de privilegios
A24 Aplicativos SPRYN de acceso MA M A DEFINIDO
Ocupacin no
A25 Aplicativos SPRYN autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A26 Aplicativos SPRYN personal A M MA REPETIBLE
A27 Aplicativos Servicios Web Denegacin de Servicio A M A DEFINIDO
Alteracin de
A28 Aplicativos Servicios Web Informacin MA A A DEFINIDO
A29 Aplicativos Servicios Web Fugas de Informacin M M A DEFINIDO
Suplantacin de
A30 Aplicativos Servicios Web Identidad A M A DEFINIDO
52
Abuso de privilegios
A31 Aplicativos Servicios Web de acceso A M A DEFINIDO
Interceptacin de
A32 Aplicativos Servicios Web informacin A M A DEFINIDO
Ocupacin no
A33 Aplicativos Servicios Web autorizada (huelgas) MA M MA REPETIBLE
Indisponibilidad del
A34 Aplicativos Servicios Web personal A M MA REPETIBLE
I1 Informacin Almacenada Malware A M A DEFINIDO
Abuso de privilegios
I2 Informacin Almacenada de acceso A M A DEFINIDO
Manipulacin de
I3 Informacin Almacenada programas A M A DEFINIDO
I4 Informacin Almacenada Ingeniera Social A M A DEFINIDO
Ocupacin no
I5 Informacin Almacenada autorizada (huelgas) MA M MA REPETIBLE
Alteracin de
I6 Informacin En trnsito Informacin MA M A DEFINIDO
Acceso no autorizado a
I7 Informacin En trnsito la Informacin MA M A DEFINIDO
Suplantacin de
I8 Informacin En trnsito Identidad MA M A DEFINIDO
Interceptacin de
I9 Informacin En trnsito informacin MA M A DEFINIDO
El acuerdo ministerial que dispone la implementacin del EGSI, cuenta con el anexo
1, que es una recopilacin del Anexo A de la norma ISO/IEC 27001:2013, relacionado
con los objetivos de control y controles a ser aplicados; por tanto, se tomar como
referencia el anexo 1 del EGSI para la seleccin de los objetivos de control y controles
[14].
53
Gestin del Cambio:
Distribucin de Funciones:
54
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A17, A22, A24, A28, A31, I2.
55
Figura 15. Separacin de las instancias de Desarrollo, Pruebas, Capacitacin y Produccin
Situaciones de riesgos a mitigar: P1, C4, C6, A1, A7, A13, A21, A27, I1, I6.
56
Figura 16. Controles contra cdigo malicioso
57
Figura 17. Controles contra cdigos mviles
58
Seguridad de los servicios de la red:
Mensajera electrnica:
59
Figura 20. Mensajera Electrnica
Situaciones de riesgos a mitigar: A3, A9, A15, A23, A29, I6, I7, I9.
60
Figura 21. Polticas y Procedimientos para el intercambio de informacin
Situaciones de riesgos a mitigar: A3, A9, A15, A23, A29, I6, I7, I9, I10.
61
Figura 22. Acuerdos para el intercambio
Transacciones en lnea:
Situaciones de riesgos a mitigar: A2, A8, A14, A22, A28, I6, I9, I10.
62
Figura 23. Transacciones en lnea
Registro de auditoras:
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2, I4.
63
Figura 24. Registro de auditoras
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2, I4.
64
Figura 25. Monitoreo de uso del sistema
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2, I4.
65
Figura 26. Proteccin del registro de la informacin
Situaciones de riesgos a mitigar: A4, A10, A17, A24, A31, I2, I4.
66
5.8.2 Control de Acceso
Los objetivos, procedimientos y actividades seleccionados, relacionados con la
gestin de control de acceso son:
Gestin de privilegios:
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A17, A22, A24, A28, A31, I2,
I4.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A16, A17, A22, A24, A28, A30,
A31, I2, I4.
67
Figura 29. Gestin de contraseas para usuarios
Objetivo: Mantener un control sobre los derechos de acceso de los usuarios a los
diferentes aplicativos y servicios, mediante depuraciones peridicas que se realicen en
coordinacin con reas de gestin de talento humano. El detalle de los controles,
procedimientos y actividades se muestran en la figura 30.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A16, A17, A22, A24, A28, A30,
A31, I2, I4.
Uso de contraseas:
68
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A16, A17, A22, A24, A28, A30,
A31, I2, I4.
Situaciones de riesgos a mitigar: A2, A4, A8, A10, A14, A16, A17, A22, A24, A28, A30,
A31, I2, I3.
69
Figura 32. Equipo de usuario desatendido
Situaciones de riesgos a mitigar: A2, A3, A4, A8, A9, A10, A14, A15, A16, A17, A22,
A23, A24, A28, A29, A30, A31, I2, I4.
70
Figura 33. Poltica de puesto de trabajo despejado y pantalla limpia
71
Figura 34. Autenticacin de usuarios para conexiones externas
72
y registro de intentos exitosos y fallidos de autenticacin en los diferentes sistemas,
servicios y aplicativos. El detalle de los controles, procedimientos y actividades se
muestran en la figura 36.
73
Identificacin y autenticacin de usuarios:
74
Sistema de gestin de contraseas:
75
Computacin y comunicaciones mviles:
76
Trabajo remoto:
Situaciones de riesgos a mitigar: A2, A8, A14, A22, A28, I4, I6, I7, I9.
77
5.8.3 Gestin de la Continuidad del Negocio
Los objetivos, procedimiento y actividades seleccionados, relacionados con la
gestin de la continuidad del negocio son:
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
78
Continuidad del negocio y evaluacin de riesgos:
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
79
Desarrollo e implantacin de planes de continuidad que incluya la seguridad de la
informacin:
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
80
Estructura para la planificacin de la continuidad del negocio:
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
81
Pruebas, mantenimiento y revisin de los planes de continuidad del negocio:
Situaciones de riesgos a mitigar: A1, A2, A3, P2, P3, C1, C2, C3, C5, C7, S1, S2, S3, R1,
R2, B1, SO1, SO2, A5, A6, A11, A12, A19, A20, A25, A26, A33, A34, I5.
Figura 45. Pruebas, mantenimiento y revisin de los planes de continuidad del negocio
82
6 Proceso para implementacin de un objetivo de control
Como puede observarse en el detalle de los objetivos de control propuestos en el
captulo anterior, su implementacin implica el levantamiento y puesta en operacin de
procesos especficos. La definicin de procesos entre otros detalles proporciona
informacin acerca de los recursos tecnolgicos y humanos necesarios para su ejecucin.
83
Figura 46. Proceso propuesto para implementacin de objetivos de control
84
La descripcin del proceso, mostrado en la figura 46, es la siguiente:
El proceso inicia con el anlisis del objetivo de control propuesto, por parte de
la Direccin Nacional de Operaciones de los Sistemas de Finanzas Pblicas, y
se solicita formalmente a la Direccin de Procesos y Mejora Continua el
asesoramiento para el levantamiento de procesos especficos, que incluya las
actividades y controles detallados en el objetivo de control analizado.
La Direccin de Procesos y Mejora Continua realiza el levantamiento de los
procesos especficos, contando con el apoyo del personal tcnico del rea
requirente, este caso la Direccin de Operaciones. Una vez levantada la
informacin, se elabora una propuesta de proceso y se la somete a revisin
por parte del rea requirente.
Si el proceso no es aceptado por parte del rea requirente, la Direccin de
Procesos y Mejora Continua realiza un rediseo, y lo vuelve a presentar hasta
obtener la aceptacin. Una vez aceptado el proceso, se procede a su entrega
formal.
La Direccin de Operaciones, tomando como referencia la informacin del
proceso recibido, realiza una evaluacin del nmero y capacidad de su
personal tcnico para implementar y operar el proceso. Si dispone del talento
humano requerido, procede con la elaboracin del plan de implementacin
del proceso.
Si no se cuenta con el talento humano requerido, la Direccin de Operaciones
realizar una solicitud de contratacin de personal tcnico calificado a la
Direccin de Administracin de Talento Humano.
La Direccin de Administracin de Talento Humano, una vez recibida la
solicitud, procede a la elaboracin de los perfiles de candidatos requeridos.
Posteriormente se procede a la peticin de disponibilidad presupuestaria. En
este punto, el proceso no avanza hasta que se disponga de recursos
financieros.
Con la certificacin de disponibilidad presupuestaria, la Direccin de
Administracin de Talento Humano procede a la publicacin de los perfiles
de candidatos requeridos a travs del portal web de socio empleo, que es un
servicio usado por las instituciones pblicas para contratacin de personal.
Se procede a la recepcin y calificacin de hojas de vida de aspirantes. En la
calificacin participa un representante del rea requirente, en este caso la
Direccin de Operaciones. Los aspirantes cuyas hojas de vida hayan obtenido
las mejores calificaciones sern contratados y vinculados a la institucin.
85
La Direccin de Operaciones, contando con el talento humano necesario,
procede a elaborar el plan de implementacin del proceso. En este punto, se
verifica si para la implementacin del proceso especfico es necesario contar
con alguna herramienta, servicio o solucin tecnolgica nueva. Si este es el
caso entonces se procede a la elaboracin de especificaciones tcnicas de la
solucin o servicio tecnolgico.
Las especificaciones tcnicas del servicio o solucin tecnolgica requerida es
entregado formalmente a la Direccin de Logstica Institucional para que
inicie el proceso de adquisicin.
La Direccin de Logstica Institucional, con las especificaciones recibidas,
procede a la elaboracin de los pliegos para contratacin pblica. Estos pliegos
son bsicamente formatos que deben ser llenados para su posterior
publicacin.
Se solicita la respectiva disponibilidad presupuestaria para la adquisicin. La
Direccin de Logstica Institucional, contando con la certificacin de
disponibilidad presupuestaria, procede a la publicacin de los pliegos de
adquisicin en el portal web de Compras Pblicas, que es un servicio por el
cual las instituciones pblicas publican sus procesos de adquisiciones para
que sean atendidos por proveedores.
Una vez publicado los pliegos de adquisicin, despus de un tiempo definido,
se reciben y califican las ofertas realizadas por proveedores. De las ofertas
calificadas, luego de un proceso de seleccin (ejemplo subasta inversa
electrnica) se selecciona a la mejor oferta y se procede con la adjudicacin al
proveedor ganador.
Cumplido el plazo de entrega establecido, se recibe la solucin o servicio
tecnolgico. En la recepcin participa un representante del rea requirente.
La Direccin de Operaciones procede con la implementacin del servicio o
solucin tecnolgica. Esta implementacin involucra la transferencia de
conocimiento al personal tcnico de la Direccin, quienes se encargarn de su
operacin.
Contando con las soluciones o servicios tecnolgicos, la Direccin de
Operaciones contando con el asesoramiento de la Direccin de Procesos y
Mejora Continua, finalmente procede con la implementacin de los procesos
especficos de control.
86
7 Conclusiones
En resumen, la planificacin del Sistema de Gestin de Seguridad de la Informacin
realizada en el presente trabajo, incluy los requisitos principales detallados en el
estndar internacional ISO/IEC 27001:2013 y sigui los pasos de la gua de
implementacin propuesta en el estndar internacional ISO/IEC 27003:2010. Como
conclusiones a esto se puede citar que:
La definicin del alcance del SGSI es muy importante para conocer sus lmites
de accin y de esta forma garantizar la consecucin de los resultados
esperados.
La definicin de polticas de seguridad es un requisito importante dado que
expone los requerimientos generales de toda la institucin respecto a
seguridad de la informacin y constituye la base legal para la planificacin
de un SGSI.
Un requisito fundamental para la planificacin de un SGSI es sin duda la
realizacin de un anlisis y evaluacin de riesgos, que se apoya en una
metodologa definida para su realizacin.
Del anlisis y evaluacin de riesgos, se obtienen las situaciones de riesgos con
mayor impacto, probabilidad de ocurrencia y necesidad de salvaguardas, que
son la referencia para la seleccin de los objetivos de control y controles que
el SGSI debe implementar.
Para implementar un SGSI, es decir, para implementar los objetivos de
control y controles seleccionados, dentro de una institucin pblica como es
el Ministerio de Finanzas del Ecuador, se realiz una propuesta de proceso
de implementacin que incluye la participacin de reas en encargadas de
gestionar la provisin de recursos tecnolgicos y humanos, as como la
asesora en metodologas de gestin por procesos.
El aporte o valor que proporciona este trabajo final de mster se describen en las
siguientes conclusiones:
87
Como observacin al caso de estudio, dentro del Ministerio de Finanzas del
Ecuador, el rol de oficial de seguridad de la informacin recae sobre el
Viceministro de Finanzas; sin embargo, se recomienda que este rol, dentro de
una institucin pblica, lo cumpla un colaborador que nivel jerrquico medio
que no est sujeto a inestabilidades polticas que generen cambios de
autoridades.
Des estudio realizado, y siguiendo lo establecido en los estndares
internacionales ISO/IEC 27000, se concluye que la determinacin de activos
crticos y el anlisis y evaluacin de riesgos son pasos fundamentales para
definir el enfoque del SGSI, es decir, los objetivos de control y controles a ser
aplicados.
Para que un SGSI genere los resultados esperados, es importante que los
usuarios conozcan los aspectos fundamentales de seguridad de la informacin
y lo traduzcan en buenas prcticas en el momento de realizar sus actividades
de trabajo. La gestin de seguridad de la informacin se basa en el grado de
conciencia que se pueda obtener de los usuarios sobre seguridad de la
informacin.
De acuerdo al estudio realizado y en base a informacin obtenida de fuentes
bibliogrficas, se puede establecer que el basar la gestin de seguridad de la
informacin solamente en la aplicacin de herramientas tecnolgicas es un
error. Una correcta gestin se realiza estableciendo procesos y procedimientos
que sean claros y que ordenen los esfuerzos de trabajo. Muchos de los
controles de seguridad propuestos en este estudio involucran el
levantamiento de procesos y hacer el mejor uso de las herramientas
tecnolgicas ya existentes.
Como trabajos futuros que pueden realizarse a partir del presentado son:
88
Diseo de indicadores de gestin para medir la efectividad de la operacin de
un sistema de gestin de seguridad de la informacin, basado en el estndar
internacional ISO/IEC 27004.
89
8 Bibliografa
[1] A. Calder, ISO27001 / ISO27002: A Pocket Guide. Ely, Cambridgeshire, United
Kingdom: IT Governance Publishing, 2013.
[10] Ministerio de Finanzas del Ecuador, "Acuerdo Ministerial No. 254, Estatuto
Orgnico Funcional del Ministerio de Finanzas," 2011.
90