I
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA
INSTITUTO DE INVESTIGACIÓN Y POSGRADO (IIP)
“IMPLEMENTACIÓN DEL MODELO DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN APLICANDO ISO 27000
EN LA EMPRESA COKA TOURS, AMBATO – ECUADOR”
ING. FRANCISCO XAVIER FREIRE ZAPATA
TUTOR: ING. JEFFERSON TARCISIO BELTRÁN MORALES
Trabajo presentado como requisito parcial para la obtención del grado de:
MAGÍSTER EN GESTIÓN INFORMÁTICA EMPRESARIAL
TERCERA PROMOCIÓN
Quito – Ecuador
2014
II
DEDICATORIA
A Dios y mis padres, por haberme dado todo lo necesario para llegar
hasta aquí, y poder lograr mis objetivos.
A Carito que gracias a su amor y apoyo incondicional siempre me
ayudó en todo momento.
A mi hermano Emilio, compañero de juegos, alegrías, tristezas y por
su gran corazón.
A mi abuelita América, que continúe siempre cuidándome y
guiándome con su amor y enseñanzas.
Ing. Francisco Xavier Freire Zapata
III
AGRADECIMIENTOS
A Dios por siempre darme la tranquilidad en los momentos que más
lo necesite.
A mi madre, porque siempre me transmitió su fuerza y sabiduría y me
impulsó a la realización de mi carrera.
A Carito que con su apoyo me impulsó a terminar esta carrera y lograr
mis objetivos.
A mi Tutor Ing. Jefferson Beltrán, por su gran ayuda y asesoramiento
en el desarrollo de mi tesis
A mis tutores, quienes me compartieron sus conocimientos los
mismos que me sirvieron para la elaboración de mi tesis.
Ing. Francisco Xavier Freire Zapata
IV
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL
Yo, FRANCISCO XAVIER FREIRE ZAPATA en calidad de autor del trabajo de
investigación o tesis realizada sobre “IMPLEMENTACIÓN DEL MODELO DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICANDO ISO
27000 EN LA EMPRESA COKA TOURS, AMBATO E – ECUADOR” , por la
presente autorizo a la UNIVERSIDAD CENTRAL DEL ECUADOR, hacer uso
de todos los contenidos que me pertenecen o de parte de los que contiene esta
obra, con fines estrictamente académicos o de investigación.
Los derechos que como autor me corresponden, con excepción de la presente
autorización, seguirán vigentes a mi favor, de conformidad con lo establecido en
los artículos 5, 6, 8, 19 y demás participantes de la Ley de Propiedad Intelectual y
su Reglamento.
Quito, 24 de noviembre del 2014
V
CERTIFICACIÓN
Certifico que el presente trabajo fue realizado en su totalidad por el Sr. Ing.
FRANCISCO XAVIER FREIRE ZAPATA, como requisito parcial a la obtención
del título de MAGISTER EN GESTIÓN INFORMÁTICA EMPRESARIAL -
TERCERA PROMOCIÓN.
26 de noviembre del 2014
VI
CONTENIDO
LISTADO DE TABLAS ....................................................................................... IX
LISTADO DE FIGURAS ....................................................................................... X
CAPÍTULO I ........................................................................................................ XII
INTRODUCCIÓN ................................................................................................... 1
1.1 Antecedentes. ..................................................................................................... 1
1.2 Ubicación. .......................................................................................................... 2
1.3 Planteamiento de Hipótesis. ............................................................................... 2
1.4 Objetivos. ........................................................................................................... 2
1.4.1 General. ...................................................................................................... 2
1.4.2 Específicos. ................................................................................................ 2
1.5 Justificación y alcance del proyecto. .................................................................. 3
CAPÍTULO II .......................................................................................................... 4
MARCO TEÓRICO Y LEGAL ............................................................................... 4
2.1 Introducción. ...................................................................................................... 4
2.2 Datos e Información. .......................................................................................... 5
2.2.1 Ley de Protección de Datos Personales. ..................................................... 5
2.2.2 Ley de Comercio Electrónico, firmas electrónicas y Mensajes de Datos. ... 6
2.2.3 Ley de propiedad Intelectual. ..................................................................... 7
2.2.4 NTE INEN - ISO/IEC 27000 : 2012. .......................................................... 8
2.3 Seguridad de la Información............................................................................... 9
2.4 ISO 27000. ....................................................................................................... 11
2.4.1 NTE INEN - ISO/IEC 27001:2011. .......................................................... 13
2.4.2 NTE INEN - ISO/IEC 27002:2009. .......................................................... 13
2.4.3 NTE INEN - ISO/IEC 27003:2012. .......................................................... 14
2.4.4 NTE INEN - ISO/IEC 27004:2012. .......................................................... 14
2.4.5 NTE INEN - ISO/IEC 27005:2012. .......................................................... 14
2.4.6 NTE INEN - ISO/IEC 27006:2012. .......................................................... 14
2.5 Otras Normas. .................................................................................................. 15
2.5.1 ISM3......................................................................................................... 15
2.5.2 COBIT 4.0. ............................................................................................... 16
2.5.3 Norma NTE INEN - ISO/IEC 27001:2011 y el Ciclo de Deming. ........... 18
VII
2.5.4 Norma NTE INEN - ISO/ IEC 27005:2012 y el Ciclo de Deming .......... 20
2.6 Entorno de la Empresa. .................................................................................... 20
2.6.1 Información de la Empresa. ...................................................................... 20
2.6.2 Situación Actual. ...................................................................................... 22
2.6.3 Estructura Organizacional de la Empresa. ................................................ 23
2.6.4 Información del Ambiente Tecnológico. .................................................. 24
2.6.5 Resumen Gerencial de Seguridad de la Información de la Empresa. ........ 26
CAPÍTULO III ....................................................................................................... 27
COMPONENTES DE LA SEGURIDAD DE LA INFORMACIÓN.................... 27
3.1 Política de Seguridad de la Información. .......................................................... 27
3.1.1 Propósito. ................................................................................................. 27
3.1.2 Alcance. .................................................................................................... 27
3.1.3 Normas y Disposiciones Generales. ......................................................... 27
3.2 Organización de la Seguridad de la Información. ............................................. 35
3.2.1 Propósito. ................................................................................................. 35
3.2.2 Alcance. .................................................................................................... 35
3.2.3 Normas y Disposiciones Generales. ......................................................... 35
3.3 Gestión de los Activos de la Información. ........................................................ 40
3.3.1 Propósito. ................................................................................................. 40
3.3.2 Alcance. .................................................................................................... 41
3.3.3 Normas y Disposiciones Generales. ......................................................... 41
3.4 Seguridad en Relación a Recursos Humanos. ................................................... 44
3.4.1 Propósito. ................................................................................................. 44
3.4.2 Alcance. .................................................................................................... 44
3.4.3 Normas y Disposiciones Generales. ......................................................... 44
3.5 Gestión de Comunicaciones y Operaciones. ..................................................... 46
3.5.1 Propósito. ................................................................................................. 46
3.5.2 Alcance. .................................................................................................... 46
3.5.3 Normas y Disposiciones Generales. ......................................................... 46
3.6 Control de Accesos. .......................................................................................... 50
3.6.1 Propósito. ................................................................................................. 50
3.6.2 Alcance. .................................................................................................... 50
3.6.3 Normas y Disposiciones Generales. ......................................................... 50
VIII
3.7 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. .......... 56
3.7.1 Propósito. ................................................................................................. 56
3.7.2 Alcance. .................................................................................................... 56
3.7.3 Normas y Disposiciones Generales. ......................................................... 56
3.8 Gestión de Incidentes de Seguridad de Información. ........................................ 57
3.8.1 Propósito. ................................................................................................. 57
3.8.2 Alcance. .................................................................................................... 58
3.8.3 Normas y Disposiciones Generales. ......................................................... 58
3.9 Gestión de Continuidad Institucional. .............................................................. 66
3.9.1 Propósito. ................................................................................................. 66
3.9.2 Alcance. .................................................................................................... 66
3.9.3 Normas y Disposiciones Generales. ......................................................... 66
CAPÍTULO IV ....................................................................................................... 71
MODELO DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
APLICANDO ISO 27000 ...................................................................................... 71
4.1 Descripción del Modelo. .................................................................................. 71
4.2 Utilidad. ........................................................................................................... 74
4.3 Alcance. ........................................................................................................... 75
4.4 Gerencia de la Seguridad de la Información. .................................................... 77
CAPÍTULO V ........................................................................................................ 78
IMPLEMENTACIÓN DEL MODELO DE LA GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN ....................................................................................... 78
5.1 Herramientas. ................................................................................................... 78
5.1.1 Metodología para Implementar el Modelo de Gestión de Seguridad de la
Información. ............................................................................................................. 78
5.1.2 Procedimiento de Gestión de Riesgos Empresarial. .................................. 79
5.2 Guías de Implementación. ................................................................................ 85
5.2.1 Requerimientos del Modelo Seguridad de la Información. ....................... 85
5.2.2 Determinación del Alcance....................................................................... 85
5.2.3 Implementar y Operar el SGSI. ................................................................ 89
5.2.4 Guía para el Análisis y Evaluación de Riesgos. ........................................ 89
5.2.5 Guía para la Elaboración del Plan de Continuidad del Negocio. .............. 98
5.3 Roles y Responsabilidades para la Seguridad de la Información. ................... 102
IX
5.4 Beneficio al Implementar un Modelo de Gestión de Seguridad de la
Información. ............................................................................................................... 107
CAPÍTULO VI ..................................................................................................... 110
CONCLUSIONES Y RECOMENDACIONES ................................................... 110
6.1 CONCLUSIONES ......................................................................................... 110
6.2 RECOMENDACIONES ................................................................................ 111
GLOSARIO DE TÉRMINOS .............................................................................. 113
BIBLIOGRAFÍA.................................................................................................. 116
LISTADO DE TABLAS
Tabla. 2.1. Criterio de Seguridad .......................................................................... 10
Tabla. 2.2. Entregables Ciclo de Deming en relación a la norma NTE INEN -
ISO/IEC 27001:2011 .............................................................................................. 19
Tabla. 2.3. Entregables Ciclo de Deming en relación a la norma NTE INEN - ISO/
IEC 27005:2012 ................................................................................................... 20
Tabla. 2.4. Catálogo de los Sistemas Informáticos de la Empresa Coka Tours….25
Tabla. 2.5. Resumen Gerencial de la Seguridad de la Información de la Coka
Tours……………………………………………………………………………..26
Tabla. 3.1. Determinación del Grado de Criticidad de un Incidente...................... 63
Tabla. 3.2. Responsables de los Planes Empresariales .......................................... 68
Tabla. 5.1. Metodología para implantar el Modelo de Gestión de de Seguridad de
la Información en la empresa “Coka Tours” ......................................................... 79
Tabla. 5.2. Matriz de Responsables de la Gestión de Riesgos Institucionales para
la empresa “Coka Tours”. ..................................................................................... 81
Tabla. 5.3. Matriz de Factores de Riesgo por Clase y Tipo para la empresa “Coka
Tours”. ................................................................................................................... 81
Tabla. 5.4. Valoración del Nivel de Riesgos para la empresa “Coka Tours”. ...... 82
Tabla. 5.5. Escala de Medición del Impacto de riesgos para la empresa “Coka
Tours”. ................................................................................................................... 83
Tabla. 5.6. Definición de Impacto para la empresa “Coka Tours”. ...................... 84
Tabla. 5.7. Matriz Identificación de Procesos críticos en la empresa “Coka Tours” 86
X
Tabla. 5.8. Estructura para redactar el riesgo en la empresa “Coka Tours” ……91
Tabla. 5.9. Roles y Responsables de la Gerencia de la Empresa “Coka Tours” . 103
Tabla. 5.10. Roles y Responsables del Comité de seguridad de la Información de
la empresa “Coka Tours” .................................................................................... 104
Tabla. 5.11. Roles y Responsabilidades del Departamento de Seguridad de la
Información de la Empresa “Coka Tours” .......................................................... 105
Tabla. 5.12. Roles y Responsabilidades del Departamento de Tecnología de la
Empresa “Coka Tours”. ...................................................................................... 105
Tabla. 5.13. Roles y Responsabilidades del Oficial de la Seguridad de la
Información de la Empresa “Coka Tours”. ......................................................... 106
Tabla. 5.14. Roles y Responsabilidades de los Responsables de la Información de
la Empresa “Coka Tours”. ................................................................................... 106
Tabla. 5.15. Comparativo Sin y Con la Implementación del Modelo seguridad de
la Información ..................................................................................................... 108
LISTADO DE FIGURAS
Figura 2.1. Los Pilares de la Seguridad de la Información. ................................... 10
Figura 2.2. Modelo PHVA aplicado a los procesos del SGSI ............................... 12
Figura 2.3. Relación del Grupo de Normas de SGSI ............................................. 12
Figura 2.4. Estructura Organizacional de la Empresa Coka Tours………………24
Figura 3.1 Ciclo de vida de respuesta a incidentes de seguridad ........................... 65
Figura 3.2 Gestión de la Continuidad. .................................................................. 70
Figura 4.1. Figura del proceso del modelo PHVA ................................................. 71
Figura 4.2. Figura del Modelo de Negocio para la Seguridad de la Información .. 72
Figura 4.3. Modelo de Deming - PHVA en relación a la empresa “CokaTours” . 72
Figura 4.4. Figura del Modelo Jerárquico del MGSI. ........................................... 73
Figura 4.5. Figura del Modelo de Gestión de Seguridad de la Información de la
empresa “CokaTours. ............................................................................................ 74
Figura 4.6. Figura de los componentes del Sistema de Gestión de Seguridad de la
Información - SGSI de la empresa “CokaTours .................................................... 76
Figura 5.1. Proceso de Gestión de Riesgos Empresarial. ...................................... 80
XI
Figura 5.2. Metodología de las elipses en el proceso de Atención al Cliente para la
empresa “Coka Tours”. ......................................................................................... 87
Figura 5.3. Metodología de las elipses en el proceso de E-COMMERCE para la
empresa “Coka Tours”. ......................................................................................... 87
Figura 5.4. Metodología de las elipses en el proceso de Marketing para la empresa
“Coka Tours”. ....................................................................................................... 88
Figura 5.5. Metodología de las elipses en el proceso de Gestión de Sistemas
Tecnológicos para la empresa “Coka Tours”. ....................................................... 88
XII
RESUMEN
IMPLEMENTACIÓN DEL MODELO DE GESTIÓN DE LA SEGURIDAD
DE LA INFORMACIÓN APLICANDO ISO 27000 EN LA EMPRESA
COKA TOURS, AMBATO – ECUADOR.
La implementación de un Modelo de Gestión de la Seguridad de la Información
contribuye a fomentar las actividades de protección y seguridad de la información
en las organizaciones, mejorando su imagen y generando confianza frente a
terceros.
Tenemos que considerar que la seguridad de la información no se lo gestiona
adquiriendo herramientas de software o hardware. Cada organización debe
establecer su normativa de seguridad que contiene políticas, procedimientos y
roles los mismo que deben estar definidos en la organización.
La implementación de la NTE INEN – ISO 2700 en la estandarización de la
normativa de seguridad, es esencial para ejecución del Modelo de Seguridad de la
Información y para el cumplimiento de adecuados niveles de seguridad.
El objetivo principal es implementar un Modelo de Gestión de la Seguridad de la
Información utilizando como base la Norma Técnica Ecuatoriana NTE INEN -
ISO 27000 en la empresa “COKA TOURS”, satisfaciendo las necesidades de
seguridad de la información y para utilizar una adecuada normativa seguridad, a
través de una guía de implementación, con adecuados niveles seguridad y
cumplimiento.
Descriptores: SEGURIDAD DE LA INFORMACIÓN/ NTE INEN - ISO 27000/
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN/ MODELO DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN/ MODELO DE
DEMING/ AMENAZAS DE SEGURIDAD DE LA INFORMACIÓN/
VULNERABILIDADES DE SEGURIDAD DE LA INFORMACIÓN.
XIII
ABSTRACT
IMPLEMENTATION MODEL MANAGEMENT INFORMATION
SECURITY ISO 27000 APPLYING IN THE COMPANY COKA TOURS,
AMBATO - ECUADOR.
Implementing a Model Management Information Security helps promote the
activities of protection and information security in organizations, improving their
image and generating confidence against third parties.
We have to consider that information security is not acquiring tools are managed
by software or hardware. Each organization should establish its safety regulations
containing policies, procedures and roles must be the same as defined in the
organization.
The implementation of the NTE INEN - ISO 2700 in the standardization of safety
regulations is essential for implementation of Security Model Information and to
comply with appropriate safety standards.
The main objective is to implement a Model Management Information Security
using as a basis the Ecuadorian Technical Standard NTE INEN - ISO 27000 in the
company "COKA TOURS" meeting the needs of information security and use
appropriate safety regulations through implementation guidance, with appropriate
security and compliance levels.
Descriptors: INFORMATION SECURITY / NTE INEN - ISO 27000 /
SECURITY POLICY INFORMATION / MODEL MANAGEMENT
INFORMATION SECURITY / MODEL DEMING / THREATS OF
INFORMATION SECURITY / VULNERABILITY OF INFORMATION
SECURITY.
XIV
CERTIFICACIÓN
Certifico que la traducción del Resumen de la Tesis de Grado "Implementación
del Modelo de Gestión de la Seguridad de la Información aplicando ISO2700 en
la empresa COKA TOURS, Ambato – Ecuador”, cuyo autor es el Sr. Ing.
FRANCISCO XAVIER FREIRE ZAPATA, fue realizado en su totalidad por mi
persona, además poseo la certificación de suficiencia del idioma Inglés.
30 de Octubre del 2014
XV
1
CAPÍTULO I
INTRODUCCIÓN
1.1 Antecedentes.
Anteriormente la seguridad de información era considerada como
resguardar toda la documentación en lugares o sitios seguros; en la
actualidad y con el uso de nuevas tecnologías de información y
procesamiento de datos, los sistemas de seguridad han ido evolucionando y
las empresas como las organizaciones deben realizar inversiones sobre estos
recursos.
El objetivo fundamental de la gestión de la seguridad de la información no
es proteger los sistemas computacionales si no reducir los riesgos de pérdida
de información, considerado actualmente como un activo más de las
empresas como de las organizaciones; esto permite reducir los costos e
incrementar la operatividad en el negocio.
La información hoy en día es considerada como el activo más importante de
las empresas, pueden existir otros activos, pero todos se pueden adquirirlos
de alguna manera o modo, sin embargo si existe algún inconveniente de
seguridad la información en las empresas será casi imposible volver
adquirirla.
La información en una empresa se encuentra gestionada de forma
descoordinada, o se encuentra administrada por el Departamento de
Tecnología, la misma que tiene su propia normativa sin ninguna visión
general de las necesidades de las empresas y sin enfocarse en los objetivos
del negocio.
La implementación de un modelo de Gestión de la Seguridad de la
Información es la manera más eficaz de conseguir una coordinación y
gestión para poder orientar los recursos de la seguridad de la información,
hacia la consecución de los objetivos de la empresa.
El presente documento establece como implementar un modelo de gestión
de seguridad de la información aplicando ISO 27000, y cumpliendo con las
2
necesidades de la empresa de Turismo Nacional “Coka Tours”, y con los
acuerdos de niveles de seguridad y servicio.
1.2 Ubicación.
La implementación del modelo de Gestión de la Seguridad de la
Información aplicando ISO 2700, se va a realizar en una empresa de turismo
“Coka Tours” en la ciudad de Ambato, República del Ecuador.
1.3 Planteamiento de Hipótesis.
La implementación de un modelo de gestión de la seguridad de la
información, permitirá establecer niveles de seguridad adecuados y
satisfacer las necesidades económicas, aprovechando los recursos
tecnológicos; todo esto basado en el marco referencial de la ISO 27000 para
la empresa de turismo “Coka Tours”.
1.4 Objetivos.
1.4.1 General.
Implementar un modelo de gestión de la seguridad de la información, que
permita establecer niveles de seguridad adecuados y satisfacer las
necesidades económicas, aprovechando los recursos tecnológicos; todo
esto basado en el marco referencial ISO 27000 para una empresa de
turismo “Coka Tours”, durante el período 2013-2014.
1.4.2 Específicos.
Establecer un modelo para la Gestión de la Seguridad de la
Información basado en las normas ISO 27000.
Implementar las fases del modelo para la Gestión de la Seguridad de la
Información.
3
Evaluar y medir el modelo para la gestión de la seguridad de la
información, orientado a los objetivos y necesidades de la empresa en
relación al costo beneficio.
1.5 Justificación y alcance del proyecto.
En la actualidad las empresas se enfrentan cada vez más con riesgos e
inseguridades procedentes de una amplia variedad de fuentes que pueden
dañar de forma importante sus sistemas de información y pueden poner en
peligro la continuidad del negocio.
Ante estas circunstancias es imprescindible que las empresas evalúen los
riesgos asociados y establezcan las estrategias y controles adecuados que
aseguren una permanente protección y salvaguarda de la información.
Una gestión eficaz de la seguridad de la información permite garantizar:
Su confidencialidad, asegurando que sólo quienes estén autorizados
puedan acceder a la información.
Su integridad, asegurando que la información y sus métodos de
proceso son exactos y completos, y
Su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo
requieran.
La implantación de un Modelo de gestión de la seguridad de la
información contribuye a fomentar las actividades de protección de la
información en las organizaciones, mejorando su imagen y generando
confianza frente a terceros. Todo esto conforme la Norma ISO/IEC 27000,
referente internacional para la certificación de la Gestión de Sistemas de
Información, que establece los requisitos para implantar, documentar y
evaluar un sistema de gestión de la seguridad de la información.
4
CAPÍTULO II
MARCO TEÓRICO Y LEGAL
2.1 Introducción.
Cada día las organizaciones están más consientes de que la información es
un activo indispensable y vital no únicamente para el éxito y la
continuidad en sus negocios, sino adicionalmente el mecanismo mediante
el cual depende su supervivencia dentro del mundo globalizado, el
aseguramiento de la información y de los sistemas que la procesan es, por
tanto, un objetivo siempre priorizado dentro de las organizaciones.
La Seguridad de la Información se ha convertido en uno de los ejes que
mayor preocupación tiene hoy en día en las organizaciones, las áreas de
tecnología intentan estar siempre adelante con la finalidad de evitar
ataques, desastres o fuga de información en las empresas. Sin embargo
toda la inversión y los esfuerzos realizados no son correctamente
encaminados.
Tenemos que considerar que la seguridad de la información no se lo
gestiona solo adquiriendo hardware o software en las empresas, sino como
una estrategia que contiene políticas, procedimientos y roles que deben
estar definidos en la organización.
Muchas personas asocian la idea de seguridad de la información con
hackers, esta es sola una de las amenazas que hay que considerar al
momento de diseñar un sistema de seguridad. La seguridad de la
información tiene muchos frentes, la tecnología representa un aspecto
relacionado a la seguridad de la información.
Para la correcta gestión de la seguridad de la información, es necesario
implementar un modelo que cubra esta necesidad de una manera metódica,
documentada y basada en unos objetivos claros de lo que la seguridad de
la información involucra así como una evaluación de los riesgos a los que
está sometida la información de la organización.
5
Actualmente existen diferentes formas de llevar la seguridad de la
información, la que debe contar con políticas de seguridad de la
información cuyo contenido norme el aseguramiento del activo más
importante de las empresas. Otro punto importante es la adhesión de
alguna normativa de seguridad internacional que nos ayude con la
dirección de generación de políticas como son las normas ISO 27000.
Las ISO/IEC 27000 es un conjunto de estándares construidos por ISO
(International Organization for Standardization) e IEC (International
Electrotechnical Commission), que proporcionan un marco inicial de la
gestión de la seguridad de la información útil que puede ser aplicable a
cualquier tipo de organización, pública o privada, grande o pequeña.
En la empresa de turismo “Coka Tours” se observó que no existe un
modelo de Gestión de la Seguridad de la Información, o normativa de
seguridad de la información. Si bien se evidenció que existen ciertos
controles que realizan y que cubren algunos aspectos de seguridad de la
información, carece de una gestión adecuada y una guía de
implementación para la gestión de la seguridad.
El presente trabajo investigativo aborda la implementación de un modelo
para la gestión de la seguridad de la información que analiza las distintas
normas que componen la serie ISO 27000 de la gestión de la seguridad de
la información, respaldado por la normativa de seguridad y que permita ser
aplicado en la empresa.
2.2 Datos e Información.
2.2.1 Ley de Protección de Datos Personales.
Según lo establecido en la Base Constitucional en su Art. 66 de la
Constitución de la República del Ecuador, mayor información se
encontrará en: [1] en su parte pertinente dispone:
“…Se reconoce y garantizará a las personas: 19. El derecho a la
protección de datos de carácter personal, que incluye el acceso y la
6
decisión sobre información y datos de este carácter, así como su
correspondiente protección.
La recolección, archivo, procesamiento, distribución o difusión de estos
datos 19 de información requerirán la autorización del titular y el
mandato de la ley”,
2.2.2 Ley de Comercio Electrónico, firmas electrónicas y Mensajes de
Datos.
Lo que establece la Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos, en el Capítulo I DE LOS MENSAJES DE DATOS.,
mayor información se encontrará en [2].
En su Art. 5 en su parte pertinente dispone:
“Confidencialidad y reserva.- Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su
forma, medio o intención. Toda violación a estos principios,
principalmente aquellas referidas a la intrusión electrónica, transferencia
ilegal de mensajes de datos o violación del secreto profesional, será
sancionada conforme a lo dispuesto en esta Ley y demás normas que rigen
la materia”.
En su Art. 9 en su parte pertinente dispone:
“Protección de datos.- Para la elaboración, transferencia o utilización de
bases de datos, obtenidas directa o indirectamente del uso o transmisión
de mensajes de datos, se requerirá el consentimiento expreso del titular de
éstos, quien podrá seleccionar la información a compartirse con terceros.
La recopilación y uso de datos personales responderá a los derechos de
privacidad, intimidad y confidencialidad garantizados por la Constitución
Política de la República y esta ley, los cuales podrán ser utilizados o
transferidos únicamente con autorización del titular u orden de autoridad
competente”.
7
Lo que establece el Reglamento a la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos, mayor información se encontrará en:
[3].
En su Art. 20 en su parte pertinente dispone:
“Información al usuario.- La información sobre los programas o equipos
que se requiere para acceder a registros o mensajes de datos deberá ser
proporcionada mediante medios electrónicos o materiales. En el caso de
uso de medios electrónicos se contará con la confirmación de recepción
de la información por parte del usuario, cuando se usen medios
materiales, los que formarán parte de la documentación que se le deberá
entregar al usuario.”
En su Art. 21 en su parte pertinente dispone:
“De la seguridad en la prestación de servicios electrónicos.- La
prestación de servicios electrónicos que impliquen el envío por parte del
usuario de información personal, confidencial o privada, requerirá el
empleo de sistemas seguros en todas las etapas del proceso de prestación
de dicho servicio. Es obligación de quien presta los servicios, informar en
detalle a los usuarios sobre el tipo de seguridad que utiliza, sus alcances y
limitaciones, así como sobre los requisitos de seguridad exigidos
legalmente y si el sistema puesto a disposición del usuario cumple con los
mismos. En caso de no contar con seguridades se deberá informar a los
usuarios de este hecho en forma clara y anticipada previo el acceso a los
sistemas o a la información e instruir claramente sobre los posibles
riesgos en que puede incurrir por la falta de dichas seguridades”.
2.2.3 Ley de propiedad Intelectual.
Según la Ley de Propiedad Intelectual, mayor información se encontrará
en: [4].
En su Art. 183 en su parte pertinente dispone:
8
“…Se protege la información no divulgada relacionada: a) La
información sea secreta en el entendido de que como conjunto o en la
configuración y composición precisas de sus elementos no sea conocida en
general ni fácilmente accesible a las personas integrantes de los círculos
que normalmente manejan el tipo de información de que se trate;”
Se considera como protección de información el conocimiento tecnológico
conformado por procedimientos de fabricación y producción general.
En su Art. 190 en su parte pertinente dispone:
“Toda persona que con motivo de su trabajo, empleo, cargo, puesto,
desempeño de su profesión o relación de negocios, tenga acceso a una
información no divulgada, deberá abstenerse de usarla y de divulgarla,
sin causa justificada, calificada por la jueza o juez competente y sin
consentimiento del titular, aun cuando su relación laboral, desempeño de
su profesión o relación de negocios haya cesado”.
2.2.4 NTE INEN - ISO/IEC 27000 : 2012.
Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2012,
mayor información se encontrará en: [31].
“La información es un activo, al igual que otros activos importantes del
negocio, es esencial para el negocio de una organización y
consecuentemente necesita estar protegida apropiadamente. La
información puede ser almacenada de muchas maneras incluyendo: en
forma digital (por ejemplo, archivos de datos almacenados en medios
electrónicos u ópticos), en forma material (por ejemplo, sobre papel), al
igual que información sin representación como el conocimiento de los
empleados. La información puede ser transmitida por varios medios
incluyendo: mensajería, comunicación electrónica o verbal. Cualquiera
que sea la forma que la información adopta, o los medios por los cuales se
transmite, ésta siempre necesita de protección adecuada.
9
La información de una organización depende de las Tecnologías de la
Información y Comunicación.
Estas tecnologías son elementos esenciales en cualquier organización y
ayudan a facilitar la creación, procesamiento, almacenamiento,
transmisión, protección y destrucción de la información. En los casos y en
la medida en que el ambiente global de negocios interconectado se
amplía, de la misma manera lo hace la necesidad de proteger la
información, por cuanto está ahora expuesta a una variedad más amplia
de amenazas y vulnerabilidades”.
2.3 Seguridad de la Información.
Según la Norma Técnica Ecuatoriana NTE INEN - ISO/IEC 27000:2012,
mayor información se encontrará en: [31].
“La seguridad de la información incluye tres dimensiones principales:
confidencialidad, disponibilidad e integridad. Con el propósito de
asegurar un éxito sostenido del negocio y su continuidad, y para
minimizar los impactos, la seguridad de la información implica la
aplicación y gestión de medidas de seguridad apropiadas que involucran
la consideración de una amplia gama de amenazas.
La seguridad de la información se logra mediante la implementación de
un grupo de controles aplicables, seleccionados a través del proceso de
gestión del riesgo escogido y gestionado utilizando un SGSI, incluyendo
políticas, procesos, procedimientos, estructuras organizacionales,
software y hardware para proteger los activos de información
identificados. Estos controles necesitan ser identificados, implementados,
monitoreados, revisados, y mejorados donde sea necesario, para asegurar
que los objetivos específicos de seguridad y del negocio de la
organización se cumplan. Se espera que los controles pertinentes a la
seguridad de la información sean integrados de forma transparente con
los proceso del negocio de la organización.”
10
Estas tres dimensiones o criterios de la seguridad como se les conocen,
son usados a nivel mundial por los modelos de mejores prácticas y
estándares los mismos que son:
Tabla. 2.1. Criterio de Seguridad
Realizado por: FREIRE F., 14- noviembre-2013.
Figura 2.1. Los Pilares de la Seguridad de la Información
Fuente: La gestión de la Seguridad en la Empresa, mayor información se
encontrará en [14].
11
2.4 ISO 27000.
Las normas NTE INEN - ISO/IEC 27000:2012, en especial la NTE INEN
- ISO/IEC 27001:2011 e NTE INEN - ISO/IEC 27002:2009, tienen como
principales objetivos:
Establecer el marco metodológico para un Sistema de Gestión de la
Seguridad de la Información.
La gestión de controles proporcionales a los riesgos.
La documentación de políticas, procedimientos, controles,
estándares y tratamiento a los riegos.
Identificación y asignación de responsabilidades dentro de la
empresa por un nivel optimó.
Formalización, seguimiento y revisión de los controles y riesgos,
de forma sistemática y metodológica.
La gestión de los incidentes de seguridad de la información.
Control, revisión y mejora continua del Sistema de Gestión de
Seguridad de Información
La gestión y tratamiento de los Riesgos de la empresa.
La medición de la efectividad y eficiencia de los controles y del
modelo del Sistema de Gestión de Seguridad de la Información
Todos estos lineamientos metodológicos y los requerimientos de la norma
NTE INEN- ISO/IEC 27001:2011 son propuestos bajo el enfoque
metodológico del Ciclo de Deming: Planificar – Hacer – Verificar –
Actuar (PHVA).
12
Figura 2.2. Modelo PHVA aplicado a los procesos del SGSI
Fuente: NTE INEN ISO/IEC 2700, mayor información se encontrará en [32].
Además existen normas que son básicamente una especificación de
requerimientos como la NTE INEN- ISO/IEC 27001:2011 e NTE INEN -
ISO/IEC 27006: 2012 estas son guías de implementación o lineamientos
que soportan el ciclo de Deming PHVA para el Sistema de Gestión de la
Seguridad de la Información, como la NTE INEN - ISO/IEC 27003:2012 o
NTE INEN - ISO/IEC 27005:2012.
Figura 2.3. Relación del Grupo de Normas de SGSI
Fuente: NTE INEN ISO/IEC 27000, mayor información se encontrará en [31]
13
Para este trabajo se van describir brevemente lo más importante que se
utilizó referente a las Normas Técnicas Ecuatoriana ISO/IEC 27000 lo
mismo que se detalla a continuación:
La NTE INEN - ISO/IEC 27000:2012 – Tecnología de la Información –
Técnicas de Seguridad – Sistema de Gestión de Seguridad de la
Información – Descripción General y Vocabulario. En esta norma provee
una visión general y la gestión de la seguridad de la información, el
estado y la relación de las normas de la familia de estándares para un
Sistema de Gestión de la Seguridad de Información, con la definición de
términos relacionados. Mayor información se encontrará en [31].
2.4.1 NTE INEN - ISO/IEC 27001:2011.
La NTE INEN - ISO/IEC 27001:2011 – Tecnología de la Información -
Técnicas de Seguridad – Sistema de Gestión de la Seguridad de la
Información – Requisitos. En esta norma se establece los requerimiento
para un modelo para la definición, implementación, operación,
supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión
de la Seguridad de la Información – SGSI. Mayor información se
encontrará en [32].
2.4.2 NTE INEN - ISO/IEC 27002:2009.
La NTE INEN - ISO/IEC 27002:2009 Tecnología de la Información -
Técnicas de la Seguridad – Código de Práctica para la gestión de la
Seguridad de la Información. Es una guía de implementación de controles,
por lo que establece las directrices para comenzar, implementar, mantener
y mejorar la gestión de la Seguridad de la Información en la empresa. Esta
norma nos presenta once principales cláusulas de control con sus
indicaciones de los objetivos de control, con varios controles por cada una
de estas cláusulas., mayor información se encontrará en [33].
14
2.4.3 NTE INEN - ISO/IEC 27003:2012.
La NTE INEN - ISO/IEC 27003:2012 - Tecnología de la Información -
Técnicas de Seguridad – Guía de Implementación del Sistema de Gestión
de la Seguridad de la Información. Esta norma se enfoca en los aspectos
críticos requerido para el diseño e implementación de un Sistema de
Gestión de la Seguridad de la Información (SGSI), por lo que provee
información práctica de cómo implementar la norma NTE INEN -
ISO/IEC 27001:2011. Mayor información se encontrará en [34].
2.4.4 NTE INEN - ISO/IEC 27004:2012.
La NTE INEN - ISO/IEC 27004:2012 - Tecnología de la Información -
Técnicas de Seguridad – Gestión de la Seguridad de la Información –
Medición. Esta norma proporcionar una guía sobre el desarrollo y la
utilización de medidas y medición para evaluar la efectividad de un
Sistema de Gestión de la Seguridad de la Información, los objetivos de
control y controles utilizados para implementar y gestionar la Seguridad de
la Información, de acuerdo con la norma NTE INEN - ISO/IEC
27001:2011. Mayor información se encontrará en [35].
2.4.5 NTE INEN - ISO/IEC 27005:2012.
La NTE INEN - ISO/IEC 27005:2012 - Tecnología de la Información -
Técnicas de Seguridad – Gestión del Riesgo en la Seguridad de la
Información. En esta norma se establece las directrices para la Gestión del
Riesgo de la Seguridad de la Información, la misma que brinda soporte a la
norma NTE INEN - ISO/IEC 27001:2011. Mayor información se
encontrará en [36].
2.4.6 NTE INEN - ISO/IEC 27006:2012.
La NTE INEN - ISO/IEC 27006:2012 - Tecnología de la Información -
Técnicas de Seguridad – Requisitos para Organizaciones que proveen
Auditoría y Certificación de Sistemas de Gestión de la Seguridad de la
15
Información. En esta norma se especifica los requerimientos y proporciona
una guía para organizaciones que proveen auditoría y certificación de un
Sistema de Gestión de la Seguridad de la Información (SGSI). Mayor
información se encontrará en [37].
2.5 Otras Normas.
2.5.1 ISM3.
Es un estándar para la creación de sistemas de gestión de la seguridad de la
información, puede usarse por si solo o para mejorar sistemas basados en
ISO 27001, COBIT, ITIL. En este estándar se establecen diferentes niveles
de seguridad con el objetivo de alcanzar un nivel de riesgo aceptable, y
garantizar la consecución de los objetivos del negocio, por lo que permite
relacionar los objetivos del negocio con los objetivos de la seguridad.
A continuación se detallan algunas características del estándar ISM3:
“Métricas de Seguridad de la Información - hace de la seguridad
un proceso medible mediante métricas de gestión de procesos. Esto
permite la mejora continua del proceso, dado que hay criterios
para medir la eficacia y eficiencia de los sistemas de gestión de
seguridad de la información.
Niveles de Madurez – se adapta tanto a organizaciones maduras
como a emergentes mediante sus cinco niveles de madurez, los
cuales se adaptan a los objetivos de seguridad de la organización y
a los recursos que están disponibles.
Basado el Procesos - está basado en procesos, al igual que
sistemas de gestión como ISO9001 o ITIL., fomenta la
colaboración entre proveedores y usuarios de seguridad de la
información, dado que la externalización de procesos de seguridad
se simplifica.
16
Adopción de las Mejores Prácticas – Una implementación de
ISM3 tiene extensas referencias a estándares bien conocidos en
cada proceso, así como la distribución explícita de
responsabilidades entre los líderes, gestores y el personal técnico
usando el concepto de gestión Estratégica, Táctica y Operativa.”
Este estándar tiene relación con la norma ISO/IEC 27001 porque es una
norma basada en controles (y no en procesos). Por lo que permite la
compatibilidad de ISM3 con la implementación y mejora de un SGSI,
aplicando el modelo propuesto por ISM3 y dando cumplimiento a los
requerimientos de la norma ISO/IEC 27001., mayor información se
encontrará en: [15].
2.5.2 COBIT 4.0.
Es un marco de trabajo para la Gestión de Tecnología de la Información
(IT), orientado en el negocio y en procesos, y basado en controles. Para
ello considera tres dimensiones:
Los dominios, procesos y actividades de IT.
Los requerimientos de la información del negocio.
Los recursos de IT.
Los dominios que se definen en COBIT son: “Planificación y
Organización; Adquisición e Implementación; Entrega y Soporte;
Monitoreo y Evaluación”. En el dominio de la “Planificación y
Organización” se centra en la alineación de IT con los objetivos y
estrategias del negocio, y en la gestión de riesgos, de la misma forma en el
dominio de “Entrega y Soporte” se especifica un proceso de
“Aseguramiento de la Continuidad del Servicio y Operaciones”. Mayor
información en [37].
Por lo tanto, para satisfacer los objetivos de negocio en base del modelo
para el gobierno de TI se definen los siguientes criterios de información.
Mayor información en [37]:
17
“La efectividad tiene que ver con que la información sea relevante
y pertinente a los procesos del negocio, y se proporcione de una
manera oportuna, correcta, consistente y utilizable.
La eficiencia consiste en que la información sea generada
optimizando los recursos (más productivo y económico).
La confidencialidad se refiere a la protección de información
sensitiva contra revelación no autorizada.
La integridad está relacionada con la precisión y completitud de la
información, así como con su validez de acuerdo a los valores y
expectativas del negocio.
La disponibilidad se refiere a que la información esté disponible
cuando sea requerida por los procesos del negocio en cualquier
momento. También concierne con la protección de los recursos y
las capacidades necesarias asociadas.
El cumplimiento tiene que ver con acatar aquellas leyes,
reglamentos y acuerdos contractuales a los cuales está sujeto el
proceso de negocios, es decir, criterios de negocios impuestos
externamente, así como políticas internas.
La confiabilidad significa proporcionar la información apropiada
para que la gerencia administre la entidad y ejercite sus
responsabilidades fiduciarias y de gobierno.”
En cuanto a los recursos, y para el fin propuesto, se consideran los
siguientes., mayor información en [16]:
“Las aplicaciones incluyen tanto sistemas de usuario
automatizados como procedimientos manuales que procesan
información.
La información son los datos en todas sus formas de entrada,
procesados y generados por los sistemas de información, en
cualquier forma en que son utilizados por el negocio.
La infraestructura es la tecnología y las instalaciones (hardware,
sistemas operativos, sistemas de administración de base de datos,
redes, multimedia, etc., así como el sitio donde se encuentran y el
18
ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
Las personas son el personal requerido para planear, organizar,
adquirir, implementar, entregar, soportar, monitorear y evaluar
los sistemas y los servicios de información. Estas pueden ser
internas, por outsourcing o contratadas, de acuerdo a como se
requieran.”
Por lo que se analiza, la compatibilidad y complementariedad de Cobit con
la norma NTE INEN - ISO/IEC 27002:2009, donde se establece un mapeo
y cierto sincronismo entre ambos, y por ende con los objetivos de control y
controles que se especifican en Anexo A de la NTE INEN - ISO/IEC
27001:2011. Mayor información [32].
2.5.3 Norma NTE INEN - ISO/IEC 27001:2011 y el Ciclo de Deming.
La NTE INEN - ISO/IEC 27001:2011 – Tecnología de la Información -
Técnicas de Seguridad – Sistema de Gestión de la Seguridad de la
Información – Requisitos, especifica los requerimientos para establecer,
implementar, operar, supervisar, revisar, mantener y mejorar un Sistema
de Gestión de Seguridad de la Información (SGSI). Especifica además los
requerimientos para la implementación de controles de seguridad para las
necesidades de una organización, un sector de la misma, o un proceso,
según el alcance del SGSI.
Sin embargo, si bien sugiere un enfoque para su cumplimiento, no
establece una metodología concreta para lograr los productos y esa
documentación requerida.
En el siguiente cuadro se establece los entregables y que productos son
requeridos por esta norma, relacionado con el Ciclo de Deming., mayor
información en [32].
19
Ciclo de Deming -
PHVA
Entregables
Planificar
Definir el Alcance
Establecer Política del SGSI
Evaluación de Riesgos
Identificación de Riesgos
Análisis y Evaluación de Riesgos
Evaluar alternativas para el Plan de tratamiento de
riesgos.
Aceptación de riesgos
Hacer
Implementar plan de tratamiento de riesgos
Implementar los controles seleccionados
Definir las métricas
Implementar programas de concientización
Gestionar la operación del SGSI
Gestionar recursos
Implementar procedimientos y controles para la
gestión de incidentes de seguridad
Verificar
Ejecutar procedimientos de seguimiento y revisión de
controles.
Realizar revisiones regulares de cumplimiento y
eficacia de los controles y Medir la eficacia de los
controles y verificación de satisfacción de los
requerimientos de seguridad.
Revisión de la evaluación de riesgos periódicamente.
Realizar auditorías internas
Revisión de alcance y líneas de mejoras del SGSI por
la Administración.
Registrar acciones que podrían impactar la eficacia
y/o eficiencia del SGSI
Actuar
Implementar las mejoras identificadas para el SGSI
Implementar las acciones correctivas y preventivas
pertinentes.
Comunicar acciones y mejoras a todas las partes
involucradas.
Asegurarse que las mejoras logren los objetivos
previstos.
Actualizar los planes de seguridad
Tabla. 2.2. Entregables Ciclo de Deming en relación a la norma NTE INEN -
ISO/IEC 27001:2011
Realizado por: FREIRE F., 16-noviembre-2013.
20
2.5.4 Norma NTE INEN - ISO/ IEC 27005:2012 y el Ciclo de Deming
La NTE INEN - ISO/IEC 27005:2012 - Tecnología de la Información -
Técnicas de Seguridad – Gestión del Riesgo, se encuentra alineada con la
NTE INEN - ISO/IEC 27001:2011, esta propone la aplicación del Ciclo de
Deming aplicado a la Gestión de Riesgo de la Seguridad de la
Información. Mayor información se encontrará en [10].
En el siguiente cuadro se establece los entregables y que productos son
requeridos por esta norma.
Tabla. 2.3. Entregables Ciclo de Deming en relación a la norma NTE INEN -
ISO/ IEC 27005:2012
Realizado por: FREIRE F., 17-noviembre-2013.
2.6 Entorno de la Empresa.
2.6.1 Información de la Empresa.
La empresa fue creada hace 11 años con el objetivo de explotar la
actividad turística como una agencia de viajes de turismo receptivo, bajo la
razón social de Coka Tours.
Desde 2005, la empresa amplió sus operaciones bajo la supervisión del
SR. Segundo Freire, además de explotar la actividad turística como una
agencia de viajes de turismo receptivo, comienza a ejercer la actividad de
21
agencia de viajes internacional, y en actividades para la comodidad, y
facilidad en la prestación de servicios turísticos (Deportes Extremos); así
como el de la administración de paraderos, miradores turísticos, y la
transportación de personas.
En el 2008 Coka Tours ya cuenta con sucursales en cada una de las
provincias de la Amazonía del Ecuador continuando hasta la actualidad la
administración y ahora socio de la empresa Coka Tours, el Sr. Segundo
Freire.
En el 2013 Coka Tours se fusiona con la empresa “Popangui” relacionado
al turismo interno de expedición en la selva ecuatoriana.
La continúa capacitación al recurso humano como la mejora en la
tecnología y su experiencia, la empresa ha logrado posesionar en la
Amazonía Ecuatoriana para la prestación de servicios turísticos.
2.6.1.1 Actividad Económica.
La empresa tiene por finalidad proporcionar servicios turísticos de forma
nacional, e internacional tanto como agencia de viajes como operadora de
turismo receptivo, y transportación de personas.
2.6.1.2 Naturaleza Jurídica.
La empresa es una persona jurídica de derecho público con autonomía
técnica, administrativa, económica, y con patrimonio propio.
2.6.1.3 Misión.
Lograr la satisfacción de nuestros clientes mediante la entrega de
excelencia y calidad en los servicios turísticos que ofrecemos.
Nuestro compromiso con nuestros socios es el de proveerlos de una
plataforma para su desarrollo, mediante nuestro crecimiento en
rentabilidad.
22
Nuestra responsabilidad con la sociedad y las comunidades en las que
operamos, es la de contribuir a su progreso y mejorar sus expectativas
para el futuro.
2.6.1.4 Visión.
Ser la empresa de mayor rentabilidad dentro de la actividad turística de la
región Amazónica, con personal altamente calificado con una
participación de no menor del 80%.
2.6.2 Situación Actual.
Se realizó un análisis de la situación actual de la empresa en la que se
establece que la infraestructura tecnológica se encuentra en un alto
crecimiento, para lo cual es necesario establecer una normativa de
seguridad de la información.
Actualmente todos los sistemas informáticos de la empresa soportan los
procesos del negocio así como la información crítica de los estados
financieros, el soporte y administración de la infraestructura tecnológica,
bases de datos, redes, sistemas operativos es soportada por el
Departamento de Tecnología.
Los principales procesos de la Empresa Coka Tours son:
Atención al Cliente.
E-COMMERCE.
Logística.
Marketing
Ventas.
Contabilidad.
Recursos Humanos.
Gestión de Sistemas Tecnológicos.
La empresa cuenta con un centro de cómputo en Ambato (Oficina
Principal). La sincronización de la información entre las sucursales y la
oficina principal ocurre una vez al día a través de un enlace telefónico.
23
En la actualidad existen ciertos controles que permiten tener un grado de
seguridad de la información, sin embargo estos no son eficientes en su
totalidad debido a que no se encuentra especificado en una normativa, ni
definido un Modelo de Gestión de Seguridad de la Información que sirva
como base. Con estos antecedentes hemos encontrado las siguientes
novedades:
No existe Normativa (políticas) que se encuentre documentada y
difundida en lo relacionado a la Seguridad de la Información.
Actualmente no se tiene establecido un Modelo de Gestión de la
Seguridad de la Información en la empresa.
Los equipos computacionales así como los recursos y servicios
tecnológicos asociados o configurados no se encuentran normados,
ni se establecen los criterios de seguridad en su utilización, ni sus
restricciones y prohibiciones.
No existe control sobre uno de los puntos que generalmente más
vulnerables relacionado a la seguridad de la información y que es
el Recurso Humano, por motivo de que no se encuentra normado el
manejo, y sus activos de la información.
La transferencia o traslado de la información se la realiza en
medios no seguros, si se transmitiera información considerada
como confidencial a través de estos medios la empresa se ve en un
alto riesgo de comprometer este tipo de información.
No se encuentra documentado los roles y responsabilidades de cada
uno de los actores de la empresa sobre Seguridad de la
información.
La empresa no tiene definido el Departamento de Seguridad de la
Información, ni el Oficial de Seguridad de la Información.
2.6.3 Estructura Organizacional de la Empresa.
La empresa actualmente posee establecido una estructura organizacional
defina; con la implementación del Modelo de Gestión de Seguridad de la
Información, se estableció que dentro de esta estructura se encuentre el
24
Departamento de Seguridad de la Información, que es uno de los requisitos
necesarios para la implementación del Modelo de Gestión de Seguridad de
la Información, en la figura a continuación se define la estructura
organizacional de la empresa:
Figura 2.4. Estructura Organizacional de la Empresa Coka Torus
Fuente: Empresa Coka Torus.
2.6.4 Información del Ambiente Tecnológico.
2.6.4.1 Catálogo de Sistemas Informáticos de la Empresa.
En el cuadro a continuación se especifica el catálogo de los sistemas
informáticos de la Empresa Coka Tours y los procesos de Negocio que se
Soportan.
25
Tabla. 2.4. Catálogo de los Sistemas Informáticos de la Empresa Coka Tours.
Realizado por: FREIRE F., 10-Octubre-2014.
2.6.4.2 Recurso Tecnológico.
2.6.4.2.1 Software.
Linux RedHat Entreprise Server 3.x
Office 2003 Profesional.
Lotus Domino 5.x.
Windows XP
SQL Server
Visual Basic 6.0 Entreprise.
2.6.4.2.2 Hardware.
Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de
memoria, RAID 5, 4 fuentes redundantes, dispositivo de cinta
magnética).
Proxy Server (S.O.Linux, procesador PENTIUM 4, 512 MB).
MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM
4, 512 MB).
Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512
de memoria, dispositivo de cinta magnética).
140 PC en toda la organización.
2.6.4.2.3 Red.
Cableado estructurado categoría 5 - 6.
26
Red Inalámbrica.
BACKBONE de comunicaciones.
Conexión dial-up con las sucursales
2.6.5 Resumen Gerencial de Seguridad de la Información de la Empresa.
Dentro de la empresa se ejecuto una medición para establecer la Madurez
de Seguridad de la Información que existe actualmente y el mejoramiento
que existirá con la Implementación del Modelo de Gestión de la Seguridad
de la Información:
En el cuadro a continuación se considera lo siguiente:
La situación actual de la empresa, y.
La situación de la empresa luego de la implementación.
Tabla. 2.5. Resumen Gerencial de la Seguridad de la Información de la Coka
Tours.
Realizado por: FREIRE F., 16-noviembre-2013.
27
CAPÍTULO III
COMPONENTES DE LA SEGURIDAD DE LA INFORMACIÓN
3.1 Política de Seguridad de la Información.
3.1.1 Propósito.
Normar y controlar la gestión de la seguridad de la información de la
empresa, en todo su ciclo de vida y formatos, con el propósito de proteger
la información mediante la implementación de medidas de seguridad
preventivas, detectivas, de respuesta, y de recuperación, que contribuyan a
garantizar la confidencialidad, integridad y disponibilidad de la
información física y digital; gestión que a su vez debe estar alineada al
cumplimiento de los objetivos de la empresa.
3.1.2 Alcance.
La presente Política se aplica para la protección de toda la información
física o digital, recibida o generada durante los procesos estratégicos,
operativos y de apoyo que realiza la empresa Coka Tours, así como la
información relacionada a la correspondencia y que se encuentra bajo su
custodia en archivos físicos, temporales o permanentes, bases de datos,
almacenada en recursos tecnológicos a nivel de usuario y equipos
servidores; y, la información que se encuentra en etapa de gestión de
procesos internos.
3.1.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en esta Política deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de esta Política, así como las leyes y normativa conexa,
debe incurrir en responsabilidad administrativa que será sancionada
28
disciplinariamente, sin perjuicio de la acción civil o penal que pudiere
originar el mismo hecho.
c) Es responsabilidad de la empresa Coka Tours la protección y custodia
de toda la información recibida o generada por el personal contratado
en la utilización de los distintos sistemas informáticos facilitados por la
organización; la misma podrá estar contenida en documentos,
informes, reportes, bases de datos, archivos temporales o permanentes
sean estos físicos o digitales, los cuales son sujeto de custodia y
control de la empresa Coka Tours.
d) Los empleados de la empresa Coka Tours tienen la obligatoriedad de
cumplir los procedimientos e instrucciones establecidas para el manejo
documental conforme a la normativa definida por la empresa.
3.1.3.1 Manejo de Información de la Empresa.
a) Utilizar la información a la que tiene acceso en razón de sus funciones,
únicamente para los fines permitidos, conforme a las órdenes de su
superior jerárquico.
b) Abstenerse de acceder a la información no autorizada, no asignada o
no permitida.
c) No revelar, disponer, guardar, extraer, reproducir o eliminar
información con fines ajenos de la empresa.
d) No entregar información de la empresa a terceras personas o a otras
organizaciones consideradas por la empresa como a toda la
competencia.
e) No utilizar la información de la empresa para provecho o ventaja
personal, sus familias, o cualquier otra persona.
f) Aplicar las medidas de protección que sean necesarias para proteger la
información de la empresa, a fin de minimizar el riesgo de difusión,
acceso y uso no autorizado, para evitar impacto negativo a la imagen y
gestión de la empresa.
29
3.1.3.2 Uso Aceptable de Computadores de Escritorios y/o Portátiles o
Dispositivos de Manejo de Información.
a) La empresa Coka Tours establece que los computadores de escritorio
y/o portátiles, así como los recursos y servicios configurados en dichos
equipos son de su propiedad, los mismos que facilitan la gestión y
custodia de la información de la empresa; por lo tanto serán tratados
como activos empresariales, sujetos de administración y control.
b) Toda la información almacenada en los computadores de escritorio y/o
portátiles asignados al personal, es de propiedad de la empresa Coka
Tours, motivo por el cual podrá ser monitoreada y controlada.
c) Todo el personal es responsable de gestionar y manejar la información
de la empresa a través del correo electrónico definido para el efecto y
de las herramientas de manejo documental.
d) El uso de dispositivos de almacenamiento externo al computador
(dispositivos USB, discos duros externos, unidades de escritura de
discos ópticos, etc.) no deben contravenir a las normas dispuestas en la
presente política.
e) Se autoriza el uso de dispositivos de almacenamiento externo para el
traslado de la información siempre que se encuentre autorizado por la
Jefatura pertinente.
f) Todos los computadores de escritorio y/o portátiles asignados al
personal de la empresa, deben tener instalado y operativo el antivirus
Institucional para protegerlo contra amenazas de código malicioso.
g) Para la autorización de acceso a la red de la empresa las computadoras
de escritorio y/o equipos portátiles externos, deben contar con un
software antivirus actualizado, está verificación la realizará el personal
de Soporte a Usuarios.
h) El personal de la empresa Coka Tours, a quien se le haya asignado un
computador de escritorio y/o portátil, deberán cumplir las siguientes
normas:
Acatar las normas establecidas para la generación y uso de
contraseñas relacionadas con computadores de escritorio y
30
portátiles.
Bloquear obligatoriamente la sesión del computador (presionar
CTRL+ALT+SUPR) en caso de ausentarse del puesto de trabajo,
para evitar accesos no autorizados al equipo y a la información
almacenada en el mismo.
El personal que tenga asignado un computador de escritorio y/o
portátiles, serán responsable de su cuidado y protección y se
constituyen en custodios de dichos equipos.
i) Todo computador o dispositivo que requiere de mantenimiento o
actualización de información sólo lo podrá realizar el personal de
Soporte a Usuarios, para evitar que la información se vea
comprometida.
j) La implementación de cualquier solución o herramienta tecnológica en
los computadores de escritorio y/o portátiles no debe afectar la
operatividad y la disponibilidad de los mismos.
k) Todo computador portátil debe mantener colocado su seguro de
protección física cuando se encuentre en uso dentro o fuera de la
empresa, o en donde las condiciones lo permitan.
l) La información almacenada en computadores portátiles, debe estar
encriptada utilizando las herramientas definidas para este efecto.
m) Para trasladar un computador portátil fuera de las instalaciones de la
empresa, el personal responsable de dicho equipo debe notificar de la
salida del bien al personal de seguridad física.
3.1.3.3 Uso Aceptable de Servicios y/o Recursos Tecnológicos.
a) Los servicios y/o recursos tecnológicos que la empresa Coka Tours
asigna al personal es para el cumplimiento de sus funciones, debe ser
utilizado únicamente para este fin.
b) La información transmitida por el personal de la empresa, a través de
los servicios y recursos tecnológicos institucionales, para el
cumplimiento de sus funciones laborales o contractuales, son de
propiedad de esta.
31
c) Los repositorios centrales de almacenamiento de información digital,
serán utilizados exclusivamente para guardar información relacionada
a las funciones que cumplen el personal. El uso y acceso a la
información contenida en estos repositorios centrales de
almacenamiento deben estar restringidos solo al personal autorizado y
aplicando medidas de protección. La administración técnica de los
repositorios centrales de almacenamiento está bajo la responsabilidad
del Departamento de Tecnología.
3.1.3.4 Uso Aceptable del Servicio de Correo Electrónico.
a) Cada persona que ingrese a la empresa se le asignará una cuenta de
Correo Electrónico la misma que es personal e intransferible, por lo
que no está permitido su acceso y/o uso a otras personas, siempre que
esta requiera utilizar un computador de escritorio y/o portátil.
b) La información contenida en los mensajes de datos y archivos adjuntos
recibidos y/o transmitidos a través del Correo Electrónico por parte del
personal que para el cumplimiento de sus funciones laborales o
contractuales, son de propiedad de la empresa Coka Tours.
c) El Servicio de Correo Electrónico debe ser utilizado exclusivamente
para realizar tareas y actividades relacionadas a las funciones
asignadas al personal en los procesos de la empresa y que no
contravengan las disposiciones de la presente política.
d) La empresa Coka Tours guardará los logs de los mensajes entrantes y
salientes depositados en el buzón del Servidor Central del servicio de
Correo Electrónico Institucional, antes de ser descargados al archivo de
correos (PST) de los respectivos usuarios.
e) Cada cuenta de Correo Electrónico debe tener asociada una clave de
acceso o contraseña para acceder al contenido de la misma. El personal
que dispongan, de cuentas de correo electrónico, serán los responsables
de la administración y custodia de dicha contraseña, garantizando la
confidencialidad y privacidad de la misma; así como, de mantener las
32
acciones necesarias para evitar su difusión o conocimiento por parte de
personas no autorizadas.
f) El Servicio de Correo Electrónico Externo se autoriza al personal que
por sus funciones requiera del uso de este servicio.
g) El personal no debe eliminar mensajes de datos recibidos o enviados
que tengan relación con los procesos de la empresa, para lo cual deben
considerar la creación de archivos de carpetas personales de correo
electrónico cuando estos hayan llegado a la capacidad máxima
recomendada técnicamente.
h) El contenido de los mensajes de datos personales transmitidos o
reenviados, a través del servicio de Correo Electrónico, son de
responsabilidad exclusiva del personal quien los remite, en
consecuencia, estos asumirán los efectos legales que pudieren
derivarse de dicha acción, sin perjuicio de las responsabilidades
administrativas a que hubiere lugar.
3.1.3.5 Uso Aceptable del Servicio de Internet.
a) El servicio de Internet que es provisto por la empresa Coka Tours para
el personal, es para realizar tareas y actividades relacionadas a las
funciones asignadas a la empresa dentro de los procesos.
b) Para el servicio de conectividad inalámbrica a Internet provisto por la
empresa, se requiere disponer de un computador portátil que haya sido
asignado por la misma.
c) Se encuentra prohibido utilizar el servicio de Internet para divulgar o
transmitir información de propiedad de la empresa, a terceras personas
u organizaciones no autorizadas.
d) Se prohíbe el acceso a través de conectividad inalámbrica a Internet
con dispositivos que NO son provistos por la empresa (de propiedad
del personal), utilizando además computadores de escritorio y/o
portátiles de la empresa.
e) Está prohibido descargar del Internet e instalar cualquier aplicación o
herramienta informática sin previo conocimiento por parte del
33
departamento de Soporte a Usuarios.
f) Se prohíbe ejecutar o intentar ejecutar cualquier actividad con fines
ilícitos como accesos no autorizados, robo, bloqueo o daño de
información, sobrecarga o deterioro de los servicios informáticos,
redes y sistemas.
3.1.3.6 Restricciones y Prohibiciones.
a) Se prohíbe expresamente lo siguiente:
Usar los recursos físicos y tecnológicos de la empresa para,
almacenar, acceder, transmitir o difundir la siguiente información
y/o material:
o Textos o imágenes pornográficas.
o Que promueva de cualquier forma la explotación sexual,
racismo o violencia.
o Que promueva el uso ilegal de drogas o armas.
o Mensajes discriminatorios con relación a ideología, afiliación
política o sindical, orientación sexual, etnia, estado de salud,
religión, nacionalidad, condición migratoria.
o Con contenido violento.
o Que promueva o posibilite juegos o apuestas.
o Que contenga cualquier tipo de código malicioso (virus,
programas que se auto replican, programas espías, programa de
captura de credenciales, etc.).
o Que intente vulnerar la seguridad de las aplicaciones, servicios
o equipos de propiedad de la empresa Coka Tours.
o Correos masivos, cadenas de correos, spam.
o Relacionado a propaganda comercial, gremial, partidista o
política.
o Que incluya texto difamatorio, ofensivo, intimidatorio o
injurioso contra la honra de las personas.
o Que atente contra los derechos de autor, y no posean licencias.
34
Para el uso de equipos, servicios y recursos tecnológicos
institucionales se prohíbe:
o Instalar software adicional no autorizado.
o Cambiar o intentar cambiar las configuraciones de los equipos
asignados, incluyendo CMOS, BIOS, sistema operativo,
aplicativos y herramientas del computador.
o Abrir físicamente el computador, bajo ningún concepto.
Cualquier actividad técnica deberá ser coordinado con el
personal de Soporte a Usuarios y el Departamento de
Tecnología.
o Está prohibido almacenar, transmitir o reenviar mensajes de
datos, incompatibles con los estándares éticos del personal de la
empresa Coka Tours, y con las normas legales o reglamentarias
aplicables.
o Utilizar el Servicio de Correo Electrónico para divulgar o
transmitir información de propiedad de la empresa, a terceras
personas u organizaciones no autorizadas.
o Transmitir información de la empresa considerada como
sensitiva, a través de mensajes de datos, sin haber aplicado el
procedimiento de entrega de información respectivo o reenvío a
cuentas de correos electrónicos públicos.
o Enviar de forma masiva correos por parte de todas aquellas
personas que no estén explícitamente autorizadas para dicha
actividad. Se consideran como correos masivos aquellos que se
envían a más de 20 cuentas de correo electrónico.
o Acceder al archivo de correo o a una cuenta de Correo
Electrónico que pertenezca a otra persona, sin su autorización
expresa.
o Alterar el contenido de los mensajes de datos que modifiquen la
voluntad, intención u objetivo del remitente original para a su
vez reenviar el mensaje de datos alterado, violentando el
principio de integridad de la información.
35
o Enviar mensajes alterando la dirección electrónica del remitente
para suplantar la identidad, identificarse como una persona
ficticia o no identificarse.
o Intentar vulnerar las seguridades del Servicio de Correo
Electrónico.
o Usar frases o palabras obscenas, peyorativas, ofensivas o
denigrantes en los mensajes de Correo Electrónico.
3.2 Organización de la Seguridad de la Información.
3.2.1 Propósito.
Establecer los lineamientos de actuación y operación del Gerente y del
Comité de Seguridad de la Información, Departamento de Seguridad de la
Información, Departamento de tecnología, Oficial de Seguridad de la
Información que conforman el componente de alineación empresarial
integrado, así como las atribuciones y responsabilidades de cada uno de
los integrantes que los conforman, para que los asuntos tratados en el seno
de estos grupos de decisión, propicien que las distintas instancias internas
de la empresa cumplan su misión y visión, dentro del marco de referencia
que establecen las leyes y disposiciones aplicables de acuerdo al objeto y
naturaleza jurídica de la empresa.
3.2.2 Alcance.
El presente documento contempla la planificación, ejecución, seguimiento
y cierre de los temas a tratarse en el Comité de Seguridad de la
Información, reconocidos como parte del Modelo de Gestión de la
Seguridad de la Información, así como la alineación del funcionamiento
que sirvan como apoyo a los procesos institucionales.
3.2.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
36
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de este documento, así como de las leyes y normativa
conexa, debe incurrir en responsabilidad administrativa que será
sancionada disciplinariamente, sin perjuicio de la acción civil o penal
que pudiere originar el mismo hecho.
c) La gerencia debe coordinar y supervisar el cumplimiento de todas las
normas de seguridad de la información.
d) Es responsabilidad por parte de la gerencia designar los integrantes que
conforman el Comité de Seguridad de la Información y ser parte de
este comité.
e) Coordinar su difusión, capacitación de la normativa de seguridad a
todo el personal de la empresa.
f) La Gerencia es el único responsable de comunicar cualquier
inconveniente o evento de seguridad que ocurriera en la empresa, con
el objetivo de no divulgar información de la empresa.
g) El Comité de la Seguridad de la Información debe realizar lo siguiente:
Establecer y actualizar la normativa de seguridad de la información
y coordinar el cumplimiento por parte del personal de la empresa.
Gestionar los riesgos que afecten a todos los activos de la
información frente a las diferentes amenazas existentes.
Supervisar sobre los diferentes incidentes de seguridad que ocurren
en la empresa.
Evaluar la implementación de controles específicos efectuados por
el Departamento de Seguridad de la Información, para lo sistemas
o servicios, estos controles deben estar enfocados a la seguridad de
la información.
Coordinar conjuntamente con la Gerencia la difusión y
proporcionar apoyo a la seguridad de la información en la empresa.
El comité de seguridad de la información es responsable de
coordinar los procesos de gestión de incidentes, continuidad de las
operaciones de los sistemas informáticos utilizados por la empresa,
37
frente a un evento o incidente que pueda suscitarse de manera
imprevista.
El Comité de Seguridad de la información conjuntamente con el
responsable del Departamento de Seguridad de la Información
deben analizar los recursos económicos, tecnológicos y humanos
que se requieran para la gestión de la seguridad de la información.
La Gerencia conjuntamente con el Comité de Seguridad son los
responsables de designar al Oficial de Seguridad de la Información,
el mismo que no debe pertenecer al Departamento de Tecnología;
así también deben designar la contraparte Tecnológica.
Aprobar temas emblemáticos de la empresa, así como reunir
distintos criterios para la solución de aspectos de gestión propios de
seguridad de la información.
Promover iniciativas de nivel estratégico en el ámbito de la
seguridad de la información que permitan innovar la gestión de la
empresa y alcanzar los objetivos estratégicos de la misma.
Actuar como equipo de apoyo en las decisiones de la Gerencia,
coadyuvando en forma directa en los asuntos que requieran de
atención de forma inmediata, debiendo aportar los elementos que
brinden sustento a la toma de decisiones, relacionados a seguridad
de la información.
Dirigir la mejora continua de los procesos y servicios
institucionales, en temas de seguridad de la información.
Establecer las directrices y realizar la priorización, selección y
autorización de la asignación de recursos en proyectos de los
programas de mejoramiento de la gestión de la seguridad de la
información.
Supervisar los resultados de los controles que realiza el
Departamento de Seguridad de la Información en la empresa.
Revisar periódicamente los resultados de los indicadores sobre la
gestión de seguridad de la información
Asegurar que la estrategia definida esté encaminada a la mejora de
38
la calidad de los servicios que otorga la empresa.
Asegurar la continuidad en los procesos y servicios que la empresa
maneja.
Promover el aseguramiento de los recursos tecnológicos acorde con
las estrategias y prioridades de la empresa.
Poner a consideración de la Gerencia las propuestas de
modificación o implementación de nuevas estrategias, previo a la
aprobación y priorización de planes y proyectos de la empresa
sobre la Seguridad de la Información.
h) Es responsabilidad del Departamento de Seguridad de la Información
lo siguiente:
Planificar y Monitorear el Modelo de Gestión de Seguridad de la
Información.
Elaborar las estrategias de mitigación y prevención para la
mitigación de los riesgos de seguridad de la información.
Elaborar y actualizar la información relacionada a Seguridad de la
Información en la empresa.
Monitorear y validar la adecuada implementación sobre los
procesos de seguridad de la información que ejecuta el
Departamento de Tecnología.
Elaborar y ejecutar planes de evaluación de cumplimiento de las
normas, políticas y procedimientos de seguridad de la información.
i) Es responsabilidad del Oficial de Seguridad de la Información lo
siguiente:
Establecer los procesos de control de cambios que se realicen a los
sistemas informáticos u oficinas, y validar el cumplimiento de
dichos procesos, para asegurar de que no afecten la seguridad de la
información.
Definir los estándares de seguridad que deben tener los nuevos
sistemas informáticos o actualizaciones que se realicen, las mismas
que deben contar con pruebas antes de su aplicación.
Establecer los procesos que permitan administrar los medios de
39
almacenamiento y los incidentes de seguridad sobre la
infraestructura tecnológica.
Coordinar los mecanismos de difusión que se utilicen en la
empresa, sea esta en el interior como fuera.
Coordinar la implementación de controles para la detección y
prevención del acceso no autorizado, así como garantizar la
seguridad de la información como de la infraestructura tecnológica,
conjuntamente con el Departamento de Tecnología.
Coordinar con el personal de la empresa para charlas de
concientización sobre temas de seguridad de la información.
Convocar al Comité de Seguridad de la Información y a la
Gerencia para informar el cumplimiento de la normativa de
seguridad, o cuando lo amerite de manera expresa.
Coordinar con Recursos Humanos la firma de los acuerdos de
confidencialidad y de no – divulgación de la información de la
empresa, por parte del persona, así como de su elaboración y
actualización de este documento; el mismo que debe ser
incorporado en los expedientes del personal.
Para el personal externo (ej., contratistas, proveedores, pasantes,
entre otros) y que por necesidad de la empresa y que requieran
realizar trabajos o labores dentro de la misma, se debe gestionar la
aceptación y firma del acuerdo de confidencialidad.
j) El Departamento de Tecnología es responsable de lo indicado a
continuación:
Verificar y evaluar el impacto que ocurra sobre los sistemas
informáticos por motivo de la implementación de normas de
seguridad, además de validar la correcta implementación de estas.
Establecer y administrar los mecanismos tecnológicos que
requieran para la desegregación de los ambientes de
procesamiento, y almacenamiento de la información.
Obtener copias de respaldo de la información que se gestiona en los
sistemas informáticos, así como de realizar las pruebas de
40
restauración.
Verificar las necesidades sobre la capacidad operativa de los
sistemas informáticos que se encuentran en producción, con el
objetivo de soportar potenciales amenazas a la seguridad de estos.
Llevar un registro de las acciones realizadas por el personal de
seguridad sobre cambios, modificaciones, actualizaciones de
seguridad en los equipos informáticos.
Implementar mecanismos de control para evitar la instalación de
software malicioso, accesos no autorizados, etc., los mismos que
deben ser definidos por el Departamento de Seguridad de la
Información y el Oficial de la Seguridad de la Información.
Controlar y definir el proceso para la gestión de medios de
almacenamiento informático, así como la destrucción o eliminación
de forma segura de la información que se encuentra almacenada.
Remediar y gestionar los incidentes de seguridad que se presenten
en la empresa y reportar informes de forma trimestral de estos al
Oficial de Seguridad de la Información.
Verificar si un nuevo servicio tecnológico a implementar cumpla
con los estándares de seguridad de la información indicados por el
Departamento de Seguridad de la Información y el Oficial de
Seguridad de la información, además de evaluar la compatibilidad
con los sistemas informáticos de la empresa.
Llevar un registro con los datos de información sobre los contactos
de contratistas, proveedores, servicios de telecomunicaciones, o de
acceso a Internet, etc., para la gestión de posibles incidentes o
eventos de seguridad que se susciten.
3.3 Gestión de los Activos de la Información.
3.3.1 Propósito.
Normar el registro, gestión y control de los activos fijos y bienes de
propiedad de la empresa Coka Tours.
41
3.3.2 Alcance.
Estandarizar el proceso para el manejo de los activos fijos y bienes el
registro informáticos y documentos en que conste la historia de cada bien,
su destinación y uso; e identificar y designar al personal que recibe el bien
para el desempeño de sus funciones.
3.3.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de esta Política, así como las leyes y normativa conexa,
debe incurrir en responsabilidad administrativa que será sancionada
disciplinariamente, sin perjuicio de la acción civil o penal que pudiere
originar el mismo hecho.
c) La Gerencia debe contratar pólizas de seguro de los activos para
protegerlos contra diferentes riesgos que pudieran ocurrir; se
actualizaran periódicamente, a fin de que las coberturas mantengan su
vigencia.
d) El Departamento de Tecnología establecerá una codificación adecuada
que permita una fácil identificación, organización y protección de los
activos. Todos los activos llevarán etiquetas impresas con el código
correspondiente en una parte visible, permitiendo su fácil
identificación.
e) Es responsabilidad del Departamento de Tecnología mantener registros
actualizados, individualizados, numerados, debidamente organizados y
archivados, para que sirvan de base para el control, localización e
identificación de los equipos informáticos, hardware, software y
medios de comunicación.
f) Es responsabilidad de cada Jefatura garantizar el uso adecuado de los
42
activos informáticos, a fin de determina si las condiciones de custodia
son adecuados y no se encuentran en riesgo.
g) El Departamento de Seguridad de la Información debe tener un
inventario de lo siguiente:
Procesos estratégicos y de apoyo para la empresa.
Las normas y reglamentos que son la razón de ser de la empresa.
Los archivos generados por el personal tanto de manera física como
digital, esto dependerá de las funciones que realiza en la empresa.
Archivos del desarrollo, soporte de los nuevos y anteriores sistemas
informáticos.
3.3.3.1 Clasificación de la Información.
a) La empresa Coka Tours es responsable de la protección y custodia de
toda la información de la empresa que corresponda a la información
recibida o producida por el personal, para el cumplimiento de sus
funciones, atención de trámites y transacciones asociadas a su gestión;
la misma podrá estar contenida en documentos, informes, reportes,
bases de datos, archivos temporales o permanentes sean estos físicos o
digitales.
b) La información, documentos y archivos de propiedad de terceros que
ingrese a los distintos sistemas administrativos, aplicaciones
informáticas o servicios tecnológicos de la empresa, estarán bajo
custodia de la empresa Coka Tours y serán sujetos a las normas y
procedimientos de control aplicados.
c) La información considerada como “Información Confidencial” que sea
entregada por parte de la empresa Coka Tours a otras organizaciones,
debe ser aprobado por la Gerencia.
d) La información de la empresa a la cual tenga acceso el personal
externo que preste servicios a la empresa Coka Tours, estará regulada
por los respectivos contratos y acuerdos de confidencialidad que se
suscriban para el efecto.
e) La información que se genera para la gestión de los procesos de la
43
empresa debe sujetarse a las normas internas sobre custodia, archivo y
plazos de retención.
3.3.3.2 Grupos de Información de la Empresa.
a) Se define como Grupo de Información al conjunto de datos o
documentos físicos que tienen características comunes de agrupación,
y que conforman una unidad de información independiente, tales
como: base de datos de declaraciones, expedientes de reclamos,
expedientes de RRHH, etc.
b) La información de empresa que se encuentre en cualquier formato
(físico o digital) será identificada y clasificada por su nivel de
sensibilidad.
3.3.3.3 Niveles y Criterios de Sensibilidad de la Información.
a) La información de la empresa que se recepte o genere dentro de los
procesos de la gestión operativa de las mismas se la considera dentro
de lo siguiente aspecto:
o Información Confidencial.- Para los efectos del presente
documento se considera como confidencial, a la información
sujeta a restricción, con acceso autorizado en base al perfil del
personal. La indicada información tiene relación con la
información que es generada en los procesos administrativos,
financieros, tecnológicos y de control de la empresa Coka
Tours.
o Información No Confidencial.- Son datos, grupos de datos o
información declarada de conocimiento público, la cual se
encuentra expuesta al sujeto pasivo, terceros o puede entregarse
masivamente en formato digital o físico sin restricciones a
cualquier persona o entidad, interna o externa. Por lo general
este tipo de información se difunde al público por diferentes
medios.
44
3.4 Seguridad en Relación a Recursos Humanos.
3.4.1 Propósito.
Establecer las normas para la gestión de la seguridad del personal de la
empresa Coka Tours.
3.4.2 Alcance.
El presente documento es de aplicación para todo el personal de la
empresa Coka Tours.
3.4.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de esta Política, así como las leyes y normativa conexa,
debe incurrir en responsabilidad administrativa que será sancionada
disciplinariamente, sin perjuicio de la acción civil o penal que pudiere
originar el mismo hecho.
c) El personal de la empresa Coka Tours debe declarar el entendimiento
y compromiso de las normas del presente documento, a través del
conocimiento y aceptación del acuerdo de Confidencialidad de la
Información, y los mecanismos que se establezcan para la
contratación y selección de personal. De igual manera, el personal
externo autorizado manifiesta su compromiso de cumplimiento de las
normas de seguridad de la información, a través de los respectivos
contratos, convenios, u otros instrumentos que defina la empresa Coka
Tours para este efecto.
d) Es responsabilidad de Recursos Humanos verificar la documentación
presentada por los candidatos, previa contratación, además de
establecer :
Verificar antecedentes de los posibles candidatos a ser
45
empleados, proveedores o contratistas que vayan a tener alguna
relación con la empresa.
Validar que el nuevo personal firme el acuerdo de
confidencialidad y de no – divulgación de la información de la
empresa, antes de cualquier acceso a la información.
Indicar las funciones y responsabilidades a desarrollar
formalmente, por parte del nuevo personal contratado.
Notificar al Oficial de Seguridad de la Información para la
activación de los accesos a los servicios o recursos
tecnológicos, facilitados por la empresa.
e) Las jefaturas deben asignar al personal a su cargo, los perfiles y roles
de acceso a la información que corresponda a través de las aplicaciones
informáticas institucionales, así como los servicios y recursos
tecnológicos necesarios para el cumplimiento de sus funciones y
responsabilidades.
f) Es responsabilidad de las jefaturas concientizar, socializar y capacitar
de forma periódica sobre las normas seguridad de la información que
deben tomar en cuenta en el desarrollo de sus funciones en la empresa,
y de las responsabilidades.
g) La Jefatura en conjunto con Recursos Humanos consideraran las
sanciones que se le aplicará al personal que por algún motivo, cometió
alguna irregularidad o no cumplimiento a las disposiciones emitidas en
el presente documento, el mismo que debe considerar la gravedad del
evento así como el impacto al negocio.
h) Al término de la relación laboral de un servidor, la respectiva Jefatura
debe asegurar la entrega y recepción de la información de la empresa a
cargo del personal saliente, y debe mantenerla bajo su custodia hasta
que concluyan los plazos de retención respectivos. Se debe confirmar
la devolución de los activos de la empresa, incluida la información
física o digital, el retiro de los derechos de acceso a los sistemas
informáticos, servicios y recursos tecnológicos.
46
i) El Departamento de Seguridad de la Información conjuntamente con
cada la Jefatura son responsables de la seguridad de la información
física o digital, y deben promover procesos de comunicación y
concienciación al personal de la empresa Coka Tours, respecto a los
riesgos, responsabilidad y compromiso en el cuidado de la información
de la empresa.
j) El personal que por motivo de desvinculación de la empresa Coka
Tours está en la obligación de este trasmitir toda la información y el
conocimiento sobre su cargo al nuevo personal o a su jefatura
inmediata.
3.5 Gestión de Comunicaciones y Operaciones.
3.5.1 Propósito.
Establecer las normas que regulen la Gestión de las Comunicaciones y
Operaciones, con el propósito de proteger la Información almacenada en
los computadores dentro de la infraestructura tecnológica de la empresa
Coka Tours, y minimizar la exposición ante las amenazas.
3.5.2 Alcance.
El cumplimiento de las normas de este documento es obligatorio para todo
el personal de la empresa Coka Tours.
3.5.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de este documento, así como las leyes y normativa
conexa, debe incurrir en responsabilidad administrativa que será
sancionada disciplinariamente, sin perjuicio de la acción civil o penal
47
que pudiere originar el mismo hecho.
c) El Departamento de Tecnología debe implementar los mecanismos y
controles necesarios para garantizar la disponibilidad de los servicios y
recursos tecnológicos que posee la empresa.
d) Es responsabilidad del Departamento de Tecnología el respaldo de la
información que la jefatura inmediata considere pertinente en un
período no mayor a 180 días y su restauración de la información y los
sistemas que manejan la empresa.
e) La elaboración de los instructivos para el manejo de errores,
inconvenientes o problemas que pueden presentarse en la
infraestructura tecnológica de la empresa, así también como el reinicio
y recuperación de los sistemas informáticos en caso de fallas es de
responsabilidad del Departamento de Tecnología.
3.5.3.1 Gestión de Comunicaciones.
a) El Departamento de Tecnología debe configurar los sistemas de
comunicación para la conexión a la red y autenticación de los usuarios,
así como la implementación de Firewalls.
b) Los dispositivos utilizados para las comunicaciones deben contar con
las configuraciones de seguridad definidas por el Departamento de
Seguridad de la Información.
c) El personal que por sus funciones requiera de conexión a la
infraestructura tecnológica de la empresa desde fuera de ella, el
departamento de tecnología debe configurar los equipos de
comunicación para que guarden registro de todos los accesos que
realizaron los usuarios como: Identificación del Usuario (ID); Archivos
que tuvo acceso; sistemas informáticos utilizados.
d) El departamento de Seguridad de la Información es quien validará que
la información que se encuentra disponible al público sea la correcta.
3.5.3.2 Gestión de Operaciones.
a) Cuando se realicen cambios en los sistemas informáticos el
48
Departamento de Tecnología debe llevar un registro de estos, además
de planificar, evaluar y probar el funcionamiento de dichos cambios.
b) El Departamento de Tecnología debe realizar un respaldo de los
sistemas que se encuentren funcionando en Producción antes de
realizar cualquier cambio en esté; el respaldo de la información se lo
mantendrá hasta 180 días después por el caso que se requiera revertir el
cambio en los sistemas informáticos.
c) La responsabilidad del Departamento de Tecnología es de definir los
ambientes de Producción, pre-producción, desarrollo, QA/testing con
sus respectivos directorios versión y de limitar su acceso a dichos
ambientes.
d) El Departamento de Tecnología es el responsable de habilitar los
accesos en el Firewall para los ambientes de producción y bases de
datos de pre-producción, desarrollo, QA/Testing, y equipos servidores
de pre-producción y producción.
e) El Departamento de Seguridad de la Información es el encargado de
autorizar la creación y renovación para la habilitación de certificados
digitales solicitados por personal, así como de los accesos al Firewall.
f) Todos los permisos autorizados e implementados en los firewalls de la
empresa, están sujetos a monitoreo y control por parte del
Departamento de Seguridad de la Información.
g) El Departamento de Tecnología es responsable de realizar la
depuración permanente de los accesos habilitados en el firewall y
certificados digitales.
f) El Departamento de Tecnología debe implementar controles de
detección, prevención y recuperación para proteger la plataforma
tecnológica contra código malicioso, así como de mantener
actualizado los sistemas de software que utiliza la empresa.
g) El control sobre el uso de herramientas de desarrollo de software y/o
acceso a las bases de datos y redes en los equipos informáticos se
prohíbe para el personal, solo el personal de Soporte a Usuarios previa
autorización podrá hacer uso de este tipo de herramientas.
49
h) El Departamento de Seguridad de la Información es el responsable de
elaborar y actualizar un inventario de software autorizado, para la
instalación en los computadores de escritorio y/o portátiles de la
empresa.
i) El Departamento de Tecnología debe realizar una proyección anual
sobre los requerimientos de capacidad de los recursos tecnológicos así
como del desempeño de los servicios y sistemas informáticos.
3.5.3.3 Respaldos y Recuperación de la Información.
a) La información almacenada en los computadores de escritorio y/o
portátiles es considerada como información de la empresa, razón por lo
cual se deben implementar los mecanismos de seguridad para proteger
su integridad y confidencialidad.
b) Se generarán dos tipos de respaldo para los equipos de escritorio y/o
computadores portátiles :
1. Respaldo Automático: Se ejecuta bajo una frecuencia
preestablecida, y es almacenado en equipos servidores
centralizados administrados. La información respaldada debe estar
debidamente identificada y encriptada.
2. Respaldo bajo demanda: Se ejecuta siempre que exista una
solicitud específica por parte del personal y corresponde a
información almacenada en computadores de escritorio y/o
portátiles.
c) Los repositorios centrales de almacenamiento de información, deben
ser utilizados exclusivamente para guardar información relacionada a
las funciones que cumplen el personal.
d) El uso y acceso a la información contenida en los repositorios centrales
de almacenamiento, deben estar restringidos para personal no
autorizado y aplicar medidas de protección que corresponda.
e) Para compartir la información de la empresa que se encuentre
almacenada en los repositorios centrales, se debe aplicar el principio
de “menor privilegio”, el cual determina que todos los usuarios
50
autorizados deben tener asignados la cantidad mínima de privilegios y
permisos a la información, y que permita el desarrollo normal de sus
funciones.
f) Se establecen dos formas de recuperación de la información que se
ejecutan a través de las tareas de respaldos automáticos:
Recuperación Parcial: recuperación a nivel granular de
archivos y/o carpetas.
Recuperación Total: recuperación de toda la información
almacenada en el computador de escritorio y/o portátil
g) Es responsabilidad del Departamento de Tecnología respaldar la
información de los computadores de escritorio y/o portátiles requeridos
de acuerdo a sus necesidades, cuando la Jefatura lo solicite.
3.6 Control de Accesos.
3.6.1 Propósito.
Regular el proceso de administración y control de accesos lógicos para
usuarios finales, alineado a las mejores prácticas de seguridad de la
información, a fin de mitigar los riesgos de accesos y uso indebido de los
mismos.
3.6.2 Alcance.
El presente documento contempla los procedimientos que forman parte del
proceso de administración y control de accesos lógicos para usuarios
finales de la empresa Coka Tours.
3.6.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
51
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de este documento, así como las leyes y normativa
conexa, debe incurrir en responsabilidad administrativa que será
sancionada disciplinariamente, sin perjuicio de la acción civil o penal
que pudiere originar el mismo hecho.
c) Para los accesos a la red de datos y a la infraestructura tecnológica de
la empresa Coka Tours, se debe establecer mecanismos de
autenticación que garanticen la identificación del personal de la y/o
personal externo debidamente autorizado, al igual que de los
computadores de escritorio y/o portátiles y equipos periféricos de la
infraestructura tecnológica de la empresa.
d) El control de accesos lógicos se basara en la creación de usuarios
específicos y únicos asignados a los funcionarios que requieran acceso
a los sistemas informáticos, así como a la infraestructura tecnológica.
e) Para los casos que de no cumplir con lo indicado en el ítem anterior, se
creará cuentas genéricas; las mismas que deben estar asignado a un
personal responsable.
f) El uso de contraseñas, cuentas individuales y/o genéricas es
intransferible; para el caso de cuentas genéricas estas deben ser
asignadas y registradas a una persona de la empresa responsable de la
misma.
g) Cuando un usuario finalice su relación laboral y/o contractual con la
empresa, el Departamento de Tecnología debe proceder a la
deshabilitación inmediata y definitiva del usuario de red, aplicaciones
informáticas, servicios y recursos tecnológicos, así como la revocatoria
de los respectivos perfiles, roles, y privilegios que tenía autorizado.
3.6.3.1 Control del Acceso a la Información de la Empresa.
a) El acceso a la información de la empresa que tenga el personal externo
que preste servicios a la empresa Coka Tours, debe estar regulada por
los respectivos contratos y acuerdos de confidencialidad que se
suscriban para el efecto.
52
b) El acceso a la información de la empresa debe ser en base a perfiles,
roles, y privilegios en los aplicativos informáticos, definidos en
relación directa con las funciones que los empleados de la empresa
deba cumplir en la gestión de los procesos.
c) El acceso a la infraestructura de red y seguridad informática
institucional está autorizado a los administradores tecnológicos
respectivos con fines de administración.
d) Se debe controlar los accesos locales y/o remotos de todos los usuarios
a la infraestructura tecnológica de la empresa Coka Tours, por parte de
los empleados o personal externo, a través de mecanismos de
autorización y autenticación que deben ser definidos y administrados
por el Departamento de Tecnología.
e) Es responsabilidad del personal de la empresa Coka Tours y del
personal externo que tenga autorizado el acceso a la red de datos y a la
infraestructura tecnológica, el uso legal y ético de la información de la
empresa y de los recursos tecnológicos asociados.
f) La conexión hacia la red de datos y a la infraestructura tecnológica de
la empresa Coka Tours, de computadores de escritorio y/o portátiles
que no pertenecen a la empresa, debe contar previamente con la
respectiva autorización de la Jefatura que corresponda y las
definiciones y requerimientos necesarios se encuentran de acuerdo al
procedimiento conforme la normativa vigente.
g) La gestión de cuentas de administración local de los computadores de
escritorio y/o portátiles asignados a los usuarios finales, debe estar a
cargo del Departamento de Tecnología, y serán utilizadas únicamente
para brindar soporte en sitio por parte del personal técnico autorizado.
3.6.3.2 Contraseñas de Acceso a la Información de la Empresa.
a) Toda contraseña correspondiente a cuentas de usuario final es personal
e intransferible, por lo cual la misma no debe compartirse por ningún
motivo, aún si es requerida por sus jefes inmediatos, Personal de
Soporte, o terceros.
53
b) Las contraseñas de usuarios genéricos que permiten la administración
y operación de la infraestructura tecnológica de la Institución debe ser
cambiada cada 180 días calendario.
c) El Departamento de Tecnología debe configura que los sistemas
informáticos limiten el número de intentos fallidos al ingresar una
contraseña, sea de 3 intentos, luego de lo cual se bloqueará la cuenta
de usuario.
d) Aquellas cuentas específicas que se utilizan para levantar e iniciar
servicios informáticos para aplicaciones, base de datos, interfaces,
sistemas operativos e infraestructura, deben ser configuradas de tal
manera que en lo posible no permitan el inicio de sesión.
e) Los criterios de configuración, generación, custodia y actualización de
contraseñas de usuarios finales o con altos privilegios, deben
considerar lo establecido en el procedimiento de acuerdo a la
normativa vigente.
f) Para generar contraseñas seguras para las cuentas de usuario final,
éstas deberán cumplir los siguientes parámetros:
o Tener una longitud mínima de 8 caracteres.
o Contener Mayúsculas y Minúsculas. (Siempre que el
sistema lo permita y pueda validar).
o Contener números y caracteres especiales (ej: “#*?).
o La contraseña no debe ser una palabra conocida fácil de
descifrar, como nombres, lugares, placas de autos, números
de teléfonos, fechas de nacimiento, etc.
g) Los sistemas informáticos se configurarán de manera que los usuarios
finales, al cambiar de contraseña, no puedan utilizar ninguna de las 3
contraseñas anteriores ingresadas.
h) El uso de las cuentas con altos privilegios tales como root, sys, system,
etc; o cuentas genéricas de esquemas de bases de datos, no deberá ser
utilizadas para las tareas de administración o monitoreo diario,
únicamente deben ser utilizados en casos excepcionales o emergentes,
y con un mecanismo de control de uso de las mismas, el cual debe ser
54
implementado por el Departamento de Tecnología.
Se considera como casos excepcionales a:
o Pasos a producción de nueva funcionalidad sobre esquemas.
o En los casos en los que el fabricante así lo disponga.
o El dispositivo no permita configurar otras cuentas de
administrador.
o Cambios requeridos para solucionar incidentes sobre la
plataforma tecnológica y que no sea posible resolverlo con las
cuentas específicas asignadas.
i) Las contraseñas de las cuentas especiales de administración de
recursos tecnológicos, serán generadas por el Departamento de
Seguridad de la Información, y custodiadas por el Departamento de
Tecnología.
j) La estructura de las contraseñas relacionadas a cuentas especiales de
administración deberá seguir las siguientes reglas:
La contraseña deberá tener una longitud mínima de 10 caracteres, o
del máximo permitido por el dispositivo tecnológico.
Los caracteres que componen la contraseña deben contener
mayúsculas, minúsculas, números y símbolos (Siempre que el
sistema lo permita).
El número máximo de intentos fallidos al ingresar una contraseña
será de 5 intentos, luego de lo cual se bloqueará la cuenta.
3.6.3.3 Usuarios Finales.
a) La cuenta de usuario final para sistemas informáticos, acceso a la red y
correo electrónico debe estar asignado a un único usuario.
b) Es responsabilidad de la jefatura solicitar la habilitación de los roles,
perfiles y privilegios a los sistemas informáticos para el personal a su
cargo de acuerdo a las funciones que desempeña en la empresa.
c) El personal podrá realizar el cambio de su contraseña cuando lo desee
o tenga sospechas de que la contraseña es conocida por otra persona,
los sistemas informáticos deben controlar automáticamente el cambio
55
de la contraseña cada 90 días.
d) Al tercer intento consecutivo de ingreso erróneo el sistema
automáticamente bloqueará el usuario respectivo. El acceso se
habilitará nuevamente una vez que el usuario notifique al
Departamento de Tecnología a través de un correo electrónico y al
Departamento de Seguridad de la Información.
e) En el caso de que se requiera obtener información del computador de
escritorio y/o portátiles, de un funcionario que se encuentre ausente de
forma temporal o definitiva, únicamente podrá ser solicitado por el jefe
al personal de Soporte a Usuarios.
3.6.3.4 Usuarios Tecnológicos.
a) Las tareas de administración y gestión de los componentes de la
plataforma tecnológica es responsabilidad exclusiva del personal del
Departamento de Tecnología.
b) Para la asignación de accesos, permisos, derechos, o privilegios, dentro
de los sistemas informáticos, bases de datos, servicios y/o recursos
tecnológicos, componentes de la plataforma/infraestructura
tecnológica, se debe aplicar el principio del menor privilegio.
c) La administración de los componentes de la plataforma tecnológica es
responsabilidad exclusiva del personal técnico perteneciente al
Departamento de Tecnología. Toda actividad de administración o
monitoreo de los diferentes componentes de la infraestructura
tecnológica deberá ser realizada utilizando las cuentas de usuario
individual (no genérica) asignadas a cada administrador de la
plataforma tecnológica. En aquellos casos que técnicamente se
requiera una cuenta genérica para administrar un recurso de la
infraestructura tecnológica, se lo puede efectuar siempre que se
identifique administrativamente al responsable de la misma.
d) Las Base de Datos, sistema informático, deben registrar Logs de
auditoría de acceso, lo que permitirá la verificación del historial de
accesos por un usuario.
56
3.7 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
3.7.1 Propósito.
Establecer las normas de seguridad para el proceso de adquisición,
desarrollo y mantenimiento de los sistemas de información.
3.7.2 Alcance.
El presente documento es de aplicación obligatoria para toda la empresa
Coka Tours.
3.7.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de este documento, así como las leyes y normativa
conexa, debe incurrir en responsabilidad administrativa que será
sancionada disciplinariamente, sin perjuicio de la acción civil o penal
que pudiere originar el mismo hecho.
c) En el desarrollo, mantenimiento y adquisición de aplicaciones
informáticas, se debe implementar controles y acciones que garanticen
la disponibilidad de los sistemas y aplicativos informáticos
institucionales, misma que debe ser elaborado por el Departamento de
Seguridad de la Información.
d) La ejecución de las fases del desarrollo de un aplicativo informático
debe cumplir con la normativa de seguridad, a fin de garantizar la
seguridad de la información y confiabilidad de su procesamiento.
e) El Departamento de Tecnología debe establecer los lineamientos para
el desarrollo interno de aplicaciones informáticas o desarrolladas por
proveedores externos.
f) Periódicamente se deben ejecutar evaluaciones de cumplimiento de las
medidas y controles de seguridad en las aplicaciones informáticas. En
57
caso de encontrar vulnerabilidades en las aplicaciones informáticas, las
mismas serán corregidas y se debe implementar los controles
correspondientes por parte del Departamento de Tecnología.
g) El Departamento de Tecnología debe llevar y actualizar el inventario
de las aplicaciones de software licenciado, software o herramientas de
uso libre, demos, software con licencias temporales, que sean
utilizadas en la empresa Coka Tours.
h) El repositorio de software debe contener los instaladores del software
autorizado para ser utilizado como único mecanismo, para la
instalación de software adicional en los computadores de escritorio y/o
portátiles, actividad que está a cargo del personal de Soporte a
Usuarios.
i) La instalación de cualquier software adicional, sea éste licenciado o de
uso libre, en los computadores de escritorio y/o portátiles, y en equipos
servidores, está autorizado para el personal que lo requieran para la
ejecución de sus tareas en la empresa, una vez que se encuentre
autorizado por el Departamento de Seguridad de la Información.
j) Para el desarrollo de soluciones informáticas deben considerar los
siguientes aspectos mínimos de seguridad :
Administración de Accesos a través de usuarios y contraseñas.
Implementación de pistas de auditoría con sus respectivos
reportes y consultas.
Rutinas de validación para el ingreso de información.
Diseñar y documentar la solución informática y sus bases de
datos (diccionario de datos).
3.8 Gestión de Incidentes de Seguridad de Información.
3.8.1 Propósito.
Establecer los lineamientos generales para la gestión efectiva de Incidentes
de Seguridad que afecten a la Institución y al cumplimiento de su misión y
objetivos, con el fin de prevenirlos y responder de forma adecuada y
oportuna cuando estos ocurran.
58
3.8.2 Alcance.
El presente documento cubre aspectos de prevención, detección, análisis,
priorización y respuesta de incidentes de seguridad a nivel nacional, e
incluye las siguientes categorías de incidentes:
Tecnologías de la Información y Comunicación.
Seguridad de la Información.
Seguridad física, bienes, y personas.
3.8.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) El personal que incumpliere sus obligaciones o contraviniere las
disposiciones de este documento, así como las leyes y normativa
conexa, debe incurrir en responsabilidad administrativa que será
sancionada disciplinariamente, sin perjuicio de la acción civil o penal
que pudiere originar el mismo hecho.
c) Se define como incidente de seguridad, a un evento, situación, o hecho
que afecta significativamente a la imagen, misión, objetivos
institucionales, información (confidencialidad, integridad,
disponibilidad), servicios, procesos, bienes, sistemas o recursos
(humanos, tecnológicos, financieros) y que requiere una acción o una
respuesta efectiva para su mitigación.
d) El Departamento de Seguridad de la Información es el responsable de
la coordinación monitoreo, control, evaluación, supervisión,
retroalimentación y comunicación de incidentes de seguridad a nivel
nacional, cuyas responsabilidades son las siguientes:
Realizar análisis y emitir recomendaciones sobre las medidas que
deben tomarse en el caso de un incidente de seguridad.
Supervisar y controlar la gestión de las unidades administrativas
responsables de la gestión de cada categoría de incidentes de
seguridad.
59
Coordinar el registro histórico centralizado de los incidentes a nivel
nacional elaborados por las unidades administrativas responsables
de la gestión de cada categoría de incidentes de seguridad.
Elaborar análisis de tendencias de los incidentes de seguridad.
Solicitar la implementación de medidas preventivas y correctivas
posteriores a los incidentes de seguridad suscitados.
Evaluar las medidas de remediación implementadas.
Realizar un informe anual de la coordinación y monitoreo de
incidentes de seguridad a nivel nacional.
Publicar y actualizar periódicamente los datos de contacto de los
responsables de la gestión de cada categoría de incidentes de
seguridad de las unidades administrativas a quienes se debe acudir
en caso de evidenciarse un incidente.
e) Las unidades administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, gestionan y ejecutan las
actividades que se deben realizar como respuesta a los incidentes de
seguridad, y sus responsabilidades son las siguientes:
Responder de acuerdo a los procedimientos específicos de cada
ámbito.
Informar y remitir la lista de incidentes gestionados, así como los
datos de contacto al Departamento de Seguridad de la Información.
De acuerdo a los incidentes que gestione, dispondrá de los datos de
contacto de los entes internos y externos, según corresponda, que
deban apoyar en la gestión de los incidentes reportados, de acuerdo
a la naturaleza de los mismos.
f) Las unidades administrativas responsables de la gestión de cada
categoría de incidentes de seguridad deben garantizar que en cada una
de las Jefaturas, existan personal designado para responder a los
incidentes de seguridad de acuerdo a la naturaleza de los mismos.
g) La unidad administrativa responsable de la gestión de cada categoría
de incidentes de seguridad será la responsable de elaborar los
procedimientos específicos para la gestión de incidentes de seguridad.
60
h) La Gerencia debe elaborar y ejecutar un plan de capacitación a las
unidades administrativas responsables de la gestión de cada categoría
de incidentes de seguridad que debe ser coordinado con el
Departamento de Seguridad de la Información.
i) Las unidades administrativas de la empresa Coka Tours deben realizar
actividades preventivas, e implementar medidas de mitigación y
controles, las cuales están basadas en los resultados de evaluaciones de
riesgos dentro de cada ámbito, con el propósito de disminuir el número
de incidentes, y determinar la respuesta apropiada.
j) El personal de la empresa como el personal externo, podrán alertar
sobre un posible incidente de seguridad, y deben informar los
incidentes de seguridad suscitados a las unidades administrativas
responsables de la gestión de cada categoría de incidentes de
seguridad.
k) Durante el manejo de incidentes y en el caso de requerirse
comunicación interna o externa, la Gerencia es el principal responsable
para impartir información relacionada con los incidentes de seguridad.
l) El personal de la empresa deben reportar a las Unidades
Administrativas responsables de la gestión de cada categoría de
incidentes de seguridad, los incidentes que se detecten en su momento.
m) Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, deben estar capacitadas y contar
con las herramientas y recursos necesarios, a fin de estar preparados
para responder de manera oportuna y efectiva ante incidentes de
seguridad.
n) La gestión de incidentes de seguridad por parte de las Unidades
Administrativas responsables de la gestión de cada categoría de
incidentes de seguridad, debe realizarse en base a los procedimientos
establecidos por cada unidad.
o) Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, deben preservar las evidencias
durante el proceso de respuesta a incidentes, dependiendo de la
61
categoría del mismo, a fin de realizar un análisis post-incidente y
reevaluar los riesgos.
p) Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, deben elaborar un informe anual
sobre los incidentes gestionados; este informe debe ser remitido al
Departamento de Seguridad de la Información.
q) En el caso de que las Unidades Administrativas responsables de la
gestión de cada categoría de incidentes de seguridad, no puedan
responder directamente ante un incidente de seguridad, estas deberán
escalarlo a la Gerencia.
3.8.3.1 Preparación para la Gestión de Incidentes de Seguridad.
Se requiere contar con información de contacto de las Unidades
Administrativas responsables de la gestión de cada categoría de
incidentes de seguridad, de entidades externas, proveedores,
herramientas y recursos disponibles para el manejo de incidentes de
seguridad.
Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, deben estar capacitadas y
entrenadas para la gestión de incidentes de seguridad y deben contar con
mecanismos de comunicación, coordinación y almacenamiento seguro
para el resguardo de evidencias y otros materiales sensitivos de acuerdo a
la categoría del incidente de seguridad.
Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad deberán implementar mecanismos
que permitan a los servidores reportar incidentes de seguridad, así como
aspectos de capacitación, concientización, educación, protocolos,
simulacros, etc.
3.8.3.2 Detección.
Las Unidades Administrativas responsables de la gestión de cada
62
categoría de incidentes de seguridad deberán implementar mecanismos
tales como herramientas, dispositivos, alertas, alarmas, hardware,
software o sistemas, con el propósito de detectar posibles incidentes de
seguridad que se encuentren en progreso o en ejecución.
3.8.3.3 Análisis.
Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad deberán realizar un análisis inicial
que permita identificar la categoría de incidente de seguridad; luego de
esto se determinará el alcance del mismo, y dependiendo de la severidad
del incidente, se procederá siguiendo los procedimientos definidos por
cada Unidad Administrativa.
Igualmente dependiendo de la categoría de incidentes, se deberá realizar
un análisis más profundo y documentar cada acción ejecutada.
3.8.3.4 Valoración y Priorización de los Incidentes.
El establecimiento del nivel de severidad de los incidentes de seguridad,
por parte de las Unidades Administrativas responsables de la gestión de
cada categoría de incidentes, se realizará dependiendo de su impacto y
urgencia, y se determina un nivel de prioridad al incidente de seguridad,
de acuerdo a lo siguiente:
Severidad 1 => Crítica: Son todos los incidentes de seguridad que
requieren una atención inmediata y solución adecuada y oportuna.
Severidad 2 => Alta: Son todos los incidentes de seguridad de primer
grado cuyo impacto y urgencia tienen que ser altos respectivamente.
63
Tabla. 3.1. Determinación del Grado de Criticidad de un Incidente.
Realizado por: FREIRE F., 14-diciembre-2013
Una vez que se ha establecido la severidad del incidente de seguridad se
deberán asignar los recursos necesarios de cada una de las Unidades
Administrativas a las que corresponda dar atención al incidente.
Las Unidades Administrativas responsables de la gestión de cada
categoría de incidentes de seguridad, pueden considerar más niveles de
menor severidad, de acuerdo a sus requerimientos.
3.8.3.5 Erradicación y Recuperación.
Son el conjunto de acciones que permiten anular los efectos o progreso
de los incidentes de seguridad con el propósito de restaurar los sistemas o
el normal funcionamiento del trabajo de los empleados de la empresa
“Coka Tours” y por lo tanto, pueden retomar sus actividades normales en
el menor tiempo posible.
En esta fase, las Unidades Administrativas responsables de la gestión de
cada categoría de incidentes de seguridad, deben garantizar un manejo
adecuado y resguardo de las evidencias obtenidas en este proceso.
3.8.3.6 Actividades Post – Incidentes.
Para el correcto seguimiento de las actividades post–incidente es
indispensable realizar análisis que permita evaluar el funcionamiento del
servicio. Algunos de los aspectos clave a considerar son:
64
Confirmar con los usuarios la solución satisfactoria del incidente.
Incorporar el proceso de resolución del incidente a la base de
conocimiento.
Clasificar el incidente si fuera necesario.
Analizar tendencias y estadísticas de incidentes manejados.
Retroalimentar al proceso de Gestión de Riesgos.
Documentar las actividades realizadas en la gestión del incidente.
Cerrar el incidente.
3.8.3.7 Coordinación y Compartición de Información.
Los conocimientos adquiridos durante la gestión de cada incidente de
seguridad deberán ser documentados y compartidos al Departamento de
Seguridad de la Información, mediante actividades como elaboración y
presentación de informes, realización de talleres o seminarios.
A partir de estas dos instancias, “lecciones aprendidas” y “talleres o
seminarios”, surgirá información y conocimiento que servirá para que,
tanto el Departamento de Seguridad de la Información, así como las
Unidades Administrativas responsables de la gestión de cada categoría de
incidentes de seguridad, estén mejor preparadas para enfrentar
situaciones futuras similares, y puedan disponer de información
estadística, que puede ser utilizada para realizar proyecciones futuras
sobre asignación de recursos y costos asociados al servicio.
Se deberá generar una Base de Conocimiento que permita comparar
nuevos incidentes con incidentes ya registrados y resueltos, para lo cual
se requiere conocer:
Número de incidentes clasificados por severidad.
Tiempos de resolución clasificados por severidad.
Costos asociados (de ser posible determinar).
Uso de los recursos utilizados.
Porcentaje de incidentes, clasificados por severidad, resueltos en
primera instancia por las Unidades Administrativas responsables de
65
la gestión de cada categoría de incidentes de seguridad.
Es importante la coordinación entre las Unidades Administrativas
responsables de la gestión de cada categoría de incidentes de seguridad y
el Departamento de Seguridad de la Información, de tal manera que
permita:
Analizar los riesgos asociados al incidente, a fin de establecer
medidas corporativas para mitigarlos a futuro;
Establecer conjuntamente protocolos de respuesta a nuevos
incidentes y hacerlos extensivos a toda la Institución;
Evaluar la capacidad de respuesta en relación al nivel de severidad
del incidente y procurar mejorar tiempos y recursos para futuros
incidentes;
Consolidar las estadísticas en la gestión de incidentes, para
considerarlas en la revaloración de riesgos institucionales.
Figura 3.1 Ciclo de vida de respuesta a incidentes de seguridad.
Fuente: NIST: National Institute of Standards and Technology, Special Publication 800-
61 Revision 2.
66
3.9 Gestión de Continuidad Institucional.
3.9.1 Propósito.
Establecer los lineamientos generales para contrarrestar las interrupciones
que puedan ocurrir por un incidente o evento (sean éstas resultado de
desastres naturales, accidentes, fallas en el equipamiento, acciones
deliberadas u otros hechos) en el desarrollo normal de las actividades de la
empresa “Coka Tours” con el objetivo de proteger sus procesos críticos y
asegurar la recuperación oportuna mediante la ejecución de planes
preventivos y de recuperación de tal manera que permita la restauración de
las operaciones críticas en el menor tiempo posible y se reduzca el
impacto.
3.9.2 Alcance.
El presente documento es de aplicación obligatoria y cubre la continuidad
del negocio esta orienta a definir las responsabilidades para la gestión de la
continuidad de los procesos críticos de la empresa, y comprende: la
elaboración, pruebas y mantenimiento del Plan Empresarial de
Continuidad, el mismo que se comprende de los siguientes planes:
Plan de Recuperación de Desastres.
Plan de Continuidad de las Operaciones.
Plan de Comunicación de Crisis.
Plan de Respuesta de Emergencias.
3.9.3 Normas y Disposiciones Generales.
a) Todos los aspectos que no se encuentren normados de forma expresa
en este documento deben ser complementados o suplidos por las
disposiciones de la Gerencia de la Empresa.
b) Se define como Plan Empresarial de Continuidad, al conjunto de
planes de contingencia que permitan a la Empresa recuperarse ante
posibles escenarios de crisis o desastres, gestionando la continuidad de
67
las operaciones y servicios críticos.
c) El Departamento de Seguridad de la Información, conjuntamente con
la Gerencia una vez que conozca el respectivo Análisis de Impacto y
los riesgos con mayor probabilidad de ocurrencia, dispondrá el
desarrollo de los respectivos planes de continuidad.
d) El Gerencia es el encargado de aprobar y tomar decisiones para cada
uno de los planes de continuidad.
e) Paras el desarrollo de los planes de continuidad de las operaciones se
aplicará la metodología de gestión de proyectos, debiendo el
responsable designado por el Gerencia, proponer y gestionar la
presentación de la respectiva iniciativa en la Oficina de Proyectos.
f) El Plan Empresarial de Continuidad está conformado por los siguientes
planes:
PLAN DESCRIPCIÓN DEL PLAN RESPONSABLES
Plan
Empresarial de
Continuidad
Institucional
Proporciona las acciones para el
mantenimiento de las operaciones
de la misión institucional mientras
se recupera de una interrupción
significativa.
Gerencia /
Departamento de
Seguridad de la
Información.
Plan de
Recuperación
de Desastres
Proporciona las acciones para
recuperar la continuidad de las
operaciones críticas de la
Institución dentro del tiempo
máximo de tolerancia.
Oficina de
Proyectos /
Departamento de
Tecnología
Plan de
Continuidad de
las Operaciones
Proporciona las acciones de
recuperación de todos los procesos
institucionales considerados no
críticos, para restablecer la
operación normal de la
organización.
Departamento de
Seguridad de la
Información /
Departamento de
Tecnología
68
Plan de
Comunicación
de Crisis
Proporciona las acciones para la
comunicación, tanto interna como
externa, del estado de crisis y sus
medidas de recuperación.
Gerencia /
Departamento de
Seguridad de la
Información
Plan de
Respuesta de
Emergencias.
Proporciona las acciones para
reducir al mínimo el riesgo de
pérdidas humanas e infraestructura
física
Gerencia.
Tabla. 3.2. Responsables de los Planes Empresariales
Realizado por: FREIRE F., 21-diciembre-2013
g) El Departamento de Seguridad de la Información, en coordinación con la
Gerencia y el Departamento de Tecnología, serán los responsables de
la elaboración del Análisis de Impacto de las Operaciones Críticas de
la Empresa (BIA).
h) El Departamento de Seguridad de la Información, es el responsable de
elaborar y mantener actualizado el Plan Empresarial de Continuidad,
para lo cual la Gerencia facilitará los recursos necesarios.
i) Las diferentes Unidades Administrativas que participan en la Gestión
de la Continuidad Institucional deben gestionar los riesgos asociados a
sus procesos críticos de manera preventiva de acuerdo a lo establecido
en la Gestión de Riesgos de la empresa y además asegurar que los
procesos a su cargo sean recuperados en el tiempo planificado,
brindando la disponibilidad de los servicios críticos definidos en los
Planes de Continuidad, para lo cual debe cumplir lo siguiente:
Identificar las amenazas que puedan ocasionar interrupciones de los
procesos y/o las actividades de la empresa.
Evaluar los riesgos para determinar el impacto de dichas
interrupciones.
Identificar que controles preventivos se pueden realizar.
Desarrollar un plan estratégico para determinar el enfoque global
con el que se abordará la continuidad de las actividades de la
69
empresa.
Elaborar los planes de contingencia necesarios para garantizar la
continuidad de los proceso de la empresa.
j) Las Unidades Administrativas revisarán periódicamente los planes
bajo su administración, como así también identificar cambios en los
proceso de la empresa y que reflejen en los planes de continuidad.
k) Las Unidades Administrativas responsables de cada plan de
continuidad verificarán y validarán el cumplimiento de los
procedimientos implementados para llevar a cabo las acciones
contempladas en cada plan de continuidad.
l) El Departamento de Seguridad de la Información debe analizar las
consecuencias de la interrupción del servicio y tomar las medidas
correspondientes para la prevención de hechos similares.
m) Los Planes de Continuidad deben contener lo siguiente:
Notificación /Activación: en esta fase se define la detección
como el de determinar si se debe proceder con la activación del
plan.
Reanudación: en esta fase de forma temporal se debe restaurar
las funciones normales y proceder con la recuperación del daño
producido.
Recuperación: en esta fase es la restauración de los proceso
para el funcionamiento normal.
n) EL Departamento de Seguridad de la Información debe coordinar con
el personal de la empresa y las entidades externas en las estrategias de
planificación de contingencias de ser el caso.
o) El Departamento de Seguridad de la Información es el responsable de
coordinar de la operatividad del Plan Empresarial de Continuidad de la
empresa frente a las interrupciones imprevistas, para lo que debe
realizar las siguientes funciones:
Identificar y priorizar los procesos críticos de las actividades que
realiza la empresa.
Asegurar que todos los empleados de la empresa comprendan los
70
riesgos que la misma enfrenta, en términos de probabilidad de
ocurrencia e impacto de posibles amenazas, así como los efectos
que una interrupción puede tener en las actividades de la empresa.
Elaborar y documentar una estrategia de continuidad de los
procesos de la empresa y esta debe estar consecuente con los
objetivos y prioridades acordados.
Proponer planes de continuidad en los procesos que se consideren
como críticos en la empresa.
Establecer un cronograma de pruebas periódicas de cada uno de los
planes de contingencia.
Coordinar actualizaciones periódicas de los planes de continuidad
en relación a los cambios o nuevos procesos implementados.
Figura 3.2 Gestión de la Continuidad.
Fuente: ITIL- Gestión de Servicios TI, mayor información en [17]
71
CAPÍTULO IV
MODELO DE LA GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN APLICANDO ISO 27000
4.1 Descripción del Modelo.
La seguridad de la información no se lo puede determinar sólo con la
instalación de mecanismos de seguridades tecnológicas (Firewall, IPS,
etc.) o con la contratación de empresa que presten servicios de seguridad,
por lo que, interviene en este nivel la implementación de los sistemas de
gestión de la seguridad de la información con expectativas a mediano o
largo plazo. Para ello se debe conocer cuáles son los productos de la
empresa y las tecnologías existentes en la misma.
Entre las necesidades de la empresa “Coka Tours” se requiere contar con
la implementación de un Modelo de gestión de la Seguridad de la
Información, que permita establecer métricas, parámetros y mediciones,
con métodos de evaluación, medidas de protección, y un proceso de
documentación y de verificación.
Figura 4.1. Figura del proceso del modelo PHVA.
Fuente: La gestión de la Seguridad en la Empresa, mayor información se
encontrará en [14].
El principio del Modelo de Gestión de la Seguridad de la Información,
consta de tres fundamentos principales que se los debe considerar por
motivo de que interactúan mutuamente y que son: “Personas, Procesos y
Tecnología”., mayor información se encontrará en:[12]
72
Figura 4.2. Figura del Modelo de Negocio para la Seguridad de la
Información
Fuente: mayor información se encontrará en: [13].
Se consideró las características de la empresa “Coka Tours” para
establecer el Modelo de la Gestión de la Seguridad de la Información,
este modelo permite ser sostenible en el tiempo y está sujeto a mejoras.
Figura 4.3. Modelo de Deming - PHVA en relación a la empresa “Coka
Tours”.
Realizado por: Freire F. 04-enero-2014
73
La empresa establece un Sistema de Gestión de la Seguridad de la
Información considerando: la estrategia de la empresa, principios y
procesos de gestión, los recursos necesarios para toda la implementación,
y el involucramiento del Recurso Humano.
En el caso de la empresa “Coka Tours” se busca definir y coordinar todos
los componentes para lograr la efectividad en los objetivos de Seguridad,
realizando un uso racional de los recursos, de tal forma de adecuarse a
los lineamientos estratégicos de la empresa.
Con lo antes indicado elegimos un enfoque centralizado, por lo que se
debe establecer la particular de la necesidad del negocio y la estrategia de
la empresa y que estas tengan consistencia con las definiciones y
políticas empresariales, por lo que será necesario en cada una de las fases
del Modelo de Gestión de Seguridad de la Información, planificar y
gestionar los recursos disponibles bajo las mejores prácticas y principios
de gestión, y adecuándolo a la estructura jerárquica y a la normativa de la
empresa.
Figura 4.4. Figura del Modelo Jerárquico del MGSI.
Realizado por: Freire F. 07-enero-2014
74
Ello implica estimar, asignar, autorizar, administrar y racionalizar dichos
recursos de un modo conveniente a los intereses y necesidades de la
empresa respecto de la seguridad de la información.
Con lo antes indicado y con el objeto de este trabajo y de que la
metodología sea aplicable y efectiva, y se mantenga una relación
costo/beneficio en cuanto a su eficiencia operativa y los niveles de
seguridad de la información requeridos, nos vamos a concentrar en los
procesos críticos del negocio, los de mayor valor agregado y estratégicos
para su continuidad, y con ello dar soporte a los procesos que lo sustenta
a la empresa “Coka Tours”.
En este caso se presenta el Modelo de Gestión de Seguridad de la
Información, basado en el enfoque metodológico del Ciclo de Deming
como se muestra en la Figura 4.5.
Figura 4.5. Figura del Modelo de Gestión de Seguridad de la Información
de la empresa “Coka Tours.
Realizado por: Freire F. 11-enero-2014
4.2 Utilidad.
Al establecer el Modelo de Gestión de Seguridad de la Información para
la empresa “Coka Tours”, esto constituye los pasos que la misma debe
seguir, con el objetivo de reducir los gastos asociados a la Seguridad de
75
la Información; llevando a un ahorro de costos y un impacto económico
muy positivo para la empresa.
Con este modelo se identifica que los procesos para la gestión de la
seguridad de la información debe estar acorde a las estrategias, políticas
del negocio, con una gestión adecuada de riesgos e implementación de
acciones correctivas y preventivas.
4.3 Alcance.
El presente proyecto está definido en la implementación de un Modelo de
Gestión de la Seguridad de la Información, para la empresa “Coka
Tours”. De acuerdo a lo establecido en la NTE INEN - ISO/IEC
27001:2011 se incluirá lo siguiente:
Elaboración de la Política de Seguridad de la Información en base a
los requerimientos del negocio, la mismas que está conformado
con lo siguiente: “Organización de la Seguridad de la Información;
Gestión de Activos de Información, Seguridad en relación a
Recursos Humanos; Gestión de Comunicaciones y Operaciones;
Control de Accesos; Adquisición, Desarrollo y Mantenimiento de
Sistemas de Información; Gestión de Incidentes de Seguridad de
Información; Gestión de Continuidad Institucional”; esto se
encuentra especificado en el capítulo anterior.
76
Figura 4.6. Figura de los componentes del Sistema de Gestión de
Seguridad de la Información - SGSI de la empresa “Coka Tours
Realizado por: Freire F. 14 de enero del 2014
Análisis de los procesos críticos del negocio en función a la
estructura organizacional de la empresa y sus recursos tecnológicos
disponibles.
Definir la metodología utilizada para la gestión de riesgos para la
empresa.
Identificación de riesgos que se encuentran expuestos en los
procesos y activos de la empresa “Coka Tours”.
Análisis, evaluación de ocurrencia o impacto de los riesgos, para
determinar la mitigación o son aceptables para la empresa.
Determinar los objetivos de control a utilizarse en el tratamiento de
riesgos, basado en la norma NTE INEN - ISO/IEC 27001:2011 y
que sean aplicables para la empresa.
Determinar los riesgos residuales, para clasificarlos como
aceptables para la empresa, los mismos que deben ponerse en
consideración de la gerencia de la empresa.
77
4.4 Gerencia de la Seguridad de la Información.
La empresa “Coka Tours” definió tomar las siguientes medidas para la
implementación del Modelo de Gestión de la Seguridad de la
Información:
Creación de un comité de seguridad de la información (Gerencia,
Jefe del Departamento de Seguridad de la Información, Jefe del
Departamento de Tecnología).
Designó como responsables de la seguridad de la información
(Oficial de seguridad de la Información – Jefe del Departamento de
Seguridad de la Información).
La Gerencia Aprobó el documento de políticas de seguridad de la
información, el mismo que se encuentra establecido en el Capítulo
III de este trabajo.
La gerencia en coordinación con el Comité de Seguridad de la
Información realizará:
Revisar de forma periódica el estado general de la seguridad de la
información.
Revisar y aprobar el presupuesto y los proyectos de seguridad de la
información.
Aprobar cualquier actualización, modificación o elaboración de la
normativa institucional.
78
CAPÍTULO V
IMPLEMENTACIÓN DEL MODELO DE LA GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
5.1 Herramientas.
5.1.1 Metodología para Implementar el Modelo de Gestión de Seguridad de
la Información.
No FASES ACTIVIDADES
1
Requerimientos
del Modelo
Seguridad de la
Información.
Se realizó un taller con los niveles estratégicos de la
empresa con el objetivo de dar a conocer los
requerimientos para la implementación del Modelo
de Seguridad de la Información.
En este taller los niveles estratégicos de la empresa
decidieron la implantación del Modelo de Seguridad
de la Información para la Empresa.
2 Determinación
del Alcance.
La implantación del Modelo de Seguridad de la
Información se lo realizará por procesos de acuerdo
a lo establecido en el capítulo anterior de este
trabajo.
Identificación de procesos críticos de la empresa, en
base al factor de éxito de la empresa.
3
Guía para
Implementar y
Operar el SGSI
Definir el Comité de Seguridad de la Información.
Designar el Oficial de Seguridad de Seguridad.
Definir los objetivos de control y controles.
Detección de incidentes y eventos de Seguridad.
Realización de revisiones periódicas al Modelo de
Seguridad de la Información.
Implementar las acciones correctivas y preventivas.
Capacitación en el manejo de acción correctiva y
79
preventiva.
4
Guía para el
análisis y
evaluación de
riesgos
Establecer las guías de implementación para la
identificación de riesgos estratégicos para la
empresa.
Establecer las guías de implementación para la
identificación de riesgos operativos para la empresa.
Definir la matriz para documentar el Mapa de
Riesgos.
Definir la matriz para documentar los Riesgos
Estratégicos.
Definir la matriz para documentar los Riesgos
Operativos.
5
Guía para la
elaboración del
plan de
continuidad del
negocio
Establecer los pasos para la implementación del Plan
de Continuidad del Negocio.
Definir el Registro de Acciones antes de una
Interrupción.
Tabla. 5.1. Metodología para implantar el Modelo de Gestión de de
Seguridad de la Información en la empresa “Coka Tours”
Realizado por: FREIRE F., 18-enero-2014
5.1.2 Procedimiento de Gestión de Riesgos Empresarial.
En esta parte los aspectos que deben lograrse son la identificación de los
activos de la información, para conocer el impacto de cada activo de
información en la empresa, por lo que se procedió a tasar cada activo con
base en su confidencialidad, integridad y disponibilidad.
80
Figura 5.1. Proceso de Gestión de Riesgos Empresarial.
Fuente: Elaboración empresa “Coka Tours”
Con lo antes indicado la empresa Coka Tours establece como
responsables de gestionar cada clase y tipo de riesgo según su ámbito, a
las unidades administrativas acorde a la Matriz de Responsables de la
Gestión de Riesgos Institucionales, presentada a continuación:
81
Clases de
Riesgo
Tipos de
Riesgo
Responsables por actividad de Gestión de Riesgo
Identificación Implementación Monitoreo y
Evaluación
ESTRATÉGICO
Gerencia Unidades
Administrativas
Departamento de
Seguridad de la
Información
OPERATIVO
Proyectos Gerente de Proyecto Gerente de Proyecto Oficina de
Proyectos
Tecnológicos Departamento de
Tecnología
Unidades
Administrativas
Departamento de
Seguridad de la
Información
Seguridad de
la
Información
Departamento de
Seguridad de la
Información
Departamento de
Seguridad de la
Información
Procesos
Unidades
Administrativas
dueñas del Proceso
Unidades
Administrativas dueñas
del Proceso
Tabla. 5.2. Matriz de Responsables de la Gestión de Riesgos Institucionales
para la empresa “Coka Tours”.
Realizado por: la empresa “Coka Tours”, 25-enero-2014
Dentro de la gestión de riesgos institucionales se establece los siguientes
factores por clase y tipo de riesgo:
Clases de Riesgo
Tipos de Riesgo OPERATIVO
Proyectos Costo, tiempo, alcance y calidad.
Tecnológicos Datos, información, sistemas
informáticos, infraestructura,
instalaciones y recurso humano
Seguridad de la Información Confidencialidad, Integridad,
Disponibilidad
Procesos
Recurso Humano, sistemas de
información, seguridad de la
información
Tabla. 5.3. Matriz de Factores de Riesgo por Clase y Tipo para la empresa
“Coka Tours”.
Realizado por: la empresa “Coka Tours”, 25-enero-2014
82
La identificación y análisis de riesgos debe considerar como unidad básica
lo siguiente:
Riesgos en Proyectos: Debe considerar a nivel global los
programas y a nivel de detalle los proyectos que se encuentra
establecido en la oficina de Proyectos.
Riesgos Tecnológicos: Debe considerar a nivel general los
servicios críticos y a nivel de detalle los activos críticos de
Tecnología de la Información, alineados a la disponibilidad,
continuidad, capacidad y niveles de servicio de los servicios
tecnológicos.
Riesgos de Seguridad de la Información: Debe realizar a nivel
global sobre las normas conforme a los requerimientos aplicables
para la empresa de la norma técnica ecuatoriana NTE - INEN-
ISO/IEC 27002:2009.
Riesgos en Procesos: Debe realizarse a nivel global sobre los
procesos definidos en la empresa y a nivel de detalle sobre los
procesos de segundo nivel.
Para valorar los eventos de riesgos de la empresa, y determinar el riesgo
inherente, se debe considerar la siguiente escala:
ESCALA VALORACIÓN DEL NIVEL DE RIESGO
5 MUY ALTA 17-25
4 ALTA 10-16
3 MEDIA 5-9
2 BAJA 3-4
1 MUY BAJA 0-2
Tabla. 5.4. Valoración del Nivel de Riesgos para la empresa “Coka Tours”.
Realizado por: la empresa “Coka Tours”, 27-enero-2014
83
La escala definida para medir la probabilidad e impacto y sus criterios
son:
Escala % Impacto
5 Muy Alta 90% - 100% Catastrófico
4 Alta 66% - 89% Grave
3 Media 31% - 65% Moderado
2 Baja 11% - 30% Leve
1 Muy Baja 1% -10% Insignificante
Tabla. 5.5. Escala de Medición del Impacto de riesgos para la empresa “Coka
Tours”.
Realizado por: la empresa “Coka Tours”, 27-enero-2014
La definición de los criterios de impacto que la empresa considera se
detalla a continuación:
Impacto Detalle
Catastrófico
Eventos que de concretarse afecten: el cumplimiento de los
objetivos estratégicos; comprometan peligrosamente la
disponibilidad y continuidad de los servicios tecnológicos
críticos e infraestructura física y la seguridad, salud ocupacional
y trabajo de las personas; y en la que la imagen institucional se
vea comprometida por una amplia cobertura en los medios de
comunicación.
Grave
Eventos que de concretarse afecten: el cumplimiento de los
objetivos de la empresa; comprometan significativamente la
disponibilidad y continuidad los servicios tecnológicos e
infraestructura física y la seguridad, salud ocupacional y trabajo
de las personas; y en la que la imagen institucional se vea
comprometida por la cobertura en los medios de comunicación a
nivel nacional.
Moderado Eventos que de concretarse afecten: el cumplimiento oportuno de
los objetivos de la empresa; comprometan en menor grado la
84
disponibilidad y continuidad de los servicios tecnológicos e
infraestructura física y la seguridad, salud ocupacional y trabajo
de las personas; y en la que la imagen institucional se vea
comprometida por la cobertura en los medios de comunicación a
nivel regional.
Leve
Eventos que de concretarse afecten; el cumplimiento de los
objetivos de la empresa; comprometan en mínimo grado la
disponibilidad y continuidad de los servicios tecnológicos e
infraestructura física y la seguridad, salud ocupacional y trabajo
de las personas; y en la que la imagen institucional se vea
comprometida por la cobertura en los medios de comunicación a
nivel local.
Bajo
Eventos que de concretarse pueden: tener un pequeño o nulo
efecto en el cumplimiento de los objetivos; la disponibilidad y
continuidad de los servicios tecnológicos e infraestructura física
y la seguridad, salud ocupacional y trabajo de las personas; y en
la que la imagen institucional no se vea comprometida por la
cobertura en los medios de comunicación.
Tabla. 5.6. Definición de Impacto para la empresa “Coka Tours”.
Realizado por: la empresa “Coka Tours”, 31-enero-2014
Como respuesta a la valoración de los riesgos identificados se debe
establecer las siguientes acciones:
Evitar: Eliminar las acciones que generen los riesgos, siempre y
cuando esto sea realizable y no afecte los requerimientos legales o
la eficiencia operacional.
Reducir: Implica llevar a cabo acciones para reducir la
probabilidad o las consecuencias del riesgo, o ambos a la vez.
Compartir/Transferir: La probabilidad o las consecuencias del
riesgo se reducen trasladándolo o compartiéndolo de forma parcial
o total.
85
Aceptar: No se emprende ninguna acción que afecte a la
probabilidad, las consecuencias del riesgo, la efectividad del
control asociado al riesgo, la relación costo–beneficio no lo
justifica, o por la indisponibilidad de recursos y lineamientos.
El tratamiento de riesgos debe definirla factibilidad de implementación de
las medidas de mitigación y controles, que debe incluir la estimación de
recursos, cronogramas y responsables de ejecución; elementos que serán la
base para elaborar la mitigación de riesgos que debe integrarse al proceso
de planificación de la empresa para su ejecución.
5.2 Guías de Implementación.
5.2.1 Requerimientos del Modelo Seguridad de la Información.
En la empresa “Coka Tours” considera que la información es un activo
fundamental para la prestación de sus servicios y la toma de decisiones
razón por la cual la Gerencia consciente de sus necesidades actuales y con
los responsables de cada una de las áreas principales de la empresa aprobó
la implementación de un Modelo de Seguridad de la Información como la
herramienta que permita identificar y minimizar los riesgos a los cuales se
expone la información, ayude a la reducción de costos operativos y
financieros, establezca un cultura de seguridad y garantice el cumplimiento
de los requerimientos legales, contractuales, regulatorios vigentes.
5.2.2 Determinación del Alcance.
La empresa “Coka Tours” determinó el alcance del Modelo de Seguridad
de la Información el mismo que se establece en el Capítulo IV de este
trabajo.
Se definió una política de Seguridad de la Información la misma que
contiene lo siguientes ámbitos: “Organización de la Seguridad de la
Información; Gestión de Activos de Información, Seguridad en relación a
86
Recursos Humanos; Gestión de Comunicaciones y Operaciones; Control
de Accesos; Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información; Gestión de Incidentes de Seguridad de Información; Gestión
de Continuidad Institucional”, esto se encuentra detallado en el Capítulo
III del presente documento.
Una vez establecido el marco normativo de la empresa se define lo
procesos críticos, el mismo que está relacionado con los factores críticos
del éxito que la empresa los considera como se muestra en la siguiente
tabla a continuación:
Factores
críticos
del éxito
Procesos
del Negocio
Satisfacción
del cliente
Nuevas
oportunidades
del negocio
Bajos
Costo
Empleados
Competentes Total
Atención al
Cliente X X X 3
E-
COMMERCE X X X 3
Logística X 1
Marketing X X X 3
Ventas X 1
Contabilidad X 1
Recursos Humanos
X 1
Gestión de Sistemas Tecnológicos
X X X 3
Tabla. 5.7. Matriz Identificación de Procesos críticos en la empresa “Coka Tours”
Realizado por: FREIRE F., 08-febreo-2014
En la tabla 5.2 indica los procesos de “Atención al Cliente”, “E-
COMMERCE”, “Marketing”, “Gestión de Sistemas Tecnológicos” son
los procesos críticos de la empresa, por tener mayor impacto en los
factores críticos del éxito.
87
5.2.2.1 Procesos críticos de la empresa “Coka Tours”.
La empresa “Coka Tours” no tiene definido la interrelación que existe
entre su procesos, a continuación se muestra lo proceso críticos de la
empresa y la interrelación que existe entre estos, con esto determinaremos
los componentes y las interfaces con los otros procesos.
o Proceso de Atención al Cliente
Figura 5.2. Metodología de las elipses en el proceso de Atención al
Cliente para la empresa “Coka Tours”.
Realizado por: FREIRE F, 08-febrero-2014
o Proceso de E-COMMERCE
Figura 5.3. Metodología de las elipses en el proceso de E-
COMMERCE para la empresa “Coka Tours”.
2. Realizado por: FREIRE F, 09-febrero-2014
88
o Proceso de Marketing
Figura 5.4. Metodología de las elipses en el proceso de Marketing
para la empresa “Coka Tours”.
Realizado por: FREIRE F, 10-febrero-2014
o Proceso de Gestión de Sistemas Tecnológicos
Figura 5.5. Metodología de las elipses en el proceso de Gestión de
Sistemas Tecnológicos para la empresa “Coka Tours”.
Realizado por: FREIRE F, 11-febrero-2014
89
5.2.3 Implementar y Operar el SGSI.
Una vez establecido con la Gerencia los requerimientos y el alcance para
el Modelo de Seguridad de la Información se indica los pasos a seguir para
la implementar y Operar un SGSI:
Aprobación por parte de la Gerencia de la Empresa.
Determinar y definir el alcance del Modelo de Seguridad de la
Información.
Establecer el Departamento de Seguridad de la Información y sus
objetivos.
Designar al Oficial de Seguridad de la Información – Jefe del
Departamento de Seguridad de la Información
Definir los Roles y responsabilidades.
Establecer los objetivos de control.
Implementar y operar controles para manejar los riesgos de
seguridad de la información de una organización en el contexto del
“Procedimiento de Gestión de Riesgos Empresarial”.
Se evaluará por parte de la Gerencia la mejora continua basada en
la medición del cumplimiento de los objetivos.
El Departamento de Seguridad de la Información es el encargado de
verificar y validar los requisitos de seguridad de la información que la
empresa los requiera, además de actualizar y controlar que la normativa de
empresa se cumpla.
5.2.4 Guía para el Análisis y Evaluación de Riesgos.
5.2.4.1 Guía para la Identificación de riesgos Estratégicos.
5.2.4.1.1 Generalidades.
a) La Gerencia debe identificar la posibilidad de que un evento suceda y
afecte adversamente a los objetivos estratégicos, para esto, debe
establecer el alcance, los límites y niveles aceptables de desviación
relativa a la consecución de objetivos (tolerancia al riesgo).
90
b) El análisis de riesgos estratégicos se debe realizar desde un enfoque
sistémico e integral, considerando temas globales relacionados con la
misión, visión y el cumplimiento de los objetivos estratégicos.
c) La identificación debe realizarla de forma sistemática estableciendo las
posibles causas de los riesgos estratégicos, así como los diversos y
posibles efectos que debe afrontar la Empresa.
d) La Gerencia debe garantizar la gestión, monitoreo y comunicación de
los riesgos estratégicos, y la implementación de las medidas de
mitigación y los mecanismos de control respectivos.
5.2.4.1.2 Identificación de Riesgos Estratégicos.
Taller por tipo de riesgo
La identificación de los riesgos estratégicos en esta primera instancia es
responsabilidad de la Gerencia con los responsables relacionados con el
tipo de riesgo, quienes deben ejecutar las siguientes acciones:
a) Organizar el taller para la identificación de riesgos, por tipo de riesgo,
con la participación de los jefes departamentales de la empresa.
b) En la convocatoria al taller para la identificación de los riesgos
estratégicos, debe solicitar a los jefes departamentales, el
levantamiento previo de los riesgos más relevantes (tres o cuatro)
dentro del ámbito de gestión en las unidades administrativas bajo su
responsabilidad, y sustentados en la respectiva justificación
(documentación relevante del tema).
c) Para el análisis interno de los posibles eventos que pueden producir
riesgos, deben utilizar el formato de la Matriz de Riesgos Estratégicos
establecido por la empresa.
d) Los asistentes al taller en conjunto deben analizar los riesgos que
presenten los jefes departamentales en cuanto a:
o Tipo y factores de riesgo: En la Matriz de Riesgos
Estratégicos se ubicará el tipo de riesgo, según el ámbito de
acción del departamento, si éste corresponde a: proyectos,
91
tecnológicos, seguridad de la información, procesos. Conforme
la fuente generadora del riesgo se elegirá el correspondiente
factor de riesgo.
o Vulnerabilidades, amenazas e impacto (efecto): Se analizará
por cada factor de riesgo las vulnerabilidades y amenazas que
pueden causar que el riesgo se materialice y se debe redactar el
impacto negativo, es decir el efecto que producirá el riesgo.
o Redacción del riesgo: De considerar que los efectos
impactarían directa y gravemente en los objetivos estratégicos
de la empresa, se debe proceder a redactar el riesgo conforme la
siguiente estructura:
Tabla. 5.8. Estructura para redactar el riesgo en la empresa “Coka Tours”
Realizado por: FREIRE F, 15-febrero-2014
e) Los asistentes al taller en conjunto deben valorar el riesgo
identificado, en cuanto a probabilidad e impacto en la escala
cualitativa de 1 al 5, con el objeto de priorizarlos, y luego de
establecer la respuesta que se dará a dicho riesgo, es decir, si lo van a
aceptar, reducir, transferir o evitar. A continuación deben registrar las
medidas de mitigación, controles y responsables de la implementación
de ambos.
f) Cada Jefe departamental llevará a la Gerencia una propuesta con los
riesgos priorizados de los dos niveles más altos.
AMENAZA + VULNERABILIDAD + "CAUSARÍA" + IMPACTO Ejemplo:
Un accidente aéreo del avión + en el que viajan los ejecutivos del Directorio CAUSARIA una crisis en la dirección y control de la organización.
92
5.2.4.1.3 Taller plenario de la Gerencia.
Para la identificación de los riesgos estratégicos, el responsable por
parte de la Gerencia, encargado de elaborar la Matriz de Riesgos
Estratégicos, debe ejecutar las siguientes acciones:
a) Organizar el taller plenario para la validación de los riesgos
identificados previamente por cada Jefe departamental, con la
participación de la Gerencia.
b) Consolidar en la Matriz de Riesgos Estratégicos, los riesgos
previamente identificados por los Jefe departamentales, para lo
cual tomará todos los elementos de la matriz previamente
elaborada, excepto lo relativo a la valoración del riesgo
(probabilidad e impacto).
c) Los asistentes al taller plenario en conjunto deben analizar los
riesgos que presenten los Jefe departamentales.
5.2.4.1.4 Comunicación de la Matriz de Riesgos.
Una vez concluido el taller plenario de identificación de riesgos el
responsable por parte de la Gerencia, debe remitir a las unidades
administrativas responsables de la implementación, monitoreo y
evaluación de las medidas de mitigación y controles, la Matriz de
Riesgos Estratégicos. Y dispondrá a los Jefe departamentales que
incluyan las medidas de mitigación y controles en los respectivos
planes y presupuestos.
5.2.4.2 Guía para la Identificación de riesgos Operativos en procesos.
5.2.4.2.1 Generalidades.
a) Todo análisis de riesgos operativos deberá incluir la visión general del
proceso, tomando en cuenta las interacciones con otros procesos
institucionales, aplicaciones informáticas, entidades externas, etc., con
93
el fin de tener una mayor visibilidad y conocimiento del proceso
analizado desde un enfoque sistémico e integral.
b) Las empleados responsables de los procesos, deberán garantizar la
gestión, monitoreo y comunicación de los riesgos operativos en
procesos institucionales a su cargo, e implementar las medidas de
mitigación y los mecanismos de control respectivos.
c) La identificación de los riesgos operativos en procesos de la empresa,
medidas de mitigación y controles, será realizada por el responsable
del proceso; de forma participativa con un equipo multidisciplinario, el
mismo que deberá estar conformado por:
Responsable del Proceso.
Delegados de las unidades administrativas relacionadas al
proceso analizado.
Líder Técnico de Desarrollo. (Cuando exista asociado al
proceso un sistema informático).
Delegado del departamento de Seguridad de la Información.
d) Las propuestas de medidas de mitigación y controles definidos para
mitigar un riesgo operativo asociado a un proceso, deben considerar
una evaluación costo-beneficio, tomando en consideración el costo de
implementar el control en relación al beneficio que el mismo agregará
al proceso.
e) Las respuestas a los riesgos operativos en procesos institucionales y las
actividades de control deberán ser implementadas y ejecutadas por los
responsables de los procesos y las jefaturas de las unidades
administrativas, conforme corresponda, las mismas que deberán estar
orientadas a: Evitar, Reducir, Compartir o Aceptar el Riesgo
Operativo.
f) Es obligación de los empleados responsables de los procesos de la
empresa, firmar el Acta de Aceptación y el Acta de Compromiso con
el fin de garantizar la implementación de las medidas de mitigación y
los controles que minimicen los riesgos operativos asociados al
proceso.
94
g) El Departamento de Seguridad de la Información realizará el
monitoreo y control de cumplimiento de las medidas de mitigación y
controles implementados, a las distintas unidades funcionales.
h) Se procederá a la actualización de los riesgos operativos de un proceso,
cuando exista una intervención o mejora del mismo.
i) Las matrices de identificación de los riesgos operativos, medidas de
mitigación y controles, formarán parte de la documentación de los
procesos de la empresa.
j) El Responsable del Proceso deberá ejecutar las acciones necesarias
para la implementación de las medidas de mitigación y controles
relacionadas a su proceso.
5.2.4.2.2 Identificación de riesgos operativos en procesos de la empresa.
Para la identificación de los riesgos operativos, el Responsable del proceso
ejecutará las siguientes etapas:
5.2.4.2.3 Aproximación al Proceso.
Permite conocer e inteligenciarse sobre el proceso mediante la obtención
de información de diferentes medios internos o externos. Recopilar
documentación del proceso analizado relacionada con los puntos expuestos
a continuación y registrar la información obtenida en el respectivo Papel
de Trabajo.
a) Información de la empresa, corresponde a los datos de referencia de
de las funciones y demás información que norma el contexto en el cual
se desarrolla el proceso.
b) Contactos, contempla los datos de identificación de los empleados
relacionados con el proceso cuyos roles constan dentro del proceso
analizado.
95
c) Sistemas, consiste en conocer la funcionalidad general de los sistemas
informáticos internos o externos, así como también, y los accesos
relacionados al proceso.
d) Leyes/Normas/Disposiciones, registrar los datos de referencia de la
normativa que contiene normas regulatorias relacionadas con el
proceso.
e) Normas y Disposiciones internas, registrar los datos de referencia de
las disposiciones y normas internas que regulan al proceso.
f) Mejores Prácticas, registrar los datos de referencia de la Mejores
Prácticas y Estándares Internacionales que se encuentren relacionadas
al proceso.
g) Informes, registrar los datos de referencia de los informes de los
Organismos de Control internos o externos, que contengan hallazgos
relacionados con el proceso, como por ejemplo auditorías o exámenes
especiales; también se debe considerar las autoevaluaciones o
consultorías realizadas.
h) Información del Proceso, registrar los datos de referencia de la
información general del proceso, las cuales constan dentro de la
normativa de la empresa. Ejemplo. Políticas, Procedimientos,
Instructivos y Manuales de Usuarios y Guías Técnicas.
5.2.4.2.4 Verificación en campo.
Permite realizar una constatación de la ejecución de las actividades del
proceso verificación del flujograma en las unidades administrativas para
confirmar o rectificar las actividades registradas en el respectivo proceso:
a) Gráfico del flujo del proceso, presenta la caracterización y los
diagramas de flujo del proceso como consta en el respectivo proceso.
b) Flujo del Proceso por Actividad, registra los resultados de la
verificación de campo de cada una de las actividades del flujo del
proceso.
96
c) Registro de formularios, solicitudes y otros documentos que se
utilizan en el proceso, detalla los documentos que se generan en las
diferentes actividades del flujo del proceso, para conocer la aplicación
de los mismos.
5.2.4.2.5 Ejecución de Talleres.
El Responsable del Proceso es el encargado de coordinar las acciones
necesarias para conformar el equipo multidisciplinario e iniciar los talleres
para la identificación de los riesgos; así como también, deberá considerar a
los empleados que ejecutan las diferentes actividades del proceso en los
departamentos.
Ejecutar las siguientes actividades en el desarrollo del taller:
a) Explicar la estructura de la matriz, indicar los principales componentes
del proceso y el objetivo a alcanzar.
b) La matriz debe contener tres fases que se detallan a continuación:
Índice: Registra un listado que permitirá la ubicación del material
al interior del libro de trabajo en Excel.
Riesgos Generales: Mediante un cuestionario le permitirá
identificar de manera integral las amenazas, vulnerabilidades
generales e impacto del proceso, analizado el cuestionario y
determinado el estado (salud) del proceso, se redacta las
vulnerabilidades y amenazas que afectan el proceso por factor de
riesgo, y se procede con la identificación de los riesgos inherentes
al mismo, además de la respectiva valoración y tratamiento de los
riesgos; para luego determinar las medidas de mitigación y
controles generales que se aplicarán en el proceso.
Riesgos Específicos: Permitirá registrar las amenazas,
vulnerabilidades específicas e impacto por cada actividad del
proceso y por factor de riesgo, así como también la redacción del
97
riesgo inherente al proceso, la valoración y tratamiento de los
riesgos; y, especificar las respectivas medidas de mitigación y
controles.
Mapa de Riesgos: Muestra en forma sintetizada los riesgos
generales y específicos del proceso.
Se puede redactar uno o más riesgos por cada factor de riesgo.
5.2.4.2.6 Valorar, priorizar riesgos operativos e implementar medidas de
mitigación y controles.
La información obtenida previamente y registrada en los respectivos
formatos, permitirá al responsable del proceso realizar el análisis de los
riesgos identificados, quien con el conocimiento del proceso, el expertise
de los empleados operativos y la participación activa de los miembros del
equipo, realizará la valoración y priorización de los riesgos operativos
identificados, y determinará las medidas de mitigación y controles
correspondientes.
Análisis de riesgos operativos:
a) Establece la severidad de los eventos de riesgo, la cual se obtendrá de
la combinación entre la estimación de la probabilidad de ocurrencia y
el impacto de sus consecuencias.
b) La posibilidad de ocurrencia del riesgo puede ser medida con criterios
de Frecuencia, si se ha materializado (por ejemplo: Número de veces
en un tiempo determinado), o de Factibilidad teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado. Por Impacto se entiende
las consecuencias que puede ocasionar a la organización la
materialización del riesgo.
c) La probabilidad de ocurrencia y el impacto de sus consecuencias,
permite valorar y evaluar para obtener información que permita
98
establecer el nivel de riesgos y las acciones que se van a implementar.
Valorar cada uno de los riesgos identificados en la matriz de riesgos:
a) Evaluar y calificar el riesgo de acuerdo a lo establecido en el
“Procedimiento de Gestión de Riesgos Empresarial”.
Priorización.
a) Priorizar de acuerdo al grado de exposición de los riesgos frente al
logro de los objetivos del proceso y de acuerdo a esto establecer las
acciones a implementar.
Respuesta al riesgo.
a) Para disminuir el nivel de exposición al riesgo se debe considerar los
criterios que se detallan en el “Procedimiento de Gestión de Riesgos
Empresarial”.
5.2.5 Guía para la Elaboración del Plan de Continuidad del Negocio.
Para la elaboración de un plan de continuidad del negocio debe incluir los
siguientes componentes:
Análisis de Riesgos.
Desarrollo de Estrategias de Recuperación.
Desarrollar e implementar el Plan de Continuidad de Negocio.
Procedimientos de Recuperación.
Desarrollar programas de entrenamiento y concientización.
Pruebas y Mantenimiento del Plan de Continuidad del Negocio.
Procedimiento de mejora.
99
5.2.5.1 Análisis de Riesgos.
En esta fase se busca determinar los eventos y situaciones externas que
pueden afectar adversamente a la empresa, tanto por una interrupción
como por un desastre, evalúa el daño que dichos eventos pueden causar, y
los controles requeridos para prevenir o minimizar los efectos de pérdida
potencial. Provee un análisis costo-beneficio para justificar la inversión
requerida para mitigar los riesgos identificados.
En esta fase se debe implementar el Procedimiento de Gestión de Riesgos
Empresariales que se indicó en el punto anterior.
5.2.5.2 Desarrollo de Estrategias de Recuperación de las Operaciones.
En esta sección la Gerencia conjuntamente con los jefes departamentales,
deben establecer las distintas estrategias que se deben orientarse a la
recuperación y al normal funcionamiento de la empresa, aquí se debe
establecer los objetivos y tiempos de recuperación.
Como parte de esta etapa se deberá realizar lo siguiente:
Identificar los requerimientos estratégicos para la recuperación.
Valorar la oportunidad de estrategias alternativas contra los
resultados del Análisis del Impacto del Negocio.
Preparar un análisis costo/beneficio de las estrategias de
recuperación.
Seleccionar posibles sitios alternos de operación y respaldo de
datos.
Entender los requerimientos contractuales para los servicios del
negocio por parte de tecnología.
5.2.5.3 Desarrollar e implementar el Plan de Continuidad en TIC.
En esta fase, la Gerencia con los jefes departamentales deben diseñar,
desarrollar e implementar el plan de continuidad que proveerá de la
100
información necesaria para recuperar las operaciones dentro del marco de
tiempo establecido por la empresa.
Para lo cual debe considerar lo siguiente:
Determinar los requerimientos del Plan de Continuidad.
Determinar la estructura del Plan de Continuidad.
Diseñar el Plan de Continuidad.
Definir y documentar los procedimientos de recuperación.
Desarrollar los requerimientos de documentos a utilizar durante y
después del desastre.
Implementar el Plan de Continuidad.
Establecer pruebas y procedimientos de control, distribución,
capacitación y mejora continua del Plan de Continuidad.
5.2.5.4 Procedimientos de Recuperación.
Las Jefaturas departamentales conjuntamente con los dueños de los
procesos son responsables de documentar los procedimientos de
recuperación que afecte parcial o totalmente (escenario de peor caso) a sus
procesos.
Los procedimientos deben contener lo siguiente:
Sistemas informáticos que soportan el proceso.
Equipos y líneas de comunicación.
Definir los elementos críticos de los procesos.
Establecer los tiempos máximos de interrupción.
Los procedimientos de recuperación establecidos por cada departamento
debe incluir la información necesaria para la recuperación (“desde cero”)
de cualquiera de los elementos que conformen el proceso.
Para su preparación deberá considerarse siempre el “escenario de peor
caso” de forma tal que se documente todo lo necesario para una
recuperación total.
101
5.2.5.5 Desarrollar programas de entrenamiento y concientización.
La Gerencia debe desarrollar un programa orientado a crear y mantener
conciencia en la empresa, además de mejorar las habilidades requeridas
para desarrollar e implementar los planes de recuperación, por lo que la
empresa consideró lo siguiente:
Definir los objetivos de entrenamiento y concientización.
Ejecutar programas de entrenamiento.
Desarrollar programas de concientización.
Identificar otras oportunidades de educación.
5.2.5.6 Pruebas y mantenimiento al BCP.
Las Jefaturas Departamentales son los encargados de establecer un
cronograma para la ejecución de pruebas a los planes de continuidad con
antelación y coordinar ejercicios, documentando y evaluando los
resultados de ellos, por lo que debe considerar:
Establecer y ejecutar pruebas al Plan de Continuidad.
Determinar los requerimientos de las pruebas.
Desarrollar escenarios realistas para las pruebas.
Preparar reportes y procedimientos de control de los ejercicios.
Ejecutar ejercicios de pruebas.
Obtener retroalimentación de los resultados de las pruebas e
implementar las mejoras requeridas.
5.2.5.7 Procedimientos de mejora continua.
Los Jefes Departamentales con los dueños de los procesos deben
considerar lo siguiente:
Los dueños de procesos son los responsables por reportar al
coordinador del plan de continuidad, los cambios que se den en el
102
proceso; con el fin de de realizar las actualizaciones respectivas
Para realizar un cambio en el plan de continuidad se debe
considerar todos aquellos que modifiquen la estructura del plan de
continuidad tales como: cambios de los empleados, procesos,
sistemas informáticos, etc.
Cada dueño del proceso con su Jefatura Departamental respectiva
debe establecer la capacitación a los empleados y establecer un
plan de capacitación.
Los dueños de los proceso con las jefaturas respectivas deben
definir el plan para pruebas de forma periódica.
5.2.5.8 Guía para Monitorear y Revisar el Modelo de Seguridad de la
Información.
La organización debe ejecutar procedimientos de monitoreo y revisión, y
otros controles para detectar oportunamente incidentes de seguridad y
resultados de procesamiento así como sus delegados e indicadores. Por
otra parte se debe realizar revisiones, mediciones y evaluaciones regulares
de la efectividad del SGSI así como sus objetivos para llegar a tener un
riesgo aceptable en la seguridad.
También es necesario realizar auditorías SGSI internas bajo una revisión
gerencial que busque la mejora continua y actualice los planes de
seguridad incluyendo actividades de monitoreo y revisión.
Registrar las acciones y eventos que podrían tener un impacto sobre la
efectividad o desempeño del SGSI.
5.3 Roles y Responsabilidades para la Seguridad de la Información.
Los roles y responsabilidades para la administración de Seguridad de la
Información se encuentra divida entre el Departamento de Tecnología y el
Departamento de Seguridad de la Información. Por tal motivo y de acuerdo
a la Gerencia se establece que el Departamento de Seguridad de la
Información es el encargado para la administración de la seguridad de la
información.
103
Las responsabilidades del Departamento de Seguridad de la Información es
establecer la gestión del plan de seguridad de la información a lo largo de la
empresa, así como la coordinación entre el personal de sistemas y los
responsables y personas de las áreas de negocio, quienes son los
responsables de la información que utilizan.
Los responsables de la información deben verificar la integridad,
disponibilidad y confidencialidad de la información que manejan, es
importante indicar que las responsabilidades referentes a la seguridad
información son distribuidas dentro de toda la empresa.
Los responsables de la información son los encargados de implementar el
cumplimiento de las actividades relacionadas a Seguridad de la Información
y el Departamento de Seguridad de la Información es el responsable de
monitorear, supervisar el cumplimiento de la normativa y los procesos
definidos para mantener la seguridad de la información.
A continuación se indican los roles y responsabilidades para la gestión de la
seguridad de la información:
NOMBRE ROLES Y RESPONSABILIDADES
Gerencia de la Empresa
“Coka Tours”
Designar los representantes de un Comité de
Seguridad de la Información.
Designación del responsable de la Seguridad de
la Información (Oficial de la Seguridad de la
Información).
Aprobar la normativa sobre políticas,
procedimientos e instructivos relacionado a la
seguridad de la información.
Velar por el cumplimiento de las políticas de
seguridad de la información.
Asignar las responsabilidades asociadas al tema
de la seguridad de la información
Tabla. 5.9. Roles y Responsabilidades de la Gerencia de la Empresa “Coka
Tours”
Realizado por: FREIRE F, 01-marzo-2014
104
NOMBRE ROLES Y RESPONSABILIDADES
Comité de Seguridad
de la Información
Revisar periódicamente el estado general de la
seguridad de la información.
Monitorear y revisar los incidentes de
seguridad de la información.
Aprobar y verificar los proyectos de seguridad
de la información conjuntamente con la
Gerencia.
Aprobar las modificaciones o nuevas políticas
de seguridad de la información.
Tabla. 5.10. Roles y Responsabilidades del Comité de seguridad de la
Información de la empresa “Coka Tours”
Realizado por: FREIRE F, 08-marzo-2014
NOMBRE ROLES Y RESPONSABILIDADES
Departamento de
Seguridad de la
Información
Establecer la normativa y definir las
responsabilidades de la empresa y empleados
sobre la seguridad de la información.
Actualizar y elaborar la normativa de
seguridad de la información.
Establecer los objetivos de seguridad y
estándares.
Definir metodologías y procesos para la
implementación del modelo de gestión de
seguridad de la información.
Determinar los objetivos de control a realizar
en la empresa. (diseño y programación de
controles de seguridad)
Supervisar los incidentes de alta severidad que
ocurrieran en la empresa.
Análisis de vulnerabilidades y de seguridad en
105
productos de software.
Monitorear el cumplimiento de la normativa
de la Empresa.
Reportar periódicamente a la gerencia sobre la
administración de la seguridad de la
información.
Tabla. 5.11. Roles y Responsabilidades del Departamento de Seguridad de la
Información de la Empresa “Coka Tours”
Realizado por: FREIRE F, 15-marzo-2014
NOMBRE ROLES Y RESPONSABILIDADES
Departamento de
Tecnología
Implementar las medidas de Seguridad
solicitadas por el Departamento de Seguridad
de la Información.
Responder ante cualquier incidente de
seguridad de la información.
Gestionar los accesos a los sistemas
informáticos de la empresa (alta, baja y
modificación de accesos).
Implementar parches de seguridad informática
(pruebas e instalación).
Tabla. 5.12. Roles y Responsabilidades del Departamento de Tecnología de la
Empresa “Coka Tours”.
Realizado por: FREIRE F, 18-marzo-2014
NOMBRE ROLES Y RESPONSABILIDADES
Oficial de la
Seguridad de la
Información
Administrar el presupuesto de seguridad de la
Información.
Gestionar y Administrar el personal de
Seguridad.
Establecer la estrategia de seguridad de la
información y objetivos. (hacia dónde vamos y
qué hay que hacer).
106
Gestionar los Proyectos relacionados a
Seguridad de la Información.
Detectar las necesidades y vulnerabilidades de
seguridad desde el punto de vista del negocio y
su solución.
Realizar el análisis de riesgo a los sistemas
informáticos.
Establecer los lineamientos específicos para
controlar el acceso a los sistemas de
informáticos y la modificación de privilegios.
Convocar al comité de seguridad de la
información de forma inmediata en el caso de
un incidente que requiera de definición de
varias áreas.
Tabla. 5.13. Roles y Responsabilidades del Oficial de la Seguridad de la
Información de la Empresa “Coka Tours”.
Realizado por: FREIRE F, 21-marzo-2014
NOMBRE ROLES Y RESPONSABILIDADES
Responsables de la
Información
Establecer la clasificación de la información de
la empresa.
Determinar los niveles de acceso a la
información.
Autorizar la asignación de permisos de acceso
al personal.
Apoyar al Área IT en la generación de los
controles necesarios para el almacenamiento,
procesamiento, distribución y uso de la
información
Tabla. 5.14. Roles y Responsabilidades de los Responsables de la Información
de la Empresa “Coka Tours”.
Realizado por: FREIRE F, 28-marzo-2014
107
5.4 Beneficio al Implementar un Modelo de Gestión de Seguridad de la
Información.
Las ventajas con la implementación de este Modelo de Seguridad de la
Información es la mitigación de fuga de información que puede ocurrir,
propiciando ahorro de costos y un impacto económico muy positivo para la
empresa.
No se tiene que invertir grandes cantidades de dinero en equipos (hardware)
o software para la implementación disminuyendo considerablemente sus
gastos.
Al definir el modelo la empresa mejoraría los procesos que actualmente
lleva y no se requiere de contratar más empleados. Este ahorro de salario se
mantendría como parte del continuo gasto que la empresa realiza por lo que
los ahorros se entienden a un mayor plazo en el tiempo.
Permite optar a nuevas metodologías.
Le permite a la empresa experimentar la implementación de nuevas
metodologías que al ser contratadas por medio de consultorías serían muy
costosas por lo que su implementación se encuentra dentro de un precio
moderado para la organización.
Sin Implementar el Modelo de
Seguridad de la Información
Implementado el Modelo de
Seguridad de la Información
Productividad
Recursos Humano innecesario y
con acceso no autorizados.
Permite tener un mejor control
de la información que genera
los empleados.
Gestión
Tecnológica
No posee controles de seguridad
de la información en los sistemas.
Perdida de información causada
mediante los sistemas
informáticos.
Control sobre la información
que genera la empresa.
Mejora de procesos para
mitigar la perdida de
información en los sistemas
108
Accesos no autorizados a la
información.
Fuga de Información por parte de
los empleados.
informáticos.
Accesos Controlados.
Control y registro de
información que administra los
empleados.
Gestión de la
Seguridad
Los procesos de seguridad son
intuitivos.
No se encuentran definidos
niveles de seguridad sobre la
información.
No existen responsables en el
manejo de información.
Procesos organizados.
Se establece niveles de
seguridad en la información.
Se establecen los responsables
que administran la
información.
Tabla. 5.15. Comparativo Sin y Con la Implementación del Modelo seguridad
de la Información
Realizado por: FREIRE F, 30-marzo-2014
La implantación del Modelo de Gestión de la Seguridad de la Información
diseñada para la empresa “Coka Tours” tiene los siguientes beneficios:
Un análisis de riesgos para los procesos Estratégicos y Operativos.
Una gestión adecuada de los riesgos según el procedimiento de gestión
de riesgos empresariales, con el objetivo de conocer, analizar sus
riesgos e impactos en la empresa.
Mejoramiento continúo y de gestión del Modelo de Seguridad de la
Información.
Con la aplicabilidad de la normativa se da cumplimento de la
legislación vigente sobre protección de datos de carácter personal,
comercio electrónico, propiedad intelectual, etc.
Facilita el logro de los objetivos de la empresa.
La empresa la hace más segura y establece medidas para la gestión de
sus riesgos.
Optimiza la asignación de recursos.
Fortalece la cultura de Seguridad de la Información.
109
Organizar los recursos de la seguridad.
La empresa al implementar un Modelo de Gestión de la Seguridad de la
Información, establece una cultura de seguridad y una excelencia en el
tratamiento de la información en todos sus procesos de negocio. Así,
aporta un valor añadido de reconocido prestigio, en la calidad de los
servicios que ofrece a sus clientes.
COSTO DE IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD
DE LA INFORMACIÓN
Costo de Implementación del Modelo de Seguridad de la Información
Desarrollo Costos
1 persona (270 horas a $8) 2160
Sub Total 2160
Equipos
Equipos Informáticos del Proyecto de Investigación (1 computador) 1400
Sub Total 1400
Suministros y gastos
Alquiler conexión Internet (6 meses) 600
Suministros de Oficina para el Proyecto de Investigación (Papel,
esferos, etc.) 200
Adquisición de Material Bibliográfico del Proyecto de Investigación 100
Subscripción a Descargas de Material Digital para el Proyecto de
Investigación 500
Suministros de Servicios Públicos (Agua, Luz – 6 meses) 200
Sub Total 1600
Total Costo de Implementación del Modelo de Seguridad de la
Información 5160
110
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1 CONCLUSIONES
La empresa Coka Tours con la implementación de un Modelo de
Gestión de Seguridad de la Información basado en el estándar ISO
27000 le permite la integración con otras empresas a nivel mundial, y
que requieren de ciertos niveles de seguridad para esta asociación.
La empresa Coka Tours requiere de una metodología que permita
gestionar la seguridad de la información correlacionado con los
lineamientos y objetivos de la empresa en coordinación con las etapas
del PHVA (ciclo de deming), con la finalidad de alcanzar los niveles
de seguridad necesarios.
Al implementar el Modelo de Gestión de la Seguridad de la
Información los empleados de la empresa Coka Tours, pueden acceder
a la información de la empresa con la respectiva autorización, con esto
la empresa considera a la información como un activo más, y minimiza
el riesgo de fuga y/o pérdida de información.
Este trabajo aporta una metodología con un enfoque global y
sistémico, para la empresa Coka Tours, viable, conveniente y efectivo,
dando una estructura para lograr la coordinación necesaria y
especificando los pasos que deben cumplirse en cada fase,
consiguiendo la optimización de todos los recursos para la seguridad
de la información.
En relación a la metodología para la estrategia del análisis, gestión,
planificación, implementación y seguimiento del Modelo de Gestión
de Seguridad de la Información (MGSI), proponemos un enfoque
estructurado desde la definición de la normativa de seguridad hasta la
111
definición del MDGSI, y las guías de implementación para cada fase
de este Modelo.
La detección de pérdida o fuga de la información por parte de la
empresa sin la implementación de un Modelo de Gestión de Seguridad
de la Información, puede requerir de varias semanas o, incluso meses,
con la implementación de MDGSI permite reducir en mucho menos
tiempo este tipo de riesgos y detectar de forma oportuna las
vulnerabilidades y riesgos de la empresa.
Todos los controles establecidos dentro de la normativa de la empresa
permite mejorar los niveles de seguridad ya sea en su parte física,
estructural, tecnológica; donde se podrán ir identificando cada uno de
los problemas presentados, los mismos que podrán ser tomados como
casos de análisis para poder identificar mecanismos y falencias en
controles y políticas de seguridad de la información.
6.2 RECOMENDACIONES
Implementar la gestión de riesgos empresarial en base a los objetivos y
lineamientos de la empresa permitiendo de esta manera evaluar de
forma correcta los riesgos de seguridad.
Asegurar que todos los empleados de la empresa firmen acuerdos de
confidencialidad y respeté los derechos sobre cualquier propiedad
intelectual o trabajo original, y dar a conocer que la información
generada pertenece a la empresa.
Revisar las respectivas obligaciones contractuales entre los empleados
y la empresa con el objetivo de identificar los riesgos; así mismo debe
evaluarse detenidamente cualquier cláusula estándar que abarque
limitaciones de responsabilidad.
112
Evaluar y promocionar el Modelo de Gestión de Seguridad de la
Información dentro de la empresa Coka Tours, como potencial
instrumento para minimizar las amenazas y vulnerabilidades de
seguridad de la información.
Seleccionar un proceso poco crítico para la implementación de
medidas y controles de seguridad de la información, esto permitirá
desarrollar una experiencia piloto.
Mantener actualizado la normativa y los controles de seguridad de
acuerdo a los objetivos y lineamiento de la empresa.
Aplicar cada uno de los puntos indicados anteriormente y que
contemplan la situación actual de la empresa con el objetivo de
minimizar el alto índice de inseguridad que se puede presentar sin
ningún esquema de seguridad de la información.
113
GLOSARIO DE TÉRMINOS
ACTIVOS DE INFORMACIÓN: Son ficheros y bases de datos, contratos y
acuerdos, documentación institucional, manuales de los usuarios, material de
formación, aplicaciones, software del sistema, equipos y servicios
informáticos y de telecomunicaciones.
AMENAZA: Evento no deseado, el cual podría causar daño a un proceso.
CONFIDENCIALIDAD: Condición que garantiza que la información
institucional sea accesible sólo al personal autorizado a tener acceso a la
misma, y que ésta no debe ser revelada de forma no autorizada.
CONTRASEÑA: Es una serie secreta de caracteres que permite a un usuario
autenticarse y tener acceso, entre otros a: sistemas de información, redes,
bases de datos, servicios, o recursos tecnológicos.
CONTROLES: Consisten en todos los métodos y mecanismos físicos como
tecnológicos, políticas y procedimientos de la Institución, creados con el
objetivo de asegurar protección y buen uso de sus activos de información,
garantizar la exactitud y fiabilidad de sus registros, y el cumplimiento
operativo de la normativa de la empresa.
DISPONIBILIDAD: Condición que garantiza que los usuarios autorizados
tengan acceso a la información institucional y a los recursos relacionados con
la misma, todas vez que lo requieran de acuerdo a las funciones asignadas.
EMPLEADOS: Son todas las personas que trabajen, presten servicios o
ejerzan un cargo, función o dignidad dentro de la empresa Coka Tours.
EVALUACION DE RIESGOS: Son las actividades de seguimiento y
supervisión de la implementación de las medidas de mitigación y controles, y
la determinación de la eficacia de los mismos, cuya responsabilidad
corresponde a las unidades administrativas identificados.
GESTIÓN DE RIESGOS: Es el proceso integral de identificación,
planificación y ejecución de las medidas de mitigación y controles, monitoreo
y valuación de medidas de mitigación y controles.
114
GRUPO DE INFORMACIÓN: Son conjuntos de datos o documentos físicos
que tienen características comunes de agrupación, y que conforman una
unidad de información independiente.
INCIDENTE DE SEGURIDAD: Es un evento, situación, o hecho que afecta
significativamente a la imagen, misión, objetivos, información
(confidencialidad, integridad, disponibilidad), servicios, procesos, bienes,
sistemas o recursos (humanos, tecnológicos, financieros) y que requiere una
acción o una respuesta efectiva para su mitigación.
INFORMACIÓN: Conjunto organizado de datos significativos y procesados,
que sirven a un objetivo específico, y cuyo uso racional constituye la base para
la toma de decisiones, resolución de problemas, gestión de procesos, y gestión
del conocimiento.
INFORMACIÓN DIGITAL: Es toda información generada y procesada por
equipos electrónicos de cómputo, y almacenada en dispositivos ópticos y
medios magnéticos como discos duros, discos externos, USB, CD/DVD, Pen-
Drive, Tablet-PC, Ipad, teléfonos inteligentes, etc.
INTEGRIDAD: Condición que garantiza la exactitud y totalidad de la
información institucional.
MEDIDAS DE PROTECCIÓN: Conjunto de acciones físicas, técnicas,
normativas y organizativas que se orientan a garantizar la confidencialidad,
integridad y disponibilidad de la información institucional y que deben
adoptarse en función del nivel de sensibilidad de la información.
MEDIDAS DE MITIGACIÓN Y CONTROLES: Son acciones y
mecanismos definidos para prevenir o reducir la probabilidad de ocurrencia
y/o el impacto de los eventos no deseados que ponen en riesgo a los activos de
la Institución; protegen frente a posibles pérdidas y corrigen las desviaciones
que se pudieren presentar en el desarrollo normal de las actividades, y deberán
estar alineados con los objetivos de la empresa.
MEDIOS DE ALMACENAMIENTO: Para la información digital, son
dispositivos ópticos o magnéticos que almacenan información lógica. Para la
información física, son elementos físicos que permiten guardar la información
documental.
115
PERSONAL EXTERNO: Es toda persona natural que actúe a cuenta propia
o en representación de una persona jurídica, que tenga relación contractual con
la empresa Coka Tours.
SEGURIDAD DE LA INFORMACIÓN: Se entiende como la preservación
de la confidencialidad, integridad y disponibilidad de la información.
PROBABILIDAD: Grado de posibilidad de que un evento dado ocurra.
RIESGO INHERENTE: Es el resultado de la identificación inicial de
riesgos, antes de aplicar medidas de mitigación y/o controles.
VULNERABILIDAD: Factor de riesgo interno de un elemento o grupo de
elementos expuestos a una o más amenazas, correspondiente a su
predisposición intrínseca a ser afectado, de ser susceptible a sufrir un daño.
116
BIBLIOGRAFÍA
Monografías electrónicas.-
1. Constitución de la República del Ecuador [en línea]. [Fecha de consulta: 11 de
Noviembre del 2013]. Disponible en:, < http:// www .asambleanacional.gob.ec
/documentos/constitucion_de_bolsillo. pdf>.
2. Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos [en
línea]. [Fecha de consulta: 19 de Noviembre del 2013]. Disponibles en:,
http://www.oas.org/juridico/PDFs/mesicic4_ecu_comer.pdf>.
3. Reglamento a la Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos [en línea]. [Fecha de Consulta: 22 de Noviembre del
2013]. Disponible en: <https://docs.google.com/document/edit?id=1QtZ E
STA Q9KfdH_09IOa35nuraJQzXO5XSF3_GIPuEHY &hl =en>.
4. Ley de Propiedad Intelectual [en línea]. [Fecha de consulta: 26 de Noviembre
del 2013]. Disponible en:, <http://www.iepi.gob.ec/images/docs/ baselegal/
LeyPropiedadIntelectual.pdf>.
5. Constitución de la República del Ecuador [en línea]. [Fecha de consulta: 11 de
Noviembre del 2013]. Disponible en:, < http:// www .asambleanacional.gob.ec
/documentos/constitucion_de_bolsillo. pdf>.
6. Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos [en
línea]. [Fecha de consulta: 19 de Noviembre del 2013]. Disponibles en:,
http://www.oas.org/juridico/PDFs/mesicic4_ecu_comer.pdf>.
7. Reglamento a la Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos [en línea]. [Fecha de Consulta: 22 de Noviembre del
2013]. Disponible en:, <https://docs.google.com/document/edit?id=1
QtZESTAQ9KfdH_09IOa35nuraJQzXO5XSF3_GIPuEHY &hl =en>.
8. Ley de Propiedad Intelectual [en línea]. [Fecha de consulta: 26 de Noviembre
del 2013]. Disponible en:, <http://www.iepi.gob.ec/images/docs/ baselegal/
LeyPropiedadIntelectual.pdf>.
9. La gestión de la seguridad en la empresa [en línea] [Fecha de consulta: 30 de
Noviembre del 2013]. Disponible en: http://www.aec.es/c/document_library/
get_file?uuid=172ef055-858b-4a34-944d-8706db5cc95c&gro upId=10128.
117
10. ISM3 Consortium, “Information Security Management Maturity Model v.
2.10” [en línea] [Fecha de consulta: 3 de Diciembre del 2013] disponible en:
http://www.ism3.com/.
11. Libro Cobit 4.0 IT Governance Institute[en línea] [Fecha de consulta: 9 de
Diciembre del 2013]. Disponible en: www.isaca.org/bmis .
12. ITIL Gestión de Servicios TI - Gestión de la Continuidad del Servicio [en
línea] [Fecha de consulta: 14 de Diciembre del 2013]. Disponible en :
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_continui
dad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio/visi
on_general_gestion_de_la_continuidad_del_servicio.php.
13. ISACA [en línea] [Fecha de consulta: 16 de Diciembre del 2013]. Disponible
en : http://www.isaca.org/spanish/Pages/default.aspx
14. La gestión de la seguridad en la empresa [en línea] [Fecha de consulta: 30 de
Noviembre del 2013]. Disponible en: http://www.aec.es/c/document_
library/get_file?uuid=172ef055-858b-4a34-944d-
8706db5cc95c&groupId=10128.
15. ISM3 Consortium, “Information Security Management Maturity Model v.
2.10” [en línea] [Fecha de consulta: 3 de Diciembre del 2013]. Disponible en :
http://www.ism3.com/.
16. Cobit 4.0 IT Governance Institute [en línea] [Fecha de consulta: 9 de
Diciembre del 2013]. Disponible en: www.isaca.org/bmis .
17. ITIL Gestión de Servicios TI - Gestión de la Continuidad del Servicio [en
línea] [Fecha de consulta: 14 de Diciembre del 2013]. Disponible en:
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_continui
dad_del_servicio/vision_general_gestion_de_la_continuidad_del_servicio/visi
on_general_gestion_de_la_continuidad_del_servicio.php.
18. SEGUR INFOR - [en línea] [Fecha de consulta: 17 de Diciembre del 2013].
Disponible en: www.segurinfo.org.
19. Implantación del ISO 27:001:2005 “Sistema de Gestión de Seguridad de
Información”. [en línea] [Fecha de consulta: 18 de Diciembre del 2013].
Disponible en: http://www.centrum.pucp.edu.pe/excelncia.
118
20. “Política de Seguridad de la Información para Organismos de la
Administración Pública Nacional” - Programa Nacional de Infraestructuras
Críticas de Información y Ciberseguridad. [en línea] [Fecha de consultas: 19
de Diciembre del 2013]. Disponible en: http://www.icic.gob.ar/pagin
as.dhtml?pagina=245.
21. El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto
central sobre el que se construye ISO 27001. [en línea] [Fecha de consulta: 21
de diciembre del 2013]. Disponible en : http://www.iso27000.es/sgsi.html.
22. Sistema de Gestión de Seguridad de la Información [en línea] [Fecha de
consulta: 28 de diciembre del 2013]. Disponible en: http://sgsi.utp.edu.co/
que-es-el-sgsi.html.
23. Sistema de Gestión de la Seguridad de la Información - Modelo PDCA [en
línea] [Fecha de consulta: 04 de enero del 2014]. Disponible en :
.http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_
SGSI/.
24. Gestión de Riesgos de TI [en línea] [Fecha de la consulta: 08 de enero del
2014]. Disponible en: http://www.sisteseg.com/files/Microsoft_Word_-
_GESTION_DE_RIESGOS_DE_TI.pdf.
25. Claves para implantar un modelo de seguridad informática exitoso [en línea]
[Fecha de la consulta: 11 de enero del 2014]. Disponible en: http://negociosy
management.com.ar/?p=2285.
26. Gestión de Riesgos [en línea] [Fecha de la consulta: 15 de enero del 2014].
Disponible en: http://www.solis.com.ve/gestion-de-riesgos/.
27. COSO, Procesos de Negocios, Control y Riesgo Operacional [en línea] [Fecha
de la consulta: 22 de enero del 2014]. Disponible en: http://www.pwc.com
/cl/es/cursos/finanzas-y-analisis-cuantitativo/coso-ii-enfoque-para-
administracion-corporativa-de-riesgos.jhtml.
28. “La Administración del Riesgo Empresarial: Una responsabilidad de todos –
el enfoque COSO” [en línea] [Fecha de la consulta: 18 de enero del 2014].
Disponible en: http://ayhconsultores.com/img/COSO.pdf.
29. COSO II – ERM y el Papel del Auditor Interno [en línea] [Fecha de la
consulta: 1 de Febrero del 2014]. Disponible en: http://auditor2006.
119
comunidadcoomeva.com/blog/uploads/1-PresentacinRafaelRuano-
PriceWaterHouseCoopers-COSOII-ERMyelRoldelAuditorInterno.pdf
30. Marco Integrado de Administración de Riesgos Corporativos [en línea] [Fecha
de la consulta: 10 de Febrero del 2014]. Disponible en: http://www.theiia.
org/chapters/pubdocs/263/ERM.pdf.
Libros.-
31. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27000:2012, número de referencia ISO/IEC 27000:2009 (E),
Primera Edición, Quito – Ecuador. 2012.
32. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27001:2011, número de referencia ISO/IEC 27001:2005 (E),
Primera Edición, Quito – Ecuador. 2011.
33. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27002:2009, número de referencia ISO/IEC 27002:2005 (E),
Primera Edición, Quito – Ecuador. 2009.
34. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27003:2012, número de referencia ISO/IEC 27003:2010 (E),
Primera Edición, Quito – Ecuador. 2012.
35. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27004:2012, número de referencia ISO/IEC 27004:2009 (E),
Primera Edición, Quito – Ecuador. 2012.
36. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27005:2012, número de referencia ISO/IEC 27005:2008 (E),
Primera Edición, Quito – Ecuador. 2012.
37. Instituto Ecuatoriano de Normalización - Norma Técnica Ecuatoriana NTE
INEN - ISO/IEC 27006:2012, número de referencia ISO/IEC 27006:2007 (E),
Primera Edición, Quito – Ecuador. 2012.
38. La nueva norma internacional para la seguridad de la información sistemas de
gestión/ Pasar de la norma ISO / IEC 27001:2005 ISO / IEC 27001:2013-
bsigroup.com United Kindom. 2013.
120
39. Open Group Standard- Open Information Security Management Maturity
Model (O-ISM3- Modelo de Madurez de Gestión de Seguridad), The Open
Group, 2011.
40. Modelo de seguridad de la información para la estrategia de gobierno en línea
2.0, República de Colombia, 2011.
41. PERFILES PROFESIONALES PARA SEGURIDAD INFORMATICA Un
enfoque práctico, Universidad Señor de Sipan, Perú, 2009
Trabajo de grado o tesis doctoral.-
42. CHACÓN, Andrés “DEFINICIÓN DE UN MODELO DE SEGURIDAD DE
LA INFORMACIÓN PARA COMPUTACIÓN EN NUBES PRIVADAS Y
COMUNITARIAS”., Trabajo de grado para optar al título de Maestría en
Gestión de Tecnología Informática y Telecomunicaciones, Universidad
ICESI, Cali. COL. 2012. 91p
43. GONZALO, Sandra “GOBIERNO Y MODELADO DE LA SEGURIDAD
DE LA INFORMACIÓN EN LAS ORGANIZACIONES”., Trabajo de grado
para optar al título de Ingeniería Técnica en Informática de Gestión,
Universidad Carlos III de Madrid, ESP. 2011. 332p.
Conferencia, congreso o reunión.-
44. Seminario Regional Tacna (2012, Lima Perú): “Gobierno Electrónico en el
Marco del Proceso Descentralizado y Modernización de la Gestión del
Estado”. Perú. 2012.
45. Tercer Congreso Iberoamericano de Seguridad Informática (2012, Madrid
España) “Hacia un modelo de Gestión de la Seguridad de la Información para
la Pequeña y Mediana Empresa”, Madrid. 2012.
121
ANEXOS
ANEXO 1
Creación del Comité de Seguridad de la Información.
Ambato, XX de XX de 2014
Sr. Segundo Freire Flores
GERENTE DE LA EMPRESA COKA TOURS.
El Sr. Segundo Freire Flores dispone la creación del Comité de Seguridad de la
Información el mismo que se encuentra conformado por la Gerencia, Jefatura del
Departamento de Seguridad de la Información, Jefatura del Departamento de
Tecnología.
Att
Sr. Segundo Freire
Gerente – Coka Tours
122
ANEXO 2
Declaración de Aceptación del Cargo de “Oficial de Seguridad de
la empresa Coka Tours”
Ambato, XX de XX de 2014
Sr. Segundo Freire Flores
GERENTE DE LA EMPRESA COKA TOURS.
De mi consideración:
Dispone al Sr. (Nombres y Apellidos) Jefe del Departamento de Seguridad de la
información el cargo de “Oficial de Seguridad de la Información” de la empresa
“Coka Tours”, quién acepta conocer todos los términos, condiciones, atribuciones
y obligaciones.
Particular que hago de su conocimiento
Atentamente,
Sr. Segundo Freire
Gerente – Coka Tours
123
ANEXO 3
Mapa de Riesgos
Matriz de Riesgos Estratégicos
Matriz de Riesgos Operacional
124
Matriz de Análisis Costo Beneficio Medidas de Mitigación
Plan de Acción de Medidas de Mitigación y Controles
125
ANEXO 4
Registro de Acciones ante una Interrupción
126
BIOGRAFÍA
Mis estudios primarios los realice en la escuela Liceo Juan Montalvo, en la
ciudad de Ambato en que me inculcaron valores como el cortesía,
humildad, y responsabilidad, los estudios secundarios los realice en el
Colegio Particular Indoamerica; en la Universidad Tecnológica
Indoamerica, me gradué como Ingeniero en Sistemas; y ahora tengo el
honor de obtener el título de Magister en Gestión Informática Empresarial,
otorgado por la prestigiosa Universidad Central del Ecuador.
En el ámbito laboral y profesional lo realicé en la culminación de mis
estudios superiores, lo que me permitió desarrollarme en mi profesión, por
lo que trabaje en algunas instituciones privadas, enfocándome en Soporte a
Usuarios, Desarrollo de Proyectos informáticos. La mayor parte de mi
experiencia la tuve en el sector público aportando con mis conocimientos
en ámbito como seguridad de la información, en el área de Evaluaciones
de Seguridad Informáticas y actualmente en el área de Programación y
Normativa de Seguridad de la Información.
Top Related