Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tesis Profesional
“Implementación de un Sistema de Gestión de Seguridad de la Información - Norma
Bachiller
César Augusto Benites Durand
LIMA – PERU
2019
1
DEDICATORIA
2
AGRADECIMIENTOS
3
RESUMEN
todos los pasos a seguir para el desarrollo del SGSI planteado, desde el análisis
4
Finalmente se incluirán todas las conclusiones, referencias bibliográficas y
5
INDICE
INTRODUCCION ............................................................................................................................ IX
CAPITULO I ................................................................................................................................... 12
PLANTEAMIENTO DEL ESTUDIO ........................................................................................... 12
1.1. DESCRIPCION DEL PROYECTO.............................................................................. 13
1.2. FORMULACION DEL PROBLEMA ........................................................................... 16
1.2.1. PROBLEMA PRINCIPAL .......................................................................................... 16
1.2.2. PROBLEMAS SECUNDARIOS................................................................................ 16
1.3. OBJETIVOS ................................................................................................................... 17
1.3.1. OBJETIVO GENERAL ............................................................................................... 17
1.4. JUSTIFICACION DEL PROYECTO ........................................................................... 17
1.5. ALCANCE DE LA PROPUESTA ............................................................................... 18
1.6. LIMITACIONES ............................................................................................................. 19
1.7. FORMULACIÓN DE LA HIPÓTESIS ........................................................................ 19
1.7.1. HIPÓTESIS GENERAL ........................................................................................ 19
1.7.2. HIPOTESIS ESPECÍFICAS ................................................................................. 19
1.8. IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS VARIABLES ............................. 20
1.8.1. VARIABLES INDEPENDIENTES........................................................................ 20
1.8.2. VARIABLES DEPENDIENTES............................................................................ 20
1.8.3. DIMENSIONES ...................................................................................................... 20
1.8.4. INDICADORES ...................................................................................................... 20
CAPITULO II .................................................................................................................................. 21
MARCO TEÓRICO ....................................................................................................................... 21
2.1. ANTECEDENTES DE LA INVESTIGACIÓN. .......................................................... 22
2.2. TEORÍA SUSTANTIVA ................................................................................................ 23
2.2.1. Información y Seguridad de la Información. ................................................ 24
2.2.2. Sistema de Gestión de Seguridad de la Información - SGSI ................... 26
2.2.3. Gestión del Riesgo.............................................................................................. 30
2.2.3.1. Medir el nivel del riesgo................................................................................. 32
2.2.3.2. De las actividades de gestión del riesgo .................................................. 33
2.2.4. Etapas del proceso de gestión del riesgo .................................................... 35
2.2.4.1. Comunicación y consulta.............................................................................. 36
2.2.4.2. Determina el contexto .................................................................................... 36
2.2.4.3. Valoración del riesgo ..................................................................................... 37
2.2.4.4. Tratamiento del riesgo ................................................................................... 37
6
2.2.4.5. Seguimiento y revisión .................................................................................. 37
2.2.5. Gestión del riesgo de Seguridad de la Información. ................................. 38
CAPITULO III ................................................................................................................................. 40
METODOLOGÍA DE LA INVESTIGACIÓN .............................................................................. 40
3.1. OPERACIONALIZACIÓN DE LAS VARIABLES .................................................... 41
3.2. TIPIFICACIÓN DE LA INVESTIGACIÓN.................................................................. 43
3.3. ESTRATEGIA PARA LA PRUEBA DE HIPÓTESIS .............................................. 43
3.4. POBLACIÓN Y MUESTRA ......................................................................................... 44
3.5. INSTRUMENTOS DE RECOLECCIÓN DE DATOS ............................................... 45
3.6. DESCRIPCIÓN DEL PROCESO DE PRUEBA DE HIPÓTESIS .......................... 45
CAPITULO IV ................................................................................................................................ 47
DESARROLLO DE LA INVESTIGACIÓN ................................................................................ 47
4.1. DESCRIPCIÓN DE LA SITUACIÓN ANTES DE IMPLEMENTAR LA
SOLUCIÓN PLANTEADA. ...................................................................................................... 48
4.2. IMPLEMENTACIÓN DE LA SOLUCIÓN PROPUESTA ........................................ 51
4.2.1. Situación inicial ....................................................................................................... 51
4.2.1.1. La entrevista ......................................................................................................... 52
4.2.1.2. La encuesta: ......................................................................................................... 54
ANÁLISIS DE BRECHA PARA EL SGSI ............................................................................. 69
ACTIVOS DE INFORMACIÓN Y ANÁLISIS DE RIESGOS. ........................................... 101
4.3. DESARROLLO DE LAS PRUEBAS........................................................................ 122
4.4. RECOPILACIÓN DE DATOS (RESULTADOS) .................................................... 122
4.5. INTERPRETACIÓN DE DATOS (RESULTADOS) ............................................... 123
4.6. DESCRIPCIÓN DE LA SITUACIÓN LUEGO DE IMPLEMENTAR LA
SOLUCIÓN PROPUESTA ..................................................................................................... 123
4.6.1. Sobre el conocimiento y el compromiso del SGSI ....................................... 124
4.6.2. Encuesta actual ..................................................................................................... 126
CAPITULO V................................................................................................................................ 136
ASPECTOS ADMINISTRATIVOS ............................................................................................ 136
5.1. CRONOGRAMA DE ACTIVIDADES. ...................................................................... 137
5.2. PRESUPUESTO Y FINANCIAMIENTO. ................................................................. 138
5.2.1. Análisis costo beneficio ...................................................................................... 138
5.3. RESPONSABLES. ...................................................................................................... 140
CONCLUSIONES........................................................................................................................ 141
RECOMENDACIONES .............................................................................................................. 142
ANEXOS ....................................................................................................................................... 143
7
A1. MATRIZ DE CONSISTENCIA ....................................................................................... 144
A2. MODELO DE ENTREVISTA .......................................................................................... 146
A3. MODELO DE CUESTIONARIO A COLABORADOR ................................................ 147
A4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ............................................... 151
A5. DIRECTIVA DE LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN ....... 159
DE LA FABRICA DE RADIADORES FORTALEZA ......................................................... 159
A6. DIRECTIVA DEL USO DE CONTRASEÑA EN EL ACCESO A LOS EQUIPOS
INFORMÁTICOS Y APLICACIONES DE LOS SERVICIOS DE LA FABRICA DE
RADIADORES FORTALEZA ................................................................................................ 205
A7. DIRECTIVA SOBRE EL USO DEL SERVICIO DE INTERNET EN LA FABRICA
DE RADIADORES FORTALEZA ......................................................................................... 215
A 08. DECLARACIÓN DE APLICABILIDAD ..................................................................... 232
GLOSARIO DE TERMINOS...................................................................................................... 233
BIBLIOGRAFÍA ........................................................................................................................... 236
8
INTRODUCCION
cada vez mayor, las amenazas incrementadas han crecido exponencialmente con los años
claro ejemplo esta los llamados “anonymous”, que exponen información de organizaciones
públicas o privadas vulnerando todo tipo de infraestructura técnica para lograr su cometido,
no solo existen ataques técnicos si no también “físicos”, ya que con la ayuda de “ingeniera
voluntariamente por los dueños de las mismas, y tal es así que ahora en las noticias se
suelen escuchar “tal empresa ha sido víctima de Hackers o “una institución sufrió un filtrado
de información debido a la traición de uno de sus empleados internos”, también existe los
externa. Entre tales las más comunes son: Antivirus, firewalls, DLPs, Seguridad
Gestionada, etc.
9
El efecto de invertir en tales equipos, software, soluciones de seguridad, etc., no llegan a
Estas soluciones no son del todo complejas ya que la seguridad exige que el
actividad.
en el área de TI, por lo que genera desconfianza y falta de medios de defensa al personal
Por ende, la seguridad de información no recae solo a nivel técnico, ya que todo el personal
de la Fábrica de Radiadores Fortaleza debe de estar comprometida, desde las oficinas más
información tienen trabajo que hacer ya que seguir adquiriendo hardware y software para
información clasificada trasladada verbalmente, etc. Esto demuestra que la inversión para
incluya no solo controles a nivel técnico, sino que también apoye en el desarrollo de la
10
de Radiadores Fortaleza es uno de los ejes centrales en el éxito de este programa de
seguridad de la información.
11
CAPITULO I
12
1.1. DESCRIPCION DEL PROYECTO
información, que como urgencia esta fábrica requiere, ya que, a competencia ha logrado
por lo que es necesario aplicar los controles respectivos para salvaguardarla. Sin
embargo, no solamente se necesitan controles a nivel técnico, estos tienen que estar
Al respecto, el ESET Security Report 2017 para Latinoamérica nos indica que los
controles tecnológicos más utilizados por las empresas a son el antivirus (83%), el
Figura 1.(ESET, 2017) Fuente: ESET Security Report 2017 para Latinoamérica
Las organizaciones aún confían que los antivirus brindaran solución óptima y total a sus
problemas.
13
Una de las problemáticas existentes en muchas organizaciones es la proliferación de
sortear las medidas de los productos de seguridad en los años 80, cuando un malware
seguridad no consiguieron leer su contenido. Hoy día los autores de malware emplean
llevar a la práctica un plan trazado que busca alcanzar los objetivos de protección de
El factor humano es muy indispensable para generar una correcta cultura de Seguridad
14
Figura 2 (IBM, 2018) IBM X-FORCE Treat Intelligence Index 2018
15
El desarrollo del SGSI se basa en el riesgo de los activos de información y en todas las
relaciones que tienen estos, por lo que las soluciones técnicas deben de estar
16
1.3. OBJETIVOS
Radiadores Fortaleza.
cumplen políticas básicas de informática, por lo que se requiere cumplir con los
Fortaleza.
Radiadores Fortaleza.
que esta medida no es suficiente. De este modo el SGSI plantea que los
17
seguridad, manteniendo y gestionando un sistema completo que es tratado
Este proyecto está diseñado para la Oficina de Proyectos que se encuentra dentro
el alcance definido que cubrirá todos los procesos relacionados con producción
digital de panales.
18
Esto solo estará implementado en la sede central en Lima, ya que sus sedes en
digitales archivadas.
1.6. LIMITACIONES
de Radiadores Fortaleza.
19
2. Un de un Sistema de Gestión de Seguridad de la Información influye
siguientes variables:
1.8.3. DIMENSIONES
o Inversión en TI.
1.8.4. INDICADORES
siguientes:
SGSI).
20
CAPITULO II
MARCO TEÓRICO
21
2.1. ANTECEDENTES DE LA INVESTIGACIÓN.
información, ya que, con el pasar de los años, la importancia de las TICs, han
determinado la continuidad y existencia del negocio. Por lo que todos los procesos
que no es parte de su negocio y solo lo toman como una necesidad obligada, por lo
herramientas.
Para el desarrollo de esta Tesis, use como referencia varios informes, estudios y
metodología en los procesos productivos son los mismos. Define también que la
22
la Fábrica de Radiadores Fortaleza la importancia de esta implementación ya que
ganaría valor e imagen internacional ya que muchos de los potenciales clientes que
Aprendí de esta tesis que los colaboradores de una organización deben de estar
Financiera” (Villena Aguilar, 2006), esta tesis nos señala los aspectos más
23
2.2.1. Información y Seguridad de la Información.
seguridad de “Información”.
Debe de existir una aclaración sobre esto ya que en muchos portales web
equipos especializados.
24
Si bien su concepto brinda medidas técnicas, estas se encuentran dentro de
seguridad.
información.
Información
Integridad
Figura 4: Basado en Iso 27000 Elaboración propia.
Confidencialidad
empresa.
25
Integridad
beneficio propio.
Disponibilidad
Información
de la Información”.
26
ISO 27001 es una norma internacional que permite el aseguramiento, la
los sistemas que la procesan. El estándar ISO 27001:2013 para los SGSI
(ISOTOOLS, s.f.)
el ciclo de Deming
27
En la implementación de un SGSI el ciclo de Deming seria aplicado de la siguiente
manera:
Fortaleza. Luego del análisis, se define el plan de tratamiento de riesgos, esto nos
lleva a implementar los controles de seguridad para mitigar los riesgos que no se
sistema eficiente.
28
o Uso de auditorías externas de manera cíclica para identificar falencias en el
o Integración posible con otros sistemas de gestión (ISO 9001, ISO 14001,
graves.
competitividad.
conciencia.
procesos.
29
la Seguridad de la Información. En general, es recomendable la ayuda de
consultores externos.
Para este proyecto se ha tomado como tentativa inicial de 6 meses, pero puede
El equipo de implantación deberá de estar formado por los jefes de todas las áreas
de Radiadores Fortaleza, estos dedican sus recursos para mantener los riesgos por
Activo.
bitácora.
Vulnerabilidad
Impacto y consecuencia.
Probabilidad
Fortaleza.
AMENAZA
VULNERABILID
EXPLOTA AD
ACTIVO
AFECTA
IMPACTO
PROVOCA
probabilidad de la misma
Figura 7: ISO 27005:2011 Information technology - Security techniques – Information security risk
management ,Guía ISO 73:2009, el vocabulario de gestión de riesgos, Gestión de riesgos. Una guía
de aproximación para el empresario
Daño personal
Pérdida financiera
de equilibrio”.
32
Grafica de ejemplo:
Coste de Protección
COSTE
Coste Riesgo
Equilibrio
realizan en 2 tareas:
Análisis de riesgos:
33
El tratamiento del riesgo cuenta con estas opciones:
aceptado.
umbral.
Transferir Evitar
IMPACTO
Aceptar Mitigar
Probabilidad
34
La metodología usada para el análisis de riesgos no permite omisiones,
gestión de riesgos.
estratégico y operativo.
35
Determinar el contexto
Valoración de riesgos
Seguimiento y Revisión
Comunicación y consulta
Identificación
Análisis
Evaluación
responsabilidades.
36
2.2.4.3. Valoración del riesgo
37
2.2.5. Gestión del riesgo de Seguridad de la Información.
las personas.
no autorizados.
38
Disponibilidad: Es el fundamento que indica que el acceso a la
Información
Integridad
39
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
40
3.1. OPERACIONALIZACIÓN DE LAS VARIABLES
reportados en un año
Cantidad de Independiente Total, de las políticas generales Cantidad de riesgos Ordinal Cantidad de
Radiadores
Fortaleza
Número de Independiente Total, de riesgos detectados, Equipos de Cantidad de incidentes Ordinal Número de
41
ligados a activos
de información
Gastos Dependiente Gasto total producido por los Cantidad de Ordinal Gastos
año. año.
42
3.2. TIPIFICACIÓN DE LA INVESTIGACIÓN
Tipo de Investigación
Nivel de Investigación
Fortaleza.
Diseño de la Investigación
las variables reales en el periodo de tiempo comprendido entre los meses de enero
y abril de 2017.
detallan a continuación:
Especificación de la Hipótesis
Capítulo 1 punto 7.
43
• Un SGSI influye positivamente en la seguridad de la
Radiadores Fortaleza.
La población en este caso son todo el personal de dibujo mecánico del área
Recolección de Datos
cuestionarios.
datos obtenidos.
Análisis de Datos
fue la correcta.
44
Población: Se considera como población a todo el personal de dibujo mecánico del
la población:
Entrevistas realizadas con preguntas cerradas para los jefes y los encargados
de Radiadores Fortaleza.
Se detalla lo siguiente:
Especificación de la Hipótesis
45
La gerencia asegura que existe fuga de información y desconfía del personal
Recolección de Datos
Análisis de Datos
46
CAPITULO IV
DESARROLLO DE LA INVESTIGACIÓN
47
4.1. DESCRIPCIÓN DE LA SITUACIÓN ANTES DE IMPLEMENTAR LA SOLUCIÓN
PLANTEADA.
algunos de ellos son: Komatsu Mitsui, Minera Chinalco, Compañía Minera Antamina,
Savia Perú, Modasa, DP World, Shougang Hierro Perú, Casa Grande, Rafersa,
otros.
siguiente manera:
48
ORGANIGRAMA
DIRECTORIO
GERENTE GENERAL
JEFE DE
JEFE DE RECURSOS
ADMINISTRACIÓN Y JEFE DE PLANTA JEFE DE VENTAS
HUMANOS
FINANZAS
ASISTENTE DE ASISTENTA
REPRESENTANTE DE
ASISTENTE SOCIAL DIBUJANTE ASISTENTE DE MECÁNICO DE ASISTENTE DE
ADMINISTRACIÓN Y VENTAS INDUSTRIAL
CONTABLE MECÁNICO MECANIZADO MANTENIMIENTO - Norte VENTAS
FINANZAS
- Centro
- Sur
AUXILIAR DE
AUXILIAR AUXILIAR DE AUXILIAR DE AUXILIAR DE AUXILIAR DE AUXILIAR DE
RECURSOS
CONTABLE COMPRAS TRÁMITES PLANTA MANTENIMIENTO VENTAS RECEPCIONISTA
HUMANOS
CHOFER DE CHOFER DE
COMPRAS PLANTA
AYUDANTE DE
AYUDANTE DE AYUDANTE DE AYUDANTE DE
PLANTA
ALMACÉN PLANTA PLANTA
SEDE AREQUIPA
49
Como se puede apreciar, el área de Tecnologías de Información es la encargada de
Para que las políticas pasen a regir en toda la Fábrica de Radiadores Fortaleza, se
Radiadores Fortaleza.
Las políticas aplicadas en las redes indican un control estricto para el acceso a
portales, correo, discos de red, etc. Esto debería aplicarse a toda la Fábrica de
Radiadores Fortaleza, pero existen usuarios que cuentan con privilegios especiales
50
Si bien existen políticas, es necesaria una política general que agrupe a estas
los inconvenientes.
suministrada.
las preguntas fueron al azar sin tener registro alguno. Esto sirvió para poner
continuación.
51
4.2.1.1. La entrevista
área de la empresa.
ENTREVISTA SGSI
52
Como resultado inicial se obtuvo lo siguiente:
gerente general
jefe de administración
jefe de RR.HH.
jefe de planta
jefe de ventas
sub contador
coordinador de compras
coordinador de almacén
industrial
supervisor de planta
automotriz
supervisor de planta
mantenimiento
supervisor de
coordinador de marketing
calidad
supervisor de control de
integrado de gestión
coordinador de sistema
supervisor soma
si no
1 ¿Conoce el termino
SGSI? no no no no no no no no no no no no no no no 0 15
2 ¿Su área cuenta o
participa en el SGSI?
no no no no no no no no no no no no no no no 0 15
¿Conoce los
3
controles de
seguridad? si si si si no no no no no no no si no si no 6 9
¿Tienen identificados
4
sus activos de
información? no no no no no no no no no no no no no no no 0 15
¿Cuenta con políticas
5
de seguridad de
información? si si si si si si si si si si si si si si si 15 0
¿tiene controles o
6
políticas de
contraseñas? si si si si si si si si si si si si si si si 15 0
¿Se realizan
mantenimiento
7
preventivo a los
equipos informáticos
de su área? si si si si si si si si si si si si si si si 15 0
¿Ha tenido incidentes
8
de seguridad
informática? si si si si si si si si si si si si si si si 15 0
¿ha tenido incidentes
9
de seguridad de
información? si no no si no no no no no no no no no no no 2 13
Tabla 3: resultado de entrevista, elaboración propia
Entrevista inicial
16
14
12
10
8
6
4
2
0
1 2 3 4 5 6 7 8 9
si no
53
Análisis
4.2.1.2. La encuesta:
F. NINGUNO. 0
E. OTROS, ESPECIFICAR 0
D. CLASIFICANDO DOCUMENTOS 0
C. LOGUEO A SU CORREO
ORGANIZACIONAL
2.00
B. APOYO EN EL USO DE WORD, EXCEL,
POWERPOINT, ETC.
5.00
A. POR LLENAR O ELABORAR UN
DOCUMENTO
3.00
54
2. ¿Usted apaga su pc y los equipos informáticos adecuadamente al final del día
laboral?
SI ( ) NO ( )
NO ( ) 5
SI ( ) 2
0 1 2 3 4 5 6
55
3. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
NO ( ) 1
SI ( ) 6
0 1 2 3 4 5 6 7
0 1 2 3 4 5 6 7 8
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
56
6. ¿Ha recibido capacitación para el uso de un extintor?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
SI ( ) 7
0 1 2 3 4 5 6 7 8
8. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
57
Cuándo su PC falla ¿ha tratado de manipular las
conexiones del equipo para tratar de corregirlo?
NO ( ) 3
SI ( ) 4
9. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
asignado dentro de la Fábrica de Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 3
SI ( ) 4
10. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
NUNCA ( ) 3
2
SI ( ) 2
0 0.5 1 1.5 2 2.5 3 3.5
F. OTROS,… 0
E. NO SE USARLO Y NO HARE NADA 0
D. SI ES UN DISPOSITIVO EXTRAÍBLE,… 0
C. ELIMINA EL ARCHIVO 0
B. ANALIZA EL EQUIPO CON ANTIVIRUS 0
A. DEPENDE DE LA ACCIÓN… 7
0 1 2 3 4 5 6 7 8
12. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
Tu contraseña te recuerda:
E. NO ESPECIFICA 1
D. DATOS DE ALGÚN FAMILIAR 2
C. NÚMERO TELEFÓNICO (DE CASA O… 2
B. SU CUMPLEAÑOS 1
A. NOMBRES 1
59
14. ¿Ha cambiado alguna vez la clave de acceso a su correo electrónico de la
Fábrica de Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
a. Alguien de mi oficina ( )
b. Un familiar ( )
c. Otros, Especifique……………………………………….… ( )
C. OTROS, ESPECIFIQUE… 4
B. UN FAMILIAR 0
A. ALGUIEN DE MI OFICINA 3
60
¿Cuál es la frecuencia de cambio de su contraseña de Fábrica
de Radiadores Fortaleza?
NUNCA ( ) 7
CADA AÑO ( ) 0
CADA 30 DÍAS ( ) 0
CADA 15 DÍAS ( ) 0
CADA 7 DÍAS ( ) 0
0 1 2 3 4 5 6 7 8
a. Entre 1 a 10 ( )
b. Entre 10 a 20 ( )
c. 20 a más ( )
d. Nunca recibe SPAM ( )
NO ( ) 6
SI ( ) 1
0 1 2 3 4 5 6 7
NO ( ) 0
SI ( ) 1
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
62
Si desea tener charlas de Seguridad de la Información, ¿qué
medio desea?
D. OTROS, ESPECIFICAR: 0
C. CAPACITACIONES PROGRAMADAS 2
B. PRESENCIAL 5
A. MEDIOS IMPRESOS 0
0 1 2 3 4 5 6
5. NADA 0
4. OTROS, ESPECIFICAR 0
3. DESMONTAR SU PC POR ALGUNA FALLA 0
2. LIMPIAR SU PC (TODAS SUS PARTES) 0
1. INSTALAR PROGRAMAS EN SU PC 7
0 1 2 3 4 5 6 7 8
63
Si su PC falla. ¿Qué es lo que hace?
D. OTROS, ESPECIFIQUE 0
0 1 2 3 4 5 6 7 8
OTROS 0
C. FALTA DE UN EXTINTOR O
0
CONTRAMEDIDAS DE LOS
64
Cuando su pc falla ¿Cómo se comunica a su mesa de ayuda?
NINGUNA 0
E. BUSCO OTRA MANERA, ESPECIFICAR 0
D. ESPERO A MESA DE AYUDA 0
C. ME ACERCO A ATI 1
B. POR MAIL A ATI 3
A. POR TELÉFONO 3
0 0.5 1 1.5 2 2.5 3 3.5
Análisis:
de esta investigación.
situación actual y realizar una estimación del tiempo y los recursos necesarios
para la implementación.
Fortaleza
65
Nombre y
cargo del
Código del
Nombre completo del responsable
sub-proceso Descripción del
sub-proceso / Activo de del sub-
/ Activo de activo
información proceso /
información
Activo de
información
Sala hermética
donde se
AI-1 Sala de servidores encuentran ATI
almacenados los
servidores
Equipo informático
Base de Datos de Correo
donde se almacena
AI-2 Electrónico de la Fábrica ATI
la información lógica
de Radiadores Fortaleza
de la empresa
Archivo de panales
de desarrollo de la
fábrica de
Planos Digitales de
AI-3 Radiadores ATI
Panales
Fortaleza que
cuentan con
patentes
Software
Software de desarrollo de especializado en Jefe de Planta/
AI-4
planos de panales actividades de ATI
ingeniería
Software de
almacenamiento de
Software de
cuentas de usuario
AI-5 autenticación de ATI
registradas en la
directorio activo
fábrica de
radiadores fortaleza.
Archivos digitales
Información digital de los
almacenados en
AI-6 profesionales de diseño ATI
unidades de red o en
de panales
discos magnéticos.
Cámaras para la
Información de actividad
vigilancia de las
AI-7 diaria de personal de ATI
instalaciones de la
planta
empresa.
Infraestructura física
donde se encuentra
AI-8 Infraestructura de Área Jefe de planta
la oficina de los
colaboradores
Servicio de Energía Conexiones ATI/Jefe de
AI-9
eléctrica eléctricas planta
Conexión de la red
AI-10 Infraestructura de red ATI
interna
Equipo generador de
AI-11 Grupo electrógeno Jefe de planta
energía eléctrica
Colaboradores
encargados de
AI-12 Profesionales realizar las Jefes de Planta
actividades del
proceso.
Tabla 32: Tabla de identificación de activos de Información Fuente: Elaboración propia. ISO
27000
66
Se presenta un cuadro de las herramientas necesarias para la implementación:
Implementación Herramientas
SGSI.
internacional.
para la fábrica.
Tabla 33: Cuadro de Herramientas, Fuente: Elaboración propia basado en el ISO 27000
de la información
67
Un oficial de Seguridad de la Información, con experiencia y certificado en la
Nivel de
Significado
Madurez
Tabla 34: Nivel de Madurez del SGSI. Elaboración propia basado en el ISO 27000: ISO 27000
68
ANÁLISIS DE BRECHA PARA EL SGSI
CONTROL DE
NIVEL MADUREZ
SEGURIDAD -
DESCRIPCIÓN DE LA SITUACIÓN
CODIGO ANEXO A NTP REQUISITO ANÁLISIS DE BRECHA
ACTUAL
ISO/IEC
27001:2014 ACTUAL OBJETIVO
69
Se requiere que las funciones y tareas
Las funciones y áreas de
deban estar debidamente
responsabilidad en conflicto deben
Las principales funciones están documentadas, aprobadas y
Segregación de ser segregadas para reducir
A.6.1.2 segregadas en diversos roles de L2 L4 comunicadas, además que estas
funciones oportunidades de modificación no
manera intuitiva. deban ser revisadas cada cierto
autorizada o mal uso de los activos
periodo de tiempo en base a
de la organización.
indicadores.
70
A.6.2 DISPOSITIVOS MÓVILES Y TRABAJO REMOTO
71
A.7.2 DURANTE EL EMPLEO
72
A.8 GESTIÓN DE LOS ACTIVOS
73
Un conjunto apropiado de
procedimientos para el etiquetado de
Se mantiene un procedimiento Se requiere que se documente,
la información debe ser desarrollado
Etiquetado de la intuitivo para clasificar la información, analice, verifique, apruebe y
A.8.2.2 e implementado en concordancia con L2 L3
información no existe una política para la comunique una política sobre el
el esquema de clasificación de la
clasificación de la información. etiquetado de la información.
información adoptado por la
organización.
74
A.9 CONTROL DE ACCESO
Un proceso formal de registro y baja Existe un procedimiento manual Se requiere que se documente,
Registro y baja de de usuarios debe ser implementado documentado a través de correo apruebe y comunique un
A.9.2.1 L1 L3
usuarios para permitir la asignación de electrónico, se realiza en base se procedimiento para el registro y la baja
derechos de acceso. soliciten. de los usuarios.
Un proceso formal de
aprovisionamiento de acceso a Se requiere que se documente,
usuarios debe ser implementado El cambio de permisos del acceso apruebe y comunique un
Aprovisionamiento
A.9.2.2 para asignar o revocar los derechos del usuario se realiza manual y con L2 L3 procedimiento para el
de acceso a usuario
de acceso para todos los tipos de confirmación vía correo electrónico. aprovisionamiento del acceso a
usuarios a todos los sistemas y usuario.
servicios.
75
Gestión de La asignación de información de Se controla la autentificación secreta
información de autentificación secreta debe ser a través de un proceso formal de Se requiere que se documente
A.9.2.4 L2 L3
autentificación controlada a través de un proceso de gestión de autentificación de detalladamente y se pruebe.
secreta de usuarios. gestión formal. usuarios.
76
Donde la política de control de
Se requiere desarrollar un
acceso lo requiera, el acceso a los Se controla de manera segura el
Procedimientos de procedimiento que indique las formas
A.9.4.2 sistemas y a las aplicaciones debe acceso a los diversos sistemas y L2 L3
ingreso seguro en cómo acceder de manera segura a
ser controlado por un procedimiento aplicaciones.
los diversos sistemas y aplicaciones.
de ingreso seguro.
A.10 CRIPTOGRAFÍA
77
A.11 SEGURIDAD FÍSICA Y AMBIENTAL
78
A.11.2 EQUIPOS
79
La seguridad debe ser aplicada a los Se mantiene un esquema de
Seguridad de Se requiere de un procedimiento
activos que están fuera de su lugar protección para los activos fuera de
equipos y activos documentado, aprobado y capacitado
A.11.2.6 tomando en cuenta los distintos las instalaciones, pero se hace de L1 L3
fuera de las para la protección de los activos fuera
riesgos de trabajar fuera de las manera independiente para cada
instalaciones de las instalaciones de la organización.
instalaciones de la organización. caso según se requiera.
80
A.12 SEGURIDAD DE LAS OPERACIONES
81
A.12.2 PROTECCIÓN CONTRA CÓDIGO MALICIOSO
A.12.3 RESPALDO
Copias de respaldo de la
información, del software y de las
Existen procedimientos Se requiere una medición en base
imágenes del sistema deben ser
Respaldo de la detallados y documentados a indicadores para manejar de
A.12.3.1 tomadas y probadas L3 L4
información sobre el respaldo de la manera correcta el respaldo de
regularmente en concordancia
información. información de los equipos.
con una política de respaldo
acordada.
82
Las actividades del administrador
del sistema y del operador del Se requiere una revisión periódica
Registros del Los eventos del administrador no
sistema deben ser registradas y de estos registros, además de un
A.12.4.3 administrador y del son monitoreados ni L1 L3
los registros (logs) deben ser procedimiento formal para el
operador respaldados.
protegidos y revisados manejo de estos registros.
regularmente.
Se han implementado
Instalación de Procedimientos deben ser Se necesita documentación
procedimientos para evitar la
software en implementados para controlar la detallada, aprobada y
A.12.5.1 instalación de software sin L2 L3
sistemas instalación de software en documentada de estos
autorización de los
operacionales sistemas operacionales. procedimientos.
administradores.
Información sobre
vulnerabilidades técnicas de los
sistemas de información
Se requiere de la implantación de
utilizados debe ser obtenida de No existe ningún procedimiento
Gestión de un enfoque documentado,
manera oportuna, la exposición ni iniciativa para el manejo de las
A.12.6.1 vulnerabilidades L0 L3 aprobado y comunicado para el
de la organización a dichas vulnerabilidades técnicas de los
técnicas tratamiento de las
vulnerabilidades debe ser sistemas de información.
vulnerabilidades.
evaluada y las medidas
apropiadas deben ser tomadas
para resolver el riesgo asociado.
83
Existen reglas que impiden que
Restricciones Reglas que gobiernen la un usuario estándar pueda
sobre la instalación de software por parte instalar software. El enfoque es
A.12.6.2 L3 L3
instalación de de los usuarios deben ser un proceso estándar
software establecidas e implementadas. documentado y comunicado,
apoyado por controles técnicos.
Mecanismos de seguridad,
niveles de servicio y requisitos
de todos los servicios de red
Se necesita documentación
deben ser identificados e
Seguridad de No existen acuerdos de servicio detallada, aprobada y comunicada
A.13.1.2 incluidos en acuerdos de L0 L3
servicios de red para los servicios de red. para mantener la seguridad de los
servicios de red, ya sea que
servicios de red.
estos servicios se provean
internamente o sean
Tercerizados.
84
Las redes están segregadas en
Grupos de servicios de
base a las buenas prácticas de la Se requiere documentación
Segregación en información, usuarios y sistemas
A.13.1.3 organización. No existe L2 L3 respecto a la segregación de las
redes de información deben ser
documentación detallada sobre redes.
segregados en redes.
la segregación de la red.
Se requieren procedimientos
Los acuerdos deben dirigir la Existen acuerdos de
Acuerdo sobre la documentados, aprobados y
transferencia segura de transferencia de información en
A.13.2.2 transferencia de L1 L3 comunicados sobre los acuerdos
información del negocio entra la base a enfoques ad-hoc
información para la transferencia de
organización y partes externas. realizados en diferentes casos.
información del negocio.
85
A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requisitos relacionados a la
Se requiere de procedimientos y
Análisis y seguridad de la información deben Los requisitos de seguridad de la
controles documentados, aprobados
especificación de ser incluidos dentro de los información son tomados en
y comunicados para el análisis de
A.14.1.1 requisitos de requisitos para nuevos sistemas cuenta bajo enfoques de acuerdo L1 L3
los requisitos a la seguridad de la
seguridad de la de información o mejoras a los al escenario en desarrollo o mejora
información para el desarrollo y
información sistemas de información de los sistemas de información.
actualización de sistemas.
existentes.
La información involucrada en
Aseguramiento de servicios de aplicaciones que pasa Se requiere de procedimientos más
Se han establecido controles a
servicios de sobre redes públicas debe ser intuitivos y repetibles para asegurar
A.14.1.2 nivel técnico para algunas L1 L2
aplicaciones sobre protegida de actividad fraudulenta, las aplicaciones sobre redes
aplicaciones publicadas.
redes públicas disputa de contratos o divulgación públicas.
no autorizada y modificación.
86
Cambios a los sistemas dentro del
Se manejan procedimientos
Procedimientos de ciclo de vida del desarrollo deben Se requiere documentación y
formales de control de cambios de
A.14.2.2 control de cambio ser controlados por medio del uso L2 L3 proceso definido para cambios en
los sistemas. Pero no están
del sistema de procedimientos formales de los sistemas desarrollados.
documentados.
control de cambios
87
Las organizaciones deben
establecer y proteger
apropiadamente los ambientes de Se mantiene y conserva un Se requieren políticas y
Ambiente de desarrollo seguros para los ambiente de desarrollo seguro en procedimientos para la conservación
A.14.2.6 L2 L3
desarrollo seguro esfuerzos de desarrollo e base a algunos controles técnicos y mejora de los ambientes de
integración de sistemas que y procedimientos informales. desarrollo seguros.
cubren todo el ciclo de vida del
desarrollo del sistema.
Programas de pruebas de
aceptación y criterios relacionados Se realizan pruebas de aceptación Se necesita un procedimiento formal
Pruebas de
deben ser establecidos para de los sistemas bajo enfoques documentado, aprobado y
A.14.2.9 aceptación del L2 L3
nuevos sistemas de información, informales sin documentación comunicado para las pruebas de
sistema
actualizaciones y nuevas detallada. aceptación del sistema.
versiones.
88
A.15 RELACIONES CON LOS PROVEEDORES
89
Los cambios a la provisión de
servicios por parte de
proveedores, incluyendo el
mantenimiento y mejoramiento de
políticas, procedimientos y Existe un enfoque de gestión de Se requiere un procedimiento formal,
Gestión de cambios
controles existentes de seguridad cambios a los servicios de aprobado y comunicado para
A.15.2.2 a los servicios de L1 L3
de la información deben ser proveedores de manera ad-hoc en controlar la gestión de cambios a los
proveedores
gestionados tomando en cuenta la base a la necesidad de cada caso. servicios de proveedores.
criticidad de la información del
negocio, sistemas y procesos
involucrados y una reevaluación
de riesgos.
90
Empleados y contratistas que usen
los sistemas y servicios de
información de la organización
Reporte de Se requiere de un procedimiento
deben ser exigidos a advertir y Se mantiene un enfoque informal
debilidad de detallado, aprobado y comunicado
A.16.1.3 reportar cualquier debilidad para reportar la debilidad en L1 L3
seguridad de la para reportar la debilidad de
observada o de la que se seguridad de la información.
información seguridad de la información.
sospecha en cuanto a la seguridad
de la información en los sistemas o
servicios.
Evaluación y Los eventos de seguridad de la Se realiza una evaluación informar Se requiere un documento formal,
decisión sobre información deben ser evaluados y y repetitiva para los incidentes de aprobado y comunicado para tomar
A.16.1.4 eventos de deben decidirse si son clasificados seguridad de la información sin L1 L3 decisiones respecto a la clasificación
seguridad de la como incidentes de seguridad de tomar en cuenta alguna de incidentes de seguridad de la
información. la información. clasificación. información.
91
A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
A.17.2 REDUNDANCIAS
Las instalaciones de
procesamiento de la información
Instalaciones de Se requiere la implementación de
deben ser implementadas con No posee sistemas de
A.17.2.1 procesamiento de L0 L3 servicios de redundancia de
redundancia suficiente para redundancia
la información servicios out site.
cumplir con los requisitos de
disponibilidad.
92
A.18 CUMPLIMIENTO
La privacidad y la protección de
Se han implementado controles de
Privacidad y datos personales deben ser
acuerdo a la legislación vigente
A.18.1.4 protección de datos aseguradas tal como se requiere L3 L3
para asegurar la privacidad y la
personales en la legislación y regulación
protección de datos personales.
relevantes donde sea aplicable.
93
Controles criptográficos deben ser
Regulación de
utilizados en cumplimiento con
A.18.1.5 controles NA NA
todos los acuerdos, legislación y
criptográficos
regulaciones relevantes.
Tabla 35: Análisis de Brecha del SGSI Fuente Elaboración propia basado en el ISO 27000.
94
Valorización de Confidencialidad: Se deberá considerar uno de los siguientes valores:
Valor Clasificación Definición Consecuencia
95
La falta de integridad produce daños de
pequeña magnitud los que se pueden
expresar como:
- Pérdidas económicas (no impacta las
Es la información o recurso que, al ganancias, se cumplen las metas).
ser modificado, intencional o - Falla de los procesos
casualmente, por personas o informáticos (incapacidad de ejecutarlos por
1 Baja
procesos autorizados o no un período de tiempo, pero este es
autorizados provoca daños de manejable).
pequeña magnitud. - Daño de la imagen de la fábrica de
radiadores fortaleza. (daño a nivel nacional
que puede no ser percibido y se puede
reparar prontamente).
- No se pierde la confianza de los usuarios.
Tabla 37: Valorización de la integridad. Fuente: Elaboración Propia basado Enel ISO 27000
Tabla 38: Valorización de la Disponibilidad. Fuente: Elaboración Propia basado Enel ISO 27000
96
Tabla de Valor del Activo: Con el valor obtenido de la confidencialidad, integridad y
disponibilidad se identificará el valor de los activos, para ello se tendrá en cuenta la
siguiente tabla:
Aspecto de
Seguridad
afectado por el Valor del Activo
riesgo
C I D
1 1 1 No Significativo
1 1 2 Menor
1 1 3 Significativo
1 2 1 Menor
1 2 2 Moderado
1 2 3 Significativo
1 3 1 Significativo
1 3 2 Significativo
1 3 3 Catastrófico
2 1 1 Menor
2 1 2 Moderado
2 1 3 Significativo
2 2 1 Moderado
2 2 2 Moderado
2 2 3 Significativo
2 3 1 Significativo
2 3 2 Significativo
2 3 3 Catastrófico
3 1 1 Significativo
3 1 2 Significativo
3 1 3 Catastrófico
3 2 1 Significativo
3 2 2 Significativo
3 2 3 Catastrófico
3 3 1 Catastrófico
3 3 2 Catastrófico
3 3 3 Catastrófico
Tabla 39: Tabla de Valor de activos. Fuente: Elaboración Propia basado Enel ISO 27000
97
Valoración del Impacto: Se deberá determina el impacto de acuerdo a la siguiente tabla:
ISO 27000
98
Valorización del Riesgo: Con el valor obtenido del producto del Impacto por la
Probabilidad obtenemos el nivel del Riesgo, para ello se tendrá en cuenta la siguiente
tabla:
Tabla 43: Nivel de Riesgo. Fuente: Elaboración Propia basado Enel ISO 27000
100
ACTIVOS DE INFORMACIÓN Y ANÁLISIS DE RIESGOS.
Nombre
Código del completo
subproceso del Descripción Valor Nivel de
C I D Amenaza Vulnerabilidad Descripción del Riesgo Impacto Probabilidad Controles
/ Activo de subproceso del activo CID Riesgo
información / Activo de
información
101
Se deberá de desarrollar una directiva
Asignación Acceso indebido a la Sala de
donde se indique el procedimiento para
equivocada de servidores por asignación
3 2 Mediano gestionar los accesos a la Sala de
derechos de equivocada de derechos de
servidores y las medidas de seguridad
acceso acceso
que se deberán cumplir
Se deberá de desarrollar una directiva
Insuficientes Acceso indebido a la Sala de
donde se indique el procedimiento para
mecanismos de servidores por insuficientes
4 2 Mediano gestionar los accesos a la Sala de
supervisión/mo mecanismos de
servidores y las medidas de seguridad
nitoreo supervisión/monitoreo
que se deberán cumplir
Se deberá de desarrollar una directiva
Falta de Acceso indebido a la Sala de
donde se indique el procedimiento para
procedimiento servidores por falta de
4 2 Mediano gestionar los accesos a la Sala de
de retiro de procedimiento de retiro de
servidores y las medidas de seguridad
accesos accesos
que se deberán cumplir
Falta de
Daño por fenómeno sísmico en la
técnicas
Daño por Sala de servidores debido a la
apropiadas
fenómeno falta de técnicas apropiadas para 4 1 Bajo
para controlar
sísmico controlar algún evento
algún evento
catastrófico
catastrófico
Fallas en el control de
Se deberá de realizar mantenimiento
Mantenimiento temperatura y humedad de la
5 1 Mediano periódicamente al sistema de aire
insuficiente Sala de servidores por
acondicionado
Fallas en el mantenimiento insuficiente
control de
Fallas en el control de
temperatura
Uso incorrecto temperatura y humedad de la
y humedad
del software y Sala de servidores por uso 4 1 Bajo
hardware incorrecto del software y
hardware
Fallas del sistema de aire
Se deberá de realizar mantenimiento
Mantenimiento acondicionado de la Sala de
Fallas del 5 1 Mediano periódicamente al sistema de aire
insuficiente servidores por mantenimiento
sistema de acondicionado
insuficiente
aire
Fallas del sistema de aire
acondicionad Uso incorrecto
acondicionado de la Sala de
o del software y 4 1 Bajo
servidores por uso incorrecto del
hardware
software y hardware
102
AI-2 Base de Datos de Correo Electrónico de la Fábrica de Radiadores Fortaleza.
Código del Nombre
subproces completo
o / Activo del Descripción Valor Nivel de
C I D Amenaza Vulnerabilidad Descripción del Riesgo Impacto Probabilidad Controles
de subproceso del activo CID Riesgo
informació / Activo de
n información
103
insuficiencia de lineamientos de
seguridad
Falta de Uso no autorizado de los Se deberá de verificar que se cuenten
mecanismos de Servidores por falta de 5 1 Mediano con logs de auditoria, los cuales deberán
monitoreo mecanismos de monitoreo ser revisados en periodos programados.
Uso no autorizado de los
Incorrecta Se deberá de realizar análisis de la
Servidores por incorrecta 5 1 Mediano
configuración configuración de los Servidores
configuración
Falta de
procedimiento Uso no autorizado de los
Se deberá elaborar lineamientos que
formal de altas, Servidores por falta de
5 1 Mediano indiquen la verificación de los usuarios
bajas y procedimiento formal de altas,
con acceso al VPN
modificaciones bajas y modificaciones de usuario
de usuario
Falta de
ejecución del
Uso no autorizado de los
procedimiento Se deberá de verificar que solo el
Servidores por Falta de ejecución
formal de altas, 5 1 Mediano personal autorizado tenga acceso a los
del procedimiento formal de altas,
bajas y Servidores
bajas y modificaciones de usuario
modificaciones
de usuario
Incorrecta Hacking de los Servidores por Se deberá de realizar análisis de la
5 1 Mediano
configuración Incorrecta configuración configuración de los Servidores
Falta de
Hacking de los Servidores por
mecanismos de
Falta de mecanismos de Se deberá de realizar análisis de la
configuración 5 1 Mediano
configuración de seguridad del configuración de los Servidores
de seguridad
equipo
del equipo
Falta de
Hacking afinamiento en
los mecanismos Hacking de los Servidores por
Se deberá de realizar análisis de la
de seguridad falta de afinamiento en los
5 1 Mediano configuración de los equipos de
del mecanismos de seguridad
seguridad perimetral
equipamiento perimetral
de seguridad
perimetral
Falta Se deberá de verificar que los Servidores
Hacking de los Servidores por
actualización 5 1 Mediano se encuentren con los parches
Falta actualización del Sistema
del Sistema actualizados
Red inestable Indisponibilidad de los Servidores Se deberá de contar con un UPS para
de energía por Red inestable de energía 5 1 Mediano asegurar la continuidad de los
eléctrica eléctrica Servidores
Falta de Se deberá de tener contingencia de los
Indisponibilidad de los Servidores
redundancia 5 2 Alto Servidores para asegurar la
Indisponibilid por Falta de redundancia activa
activa disponibilidad de la información
ad del
Insuficientes
equipo Indisponibilidad de los Servidores
mecanismos de Se deberá de monitorear 24*7 la
por Insuficientes mecanismos de 5 1 Mediano
supervisión/mo operatividad de los Servidores
supervisión/monitoreo
nitoreo
Mantenimiento Indisponibilidad de los Servidores Se deberá contar con un plan de
5 1 Mediano
insuficiente por Mantenimiento insuficiente mantenimiento de los Servidores
Pérdida de información de los Se deberá de verificar que se estén
Pérdida de Falta de copias
Servidores por falta de copias de 5 1 Mediano realizando copias de respaldo de los
información de respaldo
respaldo Servidores
104
Falta de
Pérdida de información de los Se deberá de verificar que se estén
pruebas
Servidores por falta de pruebas 5 2 Alto realizando pruebas de restauración de
periódicas de
periódicas de restauración las copias de respaldo de los Servidores
restauración
Se deberá de verificar que solo el
Pérdida de información de los
Error humano 5 1 Mediano personal capacitado manipule los
Servidores por Error humano
Servidores
Falta Infección de códigos maliciosos
actualización (ej. Virus, bomba lógica, troyano) Se deberá de verificar la instalación de
del Software de en los Servidores por falta 5 1 Mediano Parches y Actualizaciones en los
Servidores actualización del Software de Servidores
(parche) Servidores (parche)
Infección de códigos maliciosos
Códigos
Falta de (ej. Virus, bomba lógica, troyano) Se deberá de verificar que los Servidores
maliciosos 5 1 Mediano
antivirus en los Servidores por falta de cuenten con antivirus
(ej. Virus,
antivirus
bomba
Infección de códigos maliciosos
lógica, Falta de
(ej. Virus, bomba lógica, troyano) Se deberá de monitorear la actualización
troyano) antivirus 5 1 Mediano
en los Servidores por Falta de de los Servidores
actualizado
antivirus actualizado
Infección de códigos maliciosos
Falta de
(ej. Virus, bomba lógica, troyano) Se deberá capacitar al personal sobre
conciencia de 5 1 Mediano
en los Servidores por Falta de seguridad de la información
seguridad
conciencia de seguridad
Se deberá de verificar que solo el
Fuga de información de los
Error humano 5 1 Mediano personal capacitado tenga acceso a los
Servidores por Error humano
Servidores
Falta de Fuga de información de los
Se deberá capacitar al personal sobre
conciencia de Servidores por Falta de 5 1 Mediano
seguridad de la información
seguridad conciencia de seguridad
Asignación Fuga de información de los
Se deberá de verificar que solo el
equivocada de Servidores por Asignación
5 1 Mediano personal autorizados tengan acceso a
derechos de equivocada de derechos de
los Servidores
acceso acceso
Mala Fuga de información de los Se deberá de capacitar al personal sobre
Fuga de
administración Servidores por Mala 5 2 Alto la directiva de contraseñas y la política
información
de claves administración de claves de seguridad de la información
Asignación Fuga de información de los
Se deberá de verificar que solo el
equivocada de Servidores por Asignación
5 2 Alto personal capacitado tenga acceso a los
derechos de equivocada de derechos de
Servidores
acceso acceso
Falta de
procedimiento Fuga de información de los
Se deberá elaborar lineamientos que
formal de altas, Servidores por Falta de
5 1 Mediano indiquen la verificación de los usuarios
bajas y procedimiento formal de altas,
con acceso al Servidores
modificaciones bajas y modificaciones de usuario
de usuario
105
AI-3 Planos Digitales de Panales.
Nombre
Código del completo
subproceso del Descripción Descripción del Nivel de
C I D Valor CID Amenaza Vulnerabilidad Impacto Probabilidad Controles
/ Activo de subproceso del activo Riesgo Riesgo
información / Activo de
información
Robo de planos digitales
Falta de mecanismos de panales por falta de Se deberá verificar el retiro de equipos
5 1 Mediano
de monitoreo mecanismos de informáticos
monitoreo
106
Pérdida de planos
Falta de copias de digitales de panales por
4 1 Bajo
respaldo Falta de copias de
respaldo
Pérdida de información
Falta de pruebas de las estaciones de
periódicas de trabajo por Falta de 4 1 Bajo
restauración pruebas periódicas de
Pérdida de
restauración
información
107
Mal uso de información
de las estaciones de
trabajo que contienen
Reutilización de
planos digitales de Se deberá de implementar una
equipos sin borrar
panales por 5 2 Alto directiva de rehúso y eliminación
apropiadamente la
Reutilización de equipos segura de medios.
información
sin borrar
apropiadamente la
información
Infección de Códigos
maliciosos (ej. Virus,
bomba lógica, troyano)
Se deberá de verificar la instalación de
Falta actualización del en estaciones de trabajo
Parches en las estaciones de trabajo
Software de que contienen planos 5 1 Mediano
que contienen planos digitales de
Servidores (parche) digitales de panales por
panales.
Falta actualización del
Software de Servidores
(parche)
Infección de Códigos
maliciosos (ej. Virus,
Se deberá de verificar que las
bomba lógica, troyano)
estaciones de trabajo que contienen
Falta de antivirus en estaciones de trabajo 5 1 Mediano
planos digitales de panales cuenten
Infección de que contienen planos
con antivirus
códigos digitales de panales por
maliciosos (ej. Falta de antivirus
Virus, bomba Infección de Códigos
lógica, maliciosos (ej. Virus,
troyano) bomba lógica, troyano) Se deberá de monitorear la
Falta de antivirus en estaciones de trabajo actualización del antivirus en las
4 2 Mediano
actualizado que contienen planos estaciones de trabajo que contienen
digitales de panales por planos digitales de panales.
Falta de antivirus
actualizado
Infección de Códigos
maliciosos (ej. Virus,
bomba lógica, troyano)
Falta de conciencia de en estaciones de trabajo Se deberá capacitar al personal sobre
5 2 Alto
seguridad que contienen planos seguridad de la información
digitales de panales por
Falta de conciencia de
seguridad
Mal funcionamiento de
las estaciones de
trabajo que contienen Se deberá de tener un plan de
Susceptibilidad a la
planos digitales de mantenimiento de las estaciones de
humedad, al polvo y a 5 1 Mediano
panales por trabajo que contienen planos digitales
la suciedad
Susceptibilidad a la de panales.
Mal humedad, al polvo y a la
funcionamiento suciedad
del equipo
Mal funcionamiento de
las estaciones de Se deberá de tener un plan de
Incorrecta trabajo que contienen mantenimiento de las estaciones de
5 1 Mediano
configuración planos digitales de trabajo que contienen planos digitales
panales por Incorrecta de panales.
configuración
108
Mal funcionamiento de
las estaciones de
trabajo que contienen Se deberá capacitar al personal sobre
Error humano 5 2 Alto
planos digitales de seguridad de la información
panales por Error
humano
Mal funcionamiento de
las estaciones de
Se deberá de tener un plan de
trabajo que contienen
Obsolescencia mantenimiento de las estaciones de
planos digitales de 5 1 Mediano
Tecnológica trabajo que contienen planos digitales
panales por
de panales.
Obsolescencia
Tecnológica
Uso no autorizado de
las estaciones de
Mala administración trabajo que contienen
Se deberá de verificar el cumplimiento
de la contraseña del planos digitales de 5 1 Mediano
de la directiva de contraseñas
equipo panales por Mala
administración de la
contraseña del equipo
Uso no autorizado de
las estaciones de
trabajo que contienen Se deberá capacitar al personal sobre
Error humano 5 1 Mediano
planos digitales de seguridad de la información
panales por Error
humano
Uso no autorizado de
las estaciones de Se deberá de implementar una Política
No hacer "logout" trabajo que contienen en el AD, la cual bloquee las
cuando se sale de la planos digitales de 5 1 Mediano estaciones de trabajo que contienen
estación de trabajo panales por No hacer planos digitales de panales a los 5 min
"logout" cuando se sale de inoperatividad
Uso no
de la estación de trabajo
autorizado de
las estaciones Uso no autorizado de
Las estaciones de
de trabajo las estaciones de
trabajo que contienen
trabajo que contienen Se deberá de implementar una política
planos digitales de
planos digitales de 5 1 Mediano en el Active Directory que exija el
panales no exigen el
panales por no exige el cambio de contraseñas.
cambio periódico de
cambio periódico de
contraseña
contraseña
Uso no autorizado de
las estaciones de
Falta de conciencia de trabajo que contienen Se deberá capacitar al personal sobre
5 1 Mediano
seguridad planos digitales de seguridad de la información
panales por Falta de
conciencia de seguridad
Ausencia o
Uso no autorizado de
insuficiencia de
las estaciones de
lineamientos
trabajo que contienen
(concernientes a la Se deberá capacitar al personal sobre
planos digitales de 5 1 Mediano
seguridad de la seguridad de la información
panales por Ausencia o
información en
insuficiencia de
contratos con
lineamientos
empleados)
109
Uso no autorizado de
las estaciones de
trabajo que contienen
Falta de procedimiento
planos digitales de Se deberá elaborar lineamientos que
formal de altas, bajas
panales por Falta de 5 1 Mediano indiquen la verificación de los usuarios
y modificaciones de
procedimiento formal de con acceso a las estaciones de trabajo
usuario
altas, bajas y
modificaciones de
usuario
Fuga de información de
las estaciones de
trabajo que contienen Se deberá capacitar al personal sobre
Error humano 5 1 Mediano
planos digitales de seguridad de la información
panales por Error
humano
Fuga de información de
las estaciones de
Falta de conciencia de trabajo que contienen Se deberá capacitar al personal sobre
5 1 Mediano
seguridad planos digitales de seguridad de la información
panales por Falta de
conciencia de seguridad
Fuga de información de
Insuficientes las estaciones de
Se deberá implementar un medio de
mecanismos de trabajo por Insuficientes 5 1 Mediano
protección de información confidencial
supervisión/monitoreo mecanismos de
supervisión/monitoreo
Fuga de información de
las estaciones de
Fuga de Asignación trabajo que contienen Se deberá verificar periódicamente los
información equivocada de planos digitales de 5 1 Mediano permisos de acceso a las carpetas
derechos de acceso panales por Asignación compartidas.
equivocada de derechos
de acceso
Fuga de información de
las estaciones de
Se deberá de capacitar al personal
Mala administración trabajo que contienen
5 1 Mediano sobre la directiva de contraseñas y la
de claves planos digitales de
política de seguridad de la información
panales por Mala
administración de claves
Fuga de información de
las estaciones de
trabajo que contienen
Falta de procedimiento
planos digitales de Se deberá elaborar lineamientos que
formal de altas, bajas
panales por Falta de 5 1 Mediano indiquen la verificación de los usuarios
y modificaciones de
procedimiento formal de con acceso a las estaciones de trabajo
usuario
altas, bajas y
modificaciones de
usuario
110
AI-4 Software de desarrollo de planos de panales.
Nombre
Código del completo
subproceso del Descripció Descripción del Nivel de
C I D Valor CID Amenaza Vulnerabilidad Impacto Probabilidad Controles
/ Activo de subproceso n del activo Riesgo Riesgo
información / Activo de
información
Mal
funcionamient
o del software
Mal funcionamiento del
Software desfasado Se deberá de verificar las versiones
software de ingeniería
por vigencia del software de ingeniería y de
por software desfasado
tecnológica y sin 5 2 Alto encontrarse alguno que se encuentre
por vigencia tecnológica
soporte por parte del desfasado tecnológicamente, se
y sin soporte por parte
fabricante deberá de migrar.
del fabricante
Software
Software de especializad
desarrollo o en Significativ
AI-4 1 2 3
de planos de actividades o
panales. de
Indisponibilidad del
ingeniería
Software obsoleto software de ingeniería 4 1 Bajo
por Software obsoleto
Indisponibilidad del
Software desfasado
software de ingeniería
por vigencia
por software desfasado
tecnológica y sin 4 1 Bajo
por vigencia tecnológica
soporte por parte del
Indisponibilida y sin soporte por parte
fabricante
d del Software del fabricante
111
Indisponibilidad del
Se deberá de verificar que solo el
Uso incorrecto del software de ingeniería
5 1 Mediano personal capacitado y autorizado
software por uso incorrecto del
tenga acceso al software de ingeniería
software
Acceso no autorizado al
Acceso no Se deberá de verificar que solo el
Incorrecta software de ingeniería
autorizado al 5 1 Mediano personal autorizado tenga acceso al
configuración por incorrecta
sistema software de ingeniería
configuración
Acceso no autorizado al
Falta de eliminación y software de ingeniería Se deberá de verificar que solo el
modificación de por falta de eliminación 5 1 Mediano personal autorizado tenga acceso al
accesos del personal y modificación de software de ingeniería
accesos del personal
112
AI-5 Software de autenticación de directorio activo.
Nombre
Código del completo
subproceso del Descripción Nivel de
C I D Valor cid Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de subproceso del activo riesgo
información / activo de
información
Hacking del Software de Se deberá de realizar análisis de
Incorrecta
Servidores por incorrecta 5 1 Mediano la configuración del Software de
configuración
configuración Servidores
Falta de
Hacking del Software de
mecanismos de Se deberá de realizar análisis de
Servidores por falta de
configuración de 5 1 Mediano la configuración del Software de
mecanismos de configuración
seguridad del Servidores
de seguridad del equipo
equipo
Falta de
afinamiento en los Hacking del Software de
mecanismos de Servidores por falta de Se deberá de realizar análisis de
seguridad del afinamiento en los 5 1 Mediano la configuración de los equipos de
Hacking equipamiento de mecanismos de seguridad seguridad perimetral
seguridad perimetral
perimetral
Se deberá de capacitar al
Hacking del Software de
Mala administración personal sobre la directiva de
Servidores por mala 5 1 Mediano
de claves contraseñas y la política de
Software de administración de claves
seguridad de la información
almacenamiento Hacking del Software de Se deberá de capacitar al
Software de de cuentas de Falta de conciencia
Servidores por falta de 5 1 Mediano personal sobre la política de
autenticación usuario de seguridad
AI-5 1 2 3 Significativo conciencia de seguridad seguridad de la información
de directorio registradas en Se deberá de verificar la
activo. la fábrica de Hacking del Software de
Falta actualización instalación de Parches y
radiadores Servidores por falta 5 1 Mediano
del Sistema Actualizaciones en el Software de
fortaleza. actualización del Sistema
Servidores
Infección de códigos
Se deberá de verificar la
Falta actualización maliciosos (ej. Virus, bomba
instalación de Parches y
del Software de lógica, troyano) en el Software 5 2 Alto
Actualizaciones en el Software de
Servidores (parche) de Servidores por falta de
Servidores
actualización (parche)
Infección de códigos
maliciosos (ej. Virus, bomba Se deberá de verificar la
Códigos Falta de antivirus lógica, troyano) en el Software 5 1 Mediano instalación del antivirus en el
maliciosos (ej. de Servidores por falta de Software de Servidores.
Virus, bomba antivirus
lógica,
troyano)
Infección de códigos
maliciosos (ej. Virus, bomba Se deberá de verificar la
Falta de antivirus
lógica, troyano) en el Software 5 1 Mediano instalación del antivirus en el
actualizado
de Servidores por falta de Software de Servidores.
antivirus actualizado
113
Infección de códigos
maliciosos (ej. Virus, bomba Se deberá de capacitar al
Falta de conciencia
lógica, troyano) en el Software 5 1 Mediano personal sobre la política de
de seguridad
de Servidores por falta de seguridad de la información
conciencia de seguridad
Se deberá de verificar que solo el
Mal funcionamiento del
personal capacitado tenga acceso
Error humano Software de Servidores por 5 1 Mediano
a la administración del Software
error humano
de Servidores
Mal funcionamiento del Se deberá de verificar la
Parche no instalado Software de Servidores por instalación de Parches y
Mal 5 2 Alto
correctamente parche no instalado Actualizaciones en el Software de
funcionamiento
correctamente Servidores
del software
Mal funcionamiento del Se deberá de verificar las
Software desfasado
Software de Servidores por versiones del Software de
por vigencia
software desfasado por Servidores y de encontrarse
tecnológica y sin 5 2 Alto
vigencia tecnológica y sin alguno que se encuentre
soporte por parte
soporte por parte del desfasado tecnológicamente, se
del fabricante
fabricante deberá de migrar.
Fuga de información del Se deberá de verificar que solo el
Error humano Software de Servidores por 5 1 Mediano personal capacitado tenga acceso
error humano a el Software de Servidores
Fuga de información del
Se deberá de verificar que solo el
Falta de conciencia Software de Servidores por
5 1 Mediano personal capacitado tenga acceso
de seguridad falta de conciencia de
a el Software de Servidores
seguridad
Fuga de información del Se deberá verificar
Asignación
Software de Servidores por periódicamente los permisos de
equivocada de 5 1 Mediano
Asignación equivocada de acceso a el Software de
derechos de acceso
derechos de acceso Servidores
Se deberá de capacitar al
Fuga de Fuga de información del
Mala administración personal sobre la directiva de
información Software de Servidores por 5 1 Mediano
de claves contraseñas y la política de
mala administración de claves
seguridad de la información
Fuga de información del Se deberá verificar
Asignación
Software de Servidores por periódicamente los permisos de
equivocada de 5 1 Mediano
asignación equivocada de acceso a el Software de
derechos de acceso
derechos de acceso Servidores
Falta de
Fuga de información del
procedimiento Se deberá elaborar lineamientos
Software de Servidores por
formal de altas, que indiquen la verificación de los
falta de procedimiento formal 5 1 Mediano
bajas y usuarios con acceso al software
de altas, bajas y
modificaciones de de los servidores
modificaciones de usuario
usuario
114
AI-6 Información digital de los profesionales de diseño de panales.
Nombre
Código del completo
subproceso del Descripción Nivel de
C I D Valor cid Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de subproceso del activo riesgo
información / activo de
información
115
AI-7 Información de actividad diaria del personal de planta.
Nombre
Código del completo
subproceso del Descripción Nivel de
C I D Valor cid Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de subproceso del activo riesgo
información / activo de
información
Pérdida del suministro de
Red inestable de electricidad del sistema de
4 1 Bajo
energía eléctrica cámaras de Seguridad por red
inestable de energía eléctrica
Pérdida del suministro de
Dependencia de electricidad del Sistema de
Pérdida del
proveedor de cámaras de Seguridad por 4 1 Bajo
suministro de
servicio público Dependencia de proveedor de
electricidad
servicio público
Pérdida del suministro de
Falta de
electricidad del Sistema de
redundancia de
cámaras de Seguridad por falta 4 1 Bajo
Cámaras fuentes de
de redundancia de fuentes de
Información para la energía
energía
de actividad vigilancia de
Hacking del Sistema de Se deberá de verificar la
AI-7 diaria de las 3 2 2 Significativo Incorrecta
cámaras de Seguridad por 5 1 Mediano configuración y accesos al sistema de
personal de instalaciones configuración
incorrecta configuración cámaras de Seguridad
planta. de la Hacking
Falta Hacking del Sistema de Se deberá de verificar las
empresa.
actualización del cámaras de Seguridad por falta 5 1 Mediano actualizaciones del software del
Sistema actualización del sistema sistema de cámaras de Seguridad
Acceso no autorizado al Sistema Se deberá de concientizar al personal
Error humano de cámaras de Seguridad por 5 1 Mediano sobre el uso adecuado del sistema de
error humano cámaras de Seguridad
Acceso no autorizado al Sistema Se deberá de verificar la
Acceso no Incorrecta
de cámaras de Seguridad por 5 1 Mediano configuración del sistema de cámaras
autorizado al configuración
incorrecta configuración de Seguridad
sistema
Acceso no autorizado al Sistema
Falta de Se deberá de verificar la
de cámaras de Seguridad por
mecanismos de 5 1 Mediano configuración y accesos del sistema
falta de mecanismos de
monitoreo de cámaras de Seguridad
monitoreo
116
AI-8 Infraestructura de área.
Nombre
Código del
completo del
subproceso Descripción Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de del activo riesgo
activo de
información
información
Incendio en la
Capacitación de Se deberá de capacitar al personal
Infraestructura por
seguridad 5 1 Mediano sobre medidas de seguridad y
Capacitación de seguridad
insuficiente manipulación de extintores
insuficiente
Incendio en la Se deberá de capacitar al personal
Error humano Infraestructura por Error 5 1 Mediano sobre medidas de seguridad y
humano manipulación de extintores
Incendio en la
Incendio Se deberá de capacitar al personal
Inadecuado Infraestructura por
5 1 Mediano sobre medidas de seguridad y
ambiente físico Inadecuado ambiente
manipulación de extintores
físico
Incendio en la
Falta de técnicas
Infraestructura por Falta Se deberá de capacitar al personal
apropiadas para
de técnicas apropiadas 5 1 Mediano sobre medidas de seguridad y
controlar algún
para controlar algún manipulación de extintores
Infraestructura evento catastrófico
evento catastrófico
física donde
Infraestructura se encuentra
AI-8 3 2 2 Significativo Inundación de la
de Área la oficina de
Ubicaciones en un Infraestructura por
los
área susceptible a Ubicaciones en un área 4 1 Bajo
colaboradores
las inundaciones susceptible a las
inundaciones
Inundación
Inundación de la
Falta de técnicas
Infraestructura por Falta
apropiadas para
de técnicas apropiadas 4 1 Bajo
controlar algún
para controlar algún
evento catastrófico
evento catastrófico
117
AI-9 Servicio de Energía Eléctrica.
Nombre
Código del
completo del Nivel
subproceso / Descripción del
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad de Controles
activo de activo
activo de riesgo
información
información
118
AI-10 Infraestructura de Red.
Nombre
Código del
completo del
subproceso Descripción del Descripción del Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Impacto Probabilidad Controles
/ activo de activo riesgo riesgo
activo de
información
información
Falla mayor de la Se deberá contar con un plan de
Mantenimiento Infraestructura de red mantenimiento de la Infraestructura de
5 1 Mediano
insuficiente por Mantenimiento red y se deberá de verificar
insuficiente periódicamente su ejecución
Falla mayor de la Se deberá contar con un plan de
Mala estructura Infraestructura de red mantenimiento de la Infraestructura de
5 2 Alto
del cableado por Mala estructura red y se deberá de verificar
del cableado periódicamente su ejecución
Falla mayor
Falla mayor de la Se deberá de verificar que solo el
Error Humano Infraestructura de red 5 1 Mediano personal capacitado manipule la
por Error Humano Infraestructura de red
Falla mayor de la
Se deberá contar con un plan de
Cableado Infraestructura de red
mantenimiento de la Infraestructura de
desordenado sin por Cableado 5 2 Alto
red y se deberá de verificar
rotulado desordenado sin
Infraestructura Conexión de la periódicamente su ejecución
AI-10 3 3 3 Catastrófico rotulado
de red red interna
Hacking de la Se deberá contar con un plan de
Mala estructura Infraestructura de red mantenimiento de la Infraestructura de
5 2 Alto
del cableado por Mala estructura red y se deberá de verificar
del cableado periódicamente su ejecución
Hacking de la Se deberá contar con un plan de
Arquitectura de Infraestructura de red mantenimiento de la Infraestructura de
5 2 Alto
red insegura por Arquitectura de red y se deberá de verificar
Hacking red insegura periódicamente su ejecución
Hacking de la
Falta de Infraestructura de red
afinamiento en los por Falta de Se deberá contar con un monitoreo de
mecanismos de afinamiento en los 5 2 Alto las conexiones que se encuentran en
seguridad del mecanismos de la infraestructura de red
equipamiento seguridad del
equipamiento
119
AI-11 Grupo electrógeno.
Nombre
Código del
completo del
subproceso Descripción del Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de activo riesgo
activo de
información
información
Se deberá contar con un plan de
Indisponibilidad del equipo mantenimiento de la Grupo
Mantenimiento
del Grupo Electrógeno por 5 1 Mediano Electrógeno y se deberá de
insuficiente
Mantenimiento insuficiente verificar periódicamente su
ejecución
Indisponibilidad del equipo Se deberá de verificar que solo el
Indisponibilidad
Error humano del Grupo Electrógeno por 5 1 Mediano personal capacitado tenga acceso
del equipo
Error humano al Grupo Electrógeno
Se deberá contar con un plan de
Indisponibilidad del equipo
mantenimiento de la Grupo
Obsolescencia del Grupo Electrógeno por
5 1 Mediano Electrógeno y se deberá de
Tecnológica Obsolescencia
verificar periódicamente su
Tecnológica
ejecución
Se deberá contar con un plan de
Mal funcionamiento del
mantenimiento de la Grupo
Mantenimiento equipo del Grupo
5 1 Mediano Electrógeno y se deberá de
insuficiente Electrógeno por
verificar periódicamente su
Mantenimiento insuficiente
Equipo generador ejecución
Grupo
AI-11 de energía 1 2 3 Significativo Mal funcionamiento del
electrógeno Se deberá contar con un plan de
eléctrica Susceptibilidad equipo del Grupo
mantenimiento de la Grupo
a la humedad, Electrógeno por
5 1 Mediano Electrógeno y se deberá de
al polvo y a la Susceptibilidad a la
verificar periódicamente su
suciedad humedad, al polvo y a la
ejecución
suciedad
Mal
Mal funcionamiento del Se deberá de realizar pruebas
funcionamiento Falta de
equipo del Grupo periódicas del Grupo Electrógeno
del equipo mecanismos 5 1 Mediano
Electrógeno por Falta de para verificar que se encuentran
de monitoreo
mecanismos de monitoreo en buen estado.
Mal funcionamiento del
Se deberá de verificar que solo el
equipo del Grupo
Error humano 5 1 Mediano personal capacitado tenga acceso
Electrógeno por Error
al Grupo Electrógeno
humano
Mal funcionamiento del Se deberá contar con un plan de
equipo del Grupo mantenimiento de la Grupo
Obsolescencia
Electrógeno por 5 1 Mediano Electrógeno y se deberá de
Tecnológica
Obsolescencia verificar periódicamente su
Tecnológica ejecución
120
AI-12 Profesionales.
Nombre
Código del
completo del
subproceso Descripción del Nivel de
subproceso / C I D Valor CID Amenaza Vulnerabilidad Descripción del riesgo Impacto Probabilidad Controles
/ activo de activo riesgo
activo de
información
información
Poco compromiso con la
seguridad de la
Capacitación Se deberá de capacitar al personal
información de los
de seguridad 5 3 Extremo sobre temas relacionados a
Profesionales por
Poco insuficiente seguridad de la información
Capacitación de
compromiso
seguridad insuficiente
con la
Poco compromiso con la
seguridad de
seguridad de la
la información Falta de Se deberá de capacitar al personal
información de los
conciencia de 5 3 Extremo sobre temas relacionados a
Profesionales por Falta
seguridad seguridad de la información
de conciencia de
seguridad
Colaboradores
encargados de Divulgación de
AI-12 Profesionales realizar las 2 3 2 Significativo Capacitación información de los Se deberá de capacitar al personal
actividades del de seguridad Profesionales por 5 2 Alto sobre temas relacionados a
proceso insuficiente Capacitación de seguridad de la información
Divulgación de
seguridad insuficiente
información
Ruptura en la
Ruptura en la Ausencia del disponibilidad de los
4 1 Bajo
disponibilidad personal Profesionales por
del personal Ausencia del personal
121
4.3. DESARROLLO DE LAS PRUEBAS
Las pruebas de implementación del SGSI vienen dadas por el desarrollo de las
sección anterior.
Sin embargo, es necesario tener en cuenta los riesgos que tiene este proyecto, que
a continuación se presentan:
siguiente:
de la información.
Fortaleza.
Radiadores Fortaleza.
Fortaleza.
122
Directiva de uso de Contraseñas en el acceso a los equipos informáticos y
PROPUESTA
apreciar lo siguiente:
123
La aceptación de controles por parte de los usuarios fue penosa y causaron
activos de información.
terceros.
La implementación temprana del SGSI redujo los riesgos, pero la poca cultura
cambio. Por otro lado, la propuesta pretende una mejora continua a largo
global de 5.
124
gerente general
jefe de administración
jefe de RR.HH.
jefe de planta
jefe de ventas
sub contador
coordinador de compras
coordinador de almacén
industrial
supervisor de planta
automotriz
supervisor de planta
mantenimiento
supervisor de
marketing
coordinador de
calidad
supervisor de control de
integrado de gestión
coordinador de sistema
supervisor soma
si no
¿Conoce el
termino SGSI? si si si si si si si si si si si si si si si 15 0
¿Su área
cuenta o
participa en el
SGSI? si si si si si no no no si si si no si si no 10 5
¿Conoce los
controles de
seguridad? si si si si si si si si si si si si si si si 15 0
¿Tienen
identificados
sus activos de
información? no no no no no no no no no no no no no no no 0 15
¿Cuenta con
políticas de
seguridad de
información? si si si si si si si si si si si si si si si 15 0
¿tiene
controles o
políticas de
contraseñas? si si si si si si si si si si si si si si si 15 0
¿Se realizan
mantenimiento
preventivo a
los equipos
informáticos
de su área? si si si si si si si si si si si si si si si 15 0
¿Ha tenido
incidentes de
seguridad
informática? si si si si si si si si si si si si si si si 15 0
¿ha tenido
incidentes de
seguridad de
información? no no no no no no no no no no no no no no no 0 15
Tabla 44: Resultado de entrevista, elaboración propia
Entrevista actual
20
15
10
5
0
1 2 3 4 5 6 7 8 9
si no
125
4.6.2. Encuesta actual
las TI.
F. NINGUNO. 0
E. OTROS, ESPECIFICAR 0
D. CLASIFICANDO DOCUMENTOS 0
C. LOGUEO A SU CORREO… 0.00
B. APOYO EN EL USO DE WORD, EXCEL,… 4.00
A. POR LLENAR O ELABORAR UN… 4.00
0.00 0.50 1.00 1.50 2.00 2.50 3.00 3.50 4.00 4.50
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
126
Tabla 46: resultado de encuesta, elaboración propia
3. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
NO ( ) 1
SI ( ) 6
0 1 2 3 4 5 6 7
127
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
0 1 2 3 4 5 6 7 8
Tabla 52: resultado de encuesta, elaboración propia
8. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
9. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
asignado dentro de la Fábrica de Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
10. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
129
Analiza con el antivirus todos los dispositivos de
almacenamiento que conecta al equipo informático?
NUNCA ( ) 0
A VECES ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
F. OTROS, ESPECIFICAR 0
E. NO SE USARLO Y NO HARE NADA 0
D. SI ES UN DISPOSITIVO EXTRAÍBLE, LO… 0
C. ELIMINA EL ARCHIVO 1
B. ANALIZA EL EQUIPO CON ANTIVIRUS 4
A. DEPENDE DE LA ACCIÓN AUTOMÁTICA… 2
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5
12. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
Tu contraseña te recuerda:
E. NO ESPECIFICA 7
D. DATOS DE ALGÚN FAMILIAR 0
C. NÚMERO TELEFÓNICO (DE CASA O… 0
B. SU CUMPLEAÑOS 0
A. NOMBRES 0
0 1 2 3 4 5 6 7 8
NO ( ) 7
SI ( ) 0
0 1 2 3 4 5 6 7 8
d. Alguien de mi oficina ( )
e. Un familiar ( )
f. Otros, Especifique……………………………………….… ( )
C. OTROS, ESPECIFIQUE… 0
B. UN FAMILIAR 0
A. ALGUIEN DE MI OFICINA 0
131
Tabla 60: resultado de encuesta, elaboración propia
0 1 2 3 4 5 6 7 8
e. Entre 1 a 10 ( )
f. Entre 10 a 20 ( )
g. 20 a más ( )
h. Nunca recibe SPAM ( )
0 1 2 3 4 5 6 7
NO ( ) 6
SI ( ) 1
0 1 2 3 4 5 6 7
132
Tabla 63: resultado de encuesta, elaboración propia
NO ( ) 0
SI ( ) 1
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
NO ( ) 0
SI ( ) 7
0 1 2 3 4 5 6 7 8
133
Si desea tener charlas de Seguridad de la Información, ¿qué
medio desea?
D. OTROS, ESPECIFICAR: 0
C. CAPACITACIONES PROGRAMADAS 7
B. PRESENCIAL 0
A. MEDIOS IMPRESOS 0
0 1 2 3 4 5 6 7 8
5. NADA 7
4. OTROS, ESPECIFICAR 0
3. DESMONTAR SU PC POR ALGUNA FALLA 0
2. LIMPIAR SU PC (TODAS SUS PARTES) 0
1. INSTALAR PROGRAMAS EN SU PC 0
0 1 2 3 4 5 6 7 8
D. OTROS, ESPECIFIQUE 0
C. SOLICITA AYUDA AL PERSONAL DEL… 7
B. LE DIGO A MI COMPAÑERO QUE LO… 0
A. LO ARREGLO HASTA DONDE PUEDO 0
0 1 2 3 4 5 6 7 8
134
23. Su equipo de cómputo está seguro ante ataques, por ejemplo:
e. Acceso a información personal ( )
f. Infección por Virus ( )
g. Falta de un extintor o contramedidas de los
equipos cercanos ( )
h. Otros, Especifique…………………………………… ( )
OTROS 0
C. FALTA DE UN EXTINTOR O… 0
B. INFECCIÓN POR VIRUS 1
A. ACCESO A INFORMACIÓN PERSONAL 6
0 1 2 3 4 5 6 7
NINGUNA 0
E. BUSCO OTRA MANERA, ESPECIFICAR 0
D. ESPERO A MESA DE AYUDA 0
C. ME ACERCO A ATI 1
B. POR MAIL A ATI 1
A. POR TELÉFONO 5
0 1 2 3 4 5 6
135
CAPITULO V
ASPECTOS ADMINISTRATIVOS
136
5.1. CRONOGRAMA DE ACTIVIDADES.
actividades es el siguiente:
CRONOGRAMA DE ACTIVIDADES
Tabla 72: Cronograma de actividades. Fuente: Elaboración Propia basado En el Ciclo de Deming
137
5.2. PRESUPUESTO Y FINANCIAMIENTO.
Costos Beneficios
Gestión del proyecto (justificación del Reducción de riesgos de seguridad de
gasto, tabla 74) la información. Reducción de impacto.
Cambio organizacional. Certificación de un estándar
internacional
Diseño, desarrollo, pruebas, Evaluación integral de riesgos
implementación
Certificación y visitas de seguimiento Focaliza el gasto en seguridad de la
información
Operación y mantenimiento en curso Gobernanza demostrable
Tabla 73: Análisis costo beneficio; Modelo Genérico ISOTOOLS, www.iso27000.es. 15 enero
2008
138
Después de implementar el proyecto.
Costo antes del proyecto – (implementación del proyecto + costo después del
proyecto) = Beneficio
139
Justificación del gasto
Tabla 77: Justificación del gasto. Fuente: Elaboración Propia basado En el Ciclo de
Deming
5.3. RESPONSABLES.
integrantes:
de la información
140
CONCLUSIONES
SGSI viene acompañada del compromiso de los jefes de cada área ya que son
141
5. Se generó mejor cultura de seguridad de información y la comprensión del
RECOMENDACIONES
la responsabilidad a la gerencia.
142
ANEXOS
143
A1. MATRIZ DE CONSISTENCIA
RADIADORES FORTALEZA”
Tabla 78: Matriz de consistencia. Fuente: Elaboración Propia Basado en el ISO 27000
145
A2. MODELO DE ENTREVISTA
146
A3. MODELO DE CUESTIONARIO A COLABORADOR
Cargo: …………………………………………………………………
SI ( ) NO ( )
4. ¿Siente seguridad en las oficinas donde existen equipos informáticos dentro las
instalaciones de la fábrica?
SI ( ) NO ( )
147
Si es Sí; ¿aprendió con?:
14. Cuándo su PC falla ¿ha tratado de manipular las conexiones del equipo para
tratar de corregirlo?
SI ( ) NO ( )
15. ¿Usted se siente responsable por el uso del equipo informático que se le tiene
asignado dentro de la Fábrica de Radiadores Fortaleza?
SI ( ) NO ( )
16. ¿Analiza con el antivirus todos los dispositivos de almacenamiento que conecta
al equipo informático?
Si ( ) A veces ( ) Nunca ( )
19. ¿Usa la misma contraseña para todos los sistemas que brinda la Fábrica de
Radiadores Fortaleza?
SI ( ) NO ( )
148
21. ¿Ha cambiado alguna vez la clave de acceso a su correo electrónico de la
Fábrica de Radiadores Fortaleza?
SI ( ) NO ( )
…………………………………………………………………………………….
g. Alguien de mi oficina ( )
h. Un familiar ( )
i. Otros, Especifique……………………………………….… ( )
i. Entre 1 a 10 ( )
j. Entre 10 a 20 ( )
k. 20 a más ( )
l. Nunca recibe SPAM ( )
149
28. ¿Qué acciones ha realizado en su PC?
11. Instalar programas en su PC ( )
12. Limpiar su pc (todas sus partes) ( )
13. Desmontar su PC por alguna falla ( )
14. Otros, Especificar………………………………………….. ( )
15. Nada ( )
150
A4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. PRESENTACIÓN
la normatividad vigente.
151
La Política de Seguridad de la Información la Fábrica de Radiadores Fortaleza,
Fortaleza.
Radiadores Fortaleza.
3. ALCANCE
laboral, modalidad de contratación o nivel jerárquico; así como los externos que
en la gestión de los procesos de la Fábrica, así como sus sistemas y datos asociados
4. BASE LEGAL
152
5. PRINCIPIOS
Los siguientes principios constituyen los fundamentos sobre los que se basa
Fortaleza.
5.1 Confidencialidad
5.2 Integridad
sea alterada.
5.3 Disponibilidad
5.4 Propiedad
153
5.5 Auditabilidad
posterior.
5.6 Autenticación
autenticación.
6. LINEAMIENTOS
autorizados.
autorizar los perfiles y privilegios para los usuarios que necesiten acceder a
evaluados.
154
d) Los accesos a los recursos informáticos deben tener un medio de
El acceso de los usuarios al servicio de internet, debe ser otorgado solo para
155
b) Todo el personal, indistintamente de su régimen laboral o modalidad de
disponibilidad e integridad.
efectiva ante algún posible evento que pudiera afectar la continuidad informática
y disponibilidad de la información.
156
contratación o nivel jerárquico, reporte, ocurrencias de seguridad, incidente
7. RESPONSABILIDADES
encargado.
157
8. DIFUSIÓN
9. REVISIONES
10. SANCIONES
Radiadores Fortaleza.
158
A5. DIRECTIVA DE LINEAMIENTOS DE SEGURIDAD DE LA INFORMACIÓN
I. OBJETIVO
II. FINALIDAD
III. ALCANCE
V. DISPOSICIONES GENERALES
de la Información.
159
VI. DISPOSICIONES ESPECIFICAS
información.
Las directivas y/o políticas que estén afectas al ISO/IEC 27001, deben
27001 Cl A.5.1.2]
Radiadores Fortaleza.
160
El Comité de Gestión de Seguridad de la Información debe
Información.
conformado por:
ausencia del presidente del comité este debe ser presidido por
agenda.
161
de Organización y Funciones (MOF) de la Fábrica de Radiadores
Fortaleza.
corresponda).
de información.
162
6.2.3. Contacto con autoridades [ISO 27001 Cl A.6.1.3]
información confidencial.
Cl A.6.1.5]
163
información procesada o almacenada en cada tipo de usuario
Fortaleza.
164
que lo hagan desde redes externas o internas, el cual debe estar
profesionales.
165
6.3.2. Términos y Condiciones de Empleo [ISO 27001 Cl A.7.1.2]
de la información.
leyes aplicables.
Radiadores Fortaleza.
166
Se deben realizan charlas de inducción y sensibilización al
Cl A.7.3.1]
167
debe trabajar conjuntamente con el Jefe del trabajador cesante y,
Activos de Información.
Gestión de Riesgos.
168
169
6.4.2. Propiedad de activos [ISO 27001 Cl A.8.1.2]
se procesen.
funciones asignadas.
170
6.4.5. Clasificación de Información [ISO 27001 Cl A.8.2.1]
de la misma.
pérdida de imagen.
Fortaleza..
impacto en la empresa.
171
6.4.7. Manejo de activos [ISO 27001 Cl A.8.2.3]
almacenamiento.
172
debe aplicar también para el almacenamiento de las copias de
Fortaleza.
de acceso a la información.
173
6.5.2. Acceso a redes y servicios de red [ISO 27001 Cl A.9.1.2]
formales.
174
cualquier actividad no autorizada en la red o sistemas
informáticos.
formales.
A.9.2.3]
documentos formales.
A.9.2.5]
no correspondan.
de área.
175
6.5.7. Restricción de acceso a la información [ISO 27001 Cl A.9.4.1]
información.
formales.
A.9.4.5]
modificación.
176
Si se trata de una aplicación desarrolla por un proveedor externo,
A.10.1.1]
casos:
de Radiadores Fortaleza.
177
6.7. Seguridad Física y Ambiental (ISO 27001-A.11)
6.7.1. Perímetro de seguridad física [ISO 27001 Cl A.11.1.1], Control de
Fortaleza.
procedimiento adecuado.
178
6.7.2. Protección contra amenazas externas y ambientales [ISO 27001
Cl A.11.1.4]
actualizado.
tecnológicos.
mecanismo de seguridad.
179
6.7.5. Situar los equipos y protección [ISO 27001 Cl A.11.2.1]
perdida de información.
180
informáticos. Además, cuando se retiran equipos de la sede de la
Fortaleza.
modelo y serie).
181
Se registrará los datos de la Fábrica de Radiadores Fortaleza y la
de Radiadores Fortaleza.
su eliminación o reutilización.
182
deberán dejar ningún medio de almacenamiento portátil al
confidencial.
A.12.1.1]
información.
información.
183
6.8.3. Gestión de capacidad [ISO 27001 Cl A.12.1.3]
informáticos actuales.
Fortaleza.
deshabilitado.
184
Para el control contra códigos maliciosos se deben seguir los
Fortaleza.
sea requerida.
185
información contenida en ellos y la ubicación física de los mismos
resguardada.
periódica de auditoría.
Radiadores Fortaleza.
de la Información.
186
Para la generación y formato de los registros de auditoría deberán
Radiadores Fortaleza.
Fortaleza.
A.12.5.1]
187
vulnerabilidades y debería tomar medidas para abordar el riesgo
asociado.
A.12.7.1]
Fortaleza.
188
Las auditorías deberán realizarse según los lineamientos
SGSI.
información.
Radiadores Fortaleza.
Radiadores Fortaleza.
189
6.9.3. Separación en redes [ISO 27001 Cl A.13.1.3]
resguardo de la información.
190
Todos los medios de información, con datos pertenecientes a la
Fortaleza.
de la empresa. .
A.13.2.4]
para que exista una previsión sobre la calidad del servicio recibida
191
6.10. Adquisición, Desarrollo y Mantenimiento de Sistemas (ISO 27001-
A.14)
6.10.1. Análisis y especificaciones de los requisitos de seguridad de la
27001 Cl A.14.1.2]
Radiadores Fortaleza.
Radiadores Fortaleza.
192
guías que sirvan para regular los desarrollos de productos de
calidad.
A.14.2.2]
27001 Cl A.14.2.4]
193
lineamientos formalmente definidos en la Fábrica de Radiadores
Fortaleza.
A.14.2.5]
revisarse periódicamente.
de software.
194
6.10.12. Protección de datos de prueba [ISO 27001 Cl A.14.3.1]
producción.
proveedores:
195
Deberá estar prohibido por la Fábrica de Radiadores
Fortaleza.
excepción.
necesidades justificadas.
equipos tecnológicos.
mecanismo de seguridad.
196
herramientas que no sean propiedad de la Fábrica de
Radiadores Fortaleza.
Terceros.
Cl A.15.2.1]
A.15.2.2]
cambios.
197
Los terceros deberán gestionar los cambios siguiendo los
A.16.1.2]
Información.
Cl A.16.1.3]
198
es necesario se deberá modificar las políticas de seguridad de la
información.
27001 Cl A.16.1.5]
199
comportamiento y respuesta ante los incidentes, se establecerá
su acción.
Cl A.17.1.1]
200
seguridad de la información y debe estar sujeto a escalamiento y
pruebas.
201
Se deberá contar con máquinas virtualizadas para operación
intelectual.
202
encontrar software ilegal, de ser encontrado, el usuario será
A.18.1.4]
de Radiadores Fortaleza.
27001 Cl A.18.2.1]
Cl A.18.2.2]
203
procedimientos y estándares definidos para la Fábrica de
Reunión.
SGSI.
204
A6. DIRECTIVA DEL USO DE CONTRASEÑA EN EL ACCESO A LOS EQUIPOS
RADIADORES FORTALEZA
I. OBJETIVO
II. FINALIDAD
información.
III. ALCANCE
modalidad de contratación o nivel jerárquico; así como por las personas naturales
4.1. Ley N° 27309, Ley que incorpora los Delitos Informáticos al Código Penal.
205
V. DISPOSICIONES GENERALES
5.1. La presente Directiva regula el correcto uso de las contraseñas y del acceso
Radiadores Fortaleza.
seguridad.
5.3. Para cumplir este objetivo nos basamos en la norma ISO 27002 – control de
accesos”.
contraseñas de calidad.
programas utilitarios que podrían ser capaces de pasar por alto los
controlarse estrictamente.
206
A.9.4.5 Control de acceso al código fuente de los programas – Control: El
6.1.1 Todos los equipos (PC, laptop, tableta, teléfono, etc.) en uso, contarán con
confidencialidad.
6.1.3 Los usuarios de los equipos deben seguir las buenas prácticas de
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
6.1.5 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
207
6.1.6 La contraseña debe ser cambiada periódicamente, pudiendo ser
6.1.8 Cuando el usuario abandone su equipo, deberá bloquearlo para evitar que
6.2.2 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
confidencialidad.
208
6.2.4 La contraseña debe ser cambiada periódicamente, pudiendo ser
contraseña es de 3 meses.
desbloquear la contraseña.
6.2.8 Tener cuidado con los navegadores Web que ofrecen recordar la
una contraseña.
6.3.2 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
209
6.3.3 La contraseña debe ser cambiada periódicamente, pudiendo ser
6.3.4 Los usuarios de los sistemas de información deben seguir las buenas
requerimientos de su trabajo.
de ellas.
6.3.8 No se debe ingresar, modificar y/o eliminar data por fuera de la aplicación;
210
6.3.13 En la medida que los sistemas lo permitan, los intentos infructuosos de
permanecer en inactividad.
6.3.15 Evitar usar la misma contraseña en cuentas distintas; por ejemplo, para
6.4.1 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
6.4.2 Los usuarios de los servidores deben seguir las buenas prácticas de
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
211
6.4.3 La contraseña debe ser cambiada periódicamente, pudiendo ser
6.5.1 Toda contraseña generada debe ser de difícil deducción para otras
siguientes características:
(15).
usuario.
6.5.2 Los usuarios de las bases de datos deben seguir las buenas prácticas de
las contraseñas en por ejemplo papel, archivo digital con texto plano u otros
212
6.5.5 La contraseña de acceso a las bases de datos se bloqueará después de
6.5.6 Solo los administradores tienen acceso directo a las bases de datos; los
nominales.
6.5.8 Toda solicitud de acceso debe contar con la aprobación del Area de TI y
no autorizado.
registre los eventos relacionados con la seguridad, para impedir que los
213
7.1.2. Se debe implementar un sistema de control de acceso biométrico que
registre los eventos relacionados con la seguridad, para impedir que las
214
A7. DIRECTIVA SOBRE EL USO DEL SERVICIO DE INTERNET EN LA FABRICA DE
RADIADORES FORTALEZA
I. OBJETIVO
fábrica de Radiadores Fortaleza; así como precisar los riesgos y establecer las
II. FINALIDAD
Definir los criterios que permitan establecer los niveles de acceso de navegación en
habilitado.
III. ALCANCE
modalidad de contratación o nivel jerárquico; así como por las personas naturales
4.1. Ley N° 27309, Ley que incorpora los Delitos Informáticos al Código Penal.
4.2. Ley N° 29139, Ley que modifica la Ley N° 28119, Ley que prohíbe el acceso
215
V. DISPOSICIONES GENERALES
de su dependencia.
niveles de acceso según las categorías comunes de trabajo que para fines
asignación de privilegios.
216
El detalle de acceso a cada NIVEL se describe en el Anexo 1: Cuadro de
categorías de navegación.
a. Los jefes de área o gerencia deben remitir su autorización para los niveles
su realización.
217
accesos a Internet de un usuario sin implicancias de la cuenta de usuario,
y notificará su realización.
uso.
Tecnología de Información.
218
f. El uso de Internet con fines de investigación y desarrollo personal, tales
Disposiciones Específicas.
carácter personal.
uso de la red.
autorizado.
de la presente Directiva.
h. Utilizar los servicios de Internet para otros fines distintos a los de interés
dañar su imagen.
219
l. Utilizar el servicio para interrumpir, denegar, obstruir o interferir en las
Jefe inmediato.
usuario.
de Red.
Fortaleza.
220
u. Acceder a sitios Web de “hacking” o sitios catalogados como inseguros
archivos de Internet.
aa. Efectuar llamadas telefónicas usando algún software para este propósito.
Para las restricciones del acceso a Internet la ATI deberá tomar en cuenta las
siguientes categorías:
221
b. Por seguridad: Páginas que pueden ocasionar un riesgo de mediano
las necesidades de las labores diarias, así como los servicios prestados
222
c. Sólo se podrá hacer uso de los servicios de Internet (navegación, correo
inmediato.
Gerencia.
Radiadores Fortaleza.
presente Directiva.
223
6.9. Uso del servicio de Intranet
interno.
de Intranet.
Fábrica.
224
directorios de archivos personales y cualquier otra información
Internet.
uso.
7.4. Es recomendable que los usuarios lean las políticas de privacidad de las
páginas Web que visite, las que informan a los usuarios sobre la
225
VIII. RESPONSABILIDADES
Internet.
autorizados.
servicio.
áreas interesadas.
226
ANEXO I
CUADRO DE CATEGORÍAS DE NAVEGACIÓN
GRUPOS DE NAVEGACIÓN
NAVEGACIÓN
Análisis y clasificación
X X
de sitios web
Anuncios clasificados X X
Arte / Cultura X X X
Banners X X
Bienes Raíces X X
Buscadores de empleo X X X
Chat (IM/SMS) X
Compartido de medios X
Computación X X
Correo X X
Deporte / Recreación X
Educación X X X
Entretenimiento X
Finanzas X X X
Foros X X
Fotos y videos X
Gobierno / Contenido
X X X X
legal
Militar X X
Motores de búsqueda X X X
227
Negocios / Economía X X X
Noticias X X X
Oficina / Aplicaciones de
X X
negocios
Radio / Audio X
Redes sociales X X
Referencias X X
Religión X X
Restaurantes X
Salud X X X
Servidores de
X X
almacenamiento
Sitios de información
X
personal
Tecnología X X X
Tiendas / Compras X
Traductores X X X
Viajes X X X
Web hosting X X
228
ANEXO 2
FORMATO DE SOLICITUD DE ACCESOS A INTERNET
DNI/Car
Categoría
Acción net Tipo de Ubicaci Funciona Direcci Fecha
Usuar Apellidos/No Car Cargo de de Fecha de Observac
N° Solicita de Contrat ón rio que ón/Ofici de
io mbre go Mantiene Navegació Solicitud ión
da extranje o Física Autoriza na Cese
n
ría
10
229
Leyenda:
Campo Detalle
CON: Contratado
NAVEGACIÓN NIVEL_1
NIVEL_2
NIVEL_3
NAVEGACIÓN
230
ANEXO 3
CUADRO DE PERFILES DE NAVEGACIÓN NO AUTORIZADOS
tabaco.
231
A 08. DECLARACIÓN DE APLICABILIDAD
232
GLOSARIO DE TERMINOS
vulnerable.
proceso.
Aceptación del riesgo. Evento que se acepta sin importar las consecuencias. En
Activo. La seguridad de la información determina todo bien con valor para una
organización.
de incidente.
la realidad de la organización.
Auditoría. Actividad independiente que muestra las evidencias del análisis del
información.
233
Corrección. Similar a acción correctiva. Elimina una actividad no deseada que
genere errores.
magnitud y aceptación.
incidentes.
la seguridad de la información.
Inventario de activos. Lista que debe de ser protegida, ésta identifica todos los
27002.
234
IEC. Organización que normaliza los campos eléctricos, electrónicos y las
información.
implementados.
235
BIBLIOGRAFÍA
Fuentes virtuales:
http://www.bib.uia.mx/tesis/pdf/014663/014663.pdf
http://www.welivesecurity.com/la-es/2017/01/11/desarrollo-programa-de-
seguridad-informacion/
https://www-935.ibm.com/services/pe/es/it-services/data-breach/data-breach-
statistics.html
https://www-
935.ibm.com/services/us/en/security/infographic/cybersecurityindex.html
http://www.eset-la.com/centro-prensa/prensa/2016
http://www.eset-la.com/centro-prensa/articulo/2016/40-empresas-sufrio-ataque-
malware-eset-security-report/4290
http://iso27000.es/sgsi.html
236
http://www.csoonline.com/article/3149556/security/top-15-security-predictions-for-
2017.html#slide10
https://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la
_informaci%C3%B3n
http://www.ingeniaperu.com.pe/pe/servicio/sistemas-de-gestion-de-la-seguridad-
de-la-informacion-sgsi
http://www.bureauveritasformacion.com/sistemas-de-gestion-de-seguridad-de-la-
informacion-ISO-27001-2013-1984.aspx
https://www.isotools.org/2016/07/07/sistema-gestion-seguridad-la-informacion-
basado-la-norma-iso-27001/
https://www.isotools.org/2015/10/05/como-implantar-eficazmente-la-norma-iso-
27005/
http://www.isotools.pe/iso-27005-analisis-de-riesgos/
237