ESCUELA POLITÉCNICA NACIONAL - Repositorio...
143
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERIA EN SISTEMAS DISEÑO DEL PLAN DE GESTIÓN DE SEGURIDADES DE LA INFORMACIÓN PARA CEPSA S.A PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN ROSERO PROAÑO PRISCILA VALERIA [email protected] Director: Ing., MSc. Denys Alberto Flores Armas [email protected] Quito, Abril del 2015
Transcript of ESCUELA POLITÉCNICA NACIONAL - Repositorio...
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERIA EN SISTEMAS
DISEÑO DEL PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN PARA CEPSA S.A
PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
ROSERO PROAÑO PRISCILA VALERIA
Director: Ing., MSc. Denys Alberto Flores Armas
Quito, Abril del 2015
DECLARACIÓN
Yo, Rosero Proaño Priscila Valeria, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.
La Escuela Politécnica Nacional puede hacer uso de los derechos
correspondientes a este trabajo, según lo establecido por la Ley de Propiedad
Intelectual, por su Reglamento y por la normatividad institucional vigente.
Rosero Proaño Priscila Valeria
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Rosero Proaño Priscila
Valeria bajo mi supervisión.
Ing., MSc. Denys Flores
DIRECTOR
AGRADECIMIENTOS
Agradezco a Dios por darme todo lo que he necesitado en la vida, a mis padres
porque gracias a ellos he podido alcanzar esta meta.
A mi papá por ser mi ejemplo a seguir por su inteligencia, perseverancia y por
enseñarme el valor de las cosas, a mi mamá por enseñarme el valor de la
generosidad y la humildad, a los 2 gracias por su cariño y apoyo.
A mis hermanos en especial a mi hermana mayor Evelin por haber estado
conmigo en todo momento a lo largo de mi vida apoyándome y haciéndome reír, a
mis pequeños Nene y Lula que son la razón de mi sonrisa de todos los días.
A mi amiga Fátima por ser mi apoyo a lo largo de mi carrera, por haber estado en
los días buenos y malos, por sus consejos y cariño.
Al Ing. Denys Flores por todo el apoyo brindado a lo largo del desarrollo de mi
tesis, por sus enseñanzas y conocimiento.
A la Escuela Politécnica Nacional porque gracias a ella conocí a personas
maravillosas que hoy forman parte de mi vida.
DEDICATORIA
Este proyecto dedico a mis padres, mis hermanos, mis abuelos, mis tíos y primos,
a toda mi familia que siempre ha estado para apoyarme.
A mi angelito que me cuida desde el cielo por ti estoy aquí.
ÍNDICE DE CONTENIDO
LISTA DE FIGURAS …………………………...……………………………………… i
LISTA DE TABLAS ………………………….………..…..………………...………… ii
LISTA DE ANEXOS ………………….……….……..…………………...…………… iii
RESUMEN…………………………...……………….………………………………… iv
ABSTRACT……………………….…..……………….……………………...………… v
1 CAPITULO 1. PLANTEAMIENTO DEL PROBLEMA ........................... VII
1.1 PROBLEMÁTICA DE SEGURIDAD DE LA INFORMACIÓN EN
CONCESIONARIOS EN EL ECUADOR. ....................................................................... 7
1.1.1 Análisis de la Situación de Seguridad de Información en Latinoamérica y
Ecuador 2
1.1.1.1 Participación de los Países Latinoamericanos en Temas de Seguridad ......... 3
1.1.1.2 Presupuesto para la Seguridad de la Información ........................................... 7
1.1.1.3 Fallas de Seguridad de la Información ............................................................. 8
1.1.1.4 Mecanismos de Protección ............................................................................... 11
1.1.1.5 Políticas de Seguridad ....................................................................................... 12
1.1.1.6 Capital Intelectual ............................................................................................. 12
1.1.1.7 Certificaciones ................................................................................................... 13
1.1.2 Encuesta Seguridad de Información en Concesionarios Ecuatorianos ........ 14
1.1.2.1 Importancia de la Seguridad de la Información ............................................ 15
1.1.2.2 Incidentes de Seguridad ................................................................................... 16
1.1.2.3 Recursos a la Seguridad de la Información .................................................... 17
1.1.2.4 Vulnerabilidades y riegos ................................................................................. 17
1.1.2.5 Controles y políticas de Seguridad .................................................................. 18
1.1.2.6 Mecanismos de Seguridad ................................................................................ 19
1.1.2.7 Certificaciones ................................................................................................... 19
1.1.2.8 Nivel de seguridad ............................................................................................. 21
1.1.3 Análisis Comparativo entre la Situación de la Seguridad de empresas de
Latinoamérica y los Concesionarios del Ecuador ........................................................... 22
1.1.3.1 Presupuesto ........................................................................................................ 22
1.1.3.2 Fallas de Seguridad ........................................................................................... 22
1.1.3.3 Mecanismos de Protección ............................................................................... 23
1.1.3.4 Certificaciones ................................................................................................... 23
1.1.3.5 Personal Capacitado ......................................................................................... 23
1.1.3.6 Porcentaje de seguridad en organizaciones .................................................... 23
1.2 DESCRIPCIÓN DE LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN, SEGÚN LA NORMA ISO/IEC 27000:2012 .................................... 25
1.2.1 Origen ................................................................................................................. 25
1.2.2 Objetivos ............................................................................................................. 25
1.2.3 Norma ISO 27000 .............................................................................................. 26
1.2.3.1 Familias de Normas ISO .................................................................................. 26
1.2.4 Gestión de la Seguridad de la información según la Norma ......................... 27
1.2.4.1 ¿Qué es un SGSI? .............................................................................................. 27
1.2.4.2 ¿Qué es la seguridad de la información? ........................................................ 28
1.2.5 Beneficios de la Norma ...................................................................................... 28
1.3 JUSTIFICACION DEL USO DE LA NORMA ............................................. 29
1.3.1 COMPARACION ENTRE ISO 27001:205 Y LA ISO 27001:2013 .............. 30
2 CAPITULO 2. DEFINICIÓN DEL PLAN DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN .................................................................................................. 26
2.1 ANÁLISIS DE LA SEGURIDAD DE INFORMACIÓN EN EL
DEPARTAMENTO DE TECNOLOGÍA DE LA INFORMACIÓN ........................... 26
2.1.1 Caracterización de Cepsa ................................................................................. 26
2.1.1.1 Misión ................................................................................................................. 27
2.1.1.2 Visión .................................................................................................................. 27
2.1.1.3 Estructura Orgánica ......................................................................................... 28
2.1.1.4 Actividades ......................................................................................................... 26
2.1.1.5 Descripción del Departamento de Sistemas .................................................... 26
2.1.1.6 Ubicación del departamento de Sistemas ....................................................... 27
2.1.1.7 Red ...................................................................................................................... 27
2.1.2 Análisis FODA del departamento de Sistemas ............................................... 29
2.2 ANALISIS Y EVALUACIÓN DE RIESGOS ................................................. 30
2.2.1 Análisis de Seguridad Física ............................................................................. 30
2.2.1.1 Check List .......................................................................................................... 30
2.2.1.2 Seguridad Física del edificio ............................................................................ 32
2.2.1.3 Seguridad en el Control de Acceso .................................................................. 32
2.2.1.4 Seguridad Física del Servidor .......................................................................... 33
2.2.1.5 Seguridad en el Router ..................................................................................... 34
2.2.1.6 Seguridad en el Firewall ................................................................................... 34
2.2.1.7 Seguridad en el Switch ...................................................................................... 35
2.2.1.8 Seguridad en la Wireless .................................................................................. 36
2.2.1.9 Seguridad en los Back Up ................................................................................. 36
2.2.1.10 Seguridad del Personal ..................................................................................... 37
2.2.2 Análisis de Resultados de Vulnerabilidades Físicas ....................................... 38
2.2.3 Conclusiones de Vulnerabilidades Físicas ....................................................... 40
2.2.4 Análisis de Seguridad Lógica ........................................................................... 40
2.2.4.1 Maltego ............................................................................................................... 40
2.2.4.2 Foca .................................................................................................................... 42
2.2.4.3 Nessus ................................................................................................................. 44
2.2.4.4 Nmap .................................................................................................................. 51
2.2.5 Conclusiones de Vulnerabilidades Lógicas ..................................................... 52
2.2.6 Resumen de Vulnerabilidades Físicas y Lógicas ............................................ 53
2.3 SELECCIÓN DE LOS CONTROLES ADECUADOS DE SEGURIDAD DE
INFORMACIÓN, DE ACUERDO A LA NORMA ISO/IEC 27002:2009 ................... 54
2.3.1 Metodología ........................................................................................................ 54
2.3.1.1 Identificación de activo ..................................................................................... 55
2.3.1.2 Evaluación Cualitativa del Riesgo ................................................................... 55
2.3.1.3 Identificación de Amenazas y Vulnerabilidades ............................................ 56
2.3.1.4 Análisis de Impacto y Probabilidad ................................................................ 56
2.3.1.5 Evaluación de Riesgos ....................................................................................... 57
2.3.2 Evaluación de Riesgo ......................................................................................... 59
2.3.3 Tratamiento del Riesgo: Selección de controles.............................................. 63
2.3.3.1 Declaración de aplicabilidad de los controles seleccionados ......................... 68
2.3.4 Conclusiones ....................................................................................................... 82
2.4 ELABORACIÓN DEL PLAN DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ............................................................................................................... 83
2.4.1 Descripción del Plan del SGSI .......................................................................... 83
2.4.1.1 Descripción del modelo PDCA ......................................................................... 83
2.4.1.2 Fases y Entregables de la norma NTE INEN-ISO/ICE 27003:2012 ............ 85
2.4.1.3 Documentos exigidos por el SGSI en la norma NTE-INEN ISO/IEC 2700196
2.4.2 Descripción de los entregables. ......................................................................... 97
2.4.2.1 Política para Control de Documentos y registros. ......................................... 98
2.4.2.2 Política del SGSI, que incluya los objetivos de seguridad ............................. 98
2.4.2.3 Alcance del SGSI ............................................................................................... 98
2.4.2.4 Metodología de Evaluación de Riesgos ........................................................... 99
2.4.2.5 Informe de Evaluación de Riesgos ................................................................... 99
2.4.2.6 Plan de Tratamiento de Riesgos ...................................................................... 99
2.4.2.7 Declaración de Aplicabilidad ......................................................................... 100
2.4.2.8 Incidentes de Seguridad ................................................................................. 100
3 CAPITULO 3. EVALUACIÓN DE APLICABILIDAD DEL PLAN DE
GESTIÓN DE SEGURIDADES DE LA INFORMACIÓN EN EL CASO DE
ESTUDIO ......................................................................................................................... 101
3.1 JUSTIFICACIÓN DE APLICABILIDAD DEL PLAN .............................. 101
3.2 IDENTIFICACIÓN DE RESTRICCIONES PARA IMPLEMENTAR EL
PLAN 101
3.2.1 Restricciones de Personal ................................................................................ 102
3.2.2 Restricciones de Recursos ............................................................................... 102
3.2.2.1 Recursos Técnicos ........................................................................................... 102
3.2.2.2 Recursos Financieros ...................................................................................... 102
3.2.3 Restricciones de Tiempo ................................................................................. 103
3.2.4 Restricciones de Adaptación ........................................................................... 103
3.3 ANÁLISIS DE FACTIBILIDAD PARA IMPLEMENTAR EL PLAN EN
LA SITUACIÓN ACTUAL DE LA INSTITUCIÓN ................................................... 103
3.3.1 Factibilidad de Personal .................................................................................. 103
3.3.2 Factibilidad de Infraestructura Tecnológica y Física .................................. 105
3.3.3 Factibilidad Económica ................................................................................... 105
4 CAPÍTULO 4. CONCLUSIONES Y RECOMENDACIONES .................. 108
4.1 CONCLUSIONES ........................................................................................... 108
4.2 RECOMENDACIONES ................................................................................. 110
REFERENCIAS .............................................................................................................. 112
ANEXOS .......................................................................................................................... 114
LISTA DE FIGURAS
Figura 1-1 Gráfica de las empresas con Certificación en Sudamérica .................................. 4
Figura 1-2 Grafica de las empresas Certificadas en Sudamérica – Norteamérica................. 5
Figura 1-3 Grafica de Empresas Certificadas en Sudamérica - Norteamérica- Europa ....... 6
Figura 1-4 Grafica de Empresas Certificadas en Sudamérica-Norteamérica-Europa-Asia .. 7
Figura 1-5 Importancia de la Gestión de SI ......................................................................... 15
Figura 1-6 Porcentajes de Incidentes de Seguridad ............................................................. 16
Figura 1-7 Porcentaje de Recursos para SI .......................................................................... 17
Figura 1-8 Conocimiento de Vulnerabilidades
Figura 1-9 Análisis de Riesgos ............................................................................................ 18
Figura 1-10 Porcentaje de existencia de Políticas de Seguridad ......................................... 18
Figura 1-11 Mecanismos de Seguridad más Usados ........................................................... 19
Figura 1-12 Certificaciones más conocidas ......................................................................... 20
Figura 1-13 Porcentaje de Personal Capacitado en SI ......................................................... 20
Figura 1-14 Categorización a la Seguridad de la Información ............................................ 21
Figura 2-1 Organigrama Estructural de Cepsa .................................................................... 26
Figura 2-2 Organigrama del Departamento de Sistemas ..................................................... 26
Figura 2-3 Ubicación del Departamento de Sistemas ......................................................... 27
Figura 2-4 Topología de la Red de Transmisión ................................................................. 28
Figura 2-5 Seguridad Física Externa ................................................................................... 32
Figura 2-6 Seguridad en el Control de Acceso .................................................................... 32
Figura 2-7 Seguridad en el Servidor .................................................................................... 33
Figura 2-8 Seguridad en el Router ....................................................................................... 34
Figura 2-9 Seguridad en el Firewall .................................................................................... 34
Figura 2-10 Seguridad en el Switch .................................................................................... 35
Figura 2-11 Seguridad en la Wireless.................................................................................. 36
Figura 2-12 Seguridad en los Back Up ................................................................................ 36
Figura 2-13 Seguridad del Personal..................................................................................... 37
Figura 2-14 Modelo PDCA ................................................................................................. 84
Figura 2-15 Fases de Implementación del SGSI [13].......................................................... 86
ii
Figura 2-16 Proceso de Aprobación de la Dirección para iniciar el proyecto del SGSI [13]
............................................................................................................................................. 87
Figura 2-17 Proceso de Análisis de Requerimientos de la Seguridad de la Información [13]
............................................................................................................................................. 89
Figura 2-18 Proceso de Evaluación del Riesgo y la Planificación de Tratamiento de Riesgo
[13] ...................................................................................................................................... 92
Figura 2-19 Descripción General del Diseño de la Fase del SGSI [13] .............................. 95
iii
LISTA DE TABLAS
Tabla 1-1 Porcentaje de Participación por País ..................................................................... 3
Tabla 1-2 Porcentaje de Presupuesto Anual SI [1] ............................................................... 8
Tabla 1-3 Tipos de Falla de Seguridad [1] ........................................................................... 9
Tabla 1-4 Tipos de Incidentes de Seguridad ....................................................................... 10
Tabla 1-5 Tasa de Infección de Malware ............................................................................ 11
Tabla 1-6 Mecanismos de Protección [1] ............................................................................ 12
Tabla 1-7 Porcentaje de Certificaciones Registradas vs Requeridas [1] ............................. 13
Tabla 1-8 Comparación entre Encuestas ............................................................................. 24
Tabla 1-9 Comparación entre ISO 27001:2011 vs ISO 2001:2013 .................................... 26
Tabla 2-1 Análisis FODA .................................................................................................... 29
Tabla 2-2 Vulnerabilidades Físicas ..................................................................................... 40
Tabla 2-6 Vulnerabilidades Foca ......................................................................................... 44
Tabla 2-3 Vulnerabilidades Nessus ..................................................................................... 45
Tabla 2-4 Vulnerabilidades de Puertos Abiertos ................................................................. 50
Tabla 2-5 Vulnerabilidades Nmap ....................................................................................... 52
Tabla 2-8 Resumen de Vulnerabilidades ............................................................................. 54
Tabla 2-9 Identificación de Activos .................................................................................... 55
Tabla 2-10 Niveles de Impacto ............................................................................................ 56
Tabla 2-11 Niveles de Probabilidad .................................................................................... 57
Tabla 2-12 Ejemplo de Matriz de Riesgo ............................................................................ 57
Tabla 2-13 Matriz de Evaluación de Riesgos ...................................................................... 62
Tabla 2-14 Matriz de Tratamiento de Riesgos .................................................................... 67
Tabla 2-15 Matriz de Declaración de Aplicabilidad a Controles Seleccionados ................ 81
Tabla 2-16 Documentos exigidos por el SGSI en la norma NTE-INEN ISO/IEC 27001... 97
Tabla 3-1 Conformidad Actual vs Conformidad Deseada ................................................ 101
Tabla 3-2 Análisis de Factibilidad Económica .................................................................. 106
iv
LISTA DE ANEXOS
ANEXO A - Modelo de Encuesta Realizada
ANEXO B - Documento Plan de Evaluación de Vulnerabilidades
ANEXO C - Check List
ANEXO D - Política para Control de Documentos y Registros
ANEXO E - Política del SGSI
ANEXO F - Alcance del SGSI
ANEXO G - Metodología de Evaluación de Riesgos
ANEXO H - Informe de evaluación de Riesgos
ANEXO I - Plan de Tratamiento de Riesgos
ANEXO J - Declaración de Aplicabilidad
ANEXO K - Incidentes de Seguridad
v
RESUMEN
En este proyecto se analizará el estado de seguridad de información, tomando
como caso de estudio a los concesionarios ecuatorianos, para conocer como se
está manejando la información en los mismos.
Para tener un enfoque amplio de la seguridad de la información en Latinoamérica
y en el Ecuador se va a partir de 2 encuestas Latinoamericanas de seguridad de
la información en las cuales participó el Ecuador, se analizarán los resultados
obtenidos en la IV Encuesta Latinoamérica de seguridad de la Información [1] y
encuestas realizadas por ESET [8] y estos resultados luego, serán comparados
con una encuesta realizada a 11 (once) concesionarios automotrices del Ecuador,
en materia de seguridad de información.
Segundo se realizara una descripción de la gestión de seguridad de la
información según la norma donde se analizará el origen, objetivos y beneficios
de la misma además de hacer un análisis de la norma ISO 27001 versión 2005 y
la ISO 27001 versión 2013, justificando el uso de la norma ISO 27001 versión
2005 para este proyecto.
Tercero se hará un análisis y evaluación de riegos para el activo seleccionado del
caso de estudio mediante la utilización de herramientas de Ethical Hacking, una
vez identificados los riesgos se procederá a emitir controles para la mitigación de
los mismo.
Finalmente se analizará la factibilidad de implementación del Plan del SGSI en la
empresa del caso de estudio. Para el análisis de la factibilidad se tomará en
cuenta las restricciones de implementación y la factibilidad de personal,
infraestructura y económica.
Palabras clave: Seguridad de la Información, Plan de SGSI, ISO 27001.
vi
ABSTRACT
In this project, we will analyze the State of information security, taking as a case
study to Ecuadorian dealers, to learn how the information in them is being
handled.
To have a comprehensive information security approach in Latin America and in
the Ecuador is going from 2 surveys Latin American information security in which
participated the Ecuador, will analyse the results of the IV Latin America survey of
information security [1] and surveys by ESET [8] and these results then they will
be compared with a survey conducted 11 (eleven) automotive dealers of Ecuador,
in the field of information security.
Second will be a description of the management of information security according
to where the origin, objectives and benefits of it in addition to an analysis of the
ISO 27001 and ISO 27001 2005 version standard version 2013, justifying the use
of the ISO 27001 standard version 2005 for this project will be analyzed.
Third will be an analysis and evaluation of risks for the asset selected in the case
of average study Ethical Hacking tools, once identified risks will be issuing checks
for the same mitigation.
Finally, we will analyze the feasibility of implementation of the Plan of the ISMS in
the company of the case study. For the analysis of the feasibility will be considered
implementation restrictions and the feasibility of personnel, infrastructure and
economic.
Keywords: information security, Plan of ISMS, ISO 27001.
vii
1 CAPITULO 1. PLANTEAMIENTO DEL PROBLEMA
1.1 PROBLEMÁTICA DE SEGURIDAD DE LA INFORMACIÓN EN
CONCESIONARIOS EN EL ECUADOR.
En la actualidad la seguridad de la información ha tomado gran campo dentro de
todas las organizaciones a nivel mundial, ya que cada vez hay más ataques a las
mismas poniendo en juego no solo pérdidas económicas sino pérdidas
reputacionales que pueden llevar a la quiebra a una organización. Por eso la
importancia de la correcta gestión de seguridad que le damos a los datos y a la
información, los cuales son el principal activo de una empresa.
El Ecuador no ha quedado inmerso en este cambio ya que varias empresas tanto
en el sector público y privado han tomado medidas para proteger su información,
dentro de ellas los concesionarios automotrices ya que manejan información
sensible de sus clientes y proveedores.
En este trabajo se analizará el estado de la seguridad de la información, tomando
como caso de estudio a los concesionarios automotrices del Ecuador para
conocer cómo se adopta la seguridad de su información.
Primero, para tener un mayor enfoque de cómo se maneja la seguridad de la
información en Latinoamérica (que incluye al Ecuador), se analizarán los
resultados obtenidos en la IV Encuesta Latinoamérica de seguridad de la
Información [1] y encuestas realizadas por ESET [8] y estos resultados luego,
serán comparados con una encuesta realizada a 11 (once) concesionarios
automotrices del Ecuador, en materia de seguridad de información.
Segundo se realizara una descripción de la gestión de seguridad de la
información según la norma donde se analizara el origen, objetivos y beneficios
de la misma además de comparar la con la versión actual de esta norma en
donde se analizará los pros y los contras del uso de esta en este trabajo.
2
Finalmente, se realizara un análisis de la norma ISO 27001 versión 2005 y la ISO
27001 versión 2013, justificando el uso de la norma ISO 27001 versión 2005 para
este proyecto.
1.1.1 Análisis de la Situación de Seguridad de Información en Latinoamérica y
Ecuador
Para realizar el análisis a nivel latinoamericano se va a tomar como referencia 2
encuestas:
· La IV encuesta Latinoamericana de Seguridad de la Información
· ESET encuetas.
La primera encuesta que se va a analizar es la IV encuesta Latinoamericana de
Seguridad de la Información [1] tiene como alcance la Región de América Latina
con países participantes como Colombia, Argentina, Perú, entre otros. La
encuesta tuvo inicio en el 2009 y finalizó en el año 2012, donde hubo 515
encuestas recibidas y 360 encuestas contestadas en su totalidad, la finalidad de
la misma es diagnosticar el estado que se encuentra nuestra región en materia de
Seguridad de la Información, para lo cual se evaluaron varios aspectos. [1]
La encuesta fue realizada por:
· ISACA (Buenos Aires, Lima)
· ACIS (Asociación Colombiana de Informática en Sistemas)
· ANTES (Centro de Atención a Incidentes de Seguridad y
Telecomunicaciones) -
· Uruguay.
Por otro lado ESET Latinoamérica realiza varias encuentras relacionadas con la
seguridad de la información, entre las cuales se destacan; los países con más
porcentajes de códigos maliciosos, el incremento de ataques por malware, el
incremento de recursos para la seguridad de la información entre otras.
En resumen, los problemas que se encontraron debido a la falta de seguridad de
información en las diversas encuestas, son los siguientes:
3
1.1.1.1 Participación de los Países Latinoamericanos en Temas de Seguridad
En la Tabla 1-1 se muestra el porcentaje de participación por países en la IV
Encuesta [1].
Países Participantes 2009 2010 2011 2012
Argentina 6,5% 12,7% 17% 23,33%
Chile 8,80% 0% 2% 2,50%
Colombia 65,04% 58,90% 60% 42,22%
Costa Rica 0% 58,90% 60% 42,22%
México 12,20% 10,30% 5% 5%
Uruguay 7,10% 6.07% 3% 1,39%
Paraguay 0% 6,38% 0% 2,80%
Perú 0% 0% 0% 15%
Otros países
(Ecuador, Cuba,
Portugal, Panamá,
Venezuela)
0% 5,5% 13% 2,78%
Tabla 1-1 Porcentaje de Participación por País
Fuente: VI encuesta de Seguridad de la Información
En la tabla 1-1 se puede observar que la participación de Ecuador no está ni
siquiera tomada en cuenta como país unitario, sino que se lo toma en un grupo de
5 países, ya que los porcentajes de participación de éstos son muy bajos.
Este resultado lo podemos justificar con la falta de cultura de seguridad de
información que existe dentro del país [7].
Adicionalmente, a más de la falta de cultura, se ha evidenciado un problema de
difusión de temas de seguridad en Ecuador, debido que estos temas no son
promocionados por los medios [6] por ejemplo Movistar Ecuador obtuvo la
certificación en seguridad de la información ISO 27001 en el 2012, le tomo más
de un año poder tener esta certificación y en pocos medios se conoce de la
misma.
4
Por otro lado podemos ver que países como Colombia, Costa Rica y Argentina
son los que más han hecho participaciones, a pesar de que éstos en relación con
Ecuador mantienen una similar cultura e idiosincrasia.
El interés que los países latinoamericanos dan a temas de seguridad de
información como es la certificación en la ISO 27001 en sus empresas va a ser
comparado países a nivel mundial, como se detalla en las figuras a continuación.
Empresas Certificadas ISO 27001 Sur América
Es de gran importancia conocer cómo se encuentra nuestro país en comparación
a otros países dentro de Latinoamérica, en la Figura 1-1 vemos que Ecuador
ocupa el 6 puesto en empresas certificadas de 10 países latinos.
Figura 1-1 Gráfica de las empresas con Certificación en Sudamérica
La figura 1-1 nos muestra que a nivel de todo Latinoamérica solo existen 71
empresas certificadas, en su mayoría distribuidas en Brasil con 24 empresas, los
países que menos certificaciones poseen es Ecuador con 2 empresas y Uruguay
y Bolivia con 1 empresa.
Además de realizar una comparación a nivel de Latinoamérica es muy importante
realizar una comparación a nivel de continentes como es, Norte América, Europa
5
y Asia, para tener una visión global del interés que nuestro país y continente tiene
en aspectos de seguridad de la información.
Empresas Certificadas ISO 27001 Sur América- Norte América
Figura 1-2 Grafica de las empresas Certificadas en Sudamérica – Norteamérica
En la Figura 1-2 podemos ver que a nivel de América el país con mayor
certificaciones es EE.UU con 105 empresas casi 5 veces más empresas que el
país con más certificaciones en américa del sur como lo es Brasil, aquí podemos
ver el efecto del tercer mundo y el retraso que sufrimos a nivel de desarrollo
tecnológico e invocaciones de gestión.
6
Empresas Certificadas ISO 27001 Sur América- Norte América-Europa
Figura 1-3 Grafica de Empresas Certificadas en Sudamérica - Norteamérica- Europa
En la Figura 1-3 se puede notar que el número de empresas en Reino Unido
supera notoriamente al número en EE.UU, este comportamiento se debe que la
norma se originó en este país, y ha tenido gran acogida desde su creación.
Empresas Certificadas ISO 27001 Sur América- Norte América-Europa-Asia
En la Figura 1-4 se muestra los cuatro continentes en donde se encuentra
presente la norma ISO 27001, Oceanía no está dentro de este análisis porque
hasta la fecha no existe ninguna empresa certificada en la norma.
7
Figura 1-4 Grafica de Empresas Certificadas en Sudamérica-Norteamérica-Europa-Asia
La imponencia de Japón sobre los otros países a nivel de América y Europa es
abismal, en este país es donde más se concentra la industria a nivel mundial, y la
competitividad entre industrias hace que busquen nuevas formas de dar mejor
servicio y destacar de otras empresas, por lo que estos países son los que más
certificaciones tienen a nivel de calidad y seguridad.
Estos dos aspectos son muy importantes para sus empresas, de ahí que estos
países sean los que menos ataques se reportan relacionados con la seguridad de
la información.
1.1.1.2 Presupuesto para la Seguridad de la Información
La Tabla 1-2 muestra el porcentaje de dinero que se destina a la Seguridad de la
Información.
Presupuesto Anual para la Seguridad de
Información
2011 2012
Entre USD$110.001-$130.000 32% 1,94%
Entre USD$20.001- $50.000 24% 10,27%
Entre USD$50.001- USD$70.000 12% 4,44%
Entre USD$70.001- USD$90.001 7% 3,88%
8
Entre USD$90.001- $110.000 4% 2,77%
Más de USD$130.001 5% 10%
Menor de USD$20.000 16% 18,33%
Tabla 1-2 Porcentaje de Presupuesto Anual SI [1]
En la tabla 1-2 del presupuesto para la seguridad de la información, el porcentaje
de más de 130.001 dólares se incrementa en un año con el 5%, lo que demuestra
mayor interés de las empresas en la Seguridad de la Información, pero en valores
más bajos hay un decremento en el mismo año. Esto se debe, según la
encuesta, a que las grandes empresas del sector Financiero y de la Banca son las
que más recursos asignan a la seguridad de la información con el 36,11%, ya que
cada vez su capital es mayor y las implicaciones que traería un incidente de
seguridad podría acarrear grandes problemas para ellas, no solo reputacionales
sino legales. En empresas pequeñas no sucede esto ya que los recursos son
destinados a diversos aspectos que son perceptibles para los clientes como es
infra estructura, marketing, etc.
Los recursos que las pequeñas y medianas empresas dan a la seguridad de la
información son mínimos ya que no poseen recursos para contratar a un personal
capacitado en este tema.
Por otro lado ESET Latinoamérica [8], compañía especializada en detección
proactiva de amenazas, anunció sus resultados financieros correspondientes a
2012, con un crecimiento del 18% en su facturación para los países hispanos de
Latinoamérica. En este contexto, los países que presentaron mayores índices de
desarrollo fueron Bolivia, Ecuador y Argentina, seguidos por Perú, Guatemala,
Costa Rica, Nicaragua y Honduras.
1.1.1.3 Fallas de Seguridad de la Información
En la tabla 1-3 muestra los Tipos de Fallas de Seguridad, en porcentaje de las
mayores incidencias en el 2009 y 2012 en la IV Encuesta Latinoamérica [1]
9
Tipos de Fallas 2009 2012
Ninguno 8,10% 111,66%
Manipulación de aplicaciones de software 22,20% 15,55%
Instalación de software no autorizado 60,70% 50,55%
Accesos no autorizados a la Web 30,90% 24,16%
Fraude 10,80% 12,77%
Virus/ caballos de Troya 70,90% 43,88%
Robo de datos 9,9% 7,5%
Caballos de Troya 33%
Monitoreo no autorizado de trafico 11,40% 8,88%
Negación de Servicio 15% 11,94%
Pérdida de integridad 25,8% 12,77%
Pérdida / fuga de información critica 19.5% 10.55%
Suplantación de identidad 13,5% 9,72%
Phishing 16,8% 22,77%
Pharming 3% 4,16%
Robo de elementos críticos de hardware _ 20%
Acciones de ingeniería Social 11,94%
Otras (espionaje) _ 3,05%
Ataque de aplicaciones web 18,05%
Tabla 1-3 Tipos de Falla de Seguridad [1]
En porcentaje más alto en cuanto a fallas de seguridad son los virus y la
instalación no autorizada de software en el 2009 y 2012, a pesar que disminuyó
considerablemente en porcentaje en el año 2012. Las dos causas de fallas de
seguridad se deben a que los empleados no tienen un cultura de seguridad de la
información por lo que ocurren estas fallas.
Mientas que en una encuesta realizada por ESET el 2012 [9], de los principales
incidentes de seguridad se obtuvieron los siguientes resultados que se observan
en la Tabla 1-4.
10
Incidente Porcentaje
Infección de Malware 46.69%
Explotación de
Vulnerabilidades
14,31%
Falta de Disponibilidad 14,22%
Acceso Indebido 11,83%
Robo de Información 9,36%
Fraude Interno 6,42%
Fraude Externo 5,56%
Tabla 1-4 Tipos de Incidentes de Seguridad
“A pesar de que el malware es el incidente más común, los profesionales de
Latinoamérica se manifestaron más preocupados por la fuga de información
(60.88%) que por el ataque de códigos maliciosos (55.52%), cuestión que puede
entenderse a partir del caso Wikileaks y el surgimiento y auge de los grupos
hacktivistas durante el último año, que han causado incertidumbre en el ambiente
corporativo debido a la realización de ataques focalizados a grandes empresas”,
aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET
Latinoamérica. [9]
En la tabla 1-5 vemos los países con mayor incidencia de malware en
Latinoamérica.
Ecuador ocupa el segundo lugar solo bajo de México, a pesar de ser un país
pequeño los porcentajes de incidencia son altos.
País Tasa de Infección de Malware
México 82,05 %
Ecuador 77,88 %
Perú 56,02 %
Colombia 55,41 %
Chile 51,04 %
11
Argentina 47,83 %
Guatemala 36,01 %
Tabla 1-5 Tasa de Infección de Malware
El 82,05% de los encuestados en México reportó haber registrado un incidente de
malware. En segundo lugar se encuentra Ecuador con el 77.88% y en el tercero,
Perú con el 56.02%. [9]
1.1.1.4 Mecanismos de Protección
En la Tabla 1-6 se muestra los mecanismos más usados para proteger la
información en América Latina.
Mecanismos de Protección 2009 2010 2011 2012
Smart Cards 14,40% 2,25% 1,99% -
Biométricos (huella digital, iris) 25,60% 2,63% 3,64% 31,11%
Antivirus 86,30% 11,04% 11,07% 84,16%
Contraseñas 81,90% 10,92% 10,57% 78,33%
Cifrando de Datos 48,80% 6,45% 6,09% 48,33%
Filtro de Paquetes 31,60% 4,75% 4,52% -
Firewalls Hardware 57,20% 8,32% 8,47% 85,27%
Firewalls Software 62,50% 7,43% 7,62% -
Firmas digitales/certificados Digitales 32,50% 5,31% 4,98% 40,83%
VPN/IPSec 50% 8,33% 7,58% 64,72%
Proxies 49,10% 6,50% 6,89% 56,94%
Sistemas de detección de intrusos IDS 36,30% 4,08% 4,82% 36,66%
Monitoreo 24/7 29,70% 3,27% 3,79% 27,50%
Sistemas de Prevención de Intrusos 25,90% 4,16% 4,33% 33,05%
Administración de logs 35,60% 4,37% 5,02% 38,61%
Web Application Firewalls 25,90% 3,23% 2,68% 27,77%
ADS(Anomaly Detection Systems) 6,30% 0,97% 0,68% 5,83%
12
Herramientas de validación de cumplimiento
con regulaciones internacionales
8,80% 1,18% 1,14% 10,27%
Firewalls de Bases de Datos (DAF) - - 4,02% 21,66%
SIEM (Security Information Event
Management)
- - - 11,66%
Tercerización de la seguridad Informática - - - 11,66%
Otros (Herramientas de Scanning) - 4,20% - 0,28%
Tabla 1-6 Mecanismos de Protección [1]
En el 2009 tanto como en el 2012 el mecanismo más usado es el antivirus
seguido de las contraseñas seguras y los firewalls, estos mecanismos son los
más usados por su gran oferta en el mercado, fácil configuración y manejo.
1.1.1.5 Políticas de Seguridad
En el 2009 el 66% de los encuestados manifestó que no existen políticas formales
sobre la seguridad de la información este porcentaje desciende en el 2012 al
46,48% ya que una parte de las empresas se encontraba desarrollando dichas
políticas en ese año.
La justificación de la ausencia de las mismas se da por 3 principales aspectos:
· Falta de colaboración entre áreas (41,66%)
· Falta de apoyo directivo (35,27%)
· Poco entendimiento de la seguridad informática (33,05%)
Estos aspectos pueden mejorar concientizando desde la gerencia sobre la
importancia de la seguridad, con el apoyo de la misma los demás departamentos
van a colaborar haciendo una cultura base en la empresa.
1.1.1.6 Capital Intelectual
El 20,83% señaló que no tiene contratados personal especializados en seguridad
de la información, y el 70% manifestó que es indispensable contar con la
13
presencia de los mismos. Lo que nos muestra que hay conciencia de la
importancia de este capital humano que no siempre es contratado por los
recursos que la gerencia da a esta problemática.
1.1.1.7 Certificaciones
La mayor parte de grandes empresas exige a sus empleados poseer al menos
una certificación o que el mismo tenga conocimiento de alguna.
En la Tabla 1-7 se muestra las certificaciones registradas en organizaciones y las
requeridas en las mismas.
Certificación Registrada Requerida
CISM (Certified Information Security Manager) 22,50% 63,05%
CISA (Certified Information System Auditor) 22,50 50,83%
CISSP (Certified Information System Security
Professional)
17,50% 67,50%
CRISC (Certified Risk and Information Systems
Control)
10% 44,44%
Tabla 1-7 Porcentaje de Certificaciones Registradas vs Requeridas [1]
Como se muestra en la tabla 1-7 no siempre lo que se tiene en una organización
es siempre lo que se necesita, además en la tabla 1-7 podemos ver que las
certificaciones con más acogida es CISM Y CISA, certificaciones muy conocidas
dentro del campo de Seguridad de Información, ya que de estas se puede partir
para tener un mejor manejo de la información, además esto es justificable ya que
estas dos certificaciones son las que mayor difusión tienen y donde más oferta de
clases hay.
14
1.1.1.8 Conclusiones del Análisis
Se concluye que a nivel de Latinoamérica hay grandes abismos si se habla de
seguridad de la información en comparación con otros países, ya que la relación
es una a mil en comparación con Asia en donde hay mayor porcentaje de
empresas certificadas.
Por otro lado en las dos encuestas realizadas a países latinos el mayor incidente
de seguridad es el malware y los virus, los cuales son causados principalmente
por la falta de una cultura de gestión de seguridad además de la ausencia de
políticas de seguridad de información.
Además se nota un incremento en medidas de protección básicas para empresas
ya que estas están conscientes que su información es muy importante por lo que
asegurarla se está volviendo primordial. Otro aspecto importante es que la mayor
parte de las empresas están conscientes de la importancia de tener personal
capacitado en materia de gestión de seguridad pero debido a la falta de recursos
no pueden contratarlos.
Adicionalmente a la falta de personal capacitado en seguridad de la información,
existe un bajo conocimiento en base a certificaciones de seguridad, la más
conocida es CISM y CISA, certificaciones que tienen gran difusión en el medio
informático.
1.1.2 Encuesta Seguridad de Información en Concesionarios Ecuatorianos
La seguridad en concesionarios a nivel mundial no tiene tanta cabida ya que este
aspecto es desplazado por otros, como la seguridad de los vehículos y la
apariencia en sus páginas web ofertando sus servicios. Dentro de estos servicios
ningún concesionario oferta el servicio de datos seguros a los usuarios, además
que ningún concesionario a nivel mundial tiene una certificación ISO 27001 que
los abale.
15
En el Ecuador no existe ningún concesionario que en su portafolio de servicios
muestre a sus usuarios que los datos que estos están proporcionando están
siendo manejados de la mejor manera, esto resalta el manejo que se da en otros
países a los mismos datos en concesionarios. Lo que nos muestra que no se da
la misma importancia a la seguridad de la información en el país, ya que en
diversas encuestas nos encontramos dentro del ranking en altos niveles de
inseguridad y falta de conocimiento a la seguridad de la información.
En una encuesta realizada a 11 concesionarios de Quito, que consta de 10
preguntas distribuidas para poder demostrar el grado de importación y
conocimiento sobre la seguridad de la información ANEXO A se pudo observar
que no existe una cultura de seguridad de información, como se muestra en los
siguientes resultados:
1.1.2.1 Importancia de la Seguridad de la Información
La figura 1-5 muestra en porcentaje la importancia que la empresa da a la gestión
de seguridad de información.
Figura 1-5 Importancia de la Gestión de SI
16
Donde el 36,36 % dijo que era muy importante mientras el 9,09% dijo que era
importante pero la mayor parte de los encuestados con el 54,55% dijo que el
grado de importancia era medianamente importante, lo que no muestra que la
mayor parte de los concesionarios no toman gran importancia a la seguridad de la
información.
1.1.2.2 Incidentes de Seguridad
Ninguna empresa está exenta de incidentes de seguridad como muestra la Figura
1-6 donde está el porcentaje de los incidentes que ha sufrido en el último año.
Figura 1-6 Porcentajes de Incidentes de Seguridad
Los resultados muestran que los mayores incidentes son los virus y el malware
con 72,73% y 54,55% respectivamente, los cuales mayormente son generados
por falta de cultura de seguridad de la información en los empleados ya sea al
momento de descargar un archivo o copiar el mismo. Por otro lado no debemos
quitar importancia a los demás incidentes como es el acceso no autorizado,
phishing, denegación de servicio, ingeniería social y fraude con el 5,05 % los
cuales pueden conllevar a grandes problemas organizaciones, de aquí la
17
importancia de tener normas y controles sobre el manejo de la seguridad de la
información.
1.1.2.3 Recursos a la Seguridad de la Información
En la Figura 1-7 el 63,64% de los encuestados dijo que si se destinan recursos en
su departamento para la seguridad de la información mientras que el porcentaje
restante 36,36% manifestó que no, la diferencia no es tan notoria, pero demuestra
que hay cierto grado de interes por parte de la gerencia en destinar recursos para
resguardar la información.
Figura 1-7 Porcentaje de Recursos para SI
1.1.2.4 Vulnerabilidades y riegos
Los resultados mostrados muestran que la mayor parte de los empleados saben
que vulnerabilidades tiene su empresa pero nunca han realizado un análisis de
riesgos, lo que es un tanto contradictorio, o nos puede demostrar que las
vulnerabilidades que poseen son muy notorias.
18
Figura 1-8 Conocimiento de Vulnerabilidades Figura 1-9 Análisis de Riesgos
Como vemos en la Figura 1-8 el 54,55% conoce sobre las vulnerabilidades
mientras que un 45,45% no las conoce. Por otro lado en la Figura 1-9 el 72.75%
no ha hecho un análisis de riesgos.
1.1.2.5 Controles y políticas de Seguridad
Los controles y políticas son primordiales para el manejo de la seguridad, vemos
en la Figura 1-10 que en los concesionarios no existen políticas definidas ya que
un 63,64% de los encuestados no tienen políticas definidas dentro de sus
empresas, y el 36,36% poseen políticas simples como no usar cuentas alternas o
generar claves seguras.
Figura 1-10 Porcentaje de existencia de Políticas de Seguridad
19
1.1.2.6 Mecanismos de Seguridad
Figura 1-11 Mecanismos de Seguridad más Usados
En la Figura 1-11 vemos los mecanismos más usados dentro de las empresas
son los antivirus y los firewall con el 90.91%, seguido de los proxies y contraseñas
seguras con el 54,55%, el monitoreo 24/7 también es uno de los más usados con
36,36% además de los cifrados de datos con el 27,27%, lo que nos muestra que
las empresas se están preocupando cada vez más sobre la seguridad que están
dando a la información ya no solo con medidas simples sino con mecanismos
más especializados. Los mecanismos con menos acogida son las firmas digitales
y los sistemas de detección de intrusos con el 18,18% y con el 9,09% las
DMZ/VPN/IPSec, estos mecanismos tiene menor acogida ya que su
implementación implica más esfuerzo y conocimiento.
1.1.2.7 Certificaciones
A los encuestados se les pregunto si conocían alguna certificación de seguridad
de la información, en la Figura 1-12 se ve que la certificación más conocida dentro
del Ecuador es CISM Certified Information Security Manager con un 72,73% se
20
conocimiento, seguida de CISSO Certified Information Systems Security Officer
con 18,18%.
Figura 1-12 Certificaciones más conocidas
El 27,27% de los encuestados no conocen ninguna de estas certificaciones,
porcentaje alarmante para personal del departamento de sistemas, este dato
demuestra que en el Ecuador no existe interés en certificaciones basadas en
seguridad de la información ya que no existe difusión ni conocimiento de las
mismas, por lo que nos hace un país vulnerable en comparación de otros, ya que
no contamos con personal capacitado en esta especialización, lo que se pudo
ratificar en la encuesta ya que el 72,73% no cuentan con personal capacitado
como se muestra en la Figura 1-13.
Figura 1-13 Porcentaje de Personal Capacitado en SI
21
1.1.2.8 Nivel de seguridad
Por último después de haber respondido todas las preguntas el encuestado ya
tenía otra visión sobre el nivel de seguridad que posee su organización en la
Figura 1-14 se ve el porcentaje con el que se categorizó el nivel de seguridad de
su empresa.
Figura 1-14 Categorización a la Seguridad de la Información
El 63,64% dijo que la seguridad en su empresa es regular siendo la opción con
mayor aceptación, mientras que el 18,18% dijo que era buena al igual que el
18,18% dijo que era mala, resultado que cambiaron a medida de realizar la
encuesta ya que la primera pregunta el 36,36% y el 54,55% califico que es muy
importante y medianamente importante respectivamente la seguridad en su
empresa.
22
1.1.3 Análisis Comparativo entre la Situación de la Seguridad de empresas de
Latinoamérica y los Concesionarios del Ecuador
Al realizar una comparación entre las encuestas realizadas a nivel de
Latinoamérica y la realizada en Ecuador a los concesionarios automotrices, se
puede concluir que los resultados son similares, ya que la falta de cultura en
materia de seguridad de la información está presente tanto en Ecuador como en
Latinoamérica, somos el continente con el mejor número de certificaciones ISO
27001.
A pesar que en nuestro continente se encuentra consciente de la importancia de
gestionar correctamente la seguridad dentro de una empresa, los resultados son
contradictorios ya que uno de los principales problemas que posee la gestión de
seguridad dentro de una organización es la falta de apoyo e interés de la gerencia
en este tema, por lo que uno de los principales desafíos es cambiar la forma de
pensar de los empleados y principalmente concientizar e involucrar a la gerencia
en este campo, para poder alinear los objetivos del negocio con los de TI, siendo
el departamento de TI una fortaleza para la empresa en la toma de decisiones.
1.1.3.1 Presupuesto
A nivel de presupuesto tanto en Latinoamérica como en el Ecuador no se destina
los recursos suficientes para la seguridad de la Información con excepciones
como es en la banca donde el presupuesto se incrementa notoriamente con los
años ya que este sector maneja información muy susceptible y la pérdida de la
misma no solo traería problemas monetarios sino legales.
1.1.3.2 Fallas de Seguridad
En fallas de seguridad los virus y el malware son los principales problemas que
sufren tanto empresas latinas como ecuatorianas, siendo este desencadenado
por la falta de cultura ya que muchos empleados descargan material de páginas
23
que no son seguras además de traer dispositivos de almacenamiento infectados
y al usarlos en el sito de trabajo infectan a toda la organización.
1.1.3.3 Mecanismos de Protección
En las 2 encuetas el principal mecanismo de protección son los antivirus, ya que
estos son muy conocidos en el mercado además de su fácil utilización, seguido de
los firewalls otra herramienta que ayuda a la protección de la red de la
organización.
1.1.3.4 Certificaciones
Por otro lado la certificación en seguridad de información más conocida en
Latinoamérica y en Ecuador es CISM que es respaldada por ISACA, ya que esta
es la certificación que cuenta con mayor difusión ya sea con cursos o
información de la misma.
1.1.3.5 Personal Capacitado
Más del 60% de encuestados en Latinoamérica y particularmente en Ecuador
manifestaron que no poseen el personal capacitado en Seguridad de la
Información, resultado muy preocupante ya que se nota que nuestros países
están por debajo de países que toman este tema con la importancia que debe,
volviéndonos foco para ataques ya que no se podría contrastarlos al no tener el
personal capacitado.
1.1.3.6 Porcentaje de seguridad en organizaciones
Respecto al nivel que categorizarían a su empresa en Seguridad de información
el 63,64% lo catalogó como regular, apoyado en que más de 70% no ha realizado
un análisis de vulnerabilidades ni de riesgos dentro de sus empresas.
24
La seguridad hoy en día no es incremento que damos a una organización sino es
una necesidad, por lo que empresas latinas deben promover la gestión de
seguridad dentro de sus empresas implementando un SGSI, definiendo controles
y medidas para proteger su información.
Por otro lado se debe dar énfasis en contratar personal capacitado en esta área,
así se obligaría a capacitar a los empleados añadiendo valor a la empresa por su
capital humano.
Hoy en día empresas latinas se ven relegadas por empresas europeas o
anglosajonas que son pioneras en mecanismos, controles, gestión y manejo de
seguridad de la información, lo que nos hace menos competitivas, pero nuestros
países deben involucrarse cada vez más en este campo y ganar campo a nivel
mundial.
Aspectos de Seguridad de la
información
Encuestas
Latinoamericanas
Encuesta Ecuatoriana a
Concesionarios
Se destina Presupuesto a la
Seguridad de la Información
<=70 % <= 60 %
Principales Fallas de
Seguridad Virus y Malware
ViruS Malware Virus Malware
46.69% 14,31% 72,73% 54,55%
Certificación más conocida
CISM
22,50% 72,73%
Necesidad de Personal
Capacitado
50 % 60%
Nivel de Seguridad en la
organización
Buena Regular
Tabla 1-8 Comparación entre Encuestas
25
1.2 DESCRIPCIÓN DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN,
SEGÚN LA NORMA ISO/IEC 27000:2012
Hoy en día el activo más importante que posee una empresa es su información
por lo que el resguardo y el correcto manejo de la misma es muy importante, ya
que está en un medio susceptible a amenazas pone en riesgo a la integridad de la
empresa y de los que confían en ella. Con todo esto podríamos deducir que el
principal objetivo de una organización es el aseguramiento de la información en
todo su ciclo desde su generación hasta su desecho.
Por lo tanto tener una buena gestión de seguridad de información es muy
importante dentro de una organización, tener un sistema que tenga metodología y
documentación basada en objetivos de seguridad y evaluación de riesgos, los
mismos que se encuentren alineados con los objetivos del negocio. Esto lo
podemos lograr utilizando estándares que se encuentran regulados por
organizaciones especializas en el tema, estos estándares los denominamos
norma ISO.
1.2.1 Origen
Proviene de la norma BS 7799 de British Standards Institution (organización
británica equivalente a AENOR en España) creada en 1995 con el fin de facilitar a
cualquier empresa un conjunto de buenas prácticas para la gestión de la
seguridad de la información.
La norma ISO 27001 fue aprobada y publicada como estándar internacional en
octubre de 2005 por International Organization for Standardization y por la
comisión International Electrotechnical Commission. [2]
1.2.2 Objetivos
Esta familia de normas que tiene como objetivo definir requisitos para un sistema
de gestión de la seguridad de la información (SGSI), con el fin de garantizar la
26
selección de controles de seguridad adecuados y proporcionales, protegiendo así
la información, es recomendable para cualquier empresa grande o pequeña de
cualquier parte del mundo y más especialmente para aquellos sectores que
tengan información crítica o gestionen la información de otras empresas. [2]
1.2.3 Norma ISO 27000
La ISO 27000 es una serie de estándares desarrollados, por ISO (International
Organization for Standardization) e IEC (International Electrotechnical
Commission) Esta norman nos muestra como una organización puede implantar
un sistema de gestión de seguridad de la información (SGSI) basado en ISO
27001. Es un sistema de gestión de seguridad de la información donde se
establece un proceso metodológico, documental y orientado a objetivos de
seguridad y gestión de riesgos. [3]
1.2.3.1 Familias de Normas ISO
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030
a 27044 y la 27799, a continuación el listado de la familia de la norma con su
respectivo enfoque. [4]
· ISO/IEC 27000: define el vocabulario estándar empleado en la familia
27000 (definición de términos y conceptos)
· ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI
certificable conforme a las normas 27000
· ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad
· ISO/IEC 27003:guía de implementación de SGSI e información acerca del
uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus
diferentes fases (en desarrollo, pendiente de publicación)
· ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicables
para determinar la eficacia de un SGSI y de los controles relacionados (en
27
desarrollo, pendiente de publicación) medición de los componentes de la
fase “Do” (Implementar y Utilizar) del ciclo PDCA.
· ISO/IEC 27005: gestión de riesgos de seguridad de la información
(recomendaciones, métodos y técnicas para evaluación de riesgos de
seguridad)
· ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de
emitir certificaciones ISO/IEC 27001
· ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las
normas 27000
· ISO/IEC 27011: guía de gestión de seguridad de la información específica
para telecomunicaciones (en desarrollo)
· ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías
de la información y comunicaciones (en desarrollo)
· ISO/IEC 27032: guía relativa a la ciberseguridad (en desarrollo)
· ISO/IEC 27032: guía de seguridad en aplicaciones (en desarrollo)
· ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para
entornos médicos.
1.2.4 Gestión de la Seguridad de la información según la Norma
Para tener una visión clara de la norma es necesario que estemos familiarizados
con alguna terminología.
1.2.4.1 ¿Qué es un SGSI?
Un SGSI es un Sistema de Gestión de la Seguridad de la Información con sus
siglas en inglés (Information Security Management System). Esta gestión debe
realizarse mediante un proceso sistemático, documentado y conocido por toda la
organización. Podría considerarse, por analogía con una norma tan conocida
como la ISO 9000, como el sistema de calidad para la seguridad de la
información.
28
El propósito de un sistema de gestión de la seguridad de la información no es
garantizar la seguridad –que nunca podrá ser absoluta- sino garantizar que los
riesgos de la seguridad de la información son conocidos, asumidos, gestionados y
minimizados por la organización de una forma documentada, sistemática,
estructurada, continua, repetible, eficiente y adaptada a los cambios que se
produzcan en la organización, los riesgos, el entorno y las tecnologías. [5]
1.2.4.2 ¿Qué es la seguridad de la información?
La seguridad de la información es la preservación de la confidencialidad,
integridad y disponibilidad de la misma y de los sistemas implicados en su
tratamiento dentro de una organización. [5] Estos tres factores se definen como:
• Confidencialidad: acceso a la información por parte únicamente de quienes
estén autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
• Disponibilidad: acceso a la información y los sistemas de tratamiento de la
misma por parte de los usuarios autorizados cuando lo requieran.
1.2.5 Beneficios de la Norma
· Definición de metodología estructurada de Gestión de Seguridad
· Seguridad para el majeo de los datos de los empleados, clientes y
proveedores
· Confianza por parte de clientes y proveedores sobre la gestión de su
información
· Reducción de incidentes de seguridad de la información
· Las auditorías externas ayudan cíclicamente a identificar las debilidades
del sistema y las áreas a mejorar
· Puede integrarse con otros sistemas de gestión como ISO 9001,
ISO14001.
29
· Los riesgos se reducen ya que se realiza constantemente análisis de los
mismos
· Los controles son continuamente actualizados acoplados a las necesidades
de la empresa.
· Identificación, evaluación y gestión de riesgos.
· Continuidad del negocio, si se presentan incidentes de seguridad y correcto
manejo del mismo.
· Conformidad con la legislación vigente sobre información personal,
propiedad intelectual y otras.
· Reconocimiento internacional y mejor posicionamiento en comparación a
otras empresas.
· Definición de controles y normas dentro de la organización para el
personal.
· Protege correos electrónicos, informes, escritos relevantes, páginas web,
imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos,
registros de clientes, información confidencial de trabajadores y
colaboradores.
· Reducción en costos, ya que se efectivizan los procesos y servicios.
· Aumento de la motivación y satisfacción del personal al contar con
directrices claras.
· Aseguran que una organización es dirigida de un modo eficiente y eficaz.
· Formalizan y sistematizan la gestión en procedimientos escritos,
instrucciones, formularios y registros que aseguren la eficiencia de la
organización y su mejora continua.
1.3 JUSTIFICACION DEL USO DE LA NORMA
La norma con la que se va a desarrollar este proyecto es la NTE-ISO-
IEC_27001:2011, la cual esta normada por la institución reguladora del Ecuador
INEN, a continuación justificaremos porque se realiza el proyecto con esta norma
y no la actualización de la misma ISO-EC 27001:2013.
30
1.3.1 COMPARACION ENTRE ISO 27001:205 Y LA ISO 27001:2013
En la siguiente Tabla 1-9, vamos a analizar a las dos normas bajo varios aspectos
por los cuales se justifica la aplicación de la NTE-ISO-IEC_27001:2011 en este
trabajo.
23
C
UA
DR
O C
OM
PA
RA
TIV
O E
NT
RE
LA
IS
O 2
700
1:2
011
VS
ISO
27
001
:20
13
AS
PE
CT
OS
IS
O 2
70
01:2
011
IS
O 2
70
01:2
013
C
on
ten
ido
El c
on
ten
ido
est
á d
ivid
ido
en
8
cap
ítulo
s y
3
An
exo
s, lo
s cu
ale
s so
n:
1.
Ob
jetiv
o y
ca
mp
o d
e a
plic
aci
ón
2.
Norm
as
de R
efe
renc
ia
3. T
érm
ino
s y
def
inic
ion
es
4.
Sis
tem
a d
e g
est
ión
de
la
Se
gurid
ad d
e l
a
Info
rma
ción.
5.
Resp
on
sab
ilida
d d
e la
dire
cció
n
6.
Aud
itorí
as
Inte
rna
s
7.
Revi
sió
n d
e S
GS
I po
r la
dire
cció
n
8.
Me
jora
de
l SG
SI
An
exo
A. O
bje
tivo
s d
e co
ntr
ol y
co
ntr
ole
s
An
exo
B.
Los
prin
cipio
s d
e l
a O
CD
E y
est
a
no
rma
. A
nexo
C.
Corr
esp
ond
enci
a e
ntre
las
NT
E-I
NE
N-I
SO
90
01:2
009
e N
TE
-IN
EN
-IS
O
1400
1:20
06 y
est
a no
rma.
El
con
ten
ido
est
á d
ivid
ido
en
10
ca
pítu
los
y u
n
An
exo
, lo
s cu
ale
s so
n:
1.
Ob
jeto
y c
amp
o d
e a
plic
aci
ón
2.
Ref
ere
nci
as
No
rmat
iva
s
3. T
érm
ino
s y
def
inic
ion
es
4.
Cont
ext
o d
e la
Org
aniz
aci
ón
5.
Lid
era
zgo
6.
Pla
nifi
caci
ón
7.
Sop
ort
e
8.
Ope
raci
ón
9.
Eva
lua
ción
de
l Dese
mp
eño
10
. M
ejo
ra
An
exo
A
. O
bje
tivo
s d
e
con
tro
l y
con
tro
les
de
refe
ren
cia.
24
AS
PE
CT
OS
IS
O 2
70
01:2
011
IS
O 2
70
01:2
013
En
foq
ue
El
enf
oqu
e
que
d
a
est
a
norm
a
es
ma
yorm
ente
a
l S
GS
I a
sí
com
o
las
resp
on
sab
ilid
ade
s, a
udito
rias
que
ayu
den
al
bu
en d
ese
mp
eño
de
l mis
mo
.
Est
a n
orm
a t
rata
de
gen
era
r un
a c
ultu
ra d
e
segu
rida
d d
e i
nfo
rma
ción
pa
rtie
ndo
de
sde
la
gere
nci
a
ha
sta
lo
s m
ás
ba
jos
niv
ele
s
org
an
iza
cion
ale
s.
El e
nfo
que
qu
e d
a la
act
ua
liza
ción
de
la n
orm
a e
s
am
plia
ndo
el
con
text
o d
e l
a o
rga
niz
aci
ón
en
el
con
oci
mie
nto
de
la m
ism
a d
elim
itan
do
cu
est
ion
es
inte
rna
s y
ext
ern
as
ade
má
s d
e
eva
luar
lo
s
resu
ltado
s de
la im
ple
me
nta
ción
de
l SG
SI.
Po
r o
tro
la
do
se
to
ma
n
fact
ore
s im
po
rta
nte
s
com
o
el
lide
razg
o,
pla
nifi
caci
ón,
so
port
e
y
op
era
ción
, lo
s cu
ale
s so
n
prim
ord
iale
s e
n
la
imp
lem
ent
aci
ón d
e u
n S
GS
I.
Uno
de
los
nue
vos
ítem
s d
entr
o d
e l
a n
orm
a,
es
la e
valu
aci
ón
de
l d
ese
mpe
ño y
a q
ue
co
n e
ste
cam
po p
od
rá s
er
med
ible
el
fun
ciona
mie
nto
de
l
SG
SI.
Est
a n
orm
a a
l igu
al q
ue
la o
tra
ge
ne
ra c
ultu
ra d
e
segu
rida
d d
e la
info
rma
ción
pe
ro s
e e
nfa
tiza
mas
ya q
ue
po
see
el
valo
r d
e l
ide
razg
o e
l cu
al
es
ad
opta
do p
or
la a
lta d
irecc
ión
.
25
AS
PE
CT
OS
IS
O 2
70
01:2
011
IS
O 2
70
01:2
013
Fac
tib
ilid
ad
Est
a
ISO
ya
tie
ne
an
tece
den
tes
de
su
imp
lant
aci
ón,
adem
ás
exi
ste
un
sin n
úme
ro
de
do
cum
ent
os
y b
iblio
grafí
a r
efe
ren
te a
la
mis
ma
, p
or
lo q
ue
es
má
s fá
cil
imp
lan
tarla
y
con
oce
r d
e la
mis
ma.
Com
o e
sta
no
rma
es
la v
ers
ión
act
ua
liza
da
ha
y
vario
s ca
mp
os
los
cua
les
aú
n n
o se
tie
ne
info
rma
ción
de
la g
est
ión
de
los
mis
mo
s, p
or
lo
que
im
plic
a m
ayo
r in
vest
iga
ción
, y
pu
ede
qu
e s
e
orig
en
fra
caso
s a
l no
sa
be
r de
los
mis
mo
s.
Ap
lic
ab
ilid
ad
e
n
Ec
ua
do
r
Est
a n
orm
a y
a e
stá
aba
lad
a p
or
la in
stitu
ción
no
rma
do
ra d
el
Ecu
ado
r qu
e e
s e
l IN
EN
, po
r
lo q
ue
es
Est
a n
orm
a a
ún
no s
e e
ncu
ent
ra n
orm
ad
a po
r la
inst
ituci
ón
regu
lad
ora
de
l E
cuad
or
(IN
EN
), p
or
lo
que
al a
plic
arla
no
est
arí
a a
ba
lad
a.
Fal
las
Est
a
norm
a
ya
se
encu
entr
a
pro
ba
da
por
varia
s e
mp
resa
s ta
nto
gr
an
des
com
o
pe
que
ñas,
y lo
s a
nte
ced
ente
s de
las
mis
mas
sirv
en
de
pre
cede
nte
s p
ara
otr
as
que
est
án
en
pro
ceso
de
imp
lem
en
taci
ón
.
Com
o t
od
a n
orm
a a
ctu
aliz
ad
a e
sta
pro
pens
a a
pre
sen
tar
falla
s e
n su
co
nte
nid
o,
ya q
ue
al
ser
usa
da s
ale
n v
ario
s a
spe
cto
s qu
e te
ndrí
an
qu
e se
r
cam
bia
do
s, p
or
lo q
ue
est
a n
orm
a e
stá
en
su
prim
era
act
ualiz
aci
ón
.
26
T
abla
1-9
Com
par
ació
n e
ntr
e IS
O 2
7001
:201
1 vs
IS
O 2
001:
2013
AS
PE
CT
OS
IS
O 2
70
01:2
011
IS
O 2
70
01:2
013
Co
mp
ati
bili
da
d
Est
a
no
rma
sig
ue
las
pa
uta
s m
arc
ada
s e
n la
NT
E I
NE
N-I
SO
900
1:2
009
e N
TE
IN
EN
-IS
O
14
001
:20
06
pa
ra
ase
gura
r u
na
imp
lem
ent
aci
ón i
nte
grad
a y
co
nsi
sten
te c
on
las
me
nci
onad
as
no
rma
s d
e g
est
ión
. D
e e
ste
mo
do,
un s
iste
ma
de
ge
stió
n b
ien
co
nce
bid
o
pu
ede
cum
plir
los
requ
isito
s d
e to
da
s e
sas
no
rma
s.
Est
a n
orm
a e
stá
dis
eña
da p
ara
po
sib
ilita
r a
un
a o
rga
niz
aci
ón
el
ada
pta
r su
SG
SI
a l
os
requ
isito
s d
e
los
sist
em
as
de
gest
ión
me
nci
on
ado
s.
Est
a
norm
a
ap
lica
la
e
stru
ctu
ra
de
a
lto
niv
el,
títu
los
idé
ntic
os
de
nu
me
rale
s,
text
o
idé
ntic
o,
térm
ino
s co
mu
ne
s y
de
finic
ion
es
ese
ncia
les
def
inid
as
en
e
l A
nex
o
SL
de
la
s d
irect
iva
s
ISO
/IE
C,
Pa
rte
1,
Sup
lem
ento
IS
O c
on
solid
ado
, y
po
r ta
nto
, m
ant
iene
la c
om
pa
tibili
dad
con
otr
as
no
rma
s d
e
sist
emas
d
e
gest
ión
qu
e h
an
ad
opta
do e
l Ane
xo S
L.
26
2 CAPITULO 2. DEFINICIÓN DEL PLAN DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN
2.1 ANÁLISIS DE LA SEGURIDAD DE INFORMACIÓN EN EL
DEPARTAMENTO DE TECNOLOGÍA DE LA INFORMACIÓN
2.1.1 Caracterización de Cepsa
En el año de 1919 la Anglo Ecuadorian Oil Fields se establece en Ancón,
península de Santa Elena, provincia del Guayas su campo de explotación
petrolera, en 1925 construye la primera refinería del Ecuador.
En el año de 1958 con una mezcla de visión y decisión fundan en Guayaquil la
“Compañía Ecuatoriana de Petróleos ” más conocida como “CEPSA S.A.” que
comenzó como una empresa dedicada a la comercialización de derivados del
petróleo, vendió inicialmente lubricantes Esso y Mobil.
En 1965 “Burmah Oil” compra el 52% de “Anglo”, controlando CEPSA; es en el 68
que CEPSA se concentra en una línea de lubricantes y es CASTROL. En 1970
ingresa a la línea de neumáticos y lo hace con “Bridgestone”.
En el campo Automotriz toma la línea de surtidores Bennett para gasolineras. En
1972 se prohíbe la importación de vehículos, “Aymesa” produce en fibra de vidrio
los autos Andino, Miura y el Gacela.
CEPSA compra acciones de Aymesa y se convierte en comercializador de
repuestos y autos en Quito, Guayaquil y Cuenca. En 1978 el científico Inglés Colin
Mc Ney PHD en Química recomienda a CEPSA incursionar en este mercado lo
cual se hace a partir de ese año.
En 1983 la Holding resuelve vender las acciones al grupo “Class Ecuador” quien
las adquiere; CEPSA toma la distribución de los neumáticos Hankook de Corea,
ese mismo año funda su almacén y distribuye una línea de motos, entra en la
27
distribución de vehículos “Chevrolet” siendo el primer concesionario de la nueva
General Motors en Ecuador.
CEPSA amplía su cobertura creando las sucursales de Manta y Ambato. En 1991
Castrol asume directamente la distribución de sus productos ante lo cual CEPSA
amplía su línea de negocios y funda la primera empresa de telefonía celular en
Ecuador, “Porta Celular”, la cual es vendida a un grupo de telefonía de México.
En 1997 Castrol internacional entrega nuevamente a CEPSA la distribución de
sus productos. Por esas fechas se crea la línea de consumo con vinos de origen
Argentino de marca “Riojanas”.
Actualmente CEPSA trabaja con las divisiones de Lubricantes (CASTROL),
Llantas (YOKOHAMA) y Vehículos (VOLKSWAGEN).
2.1.1.1 Misión
Nuestra misión es proveer productos de calidad al Ecuador, que satisfacen las
expectativas de nuestros clientes, de los cuales se destacan: Lubricantes, Llantas
y Vehículos.
Lo hacemos con ética, excelencia y trabajo en equipo. Nuestra compañía provee
a sus empleados de un ambiente de trabajo en que puedan realizarse, un
excelente servicio para nuestros clientes, valor aumentado para nuestros
accionistas y un espíritu de responsabilidad compartida con nuestra comunidad.
2.1.1.2 Visión
Cepsa trabaja por ser una empresa líder en el mercado, inspirando confianza y
credibilidad a sus clientes por la calidad de sus productos y servicios.
28
Busca ser una empresa en continuo desarrollo flexible a los cambios, con trabajo
en equipo, comunicación efectiva, alta rentabilidad y permanente preocupación en
lograr la satisfacción laboral de su personal.
Manteniendo una cultura de ventas y la filosofía de que el cliente es lo primero.
2.1.1.3 Estructura Orgánica
Dentro del orgánico funcional de CEPSA S.A podemos notar que es de una
estructura jerárquica la cual es cabezada por el Gerente General de la empresa,
seguido de los gerentes de cada departamento.
Existen 10 departamentos distribuidos según las necesidades de la empresa de la
siguiente manera, de los mismos se divide el personal operativo que hace
funcionar a los mismos.
Los 10 departamentos son los siguientes:
Departamento de Sistemas
· Departamento Administrativo
· Departamento de Contabilidad
· Departamento de Finanzas, Tesorería e Importación
· Departamento de Recursos Humanos
· Departamento de Bodega y Logística
· Departamento de Crédito y cobranza
· Departamento de Producción
· Departamento de Comercial
· Departamento de Auditoría
26
CE
PS
AS
.A.
Org
an
igra
ma
Est
ruct
ura
lA
l16
de
septie
mbre
del2
014
Ge
ren
cia
Ge
nera
l
Dep
art
am
en
toS
iste
ma
sD
ep
art
am
en
toA
dm
inis
tra
tivo
De
part
am
en
tod
eC
on
tab
ilid
ad
De
pa
rta
me
nto
de
Fin
an
zas,
Te
sore
ría
,Im
po
rta
ción
De
part
am
en
tod
eR
ecu
rso
sH
um
an
os
De
pa
rtam
en
tod
eB
od
eg
ay
Lo
gís
tica
Dep
art
am
ento
de
Cré
dito
yC
ob
ran
za
De
pa
rta
me
nto
de
Pro
du
cció
nD
ep
art
am
en
toC
om
erc
ial
De
pa
rta
me
nto
de
Au
dito
ría
ELA
BO
RA
DO
PO
R:
José
Lu
is R
om
ero
G.,
In
ge
nie
ro d
e P
roce
sos/
De
pa
rta
me
nto
de
Sis
tem
as
AP
RO
BA
DO
PO
R:
He
rna
nd
o C
hir
ibo
ga
, G
ere
nte
Ge
ne
ral
FE
CH
A:
16
de
se
pti
em
bre
de
l 2
01
4
F
igu
ra 2
-1 O
rgan
igra
ma
Est
ruct
ura
l de
Cep
sa
26
2.1.1.4 Actividades
Cepsa presta varios servicios a sus usuarios como venta de:
Lubricantes – Castrol
· Gasolina
· Diesel
· 2 y 4 tiempos
· Cajas y Diferenciales
Llantas Yokohama
· Autos y Camionetas (PCR)
· Buses y Camiones (TBS)
Vehículos – Volkswagen
· Comercial
· Pasajeros
2.1.1.5 Descripción del Departamento de Sistemas
El departamento de sistemas en Cepsa, tiene una estructura jerárquica
encabezada por la gerencia de sistemas, con el apoyo de 2 auxiliares de sistemas
y por debajo de estos un ingeniero en procesos y dos analistas de sistemas como
se muestra en la Figura 2-2. Los cuales cumplen diversas funciones de acuerdo a
su cargo y perfil.
26
Fig
ura
2-2
Org
anig
ram
a d
el D
epar
tam
ento
de
Sis
tem
as
27
2.1.1.6 Ubicación del departamento de Sistemas
El departamento de sistemas se encuentra ubicado en la plata alta del edificio,
rodeado del departamento de Finanzas, Recursos Humanos y la Gerencia
General como muestra la Figura 2-3.
c
c
c
55
56
58
54
52
66
80
59 60
67
68
69 90
57
19 20 21
22
24
18
31
32
33
34
28
81
30
25
27
61
49
75
66 67 68
51 61
87/88
88/89
Planta Alta
Oficina
5 ft cuadr.
c0
59 60
6
6
69 90
81
61
887/88
9
Departamento
de Sistemas
Figura 2-3 Ubicación del Departamento de Sistemas
En el departamento se encuentran los servidores los cuales prestan distintos
servicios a la empresa, además de los computadores e impresoras y diversos
dispositivos tecnológicos.
2.1.1.7 Red
Cepsa cuenta con varios tipos de redes para el uso de los empleados y de los
clientes este servicio es prestado por el departamento de sistemas:
28
Red de Transmisión de Datos
Como se puede ver en la Figura 2-4 Cepsa cuenta con una red LAN donde
administra todas las demás sucursales a nivel del Ecuador en sub redes de la
red local, además para acceder a la misma debe pasar por el firewall y una
DMZ.
En la red 192.168.0.0 se encuentra el servidor de Programas al cual está
dirigido el SGSI.
INTERNET
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.4.0/24
192.168.5.0/24
192.168.6.0/24
192.168.1.254
192.168.2.254
192.168.4.254
192.168.3.254
192.168.7.254
192.168.6.254
192.168.0.254
192.168.0.0/24
186.5.54.230
(4096 kbps)
WAN
LAN
DMZ
cepsa dwh
mail.cepsa.com.ec
Matriz
DISEÑO DE RED DE TRANSMISION DE DATOSCEPSA S.A.
GYE-Dcomin(1536 kbps)
CUE-Oficinas(1536 kbps)
UIO-Cumbaya(512 kbps)
GYE-Daule(256 kbps)
UIO-LosChillos(512 kbps)
UIO-Ealfaro(128 kbps)
www.cepsa.com.ec
10.1.0.0/24
programas movil
1 Web
1 Correo
1 Sistema móvil
8 Subredes
2 Base de datos
8 Enrutador
7 Enlace Internet
1 Internet
1 Programas
1 Firewall
Símbolo Total Descripción
Red de Transmisión de Datos
CEPSA S.A.
Figura 2-4 Topología de la Red de Transmisión
29
2.1.2 Análisis FODA del departamento de Sistemas
Para diagnosticar el estado en el que se encuentra el departamento de
sistemas se realizó el siguiente análisis FODA como se ve en la Tabla 2-1.
Fortalezas Oportunidades
· Experiencia del grupo de trabajo, además de compartir conocimiento en el departamento.
· Trabajo en Equipo · Tiempo de respuesta alto a
los requerimientos de usuarios y proveedores.
· Tecnología de punta · Independencia en toma de
decisiones con respecto a la gerencia, lo que hace que el departamento continúe en la innovación tecnológica.
· Auto capacitación del personal
· Centralización del Departamento de tecnología de información, lo que hace que dar soporte y seguridad sea mas sencillo.
· Implementación de sistema de help desk, donde se pueda monitorear las incidencias más frecuentes, definir los problemas más recurrentes en hardware y software.
· Capacitaciones oportunas en base a requerimientos puntuales.
· Documentación de procesos del Departamento de Sistemas.
· Definición de políticas de Seguridad de Información, estableciendo controles y normas para el manejo de seguridad.
· Definir procedimientos y políticas para el ciclo de vida de la información
Debilidades Amenazas
· Limitación de espacio dentro de los servidores.
· Documentación de procesos · Falta de capacitaciones por
los costos de las mismas. · Falta de políticas bien
definidas. · Falta de política de
generación de claves-usuarios, manejo de información..
· Acceso físico no autorizado al departamento
· Fuga de información o pérdida. · Fallas humanas · Problemas de soporte con el
antivirus
Tabla 2-1 Análisis FODA
30
Después de realizar el análisis FODA se puede ver que las debilidades de la
empresa se basan en la documentación de procesos y procedimientos además
de carecer de políticas bien definidas sobre generación de claves y en sí de
manejo de información.
La falta de documentación y la ausencia de políticas hace que una
organización sea más vulnerable, de aquí la importancia de desarrollar un plan
de seguridades de la información, ya con este la empresa va a manejar de
manera correcta su información, además de crear políticas y descubrir riegos y
mitigarlos, lo que hace que una debilidad de la organización se convierta en
una fortaleza.
Gracias al análisis de riesgos que se realiza en una de las fases del SGSI (ver
sección 2.2) se podrán identificar más a fondo los riegos que posee la
organización ya que en el análisis FODA solo se tiene una perspectiva muy
amplia del estado actual de la seguridad de la información dentro de la
empresa.
2.2 ANALISIS Y EVALUACIÓN DE RIESGOS
En esta sección se va a definir las herramientas con las cuales se evaluara los
activos seleccionados dentro del departamento de sistemas, con las cuales se
dividen en herramientas físicas y lógicas.
2.2.1 Análisis de Seguridad Física
2.2.1.1 Check List
Es un listado de preguntas orientadas a un fin definido, en este caso el check
list va a fue utilizado para analizar la seguridad física de la organización.
Para lo cual la estructura de las preguntas fue planteada de la siguiente
manera:
· Seguridad física externa del edificio
· Ubicación del servidor
· Seguridad en redes
· Seguridad en el Router
31
· Seguridad en el Firewall
· Seguridad en el Switch
· Seguridad en la Wireless
· Seguridad en el Generador eléctrico
· Seguridad en el Back up de la base de datos del servidor
· Seguridad en el Sistema Operativo
· Control de Acceso
· Personal
En cada sección se tomaron en cuenta distintos factores relevantes para
determinar si la seguridad es óptima o no.
Los principales enfoques para la realización del check list es si cada dispositivo
siguió procedimientos para la instalación así como si existe documentación
necesaria de los mismo ya que si hubiese algún tipo de cese de servicio
poderlo habilitar de manera inmediata.
Otro de los aspectos importantes dentro de la realización de un check list es
tratar de abarcar todas las vulnerabilidades que puedan existir cerca del activo
y así formular preguntas que nos den como resultado si este activo es tratado
de forma segura o si puede mejorar su seguridad.
El Check List completo se encuentra en el ANEXO C.
Para el análisis de la seguridad física se empleó un Check List ANEXO C
enfocado a la seguridad del servidor de aplicaciones y al departamento de
Sistemas de Cepsa por lo que se obtuvo los siguientes resultados:
32
2.2.1.2 Seguridad Física del edificio
Figura 2-5 Seguridad Física Externa
Como muestra la figura 2-5 el porcentaje de conformidad es superior al de no
conformidad del Check List, por lo que se puede concluir que la seguridad
física externa del edificio es buena con el 68%.
2.2.1.3 Seguridad en el Control de Acceso
Figura 2-6 Seguridad en el Control de Acceso
33
La seguridad del control de acceso es del 75% de conformidad un porcentaje
alto, el 25% de no conformidad se debe a que no existe alguna política que
impida a los empleados enviar información de la empresa vía mail, además de
no contar con políticas de pantallas limpias en su lugar de trabajo, este último
aspecto es muy importante ya que terceros puede sustraer la información si
esta se encontrara a la vista.
2.2.1.4 Seguridad Física del Servidor
Figura 2-7 Seguridad en el Servidor
Al realizar el análisis de la seguridad física del servidor se tomaron aspectos
como su ubicación, peligros inminentes cercanos, peligros a desastres
naturales, etc.
Respecto a la seguridad física del servidor el nivel de conformidad está por
encima del 60% lo que muestra un nivel aceptable de seguridad del mismo.
34
2.2.1.5 Seguridad en el Router
Figura 2-8 Seguridad en el Router
Este dispositivo se encuentra tercerizado por lo que Cepsa no tiene mayor
control sobre él, por lo que la conformidad respecto al check list es del 53%, a
pesar que la compañía a cargo cuenta con personal capacitado para la
administración del router, por otro lado una desventaja es que ningún empleado
de la empresa tercerizada no trabaja a tiempo completo en Cepsa.
2.2.1.6 Seguridad en el Firewall
Figura 2-9 Seguridad en el Firewall
35
La seguridad al nivel de firewall es excelente ya que dentro del mismos se
puede configurar a los grupos de usuarios, restringir por protocolos y diversas
opciones más para su administración, por lo que la conformidad respecto al
check list es del 89%, la no conformidad se debe a que si el dispositivo llegara
a fallar la continuidad del negocios se vería afectada.
2.2.1.7 Seguridad en el Switch
Figura 2-10 Seguridad en el Switch
El nivel de conformidad respecto al check list es del 62%, un porcentaje
aceptable, pero los principales problemas de no conformidad son debido a que
no existe documentación sobre la configuración del mismo, no existe políticas
para la administración de contraseñas, y a que no se han realizado pruebas de
hackeo para identificar vulnerabilidades en el mismo.
36
2.2.1.8 Seguridad en la Wireless
Figura 2-11 Seguridad en la Wireless
El nivel de seguridad en la wireless es del 77 %, un porcentaje muy bueno ya
que este dispositivo cumple con la mayor parte de parámetros establecidos en
el check list, por otra parte el nivel de no conformidad del 23% se debe a que
no existe documentación de la configuración del Access Point y a que no
existe políticas definidas para la creación de claves.
2.2.1.9 Seguridad en los Back Up
Figura 2-12 Seguridad en los Back Up
37
La seguridad en los back ups en su gran mayoría cumple con todos los
parámetros delimitados en el check list por lo que su conformidad es del 92%,
el 8% de no conformidad se debe a que la información impresa no es tratada
de forma adecuada para su eliminación o desecho.
2.2.1.10 Seguridad del Personal
Figura 2-13 Seguridad del Personal
El aspecto del personal es donde por lo general la mayor parte de
organizaciones decaen ya que este aspecto se sale del control de las
autoridades, como se puede ver en la Figura el porcentaje de no conformidad
es bastante alto con el 79% el cual se debe que los empleados no conocen de
políticas de seguridad de la información dentro de la empresa, además de no
estar conscientes que los datos e información relacionada que manejan son de
suma importancia para la empresa, por otro lado la falta de política para el
intercambio de información y manejo de contraseñas hace que el porcentaje de
no conformidad sea más alto.
Cabe resaltar que en los siguientes parámetros propuestos en el check list la
empresa obtuvo un 100% de conformidad.
· Seguridad en Redes
· Seguridad en el UPS
38
· Seguridad en el Generador Eléctrico
· Seguridad en el Sistema Operativo
2.2.2 Análisis de Resultados de Vulnerabilidades Físicas
A continuación se presentan las vulnerabilidades físicas encontradas en el
departamento de sistemas a nivel físico, como se muestra en la tabla 2-2 se
detalla la vulnerabilidad y la descripción de la misma.
Vulnerabilidades Descripción
Los empleados no tienen insignias
que los identifiquen.
Los empleados no portan ninguna
identificación con su foto.
No existe control de seguridad
para cada departamento
Solo existe un control con tarjeta para
acceder a todos los departamentos.
No existe políticas respecto al uso
de alimentos y bebidas cerca a los
equipos.
No existe ninguna política que prohíba
el uso de alimentos, líquidos o
bebidas que pueda dañar a los
equipos.
El personal no firma una carta de
responsabilidad del equipo a su
cargo
No se le asigna al personal una carta
responsiva por el equipo que esta
utilizado
No existe un servidor similar al
servidor de Aplicaciones
No existe un servidor que pueda
cumplir las mismas actividades del
servidor de aplicaciones.
No existe políticas para tratamiento
de errores de configuración.
No se documentan los posibles
errores dentro de una configuración.
No existen políticas para la
suspensión del servicio.
No No cuenta con políticas para la
suspensión de servicio de un servidor.
No existe documentación acerca de
la configuración de los dispositivos
(router, switch)
Al ser tercerizado este servicio la
empresa no posee ningún tipo de
documentación acerca de estos
dispositivos.
No existe políticas para la No hay ninguna política que defina la
39
administración de contraseñas de
los dispositivos (router, switch)
asignación de contraseñas para estos
dispositivos.
No se han realizado pruebas de
hackeo
No se ha realizado pruebas de
hackeo para identificar
vulnerabilidades en los dispositivos
(router, switch)
No existe políticas para la
eliminación de documentos
No existen políticas para la
eliminación de documentos impresos,
para que se evite su lectura.
Personal puede enviar cualquier
documentación vía mail.
No existe políticas que prohíban
enviar documentación sensible para la
organización vía mail.
Los usuarios no conocen las
políticas para el manejo de la
seguridad de la información
Los empleados no tienen
conocimiento sobre políticas de
asignación y manejo de contraseñas,
además de procedimientos para el
intercambio de información y
restricciones del uso del correo
electrónico.
No existen procedimientos de
mantenimiento a PC´s
No existe ningún procedimiento a
seguir por parte de quienes dan
mantenimiento a las PC´s cuando se
necesita instalar algún software.
Instalación de Software a libre
elección
Los empleados son libres de instalar
cualquier tipo de software en sus
PC´s
No existen políticas de prohibición
de instalación de software sin
licencia.
Los usuarios no tienen conocimiento
de la prohibición de software sin
licencia.
Horarios de Internet No existen políticas de uso de internet
en horarios definidos.
Amenazas en el Internet Los empleados no conocen sobre las
amenazas en el internet.
40
Tabla 2-2 Vulnerabilidades Físicas
2.2.3 Conclusiones de Vulnerabilidades Físicas
· La falta de documentación en dispositivos es uno de los principales
problemas ya que al tener ausencia de la misma no se podrá reiniciar el
servicio correctamente y de forma oportuna si este llegase a fallar.
· La falta de definición de políticas claras de seguridad de la información
hacen que los departamentos y los empleados sean vulnerables a
ataques. Los empleados no tienen una cultura de seguridad de la
información y al ser ellos los que manejan la información se vuelven un
foco vulnerable por lo que capacitándolos y haciendo conciencia que el
activo más importante de una organización es su información, ellos
comenzaran a dar el trato que esta merece.
· A nivel general el porcentaje de conformidad con el Chek Listo
sobrepasa el 70% lo que se llega a la conclusión que el nivel de
seguridad física dentro del departamento de sistemas es aceptable, el
cual puede mejorar aplicando controles para la mitigación de los riesgos
encontrados.
2.2.4 Análisis de Seguridad Lógica
Todas las herramientas que van a ser utilizadas son de código abierto para la
exploración de red y auditoria de seguridad, se va a realizar un hackeo ético no
intrusivo. Estas herramientas se las puede utilizar ya sea en grande redes
como en redes pequeñas, por lo que se las puede utilizar para organizaciones
grandes o pequeñas.
2.2.4.1 Maltego
Es una aplicación forense de código abierto, la cual permite la minería y
obtención de datos e información, así como la representación de dicha
información en una forma significativa. Complementada con sus librerías
gráficas, le permite identificar la relación entre claves de información e
41
identificar previamente las relaciones desconocidas entre ellas. Es una
herramienta que se debe tener en el campo de la inteligencia, seguridad y
aplicaciones forenses. [10]
Además Maltego es una herramienta de fácil uso ya que nos deja interactuar
con cada resultado, buscando relaciones que deseemos.
Maltego nos permite encontrar varia información con solo ingresar el dominio al
que queremos realizar la extracción y minería de datos.
Maltego nos permite obtener información sobre la red y el dominio como:
· Nombres de dominios asociados
· Nombres de los DNS
· Direcciones IP´s
· Información del esquema de la red.
· Páginas web asociadas al dominio
· Información de WHOIS
Además Maltego nos muestra información de personas asociadas al dominio
como:
· Nombres de personas
· Direcciones de correos electrónicos
· Números de teléfonos
· Direcciones
· Redes sociales
· Blogs, vínculos de sitios web
En la siguiente Tabla 2-3 se muestras las vulnerabilidades encontradas con la
herramienta Maltego, realizadas al dominio de Cepsa, dichas pruebas fueron
realizadas fuera de la red de la organización.
Vulnerabilidades Descripción
42
Nombres de Dominios relacionados al
Dominio de CEPSA.
El dominio de cepsa.com.ec muestra
todos los detalles de los dominios
relacionados a la IP pública.
Direcciones de Correo asociadas al
Dominio
El dominio cepsa.com.ec, muestra los
datos personales de empleados de
CEPSA.
Ubicación del Dominio El dominio cepsa.com.ec muestras la
ubicación exacta del DNS.
URLs asociadas a la página Web (Ip
Interna)
El dominio de cepsa.com.ec muestra
detalles completos de las urls
asociadas a la ip interna
Aplicaciones Instaladas Muestra la aplicación y la versión de
la misma.
Tabla 2-3 Vulnerabilidades Maltego
En el Anexo H se detalla el uso de la herramienta para encontrar las
vulnerabilidades.
2.2.4.2 Foca
Foca es una herramienta para extracción de metadatos e información oculta, la
cual al ingresar un dominio, esta busca en toda la red documentos en varias
extensiones para extraer información relevante de alguna organización.
Foca trabaja con búsquedas en google y Bing hacking extrayendo ficheros y
descargando la información más relevante para extraer posteriormente los
metadatos, los cuales son ordenados de la siguiente manera:
· Nombres de usuarios del sistema
· Rutas de archivos
· Versión del Software utilizado
· Correos electrónicos encontrados
43
· Fechas de Creación, Modificación e Impresión de los documentos.
· Sistema operativo desde donde crearon el documento
· Nombre de las impresoras utilizadas
· Permite descubrir subdominios y mapear la red de la organización
· Nombres e IPs descubiertos en Metadatos
· Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz web
o API]
· Búsqueda de registros Well-Known en servidor DNS
· Búsqueda de nombres comunes en servidor DNS
· Búsqueda de IPs con resolución DNS
· Búsqueda de nombres de dominio con BingSearch ip
· Búsqueda de nombres con PTR Scanning del segmento de red con DNS
interno
· Transferencia de Zonas
· Detección automática de DNS Cache
· Vista de Roles
· Filtro de criticidad en el log [11]
Además Foca puede extraer la información que se encuentra en la cache del
servidor DNS, es decir la paginas que están siendo accedidas desde este,
obteniendo información de la hora y la frecuencia a la que se accede a distintos
sitios web.
En la siguiente Tabla 2-4 se muestras las vulnerabilidades encontradas con la
herramienta Foca, realizadas al dominio de Cepsa, dichas pruebas fueron
realizadas fuera de la red de la organización.
Vulnerabilidades Descripción
Servidores muestran aplicaciones
instaladas, versión del sistema
operativo del servidor de correo y
del DNS
Los servidores muestran los servicios
levantados y las versiones del sistema
operativos instalado
44
Muestra dominios relacionados Muestra dominios relacionados e
información detallada de los mismos.
Firewall también es el servidor
DNS
La dirección del servidor DNS es la
misma dirección del Firewall
Puertos Abiertos y aplicaciones
levantadas en los mismos
Muestra los servicios levantados y en
el respectivo puerto levantado.
Tabla 2-4 Vulnerabilidades Foca
En el Anexo H se detalla el uso de la herramienta para encontrar las
vulnerabilidades.
2.2.4.3 Nessus
Nessus es un programa de escaneo de vulnerabilidades. Su función es
escanear los hosts que el usuario desea, detectando primero los puertos que
tienen abiertos y luego enviando una batería de test para comprobar qué hosts
son vulnerables, mediante un daemon, nessusd, que realiza el escaneo en el
sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que
muestra el avance e informa sobre el estado de los escaneos. A partir de los
resultados obtenidos, Nessus arma un detallado informe con las
vulnerabilidades de cada host, describiendo cada vulnerabilidad, el nivel de
riesgo que representa y las posibles formas de mitigarla. [11]
Nessus nos permite crear políticas para escaneos como NASL (Nessus Attack
Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en
inglés), un lenguaje scripting optimizado para interacciones personalizadas en
redes. [12]
Vulnerabilidades Descripción
Respuesta ICMP de Servidores Al enviar paquetes ICMP el servidor da
respuesta a los mismos.
Servidores muestran
aplicaciones instaladas,
versión del sistema operativo
Los servidores muestran los servicios
levantados y las versiones del sistema
operativos instalado
45
Topología de la Red Muestra la direcciones Ip de los servidores
contiguos además de la dirección ip del
firewall.
Firewall también es el servidor
DNS
La dirección del servidor DNS es la misma
dirección del Firewall
Puertos Abiertos Presenta varios puertos abiertos no
identificados
Tabla 2-5 Vulnerabilidades Nessus
Existen varios puertos abiertos a los cuales se realizó un análisis de
vulnerabilidades a cada puerto como se muestra en la tabla 2-6.
46
TA
BL
A D
E A
NÁ
LIS
IS D
E P
UE
RT
OS
Pu
ert
o
Pro
toco
l
o
Se
rvi
cio
Info
rma
ción
V
uln
era
bili
da
d
44
3/8
0
Tcp
w
ww
S
erv
ido
r W
eb.
Util
izado
pa
ra
na
vega
ción
W
eb
.
Est
e s
erv
icio
po
r si
so
lo
ya
sup
on
e u
n rie
sgo
,
sue
le
ser
esc
an
eado
s y
se
las
inge
nia
n
para
en
con
tra
r nu
eva
s
en
tra
das
por
él.
[18
]
Cro
ss-S
ite S
crip
ting
(XS
S)
SQ
L In
ject
ion
Fija
ció
n d
e se
sión
Incl
usi
ón
de
arc
hiv
os
rem
oto
s (R
FI)
Fu
ga d
e in
form
aci
ón
Fu
erz
a b
ruta
Cro
ss-S
ite s
olic
itud
fals
ifica
ción
Den
ega
ción
de
se
rvic
io
Refe
ren
cia
al o
bje
to d
irect
o in
segu
ro
46
5 T
cp
smtp
T
ele
com
un
icat
ion
Netw
ork
, u
tiliz
ad
o
pa
ra
en
vió
de
co
rre
o
ele
ctró
nic
o.
Un
pu
ert
o
mu
y
esc
ane
ado
pa
ra
ap
rove
cha
r
vuln
era
bili
da
de
s p
ara
é
l
en
vió d
e S
PA
M.
SM
TP
p
ose
e u
n e
rro
de
form
ato
de
ca
den
a,
cuan
do
ana
liza
lo
s
co
mom
an
do
s “
exp
n”,
“m
ail”
, “m
ail
from
”, y
“rc
pt
to”.
In
se
rcció
n d
e c
ód
igo
ma
lisio
so.
SM
TP
inje
ctio
ns,
con
la t
écn
ica "
CR
LF
Inje
ctio
ns"
.
Ata
que
de
Http
Sp
littin
g
Cód
igo
P
HP
a
soci
ado
s
a
So
urc
e
Cod
e
Dis
closu
re,
ya
qu
e
pe
rmite
de
sca
rga
r to
do t
ipo
de
arc
hiv
os.
Pu
ede
pro
voca
r u
n a
taqu
e d
el t
ipo
DoS
(D
ene
gaci
ón
de
Se
rvic
io)
cre
an
do
arc
hiv
os
ma
licio
sos
ade
má
s d
e e
jecu
tar
cód
igo
ma
licio
so a
rbitr
ario
.
47
Hay
que
a
segu
rars
e
valid
ar
usu
ario
s p
ara
e
l
en
vío
de
co
rre
os
[18
]
Err
ore
s d
e fr
ont
era
cu
and
o
se
ma
neja
e
l n
omb
re
de
usu
ario
co
n
los
com
ando
s "A
UT
H P
LA
IN"
y "A
UT
H L
OG
IN".
Desb
ord
amie
nto
de
pila
o a
taqu
es
de
fu
erz
a b
ruta
inse
rta
nd
o u
n n
om
bre
de
usu
ario
mu
y la
rgo
.
99
5 T
cp
po
p3
Una
de
la
s fo
rma
s d
e
acc
ede
r a
los
corr
eo
s de
tu
cuen
ta
de
co
rreo
ele
ctró
nic
o p
ers
ona
l. [1
8]
La
s ca
ract
erí
stic
as
de
"a
cce
so
ab
iert
o"
de
est
os
serv
icio
s lo
s h
ace
esp
eci
alm
ente
vu
lne
rab
les
a
ata
que
s da
do
qu
e
los
cort
afu
ego
s
ha
bitu
alm
en
te p
erm
iten
el
acc
eso
a l
os
mis
mo
s, p
ara
pe
rmiti
r e
l a
cce
so
rem
oto
a
l co
rre
o
elect
rón
ico.
Lo
s a
taca
nte
s qu
e
exp
lota
n
las
vuln
era
bili
da
de
s en
IM
AP
o
P
OP
h
ab
itua
lmen
te
obtie
ne
acc
eso
inst
an
tán
eo c
omo
ro
ot.
[19
]
Exi
ste
un
err
or
de
fro
nte
ra e
n e
l se
rvic
io P
OP
3 a
l m
an
eja
r e
l n
omb
re d
e
usu
ario
pro
po
rcio
nad
o p
or
el
com
and
o "
AP
OP
". E
sto
pue
de
exp
lota
rse
pa
ra o
casi
ona
r u
n d
esb
ord
amie
nto
de
mem
oria
y p
erm
itirá
eje
cuta
r có
dig
o
arb
itrario
vía
un
nom
bre
de
usu
ario
mu
y la
rgo
.
48
Pu
ert
o
Pro
toc
o
lo
Se
rvi
cio
Info
rma
ció
n
Vu
lne
rab
ilid
ad
23
Tcp
te
lne
t T
ele
com
un
icat
ion
Netw
ork
pe
rmite
co
ntro
lar
un
e
quip
o
rem
ota
men
te.
Pu
ert
o po
ten
cialm
ente
pe
ligro
so.
[18
]
Vu
lne
rab
ilida
d d
e r
efle
xión
de
cre
den
ciale
s de
Te
lnet
- C
VE
-20
09
-19
30
.
Un a
taca
nte
qu
e e
xplo
te e
xito
sam
ente
est
a vu
lne
rab
ilid
ad
po
drí
a i
nst
ala
r
pro
gram
as;
ve
r, m
od
ifica
r, o
elim
ina
r d
ato
s; o
cre
ar
nu
eva
s cu
ent
as
de
usu
ario
co
n
priv
ilegi
os
de
a
dm
inis
tra
do
r.
Usu
ario
cu
yas
cue
nta
s so
n
conf
igu
rad
as
con
po
cos
priv
ilegi
os
po
drí
an
se
r m
en
os
impa
cta
dos
que
usu
ario
s qu
e o
pera
n c
on
priv
ilegi
os
de
adm
inis
trad
or.
[2
0]
22
Tcp
ss
h
Se
cure
S
he
ll,
util
iza
do
prin
cipa
lme
nte
pa
ra
con
exi
ón
p
or
líne
a de
com
ando
s e
ntr
e
otr
as
mu
cha
s fu
nci
on
es.
U
so
casi
exc
lusi
vo p
ara
Lin
ux,
en
W
indo
ws
alg
un
as
ap
lica
cione
s p
ued
en
ab
rirlo
. [1
8]
Inse
rció
n d
e co
ma
ndo
s a
rbitr
ario
s en
un
a
sesi
ón
S
SH
, u
o
bte
ner
info
rma
ción
pa
ra r
ealiz
ar
ata
que
s d
e fu
erz
a b
ruta
.
Eje
cuci
ón
de
cód
igo
arb
itrario
co
n lo
s p
rivile
gio
s d
el p
roce
so S
SH
.
Pro
voca
r e
l de
sbo
rdam
ien
to d
e b
úfe
r y,
en
alg
un
os
caso
s, la
eje
cuci
ón
de
cód
igo
arb
itrario
con
los
priv
ilegi
os
de
l pro
ceso
SS
H v
uln
era
ble
.
La
s im
ple
me
nta
cione
s d
e
SS
H
que
pa
rece
n
ser
vuln
era
ble
s so
n
las
rea
liza
da
s p
or
Pra
gma
S
yste
ms
(Pra
gma
S
ecu
reS
he
ll 2.
0),
P
uT
TY
(ve
rsio
ne
s a
nte
riore
s a
la 0
.53
b),
F-S
ecu
re (
serv
ido
res
y cl
ien
tes
pa
ra
Unix
. [2
1]
49
Pu
ert
o
Pro
toc
o
lo
Se
rvi
cio
Info
rma
ció
n
Vu
lne
rab
ilid
ad
15
21
Tcp
o
racl
e_
tns
lsnr
Ve
rsió
n
antig
ua
, la
inst
ala
ció
n d
e
ba
ses
de
da
tos
Ora
cle
en
e
l ho
st
rem
oto
ya
n
o
es
com
patib
le.
[18
]
Fa
lta d
e p
arc
he
s a
ctua
liza
do
s.
Me
dia
nte
exp
loits
un
ata
can
te p
ue
de m
anip
ula
r in
sta
nci
as
inst
anci
as
de
ba
se d
e d
ato
s, lo
qu
e p
od
ría
fa
cilit
ar
ma
n-in
-th
e-m
idd
le,
secu
est
ro s
ess
ion
-
, o
ata
que
s d
e d
ene
gaci
ón
de
se
rvic
io e
n u
n s
erv
ido
r d
e b
ase
de
dat
os
legí
timo
. [2
2]
51
3 tc
p rlo
gin
L
a
vers
ión
re
mo
ta
de
teln
et
no
d
esi
nfe
cta
r la
varia
ble
d
e
ent
orno
pro
po
rcio
nada
p
or
el
usu
ario
"u
sua
rio".
[18
]
Me
dia
nte
el
sum
inis
tro
de
una
va
riab
le d
e e
nto
rno
US
ER
esp
eci
alm
ente
ma
l, un
ata
can
te p
ued
e f
orz
ar
al
serv
ido
r te
lne
t re
mo
to p
ara
cre
er
que
el
usu
ario
ya
se
ha
au
tent
ica
do
.
Dará
luga
r a
la o
bte
nci
ón
de
un
she
ll co
n lo
s p
rivile
gios
de
l usu
ario
'bin
'.
Asi
mis
mo
, se
pod
rá p
erm
itir
ma
l lo
gins
au
ten
tica
do s
in c
on
tra
señ
as.
Si
el
ho
st e
s vu
lne
rab
le a
TC
P n
úme
ro d
e s
ecu
en
cia d
e a
div
ina
nza
s (d
esd
e
cua
lqu
ier
red
) o
la s
up
lan
taci
ón
de
IP
(in
cluye
nd
o A
RP
se
cue
stro
en
una
red
loca
l), e
nto
nce
s p
ued
e s
er
po
sib
le o
miti
r la
aut
ent
ica
ción
.
Po
r ú
ltim
o, r
logi
n e
s u
na
ma
ne
ra f
áci
l d
e c
onve
rtir
el
acc
eso
a a
rchiv
os
y
esc
ritu
ra
en
los
inic
ios
de
se
sión
co
mp
leto
a
tr
avé
s d
e
los
.rh
ost
s o
arc
hiv
os
rho
sts.
equ
iv.
[2
2]
50
Pu
ert
o
Pro
toc
o
lo
Se
rvi
cio
Info
rma
ció
n
Vu
lne
rab
ilid
ad
22
tcp
ssh
L
a
vers
ión
d
e
Su
nS
SH
eje
cuta
en
el
ho
st r
emo
to
tien
e
un
a vu
lne
rab
ilidad
de
d
ivu
lga
ción
de
info
rma
ción
. [1
8]
Un
def
ect
o de
d
iseñ
o
en
la
esp
eci
fica
ción
S
SH
p
odrí
a
pe
rmiti
r a
un
ata
can
te d
e h
omb
re e
n e
l m
ed
io p
ara
recu
pe
rar
ha
sta
32
bits
de
te
xto
pla
no
de u
na
cone
xión
SS
H-p
rote
gida
en
la c
onfig
ura
ció
n e
stán
da
r. U
n
ata
can
te
pod
ría
a
pro
vech
ar
est
o
pa
ra
obt
en
er
acc
eso
a
in
form
aci
ón
sen
sible
. [2
2]
16
1 u
dp
snm
p E
s p
osi
ble
o
bte
ner
el
no
mb
re
de
co
mun
idad
pre
de
term
ina
do
de
l
serv
ido
r S
NM
P
rem
oto
.
[18
]
Un
ata
can
te
pue
de
util
iza
r e
sta
in
form
aci
ón
para
ob
tene
r m
ás
con
oci
mie
nto
s so
bre
el
ho
st r
em
oto
, o
pa
ra c
am
bia
r la
co
nfig
ura
ció
n d
el
sist
em
a
rem
oto
(s
i la
co
mu
nid
ad
p
or
def
ect
o
perm
ite
qu
e
tale
s
mo
difi
caci
one
s).
[22
]
Tab
la 2
-6 V
uln
erab
ilid
ades
de
Pu
erto
s A
bie
rtos
51
2.2.4.4 Nmap
Nmap es una herramienta de código abierto para exploración de red y auditoría
de seguridad. Está diseñado para analizar rápidamente grandes redes, aunque
funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP en
formas originales para determinar qué equipos se encuentran disponibles en
una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué
sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes
o cortafuegos se están utilizando así como varias otras características. [13]
Las herramientas utilizadas son software libre y fueron expuestas a la Gerencia
de Sistemas de CEPSA para su aprobación, las mismas que fueron aplicadas
en el cronograma definido en el ANEXO B.
En la Tabla 2-7 se muestras las vulnerabilidades encontradas mediante la
herramienta Nmap al servidor de Programas de Cepsa, las pruebas fueron
realizadas dentro de la red de la organización.
Vulnerabilidades Descripción
Certificado SSL no se
puede confiar
Certificado X.509 del servidor no tiene una firma
de una autoridad de certificación pública conocida.
Certificado SSL auto
firmado
La cadena de certificados X.509 para este servicio
no está firmado por una autoridad de certificación
reconocida. Si el host remoto es un sistema
público en la producción , esto anula el uso de
SSL como cualquiera podría establecer un ataque
man-in -the-middle contra el host remoto
SSLv3 Padding Oracle
On Downgraded Legacy
Encryption Vulnerability
(POODLE)
El host remoto se ve afectado por una
vulnerabilidad (MitM) la divulgación de información
- man-in -the-middle conocido como CANICHE . La
vulnerabilidad se debe a la forma en SSL 3.0 se
encarga de bytes de relleno cuando descifrar
52
mensajes cifrados usando cifrados de bloque en
modo de encadenamiento de bloques de cifrado
(CBC ) .
Servidor Web utiliza la
autenticación de
formularios de texto sin
formato
El servidor web remoto contiene varios campos de
formulario HTML que contienen una entrada del
tipo "contraseña" que transmiten su información a
un servidor web remoto en texto plano.
Tabla 2-7 Vulnerabilidades Nmap
En el Anexo H se detalla el uso de la herramienta para encontrar las
vulnerabilidades.
2.2.5 Conclusiones de Vulnerabilidades Lógicas
· Existe un número considerable de puertos abiertos en la red los cuales
pueden ser explotados de diferentes maneras, por lo cual es importante
mitigarlos de la manera adecuada emitiendo controles de red para una
mejor administración de los mismos.
· La falta de políticas definidas en base a la seguridad de la información
en la organización hace que las cuentas corporativas no sean
manejadas de manera adecuada ya que estas se encuentran vinculadas
a sitios no adecuados.
· La información del sistema operativo y de las aplicaciones instaladas y
sus versiones se encuentran disponibles además de direcciones IP´s y
puertos por los cuales están levantados los diferentes servicios.
· La empresa tiene un certificado digital emitido por la misma organización
lo cual puede generar una suplantación lo que puede desencadenar
daños severos a la información, por lo cual debe obtener una certificado
de una entidad certificada y abalada.
53
2.2.6 Resumen de Vulnerabilidades Físicas y Lógicas
Las principales vulnerabilidades que se encontraron a nivel físico y lógico se
detallan a continuación en la tabla 2-8:
Vulnerabilidades Descripción
No existe políticas respecto al uso de alimentos y bebidas cerca a los equipos.
No existe ninguna política que prohíba el uso de alimentos, líquidos o bebidas que pueda dañar a los equipos.
El personal no firma una carta de responsabilidad del equipo a su cargo
No se le asigna al personal una carta responsiva por el equipo que esta utilizado
No existe un servidor similar al servidor de Aplicaciones
No existe un servidor que pueda cumplir las mismas actividades del servidor de aplicaciones.
No existen políticas para la suspensión del servicio.
o No cuenta con políticas para la suspensión de servicio de un servidor.
No existe políticas para la administración de contraseñas de los dispositivos (router, switch)
No hay ninguna política que defina la asignación de contraseñas para estos dispositivos.
No se han realizado pruebas de hackeo
No se ha realizado pruebas de hackeo para identificar vulnerabilidades en los dispositivos (router, switch)
No existe políticas para la eliminación de documentos
No existen políticas para la eliminación de documentos impresos, para que se evite su lectura.
Personal puede enviar cualquier documentación vía mail.
No existe políticas que prohíban enviar documentación sensible para la organización vía mail.
Respuesta ICMP de Servidores
Al enviar paquetes ICMP el servidor da respuesta a los mismos.
Servidores muestran aplicaciones instaladas, versión del sistema operativo
Los servidores muestran los servicios levantados y las versiones del sistema operativos instalado
Puertos Abiertos Presenta varios puertos abiertos no identificados
Certificado SSL no se puede confiar
Certificado X.509 del servidor no tiene una firma de una autoridad de certificación pública conocida.
Certificado SSL auto firmado
La cadena de certificados X.509 para este servicio no está firmado por una autoridad de certificación reconocida. Si el host remoto es
54
un sistema público en la producción , esto anula el uso de SSL como cualquiera podría establecer un ataque man-in -the-middle contra el host remoto
Nombres de Dominios relacionados al Dominio de CEPSA.
El dominio de cepsa.com.ec muestra todos los detalles de los dominios relacionados a la IP pública.
Campos de la página de correo electrónico no están validados correctamente
Los campos de usuario y contraseña no restringe el número de veces que falla. Además permite introducir caracteres especiales en los campos y no limita los caracteres.
Direcciones de Correo asociadas al Dominio
El dominio cepsa.com.ec, muestra los datos personales de empleados de CEPSA.
Tabla 2-8 Resumen de Vulnerabilidades
2.3 SELECCIÓN DE LOS CONTROLES ADECUADOS DE SEGURIDAD DE
INFORMACIÓN, DE ACUERDO A LA NORMA ISO/IEC 27002:2009
Después de haber realizado el hackeo ético me el activo seleccionado se
procede a dar controles a las vulnerabilidades y amenazas asociadas a los
riesgos encontrados a nivel tanto lógico como físico, los cuales van a ser
tratados mediante la selección de controles de seguridad de la norma NTE
INEN-ISO/IEC 27002:2009.
En esta sección se va a definir la metodología con la cual se evaluara los
riegos y amenazas encontradas dentro del departamento de sistemas, además
de definir las herramientas que se va a usar para realizar un hackeo no
invasivo a la organización.
2.3.1 Metodología
La metodología usada para la evaluación de riesgos es la evaluación cualitativa
la cual da una valoración al riesgo tanto en la probabilidad como en el impacto
siendo 0 la evaluación más baja y 2 la más alta, posteriormente se suman
estos valores y el resultado de los mismo si es mayor o igual a 3 el riesgo debe
ser tratado en base a el Anexo A de la ISO 27001, a continuación se detalla la
metodología usada.
55
2.3.1.1 Identificación de activo
La primera actividad que se debe realizar para el análisis y tratamiento de
riesgos es tener los activos que la empresa posee para poder distinguir de
todos ellos y optar por el más crítico para realizar la valoración sobre el mismo.
Inventario de Activos Detalle Instalaciones Ubicación de equipos informáticos y
de comunicaciones. Hardware Equipos que alojan datos, aplicaciones
y servicios. Software Aplicativos que permiten manejar los
datos Datos El principal recurso, todos los demás
activos se identifican alrededor de éste activo
Red Equipamiento que permite intercambiar datos
Servicios Que se brindan gracias a los datos y que se necesitan para gestionar los datos.
Personal Quienes explotan u operan todos los demás elementos.
Tabla 2-9 Identificación de Activos
El activo que vamos a analizar es el servidor de Programas de Cepsa S.A, se
evaluará aspectos tanto físicos como lógicos del mismo, la identificación de
este activo se realizó en conjunto con la gerencia del Departamento de
Sistemas, ya que en el mismo se encuentra el servidor de dominio, programas
usados dentro de la organización.
2.3.1.2 Evaluación Cualitativa del Riesgo
Priorizar riesgos para análisis más profundo
· Mediante su probabilidad e impacto
Se enfoca luego en el establecimiento de contingencias para riesgos de alta
amenaza. Se evalúa considerando los objetivos del servicio o aplicación:
· Confidencialidad
· Disponibilidad
· Integridad
56
Es rápido y efectivo en costo para establecer contingencias.
2.3.1.3 Identificación de Amenazas y Vulnerabilidades
Una vez que los riesgos son identificados se procede a identificar las
amenazas y vulnerabilidades ligados a estos, por lo cual se realiza un listado
de todas las amenazas y las vulnerabilidades de cada riesgo encontrado.
Existen varios tipos de amenazas por lo que se las dividió de la siguiente
manera:
· Desastre del entorno (Seguridad Física).
· Amenazas del sistema (Seguridad Lógica).
· Amenazas en la red (Comunicaciones).
· Amenazas de personas (Insiders-Outsiders).
2.3.1.4 Análisis de Impacto y Probabilidad
Después de haber identificado las amenazas y vulnerabilidades, se deben
evaluar las consecuencias sobre un activo individual en el caso de que un
riesgo llegue a materializarse:
Impacto
bajo
0 La pérdida de confidencialidad, disponibilidad o
integridad no afecta las finanzas, las obligaciones
legales o contractuales o el prestigio de la
organización.
Impacto
medio
1 La pérdida de confidencialidad, disponibilidad o integridad
causa gastos adicionales y tiene consecuencias bajas o
moderadas sobre obligaciones legales o contractuales o el
prestigio de la organización.
Impacto
Alto
2 La pérdida de confidencialidad, disponibilidad o integridad
tiene consecuencias importantes e inmediatas sobre las
finanzas, las operaciones, las obligaciones legales o
contractuales o el prestigio de la organización.
Tabla 2-10 Niveles de Impacto
57
Luego de la evaluación del impacto es necesario evaluar la probabilidad de que
se materialice ese riesgo; es decir, la probabilidad de que una amenaza se
aproveche de la vulnerabilidad del activo en cuestión.
Probabilidad
bajo
0 Los controles vigentes son seguros y, hasta el
momento han proporcionado un nivel de protección
adecuado. No se esperan incidentes nuevos en el
futuro.
Probabilidad
medio
1 Los controles vigentes son moderados y, básicamente,
han proporcionado un nivel de protección. Existe la
posibilidad de que haya un incidente en el futuro.
Probabilidad
Alto
2 Los controles vigentes son bajos o ineficaces. Existe
una gran posibilidad de que haya incidentes así en el
futuro.
Tabla 2-11 Niveles de Probabilidad
2.3.1.5 Evaluación de Riesgos
Se utiliza un cuadro denominado Matriz de Evaluación de Riesgos:
El nivel de riesgo se calcula sumando los dos valores. Los controles de
seguridad vigentes deben ser indicados en la última columna de la Matriz de
Evaluación de Riesgos, como se puede mirar en la figura a continuación.
Si la suma de la probabilidad y el impacto es mayor o igual a 3, los marcaremos
con rojo porque estos son los riesgos que necesitan ser tratados con controles
que se encuentran definidos en el ANEXO A de la ISO 27001.
Tabla 2-12 Ejemplo de Matriz de Riesgo
58
En base a la metodología mencionada anteriormente se va a emitir los
controles seleccionados en el Anexo A de la norma NTE INEN-ISO/IEC
27002:2009 para cada vulnerabilidad catalogada en el rango de crítica.
59
2.3.
2 E
valu
ació
n d
e R
iesg
o
En
la s
igu
ien
te t
ab
la 2
-13
se
mu
est
ra
las
vuln
era
bili
da
de
s y
am
en
aza
s a
soci
ada
s a
lo
s rie
sgo
s p
ara
lo c
ual
se v
a a
da
r u
na
calif
icaci
ón s
egú
n s
ea
la c
ritic
ida
d de
l rie
sgo
. Lo
s rie
sgo
s qu
e co
mo
re
sulta
do
de
3 o
4 p
un
tos,
se
rán
lo
s cu
ale
s va
n a
te
ner
con
tro
les
pa
ra la
miti
gaci
ón
de
los
mis
mo
s.
Ma
triz
de
Eva
lua
ció
n d
e R
ies
go
s
Nro
. N
om
bre
de
l A
cti
vo
Pro
pie
tari
o
de
l A
cti
vo
Am
en
aza
V
uln
era
bili
da
d
Imp
ac
to
Pro
ba
bil
ida
d
Rie
sg
o
R01
E
quip
os
Ce
psa
C
ep
sa S
.A
Ingr
eso
no
Aut
oriz
ad
o d
e
pe
rsona
s qu
e p
ued
en
da
ñar
o r
ob
ar
info
rma
ción
sen
sible
s p
ara
la e
mp
resa
Lo
s em
ple
ado
s no
tie
nen
u
na
ide
ntif
ica
ción
co
n s
u
foto
que
mu
est
re q
ue
tr
ab
aje
en
la e
mp
resa
.
1
1
2
R03
E
quip
os
Ce
psa
C
ep
sa S
.A
Dañ
ar
los
equ
ipo
s po
r d
err
am
e d
e b
eb
ida
s o
a
lime
nto
s.
No e
xist
e p
olít
ica
s d
e p
roh
ibic
ión
de
alim
en
tos
y b
eb
ida
s ce
rca
de
los
equ
ipo
s.
1
2
3
R06
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Ave
ría
de
orig
en
fís
ico o
ló
gico
F
alta
de
ca
len
dario
de
ma
nte
nim
ient
o
2
1
3
R07
E
quip
os
Ce
psa
C
ep
sa S
.A
Dañ
o d
e d
isp
osi
tivo
s y
au
sen
cia d
e lo
s m
ism
os
Fa
lta d
e d
ocu
me
nta
ción
d
e d
isp
osi
tivo
s.
2
1
3
R08
E
quip
os
Ce
psa
C
ep
sa S
.A
Rob
o d
e in
form
aci
ón
o
exp
lota
ción
de
vu
lne
rab
ilida
de
s
No s
e h
a r
ea
liza
do
p
rue
bas
de h
ack
eo
pa
ra
de
tect
ar
vuln
era
bili
dad
es
2
1
3
60
Nro
. N
om
bre
de
l A
cti
vo
Pro
pie
tari
o
de
l A
cti
vo
Am
en
aza
V
uln
era
bili
da
d
Imp
ac
to
Pro
ba
bil
ida
d
Rie
sg
o
R09
E
quip
os
Ce
psa
C
ep
sa S
.A
Acc
eso
a in
form
aci
ón
se
nsi
ble
de
la o
rga
niz
aci
ón
N
o e
xist
en
po
lític
as
de
de
sech
os
se
do
cum
enta
ción
imp
resa
.
2
1
3
R10
S
erv
ido
r d
e
Pro
gra
ma
s C
ep
sa S
.A
Rob
o d
e in
form
aci
ón
o d
e
act
ivo
s e
mp
resa
riale
s
Fa
lta d
e p
olít
ica
s d
e
segu
rida
d d
e in
form
aci
ón
2
1
3
R11
E
quip
os
Ce
psa
C
ep
sa S
.A
Dis
trib
uci
ón
de
info
rmac
ión
se
nsi
ble
pa
ra la
org
an
iza
ción
N
o e
xist
e p
olít
ica
s d
e p
roh
ibic
ión
de
en
vío
de
d
ocu
men
tos
em
pre
saria
les
2
1
3
R15
E
quip
os
Ce
psa
C
ep
sa S
.A
Inst
ala
ció
n d
e s
oftw
are
m
alic
ioso
o s
oftw
are
sin
lic
en
cia
Fa
lta d
e p
olít
ica
s d
e
pro
hib
ició
n d
e in
sta
laci
ón
d
e s
oftw
are
.
1
1
2
R16
E
quip
os
Ce
psa
C
ep
sa S
.A
Am
ena
zas
en
Inte
rnet
L
os
emp
lea
dos
no e
stá
n
con
scie
nte
s de
los
riesg
os
de
na
vega
r e
n e
l in
tern
et.
1
1
2
R17
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Su
spen
sión
de
l se
rvic
io
Fa
lta d
e p
lan
de
co
ntin
gen
cia
2
1
3
R18
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Eje
cuci
ón
de
cód
igo
m
alic
ioso
den
tro
de
l ser
vid
or
Resp
ue
sta
a p
aqu
ete
s IC
MP
2
1
3
R19
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Acc
eso
no
au
toriz
ad
o a
la r
ed
In
form
aci
ón
de
Pue
rtos
A
bie
rto
s 2
1
3
R20
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Acc
eso
a la
info
rma
ción
de
serv
icio
s In
form
aci
ón
visi
ble
de
se
rvic
ios
y ve
rsio
ne
s in
sta
lada
s
2
1
3
61
Nro
. N
om
bre
de
l A
cti
vo
Pro
pie
tari
o
de
l A
cti
vo
Am
en
aza
V
uln
era
bili
da
d
Imp
ac
to
Pro
ba
bil
ida
d
Rie
sg
o
R21
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Acc
eso
a in
form
aci
ón
de
l si
ste
ma
ope
rativ
o y
a
plic
aci
one
s in
sta
lada
s.
Info
rma
ción
visi
ble
de
l si
ste
ma
ope
rativ
o y
ve
rsió
n d
el m
ism
o
2
1
3
R23
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Dañ
os
pro
voca
do
s p
or
Te
rcero
s F
alta
de
con
tra
señ
a a
l n
ive
l de
la B
IOS
1
1
2
R25
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Fa
lsifi
caci
ón d
e C
ert
ifica
do
C
ert
ifica
do
ge
nera
do p
or
la m
ism
a e
mp
resa
. 2
2
4
R29
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Acc
eso
rem
oto
au
toriz
ad
o
Inte
rcep
ción
de
in
form
aci
ón
co
n u
n M
an
in T
he
Mid
dle
.
2
1
3
R30
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Acc
eso
no
au
toriz
ad
o a
l se
rvid
or
y a
info
rma
ció
n v
ital
alm
ace
nad
a e
n e
l mis
mo
, a
tra
vés
de
un
a p
ue
rta
tra
sera
.
El p
ue
rto
TC
P 2
3 e
stá
a
bie
rto
en
el s
erv
ido
r.
2
1
3
R31
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
Se
rvid
or
de
ba
se d
e d
ato
s e
s su
sce
ptib
le
a u
n a
taqu
e d
e
de
nega
ción
de
se
rvic
io e
in
fecc
ión
de
viru
s.
El p
ue
rto
TC
P 8
080
est
á
ab
iert
o e
n e
l se
rvid
or.
2
1
3
R3
2 S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
La
re
d a
la q
ue
se
en
cue
ntr
a co
ne
cta
do
el s
erv
ido
r p
ued
e
ser
susc
ept
ible
a a
taqu
es
inte
rno
s o
ext
ern
os
Resp
ue
sta
a p
aqu
ete
s IC
MP
de
ntro
de
la m
ism
a
red
2
1
3
R33
S
erv
ido
r d
e
Pro
gram
as
Cep
sa S
.A
La
se
gurid
ad f
ísic
a d
el
serv
ido
r se
ve
ría
afe
cta
da
. N
o s
e c
uen
ta c
on
po
lític
as
de
se
gurid
ad
fí
sica
do
cum
ent
ada
s
2
1
3
62
de
ntr
o d
e la
org
an
iza
ción
.
Tab
la 2
-13
Mat
riz
de
Eva
luac
ión
de
Rie
sgos
63
2.3.
3 T
rata
mie
nto
del
Rie
sgo:
Sel
ecci
ón d
e co
ntr
oles
En
la s
igu
ien
te t
abla
se
mue
stra
los
cont
role
s se
ccio
na
dos
pa
ra lo
s rie
sgo
s co
n c
alif
icaci
ón d
e 3
-4,
la m
atr
iz c
om
ple
ta d
e e
ncu
ent
ra
en
el A
NE
XO
I
M
AT
RIZ
DE
TR
AT
AM
IEN
TO
DE
RIE
SG
OS
Nro
N
om
bre
d
el
Ac
tiv
o
Pro
pie
tari
o
de
l A
cti
vo
Am
en
aza
V
uln
era
bili
da
d
An
tes
de
l T
rata
mie
nto
T
rata
mie
nto
D
esp
ués
de
l T
rata
mie
nto
Im
pa
ct
o
Pro
ba
bil
ida
d
Rie
sg
o
Op
ció
n
(1.2
.3.
4.)
Co
ntr
ol
(si
op
ció
n =
1)
Imp
ac
to
Pro
ba
bil
ida
d
Rie
sg
o
R03
E
quip
os
Cep
sa
Cep
sa
S.A
D
añ
ar
los
equ
ipo
s p
or
de
rra
me
d
e
be
bid
as
o a
lime
nto
s.
No
exi
ste
p
olít
ica
s d
e p
roh
ibic
ión
de
a
lime
nto
s y
be
bid
as
cerc
a d
e l
os
equ
ipo
s.
1
2
3
1
* A
.5.1
.1.
Docu
men
to d
e p
olít
ica
de
se
gurid
ad
de
la in
form
aci
ón
.
* A
.7.1
Re
spo
nsa
bili
dad
so
bre
los
act
ivo
s
* A
.7.1
.1 P
rop
ied
ad d
e lo
s a
ctiv
os.
* A
.7.1
.2 U
so a
cep
tab
le d
e lo
s a
ctiv
os.
1
1
2
R14
E
quip
os
Cep
sa
Cep
sa
S.A
M
al
ma
nejo
de
la
info
rma
ció
n
Lo
s e
mp
lea
dos
no
co
noce
n p
olít
ica
s d
e se
gurid
ad
d
e
info
rma
ción
2
1
3
1
* A
.5.1
.1 D
ocu
men
to d
e P
olít
ica
de
se
gurid
ad
de
la in
form
aci
ón
* A
.6.1
.5 A
cue
rdo
s d
e
conf
ide
nci
alid
ad.
* A
.8.2
.2 C
on
cien
ciaci
ón
, fo
rma
ció
n y
ca
pa
cita
ció
n e
n
segu
rida
d d
e la
info
rma
ción
.
1
0
1
64
pa
ra
el
ma
nejo
d
e la
mis
ma
R17
S
erv
id
or
de
P
rogr
am
as
Cep
sa
S.A
S
usp
ensi
ón
d
el
serv
icio
Fa
lta
de
pla
n
de
con
tinge
nci
a
2
1
3
1
* A
.6.1
.1 C
oo
rdin
aci
ón
de
la
segu
rida
d d
e la
info
rma
ción
.
* A
.6.1
.8 R
evi
sió
n in
dep
end
ient
e
de
la s
egu
rida
d d
e la
se
gurid
ad
de
la
info
rma
ción.
*
A.6
.2.1
Tra
tam
ien
to d
e la
se
gurid
ad
en
la r
ela
ción
co
n lo
s cl
ien
tes.
*
A.1
0.2
.1 P
rovi
sió
n d
e se
rvic
ios.
* A
.10
.2.2
Su
pe
rvis
ión
y r
evi
sió
n
de
los
serv
icio
s p
rest
ado
s po
r te
rcero
s.
*
A.1
4.1
.2 C
ontin
uid
ad
de
l ne
goci
o
y e
valu
aci
ón
de
rie
sgos
.
* A
.14
.1.3
Desa
rro
llo e
im
pla
nta
ción
de
pla
ne
s d
e
con
tinu
ida
d qu
e in
cluya
n la
se
gurid
ad
de
la in
form
aci
ón
.
1
0
1
R29
S
erv
id
or
de
P
rogr
am
as
Cep
sa
S.A
A
cce
so
rem
oto
a
uto
riza
do
Inte
rcep
ción
d
e
info
rma
ción
co
n u
n M
an
in
Th
e M
idd
le.
2
1
3
1
* A
.10
.6.1
Se
gurid
ad
de
los
serv
icio
s d
e r
ed
.
*
A.1
1.5
.5 D
esc
on
exi
ón
aut
omá
tica
de
se
sió
n.
* A
.11
.5.6
Lim
itaci
ón d
el t
iem
po
de
co
ne
xión
1
1
2
65
* A
.10
.4.1
Con
tro
les
con
tra
el
cód
igo
ma
licio
so.
* A
.12
.2.1
Va
lida
ción
de
los
da
tos
de
en
tra
da.
*
A.1
2.2
.3 In
tegr
ida
d d
e lo
s m
en
saje
s.
* A
.12
.2.4
Va
lida
ción
de
los
dato
s d
e s
alid
a.
*
A.1
2.3
.1 P
olít
ica
de
uso
de
los
con
tro
les
crip
togr
áfic
os.
R30
S
erv
id
or
de
P
rogr
am
as
Cep
sa
S.A
A
cce
so n
o a
uto
riza
do
a
l se
rvid
or
y
a
info
rma
ció
n
vita
l a
lma
cen
ad
a
en
el
mis
mo
, a
tra
vés
de
u
na
pu
ert
a tr
ase
ra.
El
pu
ert
o T
CP
23
est
á a
bie
rto
en
el
serv
ido
r.
2
1
3
1
* A
.10
.4.1
Con
tro
les
con
tra
el
cód
igo
ma
licio
so
* A
.10
.10
.1 R
egi
stro
s d
e a
ud
itorí
as
*
A.1
0.1
0.2
Su
perv
isió
n d
el u
so d
el
sist
em
a *
A.1
1.1
.1 P
olít
ica
de
co
ntr
ol d
e
acc
eso
*
A.1
1.2
.1 R
egi
stro
de
usu
ario
*
A.1
1.4
.4 D
iagn
óst
ico
rem
oto
y
pro
tecc
ión
de
los
pu
ert
os
de
conf
igu
raci
ón
. *
A.1
1.5
.1 P
roce
dim
ient
o s
egu
ros
de
inic
io d
e s
esi
ón
* A
.11
.5.6
Lim
itaci
ón d
el t
iem
po
de
co
ne
xión
* A
.11
.6.1
Re
stric
ción
de
l acc
eso
a
la in
form
aci
ón
*
A.1
2.4
.3 C
ontr
ol d
e a
cce
so a
l có
dig
o f
uen
te d
e lo
s p
rogr
am
as
* A
.12
.5.4
Fu
gas
de
info
rma
ción
1
1
2
66
* A
.12
.6.1
Con
tro
l de
las
vuln
era
bili
da
de
s té
cnic
as
* A
.15
.1.4
Pro
tecc
ión
de d
ato
s y
priv
aci
da
d d
e la
info
rma
ción
de
ca
ráct
er
pers
ona
l R
32
Se
rvi
do
r d
e
Pro
gra
ma
s
Cep
sa
S.A
L
a r
ed a
la
que
se
e
ncu
en
tra
co
ne
cta
do
el
serv
ido
r p
ued
e
ser
susc
ep
tibl
e
a a
taqu
es
inte
rno
s o
ext
ern
os
Resp
ue
sta
a
p
aqu
ete
s IC
MP
d
en
tro
de
la
mis
ma
re
d
2
1
3
1
* A
.8.1
.2 I
nve
stig
aci
ón
de
a
nte
ced
ente
s *
A.8
.2.1
Re
spo
nsa
bili
da
des
de
la
Dire
cció
n
* A
.8.2
.2.
Con
cie
nci
aci
ón
, fo
rma
ció
n y
ca
pa
cita
ció
n e
n
segu
rida
d d
e la
info
rma
ción
*
A.8
.2.3
Pro
ceso
dis
cip
lina
rio
* A
.8.3
.1 R
esp
on
sab
ilida
d d
el c
eso
o
cam
bio
*
A.1
0.6
.1 C
ontr
ole
s de
re
d
* A
.10
.6.2
Se
gurid
ad
de
los
serv
icio
s d
e r
ed
* A
.10
.10
.1 R
egi
stro
s d
e a
ud
itorí
as
* A
.10
.10
.2 S
upe
rvis
ión
de
l uso
de
l si
ste
ma
* A
.11
.1.1
Po
lític
a d
e c
on
tro
l de
a
cce
so
* A
.11
.4.1
Po
lític
a d
e u
so d
e lo
s se
rvic
ios
de
re
d
* A
.11
.4.3
Ide
ntifi
caci
ón d
e lo
s e
quip
os
en la
s re
de
s *
A.1
1.4
.5 S
egr
ega
ción
de
las
red
es
* A
.11
.5.1
Pro
ced
imie
nto
se
guro
s
1
0
1
67
de
inic
io d
e s
esi
ón
*
A.1
1.5
.6 L
imita
ción
de
l tie
mp
o d
e
con
exi
ón
* A
.12
.1.1
An
ális
is y
esp
eci
ficaci
ón
de
los
requ
isito
s d
e se
gurid
ad
*
A.1
3.1
.1 N
otif
icaci
ón
de
eve
nto
s d
e s
egu
ridad
de
la in
form
aci
ón
*
A.1
3.1
.2 N
otif
icaci
ón
de
los
pu
nto
s dé
bile
s d
e s
egu
rida
d
* C
onf
igu
rar
el f
irew
all
conf
orm
e a
la
s n
ece
sida
des
de la
o
rga
niz
aci
ón
.
Tab
la 2
-14
Mat
riz
de
Tra
tam
ien
to d
e R
iesg
os
68
2.3.
3.1
Dec
lara
ción
de
apli
cab
ilid
ad d
e lo
s co
ntr
oles
sel
ecci
onad
os
En
est
a m
atr
iz s
e d
ecl
ara
la a
plic
ab
ilidad
de
los
riego
s se
lecc
iona
dos
pa
ra lo
s rie
gos
que
ob
tuvi
ero
n p
un
tua
ción
de 3
-4.
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R03
D
añ
ar
los
equ
ipo
s po
r
de
rra
me
de
be
bid
as
o
alim
ent
os
No e
xist
e
po
lític
as
de
pro
hib
ició
n d
e
alim
ent
os
y
be
bid
as
cerc
a d
e
equ
ipo
s.
A.5
.1.1
D
ocu
men
to
de
po
lític
a d
e s
egu
ridad
de
la
info
rma
ción
La
d
irecc
ión
de
be
ap
rob
ar
un
do
cum
ento
d
e se
gurid
ad
d
e
la
info
rma
ción
y
dis
trib
uirl
o
a
los
em
ple
ado
s. A
sí e
ste
rie
sgo
se
rá m
itiga
do
ya
qu
e
exi
stirá
n f
orm
as
de
man
ejo
pa
ra la
info
rma
ción
.
A.7
.1.1
P
rop
ied
ad
de
los
act
ivo
s E
ste
co
ntr
ol
es
apl
ica
ble
p
uest
o qu
e
el
resp
on
sab
le d
el
act
ivo
es
aqu
el
que
def
ine
las
rest
ricci
on
es
de u
so,
ma
nte
nim
ient
o y
se
gurid
ad
de
l m
ism
o,
a
segu
rán
dose
de
qu
e
solo
e
l p
ers
ona
l aut
oriz
ad
o t
enga
acc
eso
al m
ism
o.
A.7
.1.2
U
so
ace
pta
ble
d
e lo
s a
ctiv
os
Est
e
con
tro
l e
s a
plic
ab
le
pue
sto
qu
e
perm
ite
est
ab
lece
r un
a n
orm
ativ
a e
n la
qu
e se
def
inan
los
line
am
ien
tos
nece
sario
s pa
ra e
l uso
ad
ecu
ado
de
los
act
ivo
s,
evi
tan
do
de
est
a m
ane
ra
que
se
in
sta
len
ap
lica
cion
es
ma
licio
sas
en
los
dis
tinto
s h
ost
s d
e la
org
an
iza
ción
.
69
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R14
M
al m
ane
jo d
e la
info
rma
ción
.
Lo
s em
ple
ado
s
no
con
oce
n
po
lític
as
de
segu
rida
d d
e
info
rma
ción
pa
ra
el m
ane
jo d
e la
mis
ma
.
A.5
.1.1
Docu
men
tos
de
P
olít
ica
de
se
gurid
ad
de
la
info
rma
ción
La
d
irecc
ión
de
be
ap
rob
ar
un
do
cum
ento
d
e se
gurid
ad
d
e
la
info
rma
ción
y
dis
trib
uirl
o
a
los
em
ple
ado
s. A
sí e
ste
rie
sgo
se
rá m
itiga
do
ya
qu
e
exi
stirá
n f
orm
as
de
man
ejo
pa
ra la
info
rma
ción
A.6
.1.5
A
cue
rdo
s de
co
nfid
en
cialid
ad
Es
ap
lica
ble
ya
qu
e
de
be
de
term
ina
rse
y
revi
sars
e
pe
riód
icam
en
te
la
ne
cesi
dad
d
e e
sta
ble
cer
acu
erd
os
conf
ide
nci
alid
ad
y
no
reve
laci
ón
, qu
e
refle
jen
la
s n
ece
sidad
es
de
la
o
rga
niz
aci
ón
.
A.8
.2.2
C
on
cien
tiza
ción
, fo
rma
ció
n y
cap
aci
taci
ón
en
se
gurid
ad
d
e
la
info
rma
ción
Est
e
con
tro
l e
s ap
licab
le
pue
sto
qu
e
pa
ra
ase
gura
rse d
e q
ue
los
em
ple
ado
s a
pliq
uen
las
po
lític
as
que
se
han
est
ab
leci
do
, e
s im
port
an
te
que
co
no
zca
n l
a f
orm
a a
decu
ada
de
ap
lica
rlas
y se
an
co
nsc
ient
es
de la
imp
ort
an
cia d
e la
s m
ism
as
pa
ra
la
segu
ridad
d
e lo
s a
ctiv
os
de
la
o
rga
niz
aci
ón
y
com
o
su
acc
ion
es
afe
cta
n a
la
se
gurid
ad
de
los
act
ivo
s d
e la
org
an
iza
ción
.
70
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R17
S
usp
ensi
ón
de
l
serv
icio
.
Fa
lta d
e p
lan
de
con
tinge
nci
a.
A.6
.1.2
Co
ord
ina
ción
de
la
segu
rida
d
de
la
info
rma
ción
Es
ap
licab
le y
a q
ue
las
act
ivid
ad
es
rela
tiva
s a
las
segu
rida
d
de
la
in
form
aci
ón
deb
en
ser
coo
rdin
ada
s e
ntr
e
los
rep
rese
nta
nte
s d
e la
s
dife
ren
tes
pa
rte
s d
e la
o
rga
niz
aci
ón
co
n
sus
resp
ect
ivo
s ro
les.
A.6
.1.8
R
evi
sió
n
ind
epe
nd
ien
te
de
la
segu
rida
d
de
la
info
rma
ción
.
Est
e c
on
tro
l e
s a
plic
able
ya
qu
e e
l e
nfo
que
de
la
org
an
iza
ción
pa
ra l
a g
est
ión
de
se
gurid
ad
de
be
pla
nte
ar
obje
tivo
s d
e c
on
tro
l, p
olít
ica
s, p
roce
sos
y
pro
ced
imie
nto
s, lo
s m
ism
os
que
de
ben
som
ete
rse
a
un
a
revi
sió
n
ind
epe
nd
ien
te
in
terv
alo
s
pla
nifi
cado
s.
A.6
.2.1
Tra
tam
ient
o
de
la
segu
rida
d
en
la
rela
ción
co
n
los
clie
nte
s.
Deb
e a
plic
ars
e t
odo
s lo
s re
quis
itos
de
se
gurid
ad
ide
ntif
icad
os
ant
es
de
oto
rga
r a
cce
so
a lo
s
clie
nte
s a
la in
form
aci
ón d
e la
org
an
iza
ción
.
A.1
0.2
.1
Pro
visi
ón
de
serv
icio
s
Est
e
con
tro
l e
s ap
lica
ble
ya
qu
e
exis
ten
dis
po
sitiv
os
terc
eriz
ad
os
de
ntro
d
e la
org
an
iza
ción
, p
or
lo q
ue
se
de
be
com
pro
bar
los
71
con
tro
les
de
se
gurid
ad
, d
efin
icio
ne
s de
lo
s
serv
icio
s y
los
niv
ele
s d
e p
rovi
sió
n,
incl
uid
os e
n
los
acu
erd
os
de
p
rovi
sió
n
de
se
rvic
ios
po
r
terc
ero
s.
A.1
0.2
.2
Sup
erv
isió
n
y
revi
sió
n d
e l
os
serv
icio
s
pre
sta
dos
por
terc
ero
s.
Lo
s se
rvic
ios,
info
rme
s y
regi
stro
s p
rop
orc
iona
do
s
po
r u
n t
erc
ero
de
ben
est
ar
suje
tos
a s
upe
rvis
ión
y
revi
sió
n p
erió
dic
as,
ade
má
s d
e re
aliz
ar
au
dito
ría
s.
A.1
4.1
.2
Con
tinu
idad
de
l n
ego
cio
y
eva
lua
ción
de
rie
sgo
s.
Est
e
con
tro
l e
s a
plic
ab
le
ya
que
se
d
ebe
ide
ntif
icar
los
eve
nto
s qu
e
pu
eda
n ca
usa
r
inte
rru
pci
ón
en
los
pro
ceso
s de
l ne
goci
o a
sí c
om
o
la
pro
bab
ilida
d qu
e
se
pro
du
zca
n
est
as
inte
rru
pci
one
s.
A.1
4.1
.3
Desa
rro
llo
e
imp
lant
aci
ón d
e p
lane
s
de
co
ntin
uid
ad
que
incl
uya
n
la
segu
rida
d
de
la in
form
aci
ón.
Es
ap
lica
ble
ya
qu
e
de
be
de
sarr
olla
rse
e
imp
lant
ars
e p
lan
es
par
a m
an
tene
r o
rest
au
rar
las
op
era
cion
es
y ga
ran
tiza
r la
dis
po
nib
ilid
ad
de
la
info
rma
ción
en
el n
ive
l y t
iem
po
re
que
rido
.
72
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R29
A
cce
so r
emot
o
no
au
toriz
ad
o.
Inte
rcep
ción
de
info
rma
ción
co
n
un
Ma
n in
the
Mid
dle
.
A.1
0.6
.1
Se
gurid
ad
de
los
serv
icio
s d
e r
ed
.
Est
e c
ont
rol
es
ap
licab
le p
ue
sto
qu
e t
enie
ndo
en
cue
nta
qu
e
los
serv
icio
s d
e
red
d
eben
se
r
pro
vist
os
con
la
s ca
ract
erí
stic
as
mín
imas
d
e
segu
rida
d,
pe
rmiti
ría
id
en
tific
ar
las
cara
cte
ríst
ica
s
de
se
gurid
ad c
omo
fire
wa
ll o
ID
S.
A.1
1.5
.5
Desc
one
xión
au
tom
átic
a d
e s
esi
ón
.
L
as
sesi
one
s in
act
iva
s d
eb
en
ce
rra
rse d
esp
ué
s
de
un
pe
riodo
ina
ctiv
o d
efin
ido
pa
ra e
vita
r ro
bo
de
info
rma
ción
o p
érd
ida
.
A.1
1.5
.6
Lim
itaci
ón
de
l
tiem
po d
e c
one
xión
S
erí
a
ap
lica
ble
ya
qu
e
pe
rmite
re
strin
gir
ap
lica
cione
s se
nsi
ble
s d
el c
omp
uta
do
r, p
or
lo q
ue
dis
min
uirí
a
la
po
sibili
da
d
de
que
se
re
alic
en
ata
que
s in
tern
os
ap
rove
cha
nd
o v
uln
era
bili
da
des
en
las
mis
ma
s.
A.1
0.4
.1
Co
ntr
ole
s
con
tra
e
l có
dig
o
ma
licio
so.
Est
e
con
tro
l e
s a
plic
ab
le
pue
sto
qu
e
perm
ite
est
ab
lece
r re
spon
sabi
lida
de
s y
pro
ced
imie
nto
s
pa
ra
tra
tar
la
pro
tecc
ión
co
ntr
a
el
cód
igo
ma
licio
so,
por
end
e di
smin
uirí
a l
a p
osi
bili
dad
de
cód
igo
ma
licio
so s
ea e
jecu
tad
o d
entr
o d
e lo
s h
ost
73
de
la o
rga
niz
aci
ón
.
A.1
2.2
.1
Va
lida
ción
de
los
da
tos
de e
ntr
ada
La
intr
odu
cció
n d
e d
ato
s e
n la
s a
plic
aci
one
s d
ebe
valid
ars
e p
ara
ga
ran
tiza
r qu
e d
icho
s d
ato
s so
n
corr
ect
os
y a
de
cua
dos,
ad
emá
s qu
e e
sto
s d
ato
s
si
fue
sen
in
sert
ado
s in
corr
ect
ame
nte
de
be
ría
ha
ber
una
re
stric
ció
n d
e n
úme
ro d
e in
ten
tos.
A.1
2.2
.3
Inte
grid
ad
de
los
men
saje
s.
Est
e c
ontr
ol
ap
lica
ya
qu
e s
e d
ebe
ide
ntif
icar
los
requ
isito
s p
ara
ga
ran
tiza
r la
au
ten
ticid
ad
y p
ara
pro
tege
rla
inte
grid
ad
de
lo
s m
en
saje
s en
la
s
ap
lica
cione
s p
or
lo q
ue s
e d
eb
e p
one
r co
ntro
les
ad
ecu
ado
s.
A.1
2.2
.4
Va
lida
ción
de
los
da
tos
de s
alid
a.
Lo
s d
ato
s de
sa
lida
de
un
a a
plic
aci
ón
se
de
ben
valid
ar
pa
ra g
ara
ntiz
ar
que
el
tra
tam
ien
to d
e l
a
info
rma
ción
alm
ace
na e
s co
rre
cto
y a
decu
ado
a
las
circ
un
stan
cias.
A.1
2.3
.1 P
olít
ica
de
uso
de
lo
s co
ntr
ole
s
crip
togr
áfic
os.
Est
e c
on
tro
l e
s ap
licab
le y
a q
ue
la i
nfo
rma
ción
que
alm
ace
na
el s
erv
ido
r e
s im
port
ante
po
r lo
qu
e
se d
ebe
fo
rmu
lar
e i
mp
lan
tar
un
a p
olít
ica
par
a e
l
uso
de
co
ntr
ole
s cr
ipto
gráfic
os
para
pro
tege
r la
info
rma
ción
.
74
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R30
Acc
eso
no
au
toriz
ad
o a
l
serv
ido
r y
a
info
rma
ción
vita
l
alm
ace
nad
a e
n e
l
mis
mo
, a
travé
s
de
un
a p
ue
rta
tra
sera
.
El p
ue
rto
TC
P 2
3
est
á a
bie
rto
en
el
serv
ido
r.
A.1
0.4
.1
Co
ntr
ole
s
con
tra
e
l có
dig
o
ma
licio
so
Est
e
con
tro
l se
a
plic
a
pu
est
o
que
im
plic
a
la
imp
lem
ent
aci
ón
de
so
ftw
are
d
e
de
tecc
ión
y
rep
ara
ció
n
de
có
dig
o
ma
licio
so,
adem
ás
de
con
tro
les
pre
ven
tivo
s y
rutin
ario
s, q
ue
pe
rmita
n
pro
tege
r d
e m
alw
are
o v
irus
al s
erv
ido
r.
A.1
0.1
0.1
R
egi
stro
s d
e
au
dito
ría
s
Est
e
con
tro
l e
s a
plic
ab
le
pue
sto
qu
e
perm
ite
ide
ntif
icar
los
acc
eso
s n
o a
uto
riza
do
s qu
e s
e h
an
rea
liza
do
e
n
el
serv
ido
r y
po
de
r d
arle
s u
n
segu
imie
nto
ad
ecu
ado
.
A.1
0.1
0.2
S
up
erv
isió
n
de
l uso
de
l sis
tem
a
Si
serí
a a
plic
ab
le y
a q
ue
est
e c
on
tro
l pe
rmiti
ría
ten
er
con
oci
mie
nto
d
e
viola
cion
es
sob
re
las
po
lític
as
de
acc
eso
as
í co
mo
n
otif
icaci
on
es
de
fire
wa
ll y
pu
ert
as
de e
nla
ce.
A.1
1.1
.1
Po
lític
a
de
con
tro
l de
acc
eso
Si e
s a
plic
ab
le,
dad
o q
ue
pe
rmiti
ría
est
ab
lece
r lo
s
line
am
ien
tos
ade
cua
do
s pa
ra
el
acce
so
con
tro
lad
o s
obre
los
act
ivo
s d
e i
nfo
rma
ción
, e
n
est
e c
aso
so
bre
el s
erv
ido
r.
75
A.1
1.2
.1
Regi
stro
de
usu
ario
Si
serí
a
ap
lica
ble
ya
qu
e
est
e
con
tro
l pe
rmite
est
ab
lece
r u
na ú
nic
a id
en
tific
aci
ón
de
los
usu
ario
s
ha
ciénd
ole
s re
spo
nsa
ble
s d
e
sus
acc
ion
es,
en
est
e c
aso
si
un u
sua
rio t
rata
de
ap
rove
cha
rse
de
los
pue
rto
s ab
iert
os
serí
a d
ete
ctad
o y
blo
quea
ndo
inm
edia
tam
ente
.
A.1
1.4
.4
Dia
gnó
stic
o
rem
oto
y p
rote
cció
n de
los
pu
ert
os
de
conf
igu
raci
ón
.
Est
e
con
tro
l se
ap
lica
p
uest
o
que
pe
rmite
con
tro
lar
a
los
pue
rto
s y
los
serv
icio
s qu
e
se
eje
cuta
n e
n lo
s m
ism
os,
po
r e
nde
al t
ene
r p
uert
os
ab
iert
os
con
vu
lne
rab
ilida
des,
e
sto
s se
ría
n
ad
min
istr
ad
os
de
form
a c
orr
ect
a.
A.1
1.5
.1
Pro
ced
imie
nto
segu
ros
de
inic
io
de
sesi
ón
Si
serí
a a
plic
ab
le t
en
ien
do e
n c
ue
nta
qu
e u
no
de
los
line
amie
nto
s de
est
e c
ont
rol
es
no m
ostr
ar
me
nsa
jes
de
ayu
da
du
ran
te e
l p
roce
dim
ient
o d
e
regi
stro
de
inic
io q
ue
ayu
de
n a
los
usu
ario
s no
au
toriz
ad
os,
en
est
e ca
so s
i e
l a
taca
nte
pu
ede
acc
ede
r a
l sis
tem
a s
e le
lim
itarí
a la
po
sibili
dad
de
éxi
to.
A.1
1.5
.6
Lim
itaci
ón
de
l
tiem
po d
e c
one
xión
Si s
e a
plic
arí
a p
ue
sto
qu
e o
blig
arí
a a
l usu
ari
o q
ue
se v
ue
lva
a
au
ten
tica
r a
inte
rva
los
det
erm
ina
do
s,
76
dis
min
uye
ndo
así
la p
rob
abili
da
d d
e a
cce
so n
o
au
toriz
ad
o a
l se
rvid
or.
A.1
1.6
.1 R
est
ricci
ón
de
l
acc
eso
a la
info
rma
ción
Se
ap
lica
ya
qu
e p
erm
ite c
on
tro
lar
los
de
rech
os
de
acc
eso
de
otr
as
aplic
aci
on
es,
en
est
e c
aso
al
ten
er
pue
rto
s ab
iert
os
se
po
drí
a
con
tro
lar
que
ap
lica
cione
s h
ace
n u
so
de
qu
é
serv
icio
s,
ayu
da
ndo
a m
inim
iza
r e
l a
cce
so n
o a
uto
riza
do
al
serv
ido
r.
A.1
2.4
.3
Con
tro
l de
acc
eso
al
cód
igo
fu
ente
de
los
pro
gram
as
Se
ap
lica
p
uest
o qu
e
ade
má
s de
qu
e
perm
ite
con
tro
lar
el
acc
eso
a
l có
dig
o
fuen
te
de
las
ap
lica
cione
s qu
e
desa
rro
lla
la
org
an
izaci
ón
tam
bié
n
pe
rmite
co
ntr
ola
r e
l u
so
ind
ebid
o d
el
mis
mo
, e
vita
nd
o
que
se
rea
lice
n
cam
bio
s n
o
au
toriz
ad
os,
m
inim
izan
do
la
p
osi
bili
dad
d
e qu
e
ocu
rra
n a
cce
sos
no
au
toriz
ad
os
así
com
o e
l u
so
ind
eb
ido
de
la in
form
ació
n.
A.1
2.5
.4
Fu
gas
de
info
rma
ción
Se
ap
lica
de
bid
o a
que
est
e c
on
tro
l pe
rmite
evi
tar
op
ort
unid
ade
s d
e
que
se
p
rod
uzc
an
fu
gas
de
info
rma
ción
, u
na
de
est
as
opo
rtu
nid
ade
s se
ría
el
acc
eso
n
o
auto
riza
do
, m
inim
iza
ndo
a
sí
la
77
po
sibili
da
d d
e qu
e o
curr
a e
l mis
mo
.
A.1
2.6
.1 C
on
tro
l d
e l
as
vuln
era
bili
da
de
s
técn
icas
Se
ap
lica
ya
qu
e
est
e
cont
rol
pe
rmite
o
bte
ne
r
info
rma
ción
so
bre
la
s vu
lne
rab
ilida
de
s té
cnic
as
de
los
sist
ema
s d
e in
form
aci
ón q
ue
est
án
en u
so
de
ntr
o d
e la
org
an
iza
ción
, e
n e
ste
ca
so p
erm
itirí
a
tra
tar
los
riesg
os
aso
ciad
os
al
tene
r p
uert
os
ab
iert
os
en
el s
erv
ido
r.
A.1
5.1
.4
Pro
tecc
ión
de
da
tos
y p
riva
cida
d d
e la
info
rma
ción
de
cará
cte
r
pe
rsona
l
Se
ap
lica
po
r e
l mo
tivo
de
qu
e d
icho
co
ntr
ol t
om
a
en
cue
nta
la p
rote
cció
n d
e lo
s d
ato
s de
acu
erdo
a
la legi
sla
ción
y r
egl
am
en
tos
pert
ine
nte
s, p
or
en
de
pe
rmiti
ría
el
ade
cua
do m
ane
jo d
e la
inf
orm
aci
ón
sen
sible
así
co
mo
su
co
rre
cto
acc
eso
.
78
N°
Rie
sg
o
Am
en
aza
V
uln
era
bili
da
d
Co
ntr
ol
Dec
lara
ció
n d
e A
pli
ca
bil
ida
d
R32
L
a r
ed
a la
qu
e
se e
ncu
ent
ra
con
ect
ad
o e
l
serv
ido
r p
ue
de
ser
susc
ept
ible
a
ata
que
s in
tern
os
o e
xte
rno
s.
Resp
ue
sta
a
pa
que
te I
CM
P
de
ntr
o d
e la
mis
ma
re
d.
A.8
.2.1
R
esp
on
sab
ilidad
es
de
la D
irecc
ión
Est
e c
on
tro
l es
ap
licab
le d
ad
o q
ue
es
la d
irecc
ión
e
s qu
ien
d
eb
e
gara
ntiz
ar
que
lo
s e
mp
lea
dos
ten
ga
las
dire
ctric
es
ne
cesa
rias
resp
ect
o a
la
se
gurid
ad
de
la
info
rma
ción
an
tes
de q
ue
ten
gan
acc
eso
a l
os
act
ivo
s cr
ítico
s d
e l
a o
rga
niz
aci
ón
. A
dem
ás
de
ben
ase
gura
r e
l cum
plim
ien
to d
e e
stas
d
irect
rice
s qu
e s
e h
an d
efin
ido
.
A.8
.2.2
. C
on
cien
ciaci
ón,
form
aci
ón
y ca
pa
cita
ción
en
se
gurid
ad
d
e
la
info
rma
ción
Po
r lo
qu
e
los
em
ple
ad
os
reci
birí
an
a
ctu
aliz
aci
on
es
de
la
s p
olít
ica
s d
e
segu
rida
d a
plic
ad
as
al
act
ivo
crí
tico
de
la
org
an
iza
ción
, y
est
arí
a c
on
scie
nte
de
la i
mp
ort
anci
a d
e c
ump
lir
las
mis
ma
s,
por
end
e
se
miti
garí
an
e
n gr
an
m
ed
ida
po
sible
s a
taqu
e in
tern
os
com
o e
xte
rno
s.
A.8
.2.3
P
roce
so
dis
cip
lina
rio
Est
e c
ontr
ol
es
aplic
able
pue
sto
qu
e e
n c
aso
de
que
se
re
alic
en
a
taqu
es
de
sde
de
ntr
o
de
la
o
rga
niz
aci
ón
, p
erm
itirí
a
la
ap
lica
ción
d
e la
s m
ed
ida
s ne
cesa
rias
para
sa
nci
ona
r a
l em
ple
ado
, in
clu
so ll
ega
ndo
al c
ese
de
fun
cio
ne
s d
el m
ism
o.
A.8
.3.1
R
esp
on
sab
ilidad
de
l ce
so o
cam
bio
Est
e c
on
tro
l e
s a
plic
able
da
do q
ue
al
term
ina
r de
fo
rma
ad
ecu
ada
e
l co
ntr
ato
co
n
un
em
ple
ado
, e
ste
n
o
tend
ría
n
ingú
n
tipo
de
re
sent
imie
nto
co
ntr
a
la
org
an
iza
ción
, e
vita
nd
o
así
qu
e
tom
e re
pre
salia
s co
mo
qu
e a
taqu
e d
e f
orm
a e
xte
rna
a
la o
rga
niz
aci
ón
. A
.10
.6.1
C
ontr
ole
s de
E
ste
co
ntr
ol e
s a
plic
abl
e p
uest
o qu
e in
dic
a q
ue
es
79
red
co
nve
nie
nte
est
ab
lece
r co
ntr
ole
s e
spe
ciale
s p
ara
sa
lva
gua
rda
r la
co
nfid
en
cialid
ad y
la in
tegr
ida
d d
e lo
s d
ato
s qu
e p
asa
n p
or
las
red
es
pro
tegi
énd
ola
d
e d
istin
tas
am
ena
zas.
A
.10
.6.2
S
egu
rida
d
de
los
serv
icio
s d
e r
ed
E
ste
co
ntro
l e
s a
plic
able
pu
est
o q
ue
ten
iend
o e
n cu
en
ta
que
lo
s se
rvic
ios
de
re
d
deb
en
ser
pro
vist
os
con
la
s ca
ract
erí
stic
as
mín
imas
d
e se
gurid
ad
, p
erm
itirí
a i
de
ntif
ica
r la
s ca
ract
erí
stic
as
de
se
gurid
ad c
omo
firew
all
o I
DS
. A
.10
.10
.1
Regi
stro
s d
e
au
dito
ría
s E
ste
co
ntro
l e
s a
plic
able
pu
est
o q
ue
la a
udi
torí
a
en
e
ste
ca
so
pe
rmiti
ría
co
no
cer
que
h
ost
a
cce
die
ron
a q
ue
se
rvic
ios
y a
rchiv
os,
así
co
mo
el
tipo
de
acc
eso
qu
e tu
viero
n a
l se
rvid
or.
A
.10
.10
.2
Su
pe
rvis
ión
d
el u
so d
el s
iste
ma
E
ste
co
ntr
ol
es
ap
lica
ble
p
ue
sto
qu
e
perm
itirí
a
rea
liza
r u
na
su
pe
rvis
ión
d
e
los
acc
eso
s n
o a
uto
riza
do
s qu
e se
re
aliz
aro
n
al
serv
ido
r,
así
co
mo
de
op
era
cion
es
priv
ilegi
ad
as
de
ntr
o d
e l
a re
d.
A.1
1.1
.1
Po
lític
a
de
co
ntr
ol d
e a
cce
so
Si e
s a
plic
ab
le,
dad
o q
ue
pe
rmiti
ría
est
ab
lece
r lo
s lin
ea
mie
nto
s a
decu
ad
os
para
e
l ac
ceso
co
ntr
ola
do
sob
re l
os
act
ivo
s d
e i
nfo
rma
ción
, e
n e
ste
ca
so s
ob
re e
l se
rvid
or.
A
.11
.4.1
Po
lític
a d
e u
so
de
los
serv
icio
s d
e r
ed
E
ste
co
ntro
l e
s a
plic
ab
le p
uest
o q
ue
ind
ica
los
con
tro
les
y p
roce
dim
ien
tos
de
ge
stió
n p
ara
p
rote
ger
el
acc
eso
a l
a r
ed
y a
su
s se
rvic
ios,
de
ma
nera
qu
e e
sta
no
se
a s
usc
eptib
le a
ata
que
s in
tern
os.
A
.11
.4.3
Id
ent
ifica
ción
d
e
los
equ
ipo
s en
la
s re
de
s
Est
e
con
tro
l e
s a
plic
ab
le
pue
sto
qu
e
perm
ite
ide
ntif
icar
si
los
equ
ipo
s co
nect
ado
s a
la
re
d
tien
en la
aut
oriz
aci
ón
de
ha
cerlo
o n
o,
de m
an
era
80
que
se
e
vite
n
ata
que
s d
esd
e
equ
ipos
n
o a
uto
riza
do
s.
A.1
1.4
.5
Se
grega
ción
d
e la
s re
de
s E
ste
co
ntro
l e
s a
plic
ab
le
pue
sto
qu
e
imp
lica
div
idir
la r
ed
de
la
emp
resa
en
dom
inio
s ló
gico
s,
cad
a u
no
pro
tegi
do
por
un
pe
rím
etro
de
se
gurid
ad
que
p
erm
ita
con
tro
lar
el
acc
eso
y
flujo
d
e
la
info
rma
ción
ha
cia
la r
ed
difi
culta
ndo
la o
curr
en
cia
de
ata
que
s in
tern
os
com
o e
xte
rno
al s
erv
ido
r.
A.1
1.5
.1
Pro
ced
imie
nto
se
guro
s d
e in
icio
de
se
sión
Al
mo
stra
r ad
vert
enc
ias
sob
re
que
u
sua
rios
au
toriz
ad
os
pu
eden
acc
ed
er
al s
erv
ido
r y
ad
emá
s d
e l
imita
r e
l tie
mp
o m
áxi
mo
pa
ra l
a i
de
ntif
ica
ción,
m
inim
iza
ría
la
p
osi
bili
da
d
de
qu
e
usu
ario
s in
tern
os
acc
eda
n
al
mis
mo
, po
r lo
qu
e e
ste
con
tro
l se
ría
ap
lica
ble
. A
.12
.1.1
A
nális
is
y e
spe
cific
aci
ón
de
los
requ
isito
s d
e s
egu
ridad
Se
ap
lica
da
do q
ue
este
con
tro
l p
erm
ite a
naliz
ar
las
esp
eci
ficaci
on
es
de
lo
s re
quis
itos
de
segu
rida
d
de
los
nu
evo
s si
ste
ma
s qu
e se
im
ple
me
nte
n de
ntr
o la
org
an
iza
ción
, en
est
e c
aso
p
erm
itirí
a
min
imiz
ar
la
posi
bili
da
d d
e a
taqu
es
inte
rno
s y
ext
ern
os,
aso
ciad
os
a lo
s m
ism
os.
A
.13
.1.1
No
tific
aci
ón d
e
eve
nto
s de
se
gurid
ad
de
la in
form
aci
ón
Se
ap
lica
pu
est
o q
ue
si s
e id
entif
ican
fa
len
cias
en
la r
ed
po
r p
art
e d
e lo
s e
mp
lea
dos,
dic
ho
s e
ven
tos
de
berí
an
se
r co
mun
ica
do
s d
e fo
rma
ad
ecu
ad
a,
de
ta
l fo
rma
que
se
los
logr
e
con
tro
lar
corr
ect
am
en
te.
A.1
3.1
.2 N
otif
icaci
ón d
e
los
pu
nto
s d
éb
iles
de
segu
rida
d
Se
ap
lica
dad
o q
ue
perm
ite q
ue
se r
epo
rten
las
de
bili
dad
es
de
segu
rida
d
d
e
los
sist
ema
s o
serv
icio
s,
en
e
ste
caso
pe
rmiti
ría
e
stab
lece
r p
un
tos
déb
iles
de l
a r
ed
don
de
est
á u
bic
ado
el
serv
ido
r, m
ino
ran
do
la p
rob
ab
ilida
d q
ue e
xist
an
81
acc
eso
s n
o a
uto
riza
do
s a
l mis
mo
.
Tab
la 2
-15
Mat
riz
de
Dec
lara
ción
de
Ap
lica
bil
idad
a C
ontr
oles
Sel
ecci
onad
os
Así
co
mo
se
de
clara
la a
plic
ab
ilidad
de
los
con
tro
les
sele
ccio
nad
os
tam
bié
n s
e d
ecl
ara
la a
plic
ab
ilida
d d
e lo
s co
ntr
ole
s n
o
sele
ccio
nad
os,
la m
atr
iz s
e e
ncu
entr
a e
n e
l AN
EX
O J
, e
n e
l do
cum
ento
De
cla
raci
ón
de
Ap
licab
ilida
d.
82
2.3.4 Conclusiones
· Para seleccionar correctamente un control se debe leer todos los
controles del Anexo A de la norma NTE-ISO-IEC_27003-2012 donde se
detalla controles para cada ámbito de la seguridad de la información,
una vez leídos se escoge el control que este más enfocado al riesgo y el
cual pueda ayudar a su mitigación total o parcial.
· Al declarar la aplicabilidad de cada control seleccionado se ratifica que
ese control fue el más acorde al riego y que la implementación del
mismo será de utilidad para la mitigación del riesgo.
· No todos los controles son seleccionados ya que en el Anexo A de la
norma NTE-ISO-IEC_27003-2012 contempla todos los riesgos posibles
asociados a la seguridad de la información y al realizar un análisis de los
riesgos se toman en cuenta los riesgos altos y críticos (nivel 3-4), solo a
estos riesgos se les van a dar controles. Cada riesgo abarca un ámbito
diferente de la seguridad de la información en ocasiones pueden ser
varios, pero no abarcan todos de aquí que se declare la aplicabilidad de
los controles no seleccionados donde se ratifica que ese control no
aplica para los riesgos encontrados.
83
2.4 ELABORACIÓN DEL PLAN DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
El plan de Gestión de seguridad de la información está compuesto de varios
entregables los mismos que están definidos por fases, a continuación se detalla
cada una de las fases del SGSI y de los entregables de las mismas.
2.4.1 Descripción del Plan del SGSI
La elaboración del SGSI está basada en el modelo (PDCA) Plan-Do-Check-Act,
con su significado en español, Planear-Hacer-Revisar-Actuar.
Cada fase del SGSI debe cumplir la secuencia de este modelo para su
aprobación, por lo cual a continuación se detalla las 4 fases de este modelo y
como las mimas se relacionan con los objetivos del negocio y la elaboración del
SGSI.
2.4.1.1 Descripción del modelo PDCA
Antes de la realización de un SGSI es importante tener claros varios puntos
para que este pueda culminar con éxito, dentro de los principales puntos que
se deben tomar en cuenta de los objetivos y metas del negocio son los
siguientes:
· Definir políticas de seguridad de la información
· Definir objetivos y actividades de seguridad de la información
· Alinear los objetivos de seguridad de TI con los de la organización.
· Obtener el apoyo y compromiso total de la gerencia y todos los niveles
administrativos.
· Definir los requerimientos de seguridad de activos de información, para
así definir un plan de gestión de riesgos.
· Capacitar y concientizar a los empleados sobre la importancia de la
seguridad de la información.
El modelo PDCA establece, implementa, opera, monitorea, revisa mantiene y
mejora la protección de activos de información ya que busca alcanzar los
objetivos y metas del negocio enfocándose en evaluación de riesgos.
84
Estos riesgos son considerados en niveles aceptables para la organización, así
estos son gestionados de manera adecuada mitigando los riesgos que se
encuentren en niveles peligrosos para la organización.
Además de esto el modelo PDCA establece conformidad de los objetivos y
metas del negocio con las leyes y regulaciones locales e internacionales.
Como se muestra en la siguiente Figura 2-14 el ciclo del modelo PDCA cuenta
de 4 fases las mismas que son repetitivas.
Figura 2-14 Modelo PDCA
Plan
En esta etapa se identifican los requerimientos de seguridad de la información.
· Identificar activos de información y su relevancia para la organización.
· Identificar los objetivos del negocio y asociarlos a los activos de
información
· Identificar necesidades empresariales para el procesamiento y
almacenamiento de la información
· Identificar requerimientos legales, contractuales y regulatorios.
85
Do
En esta etapa se evalúan los riesgos de seguridad de la información de los
activos relevantes para la organización.
· Aplicar métodos de evaluación de riesgos.
· Estimación de beneficios y costos
· Requerimientos legales, sociales y ambientales.
· Selección e implementación de controles de seguridad de la información.
· Declaración de aplicabilidad de controles seleccionados y no
seleccionados.
Check – Act
En estas dos etapas de monitorean y evalúan el desempeño del SGSI de
acuerdo a las políticas y objetivos.
Estos resultados deben ser reportados a la gerencia para mantener y mejorar
el SGSI, esta evidencia debe ser almacenada para su posterior validación,
verificación, trazabilidad de acciones correctivas, preventivas y de
mejoramiento.
2.4.1.2 Fases y Entregables de la norma NTE INEN-ISO/ICE 27003:2012
La implementación de un SGSI dentro de una organización es un proceso muy
importante el cual está enfocado en la inicialización, planificación y definición
del mismo. La estructura de la implementación del SGSI tiene cinco fases y
cada una con sus respectivos entregables. Las cinco fases del SGSI son [13]:
1. Obtención de la aprobación de
la dirección para la iniciación de un proyecto de SGSI.
2. Definición del Alcance del SGSI
y de la Política del SGSI
3. Realización del Análisis de la
Organización
86
4. Realización de la Evaluación del
Riesgo y planificación del tratamiento del Riesgo.
5. Diseño del SGSI.
En la Figura 2-15 se muestra las cinco fases de la implementación final del
SGSI de acuerdo a la norma NTE INEN-ISO/ICE 27003:2012 y sus principales
entregables.
Figura 2-15 Fases de Implementación del SGSI [13]
A continuación se detalla cada fase de la implementación de un SGSI con sus
respectivos entregables:
Obtención de Aprobación de la dirección para iniciar un proyecto del SGSI
El objetivo de esta fase es obtener la aprobación de la Dirección para iniciar el
proyecto del SGSI mediante la definición de un caso de negocio y el plan de
proyecto.
En la fase de aprobación de la dirección se debe crear un caso de negocio
donde se incluya las prioridades y objetivos para implementar un SGSI.
87
La salida de esta fase es la aprobación y el compromiso de la dirección para la
implementación del proyecto del SGSI.
En la Figura 2-16 se muestra el proceso de aprobación de la dirección para
iniciar el proyecto del SGSI [13].
Figura 2-16 Proceso de Aprobación de la Dirección para iniciar el proyecto del SGSI [13]
Entrada:
88
· Carta de solicitud para la
implementación del SGSI
Salida:
· Compromiso de la organización
· Documento del caso de negocio
· Definir Alcance, límites y
políticas del SGSI
· Definir el alcance y limites
organizacionales
· Definir el alcance y límites de las
tecnologías de la información y comunicación.
· Definir el alcance y límites
físicos.
· Borrador del plan del proyecto
del SGSI.
Realizar el análisis de los requerimientos de seguridad de la información
El objetivo de esta etapa es definir los requerimientos pertinentes para ser
respaldados por el SGSI, identificar los activos de información y obtener el
estado actual de la seguridad de la información dentro del alcance.
La información que debe obtenerse en esta etapa de análisis de seguridad la
información es [13]:
· Dar a la dirección un punto de partida del SGSI
· Identificar y documentar condiciones de implementación.
· Identificación de instalaciones de la organización.
· Definir la situación actual de la organización.
· Definir el nivel de protección que se desea dar a la información
· Recolectar información definida en el alcance del SGSI.
En la Figura 2-17 se muestra el proceso de análisis de requerimientos de
seguridad de la información.
89
Figura 2-17 Proceso de Análisis de Requerimientos de la Seguridad de la Información [13]
90
Entrada:
· Resumen de Objetivos,
prioridades de la seguridad de la información y requerimientos de la
organización para el SGSI.
· Lista de requerimientos legales,
contractuales y regulatorios.
· Documento alcance y límites
del SGSI.
· Identificación de Activos.
Salida:
· Definir requerimientos de la
seguridad de la información.
· Lista de activos dentro del
alcance del SGSI
· Realizar evaluación de la
seguridad de la información.
Realizar la evaluación del riesgo y la planificación del tratamiento del riesgo
El objetivo de esta etapa es definir la metodología de la evaluación de los
riesgos; identificar, analizar y evaluar los riesgos de la seguridad de la
información, para seleccionar las opciones de tratamiento del riesgo y los
objetivos de control y los controles.
En la Figura 2-18 se muestra el proceso de evaluación del riesgo y la
planificación del tratamiento del riesgo [13].
Entrada:
· Resumen del estado de la seguridad de la información
· Activos de información identificados
· Alcance del SGSI
91
· Política del SGSI
Salida:
· Descripción de la metodología de evaluación del riesgo.
· Resultados de la evaluación del riesgo.
· Lista de los objetivos de control y controles seleccionados
· Plan de tratamiento de Riesgo.
· Obtención de la aprobación de la implementación del SGSI.
92
Figura 2-18 Proceso de Evaluación del Riesgo y la Planificación de Tratamiento de Riesgo [13] Diseño del SGSI
93
Esta última etapa tiene como objetivo completar el plan de implementación
para el SGSI mediante: el diseño de la seguridad organizacional en base a las
opciones de tratamiento del riesgo seleccionadas, al igual que los
requerimientos relativos al registro y documentos; y el diseño de los controles,
integrando provisiones de seguridad para las TIC, los procesos físicos y
organizacionales; y el diseño de los requerimientos específicos del SGSI.
Los requerimientos para lograr que el SGSI este operativos son [13]:
· Monitoreo
· Medición
· Auditoría interna
· Entrenamiento y concientización
· Gestión de incidentes
· Revisión por parte de la dirección
· Mejoramiento del SGSI incluyendo acciones correctivas y preventivas.
En la Figura 2-19 se muestra la descripción general del diseño de la fase del
SGSI.
Entrada:
· Definición de Funciones y responsabilidades para el alcance preliminar
del SGSI.
· Documento del caso del Negocio.
· Alcance y límites del SGSI
· Evaluación de la seguridad de la información
· Controles y objetivos de control seleccionados
· Documento Política del SGSI
Salida:
· Diseño de la estructura organizacional final para la seguridad de la
información.
· Diseño de un marco referencial para la documentación del SGSI
· Diseño de política de seguridad de la información
94
· Desarrollo de normas y procedimientos de seguridad de la información.
· Diseño de la seguridad de la información de las TIC y físicos
· Diseño de la seguridad de la información específica del SGSI
· Diseño del programa de concientización, capacitación, y educación
sobre la seguridad de la información.
· Producir el plan final del proyecto del SGSI.
95
Figura 2-19 Descripción General del Diseño de la Fase del SGSI [13]
96
2.4.1.3 Documentos exigidos por el SGSI en la norma NTE-INEN ISO/IEC 27001
El SGSI, tiene varios documentos exigibles por la norma los cuales se detalla a
continuación si son o no aplicables para este proyecto.
DOCUMENTO APLICABILIDAD JUSTIFICACION
SI NO
Procedimiento para
Control de
Documentos y
Registros
X Este documento se genera en la
primera fase del SGSI
Política del SGSI, que
incluya los objetivos
de seguridad
X Se detalla los objetivos de
seguridad de acuerdo al alcance
del SGSI.
Metodología de
Evaluación de Riesgos
X Se define la metodología que se
va a usar para la evaluación de
riesgos.
Informe de Evaluación
de Riesgos
X Se detalla los riesgos
encontrados con sus niveles de
criticidad.
Plan de Tratamiento de
Riesgos
X Se detalla los controles
seleccionados para la mitigación
de los riesgos encontrados.
Procedimientos
documentados acerca
de controles
implementados y sus
métricas de eficacia
X No se lo realiza ya que este
proyecto no abarca la
implementación del SGSI
Declaración de
Aplicabilidad
X Documento que declara la
aplicabilidad de los controles
seleccionados para los riegos
encontrados.
Incidentes de X Se genera en la fase 3 y es uno
97
Seguridad de los entregables.
Concientización y
Capacitación en el
SGSI
X Este documento se debe definir
con la empresa.
Ejecución de
Auditorías Internas
X No se lo va a realizar ya que este
documento se lo realiza en la
etapa de implementación
Revisiones del SGSI X No se lo realiza ya que este
proyecto no abarca la
implementación del SGSI
Acciones Correctivas
Implementadas
X No se lo realiza ya que este
proyecto no abarca la
implementación del SGSI
Acciones Preventivas
Implementadas
X No se lo realiza ya que este
proyecto no abarca la
implementación del SGSI
Tabla 2-16 Documentos exigidos por el SGSI en la norma NTE-INEN ISO/IEC 27001
2.4.2 Descripción de los entregables.
El SGSI tienen documentos exigidos por la norma NTE-INEN ISO/IEC 27001
para este proyecto no se van a realizar todos los documentos ya que no se
contempla la implementación del SGSI dentro del alcance, los documentos
entregables son los siguientes:
· Procedimiento para Control de Documentos y Registros [4.3.2 y 4.3.3]
· Política del SGSI, que incluya los objetivos de seguridad [4.2.1.b]
· Alcance del SGSI [4.2.1.a]
· Metodología de Evaluación de Riesgos [4.2.1.c]
· Informe de Evaluación de Riesgos [4.2.1.c y 4.2.1.g]
· Plan de Tratamiento de Riesgos [4.2.2.b]
· Declaración de Aplicabilidad [4.2.1.j]
· Incidentes de Seguridad [4.2.3.h y 4.3.3]
98
A continuación se detalla los documentos entregables del SGSI:
2.4.2.1 Política para Control de Documentos y registros.
El objetivo de este documento es el de Establecer criterios para la elaboración
y control de documentos y registros relacionados con el SGSI, así como su
aprobación, publicación, actualización y retiro., utilizando el estándar NTE-ISO-
IEC 27001 y estándares de apoyo a esta norma.
Este documento se aplica a todo el proceso de planeación del SGSI, puesto
que contiene los lineamientos necesarios para gestionar toda la estructura
documental relacionada con el SGSI.
Para ver el documento completo ver ANEXO D
2.4.2.2 Política del SGSI, que incluya los objetivos de seguridad
El objetivo de este documento es el de desarrollar la política del SGSI y obtener
la aprobación de la dirección de la empresa utilizando el estándar NTE-ISO-IEC
27001 y estándares de apoyo a esta norma.
Este documento se aplica a todo el proceso de planeación del SGSI, puesto
que contiene los objetivos del SGSI en base a los requerimientos de la
organización y las prioridades de seguridad de la información de la
organización.
Para ver el documento completo ver ANEXO E
2.4.2.3 Alcance del SGSI
El objetivo de este documento es el de definir el alcance y los límites del SGSI
desde el punto de vista organizacional, tecnológico, de información y
comunicación y físico y de comunicación.
Este documento se aplica a todo el proceso de planeación del SGSI, puesto
que contiene el alcance y las limitaciones sobre las que se debe diseñar el
SGSI para su posterior implementación.
99
Para ver el documento completo ver ANEXO F
2.4.2.4 Metodología de Evaluación de Riesgos
El objetivo de este documento es el de explicar la metodología seleccionada
para la realización de la evaluación de riesgos así como del tratamiento de los
riesgos identificados.
Este documento se aplica al proceso de Evaluación y Tratamiento de Riesgos,
puesto que contiene la explicación de la evaluación de riesgos y el tratamiento
de los mismos.
Para ver el documento completo ver ANEXO G
2.4.2.5 Informe de Evaluación de Riesgos
El objetivo de este documento es el de establecer el estado actual de la
seguridad de la información en la empresa.
Este documento servirá de base para realizar el documento de Plan de
Tratamiento de Riesgo, ya que contiene el estado actual de la seguridad de
información de la organización.
Para ver el documento completo ver ANEXO H
2.4.2.6 Plan de Tratamiento de Riesgos
El objetivo de este documento es el de desarrollar el Plan para el tratamiento
de riesgos dentro de la organización utilizando el estándar NTE-ISO-IEC 27001
y estándares de apoyo a esta norma.
Este documento se aplica a todo el proceso de diseño del SGSI, puesto que
indica los controles que se han seleccionado para el tratamiento de los riesgos
dentro de la empresa.
Para ver el documento completo ver ANEXO I
100
2.4.2.7 Declaración de Aplicabilidad
El objetivo de este documento es declarar la factibilidad del SGSI en varios
aspectos ya sea a nivel del personal, financiero, y técnico.
Para ver el documento completo ver ANEXO J
2.4.2.8 Incidentes de Seguridad
El objetivo del presente documento es garantizar la detección temprana de
eventos y debilidades de seguridad, como también la rápida reacción y
respuesta ante incidentes de seguridad.
Para ver el documento completo ver ANEXO K
101
3 CAPITULO 3. EVALUACIÓN DE APLICABILIDAD DEL PLAN DE
GESTIÓN DE SEGURIDADES DE LA INFORMACIÓN EN EL CASO DE
ESTUDIO
3.1 JUSTIFICACIÓN DE APLICABILIDAD DEL PLAN
Mediante los controles seleccionados como más óptimos para los riesgos en
Cepsa, se puede notar que después de la aplicación de los mismos la
conformidad de aceptación respecto a la seguridad de la información tanto a
nivel lógico como a nivel físico va a aumentar como se muestra en la Tabla 3-1.
Seguridad Conformidad Actual Conformidad Deseada
Seguridad Física 60% 90%
Seguridad Lógica 46% 85%
Tabla 3-1 Conformidad Actual vs Conformidad Deseada
Como podemos ver el aumento del 60% de conformidad actual puede llegar al
90% si se aplican los controles. El nivel de conformidad obtenido es alto por lo
que la aplicación de las nuevas políticas hará que la seguridad física de la
organización sea cada vez más óptima.
A nivel de seguridad lógica es donde más riesgos se encontraron por lo que es
muy importante que estos sean mitigados conforme a los controles
seleccionados.
El porcentaje de conformidad aumentaría del 46% al 85%, y puede seguir
aumentando conforme se vayan aplicando las políticas de seguridad de la
información.
La aplicabilidad de cada uno de los controles seleccionados se detalla en el
documento Tratamiento de Riesgos ANEXO I
3.2 IDENTIFICACIÓN DE RESTRICCIONES PARA IMPLEMENTAR EL
PLAN
En la fase de implementación del SGSI pueden surgir varias restricciones las
cuales podrían afectar la implementación, el funcionamiento y la obtención de
óptimos resultados del mismo, estas restricciones se detallan a continuación:
102
3.2.1 Restricciones de Personal
Existe varias restricciones a nivel del recurso humano como:
· Falta de interés en la seguridad de la información ya se por falta de
información o falta de recursos para capacitaciones.
· No contar con personal especializado en Seguridad que pueda apoyar a
la gerencia y a los empleados para generar interés y conciencia sobre la
seguridad de la información además que se encargue de hacer cumplir
todas las normas del SGSI y dar mantenimiento y soporte.
· Falta de capacitaciones sobre la importancia de la seguridad de la
información para fomentar una cultura de seguridad dentro de la
organización
3.2.2 Restricciones de Recursos
Uno de los factores que puede restringir la implementación del SGSI son los
recursos a dos niveles técnicos o financieros.
3.2.2.1 Recursos Técnicos
Las restricciones que se pueden dar a nivel técnico es la incompatibilidad de
los nuevos controles con los vigentes.
Además de no contar insumos necesarios para la implementación del SGSI, es
decir recursos que soporte las nuevas políticas de seguridad de la información.
3.2.2.2 Recursos Financieros
La implementación de varios controles conlleva mayor destinación de recursos
para el departamento de sistemas de la organización ya que los mismos se van
a usar en:
· Capacitaciones
· Crear ambiente de prueba antes de la implementación.
· Comprar nuevos insumos para adaptarse a los controles seleccionados.
103
3.2.3 Restricciones de Tiempo
La organización está en continuo crecimiento y el tiempo es limitado para
capacitaciones y cambios en las políticas actuales, por lo que la
implementación del SGSI no puede ser inmediata debe contemplar fechas en la
que la organización disponga de tiempo y buscar espacios para realizar
capacitaciones y demás actividades relacionadas con el SGSI.
3.2.4 Restricciones de Adaptación
Esta es una de las restricciones más fuertes ya que el proceso de adaptación
abarca no solo recursos técnicos sino también, humanos lo que hace más difícil
el proceso de implementación del SGSI.
Para evitar problemas de esta índole la organización debe entrar en un proceso
de adaptación y de capacitaciones y concientización de la importancia de la
seguridad de la información.
3.3 ANÁLISIS DE FACTIBILIDAD PARA IMPLEMENTAR EL PLAN EN LA
SITUACIÓN ACTUAL DE LA INSTITUCIÓN
Para la implementación del Plan de SGSI se deben analizar varios aspectos ya
que en este proceso se ven involucradas varias partes de la empresa.
Los aspectos que se van a analizar son:
· Factibilidad de Personal
· Factibilidad Económica
· Factibilidad de Infraestructura Tecnológica y Física
3.3.1 Factibilidad de Personal
Al realizar el análisis de la factibilidad el personal Cepsa cuenta con personal
capacitado dentro del departamento de sistemas, no obstante no todos se
104
encuentran al día en temas de seguridad de la información, por lo que
requieren capacitaciones en este tema.
Dentro del departamento de sistemas se muestra gran interés por la
implementación del SGSI y la certificación de la empresa en la ISO 27001, hay
gran apoyo por parte de la gerencia general y del departamento lo que
facilitaría la implementación.
El personal del departamento de sistemas no se encuentra capacitado
formalmente en Seguridad de la Información, pero están conscientes de la
seguridad de la información y manejan procesos para el manejo de la
seguridad de la información, los cuales no se encuentran documentados, pero
para la implementación de los nuevos controles el personal es muy capaz de
entenderlos y adoptarlos en cada una de sus labores además de brindar apoyo
al personal de toda la empresa con la implementación de los nuevos controles.
Las capacitaciones son indispensables no solo para el departamento de
Sistemas sino también a todo el personal ya que en varias áreas se maneja la
información en sus distintas etapas ya sea desde su generación hasta su
desecho.
La capacitaciones en primera instancia se debe dar a los empleados del
departamento de Sistemas y posteriormente los empleados capacitados de
sistemas pueden dar capacitaciones del manejo de la información y de las
nuevas políticas s los demás miembros de la empresa.
Por otro lado se recomienda adquirir la NTE-INEN-ISO/IEC 27002 ya que en
esta norma se detalla cada uno de los controles seleccionados donde se da
una explicación de cada uno para su implementación.
105
3.3.2 Factibilidad de Infraestructura Tecnológica y Física
Para el análisis de la factibilidad de infraestructura Cepsa cuenta con
instalaciones nuevas las cuales se encuentran en óptimo estado para la
implementación del SGSI.
Cepsa ya posee infraestructura en Seguridad de la Información lo que
complementa y apoya la implementación del SGSI.
A nivel de software y hardware Cepsa cuenta con una sala de servidores
correctamente configurados y con espacio de memoria disponible para la
implementación de SGSI además posee los siguientes recursos para la
seguridad de la información:
· Firewall
· Cámaras de seguridad
· Sistema de detección de intrusos
· Lector biométrico
· Sistemas de detección de incendios
· Antivirus
Dentro de estos recursos cabe resaltar que Cepsa adquirió un firewall
SOPHOS el cual permite monitorear la red y declarar perfiles de usuarios para
tener una mejor administración de la red.
3.3.3 Factibilidad Económica
Dentro de la factibilidad económica se enfoca si la organización posee los
recursos para la implementación del SGSI.
Para lo cual es necesario aclarar que el costo de la implementación SIGI no
debe sobre pasar al activo al cual se desea proteger. La implementación del
SGSI tiene como objetivo principal proteger la información de la empresa de
posibles ataque los cuales pueden traer repercusiones ya sea económicas o
reputacionales, por lo que el SGSI no genera ningún ingreso económico para la
106
organización, por otro lado el SGSI ahorra a la organización ya que prevé
ataques o perdida de información lo que sería gastos significativos si llegasen a
ocurrir.
Para el análisis de la factibilidad económica se debe tomar en cuenta los costos
de implementación del SGSI y del mantenimiento del mismo, los controles
seleccionados implican tiempo de implementación y en otros casos inversión
en equipos.
Los costos del SGSI no deben sobrepasar el costo del activo al cual se desea
proteger, en este caso el Servidor de Programas.
La implementación del plan va a tener como inversión los recursos que se
detalla a continuación.
Recurso Costo Descripción
Capacitaciones Externas 1200 Las capacitaciones serán impartidas
por un consultor especializado y el
precio por cada persona es de $600, y
la capacitación será para 2 personas
Capacitaciones Internas 1000 Las personas que fueron capacitadas
externamente ahora son capaces de
dar capacitaciones a los empleados de
Cepsa en clases magistrales.
Norma NTE INEN-ISO/ICE
27000
144.15 Material para capacitaciones y de uso
para la empresa.
Norma NTE INEN-ISO/ICE
27001
121.61 Material para capacitaciones y de uso
para la empresa.
Norma NTE INEN-ISO/ICE
27002
207,18 Material para capacitaciones y de uso
para la empresa.
Personal encargado de la
Implementación
8000 Contratación de un consultor que
trabaje 8 horas diarias con sueldo de
$1000
TOTAL 10672,94
Tabla 3-2 Análisis de Factibilidad Económica
107
Este presupuesto solo contempla los recursos que no cuenta la empresa ya
que la empresa ya cuenta con recursos para la seguridad de la información que
son parte del SGSI como:
· Firewall
· Cámaras de seguridad
· Sistema de detección de intrusos
· Lector biométrico
· Sistemas de detección de incendios
· Antivirus
La inversión por la implementación del SGSI es de $ 10672,94 el cual puede
tener variaciones ya que las capacitaciones y el personal encargado de la
implementación se estimó precios del mercado pero la empresa es libre de
optar por opciones más o menos costosas.
108
4 CAPÍTULO 4. CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
· A nivel de Latinoamérica hay grandes abismos si se habla de seguridad
de la información en comparación con otros países, ya que el país con
más certificaciones en Latinoamérica, Brasil solo tiene 0,57% de
participación mundial en contraste con Japón que abarca casi el 85% de
empresas certificadas en el mundo. Esto ratifica que nuestra industria
está muy por debajo de la de otros países ya que estos fomentan y
promueven este tipo de certificaciones. Por otro lado cabe destacar que
los principales incidentes de seguridad que hay en Latinoamérica son los
virus y el malware, los cuales pueden ser fácil mente mitigados si
existiese una cultura de seguridad de la información dentro de los
empleados al descargar archivos y al manejo de la información
· Ecuador es un país que en los últimos años ha incrementado su interés
por la seguridad de la información, ya que en los últimos años existe un
aumento del porcentaje de ataques a la información por distintas vías, ya
sea virus, malware, ingeniería social, etc. Por esta razón las
organizaciones invierten en más recursos para la seguridad que le dan a
su información. A nivel de Latinoamérica Ecuador está entre los
primeros 5 países más vulnerables lo que muestra que aun la cultura de
seguridad no está adquirida en el país. En los últimos años han surgido
varios escándalos por filtrado de fotos o documentos comprometedores
lo que ha generado el interés público a la importancia de la seguridad de
la información y como proteger sus datos, por lo que se justifica que
empresas hoy en día busquen personal especializado en esta área
abriendo el campo laboral para personas expertas en Seguridad de la
Información.
109
· En la encuesta realizada a concesionarios en Quito se pude observar
que la realidad de Ecuador es la misma que la de Latinoamérica, ya que
se realizaron preguntas enfocadas a la misma temática que las
encuestas Latinoamericanas analizadas, considerando además que
Ecuador no participó en este estudio, ya sea por falta de interés o
difusión del estudio en el país. Existen resultados similares en Ecuador y
Latinoamérica que evidencia una falta de cultura en Seguridad de
Información. Esto hace evidente toda la región se considerada como una
de la más vulnerable a nivel mundial..
· Dentro de este proyecto se notó la importancia de la documentación de
procesos y procedimientos de seguridad de la información, ya que de
estos, al no estar formalmente documentados, no existe certeza que los
mismos se estén implementado, por lo que no pudieron entran en el
análisis del cumplimiento de la norma NTE INEN ISO/IEC 27001, que se
realizó en el caso de estudio.
· A lo largo de la realización del proyecto se concluyó que las empresas
más vulnerables son las que no poseen documentación y políticas de
seguridad de la información, ya que hay varias vías por donde puede
haber fugas de información, como durante el intercambio de información,
ya sea por medios físicos o electrónicos. Este riesgo puede ser mitigado
emitiendo una política para el intercambio de información. Las
principales vulnerabilidades que posee una empresa es cómo sus
empleados manejan la información por lo que es muy importante
concientizar al personal sobre la importancia de una correcta gestión de
seguridad de la información.
· La implementación de un SGSI para una empresa tanto pública como
privada, es de gran importancia. Si bien el SGSI no produce beneficios
económicos para la organización, al prevenir riesgos ahorra a la
organización en gastos, ya que si llegase a explotarse alguna
110
vulnerabilidad la organización no solo tendría pérdidas económicas sino
también su prestigio se vería afectado.
4.2 RECOMENDACIONES
· Es muy importante tener todo el apoyo de la organización ya que este
proyecto necesitó de facilidades de acceso a documentación y apertura
de las instalaciones para el análisis de riesgos y vulnerabilidades, sino
se cuenta con todo el apoyo no se podrán identificar completamente
todas las vulnerabilidades.
· Para la realización de este proyecto se debe manejar la norma ISO
27000 y su familia. En primer lugar se debe leer y comprender la norma
NTE-INEN ISO/IEC 2700 ya que aquí se define el vocabulario que se
manejan en las otras normas, en ISO/IEC 27001 se definen los
requisitos del SGSI, en la ISO/IEC 27003 es una guía de
implementación de SGSI basada en el modelo PDCA (Plan-Do-Check-
Act) y de los requerimientos en cada fase. Además de estas normas se
aconseja manejar la ISO/IEC 27005 ya que abarca la gestión de riesgos
de seguridad de la información (recomendaciones, métodos y técnicas
para evaluación de riesgos de seguridad), la cual puede ser sustituida
por otros métodos para la evaluación de riesgos.
· Para la realización de los Documentos exigidos por el SGSI en la norma
NTE-INEN ISO/IEC 27001 es necesario, no solo contar con personal de
Sistemas, sino también con un especialista en procesos ya que dentro
del SGSI existen varios aspectos, los cuales son más fáciles de manejar
y entender con la ayuda de experto en procesos, quien conoce las
necesidades de la empresa y puede ayudar a alinear los objetivos de la
empresa con los del objetivos de seguridad que debe considerar el
SGSI.
111
· El dialogo con el Gerente de Sistemas o con la persona encargada del
proyecto es muy importante ya que al momento de definir políticas y
controles él debe autorizar y/o solicitar más información, si fuese
oportuno. Para que el nivel de satisfacción y mitigación de los riesgos
llegue a un nivel de conformidad aceptable, las dos partes deben estar
de acuerdo. Además ninguna política ni documento será aceptado,
menos que sea, revisado y aprobado por el encargado del proyecto,
luego de verificar que éstos estén, formalmente documentados.
· Al momento de realizar las pruebas de Hackeo Ético (No Intrusivo) los
involucrados de la empresa deben conocer cada una de las
herramientas que se van a utilizar y definir un calendario donde se
detalle las fechas en los cuales se va a realizar las pruebas y una
descripción breve de cada herramienta. Una vez aprobado el plan de
Hackeo Ético se procede a la realización de las pruebas.
· Al identificar las vulnerabilidades la empresa debería dar prioridad a las
que están en el rango de 3-4 a las que consideramos como altas y a las
cuales definimos controles para su mitigación. La implementación de los
controles no es obligatorio ya que la empresa puede optar por otro
marco de trabajo, pero en este proyecto el más aconsejable y efectivo a
seguir es la INEN-ISO/IEC 27001:2011 ya que abarca todo el campo de
la Seguridad de la Información.
· Si la empresa desea certificarse en Seguridad de la Información puede
hacerlo en la INEN-ISO/IEC 27001:2011 ya que esta norma es
certificable en el Ecuador y también está avalada a nivel internacional,
además puede tomar este proyecto como punto de partida para su
certificación. El buen manejo de la información hoy en día es muy
importante a nivel empresarial por lo que certificar a una empresa da un
incremento a su prestigio y confiabilidad para sus clientes sobre el
manejo de sus datos.
112
REFERENCIAS
[1] CCIA, «CCIA,» 2013. [En línea]. Available:
http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf. [Último acceso: 01 Octubre
2014].
[2] J. Cano, «XII Jornada Nacional de Seguridad Informatica,» de IV Encuesta
Latinoamericana de Seguridad de la Informacion, 2012.
[3] Logisma, «Logisman,» 23 Agosto 2011. [En línea]. Available: http://custodia-
documental.com/familia-iso-27000-seguridad-de-la-informacion/. [Último acceso:
15 Septiembre 2014].
[4] A. Jaqueline, «ISO 27000,» Salvador, 2009.
[5] PriteshGupta, «ISO 27000.es,» 2012. [En línea]. Available:
http://www.iso27000.es/faqs.html. [Último acceso: 2 Octubre 2014].
[6] D. Calderon, «Movistar obtiene certificación de seguridad de información,» El
Tiempo, 22 Febrero 2012.
[7] E. Moran, «Reflexiones en voz alta sobre el SGSI-ISO 27001,» 18 Agosto 2013.
[En línea]. Available: http://ericmorana.wordpress.com/2013/08/18/que-pais-
cuenta-con-mas-empresas-certificadas-en-iso-27001/. [Último acceso: 15 Agosto
2014].
[8] ESET, «ESEt,» 29 Mayo 2013. [En línea]. Available: http://www.eset-
la.com/centro-prensa/articulo/2013/eset-reporta-crecimiento-18-en-latinoamerica-
durante-2012/3167. [Último acceso: 25 Agosto 2014].
[9] ESET, «ESET,» 2013 Agosto 2012. [En línea]. Available: http://www.eset-
la.com/centro-prensa/articulo/2012/las-empresas-latinoamerica-sufrio-ataque-
malware%20/2803. [Último acceso: 16 Agosto 2014].
[10
]
Infoseguridad, «Infoseguridad,» 20 Septiembre 201o. [En línea]. Available:
http://inforleon.blogspot.com/. [Último acceso: 2 Diciembre 2014].
[11
]
DragonJar, «DragonJar,» 17 Octubre 2011. [En línea]. Available:
http://www.dragonjar.org/foca-herramienta-para-analisis-meta-datos.xhtml. [Último
acceso: 21 Noviemnre 2014].
[12 N. Martin, «M.System Informática y Programación,» [En línea]. Available:
113
] http://martomontes.jimdo.com/seguridad-informatica/herramientas-de-red/nessus/.
[Último acceso: Diciembre 15 2014].
[13
]
Nmap, «Nmap.org,» [En línea]. Available: http://nmap.org/man/es/. [Último
acceso: 20 Diciembre 2014].
[14
]
Nmap, «http://nmap.org,» [En línea]. Available: http://nmap.org/man/es/. [Último
acceso: 5 Mayo 2014].
[15
]
Nessus, «http://www.nessus.com,» [En línea]. Available: http://www.nessus.com/.
[Último acceso: 6 Mayo 2014].
[16
]
«http://www.downloadcrew.com,» [En línea]. Available:
http://www.downloadcrew.com/article/22211-foca_free. [Último acceso: 6 Mayo
2014].
[17
]
NTE INEN-ISO/ICE 27003:2012, Guia de Implementacion del Sistema de Gestión
de Sueguridad de la Información, Quito, 2012.
[18
]
Puertos Abiertos, «Puertos Abiertos,» [En línea]. Available:
http://www.puertosabiertos.com/es/lista-de-puertos.htm. [Último acceso: 2 Febrero
2015].
[19
]
E. Viniana, «Seguridad Informatica UFPS,» 2013. [En línea]. Available:
https://seguridadinformaticaufps.wikispaces.com/file/view/vulnerabilidades+de+los
+protocolos.pdf. [Último acceso: 10 Febrero 2015].
[20
]
UNAM, «Cordinacion de Seguridad de la Información,» [En línea]. Available:
http://www.seguridad.unam.mx/vulnerabilidadesDB/?vulne=5766. [Último acceso:
5 Febrero 2015].
[21
]
HISPASEC, «HISPASEC,» [En línea]. Available: Provocar el desbordamiento de
búfer y, en algunos casos, la ejecución de código arbitrario con los privilegios del
proceso SSH vulnerable.. [Último acceso: 10 Febrero 2015].
[22
]
Nessus, « Tenable Network Security®. All Rights Reserved. Nessus Home Version:
5.2.0».
114
ANEXOS
