Beruflich Dokumente
Kultur Dokumente
LA
CONFIDENCIALIDAD,
INTEGRIDAD
Computacionales e Informticos.
AUTOR:
TUTOR:
EL TUTOR
AUTORA
..
Tania Vernica Guachi Aucapia
CC: 180448895-3
ii
La Comisin Calificadora del presente trabajo conformada por los seores docentes, Ing.
M.Sc. Oswaldo Paredes, Ing. Francisco Lpez, Ing. Luis Sols, revis y aprob el Informe
Final del trabajo de graduacin titulado NORMA DE SEGURIDAD INFORMTICA
ISO 27001 PARA MEJORAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE LOS SISTEMAS DE INFORMACIN Y COMUNICACIN
EN EL DEPARTAMENTO DE SISTEMAS DE LA COOPERATIVA DE AHORRO Y
CRDITO SAN FRANCISCO LTDA., presentado por la seorita Tania Vernica
Guachi Aucapia de acuerdo al Art. 17 del Reglamento de Graduacin para obtener el
ttulo Terminal de tercer nivel de la Universidad Tcnica de Ambato.
..
Ing. Oswaldo Paredes
PRESIDENTE DEL TRIBUNAL
..
DOCENTE CALIFICADOR
DOCENTE CALIFICADOR
iii
DEDICATORIA
Tania
iv
AGRADECIMIENTO
Tania
INDICE
CONTENIDO
PAGINA
vii
CAPITULO IV
ANLISIS E INTERPRETACIN DE RESULTADOS
4.1 Anlisis de la necesidad ...........................................................................................44
4.2 Anlisis de Resultados .............................................................................................44
4.3 Tabulacin de los resultados ....................................................................................49
4.3 Interpretacin de Resultados ....................................................................................57
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES...................................................................................................58
5.2 RECOMENDACIONES..........................................................................................58
CAPITUO VI
PROPUESTA
6.1. Tema .................................................................................................................59
6.2. Datos Informativos .................................................................................................59
6.3. Antecedentes ..........................................................................................................59
6.4. Justificacin ...........................................................................................................60
6.5. Objetivos ................................................................................................................60
6.5.1 Objetivo General ..................................................................................................61
6.5.2 Objetivos Especficos ...........................................................................................61
6.6. Anlisis de factibilidad ...........................................................................................61
6.6.1. Factibilidad Operativa .........................................................................................61
6.6.2. Factibilidad Econmica .......................................................................................62
6.6.3 Factibilidad Tcnica .............................................................................................62
6.7 Fundamentacin ......................................................................................................62
6.7.1 Introduccin .........................................................................................................62
6.7.2 Qu es la Norma ISO 27001:2005?. ....................................................................63
6.7.3 Contenido de la Norma .........................................................................................64
6.7.3.1 Alcance .. ..........................................................................................................64
viii
ix
INDICE DE FIGURAS
Figura N2.4.1: Aspectos que cubre la norma ISO 27001 ..............................................25
Figura N2.4.2: Modelo PDCA aplicado a los procesos SGSI ........................................28
Figura N2.4.3: Ciclo de un Sistema de Informacin .....................................................36
Figura N2.4.4: Modelo bsico de un sistema de comunicaciones ..................................38
Figura N2.4.5: Elementos de un sistema de comunicacin............................................39
Figura N 4.1: Grfico Pregunta 1..................................................................................49
Figura N 4.2: Grfico Pregunta 2..................................................................................51
Figura N 4.3: Grfico Pregunta 3..................................................................................52
Figura N 4.4: Grfico Pregunta 4..................................................................................53
Figura N 4.5: Grfico Pregunta 8..................................................................................56
Figura N 6.1. Clausulas de la Norma ISO 27001 distribuidas en Ciclo de Deming. .......64
Figura N 6.2: Modelo ISO 27001 .................................................................................66
Figura N 6.3: Metodologa para el Anlisis y Evaluacin de Riesgos ............................68
Figura N 6.4: Metodologa para el Anlisis y Evaluacin de Riesgos ............................74
INDICE DE TABLAS
Tabla N 4.1: Matriz de resultado de la entrevista ..........................................................48
Tabla N 4.2: Cuadro porcentual Pregunta 1 ..................................................................49
Tabla N 4.3: Cuadro porcentual Pregunta 2 ..................................................................50
Tabla N 4.4: Cuadro porcentual Pregunta 3 ..................................................................52
Tabla N 4.5: Cuadro porcentual Pregunta 4 ..................................................................53
Tabla N 4.6: Cuadro porcentual Pregunta 8 ..................................................................56
Tabla N 6.1: Activos del departamento de sistemas ......................................................76
Tabla N 6.2: Activos importantes del departamento de sistemas ...................................78
Tabla N 6.3: Anlisis y Evaluacin del riesgo. .............................................................84
Tabla N 6.4: Seleccin de controles..............................................................................95
Tabla N 6.5: Declaracin de aplicabilidad .................................................................. 100
Tabla N6.6: Mtricas de la ISO 27001........................................................................ 136
xi
RESUMEN EJECUTIVO
Dada la evolucin de la Tecnologa de la informacin y su relacin directa con los
objetivos del negocio de las Organizaciones, el universo de amenazas y
vulnerabilidades crece por lo tanto es necesario proteger uno de los activos ms
importantes de la Organizacin, la informacin, garantizando siempre la
disponibilidad, la confidencialidad e integridad de la misma. La forma ms
adecuada para proteger los activos de informacin es mediante una correcta
gestin del riesgo, logrando as identificar y focalizar esfuerzos hacia aquellos
elementos que se encuentren ms expuestos.
El Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San
Francisco Ltda., es un pilar fundamental para la Cooperativa ya que opera y
gestiona los sistemas de informacin y de comunicacin por lo tanto deben
brindar seguridad y confiabilidad de los mismos y as satisfacer a los usuarios de
los sistemas de informacin, es por ello que se ha adoptado el uso de estndares
para mejorar y mantener la seguridad de la informacin.
El presente proyecto rene la informacin necesaria para la implementacin de un
Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO
27001, se ha concebido esta norma para garantizar la seleccin de controles de
seguridad adecuados y proporcionales. Ello ayuda a proteger los activos de
informacin y otorga confianza a cualquiera de las partes interesadas, sobre todo a
los clientes. La norma adopta un enfoque por procesos para establecer, implantar,
operar, supervisar, revisar, mantener y mejorar un SGSI.
xii
INTRODUCCIN
El propsito de la presente investigacin es elaborar una solucin informtica que
mantenga y mejore la seguridad de los sistemas de informacin y comunicacin
en la Cooperativa de Ahorro y Crdito San Francisco Ltda., basada en el
estndar ISO 27001.
La investigacin se ha elaborado de acuerdo a la organizacin de informacin que
se detalla a continuacin:
En el captulo I EL PROBLEMA DE INVESTIGACIN, se identifica el
problema a investigar, adems se plantea la justificacin y los objetivos. Es decir
el marco referencial, se expone la situacin actual en cuanto a los riesgos
identificados que afectan a la informacin, por lo que es de mayor importancia
adoptar medidas de seguridad para proteger la informacin.
En el captulo II MARCO TERICO, se presentan los antecedentes
investigativos, la fundamentacin legal, hiptesis y el sealamiento de las
variables de la hiptesis.
En el captulo III METODOLOGA, se determina la metodologa de
investigacin a utilizar, el enfoque, la modalidad bsica de la investigacin, el tipo
de investigacin, la poblacin y muestra.
En el captulo IV ANLISIS E INTERPRETACIN DE LOS
RESULTADOS, se aplican los instrumentos de recoleccin de informacin en
este caso la entrevista para determinar las condiciones actuales en cuanto a la
seguridad de la informacin, luego de eso se procede al anlisis e interpretacin
de los resultados de la informacin obtenida.
En el captulo V CONCLUSIONES Y RECOMENDACIONES, se presenta
las conclusiones y recomendaciones del anlisis e interpretacin de los resultados
realizados en el capitulo anterior.
En el captulo VI PROPUESTA, se presenta el desarrollo de la propuesta ante
el problema investigado. Es decir la aplicacin del Estndar ISO 27001 en el
Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San Francisco
Ltda.
xiii
CAPTULO I
EL PROBLEMA DE INVESTIGACIN
1.1 Tema
Norma de seguridad informtica ISO 27001 para mejorar la confidencialidad,
integridad y disponibilidad de los sistemas de informacin y comunicacin en el
departamento de sistemas de la Cooperativa de Ahorro y Crdito San Francisco
Ltda.
1.2 Planteamiento del Problema
1.2.1
Contextualizacin:
Acceso no autorizado
para la informacin
confidencial e
importante para la
Cooperativa
Incompetencia por
parte de la
Cooperativa.
Prdida y/o
alteracin de
informacin
Quebrantamiento de
polticas de
seguridad que
afecten directamente
a la integridad de la
informacin de la
Cooperativa.
Escaso personal
capacitado destinado
para realizar
auditoras
informticas.
Carencia de
conocimientos sobre
las ventajas y
beneficios que ofrece
la implementacin de
estndares.
1.2.1
Anlisis Crtico
Prognosis
Objetivo General
1.7.2
Objetivos Especficos
CAPITULO II
MARCO TERICO
2.1 Antecedentes Investigativos
Revisado archivos investigativos desde de las fuentes bibliogrficas de Internet se
ha encontrado los siguientes trabajos:
Implementacin del primer Sistema de Gestin de Seguridad de la Informacin,
en el Ecuador, certificado bajo la norma ISO 27001:2005 elaborado por Jos
Alfonso Aranda Segovia trabajo realizado en Guayaquil-Ecuador en el ao 2009
en cuyas conclusiones dice lo siguiente:
La norma ISO 27001 est orientada al tratamiento de la seguridad de la
informacin mediante la gestin del riesgo, tanto para sus activos como para sus
procesos; esto garantiza que ante recursos limitados las inversiones sean bien
focalizadas, para lograr ello se necesita de la concientizacin de la compaa ya
que es un pilar fundamental de esta norma, por lo cual las organizaciones deben
ingeniosamente buscar y adoptar mecanismos que permitan que se despierte un
inters y compromiso por parte de todos los empleados. Adems al tener
implantado un SGSI certificado bajo la norma ISO 27001:2005 no significa contar
con seguridad mxima en la informacin de la organizacin sino que esto
representa que la empresa cumple con los requerimientos y mejores prcticas
establecidas en dicha norma para que su SGSI actual funcione correctamente y
adems pueda evolucionar hacia la sofisticacin.
Implementacin de un Sistema de Gestin de Seguridad de la Informacin
basado en la norma ISO 27001, para la Intranet de la Corporacin Metropolitana
de Salud elaborado por: Flor Mara lvarez Zurita y Pamela Anabel Garca
8
TTULO PRELIMINAR
Artculo 1.- Objeto de la Ley .- Esta Ley regula los mensajes de datos, la
firma electrnica, los servicios de certificacin, la contratacin electrnica y
telemtica, la prestacin de servicios electrnicos, a travs de redes de
informacin, incluido el comercio electrnico y la proteccin a los usuarios de
estos sistemas.
TTULO I
DE LOS MENSAJES DE DATOS
CAPTULO I
PRINCIPIOS GENERALES
Artculo 2.- Reconocimiento jurdico de los mensajes de datos.- Los
mensajes de datos tendrn igual valor jurdico que los documentos escritos. Su
eficacia, valoracin y efectos se someter al cumplimiento de lo establecido en
esta Ley y su reglamento.
Artculo 3.- Incorporacin por remisin.- Se reconoce validez jurdica a la
informacin no contenida directamente en un mensaje de datos, siempre que
figure en el mismo, en forma de remisin o de anexo accesible mediante un
enlace electrnico directo y su contenido sea conocido y aceptado
expresamente por las partes.
Artculo 4.- Propiedad Intelectual.- Los mensajes de datos estarn
sometidos a las leyes, reglamentos y acuerdos internacionales relativos a la
propiedad intelectual.
Artculo 5.- Confidencialidad y reserva.- Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su
forma, medio o intencin. Toda violacin a estos principios, principalmente
aquellas referidas a la intrusin electrnica, transferencia ilegal de mensajes de
datos o violacin del secreto profesional, ser sancionada conforme a lo
dispuesto en esta Ley y dems normas que rigen la materia.
10
La informacin que tenga por nica finalidad facilitar el envo o recepcin del
mensaje de datos, no ser obligatorio el cumplimiento de lo establecido en los
literales anteriores.
Artculo 9.- Proteccin de datos.- Para la elaboracin, transferencia o
utilizacin de bases de datos, obtenidas directa o indirectamente del uso o
transmisin de mensajes de datos, se requerir el consentimiento expreso del
titular de stos, quien podr seleccionar la informacin a compartirse con
terceros.
La recopilacin y uso de datos personales responder a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitucin
Poltica de la Repblica y esta Ley, los cuales podrn ser utilizados o
transferidos nicamente con autorizacin del titular u orden de autoridad
competente.
No ser preciso el consentimiento para recopilar datos personales de fuentes
accesibles al pblico, cuando se recojan para el ejercicio de las funciones
propias de la administracin pblica, en el mbito de su competencia, y
cuando se refieran a personas vinculadas por una relacin de negocios, laboral,
administrativa o contractual y sean necesarios para el mantenimiento de las
relaciones o para el cumplimiento del contrato.
El consentimiento a que se refiere este artculo podr ser revocado a criterio
del titular de los datos; la revocatoria no tendr en ningn caso efecto
retroactivo.
Artculo 11.- Envo y recepcin de los mensajes de datos.- Salvo pacto en
contrario, se presumir que el tiempo y lugar de emisin y recepcin del
mensaje de datos, son los siguientes:
Si
el
destinatario
no
hubiere
efectuado
diligentemente
13
las
la
autenticidad
http://sinar.gov.ec/downloads/L_comercio.pdf]
14
del
mismo.
[Extrado
desde
Las invenciones;
15
del
titular
de
los
http://www.cetid.abogados.ec/archivos/80.pdf]
18
derechos.
[Extrado
desde
Control de
Calidad
Normas
ISO
Norma de
Seguridad
Informtica
ISO 27001
Software
Aplicaciones
y Redes
Informticas
Sistemas de
Informacin y
Comunicacin
19
Auditora
Informtica
Seguridad
Informtica
Estndares
ISO
Norma de
Seguridad
Informtica
ISO 27001
Sistema de
Gestin de
Seguridad de
la Informacin
Polticas de
Seguridad
Control de
Riesgos
Aplicaciones
Informticas
Software
Sistemas de
Informacin y
comunicacin
Sistema
Operativo
Sistemas de
Comunicacin
Redes de
Computadoras
21
2.4.2
NORMAS ISO
Norma
Una norma es un modelo, un patrn, ejemplo o criterio a seguir que tiene por
finalidad definir las caractersticas que deben poseer un objeto y los productos
que proporcionan una compatibilidad con otros productos y as podrn ser
usados a nivel internacional.
ISO
La ISO (International Standarization Organization)
es una
entidad
como consecuencia de la
[Extrado desde
http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_para_la_Estandarizaci%C3
%B3n]
La familia ISO
Las series de normas ISO relacionadas con la calidad constituyen lo que se
denomina familia de normas, las que abarcan distintos aspectos relacionados
con la calidad:
23
ISO
9000:
Sistemas
de
Gestin
de
Calidad
Importancia
Bsicamente una norma ISO sirve como garanta de calidad, debido a la
presin que ejerce el cliente sobre la necesidad de adquirir un producto de
calidad. Su importancia radica en la confianza que se genera entre el
proveedor, el producto y el cliente. Por otro lado sirve de ayuda para que una
empresa, organizacin, cooperativa o entidad se vuelva competitiva, ya que si
un tercero realiza una audicin y comprueba que los productos y sistemas son
buenos, pues los comprarn esto conllevar a tener beneficios dentro de la
organizacin ya que incrementar la productividad.
2.4.3
26
Protegiendo activos
La norma plantea un enfoque completo a la seguridad de la informacin
teniendo en cuenta que los activos que necesitan proteccin son: informacin
digital, documentos en papel y activos fsicos (computadoras y redes). Para
lograr este objetivo se elabora mecanismos que van desde el desarrollo de
competencia del personal de la organizacin hasta la proteccin tcnica contra
los fraudes informticos.
ISO 27001 ayudar a proteger la informacin en trminos de:
27
Plan
Partes
Interesadas
Partes
Interesadas
Establecer el
SGSI
Requerimientos
y expectativas
de la seguridad
de
la
informacin.
Hacer
Implementar
y operar el
SGSI.
Desarrollar,
Mantener
manejar y
y mejorar
mejorar el
el SGSI.
ciclo
Actuar
Seguridad
de
informacin
manejada.
Monitorear y revisar el
SGSI.
Chequear
Beneficios
2.4.4
Software
desarrollar
programas
informticos,
usando
diferentes
Editores de texto
Compiladores
29
Intrpretes
Enlazadores
Depuradores
Software de aplicacin: Aquel que permite a los usuarios llevar a cabo una o
varias tareas especficas, en cualquier campo de actividad susceptible de ser
automatizado o asistido, con especial nfasis en los negocios.
Sistema operativo
Un sistema operativo es un programa que controla la ejecucin de los
programas de aplicacin y que acta como interfaz entre las aplicaciones del
usuario y el hardware de un computador. Se considera que un Sistema
Operativo tiene tres objetivos:
30
2.4.5
Aplicacin informtica
Es un programa informtico que permite a un usuario utilizar una computadora
con un fin especfico. Las aplicaciones son parte del software de una
computadora, y suelen ejecutarse sobre el sistema operativo.
Caractersticas de las aplicaciones informticas
31
Las aplicaciones tienen algn tipo de interfaz, que puede ser una
interfaz de texto o una interfaz grfica (o ambas).
32
34
a analizar problemas,
tomar decisiones,
controlar operaciones,
analizar problemas,
35
Entrada de
Datos
Interfaz
automtica
de entrada
Proceso
Reportes e
Informes
Almacenamiento
Interfaz
automtica
de salida
Retroalimentacin
a) Sistemas Transaccionales.
Son el primer sistema de Informacin que se implementa en la empresa.
Inicia apoyando las tareas a nivel operativo de la organizacin para
continuar con los mandos intermedios y posteriormente la alta
administracin, conforme evolucionan.
Funcin: Procesa transacciones tales como pagos, cobros, plizas,
entradas, salidas, etc.
b) Sistemas de Apoyo de las Decisiones.
36
Sistemas de Comunicacin
Comunicacin.- Transferencia de informacin de un lugar a otro lugar y que
debe ser: eficiente, confiable, segura.
Definicin: Componentes o subsistemas que permiten la transferencia/
intercambio de informacin.
En la siguiente figura se muestra un diagrama a bloques del modelo bsico de
un sistema de comunicaciones, en ste se muestran los principales
componentes que permiten la comunicacin.
37
Medio o Canal
de Transmisin
Receptor
Transmisor
Informacin
2.5
Buena fidelidad
2.6
Determinacin de Variables
Variable independiente
Norma de seguridad informtica ISO 27001.
Variable dependiente
Sistemas de informacin y comunicacin.
40
CAPITULO III
METODOLOGA
3.1 Enfoque
El enfoque de la investigacin se realiz de forma cualitativa ya que se obtuvo
informacin directa de los investigados por medio de la aplicacin de una
entrevista, gracias a esto se pudo elaborar un anlisis de resultados y proponer
alternativas de solucin.
3.2 Modalidad bsica de la investigacin.
3.2.1 Investigacin Bibliogrfica Documental
Se realiz una investigacin bibliogrfica acudiendo a libros, tesis,
monografas e incluso al recurso ms importante como es el internet para
obtener informacin ms profunda con respecto a problemas similares, de esta
manera se recopil informacin valiosa que fue usada como sustento
cientfico del proyecto.
3.2.2 Investigacin de Campo
Mediante la elaboracin de este tipo de investigacin se tuvo la oportunidad
de estar cerca y conocer el entorno donde se desenvuelve el Departamento de
Sistemas de la Cooperativa de Ahorro y Crdito SAN FRANCISCO Ltda.,
accediendo a la posibilidad de tener el contacto directo entre el investigador y
la realidad, obteniendo informacin de acuerdo a los objetivos planteados
inicialmente.
41
recomendaciones.
43
CAPITULO IV
ANLISIS E INTERPRETACIN DE RESULTADOS
4.1 Anlisis de la necesidad
La Cooperativa de Ahorro y Crdito San Francisco Ltda., al ser una
institucin prestigiosa de la ciudad de Ambato brinda servicios eficaces a la
ciudadana ya que cuenta con el Departamento de Sistemas que da soporte a
los sistemas de informacin , comunicacin y a los usuarios.
El Departamento de Sistemas de la Cooperativa en busca de mejoras para los
sistemas de informacin
44
Se aplican polticas de
seguridad
para
la
informacin?
Si..
Enncielas;
No.
Porqu?
Jefe de sistemas
Desarrollador 1
Existen
polticas
definidas as:
Como usuarios con
sus
respectivas
contraseas
para
poder acceder a la
computadora y a los
sistemas
de
informacin
Perfil de acceso de
uso para los usuarios
Poltica para el uso
de internet y de
correo electrnico.
Desarrollador 2
Si:
Roles y acceso de
usuarios.
Prioridad
de
usuarios.
Horarios de acceso.
Administrador de
Sistemas
Pues tenemos:
Creacin de usuarios
y roles dependiendo
de las funciones.
El acceso a los
servidores
es
restringido.
Restricciones del uso
de flash memory
Asistente de
mantenimiento
Contamos con:
Respaldos
Antivirus
Copias de Seguridad
De qu manera se
realiza un control de la
seguridad
de
la
informacin?
Se realiza con:
Auditoras externas
mediante un auditor
informtico
que
realiza estas tareas.
Se cuenta con manuales
de monitoreo para los
jefes departamentales.
Se controla:
Mediante
mdulos:
Mdulos
de
administracin/seguridad/
usuarios/pginas/roles.
Las pginas se relacionan
con roles y los roles con
los usuarios.
45
Se asigna roles y
controles de acuerdo
a funciones de cada
empleado
Se cuenta con una
bitcora de cambios de
las
funciones
y
desempeo
de
los
empleados que registra el
departamento
de
Recursos Humanos.
Entrevistado
Jefe de sistemas
Desarrollador 1
Desarrollador 2
Administrador de
Sistemas
Asistente de
mantenimiento
El control se realiza:
Por el envi de
respaldos de custodia
externa
(archivos
logs)
Bitcora de visitas a
sitios de internet
Control Biomtrico
Custodio de claves
para los sistemas.
En cuanto a Redes se
hace mediante una red
local y red inalmbrica, la
red
inalmbrica
se
gestiona
con
un
AccesPoint y Chek Point.
El
acceso
a
la
informacin es mediante
contraseas
Es buena ya que se
maneja por contraseas
de acceso, subredes, la
seguridad se define como
una pequea o mediana
empresa.
Controlando permanente
con reglas de seguridad,
actualizando a diario los
servidores de antivirus.
Pregunta
Describa el control
interno informtico que
se
realiza
en
el
Departamento
de
Sistemas?
de
de
de
sola
46
OPENLDAP
Es un Control ms
granulad
para
acceder
a
la
informacin
Tiene un nivel de
seguridad elevado
Entrevistado
Jefe de sistemas
Desarrollador 1
Administrador de
Sistemas
Desarrollador 2
Pregunta
Qu
mecanismo,
tcnicas
y/o
herramientas
de
seguridad se aplican en
los
sistemas
de
informacin
y
de
comunicacin?
Se realiza control y
administracin
de
riesgos en cuanto a la
seguridad
de
la
informacin?
Encriptacin
de
claves de acceso.
Enlaces
de
comunicacin
encriptados
Polticas de acceso
restringido al uso de
flash memory
Asignacin
de
permisos
por
usuarios y perfiles
Gestin de claves
custodiadas por alto
nivel.
Si:
Mediante una unidad
interna que se basa
en la norma de
BASILEA que asigna
quienes van a ser
designados para esta
tarea.
Se realiza tareas de
riesgos a base de
eventos y de mejoras
continuas
Firewall de Check
Point
Antivirus Anti Spam,
Mallware
anti
hackers
Kaspersky Internet
Security
Se usa un servidor
firewall con polticas
establecidas
por
el
mismo.
Si:
Mediante la replicacin
de Base de Datos con
tecnologa RAID5
Si:
Mediante
un
departamento de riesgos
externo a este.
47
Asistente de
mantenimiento
Roles
y
usuarios
dependiendo
de
las
funciones
de
cada
usuario.
Si:
Mediante un registro de
los eventos sucedidos que
informan los usuarios al
departamento.
Entrevistado
Jefe de sistemas
Desarrollador 1
Desarrollador 2
Administrador de
Sistemas
Asistente de
mantenimiento
Se lo realiza mediante
sistemas que notifican
cuando hay ataques
Bsicamente se realiza
por la revisin de logs.
Los
sistemas
de
comunicacin
cuentan
con una aplicacin web
que informa los enlaces
principales, adems la
aplicacin MRTG.
Si se lo realiza ya que se
dispone de un plan de
contingencia del rea.
Pregunta
de
los
de
de
Si:
En los enlaces de
comunicacin
Trafico de red
Desempeo
de
servidores.
Han
realizado
simulacros frente a la
cada de los sistemas de
informacin
y
de
comunicacin. Si. De
qu manera se lo ha
realizado;
No..
Porque?
Si:
Mediante un plan de
contingencia
Simulacro de prdida
de enlace de datos
Pruebas de prdida
de energa elctrica
Daos
en
los
servidores de Base de
Datos
y
de
Aplicativos.
Se realizan tareas
monitoreo
a
sistemas
informacin
y
comunicacin?
Si se lo realiza mediante
la aplicacin MRTG
Se lo realiza mediante la
utilizacin
de
un
servidores de respaldos de
Base de Datos
48
Si he escuchado de eso,
que lo han realizado pero
no he participado en ese
simulacro
RESPUESTA
CANTIDAD PORCENTAJE
80%
No
0%
20%
0%
Total
100%
No
0%
RESPUESTA
CANTIDAD PORCENTAJE
Auditora externa
20%
Mdulos de administracin
40%
Bitcoras de cambios
20%
20%
Total
100%
50
20%
20%
Auditoria externa
Mdulos de
administracin
Bitcoras de cambios
20%
Mediante uso de
aplicaciones
40%
sistemas, otro 20% manifiesta que se lleva una bitcora de cambios de las
funciones y desempeo de los empleados, finalmente el 20% respondi que se
controla la seguridad de la informacin por el uso de aplicaciones como Check
Point, Firewall.
Anlisis.- No existe un control de seguridad para la informacin establecida por
alguna herramienta destinada para llevar a cabo esta tarea.
3. Describa el control interno informtico que se realiza en el Departamento
de Sistemas?
Objetivo: Determinar si se realiza un control informtico en el departamento de
sistemas
51
RESPUESTA
CANTIDAD PORCENTAJE
Buena
20%
Asignacin de contraseas
60%
Envi de respaldos
20%
Total
100%
20%
20%
Buena
Asignacin de
contraseas
Envio de respaldos
60%
52
RESPUESTA
CANTIDAD PORCENTAJE
Si
20%
No
80%
Total
100%
20%
Si
No
80%
54
55
RESPUESTA
CANTIDAD PORCENTAJE
20%
80%
Total
100%
20%
56
informacin
mediante una
57
CAPITULO V
CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
5.2 RECOMENDACIONES
58
CAPITUO VI
PROPUESTA
6.1. Tema
Norma de seguridad informtica ISO 27001 para mejorar la confidencialidad,
integridad y disponibilidad de los sistemas de informacin y comunicacin en el
departamento de sistemas de la Cooperativa de Ahorro y Crdito San Francisco Ltda.
6.2. Datos Informativos
Institucin: Cooperativa de Ahorro y Crdito San Francisco Ltda.
Ciudad: Ambato
Direccin: Montalvo y 12 de Noviembre
Investigador: Tania Vernica Guachi Aucapia
Tutor: Ing. David Guevara
6.3. Antecedentes
Toda entidad, institucin, empresa y organizacin poseen y operan con el principal
activo que es la informacin, la misma que es procesada mediante el uso de sistemas de
informacin y de comunicacin, de esta manera se logra brindar un mejor servicio ya
que se cuenta con medios automatizados.
As la Cooperativa de Ahorro y Crdito San Francisco Ltda., es una entidad cuya
misin es ofrecer servicios financieros
informacin y de comunicacin.
6.4. Justificacin
La informacin en una entidad financiera como es la Cooperativa de Ahorro y Crdito
San Francisco Ltda., debe ser confiable, integra, segura y a disposicin de los
usuarios, la misma est expuesta a ser alterada o infringida por lo que se debera contar
con mecanismos de seguridad informtica.
En el departamento de sistemas no se encuentra implementada estndares o
metodologas de seguridad de la informacin ya que los sistemas de informacin y de
comunicacin no se encuentran totalmente protegidos, por tal motivo se ha considerado
implantar la norma de seguridad ISO 27001 que engloba en uno solo muchas tcnicas
de seguridad para la informacin.
La presente propuesta se la puede realizar porque se cuenta con facilidades necesarias
para obtener informacin, se cuenta con el apoyo del departamento de sistemas y con
herramientas necesarias para empezar con las actividades previstas.
6.5. Objetivos
60
6.5.1
Objetivo General
Implantar la norma de seguridad informtica ISO 27001 para mejorar la
confidencialidad, integridad y disponibilidad de los sistemas de informacin
y comunicacin en el departamento de sistemas de la Cooperativa de Ahorro
y Crdito San Francisco Ltda.
6.5.2
Objetivos Especficos
61
Factibilidad Tcnica
ISO 27001
ISO27001-norma-e-implantacion-SGSI
ISO/IEC 27002
6.7 Fundamentacin
6.7.1
Introduccin
62
6.7.2
63
6.7.3.1.1 General
Este Estndar Internacional abarca todos los tipos de organizaciones (por
ejemplo; empresas comerciales, agencias gubernamentales, organizaciones sin
fines de lucro).
Este Estndar Internacional especifica los requerimientos para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un SGSI
documentado dentro del contexto de los riesgos comerciales generales de la
organizacin. Especifica los requerimientos para la implementacin de controles
de seguridad personalizados para las necesidades de las organizaciones
individuales o partes de ella.
6.7.3.1.2 Aplicacin
Los requerimientos establecidos en este Estndar Internacional son genricos y
estn diseados para ser aplicables a todas las organizaciones, sin importar el
tipo, tamao y naturaleza.
6.7.3.2 Referencias normativas
Los siguientes documentos mencionados son indispensables para la aplicacin
de este documento. Para referencias fechadas, slo se aplica la edicin citada.
Para referencias no fechadas, se aplica la ltima edicin del documento citado.
ISO/IEC 17799:2005, Tecnologa de la informacin Tcnicas de seguridad
Cdigo de prctica para la gestin de la seguridad de la informacin
6.7.3.3 Sistema de gestin de seguridad de la informacin
6.7.3.3.1 Requerimientos generales
La organizacin debe establecer, implementar, operar, monitorear, mantener y
mejorar continuamente un SGSI documentado dentro del contexto de las
actividades comerciales generales de la organizacin y los riesgos que enfrentan.
65
Implantar
mejoras
Pensar y
mentalizar
Revisar y analizar
mtricas
Implantar, formar
y concienciar
66
d) Identificar riesgos.
1. Identificacin y tasacin de activos.
Identificacin de los activos de informacin:
Se denomina activo a aquello que tiene algn valor para la organizacin y por
tanto debe protegerse. De manera que un activo de informacin es aquel
elemento que contiene o manipula informacin. Activos de informacin son
ficheros y bases de datos, contratos y acuerdos, documentacin del sistema,
manuales de los usuarios, material de formacin, aplicaciones, software del
sistema,
equipos
informticos,
equipo
de
comunicaciones,
servicios
69
Los objetivos de control y controles que han sido excluidos y los motivos
de su exclusin.
70
71
Objetivos
Para dar cumplimiento a la poltica establecida se ha definido objetivos.
73
Objetivo General:
Objetivos Especficos:
Activo
Computadores de Oficina
Confidencialidad
2
Disponibilidad
4
Integridad
2
Total
3
Computadores porttiles
Switch
Hubs
Impresoras
Router
Bridge
Servidor que aloja el sistema y la base de datos del Software de
Prevencin de lavado de Activos
Servidor sistema de Administracin de Talento Humano por
Competencias Compers
Software de Riesgo de Liquidez y Mercado
Scanner
Servidor de Base de Datos Sistema Sifiz y servidor de contingencias de
sistema Sifiz
75
Activo
Confidencialidad
Disponibilidad
Integridad
Total
Ups
76
De la tabla anterior se selecciona a los activos cuyo valor total es igual o mayor a 3, para hacer uso de estos para el anlisis y evaluacin
de riesgos.
Activo
Confidencialidad
Disponibilidad
Integridad
Total
2
2
2
3
4
4
4
4
2
3
2
3
3
3
3
3
Computadores de Oficina
Switch
Impresoras
Router
Servidor usado para servicios Web:
Cajeros Mviles
Web service de interfaz a bur de crdito
Bridge
Servidor que aloja el sistema y la base de datos del Software de
Prevencin de lavado de Activos
Servidor sistema de Administracin de Talento Humano por
Competencias Compers
Software de Riesgo de Liquidez y Mercado
Scanner
Servidor de Base de Datos Sistema Sifiz y servidor de contingencias
de sistema Sifiz
Servidor de aplicaciones Sifiz institucional (Core financiero) y
servidor de contingencias de BD institucional
77
Activo
Confidencialidad
Disponibilidad
Integridad
Total
2
3
3
3
4
4
4
4
3
3
3
3
3
3
3
3
2
3
3
2
1
4
4
4
3
2
2
2
2
3
3
3
Activo
Amenazas
A Virus
Computadores de Oficina
B Spyware
C Phishing
D Malware
Posibilidad de
ocurrencia de
la
amenaza
Vulnerabilidades
A1
Falta
mantenimiento
de
A2 Falta de controles de
acceso
B2 Falta de control de
acceso
C1 Falta de herramientas
de monitoreo
A1
Falta
mantenimiento.
Switch
A Recalentamiento
Posibilidad que la
amenaza penetre
la vulnerabilidad
Total
riesgo
12
12
de
4
3
4
A2 Flujo de energa.
A Cartucho de impresin
daados.
A1
Falta
mantenimiento
de
B. Papel atascado
B1 Exceso de impresiones
Impresoras
79
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
Activo
Amenazas
Posibilidad de
ocurrencia de
la
amenaza
4
Posibilidad que la
amenaza penetre
la vulnerabilidad
Vulnerabilidades
A1
Falta
mantenimiento
de
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
Total
riesgo
A Virus
Router
Bridge
A2 Falta de instalacin de
programas de monitoreo
B Rendimiento
A Robo de informacin
A1 Falta de monitoreo
B Desfiguracin de la
pgina web
B1
Falta
mantenimiento
A Ineficiencia
de
A1
Grandes
interconexiones de redes
A2
saturacin de las
redes por trfico de
difusin
A1 Escasas medidas de
seguridad
A2
Imposicin
restricciones
80
de
12
12
15
12
Activo
Amenazas
Posibilidad de
ocurrencia de
la
amenaza
Vulnerabilidades
A1 Escasas medidas de
seguridad
A2
Imposicin
restricciones
de
A1 Escaso medidas de
seguridad
B1
Falta
mantenimiento
Posibilidad que la
amenaza penetre
la vulnerabilidad
Total
riesgo
12
16
20
16
de
3
A1 Mala administracin
B1 Escaso de medidas de
seguridad.
A1 Falla de conexin
B1 Mala administracin
81
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
Activo
Amenazas
Servidor de contingencias de
BD y aplicaciones ubicado en A Desactualizacin
la oficina Salcedo
A Inseguridad
Software
automtico
para
Posibilidad de
ocurrencia de
la
amenaza
A Datos errneos
Vulnerabilidades
A1 Infraccin en el
manejo de controlador del
dominio institucional
4
4
A2 Escaso de polticas de
seguridad
A1 Falta de actualizacin
de datos y de informacin
A1 Falta de mecanismos
de seguridad
B1 Acceso no autorizado
B2 Manipulacin errnea
del sistema
B3
Falta
mantenimiento
A1 Alteracin
datos
82
de
de
los
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
Total
riesgo
cajero
B Sin servicio
Posibilidad que la
amenaza penetre
la vulnerabilidad
12
12
12
Activo
Amenazas
A
Intercepcin
Interrupcin
Posibilidad de
ocurrencia de
la
amenaza
Vulnerabilidades
A1 Falta de planes de
contingencia
B2
Falta
mantenimiento
Posibilidad que la
amenaza penetre
la vulnerabilidad
de
A Ineficiencia
12
A1
Falta
mantenimiento
A1 Mal Uso
de
12
12
3
3
A2 Mala configuracin
A3 Mala administracin
B Fallas en el software
B1Falta de mantenimiento
A Daos fsicos
A1 Mal funcionamiento
A2 Mal uso
A3 Mtodo errneo de
almacenamiento
del
dispositivo
B1Desatencin
Total
riesgo
3
B2 Falta de herramientas
de seguridad
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
83
Activo
Posibilidad de
ocurrencia de
la
amenaza
Amenazas
A
Contaminantes
peligrosos
suspendidos
en el aire
Ups
B Fallos en el desempeo
Posibilidad que la
amenaza penetre
la vulnerabilidad
Vulnerabilidades
A1 Situaciones de riesgo
para
el
personal
y/o falta de confiabilidad
en el sistema UPS,
y fallas debidas a la
emanacin de hidrgeno
B1
Falta
mantenimiento
de
84
Posibilidad
de
Valor de ocurrencia
activos en de
Riesgo
amenaza
Total
riesgo
f)
que el
mismo activo.
En nuestro caso la nica opcin de tratamiento que se us fue la de reduccin
del riesgo.
g) Seleccin de controles.
Los controles son las contramedidas o salvaguardas especificadas en el Anexo A
de la Norma ISO 27001:2005, enfocados a los 11 dominios de cobertura de la
norma, como son:
A.15 Cumplimiento.
86
Activo
Amenazas
A Virus
B Spyware
Posibilidad
de
ocurrencia
de la
amenaza
Computadores
de Oficina
C Phishing
D Malware
Posibilidad
que la
amenaza
Vulnerabilidades
penetre
la
vulnerabili
dad
A1
Falta
de
4
mantenimiento
A2
Falta
de
controles de acceso
B1 Abuso
internet
del
B2 Falta de control
de acceso
C1
Falta
herramientas
monitoreo
de
de
D1 Abuso
Internet
del
A Recalentamiento
A2
Flujo
energa.
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
12
Reduccin
del riesgo
Objetivos
de control
A.9.2
Seguridad
del equipo
A.11.2
Gestin del
acceso del
usuario
A.10.10
Monitoreo
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.9.2.4
Mantenimiento de
Equipo (A1)
A.11.2.3 Gestin
de la
clave del usuario
(A2)
A.10.10.2 Uso del
sistema
de
monitoreo
(B1,C1,D1)
A1
Falta
de
mantenimiento.
Switch
Valor
de
activos
en
Riesgo
de
87
Reduccin
del riesgo
A.9.2
Seguridad
del equipo
A.9.2.4
Mantenimiento de
equipo (A1)
A.9.2.1 Ubicacin
y proteccin del
equipo (A2)
Activo
Impresoras
Amenazas
Posibilidad
de
ocurrencia
de la
amenaza
Vulnerabilidades
A
Cartucho
de
impresin daados
A1
Falta
mantenimiento
de
B. Papel atascado
B1 Exceso
impresiones
de
A1
Falta
mantenimiento
de
A Virus
A2
Falta
de
instalacin
de
programas
de
monitoreo
B1 Mucho trfico
del internet
Router
B Rendimiento
A
Robo
de
Servidor usado informacin
para servicios
Web:
Cajeros
B Desfiguracin de la
Mviles
Web service de pgina web
interfaz a bur
de crdito
A1
Falta
monitoreo
Posibilidad
que la
amenaza
penetre
la
vulnerabili
dad
Valor
de
activos
en
Riesgo
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
4
3
12
Reduccin
del riesgo
12
Objetivos
de control
A.9.2
Seguridad
del equipo
A.9.2.4
Mantenimiento de
equipo (A1, B1)
A.9.2
Seguridad
del equipo
A.10.10
Monitoreo
A.9.2.4
Mantenimiento de
equipo (A1)
A.10.10.2 Uso del
sistema
de
monitoreo(A2,B1)
Reduccin
del riesgo
de
4
A.10.10
Monitoreo
B1
Falta
mantenimiento
de
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
3
3
12
Reduccin
del riesgo
A.9.2
Seguridad
del equipo
88
Activo
Bridge
Amenazas
A Ineficiencia
Posibilidad
de
ocurrencia
de la
amenaza
Servidor que
aloja el sistema
y la base de
datos
del A Alteracin y/o
4
Software
prdida de los datos
de Prevencin
de lavado de
Activos
Servidor
de
Base de Datos
Sistema Sifiz y
servidor
de A Alteracin y/o 4
contingencias prdida de los datos
de
sistema
Sifiz
Posibilidad
que la
amenaza
Vulnerabilidades
penetre
la
vulnerabili
dad
A1
Grandes
3
interconexiones de
redes
A2 saturacin de
3
las redes por trfico
de difusin
A1
Escasas
4
medidas
de
seguridad
A2 Imposicin de
restricciones
A1
Escasas
medidas
de
seguridad
Valor
de
activos
en
Riesgo
15
12
Reduccin
del riesgo
Reduccin
del riesgo
89
Objetivos
de control
12
Reduccin
del riesgo
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.10.6
Gestin de
seguridad
de redes
A.10.6.1 Controles
de red (A1)
A.10.6.2 Seguridad
de los
servicios de red
(A2)
A.9.2
Seguridad
del equipo
A.9.2.1 Ubicacin
y proteccin del
equipo (A1,A2)
A.10.10.2 Uso del
sistema
de monitoreo(A1)
A.10.10.3
Proteccin de la
informacin del
registro(A1)
A.9.2.1 Ubicacin
y proteccin del
equipo(A1,A2)
A.10.10.2 Uso del
sistema
de
monitoreo(A1)
A.10.10.3
Proteccin de la
informacin del
registro(A1)
A.10.10
Monitoreo
A.9.2
Seguridad
del equipo
3
A2 Imposicin de
restricciones
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
A.10.10
Monitoreo
Activo
Amenazas
A
Alteracin
y/o
Servidor
de prdida de los datos
aplicaciones
Sifiz
institucional
(Core
financiero)
y B Mal funcionamiento
servidor
de del sistema
contingencias
de
BD
institucional
Posibilidad
de
ocurrencia
de la
amenaza
4
Posibilidad
que la
Posibilida
Valor de
amenaza
d de
activos
Vulnerabilidades
penetre
ocurrenci
en
la
a de
Riesgo
vulnerabilid
amenaza
ad
A1 Escaso medidas
4
de seguridad
B1
Falta
de
3
mantenimiento
4
4
B2 Mal uso por
parte de los usuarios
Total
riesgo
Opcin
de
tratamiento
de
riesgo
A.10.10
Monitoreo
16
Reduccin
del riesgo
A Ineficiencia
3
Servidor
que
aloja los blades
de
software
Check
Point
Firewall
IPS
IDS
B
Alteracin
y/o
VPN
prdida de los datos
A1
Mala
administracin
B1
Escaso
medidas
seguridad.
de
de
90
Objetivos
de control
15
Reduccin
del riesgo
A.9.2
Seguridad
del equipo
A.8
Seguridad
de RRHH
A.9.2
Seguridad
del equipo
A.11.5
Control de
acceso al
sistema de
operacin
A.12.2
Procesamien
to correcto
en las
aplicaciones
A.10.10
Monitoreo
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.10.10.2 Uso del
sistema de
monitoreo(A1)
A.10.10.3
Proteccin de la
informacin (A1)
A.9.2.4
Mantenimiento de
Equipo(B1)
A.8.1.1 Roles y
Responsabilidades
(B2)
A.9.2.4
Mantenimiento de
equipo (A1)
A.11.5.4 Uso de
utilidades
del sistema (A1)
A.12.2.2 Control de
procesamiento
interno (A1)
A.10.10.2 Uso del
sistema de
monitoreo(B1)
A.10.10.3
Proteccin de la
informacin del
registro(B1)
Activo
Posibilidad
de
ocurrencia
de la
amenaza
Amenazas
Servidor
de
interface
servicios
de
terceros con el
Banco
del A Sin servicio
Austro:
Cajeros
Automticos
Tarjetas
de
dbito
Chequeras
Vulnerabilidades
A1
Falla
conexin
de
de
16
Reduccin
del riesgo
A2 Escaso
polticas
seguridad
Objetivos
de control
A.6.2
Entidades
externas
4
en
de
Total
riesgo
Opcin
de
tratamiento
de
riesgo
de
A1 Infraccin en el
manejo
de
controlador
del
dominio
institucional
Servidor
que
alojar
el
controlador de A
Error
autentificacin
dominio
los usuarios
institucional
Posibilidad
que la
Posibilida
Valor de
amenaza
d de
activos
penetre
ocurrenci
en
la
a de
Riesgo
vulnerabilid
amenaza
ad
91
12
Reduccin
del riesgo
A.11.1
Requerimien
to comercial
para
el
control de
acceso
A.11.2
Gestin del
acceso del
usuario
A.11.6
Control de
acceso a la
aplicacin
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.6.2.1
Identificacin
de riesgos
relacionados con
entidades
externas (A1)
A.6.2.2 Tratamiento
de la seguridad
cuando se trabaja
con clientes (A1).
A.11.1.1 Poltica de
control de acceso
(A1, A2)
A.11.2.4 Revisin
de los
derechos de
acceso del
usuario (A1)
A.11.6.1 Restriccin
al
acceso a la
informacin (A2)
Activo
Amenazas
Servidor
de
contingencias
de
BD
y
A Desactualizacin
aplicaciones
ubicado en la
oficina Salcedo
A Inseguridad
Posibilidad
de
ocurrencia
de la
amenaza
Vulnerabilidades
A1
Falta
actualizacin
datos y
informacin
de
de
de
de
de
A1
Falta
mecanismos
seguridad
B1 Acceso
autorizado
no
Software para
cajero
automtico
B2 Manipulacin
errnea del sistema
B Sin servicio
Posibilidad
que la
amenaza
penetre
la
vulnerabili
dad
3
B3
Falta
mantenimiento
de
92
Valor
de
activos
en
Riesgo
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
12
Reduccin
del riesgo
12
Reduccin
del riesgo
Objetivos
de control
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.14.1.5 Prueba,
mantenimiento y
re-evaluacin de
planes de
continuidad
comerciales (A1)
A.12.5
A.12.5.4 Filtracin
Seguridad
de
en los
Informacin (A1,
procesos de B1)
desarrollo y
soporte
A.12.4
A.12.4.1 Control de
Seguridad
software
de los
operacional (B2)
archivos del
sistema
A.9.2
A.9.2.4
Seguridad
Mantenimiento de
del equipo Equipo (B3)
A.14
Gestin de
la
continuidad
comercial
Activo
Software
cuentas
corrientes
Posibilidad
de
ocurrencia
de la
amenaza
Amenazas
A Datos errneos
A Intercepcin
Interrupcin
Vulnerabilidades
A1 Alteracin de
los datos
A1 Falta de planes
de contingencia
A2
Falta
de
polticas
de
accesibilidad
B1Falta
mantenimiento
Posibilidad
que la
amenaza
penetre
la
vulnerabili
dad
Valor
de
activos
en
Riesgo
Reduccin
del riesgo
Objetivos
de control
A.10.10
Monitoreo
A,6
.1
Organizaci
n interna
3
3
A.5.1
Poltica de
seguridad
de
informacin
de
3
Sistema
financiero sifiz
3
B Modificacin
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
12
Reduccin
del riesgo
3
B2
Falta
herramientas
seguridad
de
de
93
A.9.2
Seguridad
del equipo
A.10.10
Monitoreo
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.10.10.3
Proteccin de la
informacin del
registro(A1)
A.10.10.5 Registro
de Fallas (A1)
A.6.1.8 Revisin
independiente de
la seguridad de
la
informacin
(A1)
A.5.1.1
Documentar
poltica de
seguridad de
informacin(A2)
A.5.1.2 Revisin de
la
poltica de
seguridad de la
informacin (A2)
A.9.2.4
Mantenimiento de
Equipo(B1)
A.10.10.2 Uso del
sistema
de monitoreo(B2)
Activo
Programa
interface
ahorros
tarjetas
cuentas
corrientes
Posibilidad
de
ocurrencia
de la
amenaza
Amenazas
,
A Sin servicio
y
A Ineficiencia
Software check
point security
bundle
B Fallas
(firewall)
software
en
A1
Falta
mantenimiento
de
A1 Mal Uso
A2
Mala
configuracin
A3
Mala
administracin
Valor
de
activos
en
Riesgo
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
A Daos fsicos
4
Equipos tape
backup 100 gb
para respaldar
informacin
B1Falta
mantenimiento
de
Reduccin
del riesgo
3
4
4
12
Reduccin
del riesgo
12
Reduccin
del riesgo
el
4
B Escases de Cintas
Vulnerabilidades
Posibilidad
que la
amenaza
penetre
la
vulnerabili
dad
A1
Mal
funcionamiento
A2 Mal uso
A3 Mtodo errneo
de almacenamiento
del dispositivo
B1 Desatencin
94
Objetivos
de control
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.10.7.3
A.10.7
Procedimientos de
Gestin de manejo de la
medios
informacin (A1)
A.10.7
A.10.7.3
Gestin de Procedimientos de
medios
manejo de la
informacin
(A1,,A2,A3)
A.10.3
A.10.3.1 Gestin
Planeacin de
y
Capacidad(B1)
aceptacin
del sistema
A.9.2
A.9.2.1 Ubicacin
Seguridad
y
del equipo proteccin del
equipo (A1)
A.7 Gestin A.7.1.3
Uso
de activos
aceptable de
los activos (A2,A3)
A.11.3
A.11.3.2 Equipo de
Responsabil usuario
idades del Desatendido(B1)
usuario
Activo
Posibilidad
de
ocurrencia
de la
amenaza
Amenazas
A
Contaminantes
peligrosos
suspendidos
en el aire
Ups
B Fallos
desempeo
en
el
Vulnerabilidades
A1 Situaciones de
riesgo para
el
personal
y/o
falta
de
confiabilidad en el
sistema
UPS,
y fallas debidas a
la emanacin de
hidrgeno
B1
Falta
mantenimiento
de
Posibilidad
que la
amenaza
penetre
la
vulnerabili
dad
Valor
de
activos
en
Riesgo
Posibilida
Opcin
d de
de
Total
ocurrenci
tratamiento
riesgo
a de
de
amenaza
riesgo
95
Reduccin
del riesgo
Objetivos
de control
Controles de la
norma ISO 27001
(Control
Vulnerabilidad)
A.9.1.4 Proteccin
A.9
contra
Seguridad
amenazas externas
fsica
y y ambientales (A1)
ambiental
A.9.1.5 Trabajo en
reas
Seguras (A1)
A.9.2
A.9.2.4
Seguridad
Mantenimiento de
del equipo Equipo(B1)
cuente
con
una
DECLARACION
DE
LA
96
Objetivos de Control
Controles
Aplicabilidad
Si
x
x
97
No
Justificacin
Objetivos de Control
Controles
Aplicabilidad
Si
x
x
x
A.10.3.1 Gestin de Capacidad
A.10.6.1 Controles de red.
A.10.7.3 Procedimientos
informacin.
de
manejo
de
la
x
98
Justificacin
No
Es necesario llevar un control de seguridad
en cuanto al acceso fsico no autorizado,
dao e interferencia al local y a la
informacin.
Objetivos de Control
Controles
Aplicabilidad
Si
x
A.10.10 Monitoreo
A.11.3 Responsabilidades
usuario
del
99
Justificacin
No
Es
recomendable
establecer
procedimientos para monitorear el uso de
los medios de procesamiento de
informacin.
Es necesario establecer
medidas de
seguridad en cuanto al acceso a la
informacin
Es recomendable establecer medidas de
seguridad para evitar el acceso no
autorizado a los sistemas de informacin.
Es necesario solicitar a los usuarios que se
aseguren de dar la proteccin apropiada al
equipo desatendido
Objetivos de Control
Controles
Aplicabilidad
Si
100
Justificacin
No
Es necesario establecer
chequeos de
validacin en las aplicaciones para detectar
cualquier corrupcin de la informacin en
los sistemas de informacin.
Es necesario adoptar procedimientos para
garantizar la seguridad de los archivos del
sistema.
Es indispensable mantener la seguridad del
software e informacin del mismo
evitando oportunidades de filtraciones en
la informacin.
Es preciso realizar planes de continuidad
comercial se deben probar y actualizar
regularmente para asegurar que estn
actualizados y sean efectivos.
103
104
vulnerabilidades conocidas;
2. procedimientos para determinar si ha ocurrido algn
incremento del riesgo de los activos, por ejemplo, una
prdida o modificacin de datos;
3. medidas de integridad;
4. restricciones
sobre
el
copiado
divulgacin
de
informacin;
b) la descripcin del servicio o producto disponible;
c) las diferentes razones, requerimientos y beneficios para el
acceso del cliente;
d) poltica de control de acceso;
e) acuerdos para el reporte, notificacin e investigacin de las
inexactitudes de la informacin (por ejemplo, de detalles
personales), incidentes de seguridad de informacin y fallas en
la seguridad;
105
y proteccin de cualquier
trabajo
cooperativo.
Los requerimientos de seguridad relacionados con el acceso del
cliente
los
activos
organizacionales
pueden
variar
para
el
uso
de
dispositivos
mviles,
Roles y responsabilidades
107
b) proteger
los
activos
contra
el
acceso,
divulgacin,
108
a) los
materiales
peligrosos
combustibles
deben
ser
debe
proporcionar
equipo
contra-incendios
ubicado
adecuadamente.
109
las
comunicaciones,
radiacin
electromagntica
vandalismo;
e) se debe establecer lineamientos sobre comer, beber y fumar en
la proximidad de los medios de procesamiento de informacin;
110
Mantenimiento de equipo
Gestin de Capacidad
Controles de red
y tambin se deberan
9. Gestin de medios
114
Los factores de
Registro de fallas
Las reglas de control del acceso y los derechos para cada usuario o
grupos de usuarios se deben establecer claramente en la poltica de
control de acceso. Los controles de acceso son tanto lgicos como
fsicos y estos deben ser considerados juntos.
La poltica debe tomar en cuenta lo siguiente:
a) los requerimientos de seguridad de las aplicaciones comerciales
individuales;
b) identificacin de toda la informacin relacionada con las
aplicaciones comerciales y los riesgos que enfrenta la
informacin;
c) consistencia entre el control del acceso y las polticas de
clasificacin de la informacin de los diferentes sistemas y
redes;
118
119
120
121
122
controles de corrida-a-corrida
125
Filtracin de Informacin.
Prueba,
mantenimiento
re-evaluacin
de
planes
de
continuidad comerciales.
Las pruebas de los planes de continuidad del negocio deben asegurar
que todos los miembros del equipo de recuperacin y otro personal
relevante estn prevenidos de los planes y de sus responsabilidades
para la continuidad del negocio y la seguridad de informacin. Todos
deben saber su rol cuando el plan sea invocado.
126
recomendaciones.
Se debe asignar responsabilidades para revisar regularmente cada plan
de continuidad del negocio. Se debe hacer una actualizacin apropiada
127
128
Objetivo
Actividades
Posibles Mtricas
5. Poltica de seguridad
5.1
Poltica
de
seguridad de la
informacin
Organizacin
Interna
y
la
129
Ref.
Objetivo
Actividades
Posibles Mtricas
7. Gestin de activos
7.1
Responsabilidad
sobre
los activos
Antes
de
contratacin
la
Roles
y
Responsabilidades
Revisin del manual de funciones existente que detalla las funciones de cada
cargo y verificar si se da cumplimiento lo que est definido y agregar las
funciones que sean necesarias.
reas seguras
130
Ref.
Objetivo
Actividades
9.2
Seguridad de los
equipos
Posibles Mtricas
10.3
Planificacin y
aceptacin
del sistema
131
Ref.
Objetivo
Actividades
Posibles Mtricas
10.6
Gestin
de
la
seguridad de las
redes
10.7
Gestin de medios
Monitoreo
Porcentaje
seguridad:
de
sistemas
cuyos
logs
de
132
Ref.
Objetivo
Actividades
Posibles Mtricas
11.1
Requerimiento
comercial para el
control del acceso
(b)aceptado
responsabilidades,
formalmente
sus
Gestin de acceso
11.2
de usuario
Registro de usuarios
Administracin de privilegios
Administracin de las contraseas
Revisin de los derechos.
133
Ref.
Objetivo
Responsabilidades
Actividades
11.3
Posibles Mtricas
Porcentaje de descripciones de puesto de
trabajo que incluyen responsabilidades en
seguridad de la informacin
del usuario
11.5
11.6
Control de acceso
al
sistema
de
operacin
Control de acceso
a la aplicacin e
informacin
Porcentaje
de
plataformas
totalmente
conformes con los estndares de seguridad
bsica
(comprobado mediante pruebas
independientes), con anotaciones sobre los
sistemas no conformes (ejemplo "Sistema de
finanzas ser actualizado para ser conforme en
cuarto trimestre)".
(mnimo 70% inicialmente)
134
Ref.
Objetivo
Actividades
Posibles Mtricas
12.2
Procesamiento
correcto en las
aplicaciones
(a) definido
(mnimo 80% inicialmente)
(b) implementado y demostrado eficaces
mediante pruebas.
(mnimo 70% inicialmente)
12.4
12.5
Seguridad de los
archivos
del
sistema
Seguridad en los
procesos
de
desarrollo
y
soporte
135
Ref.
Objetivo
Actividades
Posibles Mtricas
Porcentaje de planes de continuidad de negocio
en cada una de las fases del ciclo de vida
(requerido / especificado / documentado /
probado).
14
Gestin de la
continuidad
comercial
136
Los
registros
deben
mantenerse
legibles,
fcilmente
Si la reaccin debe ser inmediata, los objetivos son claros: Atender a los heridos
o frenar el ataque. Si la reaccin debe ser rpida, los objetivos debern ser
establecidos por la persona encargada o el equipo de crisis (o similar) y deber
centrarse en restaurar la seguridad necesaria para los afectados por el incidente.
Las acciones/reacciones posteriores se llevarn a cabo siguiendo los canales
habituales de la organizacin en la toma de decisiones, con el objetivo de
restaurar un entorno de trabajo seguro, as como de re-establecer los
procedimientos organizativos internos y mejorar las reacciones posteriores ante
los incidentes de seguridad.
Toda reaccin debe tambin tener presente la seguridad y proteccin de otras
personas, organizaciones o instituciones con las que mantengamos una relacin
laboradle trabajo (y se puedan ver afectados).
Establecer objetivos antes de empezar a actuar. La inmediatez de la accin es
importante, pero saber por qu llevar a cabo esa accin es ms importante
todava. Al establecer de antemano qu pretendes lograr (objetivos), podrs
decidir cmo quieres lograrlo (tctica a seguir).
6.9.1.3 Monitorear y revisar el SGSI
Se realizarn de forma trimestral y cuando se realicen modificaciones importantes
a los procesos de negocios.
Actividades principales para esta fase, ellas son:
Monitoreo
Mtricas
Auditoras
Revisin.
139
a) Monitoreo
A los efectos de detectar, posibles diferencias entre el estado de seguridad de
la Organizacin (sujeto al Alcance definido para el SGSI) y el estado que se
pretende alcanzar (objetivos y requerimientos de seguridad), es necesario
recabar y recolectar datos precisos que permitan de forma objetiva posicionar
el estado de seguridad en el departamento de sistemas.
Entrada:
Objetivos de Control.
Controles seleccionados.
Accin:
Deben realizarse revisiones y chequeos en forma regular trimestral de
verificar que se estn aplicando adecuadamente todos los controles
seleccionados. Deben coordinarse las acciones de monitoreo de forma de
lograr su cometido minimizando su impacto en las operaciones de la empresa
y sin que tenga un impacto en la calidad del servicio ni en los procesos
diarios.
Las acciones de monitoreo deben ser tendientes a:
140
b) Mtricas
De las mtricas establecidas en el captulo anterior revisarlas y analizarlas
para ver si cumplen con sus parmetros establecidos.
c) Auditoras Internas del SGSI
Segn la ISO/IEC 27.001, deben realizarse auditoras internas a intervalos
planificados para determinar si los objetivos de control, controles, procesos y
procedimientos cumplen:
d) Revisin
Esta etapa o proceso, debe realizarse de forma trimestral y planificada, y
tiene como objetivos:
Entrada:
Accin:
Realizar:
Revisar la vigencia de las premisas, principios y condiciones bajo cuales se
tomaron las decisiones y criterios de definiciones del SGSI.
Entrada:
143
Identificacin de no conformidades.
Monitoreo.
Salida:
Un Informe con el plan de mejoras, describiendo o referenciando las conclusiones
ms relevantes surgidas de la etapa de revisin y especificando objetivos
concretos, el impacto de los cambios y quienes estaran involucrados as como un
plan tentativo para llevarlos a cabo.
144
6.10
CONCLUSIONES Y RECOMENDACIONES
6.10.1 Conclusiones
Al tener implantado un SGSI bajo la norma ISO 27001 no significa contar con
seguridad mxima en la informacin de la organizacin sino que esto significa
que la empresa cumple con los requerimientos y mejores prcticas establecidas
en dicha norma para que su SGSI actual funcione correctamente y adems pueda
evolucionar hacia la sofisticacin.
6.10.2 Recomendaciones
145
BIBLIOGRAFIA
Informacin bibliogrfica de libros
IMPLEMENTACIN
DEL
PRIMER
SISTEMA
DE
GESTIN
DE
desde
http://www.cetid.abogados.ec/archivos/archivos/index.php?p=boletin_mostrar&i
d=139&ide=55
146
http://es.wikipedia.org/wiki/ISO/IEC_27001
Julio
de
2011
desde
http://www.monografias.com/trabajos14/sist-
informacion/sist-informacion.shtml
el
http://www.nexusasesores.com/docs/ISO27001-norma-e-implantacion-SGSI.pdf
Extrado
el
12
de
Enero
del
2012
desde
http://www.iso27000.es/download/ISO_27000_implementation_guidance_v1_S
panish.pdf
ANALISIS
EVALUACION
DEL
RIESGO
DE
INFORMACION:
GLOSARIO DE TERMINOS
A
Access Point.- Se trata de un dispositivo utilizado en redes inalmbricas de rea
local (WLAN - Wireless Local Area Network) permite la conexin de los
dispositivos inalmbricos a la WLAN, como: telfonos celulares modernos,
Netbook, Laptop, PDA, Notebook e inclusive otros Access Point para ampliar
las redes.
Active Directory (AD).- Es el trmino que usa Microsoft para referirse a su
implementacin de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (como LDAP, DNS, DHCP, etc.).
Su estructura jerrquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y
asignacin de recursos y polticas de acceso.
Activo.- Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tenga valor para la
organizacin.
Amenaza.- Segn [ISO/IEC 13335-1:004]: Causa potencial de un incidente no
deseado, el cual puede causar el dao al sistema o a la organizacin.
Anlisis de riesgo.- Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la
informacin para identificar fuentes y para estimar el riesgo.
Antivirus.- Aplicacin o grupo de aplicaciones dedicadas a la prevencin,
bsqueda, deteccin y eliminacin de programas malignos en sistemas
informticos.
Aplicacin MRTG.- MULTI ROUTER TRAFFIC GRAPHER (MRTG)
permite adquirir informacin del ancho de banda relacionada a las interfaces de
la red en un host de red.
Archivos logs.- Un log es un registro oficial de eventos durante un rango de
tiempo en particular. Es usado para registrar datos o informacin sobre quin,
qu, cundo, dnde y por qu un evento ocurre para un dispositivo en particular
o aplicacin.
148
B
Basilea.- Se conoce al acuerdo publicado en 1988, en Basilea, Suiza, por el
Comit de Basilea, compuesto por los gobernadores de los bancos centrales de
Alemania, Blgica, Canad, Espaa, EE. UU., Francia, Italia, Japn,
Luxemburgo, Holanda, el Reino Unido, Suecia y Suiza. Dichos acuerdos
consisten en recomendaciones sobre la legislacin y regulacin bancaria y son
emitidos por el Comit de supervisin bancaria de Basilea.
Bits de paridad.- Bit agregado a una unidad de datos, generalmente cada
carcter, que sirve para comprobar que los datos se transfieran sin corrupcin. El
receptor revisa la paridad de cada unidad de entrada de datos
Bridge.-Es un dispositivo que conecta dos o ms redes fsicas que utilizan el
mismo protocolo de comunicaciones y encamina paquetes de datos entre ambas.
BSI.- Instituto Britnico de Normas Tcnicas (BSI, British Standar Institute)
Buckup.- (Copia de seguridad) Es la copia total o parcial de informacin
importante del disco duro, CDs, bases de datos u otro medio de almacenamiento.
C
Check Point.- Un punto de control, en un contexto de virtualizacin, es una
instantnea del estado de una mquina virtual. Como un punto de restauracin en
sistemas operativos Windows, un puesto de control permite al administrador
para devolver la mquina virtual a un estado anterior. Los puestos de control son
los ms comnmente usado para crear copias de seguridad antes de realizar
actualizaciones.
Cisco.- Es una marca de equipos de telecomunicaciones y redes de cmputo.
149
D
Datos.- Un dato puede definirse como la unidad mnima de informacin o bit,
puede ser un carcter una palabra.
Departamento de Sistemas.- Departamento de Tecnologas de Informacin de
la Cooperativa de Ahorro y Crdito San Francisco Ltda.
Discos PGP.- Para crear discos duros virtuales encriptados se usa PGP (Pretty
Good Privacy). Este sistema de cifrado permite, mediante el uso de una clave
pblica y otra privada, mantener los datos completamente seguros mediante una
encriptacin de 1.024 bits (aunque es posible que este nmero vare), lo que hace
que sea una de las soluciones de encriptacin disponibles pblicamente ms
avanzadas en la actualidad.
Disponibilidad.- Segn [ISO/IEC 13335-1:2004]: La propiedad de estar
disponible y utilizable cuando lo requiera una entidad autorizada.
E
Equipo tape backup.- Es una unidad de Almacenamiento Masivo de Datos en
Cinta, respuesta rpida y sencilla al problema de las Copias de Seguridad, tiene
como ventaja de que el Medio Magntico (Data Cartdridge) es removible, de
capacidades casi ilimitadas, confiables y duraderas. A nivel software ofrecen,
adems, la posibilidad de grabacin de Datos en formato Comprimido, y mtodo
de correccin de Errores Avanzado.
Evaluacin del riesgo.- Segn [ISO/IEC Gua 73:2002]: Proceso de comparar el
riesgo estimado con el criterio de riesgo dado para determinar la importancia del
riesgo.
150
F
Firewall.- Es un dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra. Un uso tpico es
situarlo entre una red local y la red Internet, como dispositivo de seguridad para
evitar que los intrusos puedan acceder a informacin confidencial.
Freeware.- Free (gratis) + ware (software). Cualquier software que no requiere
pago ni otra compensacin por parte de los usuarios que los usan. Que sean
gratuitos no significa que se pueda acceder a su cdigo fuente.
Ftp.- File Transfer Protocol usado en internet, permite transferir archivos locales
hacia un servidor web.
G
Gestin del riesgo.- Segn [ISO/IEC Gua 73:2002]: actividades coordinadas
para dirigir y controlar una organizacin con relacin al riesgo.
H
Hacker.- Es la persona que aprovecha sus conocimientos (experto) de la
informtica (redes, programacin, etc.) para utilizar la vulnerabilidad de un
sistema con un fin como el obtener informacin privada.
Hardware.- Son todas las partes tangibles de un sistema informtico; sus
componentes son: elctricos, electrnicos, electromecnicos y mecnicos.
Hub.- Es un equipo de redes que permite conectar entre s otros equipos o
dispositivos retransmitiendo los paquetes de datos desde cualquiera de ellos
hacia todos los dems.
151
I
IDS.- Es un sistema de deteccin de intrusos (o IDS de sus siglas en ingls
Intrusion Detection System) es un programa usado para detectar accesos no
autorizados a un computador o a una red.
Impacto.- Dao econmico que se produce cuando se materializa una
determinada amenaza en un activo de informacin.
Incidente de seguridad de la informacin.- Segn [ISO/IEC TR 18044:2004]:
Un solo o una serie de eventos de seguridad de la informacin no deseados o
inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la informacin.
Integridad.- Segn [ISO/IEC 13335-1:2004]: la propiedad de salvaguardar la
exactitud e integridad de los activos.
Interfaz.- Es el elemento de comunicacin que facilita el intercambio de datos,
como por ejemplo el teclado, que es un tipo de interface entre el usuario y la
computadora.
Internet.- Es un conjunto descentralizado de redes de comunicacin
interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que
las redes fsicas heterogneas que la componen funcionen como una red lgica
nica, de alcance mundial.
IPS.- Es un Sistema de Prevencin de Intrusos (IPS), dispositivo que ejerce el
control de acceso en una red informtica para proteger a los sistemas
computacionales de ataques y abusos. La tecnologa de Prevencin de Intrusos
es considerada por algunos como una extensin de los Sistemas de Deteccin de
Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a
las tecnologas cortafuegos.
Iptable de Linux.- Es un sistema de firewall vinculado al kernel de linux que se
ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Es
decir disponible en el ncleo Linux que permite interceptar y manipular paquetes
de red.
152
ISO.-
(International
Organization
for
Standardization
Organizacin
L
LDAP.- Son las siglas de Lightweight Directory Access Protocol (en espaol
Protocolo Ligero de Acceso a Directorios) que hacen referencia a un protocolo a
nivel de aplicacin el cual permite el acceso a un servicio de directorio ordenado
y distribuido para buscar diversa informacin en un entorno de red.
Linux.- Sistema operativo que posee un ncleo del mismo nombre. El cdigo
fuente es abierto, por lo tanto, est disponible para que cualquier persona pueda
estudiarlo, usarlo, modificarlo y redistribuirlo.
M
Malware.- (del ingls malicious software), tambin llamado badware, cdigo
maligno, software malicioso o software malintencionado, es un tipo de software
que tiene como objetivo infiltrarse o daar una computadora sin el
consentimiento de su propietario.
Mantenimiento.- Son todas las acciones que tienen como objetivo mantener un
artculo o restaurarlo a un estado en el cual pueda llevar a cabo alguna funcin
requerida. Estas acciones incluyen la combinacin de las acciones tcnicas y
administrativas correspondientes.
Mecanismos.- Manera de producirse o de realizar una actividad.
Medida.- Proporciona una indicacin cuantitativa de la cantidad, dimensiones o
tamao de algunos atributos de un producto.
Metodologa.- La metodologa (meta = a travs de, fin; odos = camino, manera;
lgos =teora, razn, conocimiento): es la teora acerca del mtodo o del
conjunto de mtodos. La metodologa es normativa (valora), pero tambin es
descriptiva (expone) o comparativa (analiza). La metodologa estudia tambin el
proceder del investigador y las tcnicas que emplea.
Mtrica.- Medida cuantitativa del grado en que un sistema, componente o
proceso posee un atributo dado.
153
O
Ocurrencia.- Evento que produce daos personales o patrimoniales a un tercero.
Exposicin repetida, gradual o continua, de una condicin adversa, que no es ni
pretendida ni esperada, con el resultado de daos personales y/o daos
patrimoniales a una tercera parte.
OPENLDAP.- OpenLDAP es una implementacin libre y de cdigo abierto del
protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el
proyecto OpenLDAP. Est liberada bajo su propia licencia.
P
PDCA (planear hacer chequear actuar).- El ciclo PDCA, tambin conocido
como "Crculo de Deming" (de Edwards Deming), es una estrategia de mejora
continua de la calidad en cuatro pasos. Es muy utilizado por los SGSI.
Phishing.- Es un trmino informtico que denomina un tipo de delito
encuadrado dentro del mbito de las estafas cibernticas, y que se comete
mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir
informacin confidencial de forma fraudulenta (como puede ser una contrasea
o informacin detallada sobre tarjetas de crdito u otra informacin bancaria).
Poltica.- Es una actividad orientada en forma ideolgica a la toma de decisiones
de un grupo para alcanzar ciertos objetivos.
Propiedad Intelectual.- Es el conjunto de derechos que corresponden a los
autores y a otros titulares (artistas, productores, organismos de radiodifusin...)
respecto de las obras y prestaciones fruto de su creacin.
R
Restriccin.- Es un Lmite, impedimento o limitacin, en la realizacin de una
conducta, proyecto, etc.
Revisar.- Mirar atentamente con intencin de subsanar los fallos o defectos que
algo pueda presentar, es decir revisar con intencin de corregir datos obsoletos
con sus valores actuales.
154
S
Seguridad de informacin.- Segn [ISO/IEC 17799:2005]: Preservacin de la
confidencialidad, integridad y disponibilidad de la informacin; adems,
tambin pueden estar involucradas otras propiedades como la autenticidad,
responsabilidad, no-repudio y confiabilidad.
Servicios.- Es un conjunto de actividades que buscan responder a una o ms
necesidades de un cliente. Se define un marco en donde las actividades se
desarrollarn con la idea de fijar una expectativa en el resultado de stas.
Servidor.- Es una computadora que, formando parte de una red, provee
servicios a otras computadoras denominadas clientes.
Sistema de gestin de seguridad de la informacin SGSI.- Esa parte del
sistema gerencial general, basada en un enfoque de riesgo comercial; para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la informacin
Shareware.- Se denomina shareware a una modalidad de distribucin de
software, en la que el usuario puede evaluar de forma gratuita el producto, pero
con limitaciones en el tiempo de uso o en algunas de las formas de uso o con
restricciones en las capacidades finales.
SOA.- La Declaracin de Aplicabilidad o Statement of Applicability (SOA)
referenciado a una clusula del estndar ISO 27001 es un documento que lista
los objetivos y controles que se van a implementar en una Organizacin, as
como las justificaciones de aquellos controles que no van a ser implementados.
Software blade de Check Point.- Arquitectura de seguridad que consiste en una
combinacin de funciones de seguridad basadas en un Gateway de Seguridad de
155
T
Tasacin.- o valoracin es el proceso de estimar el valor de un activo.
Tercero.- Cualquier persona fsica o de existencia ideal que no es ni titular, ni
procesador, ni responsable de un banco de datos, ni agente o empleado de estos
ltimos.
Tecnologa RAID5.- Es un sistema de almacenamiento el cual hace uso de
mltiples discos entre los cuales replica los datos, este se aplica bajo un
escenario regularmente de servidores en el cual se poseen como mnimo 3
unidades de discos duros y se desea tener la divisin de datos a nivel de bloques
distribuyendo la informacin de paridad entre todos los miembros del sistema de
RAID, por lo tanto, un sistema RAID 5 proporciona beneficios como una mayor
integridad, mayor tolerancia a fallos, mayor rendimiento, mayor fiabilidad y
sobre todo mayor capacidad.
Tratamiento del riesgo: Segn [ISO/IEC Gua 73:2002]: Proceso de
tratamiento de la seleccin e implementacin de medidas para modificar el
riesgo
NOTA: En este Estndar Internacional el trmino control se utiliza como
sinnimo de medida.
Trialware.- Demoware (tambin conocido como trialware) es un tipo de
software que permite su uso sin ninguna restriccin por un perodo limitado de
tiempo. Pasado ese tiempo, se deshabilitan ciertas funciones.
156
U
Ups.- Es una fuente de suministro elctrico que posee una batera con el fin de
seguir dando energa a un dispositivo en el caso de interrupcin elctrica.
V
Validacin.- Es el proceso de comprobar la precisin de los datos; conjunto de
reglas que se pueden aplicar a un control para especificar el tipo y el intervalo de
datos que los usuarios pueden especificar.
Valuacin del riesgo.- Segn [ISO/IEC Gua 73:2002]: Proceso general de
anlisis del riesgo y evaluacin del riesgo.
Validez jurdica.- Se designa, como vlida una norma cuando cumple con los
requisitos formales y materiales necesarios para su produccin. La validez de la
norma no depende slo del acto de su promulgacin y publicacin, a partir del
cual se declara la existencia de la norma, aunque si es uno de sus efectos, en
tanto la norma debe existir jurdicamente para poder ser exigible.
Virus Informtico.- Un virus informtico es un malware que tiene por objeto
alterar el normal funcionamiento de la computadora, sin el permiso o el
conocimiento del usuario.
VPNS (clientes mviles).- (Virtual Private Network) Red privada virtual. Red
de comunicaciones de rea ancha provista por una portadora comn que
suministra aquello que asemeja lneas dedicadas cuando se utilizan, pero las
troncales de base se comparten entre todos los clientes como en una red pblica
Vulnerabilidad.- Posibilidad de ocurrencia de la materializacin de una
amenaza sobre un Activo.
W
Web service.- Es una pieza de software que utiliza un conjunto de protocolos y
estndares que sirven para intercambiar datos entre aplicaciones.
157
ANEXOS
158
ANEXO 1
Plan de capacitacin y conocimiento para el personal del departamento de sistemas
El Departamento De Sistemas del Cooperativa de Ahorro y Crdito San Francisco
Ltda. , es un sector muy importante para el desarrollo ptimo y efectivo de las tareas
diarias, debido principalmente al uso generalizado de equipos de computacin,
soluciones de software, equipos de intercomunicacin y redes, tanto a nivel local como
a nivel metropolitano.
I.
JUSTIFICACIN
Debido a un estudio realizado en el departamento sobre la adopcin de un Sistema
de Gestin de Seguridad de la Informacin, ya que es muy importante para mantener
y mejorar la confiabilidad, integridad y disponibilidad de los sistemas de
informacin y comunicacin, se ve la necesidad de dar a conocer al grupo de trabajo
del departamento de sistemas sobre la aplicabilidad del sistema de gestin y as
elevar y mantener la seguridad en todo el departamento de sistemas mejorando los
servicios brindados del departamento juntamente con toda la Cooperativa.
II.
ALCANCE
El presente plan de capacitacin es de aplicacin para todo el personal que trabaja
en el Departamento de Sistemas de la Cooperativa de Ahorro y Crdito San
Francisco Ltda.
III.
159
Objetivos Especficos
IV.
ESTRATEGIAS
Las estrategias a emplear son:
V.
MODALIDAD DE CAPACITACION
TEMAS DE CAPACITACIN
RECURSOS
160
ANEXO 2
ENTREVISTA
OBJETIVO: Recolectar informacin para determinar las condiciones de seguridad en las que se
encuentra los sistemas de informacin y comunicacin en el departamento de sistemas de la
Cooperativa de Ahorro y Crdito SAN FRANCISCO Ltda.
Nombre:
Funcin que desempea:...............................................
Telf.:.
1.
e-mail:..
2.
3.
4.
161
5.
6.
7.
8.
9.
162