FACULTAD DE INGENIERÍA DE SISTEMASbibdigital.epn.edu.ec/bitstream/15000/10439/3/CD-6187.pdf ·...

-i-

ESCUELA POLITÉCNICA NACIONAL

FACULTAD DE INGENIERÍA DE SISTEMAS

DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN PARA INSTITUCIONES MILITARES

TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GESTIÓN

DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN

JOSEPH ALEXANDER GUAMÁN SEIS

[email protected]

DIRECTOR: ING. DIANA CECILIA YACCHIREMA VARGAS

[email protected]

Quito, Abril del 2015

http://bibdigital.epn.edu.ec/handle/15000/9310

-ii-

DECLARACIÓN

Yo, Joseph Alexander Guamán Seis, declaro bajo juramento que el trabajo aquí

descrito es de mi autoría; que no ha sido previamente presentada para ningún

grado o calificación profesional; y, que he consultado las referencias bibliográficas

que se incluyen en este documento.

A través de la presente declaración cedo mi derecho de propiedad intelectual

correspondiente a éste trabajo, a la Escuela Politécnica Nacional, según lo

establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la

normativa institucional vigente.

Joseph Alexander Guamán Seis

-iii-

CERTIFICACIÓN

Certifico que el presente trabajo fue desarrollado por Joseph Alexander Guamán

Seis, bajo mi supervisión.

Ing. Diana Yacchirema

DIRECTOR

-iv-

AGRADECIMIENTO

Agradezco a Dios por bendecirme cada día de mi vida y permitirme cumplir este

objetivo.

A la Escuela Politécnica Nacional, a sus autoridades, profesores y facilitadores

que compartieron su conocimiento y experiencias que fue de gran utilidad en la

carrera, un agradecimiento muy especial a la Ingeniera Diana Yacchirema y al

Doctor Enrique Mafla por sus lineamientos, predisposición, paciencia y guía para

la elaboración de este proyecto.

A la Armada del Ecuador, en especial a la Dirección de Tecnologías de la

Información y Comunicaciones por el apoyo brindado en la consecución de este

trabajo.

A mi familia por la paciencia e impulso en la culminación de este sueño.

-v-

DEDICATORIA

El presente trabajo lo dedico a mi Madre quien descansa en la paz del Señor

desde el año 1976 junto a mis abuelitas Margarita y Petrona. A mi padre

Rosendo, mis tíos, mis hermanas, mis sobrinos, mis primos y todos mis seres

queridos que los llevo en mi corazón. A mi adorada hija Dafna Jordana quien me

prestó el tiempo que le pertenecía y me motivó siempre con sus notitas “no te

rindas”, “tu puedes” ¡Gracias mi muñeca de oro!, a Aníbal Sebastián y Franz

Alexander que son mi inspiración y a todas aquellas personas que de una u otra

forma colaboraron en la realización de este gran sueño hecho realidad.

Joseph

-vi-

CONTENIDO

CAPÍTULO 1. EL PROBLEMA .............................................................................. 1

1.1. DEFINICIÓN DEL PROBLEMA................................................................... 2

1.2. OBJETIVO DE LA INVESTIGACIÓN ........................................................... 3

1.2.1. OBJETIVO GENERAL ........................................................................... 3

1.2.2. OBJETIVOS ESPECÍFICOS .................................................................. 3

1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 4

1.4. ALCANCE Y LIMITACIONES...................................................................... 5

CAPITULO 2. MARCO TEÓRICO ......................................................................... 7

2.1. ANTECEDENTES DE LA INVESTIGACIÓN ............................................... 7

2.2. BASES TEÓRICAS ..................................................................................... 8

2.2.1. SEGURIDAD INFORMÁTICA ............................................................... 8

2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS ......................... 10

2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA ....................... 11

2.2.4. OBJETIVOS DE LA SEGURIDAD ...................................................... 12

2.2.5. TÉRMINOS DE RIESGO .................................................................... 14

2.2.6. FACTORES DE RIESGO ................................................................... 14

2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN ................................... 17

2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ......... 19

2.3.1. ISO/IEC 27001:2005 ............................................................................ 19

2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO ......................... 23

2.4. BASES LEGALES ..................................................................................... 26

2.4.1. ESTÁNDARES INTERNACIONALES .................................................. 26

2.4.2. LEYES NACIONALES ........................................................................ 27

2.4.3 NORMATIVA INTERNA ....................................................................... 27

2.5. SISTEMA DE VARIABLES........................................................................ 27

-vii-

2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN ............................................................................................. 30

CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN PARA INSTITUCIONES MILITARES ......................................... 33

3.1. ALCANCE DEL DISEÑO DEL SGSI ......................................................... 33

3.2. DISEÑO DE LA INVESTIGACIÓN ............................................................ 34

3.2.1. FASE I DIAGNÓSTICO ......................................................................... 35

3.2.2. POBLACIÓN Y MUESTRA .................................................................... 35

3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........ 37

3.2.4. VALIDEZ DEL INSTRUMENTO ............................................................. 39

3.2.5. CONFIABILIDAD DEL INSTRUMENTO ................................................ 40

3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS .......................................... 42

3.2.7. RESULTADOS ....................................................................................... 42

3.2.8 OBSERVACIÓN DIRECTA ..................................................................... 72

3.2.9 CONCLUSIONES DEL DIAGNÓSTICO ................................................. 76

3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO ....................................... 78

3.3 FASE II FACTIBILIDAD ............................................................................. 79

3.3.1 FACTIBILIDAD OPERATIVA ............................................................... 80

3.3.2 FACTIBILIDAD TÉCNICA .................................................................... 81

3.3.3 FACTIBILIDAD ECONÓMICA ............................................................. 82

3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI .......................... 83

3.4.1 DISEÑO DEL SGSI .............................................................................. 83

CAPÍTULO 4. APLICACIÓN DEL DISEÑO DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES. ...... 86

4.1 DESCRIPCIÓN DE LA PROPUESTA ........................................................ 86

4.3 ALCANCE DEL DISEÑO DEL SGSI. ......................................................... 87

4.3 POLÍTICA DE UN SGSI ............................................................................. 91

-viii-

4.4 ENFOQUE DE EVALUACIÓN DE RIESGO .............................................. 93

4.5 IDENTIFICACIÓN DEL RIESGO ............................................................... 94

4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS ................................................. 94

4.5.2 IDENTIFICACIÓN DE AMENAZAS ..................................................... 97

4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES.................................... 110

4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES ....................... 118

4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN ................... 136

4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO

DEL RIESGO .................................................................................................. 148

4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y CONTROLES PARA

EL TRATAMIENTO DEL RIESGO .................................................................. 149

4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA DIRECCIÓN, DE LOS

RIESGOS RESIDUALES PROPUESTOS. ..................................................... 152

4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA

IMPLEMENTAR Y OPERAR EL SGSI. ........................................................... 154

4.11 DECLARACIÓN DE APLICABILIDAD .................................................... 156

4.12 FACTIBILIDAD ....................................................................................... 161

4.12.1 FACTIBILIDAD OPERATIVA ........................................................... 161

4.12.2 FACTIBILIDAD TÉCNICA ................................................................ 164

4.12.3 FACTIBILIDAD ECONÓMICA ......................................................... 170

CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES.............................. 184

5.1 CONCLUSIONES .................................................................................... 184

5.2 RECOMENDACIONES ............................................................................ 186

REFERENCIAS BIBLIOGRAFÍCAS ................................................................... 188

ANEXOS ............................................................................................................ 192

-ix-

ANEXO A. ESTRUCTURA ORGANIZACIONAL DE LA DIRTIC

ANEXO B. ESTRUCTURA ORGANIZACIONAL DEL CETEIN

ANEXO C. INSTRUMENTO DE RECOLECCIÓN DE DATOS

ANEXO D. FORMATO PARA LA REVISIÓN Y VALIDACIÓN DEL

INSTRUMENTO DE RECOLECCIÓN DE DATOS

ANEXO E. CÁLCULO DE LA CONFIABILIDAD. MÉTODO ALPHA DE

CROMBACH

ANEXO F. TABLA A1.1 OBJETIVOS DE CONTROL Y CONTROLES DE LA

NORMA ISO/IEC 27001:2005

ANEXO G. LOCALIZACIÓN DE LA DIRTIC Y CETEIN

ANEXO H. POLITÍCA DE SEGURIDAD DE LA INFORMACIÓN DE LA DIRTIC

ANEXO I. VERIFICACIÓN DE LAS VULNERABILIDADES

ANEXO J. PROCEDIMIENTOS CORRESPONDIENTES A LOS CONTROLES

6.3.1, A9.3.1 y A.9.5.4

ANEXO K. CRONOGRAMA DE IMPLEMENTACIÓN DEL SISTEMA DE

GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

-x-

ÍNDICE DE FIGURAS

Figura 1. Historia de ISO 27001. .......................................................................... 20

Figura 2. Familia de estándares de la ISO 27000. ............................................... 21

Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC

27001:2005. ......................................................................................................... 22

Figura 4: Enfoque a procesos del ISO 27001:2005 .............................................. 23

Figura 5. Metodología de las elipses de Dirección de Tecnologías de la

Información y Comunicaciones. ........................................................................... 90

Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la

Información y Comunicaciones. ........................................................................... 91

-xi-

ÍNDICE DE GRÁFICOS

Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de

Seguridad. ............................................................................................................ 44

Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre

Organización de la Seguridad de la Información. ................................................. 47

Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de

Activos. ................................................................................................................. 49

Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad

de Recursos Humanos. ........................................................................................ 52

Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad

Física y Ambiental. ............................................................................................... 55


Comunicaciones y Operaciones. .......................................................................... 59

Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de

Accesos. ............................................................................................................... 62

Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición,

Desarrollo y Mantenimiento de Sistemas de Información. ................................... 65


Incidente de Seguridad de la Información. ........................................................... 67


Continuidad del Negocio. ..................................................................................... 69

Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre

Cumplimiento. ...................................................................................................... 71

-xii-

ÍNDICE DE TABLAS

Tabla 1. Operacionalización de las Variables....................................................... 28

Tabla 2. Descripción de la Población de la DIRTIC. ............................................ 36

Tabla 3. Criterios de Confiabilidad. ..................................................................... 42

Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión

Políticas de Seguridad. ........................................................................................ 44


de la Organización de la Seguridad de la Información. ........................................ 46


Gestión de Activos. .............................................................................................. 49


Seguridad de Recursos Humanos. ....................................................................... 51


Seguridad Física y Ambiental. .............................................................................. 54


Gestión de Comunicaciones y Operaciones......................................................... 58


Control de Accesos. ............................................................................................. 62


Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. ............... 65


Gestión de Incidente de Seguridad de la Información. ......................................... 67


Gestión de Continuidad del Negocio. ................................................................... 69


Cumplimiento. ...................................................................................................... 70

Tabla 15. Observación directa. ............................................................................ 73

Tabla 16. Activos Primarios clasificados. ............................................................. 95

Tabla 17. Amenazas definidas. ............................................................................ 97

-xiii-

Tabla 18. Cruce de las amenazas Vs. Activos. ................................................. 105

Tabla 19. Vulnerabilidades clasificadas. ........................................................... 110

Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la

Información y Comunicaciones. ......................................................................... 118

Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores

(Activo 2.32). ...................................................................................................... 119

Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores

(Activo 2.32). ...................................................................................................... 120

Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores

(Activo 2.32). ...................................................................................................... 121

Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y

Aplicaciones. (Activo 7.1) ................................................................................... 122

Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y

Aplicaciones. (Activo 7.1) ................................................................................... 122

Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones.

(Activo 7.1) ......................................................................................................... 124

Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1

(Activo 4.3). ........................................................................................................ 125

Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). 126

Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1

(Activo 4.3). ........................................................................................................ 127

Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4

(Activo 4.3). ........................................................................................................ 129

Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3).. 130

Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4

(Activo 4.3). ........................................................................................................ 131

Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3). 133

Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). ..................... 133

Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3). ..... 135

Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. ....... 139

Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 .... 140

Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones.

Activo 7.1............................................................................................................ 141

-xiv-

Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3)

........................................................................................................................... 142

Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3).

........................................................................................................................... 143

Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3).

........................................................................................................................... 144


........................................................................................................................... 146

Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). .............. 146

Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3). ................. 148

Tabla 47. Plan de tratamiento del riesgo. .......................................................... 150

Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la

Información. ........................................................................................................ 156

Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática

de la DIRTIC. ...................................................................................................... 164

Tabla 50. Equipamiento necesario de la DIRTIC. ............................................. 167

Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC.

........................................................................................................................... 171

Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática

de la DIRTIC. ...................................................................................................... 172

Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad

Telemática de la DIRTIC. ................................................................................. 172

Tabla 54. Consumo de energía de los quipos informáticos del Dpto.

Normalización y Seguridad Telemática de la DIRTIC. ..................................... 174

Tabla 55. Costo Total del Diseño. ..................................................................... 174

Tabla 56. Tasa de Descuento. .......................................................................... 179

Tabla 57. Depreciación anual de Equipos Informáticos. ................................... 179

Tabla 58. Ingresos anuales durante los 3 años. ................................................ 181

Tabla 59. Flujo de Caja del Proyecto. ............................................................... 182

Tabla 60. Resultados de los Índices de Evaluación. ......................................... 183

-xv-

RESUMEN

El presente trabajo de tesis tiene como objetivo principal Diseñar un Sistema de

Gestión de Seguridad de la Información para Instituciones Militares, que incorpore

estándares internacionales ajustados al campo militar y nuevas tecnologías de la

información y comunicaciones con el fin de contribuir a la modernización de las

Instituciones Militares, tomando como caso de estudio en la Armada del Ecuador

a la Dirección de Tecnologías de la Información y Comunicaciones.

Se desarrolló bajo la modalidad de estudios de proyecto apoyado tanto en una

investigación de campo como en la investigación monográfica documental que

permitió la elaboración y desarrollo de una propuesta de un modelo operativo

viable para solventar los problemas de seguridad de la información de las

Instituciones Militares y de la Dirección de Tecnologías de la Información y

Comunicaciones.

La metodología utilizada se sustentó en tres fases fundamentales, la primera el

estudio diagnóstico, la segunda la factibilidad; y la tercera el diseño de un Sistema

de Gestión de Seguridad de la Información para Instituciones Militares, tomando

como referencia la Norma ISO 27001:2005 y usando una combinación de

metodologías para la evaluación de los riesgos que ayude a la toma de decisión

sobre las opciones de tratamiento de riesgo adecuado.

Este estudio consta de cinco capítulos en los cuales se desarrolla cada tema que

permite obtener, aplicar y conocer los resultados de la propuesta del diseño: el

Capítulo 1, conformado por el problema, en el cual se desarrolló el planteamiento

del problema, objetivos de la investigación, justificación e importancia, alcance y

-xvi-

limitaciones del objeto de estudio. Capítulo 2, denominado Marco Teórico, que

contiene los antecedentes de investigación, bases teóricas, bases legales y

sistema de variables. Capítulo 3, Diseño de Un Sistema de Gestión de Seguridad

de la Información para Instituciones Militares, contiene la naturaleza y diseño de la

investigación con la descripción de las fases del proyecto. Capítulo 4, Aplicación

de un Diseño de Un Sistema de Gestión de Seguridad de la Información para

Instituciones Militares, el cual muestra la justificación, objetivos y descripción de la

propuesta. Capítulo 5, se exponen las conclusiones y recomendaciones de la

investigación. Finalmente, se presentan las referencias bibliográficas y los anexos

correspondientes.

-1-

CAPÍTULO 1. EL PROBLEMA

El uso inadecuado de los recursos tecnológicos en Instituciones Militares, hace

que tengan serios problemas de seguridad, esto deriva del aumento desmesurado

de los índices de delitos informáticos. (Interfutura, 2012).

Alexander Cuenca, especialista de seguridad informática y protección de datos,

expresa que las denuncias presentadas por delitos informáticos la mayoría de

tipos penales se concentra en el hurto, usurpación de claves, estafa y falsificación

electrónica, además existen bandas especializadas en estos ilícitos y le sacan

provecho, sobre todo, monetario, en el país operarían piratas informáticos del

Perú y Colombia y en Pichincha hay más denuncias, comparando con Guayas: en

2012, en la primera hubo 1.150, y en la segunda provincia 693.

En la actualidad, uno de los temas de mayor importancia y trascendencia de toda

la sociedad, es la seguridad y resguardo de la información, más aun las

Instituciones Militares que tienen información secreta y clasificada.

En un caso puntual y real, el grupo de activistas informáticos Anonymus atacó en

el 2011, las bases de datos de la Policía Nacional, según datos proporcionados

por seguridadydefensa.com.ec, esta agrupación publicó la información personal

de más de 45000 policías en la operación denominada Cóndor Libre.(Infobae,

2011).

-2-

Se ha demostrado en la actualidad, que la filtración de documentos e información

confidencial de Instituciones Militares ha provocado problemas muy serios, un

ejemplo de esto son los casos Snowden y Assange. Se ve la necesidad urgente

de un sistema de seguridad para precautelar información tan sensible como es la

de las Instituciones Militares (El Comercio, 2013), (AFP/ Ben Stansall, 2013).

1.1. DEFINICIÓN DEL PROBLEMA

Las Instituciones Militares conformadas por la Fuerza Terrestre, Armada del

Ecuador y Fuerza Aérea, manejan información calificada que se utiliza a través

del Sistema de Comunicaciones, la cual necesita ser protegida.

La Armada del Ecuador posee el Sistema de Comunicaciones Navales (SCN)1,

que es una infraestructura informática que interconecta a los repartos navales y

militares de las Fuerzas Armadas, que se utilizada para trasmitir información

(voz, datos y video), servicios automatizados y sistemas corporativos. (D.G.P.

COGMAR-INF-002-2010-O, 2010).

La utilización de los servicios y sistemas corporativos a través del Sistema de

Comunicaciones Navales y el acceso indebido a la información en determinadas

redes locales, requieren la implementación de seguridades para el uso de estos

servicios por los usuarios de los repartos navales.

Se ha detectado accesos indebidos a las redes administrativas debido a los

diferentes puntos de internet que existen en las instituciones Militares, también se

1 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Es una infraestructura de intranet que utiliza las Fuerzas Armadas.

-3-

ha detectado la falta de implementación de políticas de seguridad así como el

limitado personal especializado existente para implementar tales políticas.

Es necesario realizar el Diseño de un Sistema de Gestión de Seguridad de la

Información para Instituciones Militares, que minimicen los riesgos físicos y

lógicos de la información que se transmite, procesa, almacena y distribuye a

través del Sistema de Comunicaciones, para la utilización de los servicios y

sistemas por los usuarios de los repartos militares y navales.

Para el diseño se utilizará las normas ISO/IEC 27001:2005, que permita aplicar

controles, con la finalidad de garantizar la confidencialidad, integridad y

disponibilidad de la información. (INEN, 2009)

1.2. OBJETIVO DE LA INVESTIGACIÓN

1.2.1. OBJETIVO GENERAL

Diseñar un Sistema de Gestión de Seguridad de la Información para Instituciones

Militares, que incorpore estándares internacionales ajustados al campo militar y

nuevas tecnologías de la información y comunicaciones con el fin de contribuir a

la modernización de las Instituciones Militares.

1.2.2. OBJETIVOS ESPECÍFICOS

· Evaluar los riesgos de seguridad de la información en las Instituciones

Militares

· Analizar los requerimientos de seguridad de la información.

-4-

· Diseñar un Sistema de Gestión de Seguridad de Información para

Instituciones Militares.

1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

El crecimiento acelerado de la tecnología, ha generado graves problemas de

vulnerabilidad en las organizaciones, con riesgos e inseguridad así como fraudes

informáticos, espionaje, sabotaje, virus informático y ataques de intrusión o

negación de servicios.

Este tipo de vulnerabilidades ha provocado que en las instituciones militares, se

tomen medidas preventivas de seguridad para evitar que la información sea

robada o alteradas por terceros con la finalidad de minimizar las amenazas y

tratar de mantener la confidencialidad, integridad y disponibilidad de la

información.

Las Instituciones Militares necesitan el Diseño de un Sistema de Gestión de

Seguridad de la Información, que afirme la obtención, procesamiento,

almacenamiento y difusión de la información segura a través del Sistema de

Comunicaciones y contribuya a su empleo eficaz y eficiente en el cumplimiento de

los Objetivos Estratégicos Institucionales.(PDETIC, 2012)

En la Armada del Ecuador existe la D.G.P. COGMAR-INF-002-2010-O; 12-JUL-

2010. Directiva de Seguridad de la Información, en la cual establece las Políticas

de Seguridad de la Información para la Armada, como las normas básicas de

Seguridad de la Información que deben ser acatadas por los repartos Navales.

-5-

El Diseño del Sistema de Seguridad del Información establecerá nuevas políticas

de seguridad, reglas, planes y acciones para asegurar la información y mejorar la

gestión de la seguridad, socializando en los miembros de la Institución la

importancia y sensibilidad de la información y la seguridad.

1.4. ALCANCE Y LIMITACIONES

El presente proyecto, permitirá efectuar el Diseño de un Sistema de Gestión de

Seguridad de la Información para Instituciones Militares, basado en la norma

ISO/IEC 27001:2005 para los sistemas de información, se realizará en la Armada

del Ecuador, tomando como caso de estudio la Dirección de Tecnologías de la

Información y Comunicaciones.

Se realizará la evaluación de los riesgos de seguridad de la información en las

instituciones militares, para determinar la necesidad de realizar el Diseño de un

Sistema de Gestión de Seguridad de la Información para Instituciones Militares,

mediante el análisis general de la situación actual de la seguridad de la

información para los sistemas de información en la Dirección de Tecnologías de

la Información y Comunicaciones.

Se analizarán los requerimientos de seguridad de la información mediante la

verificación de la factibilidad operativa, técnica y económica para el Diseño de un


determinando la viabilidad del proyecto y una inversión adecuada para la

institución.

Finalmente se realizará el Diseño de un Sistema de Gestión de Seguridad de la

Información para Instituciones Militares, como un caso de estudio la Dirección de

Tecnologías de la Información y Comunicaciones.

-6-

Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información

para Instituciones Militares permitirá que los riesgos de la seguridad de la

información sean asumidos, gestionados y minimizados por la Institución de una

forma evaluada, documentada y estructurada.

Debido a la estructura organizacional de las Fuerzas Armadas, el ámbito de

aplicación del presente trabajo, alcanza a repartos militares donde existe una

relación jerárquica militar o de subordinación, la metodología que en él se

propone se centra en la Dirección de Tecnologías de la Información y

Comunicaciones, subordinada a la Armada del Ecuador, en la que aportará

aspectos metodológicos, lineamientos y políticas de seguridad de la información

para la institución.

En cuanto a las limitaciones es importante tomar en cuenta que los aspectos que

conforman la confidencialidad de la información en las Instituciones Militares, son

un factor importante en el desarrollo de la investigación y es por eso que la

información mostrada de la Armada del Ecuador y de la Dirección de Tecnologías

de la Información y Comunicaciones es referencial y solo para efectos

académicos respectivos, en vista que la información militar2 es secreta y

confidencial.

Para la implementación, operación, revisión, mantenimiento y mejora del Sistema

de Gestión de Seguridad de la Información para Instituciones Militares sólo se

especificará los lineamientos generales.

2 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.

-7-

CAPITULO 2. MARCO TEÓRICO

2.1. ANTECEDENTES DE LA INVESTIGACIÓN

La seguridad de la información es un factor de gran importancia para las

instituciones militares ya que les proporciona integridad, confiabilidad y

disponibilidad de los datos e información que se transmite por medio del Sistema

de Comunicaciones. (D.G.P. COGMAR-INF-002-2010-O, 2010).

El presente trabajo de investigación aportará a la Dirección de Tecnologías de la

Información y Comunicaciones así como a las Instituciones Militares una guía

metodológica para la gestión de riesgos en seguridad de información, con la

posibilidad de mejorar sus esfuerzos en la administración de TI mediante la

inclusión de controles de seguridad.

Esta guía una serie de lineamientos básicos para la evaluación de seguridad en

un sistema, con el objeto de articular diversos conceptos y técnicas para la

identificación y valoración de riesgos. (Santos, 2001).

La guía metodológica permitirá determinar que las Instituciones Militares cuenten

con registros acerca de los incidentes de seguridad, lo que facilita la labor de

determinar el impacto de los riesgos en términos económicos, necesitando

considerarse en la mayoría de los casos una serie matrices de impacto de los

riesgos en términos cualitativos.

-8-

Es fundamental que las Instituciones militares registren los incidentes de

seguridad con el fin de dar mayor confiabilidad y mejorar los resultados en el ciclo

de vida del análisis de riesgos.

2.2. BASES TEÓRICAS

El presente trabajo tiene como objeto establecer el Diseño de un Sistema de

Gestión de Seguridad de la Información para las Instituciones Militares, basado en

el estándar (ISO/IEC 27001:2005, 2005).

Se trabajará en base a los conceptos establecidos que son: Seguridad

Informática, Seguridad en los Sistemas Informáticos, Propiedades de la Seguridad

Informática, Objetivos de la Seguridad, Términos de Riesgos, Factores de

Riesgos, Análisis del Riesgo y su Evaluación, Medidas de Seguridad,

Estandarización y Seguridad de las Tecnología de Información, Sistema de

Gestión de Seguridad de la Información, y Herramientas para el Análisis de

Riesgo.

2.2.1. SEGURIDAD INFORMÁTICA

(Alexander, 2007), Define a la seguridad como aquellas reglas técnicas y

actividades destinadas a prevenir, proteger y resguardar lo que es considerado

como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o

empresarial, por esta razón la información es el elemento principal a proteger,

resguardar y recuperar en las Instituciones Militares.

Es necesario considerar otras definiciones importantes al momento de hablar de

seguridad informática, estas son:

-9-

Activo: Recurso del sistema de información o relacionado con éste, necesario

para que la organización funcione correctamente y alcance los objetivos

propuestos. Cualquier cosa que tenga valor para la organización.

Amenaza: Es un evento que puede desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en sus

activos.

Impacto: Consecuencia de la materialización de una amenaza.

Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en

un dominio o en toda la organización.

Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza

sobre un activo.

Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del

sistema.

Desastre o Contingencia: Interrupción de la capacidad de acceso a información

y procesamiento de la misma a través de computadoras necesarias para la

normal operación de un negocio.

Un riesgo y una vulnerabilidad se podrían englobar en un mismo concepto, una

definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo

que la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto.

-10-

En el área de informática, existen varios riesgos tales como: ataque de virus,

códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la

adopción de Internet como instrumento de comunicación y colaboración, los

riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de

negación de servicio y amenazas combinadas; es decir, la integración de

herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y

capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos

o aplicaciones para dañar los recursos informáticos.

Para los ataques de negación de servicio, el equipo de cómputo ya no es un

blanco, es el medio a través del cual es posible afectar todo el entorno de red; es

decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web

Site de la institución. Los riesgos están en la red y en menor grado en la

computadora.

En las Instituciones Militares se protegerá la información que se trasmite a través

del Sistema de Comunicaciones para la utilización de los Sistemas Informáticos

por parte de los usuarios de los Repartos Militares.

2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS

La alta informatización de la sociedad actual ha conllevado el aumento de los

denominados delitos informáticos, por lo cual (Hernández E. , 2003)3, señalan que

un sistema informático es seguro si se puede confiar en él y si se comporta de

acuerdo a lo esperado.

3 Hernández, Enrique 2003. Seguridad y Privacidad en los Sistemas Informáticos

-11-

La seguridad en los sistemas informáticos es un conjunto de soluciones técnicas,

métodos y planes con el objetivo de que la información que trata los sistemas

informáticos sea protegida así como establecer un plan de seguridad en el cual

se definan las necesidades y objetivos en cuestiones de seguridad.

Es primordial indicar que la seguridad genera un costo y que la seguridad

absoluta es imposible, por tal motivo se debe definir cuáles son los objetivos y a

qué nivel de seguridad se quiere llegar, por lo tanto la seguridad en los sistemas

informáticos de las instituciones militares se tiene que planificar haciendo un

análisis del costo-beneficio.

2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA

Se tomará en cuenta las definiciones hechas por (Alexander, 2007), sobre los

atributos o propiedades principales que debe brindar un sistema de seguridad:

· Confidencialidad: controlar quién puede leer la información (acceso) e

impedir que información confidencial sea entregada a receptores no

autorizados. Propiedad de que la información no está disponible o

divulgada a individuos, entidades o procesos no autorizados.

· Disponibilidad: asegurar que los sistemas trabajen prontamente con un

buen desempeño y garantizar protección y recuperación del sistema en

caso de ataque o desastre. Propiedad de estar accesible y utilizable bajo

demanda de una entidad autorizada.

-12-

· Integridad: asegurar que la información recibida sea exactamente igual a

la información enviada, es decir que no ha sido dañada por errores de

transmisión o alterada intencionalmente en su contenido o en su

secuencia. Propiedad de salvaguardar la exactitud y la totalidad de los

activos.

· Autenticidad: garantizar que la información no es una réplica de

información vieja la cual se quiere hacer pasar por información fresca, y

que efectivamente proviene de una fuente genuina.

· Identificación y control de acceso: Verificar la identidad de las personas.

Autorizar y controlar quién y cómo se accede a los datos y los recursos de

un sistema.

La confidencialidad y el control de acceso trabajan conjuntamente para proteger la

información contra personas no autorizadas, mientras que permiten que los

usuarios autorizados tengan acceso utilizando técnicas de identificación,

usualmente por medio del nombre de usuario (username) más su contraseña

(password). La integridad se garantiza por medio de bits de chequeo (checksums)

que se añaden a la información y la autenticidad por medio de extractos (hash) y

otros mecanismos.

2.2.4. OBJETIVOS DE LA SEGURIDAD

La labor principal en seguridad informática es el aislamiento de los actos no

deseables, y la prevención de aquellos que no se hayan considerado, de forma

-13-

que si se producen hagan el menor daño posible. Al respecto, (D.G.P. COGMAR-

INF-002-2010-O, 2010)4, señala los objetivos que se deben llevar a cabo:

· Identificación de los usuarios: Existen varias técnicas, entre las que se

encuentran las contraseñas (passwords), o sistemas más sofisticados

como reconocimientos del habla, huella dactilar o la retina del ojo.

· Detección de intrusos en la red: Se debe detectar y actuar sobre

cualquier acceso no autorizado a un sistema. El objetivo es la detección de

intrusos en tiempo real, antes de que el sistema haya sido dañado

seriamente.

· Análisis de riesgo: Intenta cuantificar los beneficios obtenidos con la

protección contra amenazas de seguridad. El riesgo es función de la

frecuencia con la que se producen dichas amenazas, vulnerabilidad de la

protección contra las mismas y las pérdidas potenciales que se produjesen

en el caso de que se diese una.

· Clasificación apropiada de los datos: En la gestión de seguridad llegan

gran cantidad de datos provenientes de los últimos programas de control

generados a partir de las actuaciones que llevan a cabo los usuarios en el

sistema. Es importante para una buena supervisión de la seguridad, el

clasificar los datos convenientemente, de tal forma que se ahorre tiempo en

su análisis.

· Control de las nuevas aplicaciones: Cuando se instala una nueva

aplicación se debe comprobar que no introduzca nuevas brechas de

seguridad especialmente si se ejecuta con permisos de root.

4 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Anexo “A”. Términos y definiciones

-14-

· Análisis de los accesos de los usuarios: Es necesario tener un control

para poder detectar intentos de acceso no autorizados.

2.2.5. TÉRMINOS DE RIESGO

La problemática en la seguridad de la información ha sido enfrentada con criterios

tomados de otras disciplinas. Estos enfoques han dado lugar al uso de términos

diferentes con significados no muy claros. (De Freitas, 2009), señala los

siguientes casos:

a) Valorización del riesgo: analizar las amenazas a un sistema de información, las

vulnerabilidades del mismo y el impacto potencial si se concretan dichas

amenazas.

b) Evaluación del riesgo: evaluación del riesgo respecto algún criterio de

seguridad, por ejemplo una norma.

c) Análisis de riesgo: Identificación y valuación de los niveles de riesgo de activos,

amenazas y vulnerabilidades.

d) Gestión de riesgo: Determinación de la estrategia efectiva en costo, del

tratamiento y procedimientos a aplicar a partir de los resultados de la valuación,

por ejemplo: 1) Aceptarlos, 2) Minimizarlos, identificando, seleccionando e

implementando contramedidas (salvaguardas) para su reducción a niveles

aceptables, y 3) Transferirlos.

2.2.6. FACTORES DE RIESGO

El riesgo es la combinación de una amenaza que aprovecha alguna vulnerabilidad

de un activo para impactarlo y causarle daño. (Alexander, 2007), señalas los

siguientes factores de riesgos:

-15-

Activos: cualquier bien que necesite protección, frente a posibles situaciones de

pérdida de condiciones como son la Confidencialidad, Integridad o Disponibilidad.

La confidencialidad es la propiedad de que la información no está disponible o

divulgada a individuos, entidades o procesos no autorizados, la integridad es la

propiedad de salvaguardar la exactitud y la totalidad de los activos y la

disponibilidad es la propiedad de estar accesible y utilizable bajo demanda de una

entidad autorizada.

Un activo de información es algo a lo que una institución le asigna un valor y, por

lo tanto, la organización debe proteger. Asimismo, los clasifica en las siguientes

categorías:

a) Activos de información (Datos, manuales de usuarios)

b) Documentos de papel (contratos)

c) Activos de software (aplicación, software de sistemas)

d) Activos físicos (computadoras, medios magnéticos)

e) Personal (Clientes, personal)

f) Imagen de la institución y reputación

g) servicios (comunicaciones)

Como se observa, los activos de información son muy amplios es por eso que

(Alexander, 2007), señala que se debe realizar un correcto análisis y una

evaluación del riesgo y establecer adecuadamente el modelo ISO 27001:2005.

-16-

En las Instituciones Militares, el proceso de identificación y de tasación de activos

debe realizarlo un grupo multidisciplinario compuesto por personas involucradas

en los procesos y subprocesos que abarca el alcance del modelo.

Los activos se consideran y categorizar por su criticidad en cuanto a lo que

significan para las operaciones. El análisis tiende a establecer una cantidad de

niveles que generalmente no baja de cinco y que en algunos casos puede llegar a

diez.

Vulnerabilidades: son los puntos débiles relacionados con los activos

organizacionales, operacionales, físicos y de sistemas TI en las Instituciones.

Los niveles de vulnerabilidad se pueden estimar en función de: severidad, dado

por los recursos necesarios para aprovechar la vulnerabilidad y el efecto en el

activo, y el grado de exposición, extensión del efecto básico, facilitando la

explotación de otras vulnerabilidades del mismo activo y/o se extiende a otros

activos.

Las amenazas son acciones que pueden causar daño en un activo de las

Instituciones Militares. Se las puede clasificar por fuerza mayor, deficiencias

organizacionales, fallas humanas, fallas técnicas y actos deliberados.

Los niveles de vulnerabilidad pueden estimarse de acuerdo a la capacidad y

motivación del agente provocador, la concreción de una amenaza provoca un

impacto en un activo, dicho impacto y la probabilidad de ocurrencia a lo largo del

tiempo pueden usarse como medida del efecto de una amenaza.

-17-

2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN

El análisis del riesgo es la utilización sistemática de la información para identificar

las fuentes y estimar el riesgo (NTE INEN, ISO/IEC 27002:2009, 2009)5. El

objetivo del análisis del riesgo es identificar y calcular los riesgos basados en la

identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades.

Los riesgos se calculan de la combinación de los valores de los activos, que

expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y

del cálculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se

junten y causen un incidente.

En las Instituciones Militares una vez efectuado el cálculo del riesgo por cada

activo, en relación de su amenaza, se debe determinar cuáles son aquellas

amenazas cuyos riesgos son los más significativos, este proceso se denomina

evaluación del riesgo.

Luego de analizar el riesgo, se debe iniciar un proceso de toma de decisiones

con respecto a cómo se tratará el riesgo, la decisión está influenciada por dos

factores:

1) El posible impacto si el riesgo se pone de manifiesto.

2) Qué tan frecuente puede suceder, estos factores dan una idea de la pérdida

esperada si el riesgo ocurriera, si nada se hiciera para mitigar este riesgo.

5 NTE INEN - ISO/IEC 27002:2009. Tecnologías de la Información - Técnicas de Seguridad - Código de Práctica para la Gestión de la Seguridad de la Información

-18-

Se debe seguir las siguientes estrategias para el tratamiento del riesgo:

a) Reducción del riesgo: Para todos aquellos riesgos donde la opción de

reducirlos se ha tomado, se deben implementar controles apropiados para poder

reducirlos al nivel que se haya definido como aceptable.

Estos controles pueden reducir el riesgo estimado en dos maneras: reduciendo la

posibilidad de que la vulnerabilidad sea explotada por la amenaza y reduciendo el

posible impacto si el riesgo ocurriese.

b) Aceptar el riesgo: Muchas veces se presenta la situación en la cual la

organización no encuentra controles para mitigar el riesgo, o en la cual la

implantación de controles tiene un costo mayor que las consecuencias del riesgo.

c) Transferencia del riesgo: la transferencia del riesgo es una opción cuando es

difícil reducir o controlar el riesgo a un nivel aceptable, la alternativa de

transferencia a una tercera parte es más económica ante estas circunstancias.

Existen mecanismos para transferir los riesgos a otra organización; por ejemplo,

utilizar una aseguradora o la utilización de terceros para manejar activos o

procesos críticos, en la medida en que tengan capacidad de hacerlo.

d) Evitar el riesgo: se entiende cualquier acción orientada a cambiar las

actividades, o la manera de desempeñar una actividad comercial en particular,

para así evitar la presencia del riesgo. El riesgo puede evitarse por medio de: no

desarrollar ciertas actividades comerciales (por ejemplo: la no utilización de

-19-

Internet), mover los activos de un área de riesgo y decidir no procesar información

particularmente sensitiva.

2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN

El modelo ISO 27001:20056 define a un SGSI como “la parte del sistema de

gestión global, basada en una orientación a riesgo de negocio, para establecer,

implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la

información”.

El modelo ISO 27001:2005 define a un Sistema de Gestión de Seguridad de la

Información como “la parte del sistema de gestión global, basada en una

orientación a riesgo de negocio, para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar la seguridad de la información”.

ISO 27001:2005 define la seguridad de la información como la “preservación de la

confidencialidad, integridad, no repudio y confiabilidad”. A continuación se hace

referencia a la Norma ISO 27001:2005, la nueva familia 27000.

2.3.1. ISO/IEC 27001:2005

El origen es británico y en el año 2005, la Organización Internacional para la

Normalización (ISO) la oficializó como norma. La Figura 1, muestra la historia de

la ISO 27001 a lo largo del tiempo.

6 ISO/IEC 27001:2005. Estándar Internacional. Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de Seguridad de la Información - Requerimientos.

-20-

Figura 1. Historia de ISO 27001.

Fuente: http://www.iso27000.es

En Marzo de 2006, posteriormente a la publicación de la ISO 27001:2005, BSI

publicó la BS 7799-3:2006, la cual está centrada en la gestión del riesgo de los

sistemas de información y servirá como base a la ISO 27005.

A semejanza de otras normas ISO, la 27000 es realmente una serie de

estándares, la cual se encuentra estructurada como se muestra en la Figura 2.

ISO 27005: En fase de desarrollo publicada en el año 2008. Consiste en una guía

para la gestión del riesgo de la seguridad de información y sirve de apoyo a la ISO

27001 y a la implantación de un SGSI. Se basa en la BS 7799-3:2006.

-21-

ISO 27000 SGSI

“Fundamentos y vocabularios”

ISO/IEC 27001:2006

Requerimientos

ISO/IEC 27002:2007

(ISO 17799: 2005)

ISO/IEC 27003

“Lineamientos para la Implementación”

ISO/IEC 27004

Lineamientos “Métrica y Mediciones”

ISO/IEC 27005 SGSI

Lineamientos “Gestión del riesgo”

Figura 2. Familia de estándares de la ISO 27000.

Fuente: http://www.iso27000.es

ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la

acreditación de entidades de auditoria y certificación de los SGSI. Esta norma

adopta un enfoque basado en procesos para establecer, implementar, operar,

realizar seguimiento, revisar, mantener y mejorar el SGSI de una organización.

Esta norma adopta el modelo “Planificar – Hacer – Verificar – Actuar” (PHVA), el

cual es aplicado para estructurar todos los procesos del SGSI, la Figura 3, ilustra

cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de

la información.

(Alexander, 2007), señala que el modelo ISO 27001:2005 está diseñado bajo una

óptica de enfoque a procesos. El SGSI está conceptualizado para funcionar en

cualquier tipo de organización, operando bajo el enfoque de procesos.

-22-

Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC 27001:2005.

Fuente: Alberto, A. (2007).

En la Figura 4, se ilustra la presentación de los distintos componentes del modelo

ISO 27001:2005, bajo la perspectiva de procesos, el modelo está concebido para

que opere con base en insumos provenientes de clientes, proveedores, usuarios,

accionistas, socios y otras partes interesadas.

El modelo ISO 27001:2005, en su óptica de procesos, también permite que cada

organización influencie el desempeño del modelo a través de consideraciones

estratégicas, tales como objetivos y políticas.

-23-

Figura 4: Enfoque a procesos del ISO 27001:2005

Fuente: Alberto, A. (2007).

2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO

En el mercado existen varias herramientas propietarias y de libre acceso para

realizar el análisis de riesgos como CRAMM, COBRA, RA2 Art of Risk,

MAGERIT, OCTAVE, Threat and Risk Assesment Working Guide (Canadá),

Guideline del NSW de Australia y El IT Baseline Protección Model del BSI

Alemán.

Herramientas propietarias.

CRAMM: Producto de Insight Consulting, que puede usarse con ISO 27001 para

el manejo de riesgo de negocios, para el análisis de riesgo se recolectan datos en

reuniones y entrevistas con cuestionarios estructurados (ESPE, 2005). Tiene tres

partes:

1) Valorización de activos, en escala de 1 a 10.

-24-

2) Evaluación de amenazas y vulnerabilidades. Niveles de 1 a 5 para las

amenazas, y de 1 a 3 para las vulnerabilidades.

3) Cálculo del riesgo, de 1 a 7 según una matriz. Más de 3000 contramedidas

estructuradas en la base de datos y que pueden priorizarse.

COBRA: (Análisis de Riesgo Objetivo y Bifuncional), desarrollada por C & A

Systems en cooperación con instituciones financieras. Especialmente prevista

para verificar el cumplimiento de las normas ISO 17799/27001, provee un

completo análisis de riesgo, compatible con la mayoría de las metodologías

conocidas cualitativas y cuantitativas.

Lo forman varios programas: Risk Consultant, el principal, incluyen las bases de

conocimiento que se personalizan y modifican con el Module Manager.

RA2 Art of Risk: Producto de Aexis y Xisec trabaja con análisis cualitativo de

riesgo basado en modelado estadístico. Desarrollado conforme la ISO 17799 y la

ISO 27001, usa también los principios contenidos en la MICTS2.

Permite seleccionar los controles ISO 17799 y producir evidencia a los auditores

que se han llevado a cabo los pasos de la ISO 27001 para certificación. Produce

directamente el SoA adecuado para la certificación ISO 27001.

MAGERIT: Del Ministerio de las Administraciones Públicas (MAP) de España. La

aplicación se puede ver en cuatro etapas: planificación, análisis de riesgos,

gestión de riesgos y selección de salvaguardas. En la versión 2.0, la

documentación consta de tres partes:

1) Método. Análisis y gestión de riesgos, proyectos.

2) Catálogo de Elementos. Amenazas y salvaguardas.

3) Guía de Técnicas. Tipo de análisis, diagramas, planificación de proyectos.

-25-

Herramientas de libre acceso.

OCTAVE: Evaluación de factores operacionalmente críticos: amenazas, activos

de sistemas y personal, y vulnerabilidades. Hay dos versiones: Octave y Octave-S

(Small, pequeñas empresas); éste último para equipos pequeños de personal de

seguridad. El Octave-S define una técnica de valuación basada en riesgos,

desarrollada en 10 volúmenes. El proceso incluye tres fases:

1) Construcción de perfiles de amenazas en base a los activos

2) Identificación de la infraestructura de las vulnerabilidades.

3) Desarrollo de la estrategia y planes de seguridad.

Threat and Risk Assesment Working Guide (Canadá): Considera

vulnerabilidades de sistemas, personal, objetos y externas, con cinco niveles

como resultado de tres niveles de severidad y tres de exposición. Trabaja con

cinco niveles de amenazas, caracterizando los agentes de amenazas en tres

niveles de capacidad y otros tres de motivación- incorpora los escenarios de

amenazas, donde estipula analizar el impacto en función de la sensibilidad de los

activos y tasa de vulnerabilidad, así como de la frecuencia de ocurrencia. No

define bien los riesgos finales.

Guideline del NSW de Australia: Tiene tres partes principales.

1) Revisión del proceso de gestión de riesgo, ejemplo de amenazas y

vulnerabilidades y una guía para la selección de los controles de seguridad

2) Incluye una tabla que relaciona cada control de la norma ISO 17799:2000 con

diferentes tipos de control: protección, prevención, detección, respuesta y

recuperación

3) Tabla que relaciona cada control con los parámetros CIA: Confidencialidad,

Integridad y Disponibilidad, así como también con la Autenticación,

Responsabilidad y Confiabilidad.

-26-

El IT Baseline Protección Model del BSI Alemán: Permite establecer los

riesgos en base a los activos, amenazas y contramedidas. No trabaja

directamente con vulnerabilidades. Esta herramientas clasifica los activos en 35

tipos en 7 categorías; las amenazas en un total de 200 con cinco tipos: Fuerza

mayor, Deficiencias organizacionales, Fallas humanas, Fallas técnicas y Actos

deliberados; y, Contramedidas: Unos 600 de diferentes tipos. Además incluye una

tabla de contramedidas vs. Amenazas.

En relación a lo antes expuesto y para efecto de esta investigación en la cual se

realizará el análisis de riesgo en las Instituciones Militares, utilizaremos las

herramientas CRAMM y BSI Alemán.

2.4. BASES LEGALES

Los planteamientos legales se basaron en los lineamientos, normas,

procedimientos y estándares que establecen los artículos que tienen

correspondencia con esta investigación.

2.4.1. ESTÁNDARES INTERNACIONALES

ISO/IEC 27001:2005 – Tecnología de la Información – Técnicas de seguridad –

Sistemas de Gestión de Seguridad de la Información.

ISO/IEC 17799:2005 – Tecnología de la Información – Técnicas de seguridad –

Código para la práctica de la gestión de la seguridad de la información

Organización Internacional de Estándares (ISO).

-27-

2.4.2. LEYES NACIONALES

NTE INEN - ISO/IEC 27002:2009 – Tecnologías de la Información– Técnicas de

Seguridad – Código de Práctica para la Gestión de la Seguridad de la

Información.

2.4.3 NORMATIVA INTERNA

D.G.P. COGMAR-INF-002-2010-O – 12 de Julio del 2010 – Directiva General

Permanente Seguridad de la Información.

DIRTIC. 25 de Noviembre del 2010 – Dirección de Tecnologías de la Información

y Comunicaciones – Estatuto Orgánico por Procesos.

2.5. SISTEMA DE VARIABLES

(Hernández R. , 2003, pág. 143)7, Señala que variable “es una propiedad que

puede variar y cuya variación es susceptible de medirse u observarse”, por tal

razón las variables deben ser definidas de dos formas conceptual y

operacionalmente.

Una definición conceptual trata la variable con otros términos, para lo cual se

deben definir las variables que se utilizan y puedan ser comprobadas o

contextualizadas.

7 Hernández, Roberto. 2003. Metodología de la Investigación

-28-

Una definición operacional constituye el conjunto de procedimientos que describe

las actividades que un observador debe realizar para recibir las impresiones

sensoriales, las cuales indican la existencia de un concepto teórico en mayor o

menor grado.

En el presente trabajo la variable a definir es Sistema de Gestión de Seguridad de

la Información, las mismas que se describe en la Tabla 1 operacionalmente

basado en los objetivos de control de las normas ISO/IEC 27001:2005.

Tabla 1. Operacionalización de las Variables.

Fuente: Autor

Variable Dimensión Indicadores Ítems Instrumento

Sistema de Gestión de

seguridad de la Información

Políticas de Seguridad

Documento de la política de seguridad de la información

1

CU

ES

TIO

NA

RIO

Y O

BS

ER

VA

CIÓ

N D

IRE

CT

A

Revisión de la política de Seguridad de la Información

2 y 3

Organización de la Seguridad de la

Información

Compromiso de la dirección para la seguridad de la información

4 y 5

Asignación de responsabilidades sobre seguridad de la información

6

Proceso de autorización para los recursos de procesamiento de la información

7

Acuerdos de confidencialidad 8

Identificación de riesgos relacionados a partes externas.

9 y 10



Gestión de activos Inventario de equipos 11 y 12

Propiedad de los activos 13

Directrices de clasificación 14

Seguridad de recursos humanos

Selección 15

Proceso disciplinario 16

Toma de conciencia, educación y formación en la seguridad de la información

17

-29-

Devolución de los activos 18 y 19

Seguridad física y ambiental

Perímetro de seguridad 20

Controles físicos de entrada 21 - 25

Protección contra las amenazas externas y ambientales

26 y 27

Trabajo en áreas seguras 28

Ubicación y protección del equipo 29

Servicio de apoyo 30

Seguridad del cableado 31

Mantenimiento de equipos 32

Seguridad en la reutilización o eliminación de equipos

33

Retiro de la propiedad 34

Gestión de comunicaciones y

operaciones

Documentación de procedimientos operativos

35

Gestión de cambio 36

Gestión de la capacidad 37

Controles contra código malicioso 38 y 39

Copia de seguridad de la información 40 -41- 42

Control de red 43

Disposición de medios 44 y 45

Registro de auditoria 46

Registro de fallas 47

Sincronización de relojes 48

Control de accesos Política de control de acceso 49

Registro de usuarios 50

Gestión de contraseñas de usuario 51

Uso de contraseñas 52

Sesión inactiva 53

Restricción de acceso a la información 54



Adquisición, desarrollo y

mantenimiento de sistemas de información

Análisis y especificación de los requisitos de seguridad

55

CU

ES

TIO

NA

RIO

Y

OB

SE

RV

AC

IÓN

DIR

EC

TA

Validación de datos de entrada 56

Control de procesamiento interno 57

Validación de los datos de salida 58

Política sobre la utilización de controles criptográficos

59

-30-

Gestión de incidente de seguridad de la

información

Reporte de los eventos de seguridad de información

60

Reporte de debilidades de seguridad 61

Responsabilidades y procedimientos 62

Aprendizaje de los incidentes de seguridad de la información

63

Gestión de continuidad del

negocio

Continuidad del negocio y evaluación de riesgo

64

Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información

65

Cumplimiento Identificación de la legislación aplicable 66

Derechos de propiedad intelectual (DPI) 67

Protección de los registros de la organización

68

Controles de las herramientas de auditoria de los sistemas de información

69

2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

A la presente fecha las Instituciones Militares cuentan con una Directiva de

Seguridad de la Información(D.G.P. COGMAR-INF-002-2010-O, 2010), la cual ha

sido difundida a nivel nacional y que se encuentra en un proceso lento de

adopción.

Existe una gran cantidad de problemas e incidentes relacionados al servicio, con

la seguridad de la información en las Instituciones Militares se reducirá los riesgos

de: fuga de información, acceso y modificación de información no autorizada de

portales web, soporte técnico externo, presupuesto, garantías entre otros.

-31-

Es necesario definir un mapa de riesgos de los activos de información con el fin

de tener un conocimiento real de los riesgos a los que están sometidos los

activos de información para identificar las amenazas y vulnerabilidades y

minimizar estas amenazas y vulnerabilidades garantizando la confidencialidad,

disponibilidad e integridad de la información.

Para conseguir un ambiente de Seguridad de la Información integral en estas

instituciones, es fundamental trabajar en conjunto desde el Alto Mando hasta el

menor componente operativo adoptando marcos de referencia que garanticen la

correcta ejecución y control de los procesos relacionados a la gestión de

tecnologías.

Un correcto nivel de Seguridad de la Información en su contexto es el resultado

del correcto uso y gestión de recursos relacionados con Infraestructura

Tecnológica, Gestión de Personal, Telecomunicaciones, Seguridad Física, entre

otros.

Para implementar las Mejores Prácticas y Estándares Internacionales de Gestión

de TI, Seguridad de la Información y Gestión de Riesgos, es necesario contar con

un marco de referencia de gestión eficaz que proporcione un enfoque general

consistente y que sea probable asegurar resultados exitosos al utilizar TI para

apoyar la estrategia de las Instituciones Militares.

En un clima de creciente regulación y preocupación sobre los riesgos

relacionados a TI, las mejores prácticas ayudarán a minimizar los aspectos de

cumplimiento y la preocupación de los auditores.

-32-

Se definirá las necesidades relacionadas a todo el proceso de gestión y control de

TI. Esto permitirá garantizar la integración de los diferentes componentes de TI los

cuales trabajando en conjunto se logrará mejorar el nivel de seguridad hacia los

activos de información.

-33-

CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN PARA

INSTITUCIONES MILITARES

3.1. ALCANCE DEL DISEÑO DEL SGSI

El diseño de un Sistema de Gestión de Seguridad de la Información para

Instituciones Militares permitirá realizar la aplicación de controles adecuados para

reducir los riesgos de seguridad de la información e incorporar estándares

internacionales ajustados al campo militar y nuevas tecnologías de la información

y comunicaciones con el fin de contribuir a la modernización de las Instituciones

Militares.

Establecerá las reglas, planes y acciones para asegurar la información y mejorar

la gestión actual con la cual se ejecuta la seguridad de la información en las

Instituciones Militares, socializando en los miembros de la Institución Militar la

importancia y sensibilidad de la información que se transmite a través del uso de

los servicios del Sistema de Comunicaciones.

Mejorará el control en los siguientes factores: revisión de privacidad y recolección

de documentos, seguridad de los procesos físicos (personas confiables),

verificación de posibles vulnerabilidades, identificación de sistemas y puertos,

implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de

políticas de seguridad, testeo de módems, seguridad inalámbrica.

-34-

Definirá los procesos y normativas Institucionales que garanticen la

confidencialidad, disponibilidad e integridad de la información en todo su proceso,

desde la generación, procesamiento y obtención de información, ligados a una

política general de Gobierno de TI.

Principales requerimientos funcionales a ser obtenidos

a. Manejo integral de los activos de información basado en normativas

internacionales.

b. Conocimiento real de los riesgos a los que están sometidos los activos de

información basados en un Sistema de Gestión de Riesgos de Activos de

Información, Mapa de Gestión de Riesgos.

c. Gestión y uso de los recursos de información basados en procesos ligados

a garantizar la disponibilidad, confidencialidad e integridad de la

información.

d. Integración de todos los proyectos institucionales de tecnología en un

marco que garantice la seguridad de la información.

e. Conocimiento real del estado situacional en relación a las políticas

relacionadas a la Gestión y Gobierno de TI.

3.2. DISEÑO DE LA INVESTIGACIÓN

Para realizar el Diseño del Sistema de Gestión de Seguridad de la Información

para las Instituciones Militares, se describen a continuación las tres primeras

-35-

fases. La Fase I Diagnóstico, la Fase II de Factibilidad y la Fase III Diseño del

proyecto que se refiere a cada uno de los aspectos que contiene la propuesta.

3.2.1. FASE I DIAGNÓSTICO

En esta fase se realizará el análisis general de la situación actual de la seguridad

de la información en las instituciones militares.

Se desarrollaron las primeras etapas de la metodología de análisis de

información, a través de la aplicación de una investigación de campo al personal

que labora en la Dirección de Tecnologías de la Información y Comunicaciones.

La dirección de Tecnologías de la Información y Comunicaciones se encuentra

conformada por los siguientes Departamentos: Dirección, Subdirección,

Departamento Administrativo Financiero, Departamento de Desarrollo y Gestión

de Proyectos, Departamento de Comunicaciones, Departamento de Criptografía y

Seguridad Telemática, Departamento de Control de Centros y el Centro de

Tecnología de la Información y Comunicaciones.

3.2.2. POBLACIÓN Y MUESTRA

(Hernández R. , 2003), define a una población o universo “puede estar referido a

cualquier conjunto de elementos de los cuales pretenden indagar y conocer sus

características, o una de ellas, y para el cual serán válidas las conclusiones

obtenidas en la investigación”, y a la muestra como “un subconjunto de elementos

que pertenecen al conjunto definido como población”. Para seleccionar la

-36-

población, es necesario considerar cuál será la unidad de análisis, lo que permitirá

definir con qué elementos (personas) se va a trabajar.

En el caso de la presente investigación la población que determinó la necesidad

de realizar diseño de un Sistema de Gestión de Seguridad de la Información para

las Instituciones Militares, se encuentra constituido por cincuenta y uno (51)

empleados que laboran en la Dirección de Tecnologías de la Información y

Comunicaciones, de acuerdo a lo que se ilustra en el Tabla 2.

(Ary, 1996, pág. 54), señala que “…si la población posee pequeñas dimensiones,

deben ser seleccionados en su totalidad, para así reducir el error en la

muestra…”. Tomando como fundamento ésta definición, podemos determinar que

la muestra es aquella representada por la totalidad de los individuos que permiten

obtener información sobre el tema a investigar.

Tabla 2. Descripción de la Población de la DIRTIC.

Fuente: DIRTIC

Departamento u Oficina Cantidad Personas

DIRTIC

Dirección 2

Subdirección 6

Departamento Administrativo Financiero 4

Departamento de Desarrollo y Gestión de Proyectos Informáticos 5

Departamento de Comunicaciones 5

Departamento de Criptografía y Seguridad Telemática 6

Departamento de Control de Centros 2

CETEIG

Centro de Tecnología de la Información y Comunicaciones 21

Total 51

-37-

De acuerdo a lo que se describe en la Tabla 2, se deduce que los sujetos de

estudio de la presente investigación se encuentran conformado por cincuenta y

uno (51) personas que laboran en la Dirección de Tecnologías de la Información y

Comunicaciones y el Centro de Tecnología de la Información y Comunicaciones.

3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE

DATOS

La técnica utilizada para obtener la información fue la encuesta, la misma permitió

la recolección de información en forma directa a fin de diagnosticar como se

encuentra la seguridad de la información en la Dirección de Tecnologías de la

Información y Comunicaciones y el Centro de Tecnología de la Información y

Comunicaciones.(Hernández R. , 2003, pág. 285), determina que una técnica es

un procedimiento estandarizado que se ha utilizado con éxito en el ámbito de la

ciencia.

El instrumento de recolección de datos es un dispositivo de sustrato material que

sirve para registrar los datos obtenidos a través de las diferentes fuentes. Así

como un cuestionario consiste en “Un conjunto de preguntas respecto a una o

más variables a medir relacionadas con los indicadores que se obtienen de la

operacionalización de los objetivos específicos.”

Para obtener la información se elaboró el instrumento en función de los objetivos

definidos en el presente trabajo, con el propósito de interrogar a los sujetos de

estudio, a través de un cuestionario estructurado con preguntas cerradas.

-38-

El cuestionario consta de sesenta y nueve (69) ítems de acuerdo a como se indica

en el Anexo “C”, con opciones de respuestas en un formato de escala tipo Likert;

Siempre (S), Casi Siempre (CS) Algunas veces (AV), Casi Nunca (CN) y Nunca

(N), con el fin de diagnosticar cómo se encuentra la Seguridad de la Información

en la Dirección de Tecnologías de la Información y Comunicaciones.

Las preguntas cubren todos los aspectos de riesgos y amenazas a la

confiabilidad, integridad y la disponibilidad de la información y están basadas en

los requerimientos de la institución, pero para realizar un ordenamiento se tomó

en cuenta los objetivos de control de la ISO 27001:2005:

a) Políticas de seguridad

b) Organización de la Seguridad de la Información

c) Gestión de activos

d) Seguridad de recursos humanos

e) Seguridad física y Ambiental

f) Gestión de comunicaciones y operaciones

g) Control de Accesos

h) Adquisición, desarrollo y mantenimiento de sistemas de información

i) Gestión de incidente de seguridad de la información

j) Gestión de continuidad del negocio y

k) Cumplimiento.

Por la naturaleza del estudio y en función de los datos que se requieren, se utilizó

la técnica de observación directa, no participante y sistemática en la realidad,

(Hernández R. , 2003), indica que “la observación consiste en el registro

sistemático, válido y confiable de comportamiento”.

-39-

Cuando se habla de observación no participativa se refiere a que “el investigador

asumirá un papel de espectador de los hechos, del conjunto de actividades y

relaciones laborales que se producen cotidianamente”.

Cuando se refiere al término sistemático, se refiere a que “se observa todo lo

relativo a los antecedentes, forma, duración y frecuencia en que se originan los

mismos”.

3.2.4. VALIDEZ DEL INSTRUMENTO

(L Hurdado y Toro G.J., 2001), Define que “la validez es el grado en que la

medición representa al concepto medido”, es un concepto del cual pueden

tenerse diferentes tipos de evidencias relacionadas con el contenido, criterio y con

el constructo”. La validez de contenido se refiere al grado en que un instrumento

refleja un dominio específico de contenido de lo que se mide.

La validez de criterio establece la validez de un instrumento de medición

comparándola con algún criterio externo, que es un estándar con el que se juzga

la validez del instrumento, considerándose que entre más se relacionen los

resultados del instrumento de medición con el criterio, la validez del criterio será

mayor.

De igual manera, la validez de constructo se refiere al grado en que una medición

se relaciona consistentemente con otras, de acuerdo con hipótesis derivadas

teóricamente sobre esa variable, siendo un constructo una variable medida dentro

de una teoría o esquema teórico.

-40-

Para determinar la validez del instrumento se utilizó la técnica de juicio de

expertos, donde se eligieron cuatro especialistas, Ingenieros en Sistemas con

títulos de Magíster, versados en el tema, quienes a través de un formato de

validación como se ilustra en el Anexo D.

Se realizó con la finalidad de modificar la redacción de los ítems, y determinar la

existencia o no de ambigüedad en la redacción de los mismos, buscando la mayor

claridad, congruencia y pertinencia posible.

Finalmente luego de las correcciones y recomendaciones del caso se procedió a

la elaboración del instrumento definitivo a ser aplicado a los sujetos de la muestra.

3.2.5. CONFIABILIDAD DEL INSTRUMENTO

(Hernández R. , 2003, pág. 123), consideran que la confiabilidad de un

instrumento de medición, es la “capacidad que tiene de registrar los mismos

resultados en repetidas ocasiones, con una misma muestra y bajo las mismas

condiciones”.

La confiabilidad del instrumento se determinó previa aplicación de una prueba

piloto a un grupo de diez (10) personas, tomados al azar perteneciente a la

Dirección de Tecnologías de la Información y Comunicaciones y a los diferentes

Departamentos.

Los resultados obtenidos se procesaron estadísticamente mediante el método

Alpha de Cronbach, determina que es el método que más se adapta en los casos

de la medición de constructos a través de escalas, allí no existen respuestas

-41-

correctas ni incorrectas, el sujeto marca el valor de la escala que considera

representa mejor su punto de vista.

El coeficiente Alpha de Cronbach indica la capacidad que tiene el instrumento

para arrojar resultados similares en repetidas ocasiones.

Para determinar el resultado del coeficiente Alpha de Cronbach se emplea la

siguiente fórmula:

FÓRMULA

Dónde:

Es la sumatoria de la varianza por ítems,

Es la varianza total y

Es el número de preguntas o ítems.

El índice de confiabilidad debe ser menor o igual a uno (1) para que el valor

indicativo del instrumento posea un alto grado de consistencia interna, lo que

indica la exactitud y objetividad en los resultados. (Hernández R. , 2003),

Especifica que los criterios establecidos para el análisis del coeficiente de Alpha

de Cronbach son los siguientes:

-42-

Tabla 3. Criterios de Confiabilidad. Fuente: Metodología de la Investigación, Hernández (2003).

Valores de Alpha Criterios

De –1 a 0 No es confiable

De 0.01 a 0.49 Baja confiabilidad

De 0.50 a 0. 75 Moderada confiabilidad

De 0.76 a 0.89 Fuerte confiabilidad

De 0.90 a 1.00 Alta confiabilidad

Luego de aplicar el método Alpha de Cronbach como se indica en el Anexo E, se

obtuvo una confiabilidad de 0,96 lo cual indica que es altamente confiable.

3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS

Una vez que se ha obtenidos los resultados, producto de la aplicación del

instrumento se procedió a su ordenación para analizarlos mediante la estadística

descriptiva. (Hernández R. , 2003), señala como “el uso de bases estadísticas de

frecuencias y porcentajes; complementados con cuadros y gráficos estadísticos

con sus respectivos análisis”

3.2.7. RESULTADOS

Se presenta los resultados de la aplicación del cuestionario dirigido al personal

técnico de la Dirección de Tecnologías de la Información y Comunicaciones, fue

tabulada manualmente, según las categorías de respuestas: S = Siempre, CS =

Casi Siempre, AV = Algunas Veces, CN = Casi Nunca y N = Nunca, según lo

establecido por escalamiento líkert el valor uno (1) es asignado a N (Nunca) y el

máximo valor de cinco (5) a S (Siempre).

-43-

Para presentar los resultados se usaron los recursos de la estadística descriptiva

que permitió el diseñó de los cuadros, donde se organizaron los datos recabados

en distribuciones por frecuencias absolutas y luego a porcentajes, se representó

gráficamente mediante diagramas de barras cada una de las preguntas del

instrumento de recolección de datos.

Con el objeto de visualizar en forma rápida los resultados se agruparon con

relación a las dimensiones señaladas en la definición operacional de los aspectos

a investigar y representados gráficamente de acuerdo a las alternativas

seleccionadas.

Posteriormente, se completó este proceso con un análisis e interpretación de los

datos en función de la norma ISO/IEC 27001:2005 y las bases teóricas que

sustentaron la investigación.

Dimensión: Política de Seguridad.

Esta dimensión contiene tres (3) ítems que permiten obtener información si en la

Dirección de Tecnologías de la Información y Comunicaciones dan soporte a la

gestión de la seguridad de la información de acuerdo a los requisitos de la

institución militar, las leyes y reglamentos existentes.

-44-

Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión Políticas de Seguridad. Fuente: Autor

Ítems S % CS % AV % CN % N %

1 8 15,69 7 13,73 7 13,73 11 21,57 18 35,29

2 9 17,65 10 19,61 11 21,57 16 31,37 5 9,80

3 8 15,69 9 17,65 16 31,37 12 23,53 6 11,76

Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de Seguridad.

Fuente: Autor

De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e

interpretación de las mismas, se puede visualizar en el Tabla 4 y Gráfico 1

referido a la dimensión: Políticas de Seguridad, en el ítem 1: (¿Existe una

preocupación dentro de la DIRTIC por la elaboración de un documento de

políticas de seguridad de información con los procedimientos a seguir para cada

uno de los riesgos más graves que tiene la información?) la mayor tendencia

-45-

porcentual se presentó en la alternativa nunca con un 35,29%, lo cual indica que

no existe una preocupación por elaborar un documento de política de seguridad

de la información.

En el ítem 2, (¿Se toman acciones rápidas y correctivas cuando la información

está en peligro?), un 31, 37% piensa que Casi Nunca lo hacen, esto refleja que no

se tiene una consciencia de la importancia de tomar medidas para proteger la

información. Igualmente, en el Ítem 3, (¿Se revisan periódicamente las medidas y

procedimientos de seguridad para determinar si son efectivos?), la mayor

tendencia con un 31,37% se presentó para las alternativas Algunas Veces, es

evidente que no existe una política clara en referencia a la seguridad de la

información.

En conclusión, para poder dirigir y dar soporte a la gestión de la seguridad de la

información de acuerdo con los requisitos de las instituciones Militares, se deben

realizar dos documentos para considerar la seguridad de la información: el

primero será un manual de política de seguridad de la información que

representará el nivel político o estratégico de las Instituciones Militares, deberá

ser elaborado por la Dirección de Tecnologías de la Información y

Comunicaciones y aprobado por el mando, lo cual, definirá las grandes líneas a

seguir y el nivel de compromiso de las instituciones Militares.

El segundo documento será el plan de seguridad, como nivel de planeamiento

táctico, el cual definirá el “Cómo”. Es decir, baja a un nivel más de detalle, para

dar inicio al conjunto de acciones que se deberán cumplir. Es de destacar que una

“Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran

mayoría de los aspectos que hacen falta para el Sistema de Gestión de Seguridad

de la Información (SGSI).

-46-

Dimensión: Organización de la Seguridad de la Información

Esta dimensión contiene siete (7) ítems que permiten obtener información sobre la

forma de accesar, procesar, comunicar o gestionar la seguridad de la información

tanto dentro de la Dirección de Tecnologías de la Información y Comunicaciones

así como en los repartos de las instituciones militares.

Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión de la Organización de la Seguridad de la Información.

Fuente: Autor


4 11 21,57 16 31,37 5 9,80 10 19,61 9 17,65

5 5 9,80 19 37,25 15 29,41 9 17,65 3 5,88

6 5 9,80 2 3,92 14 27,45 22 43,14 8 15,69

7 22 43,14 13 25,49 4 7,84 6 11,76 6 11,76

8 6 11,76 10 19,61 18 35,29 7 13,73 10 19,61

9 4 7,84 16 31,37 16 31,37 7 13,73 8 15,69

10 20 39,22 10 19,61 7 13,73 6 11,76 8 15,69

En el Tabla 5 y Gráfico 2, se observan los resultados obtenidos en cuanto a la

dimensión organización de la seguridad de la información, en el item 4 (¿El

CETEIG y los jefes de los diferentes departamentos de la DIRTIC entienden,

apoyan y llevan a cabo eficazmente políticas de seguridad de la información

dentro la Institución?), el 31,37% respondió Casi Siempre y un 17,65 Nunca.

En los ítem 5 (¿La DIRTIC se preocupa de que el personal tome conciencia sobre

la importancia de la seguridad de la información y sus responsabilidades

individuales para alcanzarla?) e ítem 6 (¿Se definen claramente todas las

responsabilidades en torno a la seguridad de la información?) los resultados

presentaron la mayor tendencia hacia Casi Siempre y Casi Nunca, lo que permite

determinar que existe un compromiso demostrado, por parte de las autoridades

militares y los diferentes jefes de departamentos, así como no existe el

reconocimiento de las responsabilidades de seguridad de la información.

-47-

Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre Organización de la Seguridad de la Información.

Fuente: Autor

En el ítem 7, (¿Se define e implementa un proceso de autorización para los

recursos de procesamiento de la información?), el 43,14% opinó Siempre y un

25,49% Casi Siempre, lo que permite establecer que se tiene claramente

definidos los proceso de autorización para cada nuevo recurso de procesamiento

de la información. Seguidamente, el ítem 8 permite indagar sobre los acuerdos de

confidencialidad o no divulgación de la información y el mayor porcentaje lo

presentó la alternativa Algunas Veces con un 35,29%, es evidente que se deben

identificar los requisitos para los acuerdos de no divulgación de la información

para proteger la información de carácter institucional.

-48-

En el ítem 9 (¿Se tienen previstos mecanismos de seguridad para preservar la

información de intervenciones externas?), el 31,37% manifestó que Casi Siempre

y Algunas Veces, se puede determinar que están identificados los riesgos a la

información de la Dirección de Tecnologías de la Información y Comunicaciones y

las instituciones militares y en consecuencia están implementados los controles

apropiados antes de otorgar el acceso a partes externas.

En el ítem 10 (¿Se consideran todos los requisitos de seguridad identificados

antes de dar el acceso al cliente o usuario a la información o posesiones de la

DIRTIC?), el 39,22 % respondió que Siempre, mientras que el 19.61% piensa que

Casi Siempre se tratan todos los requisitos de seguridad antes de dar el acceso al

cliente o usuario de la información.

En conclusión, existe una alta tendencia en todos los ítems hacia la alternativa

Casi Siempre, los sujetos de estudios señalan que la Dirección de Tecnologías de

la Información y Comunicaciones se llevan las políticas de seguridad de la

información y están definidas claramente todas las responsabilidades individuales

para alcanzarla. Igualmente, están definidos los requisitos para los acuerdos de

confidencialidad de la información, y se consideran todos los requisitos de

seguridad antes de dar acceso al cliente o usuario de la información externa a la

Dirección de Tecnologías.

Dimensión: Gestión de Activos.

Este indicador contiene cuatro (4) ítems que permitieron obtener información

referente si se mantiene la protección apropiada de los activos de la Dirección de

Tecnologías de la Información y Comunicaciones y las instituciones militares.

-49-

Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Activos.

Fuente: Autor


11 21 41,18 7 13,73 10 19,61 10 19,61 3 5,88

12 19 37,25 11 21,57 5 9,80 7 13,73 9 17,65

13 5 9,80 24 47,06 8 15,69 8 15,69 6 11,76

14 10 19,61 19 37,25 10 19,61 9 17,65 3 5,88

Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Activos.

Fuente: Autor

Los resultados obtenidos en la dimensión gestión de activos se expresados en el

Tabla 6 y el Gráfico 3, en el ítem 11 (¿Se identifican los equipos de computación,

tales como: laptops, computadoras de escritorio y otros, con el nombre de la

DIRTIC, nombre del departamento u oficina, teléfono, serial del equipo, serial de

-50-

bienes institucionales, entre otross?), el 41.18% opinó Siempre y un 19,61%

señaló Algunas Veces, esto refleja que todos los activos están identificados lo que

ocasiona que los inventarios están actualizados.

En el ítem 12 (¿Se realizan inventarios en cada oficina o unidad administrativa de

los equipos informáticos y de comunicaciones, con el serial del equipo, software

instalados, usuario asignado, ubicación, entre otros?), el 37,25% opino que Casi

Siempre se realizan los inventarios.

Igualmente, el ítem 13 (¿Se identifican todos los activos de información para

conocer su contenido y a qué departamento pertenecen?), el 47,06% señaló que

Casi Siempre. Es de destacar, que existen inventarios de equipos informáticos y

los activos están identificados, en los diferentes departamentos y unidades

administrativas de la Dirección de Tecnologías de la Información y

Comunicaciones y las instituciones militares.

El ítem 14 (¿Se dan directrices para clasificar la información de acuerdo con su

valor, requisitos legales, sensibilidad y criticidad para la DIRTIC?), el 37,25%

opinó que Casi Siempre se dan directrices, lo que refleja que la información está

inventariada y clasificada y existe un procedimiento con un esquema de

clasificación establecido para etiquetar los activos de información.

En conclusión: La Dirección de Tecnologías de la Información y Comunicaciones

y las instituciones militares cuenta con un departamento de activos fijos el cual es

el encargado de realizar el inventario de todos los activos importantes, y que

posee activos que están inventariados. Existe una metodología para realizar esta

actividad donde cada activo de información está asociado con el lugar donde se

procesa la información y que a su vez es el responsable por el mismo.

-51-

Dimensión: Seguridad de Recursos Humanos.

Esta dimensión contiene cinco (5) ítems que permitieron obtener información si

los empleados, contratistas y usuarios la Dirección de Tecnologías de la

Información y Comunicaciones y las instituciones militares, están conscientes de

las amenazas de la seguridad de la información a fin de reducir el riesgo del robo,

fraude o mal uso de los recursos la Dirección de Tecnologías de la Información y

Comunicaciones y las instituciones militares. Igualmente, al terminar o cambiar de

lugar de trabajo se retiran o cambian de una manera ordenada.

Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad de Recursos Humanos.

Fuente: Autor


15 19 37,25 3 5,882 8 15,69 9 17,65 12 23,53

16 14 27,45 11 21,57 7 13,73 14 27,45 5 9,804

17 16 31,37 13 25,49 4 7,843 10 19,61 8 15,69

18 10 19,61 18 35,29 14 27,45 6 11,76 3 5,882

19 22 43,14 8 15,69 3 5,882 9 17,65 9 17,65

En la Tabla 7 y Gráfico 4, se visualizan los resultados de la dimensión seguridad

de recursos humanos. Al respecto, el ítem 15 (¿Se realiza una verificación de los

antecedentes de los candidatos para ocupar cargos administrativos, contratistas y

usuarios externos de acuerdo con las leyes, reglamentaciones y ética pertinentes

a los requisitos de la DIRTIC, clasificación de información a ser ingresado y los

riesgos percibidos? ), la mayor incidencia de respuesta la presentó la alternativa

Siempre con un 37,25%, lo que permite inferir que se realiza una verificación de

los documentos suministrados por el aspirante y sus antecedentes para poder

optar al cargo de acuerdo con las responsabilidades que desempeñará.

-52-

Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad de Recursos Humanos.

Fuente: Autor

En el ítem 16 (¿La DIRTIC aplica procesos disciplinarios a los usuarios que

cometan un incumplimiento de seguridad?) y el ítem 17 (¿Se vigilan la moral y el

comportamiento del personal que maneja los sistemas de información con el fin

de mantener una buena imagen y evitar un posible fraude?), presentaron su

mayores incidencia en la alternativa Siempre con un 27,45% y 31,37%

respectivamente, lo que evidencia que existe un proceso disciplinario formal para

los funcionarios que incurran en faltas que atente a la seguridad de la información,

igualmente se realizan supervisiones al personal para evitar posibles fraudes.

En referencia a la devolución de los activos, el ítem 18 (¿Se retiran los derechos

de acceso a todos los empleados, contratistas y usuarios a la información y al

recurso para el procesamiento de la información una vez terminado su empleo,

contrato o acuerdo, o una vez realizado el cambio a otra dependencia?).

-53-

El ítem 19 (¿La DIRTIC se asegura de que los empleados, contratista y usuarios

devuelvan todos los activos de la DIRTIC que posean una vez terminado su

empleo, contrato o acuerdo?) coincidieron que la alternativa que más se ajustó

fue Casi Siempre presentando un 35,29% y Siempre con 43,14%

respectivamente, lo que demuestra que se encuentra establecido un

procedimiento para la devolución de todos los activos la Dirección de Tecnologías

de la Información y Comunicaciones y las instituciones militares y toman las

debidas previsiones para retirar todos los derechos de accesos a la información.

Dimensión: Seguridad Física y Ambiental.

Esta dimensión contiene quince (15) ítems que permiten obtener información en

relación al área de seguridad: Seguridad física y perimetral, control físico de

entradas, seguridad de las oficinas, edificios y recursos, protección contra

amenazas externas y del entorno, así como también a la seguridad de los

equipos: ubicación y protección de equipos, elementos de soporte a los equipos,

seguridad en el cableado, mantenimiento de equipos, seguridad en el

equipamiento fuera de la organización, seguridad en la redistribución o

reutilización de equipamiento, borrado de información y/o software.

En la Tabla 8 y Gráfico 5, muestra los resultados aportados por los sujetos de

estudios en relación a la seguridad física y ambiental. En este sentido, los ítems

20 (¿En la DIRTIC se establecen adecuadamente los perímetros de seguridad

(barreras tales cómo paredes, puertas de entradas controladas por tarjetas o

puesto de recepción manual) a las áreas que contienen la información y las

instalaciones de procesamiento de la información?).

-54-

Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad Física y Ambiental.

Fuente: Autor


20 13 25,49 17 33,33 8 15,69 6 11,76 7 13,73

21 16 31,37 9 17,65 9 17,65 10 19,61 7 13,73

22 24 47,06 6 11,76 9 17,65 9 17,65 3 5,88

23 18 35,29 4 7,84 12 23,53 9 17,65 8 15,69

24 16 31,37 13 25,49 6 11,76 10 19,61 6 11,76

25 20 39,22 5 9,80 9 17,65 9 17,65 8 15,69

26 25 49,02 6 11,76 6 11,76 11 21,57 3 5,88

27 2 3,92 19 37,25 21 41,18 4 7,84 5 9,80

28 33 64,71 5 9,80 4 7,84 7 13,73 2 3,92

29 5 9,80 25 49,02 10 19,61 8 15,69 3 5,88

30 27 52,94 6 11,76 13 25,49 3 5,88 2 3,92

31 1 1,96 28 54,90 15 29,41 1 1,96 6 11,76

32 26 50,98 9 17,65 4 7,84 9 17,65 3 5,88

33 0 0,00 25 49,02 19 37,25 5 9,80 2 3,92

34 1 1,96 22 43,14 16 31,37 9 17,65 3 5,88

En el ítem 21 (¿Se diseñan y aplican controles de entradas apropiados a las

áreas de seguridad a fin de asegurar el permiso de acceso sólo al personal

autorizado?, ítem 22 (¿Existe un procedimiento o control de admisión al edificio

administrativo para aquellas personas que no posean carnet institucional, tal

como los visitantes?) e ítem 23 (¿Se controla el ingreso a las oficinas después del

horario normal de trabajo?), presentan una alta tendencia a la alternativa Siempre,

lo que permite inferir que se encuentran establecidos los perímetros de seguridad

para las áreas que contienen información crítica de la Dirección de Tecnologías y

de las Instituciones Militares.

En lo que respecta a los controles físicos de entrada, el ítem 24 (¿Se cierran con

llave las puertas de los sitios neurálgicos en el edificio administrativo?) e ítem 25

(¿Se cierran con llaves las entradas de cada piso, así como las entradas externas

al edificio administrativo?), las alternativas con mayor porcentajes se observan en

Siempre con 31,37% y 39,22% respectivamente, lo que refleja que si se cumple y

-55-

se mantiene las puertas de entradas cerradas para impedir el paso de personal no

autorizado sobre todo fuera del horario de oficina.

Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad Física y Ambiental.

Fuente: Autor

-56-

En relación a la protección contra las amenazas externas y ambientales, se

formularon las siguientes preguntas, ítem 26. ¿Se diseñan y aplican protección

física a las oficinas contra el daño por fuego, inundación, sismo, explosión,

disturbios, y las otras formas de desastre natural o hecho por el hombre? e ítem

27. ¿Se diseñan y aplican protección física a la información contra el daño por

fuego, inundación, sismo, explosión, disturbios, y las otras formas de desastre

natural o hecho por el hombre?, las respuestas estuvieron orientadas con un

49,02% y un 41,18% respectivamente a la alternativa Siempre y Algunas Veces,

reflejando que la Dirección de Tecnologías de la Información y Comunicaciones y

las instituciones militares ha considerado la protección física tanto a las oficinas

como a la información contra los desastres naturales o provocados por el hombre.

Para indagar sobre la ubicación y protección de los equipos, el ítem 28. ¿La

DIRTIC toma medidas concretas para evitar el robo de equipos tales como

laptops y otros componentes? y el ítem 29. ¿ Se toman previsiones de ubicar o

proteger los equipos para reducir los riesgos de amenazas y peligros ambientales,

y oportunidades para el acceso no autorizado?, los resultados indican una

tendencia negativa hacia las alternativas Casi Siempre, esto demuestra que existe

preocupación manifestadas la Dirección de Tecnologías de la Información y

Comunicaciones y las instituciones militares por prevenir pérdidas, daños o robo

de los activos de información.

El ítem 30 (¿Se protegen los equipos contra fallas de energía y otras

interrupciones eléctricas causadas por problemas en los servicios de apoyo?), la

alternativa Siempre presentó un 52,94%, lo que permite inferir que conocen sobre

las medidas que se deben considerar para proteger los equipos contra las fallas

de energía u otras interrupciones eléctricas.

El ítem 31 (¿Se protegen debidamente el cableado de energía eléctrica y de

comunicaciones que transporta datos contra la interceptación o daños?), el

-57-

54,90% respondió que Casi Siempre evidenciando la seguridad del cableado. El

ítem 32 (¿Se realizan mantenimientos preventivos a los equipos a fin de asegurar

su continua disponibilidad e integridad?), el 50,98% responde que Siempre se

realizan mantenimientos a los equipos.

El ítem 33 (¿Se toman las previsiones para que todos los dispositivos de

almacenamiento de datos (Pendrive, CD, Disco duros, entre otros), sean

eliminados o formateado completamente antes de su utilización?), el 49,02% se

inclinó por la alternativa Casi Siempre evidenciando mejoras en la seguridad de la

información cuando se reutilizan o eliminan equipos sin tomar las previsiones de

remover toda la información existentes en el mismo.

El ítem 34 (¿La DIRTIC da instrucciones claras y firmes a los usuarios para que

prohíban el traslado o retiro de equipo, información o software sin autorización?),

el 43,14 opinó que Casi Siempre evidenciando que existe una política de

seguridad que controle el retiro de los activos de información de la DIRTIC.

En conclusión, los resultados mostrados anteriormente demuestran que existen

mejoras en la Dirección de Tecnologías de la Información y Comunicaciones y las

instituciones militares garantizando la seguridad física tanto a las instalaciones

como a los equipos.

Dimensión: Gestión de Comunicaciones y Operaciones.

Esta dimensión contiene catorce (14) ítems que permitieron obtener información

sobre la forma de operación de los recursos de información.

-58-

Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Comunicaciones y Operaciones.

Fuente: Autor


35 1 1,96 6 11,76 37 72,55 4 7,84 3 5,88

36 0 0,00 10 19,61 22 43,14 14 27,45 5 9,80

37 0 0,00 5 9,80 16 31,37 24 47,06 6 11,76

38 0 0,00 9 17,65 25 49,02 13 25,49 4 7,84

39 0 0,00 9 17,65 22 43,14 14 27,45 6 11,76

40 0 0,00 0 0,00 12 23,53 31 60,78 8 15,69

41 5 9,80 2 3,92 0 0,00 13 25,49 31 60,78

42 0 0,00 0 0,00 39 76,47 12 23,53 0 0,00

43 27 52,94 15 29,41 6 11,76 1 1,96 2 3,92

44 1 1,96 2 3,92 10 19,61 28 54,90 10 19,61

45 2 3,92 1 1,96 31 60,78 14 27,45 3 5,88

46 4 7,84 1 1,96 9 17,65 16 31,37 21 41,18

47 1 1,96 13 25,49 25 49,02 9 17,65 3 5,88

48 26 50,98 8 15,69 4 7,84 9 17,65 4 7,84

En la Tabla 9 y Gráfico 6, se observan los resultados obtenidos para la dimensión

gestión de comunicaciones y operaciones. Para indagar sobre los procedimientos

y responsabilidades de operación de la información, se emplearon los ítems 35

(¿Los procedimientos operativos son documentados, mantenidos y están

disponibles a todos los usuarios que lo necesitan?) y 36 (¿Se controlan los

cambios de los recursos y sistemas de procesamiento de la información?), los

resultados encontrados son un 72,55% y 43,14% en la alternativa Algunas Veces

respectivamente, lo que indica que no se realizan mayores esfuerzo por

documentar los procedimientos, lo cual es negativo, ya que la documentación de

los procedimientos permite el manteniendo de los mismos y si estos se

encuentran disponibles a todos los usuarios que los necesiten, y se segregan

adecuadamente los servicios y las responsabilidades se logra evitar el uso

inadecuado de los mismos.

-59-

Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Comunicaciones y Operaciones.

Fuente: Autor

En relación con la planificación y aceptación de los sistemas, el ítem 37, (¿Se

realizan seguimientos, ajustes y proyecciones de los requisitos de la capacidad

futura de la utilización de los recursos, para garantizar el desempeño del sistema

requerido?), el 47.06% de los sujetos de estudios opinaron que Casi Nunca se

realizan.

Para obtener información sobre la protección contra el código malicioso y movible,

se utilizaron los ítem 38 (¿Se implementan controles de detección, prevención y

recuperación de la información, para la protección contra código malicioso o

-60-

virus?) y el ítem 39 (¿Se realizan procedimientos adecuados de toma de

conciencia de los usuarios para la detección, prevención y recuperación para la

protección contra código malicioso?), las respuestas permitieron concluir que los

usuarios tiene poco conocimiento para detectar los códigos maliciosos y no

existen procedimientos formales para adiestrarlos para que puedan evitarlos y así

proteger la información.

El ítem 40 (¿Se establecen procedimientos para controlar el intercambio de

información a través de la utilización de toda clase de recursos de comunicación,

por ejemplo el uso de teléfonos celulares y laptops por parte de personas ajenas a

la DIRTIC?), el 60,78% opino que Casi Nunca, lo que indican que existe políticas

y procedimientos de intercambio de información.

En relación a las copias de seguridad, el ítem 41 (¿Se controla el acceso a las

fotocopiadoras para evitar que se puedan hacer copias de cualquier documento?),

el 60,78% opinó que Nunca se controla y el ítem 42 (¿Se realizan copias de

seguridad de la información y software de acuerdo con la política de copia de

seguridad emitida?), el 76,47% opinó que Algunas Veces, lo que permite inferir

que no se realizan backups de la información y de los sistemas de información.

El ítem 43 (¿Se gestionan y controlan adecuadamente la red de datos a fin de

protegerla de las amenazas y mantener la seguridad para los sistemas y

aplicaciones que utiliza la red, incluyendo la información en tránsito?), el 52,94%

opinó que Siempre, lo que se deduce que se lleva una buena administración y

control de la red, es decir, se implementan todas las medidas posibles para evitar

amenazas y mantener la seguridad de los sistemas y aplicaciones que circula por

ella.

-61-

En relación de manejo de medios de información, se utilizaron dos (02) ítem para

recabar información, el ítem 44 (¿Se tiene el cuidado de no arrojar información

confidencial o vital en las papeleras sin ser destruida previamente? y el ítem 45

(¿Se establecen procedimientos para el manejo y almacenamiento de la

información a fin de protegerla contra su uso inadecuado o divulgación no

autorizada?), donde la alternativa Casi Nunca con 54,90% y Algunas Veces con

60,78%, estos resultados señalan que no se toman todas las previsiones para la

difusión, modificación, eliminación o destrucción de cualquier elemento capaz de

almacenar información (dispositivo USB, CD, discos, cintas, papeles, entre otros

tanto fijos como removibles).

El ítem 46 (¿Se producen y mantienen los registros de auditorías cuando se

detectan actividades de procesamiento de la información no autorizada, a fin de

ayudar a futuras investigaciones y seguimiento de control de accesos?) y el ítem

47 (¿Se registran, analizan y se toman acciones apropiadas cuando se detectan

fallas en las actividades y procesamiento de la información no autorizada?),

presentaron una alta incidencia en la alternativa Nunca con un 41,18% y Algunas

Veces 61,54% respectivamente, estos resultados confirman que no se llevan

registros de auditorías de los eventos de seguridad que ocurren en los sistemas

de información.

El ítem 48 (¿Se sincronizan los relojes de todos los sistemas de procesamiento de

la información pertinentes dentro de la DIRTIC con una fuente de tiempo exacta

acordada?), el 50,98% opinó que Siempre se tiene una sincronización de toda la

infraestructura de servidores.

Dimensión: Control de Accesos.

-62-

Esta dimensión contiene seis (06) ítems que permitieron obtener información si se

controlan que los usuarios autorizados, acceden únicamente a los recursos sobre

los cuales tienen derecho y a ningún otro.

Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión Control

de Accesos. Fuente: Autor


49 22 43,14 13 25,49 6 11,76 6 11,76 4 7,84

50 1 1,96 10 19,61 31 60,78 5 9,80 4 7,84

51 28 54,90 10 19,61 1 1,96 8 15,69 4 7,84

52 20 39,22 16 31,37 5 9,80 4 7,84 6 11,76

53 1 1,96 1 1,96 16 31,37 28 54,90 5 9,80

54 21 41,18 17 33,33 5 9,80 4 7,84 4 7,84

Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de Accesos.

Fuente: Autor

-63-

De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e

interpretación de las mismas, se puede visualizar en el Tabla 10 y Gráfico 7

referido a la dimensión control de accesos, en el ítem 49 (¿Se establecen,

documentan y revisan las políticas de control de accesos a la información?), el

43,14% respondió que Siempre, lo cual nos permite inferir que existe una política

de control de accesos.

En relación a la gestión de acceso de usuarios, se emplearon dos preguntas para

obtener información, el ítem 50 (¿Se realizan procedimientos formales de

registros de usuarios para conceder y revocar el acceso a los sistemas y servicios

de información?) y el ítem 51. ¿Se controla a través de un proceso de gestión

formal la asignación de contraseñas de usuarios para prevenir el acceso no

autorizado a los sistemas de información?), ambas respuestas muestran un alta

incidencia por la alternativa Algunas Veces con un 60,78% y Siempre con un

54,90% respectivamente, lo que nos indica que existe un procedimiento formal de

registro y revocación de usuarios y una adecuada administración de los privilegios

y de las contraseñas de cada uno de los usuarios.

En relación al indicador uso de contraseñas el ítem 52 (¿Se les motiva a los

usuarios seguir buenas prácticas de seguridad para la selección y uso de sus

contraseñas?), el 39,22% opino que Siempre, esto refleja que los usuarios tienen

claro el uso de contraseñas, así como también evidencia que existen

procedimientos formales para la selección y uso de contraseñas.

El indicador sesión inactiva, el ítem 53 (¿Se activa automáticamente un protector

de pantalla protegido con contraseña, cuando el usuario deja de utilizar un tiempo

prudencial el computador?), el 54,90% opinó que Casi Nunca, lo que refleja una

falla en la seguridad de la información en el momento que un empleado se levante

de su puesto y transcurrido un periodo de tiempo prudencial no se apague la

-64-

sesión da oportunidad a que cualquier persona que no está autorizado trabaje en

el computador, pueda obtener información, cambiarla y hasta borrarla.

El ítem 54 (¿Se restringe de acuerdo con las políticas de control el acceso a la

información y a las funciones del sistema de aplicación?) referido al indicador

restricción de acceso a la información, el 33,33% respondió que Casi Nunca se

hace, esto evidencia que se tiene una política de control de acceso definida.

En conclusión, los resultados obtenidos muestran una inclinación hacia la

alternativa Siempre. Es de destacar, que el control de acceso es una de las

actividades más importantes de la arquitectura de seguridad de un sistema y para

lograrlo debe existir una política de control de accesos documentada,

periódicamente revisada y basada en los niveles de seguridad que determine el

nivel de riesgo de cada activo. Igualmente, se exige llevar un procedimiento de

registro y revocación de usuarios, una adecuada administración de los privilegios

y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a

intervalos regulares, empleando para todo ello procedimientos formalizados

dentro de la Dirección de Tecnologías de la Información y Comunicaciones y las


Dimensión: Adquisición, Desarrollo y Mantenimiento de Sistema de Información.

Esta dimensión contiene cinco (05) ítems que permiten averiguar si la seguridad

es una parte integral de los sistemas de información y si se previenen los errores,

pérdida, modificación no autorizada o mal uso de la información en las

aplicaciones.

-65-

Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

Fuente: Autor

Ítems S S CS CS AV AV CN CN N N

55 12 23,53 19 37,25 3 5,88 13 25,49 4 7,84

56 24 47,06 10 19,61 5 9,80 8 15,69 4 7,84

57 23 45,10 13 25,49 7 13,73 3 5,88 5 9,80

58 14 27,45 13 25,49 7 13,73 12 23,53 5 9,80

59 16 31,37 18 35,29 6 11,76 8 15,69 3 5,88

Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

Fuente: Autor

En la Tabla 11 y Grafico 8, muestra los resultados aportados por los sujetos de

estudios en relación a la adquisición, desarrollo y mantenimiento de sistemas de

información. En este sentido, el ítem 55 (¿Se realizan análisis y especificaciones

de seguridad para los nuevos sistemas de información o para las mejoras de los

sistemas existentes?), el 37,25% opino que Casi Siempre se especifican los

requisitos de control de seguridad para los nuevos sistemas de información.

-66-

En relación al procesamiento correcto en las aplicaciones, se emplearon tres ítem

para obtener información al respecto, el ítem 56 (¿Se realizan validaciones de los

datos de entrada a las aplicaciones para asegurarse de que éstos sean correctos

y apropiados?), ítem 57 (¿Se incorporan a las aplicaciones las comprobaciones

de validación para detectar cualquier corrupción de la información a través de

errores de procesamiento o actos deliberados?) y el ítem 58 (¿Se realizan

validaciones a los datos de salida de una aplicación para asegurarse que el

procedimiento de la información almacenada es correcto y apropiado a las

circunstancias?), los resultados tienen una tendencia positiva Siempre, esto nos

permite inferir que se realiza un correcto tratamiento de la información en las

aplicaciones de la Dirección de Tecnologías de la Información y Comunicaciones

así como de las instituciones militares, se adoptan las medidas para la validación

en los datos de entrada, se tienen controles internos en el procesamiento de la

información para verificar o detectar cualquier corrupción de la información a

través de los procesos, tanto por error como intencionalmente. Y por último, existe

una validación en la salida de datos, para asegurar que los datos procesados, y

su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de

la aplicación.

En el ítem 59 (¿Se desarrollan e implementan políticas sobre la utilización de

controles para la protección de confidencialidad, autenticidad o integridad de la

información?), el 35,29% opinó que Casi Siempre se protegen la confidencialidad,

autenticidad o integridad de la información.

En conclusión, los resultados anteriores demuestran fortalecimiento de seguridad

en la adquisición, desarrollo y mantenimiento de los sistemas de información.

Dimensión: Gestión de Incidente de Seguridad de la Información

-67-

Esta dimensión contiene cuatro (04) ítems que permitieron obtener información.

Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Incidente de Seguridad de la Información.

Fuente: Autor


60 20 39,22 11 21,57 9 17,65 4 7,843 7 13,73

61 1 1,96 25 49,02 15 29,41 7 13,73 3 5,882

62 4 7,84 0 0 29 56,86 16 31,37 2 3,922

63 3 5,88 3 5,88 20 39,22 17 33,33 8 15,69

Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Incidente de Seguridad de la Información.

Fuente: Autor

Los resultados obtenidos en la dimensión gestión de incidentes de seguridad de la

información se muestran en la Tabla 12 y Gráfico 9, para obtener información

acerca de los reportes de eventos y debilidades de seguridad de la información se

emplearon dos preguntas, el ítem 60 (¿Se reportan los eventos de seguridad de la

-68-

información a través de los canales de gestión apropiados tan rápidamente como

sea posible?) y el ítem 61 (¿Se les solicita a todos los usuarios de los sistemas y

servicios de información reportar cualquier debilidad en la seguridad de los

sistemas o servicios, que haya sido observada o sospechada?), los mayores

porcentajes de respuestas un 39,22% fueron para las alternativas Siempre y

49,02% Casi Siempre, esto refleja que existen procedimientos para los incidentes

de seguridad.

En relación a la gestión de los incidentes y mejoras de seguridad de la

información, los ítem 62 (¿Se establecen las responsabilidades y procedimiento

de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes

de seguridad de información?) y 63 (¿Se establecen mecanismos que permitan

cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los

incidentes de seguridad de información?), los resultados señalan un 56,86% opinó

que Algunas Veces se establecen responsabilidades y un 39,22% respondió que

Algunas Veces se establecen mecanismos para cuantificar los incidentes de

seguridad.

En conclusión, existe una alta tendencia positiva en los resultados, los que

demuestra que se están realizando una administración de los incidentes de

seguridad de la información.

Dimensión: Gestión de Continuidad del Negocio

Esta dimensión contiene dos (02) ítems que tiene como objetivo contemplar todas

las medidas tendientes a que los sistemas de información no hagan sufrir

interrupciones sobre la actividad que realiza la DIRTIC.

-69-

Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Continuidad del Negocio.

Fuente: Autor


64 5 9,804 0 0 16 31,37 22 43,14 8 15,69

65 0 0 4 7,843 20 39,22 21 41,18 6 11,76

Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Continuidad del Negocio.

Fuente: Autor Las respuestas visualizadas en la Tabla 13, Gráfico 10, permitieron evaluar en

relación a la dimensión gestión de continuidad del negocio. En este sentido, el

ítem 64 (¿Se identifican los eventos que pueden causar las interrupciones a los

procesos de la DIRTIC, al mismo tiempo que la probabilidad e impacto de tales

interrupciones y sus consecuencias para la seguridad de la información?), se

observa una tendencia negativa siendo la alternativa Casi Nunca la que presenta

-70-

mayor puntuación con un 43,14%, esto refleja que no están identificados aquellos

eventos que pueden causar interrupción del servicio.

El ítem 65 (¿Se desarrollan e implementan planes para mantener y recuperar las

operaciones y asegurar la disponibilidad de la información al nivel requerido y en

los plazos requeridos, tras la interrupción o la falla de los procesos críticos de la

DIRTIC?), el 41,18% opinó que Casi Nunca.

Estos resultados evidencian que se tienen poco conocimiento para proteger los

procesos de seguridad de la Dirección de Tecnologías de la Información y

Comunicaciones así como de las instituciones militares, de los efectos de fallas

significativas de los sistemas de información y asegurar su reanudación oportuna.

Dimensión: Cumplimiento

Esta dimensión contiene cuatro (04) ítems que permitieron obtener información si

se evitan incumplimientos de cualquier ley, estatuto, obligación reglamentaria o

contractual, así como también de cualquier requisito de seguridad.

Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión Cumplimiento. Fuente: Autor


66 8 15,69 1 1,96 17 33,33 17 33,33 8 15,69

67 2 3,92 1 1,96 17 33,33 27 52,94 4 7,84

68 5 9,80 2 3,92 13 25,49 19 37,25 12 23,53

69 4 7,84 2 3,92 17 33,33 23 45,10 5 9,80

-71-

Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre Cumplimiento.

Fuente: Autor

En la Tabla 14 y el Gráfico 11, reflejan las respuestas emitas por los sujetos de

estudio. En el ítem 66 (¿Se definen, documentan y se actualizan todos los

requisitos legales, reglamentarios y contractuales para cada sistema de

información de la DIRTIC?) y el ítem el 67 (¿Se implementa procedimientos

apropiados para asegurarse del cumplimiento de los requisitos legales,

reglamentarios y contractuales sobre el uso del material protegido por derechos

de propiedad intelectual, y sobre el uso de productos de software reservados?),

las respuestas dadas son negativas, con un 33,33% y un 52,94% respectivamente

para la alternativa Casi Nunca.

Estas respuestas permite inferir que no se consideran o no se identifica la

legislación aplicable a los sistemas de información que tiene la Dirección de

Tecnologías de la Información y Comunicaciones así como de las instituciones

militares, lo que hace suponer que no está definido explícitamente y

-72-

documentando todo lo que guarde relación con los requisitos legales, derecho de

la propiedad intelectual, el uso de productos de software reservados.

En el ítem 68 (¿Se protegen los registros importantes contra pérdida, destrucción

y falsificación, de acuerdo con los requisitos legales, estatutarios, reglamentarios

y contractuales de la DIRTIC?), el 37,25% opinó que Casi Nunca y en el ítem 69

(¿Se planifican actividades de auditorías que involucren comprobaciones en los

sistemas operativos y sistemas de información a fin de minimizar el riesgo de

interrupción de los procesos de la DIRTIC?), el 45,10% señaló que Casi Nunca.

Estos resultados evidencian, la poca importancia que se le presta a la protección

de la información clasificada.

3.2.8 OBSERVACIÓN DIRECTA

En lo que respecta a la observación directa, no participante y sistemática de la

realidad objeto de estudio y tomando como guía la norma (ISO/IEC 27001:2005,

2005), en el Anexo F, se encuentra los objetivos de control y controles listados en

la Tabla A.1.

En este sentido, la norma señala que “están directamente derivados y alineados

con aquellos listados en los capítulos 5 al 15 de la Norma (ISO /IEC 17779:2005,

2005), Las listas en la Tabla A.1 no son exhaustivas y una organización puede

considerar que son necesarios objetivos de control y controles adicionales”.

A continuación en la Tabla 15 se detallan las observaciones realizadas en relación

a cada uno de los objetivos de control.

-73-

Tabla 15. Observación directa.

Fuente: Autor

Cláusulas Objetivo de control Controles Observación directa

A.5. Política de Seguridad

A.5.1. Política de Seguridad de la Información

A.5.1.1. Documento de la política de seguridad de la Información

No existe un documento de política de seguridad de información

A.6. Organización de la Seguridad de la información

A.6.1. Organización Interna

A.6.1.1. Compromiso de la dirección para la seguridad de la información

Existe un reglamento y los lineamientos de Tecnología aprobados por la DIRTIC

A.6.1.3. Asignación de responsabilidades sobre la seguridad de la información

No están definidas claramente todas las responsabilidades de seguridad de la información

A.6.2. Partes externas A.6.2.1. Identificación de riesgos relacionaos a partes externas

No están identificados los riesgos a la información y recursos de procesamiento de la información

A.7. Gestión de activos

A.7.1. Responsabilidad por los activos

A.7.1.1. Inventario de activos

Se tiene una mediana documentación de lo que debería ser un inventario de servicios de información y de hardware

A.7.1.3. Utilización aceptable de los activos

No están implementadas las reglas para la utilización aceptable de la información y los activos asociados con las instalaciones.

A.7.2. Clasificación de la información

A.7.2.1 Directrices de clasificación

No está clasificada la información de acuerdo con su valor, sensibilidad y criticidad para la DIRTIC.

A.7.2.2 Etiquetado y manejo de la información

No se han desarrollados procedimientos para etiquetar la información

A.8. Seguridad de recurso humanos

A.8.1. Antes del empleo A.8.1.1 Roles y responsabilidades

No están documentadas las responsabilidades de seguridad de los empleados, contratistas y usuarios.

A.8.1.3. Términos y condiciones de empleo

Los empleados, contratistas y usuarios no firman acuerdos donde se establezcan responsabilidades por la seguridad de la información en la DIRTIC.

A.8.2. Durante el empleo A.8.2.3 Proceso disciplinario

No existe proceso disciplinario formal para los empleados que cometan un incumplimiento de seguridad

A.8.3. Terminación o cambio de empleo

A.8.3.1. Responsabilidades de la terminación

No están definidas claramente las responsabilidades para llevar a cabo la terminación o cambio de empleo

-74-

A.8.3.2 Devolución de los activos

No se cumple en su totalidad la devolución de todos los activos de la DIRTIC una vez terminado la relación laboral.

A.8.3.3. Retiro de los derechos de acceso

Se mantienen lazos de amistad y se observa que empleados que han sido cambiados de oficinas mantienen acceso a la información y recursos para el procesamiento de la información

A.9 Seguridad física y ambiental

A.9.1 Áreas seguras A.9.1.1 Perímetros de seguridad

El cuarto de cableado principal y de servidores si presenta seguridad, la puerta principal es de aluminio y vidrio, las paredes son de cemento y el techo no está desprotegido

A.9.2. Seguridad de los equipos

A.9.2.2. Seguridad del cableado

Se observa que el cableado de energía eléctrica y de comunicaciones que transporta datos se encuentra protegido, no se violentan todas las normas del cableado estructurado, no está certificado.

A.10 Gestión de comunicaciones y operaciones

A.10.1 Procedimientos y responsabilidades de operación

A.10.1.1. Documentación de procedimientos operativos

Se está realizando la documentación de los servidores y servicios que tienen en la DIRTIC, el personal desconoce de esta documentación, debe realizar adiestramiento.

A.10.3 Planificación y aceptación del sistema.

A.10.3.1. Gestión de la capacidad

Se realiza los seguimientos de los requisitos de los nuevos sistemas.

A.10.4. Protección contra código malicioso y movible

A.10.4.1. Controles contra código malicioso.

Existen antivirus en las estaciones de trabajo, pero los usuarios no tienen conciencia y bajan información no autorizada lo cual ponen en riesgo a los sistemas de información.

A.10.5. Copia de Seguridad

A.10.5.1 Copia de seguridad de la información.

Tienen respaldo y copias de seguridad de la información y software falta procedimientos.

A.10.6 Gestión de seguridad de la red.

A.10.6.1 Control de la red La DIRTIC, cuenta con un Administrador de red y una división de redes y comunicaciones, lo cual permite mejorar la administración y la seguridad de las redes.

A.10.7 Manejo de medios removibles.

A.10.7.2 Disposición de medios

No existen procedimientos formales para eliminar cualquier elemento que contiene información.

-75-

A.10.7.3 Procedimiento de manejo de la información

No existen procedimiento para el manejo y almacenamiento de la información.

A.10.10 Seguimiento A.10.10.1 Registro de auditoria

No se auditan las logs que registran actividad y eventos de seguridad. Se monitorea levemente el uso de los sistemas.

A.10.10.5 Registro de fallas

No existen

A.10.10.6 Sincronización de relojes

Se sincronizan toda la plataforma de servidores

A.11 Control de accesos

A.11.1 Requisitos del negocio para el control de accesos.

A.11.1.1. Requisitos del negocio para el control de accesos.

Existe una política de control de acceso.

A.11.2 Gestión de accesos de usuarios

A.11.2.1 Registro de usuarios

Existe un procedimiento formal.

A.11.2.3 Gestión de contraseñas de usuario

Se lleva una administración formal de asignación de contraseñas.

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información

A.12.1 Requisitos de seguridad de los sistemas de información.

A.12.1.1 Análisis y especificación de los requisitos de seguridad

Se especifican los requisitos de control de seguridad en los sistemas de información

A.12.2 Procesamiento correcto en las aplicaciones

A.12.2.1 Validación de datos de entrada

Existen procedimientos de validación de datos de entrada elementales, pero no garantizan que los datos sean correctos.

A.12.2.2 Control de procesamiento interno

Existen comprobaciones de validación en los sistemas

A.12.2.4 Validación de los datos de salida

La información procesada por los sistemas de información es revisada continuamente.

A.13 Gestión de los incidentes de seguridad de la información

A.13.1 Reportar los eventos y debilidades de seguridad de la información

A.13.1.1 Reporte de los eventos de seguridad de información

Existen registros de los incidentes de seguridad.

A.13.1.2 Reporte de debilidades de seguridad

Existe reporte de debilidades sospechadas a los sistemas.

A.14 Gestión de continuidad del negocio.

A.14.1 Aspectos de seguridad de la información de la gestión de continuidad del negocio

A.14.1.2 Continuidad del negocio y evaluación de riesgo

No están identificados los eventos de seguridad que causan interrupciones al servicio en la DIRTIC.

A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información.

No existen planes de contingencias para mantener y recuperar las operaciones en el menor tiempo posible.

A.15 Cumplimiento A.15.1 Cumplimiento de requisitos legales

A.15.1.1 Identificación de la legislación aplicable.

Falta documentación de los sistemas de información

A.15.1.2 Derechos de propiedad intelectual (DPI)

LA DIRTIC si presenta documentación técnica y tiene licencias de Software

-76-

A.15.1.3 Protección de los registros de la organización.

Los archivos de información de cada una de las oficinas presentan buena protección.

A.15.3 Consideraciones de auditoria de los sistemas de información

A.15.3.1 Controles de auditoria de los sistemas de información

No se planifican actividades de auditoria que involucren comprobaciones en los sistemas operativos.

3.2.9 CONCLUSIONES DEL DIAGNÓSTICO

Tomando en consideración los objetivos de la investigación y el análisis e

interpretación de las respuestas dadas por los sujetos de estudio en el

instrumento aplicado y las observaciones hechas directamente en relación a los

requerimientos de la institución y utilizando el numeral 4.2.1 de la norma, las

conclusiones del estudio son las siguientes:

a. Existe un documento de política de seguridad de la información pero no se

encuentra aprobado por la Dirección, incumpliendo con el numeral 5) del

literal 4.2.1 b) de la norma, el cual establece “Definir una política del SGSI

acorde con las características de la actividad empresarial, la organización,

su ubicación, sus activos y tecnología, que: sea aprobada por la Dirección”

b. En referencia a la organización de la seguridad de la información no se

llevan eficazmente las políticas de seguridad de la información y no están

definidas claramente todas las responsabilidades individuales para

alcanzarla, incumpliendo con el numeral 1) del literal 4.2.1 a) de la norma,

el cual establece “incluya un marco para la fijación de objetivos y

establezca una orientación general sobre las directrices y principios de

actuación en relación con la seguridad de la información”

c. No se encuentran establecidos los requisitos para los acuerdos de

confidencialidad de la información, se consideran todos los requisitos de

seguridad antes de dar acceso al cliente o usuario de la información

externo a la DIRTIC e instituciones militares, incumpliendo con el numeral

-77-

4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de

estimación riesgos”.

d. No están establecidos los perímetros de seguridad para las áreas que

contienen información crítica de la DIRTIC, cumpliendo con el numeral 4)

del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de


e. No se cumplen los procedimientos para permitir el acceso sólo al personal

autorizado, incumpliendo con el numeral 5) del literal 4.2.1 b) de la norma,

el cual establece “Definir una política del SGSI acorde con las

características de la actividad empresarial, la organización, su ubicación,

sus activos y tecnología, que: sea aprobada por la Dirección”.

f. Se tiene poco conocimiento para proteger los procesos administrativos

críticos de la DIRTIC de los efectos de fallas significativas de los sistemas

de información y asegurar su reanudación oportuna, incumpliendo con el

numeral 2) del literal 4.2.1 b) de la norma, el cual establece “tenga en

cuenta los requisitos de la actividad empresarial, los requisitos legales o

reglamentarios y las obligaciones de seguridad contractuales”.

g. Se lleva una correcta administración y control de la red, es decir, se

implementan todas las medidas posibles para evitar amenazas y mantener

la seguridad de los sistemas y aplicaciones que circulan por ella,

cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual

establece “establezca criterios de estimación riesgos”.

h. Se realizan copias de seguridad de la información y software que dispone

la DIRTIC y se prueba periódicamente, cumpliendo con el numeral 4) del

literal 4.2.1 b) de la norma, el cual establece “establezca criterios de


i. Existen políticas de control de acceso a la información de la DIRTIC, pero

debe ser revisado y documentado, cumpliendo con el numeral 4) del literal

4.2.1 b) de la norma, el cual establece “establezca criterios de estimación

riesgos”.

-78-

j. No se encuentran identificados los eventos que pueden causar

interrupciones, sus efectos y consecuencias para la seguridad de la

información de la DIRTIC, incumpliendo con el numeral 3) del literal 4.2.1

b) de la norma, el cual establece “esté alineada con el contexto de la

estrategia de gestión de riesgos de la organización contexto en el que

tendrá lugar la creación y el mantenimiento del SGSI”.

3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO

Los resultados de la investigación fueron analizados utilizando la norma ISO/IEC

27001:2005, de allí se presentan las siguientes recomendaciones:

a. Completar y aprobar por la Dirección el documento de política de

seguridad de la información y realizar el documento del plan de seguridad,

como nivel de planeamiento.

b. Publicar el documento de política de seguridad de la información e informar

a toda la DIRTIC y las instituciones militares, de acuerdo a lo que se

describe en la Tabla A.1 Objetivo de control y controles, literal A.5.1.1 de la

norma.

c. Determinar y revisar periódicamente la necesidad de establecer acuerdos

de confidencialidad por las autoridades militares de la DIRTIC y las

instituciones militares para que apoyen activamente la seguridad de la

información y confidencialidad de la información, a través de un

compromiso demostrado, con la asignación explícita de las

responsabilidades de seguridad de la información, de acuerdo a lo que se

describe en la Tabla A.1 literal A.6.1.5 de la norma.

d. Utilizar perímetros de seguridad para proteger las áreas que contienen la

información crítica de la DIRTIC de acuerdo a lo que se describe en la

Tabla A.1 literal A.9.1.1 de la norma.

-79-

e. Definir políticas y procedimientos de funciones y responsabilidades para el

control de accesos y seguridad del personal, de acuerdo a lo que se

describe en la Tabla A.1 literal A.8.1.1 de la norma.

f. Documentar y mantener los procedimientos de operación para asegurar la

reanudación oportuna de los servicios, de acuerdo a lo que se describe en

la Tabla A.1 literal A.10.1.1 de la norma.

g. Asegurar la protección de la información en las redes frente a posibles

amenazas y para mantener la seguridad de los sistemas y aplicaciones de

la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.6.1

de la norma.

h. Mantener la integridad y seguridad de la información de la DIRTIC,

realizando las copias de seguridad de la información y software, de

acuerdo a lo que se describe en la Tabla A.1 literal A.10.5.1 de la norma.

i. Establecer, documentar y revisar una política de control de acceso a la

información que dispone la DIRTIC, de acuerdo a lo que se describe en la


j. Identificar los eventos que pueden causar interrupciones en los procesos

de negocios, así como sus efectos y consecuencias para la seguridad de la

información que dispone la DIRTIC, de acuerdo a lo que se describe en la


3.3 FASE II FACTIBILIDAD

El estudio de factibilidad para determinar la viabilidad del Diseño de un Sistema

de Gestión de Seguridad de la Información para las Instituciones Militares, abarca

la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o

metas señalados, la factibilidad se apoya en 3 aspectos básicos: operativa,

técnica y económica.

-80-

3.3.1 FACTIBILIDAD OPERATIVA

La factibilidad operativa, se refiere a todos aquellos recursos donde interviene

algún tipo de actividad o procesos, depende de los recursos humanos que

participen durante la operación del proyecto, durante esta etapa se identifican

todas aquellas actividades que son necesarias para lograr el objetivo y se evalúa

y determina todo lo necesario para llevarla a cabo, siguiendo los siguientes pasos:

a. Establecer el compromiso y el reconocimiento de la Dirección sobre las

responsabilidades de seguridad de la información.

b. Verificar si existe el presupuesto necesario para capacitación del personal

involucrado en el Diseño de un Sistema de Gestión de Seguridad de la

Información para las Instituciones Militares.

c. Establecer el compromiso necesario de la Dirección para el establecimiento

del Diseño de un SGSI para las Instituciones Militares.

d. Realizar la capacitación sobre las normas básicas de Seguridad de

Información, Políticas de Seguridad Cibernética del Ministerio de Defensa

Nacional publicada en el MIDENA8.

Una vez realizado las actividades anteriores se determinará la factibilidad

operativa, si los usuarios están en la mejor disposición y compromiso para el

desarrollo del Diseño de un Sistema de Gestión de Seguridad de la Información

para Instituciones Militares.

8 Política de Seguridad Cibernética del Ministerio de Defensa Nacional (MIDENA), con el propósito de establecer una cultura institucional de Seguridad Tecnológica.

-81-

3.3.2 FACTIBILIDAD TÉCNICA

La factibilidad técnica es un análisis de la tecnología requerida para conseguir la

funcionalidad y el rendimiento del proyecto propuesto, cuál es el riesgo de

desarrollo y cómo afectan éstos elementos en el costo del proyecto. Además, se

debe definir si el problema se puede resolver con los medios actualmente

existentes y el grado de adaptación de la solución a la tecnología con la que

cuenta la organización, para lo cual se seguirá los siguientes pasos:

a. Realizar una evaluación de las capacidades técnicas requeridas para las

alternativas del diseño.

b. Verificar si el personal la experiencia técnica para establecer el Diseño de un

Sistema de Gestión de Seguridad de la Información para las Instituciones

Militares.

c. Verificar que el personal con experiencia suficiente en el área de seguridad de

la información que será la encargada de supervisar el Diseño de un Sistema

de Gestión de Seguridad de la Información para las Instituciones Militares.

d. Evaluar la Infraestructura Tecnológica que posee la institución y las requeridas

para el Diseño.

e. Analizar el grado de aceptación que genera el Diseño de un Sistema de

Gestión de Seguridad de la Información para las Instituciones Militares.

-82-

Una vez realizado las actividades anteriores se determinará la factibilidad técnica,

si el personal que labora en la Institución posee experiencia técnica requerida

para el Diseño y la Infraestructura Tecnológica que posee son las adecuadas

para el proyecto.

3.3.3 FACTIBILIDAD ECONÓMICA

La factibilidad económica es un análisis que se realizará para determinar el costo-

beneficio del Diseño de un Sistema de Gestión de Seguridad de la Información

para Instituciones Militares.

(Seen, 1987), señala que “en el desarrollo de un sistema los beneficios

financieros deben igualar o exceder los costos de inversión para la empresa, para

poderse considerar factible económicamente”, por lo cual permite la utilización de

los servicios y sistemas que se dispone de manera eficaz y eficiente, rendir

cuentas en los lapsos previsto, minimizar los tiempos de respuestas a las

peticiones realizadas por los usuarios, tener información actualizada y

consolidada así como control y auditoría de los servicios, sistemas, debido a que

la seguridad de la información juega un papel preponderante y cualquier monto de

inversión para establecer el Diseño de SGSI para las Instituciones Militares, es

considerado ínfimo respecto a los beneficios que se obtienen.

Al analizar la factibilidad operativa, técnica y económica se determinará si el

Diseño de un Sistema de Gestión de Seguridad de la Información para las

Instituciones Militares, basado en las normas (ISO/IEC 27001:2005, 2005) es

viable.

-83-

3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI

Una vez identificada la necesidad en la fase de diagnóstico y estudiada la

Factibilidad de establecer el Diseño del Sistema de Gestión de Seguridad de la

Información para las Instituciones Militares, se procedió al establecimiento del

Diseño del SGSI, cláusula 4.2 del ISO 27001:2005.

3.4.1 DISEÑO DEL SGSI

a. Definir el alcance y los límites del Diseño del Sistema de Gestión de Seguridad

de la Información para las Instituciones Militares en términos de las

características de la DIRTIC, localización, activos y tecnología.

b. Definir una política del Diseño del Sistema de Gestión de Seguridad de la

Información para las Instituciones Militares en término de las características de

la DIRTIC, su ubicación, activos y tecnología.

c. Definir el enfoque de evaluación del riesgo de la organización.

1. Identificar una metodología de evaluación del riesgo que sea adecuada al

Diseño del SGSI, a la seguridad de la información y a los requisitos legales

y reglamentarios.

2. Desarrollar criterios para la aceptación de los riesgos e identificar los

niveles aceptables de riesgo.

-84-

d. Identificación los riesgos.

1. Identificar los activos dentro del alcance del SGSI y los dueños de esos

activos.

2. Identificar las amenazas a esos activos.

3. Identificar las vulnerabilidades que podrían ser aprovechadas por las

amenazas.

4. Identificar los impactos que las pérdidas de confidencialidad, integridad y

disponibilidad puedan tener sobre los activos.

e. Analizar y evaluar los riesgos

1. Evaluar los impactos que puedan resultar en fallas de seguridad, tomando

en cuenta las consecuencias de una pérdida de la confidencialidad,

integridad o disponibilidad de los activos.

2. Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo

en cuenta las amenazas predominantes y vulnerabilidades, e impactos

asociados con estos activos, y los controles implementados actualmente.

3. Estimar los niveles de riesgos.

4. Determinar si los riesgos son aceptables o si requieren tratamiento

utilizando los criterios para la aceptación de los riesgos establecidos en

4.2.1 c) 2).

f. Identificar y evaluar las opciones para el tratamiento de los riesgos.

g. Seleccionar los objetivos de control y los controles para el tratamiento de los

riesgos

-85-

h. Obtener la aprobación de los riesgos residuales propuestos por la dirección.

i. Obtener la autorización de la dirección para implementar y operar el SGSI.

j. Preparar una declaración de Aplicabilidad.

-86-

CAPÍTULO 4. APLICACIÓN DEL DISEÑO DE UN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN PARA INSTITUCIONES MILITARES.

4.1 DESCRIPCIÓN DE LA PROPUESTA

Para realizar el Diseño de un Sistema de Gestión de Seguridad de la Información

para Instituciones Militares, se utilizará la norma ISO/IEC 27001:2005, el cual

adopta el enfoque de procesos basado en el ciclo Deming “Planificar – Hacer –

Verificar – Actuar” (PHVA).

En el Diseño de un Sistema de Gestión de la Información para Instituciones

Militares, se tomará como referencia a la Dirección de Tecnologías de la

Información y Comunicaciones (DIRTIC), al flujo de la información militar a través

del Sistema de Comunicaciones Navales9, al utilizar los servicios y sistemas

informáticos por los usuarios de los repartos navales y militares.

La DIRTIC tiene como función básica Planificar, gestionar, estandarizar,

controlar, integrar, e implementar proyectos, sistemas y servicios telemáticos;

manteniendo su disponibilidad y operatividad, de tal forma que el flujo de

información sea seguro, confiable y oportuno, para facilitar el cumplimiento de las

tareas operativas y administrativas en las Instituciones Militares10.

9 D.G.P. COGMAR-INF-002-2010-O. Directiva General Permanente. Seguridad de la Información. 10 DIRTIC. Estatuto Orgánico por Procesos. Función Básica.

-87-

El SGSI propuesto dentro de esta tesis exige que se siga una serie de requisitos

para que se establezca a través de la fase denominada “Planificar” una vez

establecido el modelo se implementa siguiendo los lineamientos de la fase

“Hacer”.

Cuando el modelo se ha implantado y está funcionando, se debe “monitorear y

revisar” durante la fase “verificar” y por último, con base en lo observado, se

procede a “Actuar” y tomar correctivos necesarios.

Este modelo permite proceder metodológicamente para efectuar una identificación

de activos de información dado un alcance determinado, distinguir entre el análisis

y evaluación del riesgo y visualizar la relación causa - efecto entre los elementos

del riesgo.

4.3 ALCANCE DEL DISEÑO DEL SGSI.

El alcance del Diseño del Sistema Gestión de Seguridad de la Información para

las Instituciones Militares, tomando como referencia la Dirección de Tecnologías

de la Información y Comunicaciones de la Armada, se encuentra contemplado de

acuerdo a los requerimientos de la Institución y basados en la norma ISO/IEC

27001:2005, en el numeral 4.2.1 literales a) a la j), se realizará en la Armada del

Ecuador, tomando como caso de estudio a la Dirección de Tecnologías de la

Información y Comunicaciones (DIRTIC) y al Centro de Tecnología de la

Información (CETEIN), ubicado en el Edificio de la Dirección General del Material,

segundo piso, de acuerdo a como se ilustra en el Anexo G y Anexo H.

-88-

Se determinará el alcance del diseño del SGSI, política del SGSI, enfoque de

evaluación de riesgo, identificación del riesgo, análisis de riesgo y su evaluación,

plan de tratamiento del riesgo y el proceso de toma de decisión gerencia y la

revisión de los riesgos y la reevaluación.

Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información

para Instituciones Militares, tomando como caso de estudio a la Dirección de

Tecnologías de la Información y Comunicaciones (DIRTIC) y al Centro de

Tecnología de la Información (CETEIN) permitirá que los riesgos de la seguridad

de la información sean asumidos, gestionados y minimizados por la Institución de

una forma evaluada, documentada y estructurada.

Es importante aclarar que los aspectos que conforman la confidencialidad de la

información en las Instituciones Militares, son un factor importante en el desarrollo

de la investigación y es por eso que la información mostrada de la Armada del

Ecuador y de la Dirección de Tecnologías de la Información y Comunicaciones es

referencial y solo para efectos académicos respectivos, en vista que la

información militar11 es secreta y confidencial.

Para la implementación, operación, revisión, mantenimiento y mejora del Sistema

de Gestión de Seguridad de la Información para Instituciones Militares sólo se

especificará los lineamientos generales.

Para identificar con precisión las interfaces y dependencias del SGSI con otras

entidades de la DIRTIC, CETEIN y entidades civiles y militares externas, se optó

por utilizar la metodología propuesta por (Alexander, 2007, pág. 42), el método de

las elipses, definida como “…método que permite, dado un determinado alcance

de un SGSI, identificar sus interfaces, interdependencias con áreas y procesos,

11 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.

-89-

así como averiguar el tipo de memorando de entendimiento que existe o debiera

de elaborarse, así como los contratos existentes y los grados de acuerdo

necesarios”.

Se realizaron los siguientes pasos:

a) Se determina en la elipse concéntrica los distintos procesos y subprocesos que

se realizan la DIRTIC.

b) Se identificó en la elipse intermedia las distintas interacciones que los procesos

de la elipse concéntrica tiene con otros procesos de la DIRTIC y las Instituciones

Militares

c) Se identificaron aquellas organizaciones extrínsecas a la DIRTIC que tienen

cierto tipo de interacción con los procesos y subprocesos identificados en la elipse

concéntrica

d) Se unió con flechas los tipos de interacción y la direccionalidad que tiene el

flujo de información, la Figura 5 muestra este método aplicado a la DIRTIC,

CETEIN y a los servicios que dispone esta Dirección.

-90-

Figura 5. Metodología de las elipses de Dirección de Tecnologías de la Información y Comunicaciones.

Fuente: Autor.

La interconexión física de todos los equipos que permiten la comunicación de los

sistemas que disponen la Dirección de Tecnologías de la Información y

Comunicaciones (DIRTIC) y el Centro de Tecnología de la Información (CETEIN),

se ilustra en la Figura 6 los cuales son los activos que se utilizarán para el Diseño

del Sistema de Gestión de Seguridad de la Información para Instituciones

Militares.

-91-

Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la Información y Comunicaciones.

Fuente: Autor.

4.3 POLÍTICA DE UN SGSI

Una vez determinado el alcance del Diseño del Sistema de Gestión de Seguridad

de la Información para Instituciones Militares, la DIRTIC debe establecer una clara

política de seguridad para apoyar al Diseño del Sistema de Seguridad de

Información para Instituciones Militares, la (ISO /IEC 17779:2005, 2005), plantea

que el objetivo de la política es: “… proveer a la gerencia dirección y apoyo para

la seguridad de la información”.

DIAGRAMA FÍSICO DE RED

TELCONET

SW CORE

SWSERVIDORES

REDMODE

SW PUBLICO

FW-P FW-STBY

SWBACKBONE

ESDESU1 2 3

CLUBNADIMARE

TALLERESNIVEL-III

SERVIDORESDIGREH

FORTINET

PROXY

SERVIDORESDIRTIC

NÚCLEO

DISTRIBUCIÓN

ACCESO

-92-

Las políticas deben ser realizadas por el Departamento de Normalización y

Seguridad Telemática y aprobadas por la Dirección de Tecnologías de la

Información y Comunicaciones y se deben dar a conocer a todas repartos de las


En el Anexo H, se observan las políticas de seguridad de la información para la

Dirección de Tecnologías de la Información y Comunicaciones, las mismas que

contienen:

· Alcance de la política

· Definiciones

· Descripción de las políticas

o Acceso a la información

o Administración de cambios

o Seguridad de la información

o Seguridad para los servicios informáticos

o Seguridad en los recursos informáticos

o Seguridad en comunicaciones

o Seguridad para los usuarios externos

o Software utilizado

o Actualización de hardware

o Almacenamiento y respaldo

o Contingencia

o Auditoría

o Seguridad física

-93-

o Estaciones de trabajo

o Administración de la seguridad

4.4 ENFOQUE DE EVALUACIÓN DE RIESGO

El enfoque y la filosofía para el riesgo en una organización están determinados de

manera muy precisa por el ISO/IEC 27001:2005. En el Capítulo 2, se determina

que la, la metodología de evaluación de riesgo empleada es herramienta

CRAMM, y el IT Baseline Protection Model del BSI Alemán.

La herramienta CRAMM puede usarse con ISO 27001 así como para el manejo

de riesgo de negocios. (ESPE, 2005) Esta herramienta utiliza una escala de 1 a

10 para la valorización de los activos, de 1 a 5 niveles para las amenazas y de 1 a

3 para las vulnerabilidades y el cálculo del riesgo de 1 a 7 según una matriz.

El IT Baseline Protection Model del BSI Alemán, permite establecer los riesgos en

base a los activos, amenazas y contramedidas. Presenta una tabla de 200

amenazas clasificadas en cinco tipos: fuerza mayor, deficiencias

organizacionales, fallas humanas, fallas técnicas y actos deliberados, tiene la

desventaja de no trabajar directamente con vulnerabilidades.

Por lo anterior descrito, para la evaluación de riesgo de este proyecto no es

recomendable trabajar con una sola metodología, es importante conocer las

bondades de cada una y aprovecharlas para adaptarla en el Diseño de un

Sistema de Gestión de Seguridad de la Información para Instituciones Militares.

-94-

4.5 IDENTIFICACIÓN DEL RIESGO

El cálculo de los riesgos de seguridad de información incluye normalmente el

análisis y la evaluación del riesgo. El análisis del riesgo contemplará:

1) Identificar los activos dentro del alcance del SGSI y los dueños de esos activos

2) Identificar las amenazas a esos activos

3) Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas

4) Identificar los impactos que las pérdidas de confidencialidad, integridad y

disponibilidad puedan tener sobre los activos.

4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS

Se realizó el levantamiento de información y posteriormente la situación actual de

los activos de información de la Dirección de Tecnologías de la Información y

Comunicaciones, Centro de Tecnología de la Información y la sala de servidores,

clasificando en 7 clases de activos primarios considerando de acuerdo a los

activos que posee las instituciones militares, mirando los criterios de

confidencialidad, integridad y disponibilidad (ESPE, 2005).

Se identificaron los activos considerados vitales por el nivel de impacto que

representa a la misma en el caso de si fallara o faltara, por tal motivo se generó

un listado de los mismos, en el cual se asignó y clasificó a cada uno de los activos

por su nivel de importancia (escala 1 – 10), siendo el valor de 10 como el activo

de mayor importancia, como se detalla en la Tabla 16.

-95-

Tabla 16. Activos Primarios clasificados. Fuente: Autor.

ACTIVOS PRIMARIOS CLASIFICADOS

Clase 1 - Componentes de Protección Genérica

Clase 2 - Infraestructura

Clase 3 - Sistemas clientes y Computadoras aisladas

Clase 4 - Servidores y redes

Clase 5 - Sistemas de Transmisión de Datos

Clase 6 - Telecomunicaciones

Clase 7 - Otros componentes TI

CLASE 1 - COMPONENTES DE PROTECCION GENERICA

Nro. Nombre Activo Primario

Nivel Descripción general

1.1 Reparto 8 Conjunto de medidas generales y genéricas en el campo organizacional para una protección mínima en la DIRTIC y en TI tales como administración de medios de datos, procedimientos en el uso de contraseñas, entre otros.

1.2 Personal 5 Totalidad de cuestiones relacionadas con el personal en su influencia en la DIRTIC, desde su contratación, ausencias, entrenamiento, retiro, cambio de oficina, despido o jubilación.

1.3 Políticas de back up 9 Sistema de procedimientos sistemáticos y prevención de fallas técnicas, borrado o manipulación inadecuada para evitar que los datos se vuelvan inservibles o se pierdan.

1.4 Protección de virus 9 Prevención o detección de virus tan pronto como sea posible y minimización de posibles daños.

1.5 Información 9 Información clasificada

1.6 Gestión de hardware y software

7 Procedimientos de seguridad referidos al ciclo de vida de componentes de hardware y software.

CLASE 2 - INFRAESTRUCTURA



2.1 Edificios 2 Construcción donde se realizan operaciones de procesamiento de datos de la DIRTIC.

2.2 Cableado 5 Diseño y disposición de líneas de comunicaciones y servicios adicionales.

2.31 Oficinas 2 Lugar donde funciona la DIRTIC.

2.32 Sala de Servidores 9 Lugar donde se encuentran los servidores y componentes complementarios incluyendo los servicios de funcionamiento y prevención general.

2.33 Archivos de medios de datos

6 Lugar específico dentro de un ambiente donde se guardan medios de datos, típicamente de backup.

2.34 Cuarto de Cableado Secundario

2 Centros de conectividad, y las facilidades para su funcionamiento.

2.4 Gabinetes de protección

3 Armario para guardar medios de datos o hardware.

CLASE 3 - SISTEMAS CLIENTES Y COMPUTADORAS AISLADAS



3.1 Laptops 4 Computadoras portátiles en general.

-96-

3.2 PCs bajo Windows 3 PCs conectadas en red como clientes de un servidor.

CLASE 4 - SERVIDORES Y REDES



4.1 Red soportada por servidor

8 Computador que provee servicios a una red independientemente del sistema operativo que funcione.

4.2 Servidor Linux 8 a 10

Computador bajo sistema operativo Unix/Linux que provee servicios en una red.

4.3 Servidor Windows 8 a 10

Computador bajo sistema operativo Windows que provee servicios en una red.

4.4 Componentes activos de red

9 Routers, switches y demás dispositivos activos de conectividad; topología, configuración, selección y protocolos de comunicaciones.

4.5 Gestión de redes y sistemas

6 Operaciones centralizadas de chequeo y monitoreo centralizado de una red, y administración de usuarios, distribución de software y manejo de aplicaciones.

CLASE 5 - SISTEMAS DE TRANSMISION DE DATOS



5.1 Intercambio de medios de datos

4 Manejo de medios de datos en tránsito no electrónico; almacenamiento físico en origen y destino.

5.2 Modem 5 Dispositivo de comunicación de banda ancha

5.3 Firewall 10 Dispositivo de protección entre dos redes, típicamente en el acceso a Internet.

CLASE 6 - TELECOMUNICACIONES



6.1 Máquina de fax 2 Dispositivo de envío manual de imágenes de documentos vía telefónica.

CLASE 7 - OTROS COMPONENTES IT



7.1 Software y aplicaciones

7 Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que dispone la DIRTIC: requerimientos, selección, pruebas, aprobación, instalación, desinstalación.

7.2 Bases de datos 10 Selección, instalación, configuración y operación de un sistema de bases de datos por medio de un DBMS.

Una vez determinado los activos de acuerdo con el alcance del Diseño de un


se procede a identificar las amenazas y vulnerabilidades del mismo.

-97-

4.5.2 IDENTIFICACIÓN DE AMENAZAS

Los activos de información están sujetos a distintas formas de amenazas, una

amenaza puede causar un incidente no deseado que puede generar daño a la

organización y a sus activos, es decir es una situación en la cual una persona

puede hacer algo indeseable o una ocurrencia natural.

Las amenazas pueden ser de distintos tipos con base en su origen, en la Tabla 17

se muestra una clasificación de 5 tipos de amenazas y 5 niveles de amenazas

que afectan a los activos de la Dirección de Tecnologías de la Información y

Comunicaciones.

Tabla 17. Amenazas definidas. Fuente: Autor.

AMENAZAS DEFINIDAS

Tipo

Niveles de Amenazas

Fuerza Mayor Muy Baja 1

Deficiencias organizacionales Baja 2

Fallas humanas Media 3

Fallas técnicas Alta 4

Actos deliberados Muy alta 5

TIPO 1 - FUERZA MAYOR

Nro. Nivel Descripción Detalle

1.1 3 Pérdida de personal Por enfermedad, accidentes, muerte, huelgas que conduzcan a que tareas TI cruciales no se puedan efectuar.

1.2 4 Fallas de los sistemas TI De un único componente que puede afectar toda la operación TI. Fallas del ISP.

1.3 2 Rayos Que causen alto voltaje o el disparo de extinguidores automáticos de incendio paralizando las operaciones.

1.4 4 Incendio Además del daño directo el causado por el agua con que se ataca el incendio. Descuido en el manejo de material combustible, uso impropio de dispositivos eléctricos, fallas en el equipamiento eléctrico.

1.5 3 Inundación Por lluvia, inundaciones, agua usada en un incendio, bloqueo de drenajes.

1.6 2 Cables quemados Corte de conexiones, formación de gases agresivos, material aislante no resistente al fuego, fuego humeante sin llama en cables empaquetados.

-98-

1.7 2 Polvo y suciedad Por trabajos realizados en paredes, pisos, actualizaciones de hardware, materiales de empaquetado.

1.8 2 Efectos de catástrofes en el ambiente

En los alrededores de la DIRTIC. Desde accidentes técnicos y daños por colisiones.

1.9 2 Problemas causados por grandes eventos públicos

Interrupción de operaciones, violencias, cortes de líneas de transmisión.

1.10 2 Tormentas Desprendimiento de instalaciones en azoteas (por ejemplo aire acondicionado), paredes débiles que caen y cortan cables.

TIPO 2 - DEFICIENCIAS ORGANIZACIONALES

2.1 4 Falta o insuficiencia de reglas de seguridad en general

Organización: asignación responsabilidades, gestión de recursos

2.2 5 Conocimiento insuficiente de documentos sobre reglas y procedimientos

Falta información procedimientos manejo de dispositivos de almacenamiento y e-mails.

2.3 2 Recursos incompatibles o inadecuados

Memoria principal o espacio en disco insuficiente.

2.4 3 Monitoreo insuficiente de las medidas de seguridad IT

No se imprimen las entradas de consola para su análisis. Los servidores que se usan para comunicaciones externas deben chequearse semanalmente en cuanto a integridad.

2.5 2 Mantenimiento faltante o inadecuado

Baterías de UPS. Presión extinguidores.

2.6 1 Uso no autorizado de derechos

Derechos de admisión a hardware o software asignados a personas equivocadas, o un derecho abusado.

2.7 1 Uso no controlado de recursos

Los medios privados que pueden entrar virus en las PCs. Productos de limpieza no adecuados.

2.8 2 Ajuste deficiente a los cambios en el uso de IT

Cambios de derechos en personal por vacaciones. No se imprimen los cambios de procedimientos.

2.9 3 Medio de datos no disponible cuando se lo requiere

Falta de rotulación adecuada o almacenamiento en lugares no previstos.

2.10 3 Dimensionamiento insuficiente de redes y centro de cómputo

Sala de servidores, centros de cómputo. Capacidad red y computadores, extendida en línea por volumen de datos o nuevos servicios. Cableado. Nuevas normas.

2.11 2 Documentación insuficiente del cableado

Consecuencias por desconocimiento cableado interno y externo. Trabajos de terceros.

2.12 1 Protección inadecuada de dispositivos de distribución de energía

Si son accesibles en corredores y cajas de escaleras, cualquier persona podría manipularlos y causar una caída de energía.

2.13 2 Cambios no regulados de usuarios en laptops

Ante cambios de usuarios en móviles puede quedar información sensible o virus. Y si no se controlan esos cambios no se sabe quién los usó y cuándo.

2.14 1 Etiquetado inadecuado de medios de datos

El que recibe podría no poder identificar el origen, la información almacenada, o el propósito. Podría afectar una secuencia, los errores y correcciones que no quedan claros.

2.15 1 Entrega impropia de medios de datos

Puede caer en manos impropias. Direccionamiento, empaquetado, fallas de responsabilidad en recepción.

-99-

2.16 1 Provisión inadecuada de papel para máquinas de fax

Papel, batería

2.17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger

Si no hay protección con un firewall queda mucha información expuesta a Internet y hasta el resto puede deducirse u obtenerse con mayor facilidad.

2.18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P

Funciones P2P en un mismo servidor Windows; restricción de ancho de banda, retardos.

2.19 3 Procedimientos faltantes o inadecuados para test y liberación de software

Si no se hacen pruebas antes de instalar algo nuevo, pueden volverse amenazas. Sobre todo si se lo hace sin mayores conocimientos.

2.20 3 Documentación faltante o inadecuada

Varios: descripción de productos, uso por administrador y usuario, y de sistema. Impactan la selección y toma de decisiones. Archivos temporales con información sensible, configuraciones que cambian y pueden afectar aplicaciones que estaban corriendo, cableado.

2.21 2 Violación de derechos de autor

Software pirata.

2.22 4 Prueba de software con datos de producción

Pensando que así se obtiene una valuación definitiva de las funciones y performance. Puede ser que sean copias y en un ambiente aislado pero como son datos reales están expuestos a terceros no autorizados a leer esa información. Y si se hacen directamente en operación, a la pérdida de confidencialidad se agregan la de integridad y disponibilidad.

2.23 2 Planificación inadecuada de los dominios

En redes Windows pueden ocurrir relaciones de interconfianza inadecuadas. Esto puede darse especialmente cuando los derechos de acceso se hacen muy amplios asumiendo que nadie de otro dominio accederá los recursos locales.

2.24 3 Protección inadecuada del sistema Windows

Por default hay amplios derechos de acceso al sistema de archivos y registro.

2.25 1 Restricción inapropiada del ambiente de usuarios

Algunas permitidos, prohibidos todas los demás. O la inversa: algunas prohibidas, permitidas todas las demás.

2.26 2 Mecanismos de seguridad de bases de datos faltantes o implementados inadecuadamente

El software de BD trae generalmente mecanismos de seguridad que protegen los datos de accesos no autorizados, pero estos mecanismos generalmente no son automáticos sino que se activan manualmente por parte del administrador. Sino no se podría garantizar confidencialidad e integridad, así como tampoco identificar violaciones de seguridad de registro. Podría haber pérdidas de datos y la destrucción de la BD.

2.27 2 Complejidad del DBMS Si los mecanismos de seguridad propios no son suficientes, o si las medidas que recomienda el fabricante no se tienen en cuenta. En cuanto al concepto de DB: que los datos específicos de la aplicación no se almacenen en medios separados, o el no uso de db triggers y procedimientos almacenados, o si su uso no es consistente resulta proclive a manipulaciones que pueden afectar la integridad.

2.28 3 Complejidad del acceso a las bases de datos

Que los derechos sean muy restrictivos y no se puedan realizar algunas tareas. O que sean muy laxos permitiendo manipulaciones. Si los usuarios pueden acceder directamente a la DB. Salvaguardas insuficientes para el acceso remoto a la DB. Restricciones a las consultas.

2.29 1 Organización deficiente del cambio de usuario en bases de datos

Varios usuarios compartiendo una DB en la misma estación de trabajo y que no se deslogean.

-100-

2.30 3 Deficiencias conceptuales de las redes

Usuarios trabajando en grupos teniendo presente confidencialidad e integridad. Nuevas aplicaciones con mayores exigencias de ancho de banda. Pérdida de disponibilidad con redes propietarias. Componentes que no soportan ciertos protocolos.

2.31 1 Descripción inadecuada de archivos

Varios mensajes del mismo origen sin identificación adecuada, cuando a una serie de mensajes se hacen correcciones en uno de ellos.

2.32 2 Almacenamiento inadecuado de un medio en casos de emergencias

Por falta de capacidad de almacenamiento que se haga back up solamente de los archivos log y de configuración.

2.33 1 Operación de componentes no registrados

Componentes agregados desconocidos para el administrador.

2.34 4 Manejo inapropiado de los incidentes de seguridad

Las posibilidades siempre existen y los incidentes no pueden eliminarse. Lo importante es la respuesta dada a un incidente. Casos como nuevos virus, control del material que se mantiene en un servidor Web que puede indicar un signo de ataque, nuevas vulnerabilidades que se descubren en los sistemas IT, datos corporativos que han sido manipulados. Si no hay procedimientos apropiados para manejar incidentes se puede llegar a tomar decisiones incorrectas que afecten la seguridad (componentes que se mantienen pese a conocerse serias debilidades, o viceversa, se saca algo cuyo riesgo es menor.

2.35 3 Administración inapropiada de derechos de acceso

Porque intervienen muchas personas. No hay registro sistemático de todos los usuarios; quedan cuentas abiertas, o se acumulan derechos por cambios de actividades. Cuidado especial con los grupos.

TIPO 3 - FALLAS HUMANAS

3.1 2 Pérdida de confidencialidad /integridad de datos por errores de los usuarios

Impresiones en papel que caen en manos inapropiadas. Dispositivos de almacenamiento despachados sin borrar los datos anteriores. Derechos de acceso incorrectos que pueden hacer que se modifiquen datos críticos.

3.2 2 Destrucción negligente de equipamiento o datos

Apagado computador al aparecer mensaje de error que puede producir errores de integridad. Humedad de café, etc.

3.3 4 No cumplimiento con las medidas de seguridad TI

Por negligencia o pruebas insuficientes. Podrían producirse daños que podrían haberse previsto o al menos minimizados. Depende de la persona actuante.

3.4 1 Conexión inadmisible de cables

Por documentación o etiquetado deficiente. Puede ocasionar el paso de datos adicionales o a direcciones equivocadas.

3.5 2 Daño inadvertido de cables

Por falta protección, cables colgando, en el suelo, perforaciones, agua.

3.6 2 Riesgos planteados por el personal de limpieza o externo

Manejo inapropiado de equipos, o uso indebido o hurto de componentes.

3.7 2 Uso impropio del sistema TI

Negligencia o ignorancia de medidas de seguridad. Falta de información de la operación y funcionamiento correcto del sistema TI.

3.8 3 Administración inapropiada de los sistemas TI

Negligencia o ignorancia de medidas de seguridad. Si algunos puntos de acceso se crean o no se deshabilitan por no ser necesarios para la operación regular o proclive a errores.

3.9 1 Transferencia de registros de datos incorrecta o indeseada

Datos anteriores que no debieran aparecer. Si se envían electrónicamente las listas podrían no estar actualizadas respecto de personal que no trabaja más.

-101-

3.10 3 Exportación incorrecta de sistemas de archivos bajo Linux

Los discos exportados en Linux pueden montarse por cualquier computador con el nombre definido en /etc/exports. El usuario de ese computador puede asumir cualquier UID/GID, es decir que sólo se pueden proteger los archivos pertenecientes al root. Los archivos de todos los demás usuarios están completamente desprotegidos, especialmente los que pertenecen a usuarios privilegiados como bin o daemon.

3.11 4 Configuración impropia del sendmail

Errores de configuración que permitan obtener las IDs de usuario y grupo que estén setados con las opciones u y g (normalmente daemon).

3.12 1 Administración incorrecta del sitio y derechos de acceso a los datos

Derechos de acceso incorrectos pueden permitir acceder a datos de auditoria así como ocultar las manipulaciones.

3.13 1 Cambio incorrecto de usuarios de PC

Desregistro de un usuario antes de logearse otro por negligencia o conveniencia. Fallaría la auditoria de logs.

3.14 2 Administración impropia de una DBMS

Administración negligente o impropia de la DB, así como derechos de acceso demasiado generoso, irregularidad o falta de monitoreo, backups inadecuados, UDs inválidas pero no desactivadas, pueden producir pérdida de datos, manipulación intencional o inadvertida de datos, acceso no autorizado a datos confidenciales, pérdida de integridad de la DB, caída y destrucción.

3.15 3 Configuración inadecuada de los componentes activos de las redes

Configuración incorrecta de VLAN, tablas de enrutado en subredes sea el enrutado estático o de actualización automática por medio del RIP u OSPF, componentes que filtran protocolos y direcciones de red pero que también pueden permitir las conexiones de sistemas TI externos dentro de la red protegida.

3.16 1 Deshabilitación de un servidor en operación

Servidor de gestión deshabilitado se pierde lo que estaba en memoria, aparecerán inconsistencias en los datos administrados.

3.17 3 Errores en la configuración y operación

Información que ofrece el servidor Web, o un servidor DNS, contenidos ejecutables de un e-mail, archivos bajados, programas que se abren sin ser necesarios y que pueden usarse para ataques.

3.18 4 Manejo inapropiado de contraseñas

Que no las conozcan otras personas. Token cards perdidas. Nombres comunes, etc.

3.19 3 Falta de cuidado en el manejo de la información

Contraseñas escritas a la vista, información divulgada en celulares, viajando. Reparación de una máquina por cambio y quedan los datos para otro usuario.

TIPO 4 - FALLAS TECNICAS

4.1 2 Disrupciones en la fuente de energía

Cortes breves (UPS), UPS en condiciones para switch back.

4.2 2 Fallas de las redes internas de alimentación

Electricidad, teléfono, aire acondicionado. También por temperatura, agua, etc.

4.3 2 Medios de datos defectuosos

Discos con caída de la cabeza, CD por ralladuras superficiales.

4.4 5 Reconocimiento de vulnerabilidades en el software

Errores no intencionales del programa no conocidos por usuario. Se siguen encontrando debilidades. Contramedida

4.5 4 Diversidad de posibilidades de acceso a sistemas TI en red

Además del ingreso "directo" con contraseña, por sendmail que puede introducir textos, ftp anónimo sin contraseña, telnet registro completo. Windows más seguro.

-102-

4.6 1 Errores de transmisión de fax

Los errores en la ruta de transmisión o en los dispositivos de conexión pueden producir pérdidas o que la información se vuelva ilegible.

4.7 1 Defectos técnicos de las máquinas de fax

Disponibilidad e integridad pueden verse afectadas.

4.8 1 Pérdida de datos debido al agotamiento del medio de almacenamiento

No se puede almacenar más datos, email entrante se rechaza, no se pueden mantener auditorias.

4.9 4 Fallas de una base de datos

Por errores, o acto de sabotaje puede tener amplias consecuencias dependiendo de las funciones y significado de la DB. Consecuencias pérdidas financieras, interrupción parcial o total de las operaciones.

4.10 2 Pérdida de datos en una base de datos

Por manipulación inadvertida, caídas de la DB e intrusiones deliberadas. Podría impedirse la ejecución, perderse la correlación de datos. Puede ocurrir cuando se cambia el modelo de la DB.

4.11 3 Pérdida de integridad/consistencia de una base de datos

Corrupción parcial o datos no inteligibles por manipulación de datos no intencionales, chequeos inadecuados de la sincronización de transacciones, e intrusiones deliberadas.

4.12 5 Falla o mal funcionamiento de un componente de red

Puede afectar a toda la red o secciones de la misma. Podría ser un switch que afecta toda su área, o componentes activos en el camino de las comunicaciones (y no hay caminos redundantes), o para redundancia o balanceo de carga (con las consiguientes restricciones de ancho de banda).

4.13 4 Autenticación faltante o de pobre calidad

Pueden hacer que personas no autorizadas logren acceder al sistema, que no se puedan identificar las causas de problemas, o no se pueda determinar el origen de los datos. Esto ocurre por contraseñas débiles, o no se los cambia con regularidad, o hay fallas de seguridad frente a los que no se reacciona.

4.14 2 Falla de componentes de un sistema de gestión de red o de sistemas

Pueden fallar los componentes administrados, o los de monitoreo mismo, la estación central de gestión, o algún elementos de conmutación durante la transmisión correspondiente.

4.15 4 Vulnerabilidades o errores de software

Tanto standard como los demás. Quizás encripción de standard no es suficiente. Funciones sin documentar. Errores de seguridad en la programación, desborde de buffers.

4.16 1 Reconocimiento automático del DVD-ROM

Si el reconocimiento de DVD-ROM está activado en Windows puede ejecutarse algún programa peligroso en el momento del arranque.

TIPO 5 -ACTOS DELIBERADOS

5.1 2 Manipulación/destrucción de equipamiento o accesorios de TI

Equipos, accesorios y documentación. Inspección indebida de datos sensibles. Destrucción de medios de datos.

5.2 3 Manipulación de datos o software

Adquisición errónea de datos, cambios derechos de acceso, modificación de datos contables o de mail. Depende de los derechos de acceso de la persona.

5.3 3 Ingreso no autorizado a un edificio

Robo o alteración al poder entrar especialmente en la noche.

5.4 3 Robo Equipamiento TI, accesorios, software, datos, con información confidencial.

5.5 5 Vandalismo Es como un ataque, interno y externo, pero no determinado por empleados frustrados, clima de trabajo propicio.

5.6 4 Ataques Sobre los operadores TI.

-103-

5.7 3 Intercepción de líneas Existencia de programas debug de archivos que se pueden usar para otras causas.

5.8 3 Uso no autorizado de sistemas TI

Sin identificación y autenticación no se puede controlar el uso no autorizado. Elección de contraseñas. Uso de diccionarios para romperlas.

5.9 1 Intercepción de llamadas telefónicas y transmisiones de datos

Por conferencia oculta o intercepción de línea.

5.10 1 Escuchas furtivas de salas Terminales con micrófonos o uso del handsfree.

5.11 2 Mal uso de los derechos del administrador

Cuando se usan los privilegios del root de Unix para dañar el sistema o los usuarios. Puede ser con archivos con root como propietario y el bit seteado, o por medio del comando su.

5.12 3 Caballos de Troya Funciones escondidas sin documentar. Cualquier programa más archivos batch, secuencias de control que sean interpretados por sistemas operativos o aplicaciones.

5.13 4 Virus de computador Puede destruir datos. De buteo, de archivos y macro virus.

5.14 1 Copia no autorizada de medios de datos

Puede ocurrir cuando se lo reemplaza o transporta que se han copias.

5.15 1 Uso no autorizado de máquinas de fax

Que usen papel con membrete de la empresa para cualquier uso particular o dañino para la empresa.

5.16 1 Visualización no autorizada de mensajes de fax entrantes

Si están en lugar abierto, cualquiera podría leer un mensaje que entra.

5.17 3 Ingeniería social Generalmente mediante llamadas telefónicas haciéndose pasar por otros empleados o secretarias de jefes, o administradores para solucionar posibles errores. Hasta se puede usar para saber si una persona no estará por unos días y así intentar usar su cuenta.

5.18 3 Macro virus Vienen con archivos de Word o Excel. Se ejecutan al cargar el archivo.

5.19 4 Falsificación de dirección IP

Usado para ataques indirectos por medio de intermediarios con la dirección de origen falsificada como si proviniera de otro usuario de modo que las respuestas múltiples irán a la dirección de la víctima.

5.20 3 Abuso del protocolo ICMP Por ser el ICMP un protocolo para información de errores y diagnóstico puede ser manipulado indebidamente por un hacker.

5.21 4 Mal uso de los derechos de administrador en sistemas Windows

Puede asumir propiedad de cualquier archivo. Podrían que quede registrado hace back up en complicidad con los encargados del BU. Alteración de hora o seguimiento detallado de la actividad de usuario.

5.22 3 Manipulación de datos o software en sistemas de bases de datos

Provoca que los datos sean alterados o no puedan usarse por acción directa sobre los mismos o eliminación o modificación de archivos.

5.23 3 Conexión no autorizada de dispositivos de computación a una red.

Puede ocurrir conectándose al cableado de la red o directamente a las interfaces de dispositivos de interconexión.

5.24 2 Ejecución no autorizada de funciones de gestión de red.

Por medio del acceso a puertos administrativos de dispositivos de interconexión en forma local o remota.

5.25 1 Acceso no autorizado a componentes activos de red

Estos dispositivos tienen puerto serial RS 232 o USB lo que permite su administración. Así podría leerse su configuración y lo que puede deducirse de la misma.

-104-

5.26 3 Pérdida de confiabilidad en la información clasificada

Referida tanto a datos confidenciales tanto de la empresa como personales, así como también a la referida a contraseñas y certificados digitales.

5.27 4 Falsificación de DNS Ataque que consiste en alterar las tablas de equivalencia de nombres de sitios o máquinas con sus respectivas direcciones IP.

5.28 3 Pérdida de integridad de información que debiera estar protegida.

Imposibilidad de lectura, o alteración de datos accidental o maliciosamente.

5.29 3 Adquisición no autorizada de derechos de administrador con Windows

Esta cuenta no puede eliminarse ni deshabilitarse por lo que no reacciona frente a sucesivos intentos de registro. Una administración remota pasará la contraseña lo que facilita su escaneado. También están en el registro y en archivos conocidos, así como en dispositivos de almacenamiento y cintas de backups. También se podría lograr agregar una cuenta al grupo administrador.

5.30 1 Sabotaje Manipulación o daño de objetos. Robo de UPS.

Utilizando las amenazas clasificadas, se procederá a realizar un cruce de las

amenazas y los activos como se describe en la Tabla 18. Para que una

amenaza cause daño a algún activo de información tendría que explotar una o

más vulnerabilidades del sistema, aplicaciones o servicios usados por la

organización a efectos de poder ser exitosa en la intención de hacer daño.

-10

5-

Tab

la 1

8.

Cru

ce d

e la

s a

men

azas

Vs.

Ac

tiv

os.

Fuen

te: A

uto

r.

Am

en

aza

s A

ctiv

os

Prim

ari

os

1.1

1

.2

1.3

1

.4

1.5

1

.6

2.1

2

.2

2.3

1 2

.32

2.3

3 2

.34

2.4

3

.1

3.2

4

.1

4.2

4

.3

4.4

4

.5

5.1

5

.2

5.3

6

.1

7.1

7

.2

1.1

X

X

X

X

X

X

X

X

1.2

X

X

X

X

X

X

X

X

X

X

1.3

X

X

X

X

X

X

X

X

X

1.4

X

X

X

X

X

X

X

X

X

X

X

X

X

1.5

X

X

X

X

X

X

X

X

X

X

X

X

1

.6

X

X

X

X

X

X

X

X

X

1

.7

X

X

X

X

X

X

X

X

X

X

1.8

X

X

X

X

X

X

X

X

X

X

X

X

X

1.9

X

X

X

X

X

X

X

X

X

X

X

X

X

X

1

.10

X

X

X

X

X

X

X

X

X

X

X

X

X

2

.1

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

2

.2

X

X

X

X

X

2.3

X

X

2.4

X

X

X

X

X

X

X

2.5

X

X

X

X

X

X

2.6

X

X

X

X

X

X

X

X

2.7

X

X

X

X

2.8

X

X

2

.9

X

X

2.1

0

X

X

X

X

X

2.1

1

X

X

X

X

2

.12

X

X

X

X

X

X

X

X

X

2.1

3

X

X

-10

6-

2.1

4

X

X

2

.15

X

X

2.1

6

X

X

X

2.1

7

X

X

X

2.1

8

X

X

X

2.1

9

X

X

X

X

X

2.2

0

X

X

X

2.2

1

X

X

X

X

X

2.2

2

X

X

X

2.2

3

X

X

X

X

2

.24

X

X

X

X

X

2.2

5

X

2.2

6

X

2.2

7

X

2.2

8

X

2.2

9

X

X

X

X

2.3

0

X

X

X

2.3

1

X

X

X

2.3

2

X

X

X

2.3

3

X

X

X

X

X

X

X

2.3

4

X

X

X

2.3

5

X

3.1

X

X

X

X

3.2

X

X

X

X

X

3.3

X

X

X

X

X

X

X

X

X

3.4

X

3.5

X

X

X

X

X

-10

7-

3.6

X

X

X

X

X

3.7

X

X

X

X

X

X

X

X

3.8

X

X

3.9

X

X

3.1

0

X

X

3

.11

X

3

.12

X

X

X

3.1

3

X

X

X

3.1

4

X

3.1

5

X

X

X

3.1

6

X

X

3.1

7

X

X

X

X

X

3.1

8

X

X

X

X

X

X

X

X

3.1

9

X

X

X

X

4.1

X

X

X

X

X

X

X

X

X

X

X

4.2

X

X

X

X

X

X

X

4.3

X

4.4

X

X

4.5

X

X

X

4.6

X

4.7

X

X

4

.8

X

X

4.9

X

4.1

0

X

X

4.1

1

X

X

4.1

2

X

X

X

X

X

4.1

3

X

X

X

-10

8-

4.1

4

X

4.1

5

4

.16

X

5

.1

X

X

X

X

X

X

X

X

X

5.2

X

X

X

5.3

X

X

X

X

X

X

X

X

5.4

X

X

X

X

X

X

X

X

X

5.5

X

X

X

X

X

X

X

X

X

X

X

X

X

5.6

X

X

X

X

X

X

X

X

5.7

X

X

X

X

X

5.8

X

X

X

X

5.9

X

X

X

5.1

0

X

5.1

1 X

X

X

X

X

X

X

X

5.1

2

X

X

X

X

X

X

X

5.1

3

X

X

X

X

X

X

X

X

5

.14

X

X

X

X

5.1

5 X

5.1

6

X

5.1

7

X

X

X

5.1

8

X

X

X

X

X

X

X

X

X

5.1

9

X

X

X

X

5.2

0

X

X

X

5.2

1

X

5.2

2

X

5.2

3

X

X

5.2

4

X

X

X

-10

9-

5.2

5

X

X

5

.26

X

X

5.2

7

X

5.2

8

X

X

X

5.2

9 X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

5.3

0

-110-

4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES

Las vulnerabilidades son debilidades de seguridad asociadas con los activos de

información de una organización. Al respecto,(Alexander, 2007), define la

vulnerabilidad como una debilidad en el sistema, aplicación o infraestructura,

control o diseño de flujo que puede ser explotada para violar la integridad del

sistema.

Las vulnerabilidades no causan daño, simplemente son condiciones que

pueden hacer que una amenaza afecte un activo.

En la Tabla 19, se presenta las vulnerabilidades clasificadas en tipo 1: física,

organizacionales y operacionales, tipo 2: técnica para plataforma Linux, tipo 3:

técnica para plataforma Windows y tipo 4: técnica de otros dispositivos.

Tabla 19. Vulnerabilidades clasificadas.

Fuente: Autor.

VULNERABILIDADES CLASIFICADAS

TIPO 1 - FÍSICAS, ORGANIZACIONALES Y OPERACIONALES

Nro. Nivel Descripción

1,1 SEGURIDAD LÓGICA

1.1.1 Identificación

1.1.1.1 1 Datos del perfil de usuarios dados de alta

1.1.1.2 2 Gestión de bajas de usuarios

1.1.1.3 2 Mantenimiento de cuentas

1.1.1.4 2 Manejo de los permisos para los accesos

1.1.1.6 1 Identificación única o grupal

1.1.1.7 1 Gestión de grupos

1.1.1.8 2 Súper usuario

1.1.1.9 1 Visualización del logeo en pantalla

1.1.2 Autenticación

1.1.2.1 2 Manejo de los datos de autenticación

1.1.2.2 1 Manejo de intentos de logeo

-111-

1.1.3 Contraseñas

1.1.3.1 2 Generación de contraseñas

1.1.3.2 1 Gestión de cambio de contraseñas

1.1.4 Control de acceso lógico

1.1.4.1 1 Modelo y aplicación

1.1.4.2 2 Criterios de acceso

1.1.4.3 3 Mecanismos de control de acceso interno

1.1.4.4 3 Control de acceso externo

1,2 SEGURIDAD EN LAS COMUNICACIONES

1.2.1 Configuración de la red

1.2.1.1 3 Comunicaciones vía modem

1.2.1.2 2 Recursos compartidos de discos de PC

1.2.1.3 1 Estado de puertos de servicios no necesarios

1.2.2 Virus y Antivirus

1.2.2.1 3 No está habilitado para envío y recepción de mail

1.2.2.2 2 Actualizaciones no adecuadamente frecuentes

1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores

1.2.2.4 1 No se generan discos de restauración en las PCs bajo Windows

1.2.3 Documentación, normas

1.2.3.1 1 Grado y detalle de la información documentada de la red

1.2.3.2 2 Gestión y procesos de parches

1.2.3.3 1 Documentación de la configuración de las PCs

1.2.4 Ataques a la red

1.2.4.1 1 Antecedentes de ataques ocurridos a la red

1.2.5 Firewall

1.2.5.1 3 Tipo, configuración y nivel de control de firewall

1.2.5.2 1 Pruebas de configuración de firewall

1.2.5 Máquinas de Fax

1.2.5.1 2 Control de envíos por fax

1.2.5.2 1 Distribución de faxes recibidos

1,3 SEGURIDAD EN LAS APLICACIONES

1.3.1 Sistema Operativo

1.3.1.1 1 Requisitos de seguridad considerados al elegir el sistema operativo

1.3.2 Control de datos de aplicaciones

1.3.2.1 1 Existencia de control de cambios para archivos de sistema o bases de datos

1.3.2.2 3 Confidencialidad de datos de laptops y notebooks

1.3.2.3 2 Logs de transacciones y sus detalles

1.3.3 Control de datos en el desarrollo

1.3.3.1 1 Existencia de control de cambios para el desarrollo

1.3.3.2 1 Control del contenido de archivos de entrada

1.3.3.3 2 Control de validez de datos ingresados manualmente

1.3.3.4 1 Control de consistencia de datos de salida

1.3.4 Seguridad de bases de datos

1.3.4.1 2 Control de acceso propio de las bases de datos

1.3.4.2 1 Control de instancias de uso

-112-

1.3.4.3 1 Chequeo regulares de seguridad

1.3.4.4 1 Marcado o borrado de archivos eliminados

1.3.5 Control de aplicaciones

1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches

1.3.5.2 1 Documentación de la instalación o actualización de software

1.3.5.3 2 Control de aplicaciones en máquinas de usuarios

1.3.5.4 1 Control de información que bajan los usuarios de la Web

1.3.6 Mantenimiento de aplicaciones

1.3.6.1 1 Documentación de cambios de emergencia

1.3.6.2 1 Control regular de programas y servicios innecesarios

1.3.6.3 1 Gestión de cambios complejos en archivos de configuración

1.3.6.4 2 Registro de cambios en las configuraciones

1.3.7 Ciclo de vida

1.3.7.1 1 Metodología usada para el desarrollo

1.3.7.2 2 Manejo del código fuente y documentación con desarrollos por terceros

1.3.7.3 1 Uso métricas en el desarrollo

1.3.7.4 1 Registros históricos de las modificaciones

1.3.7.5 2 Existencia de requisitos de seguridad

1.3.7.6 1 Medidas de seguridad durante las implementaciones

1.3.7.7 1 Forma y documentación de pruebas

1.3.7.8 1 Metodología usada para el mantenimiento

1.3.7.9 1 Detalles de la documentación generada en el desarrollo

1,4 SEGURIDAD FISICA

1.4.1 Control de acceso al centro de cómputos

1.4.1.1 2 Restricción de acceso a personas ajenas al área

1.4.1.2 1 Control personal de limpieza en locales con servidores

1.4.2 Control de acceso a los equipos de los usuarios

1.4.2.1 2 Habilitación del NetBIOS

1.4.2.2 1 Habilitación y control de dispositivos externos

1.4.2.3 3 Control de virus

1.4.2.4 2 Existencia de grabadoras de CD y DVD

1.4.2.5 1 Agregado no autorizado de dispositivos externos

1.4.2.6 2 Control y revisión de dispositivos instalados en las PCs

1.4.2.7 1 Apagado o no de los servidores

1.4.3 Utilidades de soporte

1.4.3.1 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI

1.4.4 Estructura del edificio

1.4.4.1 1 Tipo, condiciones e instalación del cableado de red

1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo

1.4.4.3 1 Actividades que pueden afectar las operaciones

1.4.4.4 1 Actividades externas que pueden afectar las operaciones

1.4.4.5 2 Protecciones antirrayos

1.4.5 Clasificación de datos y hardware

1.4.5.1 1 Forma de rotular computadoras y periféricos

1.4.5.2 1 Inventario de recursos de hardware y software

-113-

1.4.6 Backup

1.4.6.1 2 Frecuencia de backups

1.4.6.2 2 Datos que se backapean

1.4.6.3 2 Tipos de backup que se realizan

1.4.6.4 2 Medios de almacenamiento de backups

1.4.6.5 1 Rotación de medios

1.4.6.6 1 Herramientas de backup

1.4.6.7 2 Responsables del backup

1.4.6.8 1 Procedimientos de backup

1.4.6.9 2 Pruebas periódicas de recuperación

1.4.6.10 2 Lugar de almacenamiento y controles de acceso

1.4.6.11 1 Rotulación y documentación de backups

1,5 ADMINISTRACION DEL CENTRO DE COMPUTOS

1.5.1 Contramedidas

1.5.1.1 1 Tipo y regularidad de chequeos

1.5.1.2 2 Planificación y documentación de actividades del área

1.5.1.3 1 Documentación detallada del equipamiento

1.5.1.4 2 Documentación y manuales de procedimientos y seguridad

1.5.2 Responsabilidad del equipo de seguridad

1.5.2.1 3 Administración de emergencias

1,6 REGISTROS Y AUDITORIAS

1.6.1 Auditorias generales

1.6.1.1 2 Realización y objetos auditados

1.6.1.2 1 Monitoreo y herramientas

1.6.1.3 2 Gestión de logs

1.6.1.4 1 Utilidad auditoría para rastreo de acciones

1.6.1.5 1 Históricos generados

1.6.2 Logs

1.6.2.1 3 Control de acceso

1.6.2.2 2 Identificación y almacenamiento

1.6.2.3 2 Información contenida en los logs

1.6.2.4 1 Análisis que se realiza

1.6.3 Auditoría de servidores

1.6.3.1 1 Trabajos de mayor uso CPU y memoria

1.6.3.2 1 Datos de mayor tráfico, CPU y memoria

1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria

1.6.4 Auditoría de control de acceso

1.6.4.1 2 Existencia de logs

1.6.4.2 2 Almacenamiento y acceso

1.6.4.3 1 Duración y tratamiento posterior al vencimiento

1.6.4.4 2 Contenido de los logs

1.6.5 Auditoría de redes

1.6.5.1 1 Monitoreo de red

1.6.5.2 1 Periodicidad de chequeos

1.6.5.3 1 Datos revisados y estadísticas

-114-

1,7 PLAN DE CONTINGENCIAS

1.7.1 Plan de contingencias

1.7.1.1 2 Existencia, justificaciones

1.7.1.2 1 Alcance del plan

1.7.1.3 2 Responsabilidades y entrenamiento

1.7.1.4 2 Documentación

1.7.2 Plan de recuperación de desastres

1.7.2.1 3 Responsabilidades

1.7.2.2 2 Identificación de funciones críticas

1.7.2.3 2 Grupo y responsable

1.7.2.4 2 Inventario de equipamiento

1.7.3 Administradores de aplicaciones y sistemas

1.7.3.1 1 Personal de desarrollo

1.7.3.2 2 Técnicos

1.7.3.3 2 Administradores de Redes

1.7.4 Gerencia en seguridad

1.7.4.1 3 Visón y compromiso general y medio en la seguridad

1.7.4.2 3 Reglas de seguridad

1.7.4.3 1 Personal en general - procedimientos

1.7.4.4 2 Personal de desarrollo - procedimientos

1.7.4.5 3 Técnicos - procedimientos

1.7.4.6 3 Administradores de redes - procedimientos

TIPO 2 - TECNICAS DE PLATAFORMAS LINUX

2,1 SERVICIOS ACTIVOS INNECESARIOS

2.1.1 2 Hay habilitados servicios innecesarios

2,2 Bind/DNS

2.2.1 2 Instalación/ISC, versión y parches

2.2.2 2 Actualización dinámica del DNS

2.2.3 2 Demonio named habilitado en servidores no DNS

2,3 RPC

2.3.1 3 RPC Habilitado

2.3.3 2 Servicios RPC que se pueden explotar

2,4 SNMP

2.4.1 2 Versión y puertos habilitados

2.4.2 3 Nombres comunidad por default

2.4.3 2 Chequeo registros MIB

2,5 Shell seguro

2.5.1 1 Instalación y versión

2,6 Servicios NIS/NFS

2.6 .1 3 Versión NIS

2.6 .2 3 Ubicación password del root con NIS

2.6 .3 2 Versión NFS

2.6 .4 3 Configuración archivo export y montaje de sistema de archivos NFS

2,7 Open SSL

-115-

2.7.1 1 Versión

2,8 FTP

2.8.1 3 Habilitación y funcionalidad anónima

2.8.2 3 Sin uso de password en el modo de subida

2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios

2.8.4 3 No se usan restricciones propias del servidor ftp

2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers

2.8.6 3 No hay diferenciación archivos contraseñas con los del OS

2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo

2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin

2.8.9 2 Permisos y propietarios directorio home ~ftp/

2.8.10 3 Existencia de archivos .rhosts y .forward

2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos

2,9 Otras de contraseñas

2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd

2.9.2 3 tftp habilitado

2.9.3 3 tftp necesario pero sin precauciones de acceso restringido

2.9.4 2 No se usa un programa para mejorar la elección de contraseñas

2,10 Otros Servicios de red

2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red

2.10.2 2 Cron acepta usuarios ordinarios

2.10.3 3 Se puede registrar como root en la consola en forma remota

2.10.4 3 Terminales no adecuados en el archivo de terminal seguro

2,11 Seguridad sistema de archivos

2.11.1 2 Archivos .exrc no justificados

2.11.2 2 Archivos .forward en directorios home de usuarios

2.11.3 2 Umask inadecuado de algunos programas

2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc

2.11.5 3 Escritura indebida de los archivos log

2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas

2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix

2.11.8 3 Archivos que no debieran ser propiedad sino de root, y si /tmp no tiene el sticky-bit

2.11.9 3 Archivos o directorios no esperados que son escribibles por cualquiera

2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID

2.11.11 2 Umask inadecuado de algunos usuarios

2.11.12 2 Archivos ordinarios en el directorio /dev

2.11.13 2 Archivos especiales fuera de /dev

2.11.14 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera

2.11.15 2 Archivos sin propietarios

2,12 Monitoreo del sistema

2.12.1 3 No se han definido los archivos log adecuados para seguridad

2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log

2.12.3 3 Ausencia de registro de las actividades de los administradores

2.12.4 2 Falta de control de las modificaciones de archivos de sistema

2,13 Servicios de archivos

-116-

2.13.1 2 Inadecuados permisos y propiedad del archivo /etc/export

2,14 Linux

2.14.1 3 Parches y actualizaciones

Tipo 3 - TECNICAS DE PLATAFORMAS WINDOWS

3,1 IIS

3.1.1 3 Versión y parches del IIS

3.1.2 2 Versiones actuales del IIS; ACL y directorios

3.1.3 2 Habilitación del log del IIS

3.1.4 3 WebDav ntdll.dll en IIS

3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc

3,2 SQL Server

3.2.1 3 Versión y parches del SQL Server

3.2.2 2 Log autenticación servidor SQL

3.2.3 2 Cuenta SA, contraseña

3,3 Autenticación

3.3.1 3 Autenticación, algoritmo usado

3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red

3,4 Internet Explorer

3.4.1 3 Versión y parches del Internet Explorer

3.4.2 2 Nivel seguridad del IE

3,5 RAS

3.5.1 3 Uso SMB, conectividad NetBios

3.5.2 2 Sesión nula, registro anónimo

3.5.3 3 Acceso remoto al registry

3.5.4 3 rpc y parches

3,6 MDAC/RDS

3.6.1 3 Versión y parches del MDAC

3.6.2 2 Archivo msadcs.dll con Windows

3.6.3 1 Versión y SP del Jet Engine

3,7 Windows Scripting Host

3.7.1 3 Habilitación del Windows Scripting Host

3.7.2 1 Forma de ejecución de scripts

3,8 Outlook Express

3.8.1 2 Ventana de vista previa del Outlook/Outlook Express

3.8.2 1 Restricción zona de seguridad del Outlook Express

3,9 Compartición P2P

3.9.1. 3 Puertos de aplicaciones P2P

3.9.2 2 Existencia en disco de archivos propios de P2P

3,1 SNMP

3.10.1 2 Versión y puertos habilitados del SNMP

3.10.2 3 Nombres comunidad por default del SNMP

3.10.3 2 Chequeo registros MIB del SNMP

3,11 Acceso remoto al registry

3.11.1 3 Registros bajo SecurePipeServers

-117-

3,12 Otros seteados del registry

3.12.1 3 Registro Winlogon

3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión

3.12.3 2 Registro Subsystems, OS/2 y Posix

3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema

3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas

3,14 Otras cuestiones de contraseñas

3.14.1 2 Uso del passfilt.dll

3.14.2 1 Uso del syskey.exe

3,15 Sistema de archivos

3.15.1 3 Se usa FAT

3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados

3,16 Logs de auditoria

3.16.1 2 Logs en Event Viewer

3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSer\\Control\Lsa

3,17 Utilitarios de cuidado

3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado

3.17.2 1 Ubicación de los archivos ejecutables de cuidado

3.17.3 2 Existencia del programa rollback.exe

3,18 Subsistemas de cuidado

3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios

3.18.2 2 Archivos del os2 y posix en c:\windows\system32

3.18.3 1 Registros os2 subsystem for windows

Tipo 4 - TECNICAS DE OTROS DISPOSITIVOS

4,1 2 Grupos de PCs

4,2 3 Grupos de laptops y notebooks

4,3 3 Routers

4,4 3 Switches

4,5 2 Otros dispositivos

Con las vulnerabilidades clasificadas en la Dirección de Tecnologías de la

información y Comunicaciones se procederá a verificar cada una de ellas con

los activos del Sistema de Gestión de Seguridad de la Información SGSI, de

acuerdo a como se indica en el Anexo I, a continuación en la Tabla 20 se

presentan el resumen de las vulnerabilidades.

-118-

Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la Información y Comunicaciones.

Fuente: Autor.

Vulnerabilidades Físicas,

Organizacionales y Operacionales

Plataforma Linux Firewall

Plataforma Windows

Se

rvid

or1

Se

rvid

or2

Se

rvid

or3

DNS, DHCP, Active

Directory

Total de vulnerabilidades potenciales

129 55 43 43 43 43

Vulnerabilidades no presente

10 9 3 11 7 6

Vulnerabilidades de nivel 1 56 2 5 4 5 7



Nivel Relativo de Vulnerabilidad Total

162 83 67 57 61 61

Servidores más vulnerables *** ***

Servidores más vulnerable en el Nivel 3

*** ***

4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES

Una vez identificadas las amenazas y vulnerabilidades, es necesario calcular la

posibilidad de que puedan juntarse y causar un riesgo (De Freitas, 2009),

define el riesgo como la probabilidad de que una amenaza pueda explotar una

vulnerabilidad en particular.

En la Tabla 21 se describe los cruces de las amenazas y vulnerabilidades para

obtener el nivel de riesgo de los activos más importantes de la Dirección de

Tecnologías de la Información y Comunicaciones como son: Sala de

Servidores.

-119-

Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores (Activo 2.32).

Fuente: Autor.

No. Div. Amenaza

Descripción Vulnerabilidades

1.2 4 Fallas de los sistemas TI 1.7.1.1 1.7.1.2 1.7.1.3 1.7.1.4 1.7.2.1 1.7.2.2 1.7.2.3 1.7.2.4

1.3 2 Rayos 1.4.4.5

1.4 4 Incendio 1.4.3.1

1.5 3 Inundación 1.4.4.2

1.6 2 Cables quemados 1.4.3.1

1.7 2 Polvo y suciedad 1.4.4.3

1.8 2 Efectos de catástrofes en el ambiente

1.4.4.4

1.9 2 Problemas causados por grandes eventos públicos

1.4.4.4

1.10 2 Tormentas 1.4.4.4


1.2.3.1 1.2.4.1 1.5.1.4

2.2 5

Conocimiento insuficiente de documentos sobre reglas y procedimientos

1.5.2.1

2.4 3 Monitoreo insuficiente de las medidas de seguridad IT

1.6.1.1 1.6.1.2 1.6.1.3 1.6.1.4 1.6.1.5

2.10 3 Dimensionamiento insuficiente de redes y centro de cómputo

1.5.1.1

2.11 2 Documentación insuficiente del cableado

1.4.4.1

5.4 3 Robo 1.4.1.1

5.5 5 Vandalismo 1.4.4.3 1.4.4.4

5.29 1 Sabotaje 1.4.1.1 1.4.1.2 1.4.4.3 1.4.4.4

En la Tabla 22 se describe las vulnerabilidades potenciales que pueden afectar

a la Sala de Servidores de la Dirección de Tecnologías de la Información y

Comunicaciones.

-120-

Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores (Activo 2.32).

Fuente: Autor.

Nro. Nivel Vulnerabilidades Potenciales


1.2.4.1 1 Antecedentes de ataques ocurridos a la red

1.4.1.1 2 Restricción de acceso a personas ajenas al área

1.4.1.2 1 Control personal de limpieza en locales con servidores


1.4.4.1 1 Tipo, condiciones e instalación del cableado de red

1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo

1.4.4.3 1 Actividades que pueden afectar las operaciones

1.4.4.4 1 Actividades externas que pueden afectar las operaciones

1.4.4.5 2 Protecciones antirrayos

1.5.1.1 1 Tipo y regularidad de chequeos

1.5.1.4 2 Documentación y manuales de procedimientos y seguridad

1.5.2.1 3 Administración de emergencias

1.6.1.1 2 Realización y objetos auditados

1.6.1.2 1 Monitoreo y herramientas

1.6.1.3 2 Gestión de logs

1.6.1.4 1 Utilidad auditoria para rastreo de acciones


1.7.1.1 2 Existencia, justificaciones

1.7.1.2 1 Alcance del plan

1.7.1.3 2 Responsabilidades y entrenamiento

1.7.1.4 2 Documentación

1.7.2.1 3 Responsabilidades

1.7.2.2 2 Identificación de funciones críticas

1.7.2.3 2 Grupo y responsable

1.7.2.4 2 Inventario de equipamiento

En la Tabla 23 se describe las amenazas y vulnerabilidades verificadas de los

activos más importantes de la Dirección de Tecnologías de la Información y

Comunicaciones como son: Sala de Servidores.

-121-

Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores (Activo 2.32).

Fuente: Autor.

Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29

Vulner. Nivel 4 2 4 3 2 2 2 2 2 4 5 3 3 2 3 5 1

1.2.3.1 1 X

1.2.4.1 1 X

1.4.1.1 2 X X

1.4.1.2 1 X

1.4.3.1 2 X X

1.4.4.1 1 X

1.4.4.2 1 X

1.4.4.3 1 X X X

1.4.4.4 1 X X X X X

1.4.4.5 2 X

1.5.1.1 1 X

1.5.1.4 2 X

1.5.2.1 3 X

1.6.1.1 2 X

1.6.1.2 1 X

1.6.1.3 2 X

1.6.1.4 1 X

1.6.1.5 1 X

1.7.1.1 2 X

1.7.1.2 1 X

1.7.1.3 2 X

1.7.1.4 2 X

1.7.2.1 3 X

1.7.2.2 2 X

1.7.2.3 2 X

1.7.2.4 2 X



Tecnologías de la Información y Comunicaciones como son: Software y

Aplicaciones.

-122-

Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y Aplicaciones. (Activo 7.1)

Fuente: Autor.

AMENAZAS Vulnerabilidades

Nro. Div. Descripción


1.7.4.2

2.3 2 Recursos incompatibles o inadecuados 1.6.3.1 1.6.3.2 1.6.3.3 2.18 3 Procedimientos faltantes o inadecuados

para test y liberación de software 1.3.5.1 1.3.5.2 1.3.6.1 1.3.6.3 1.3.7.3 1.3.7.6

2.19 3 Documentación faltante o inadecuada 1.4.5.2

2.20 2 Violación de derechos de autor 1.2.3.3 1.3.5.4

2.21 4 Prueba de software con datos de producción

1.3.7.7

3.3 4 No cumplimiento con las medidas de seguridad TI

1.1.1.2 1.1.1.3 1.3.5.4 1.7.4.2 1.7.4.3 1.7.4.4 1.7.4.5 1.7.4.6

3.15 3 Errores en la configuración y operación 1.2.3.3 1.2.5.1 1.3.6.3 1.7.3.1 1.7.3.2 1.7.3.3 4.4 5 Reconocimiento de vulnerabilidades en

el software 1.3.7.8

4.14 4 Vulnerabilidades o errores de software 1.3.2.1 1.3.2.2 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.4.1 1.3.4.3

1.3.4.4 1.3.5.1 1.3.5.2 1.3.5.3 5.12 3 Caballos de Troya 1.2.2.3

5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4 5.18 3 Macro virus 1.2.2.1


al Software y Aplicaciones de la Dirección de Tecnologías de la Información y

Comunicaciones.

Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y Aplicaciones. (Activo 7.1)

Fuente: Autor.


1.1.1.2 2 Gestión de bajas de usuarios

1.1.1.3 2 Mantenimiento de cuentas



1.2.2.4 1 No se generan discos de recuperación en las PCs bajo Windows

-123-


1.2.3.3 1 Documentación de la configuración de las PCs

1.2.5.1 3 Tipo, configuración y nivel de control de firewall

1.3.2.1 1 Existencia de control de cambios para archivos de sistema o bases de datos

1.3.2.2 3 Confidencialidad de datos de laptops y notebooks

1.3.2.3 2 Logs de transacciones y sus detalles

1.3.3.1 1 Existencia de control de cambios para el desarrollo

1.3.3.2 1 Control del contenido de archivos de entrada

1.3.3.3 2 Control de validez de datos ingresados manualmente

1.3.3.4 1 Control de consistencia de datos de salida

1.3.4.1 2 Control de acceso propio de las bases de datos

1.3.4.2 1 Control de instancias de uso

1.3.4.3 1 Chequeo regulares de seguridad

1.3.4.4 1 Marcado o borrado de archivos eliminados

1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches

1.3.5.2 1 Documentación de la instalación o actualización de software

1.3.5.3 2 Control de aplicaciones en máquinas de usuarios


1.3.6.1 1 Documentación de cambios de emergencia

1.3.6.3 1 Gestión de cambios complejos en archivos de configuración

1.3.6.4 2 Registro de cambios en las configuraciones

1.3.7.3 1 Uso métricas en el desarrollo

1.3.7.6 1 Medidas de seguridad durante las implementaciones

1.3.7.7 1 Forma y documentación de pruebas

1.3.7.8 1 Metodología usada para el mantenimiento

1.4.5.2 1 Inventario de recursos de hardware y software

1.5.1.3 1 Documentación detallada del equipamiento

1.6.3.1 1 Trabajos de mayor uso CPU y memoria

1.6.3.2 1 Datos de mayor tráfico, CPU y memoria

1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria

1.7.3.1 1 Personal de desarrollo

1.7.3.2 2 Técnicos

1.7.3.3 2 Administradores de redes

1.7.4.1 3 Visión y compromiso gerencial superior y medio en la seguridad.

1.7.4.2 3 Reglas de seguridad

1.7.4.3 1 Personal en general - procedimientos

1.7.4.4 2 Personal de desarrollo - procedimientos

1.7.4.5 3 Técnicos - procedimientos

1.7.4.6 3 Administradores de redes - procedimientos

-124-



Comunicaciones como son: Software y Aplicaciones.

Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones. (Activo

7.1) Fuente: Autor.

Amen. 2.1 2.3 2.18 2.19 2.20 2.21 3.3 3.15 4.4 4.14 5.12 5.13 5.18 Vulner. Nivel 4 2 3 3 2 4 4 3 5 4 3 4 3 1.1.1.2 2 X 1.1.1.3 2 X 1.2.2.1 3 X X

1.2.2.3 2 X X 1.2.2.4 1 X 1.2.3.1 1 1.2.3.3 1 X X 1.2.5.1 3 X 1.3.2.1 1 X 1.3.2.2 3 X 1.3.2.3 2 1.3.3.1 1 X 1.3.3.2 1 X 1.3.3.3 2 X 1.3.3.4 1 X 1.3.4.1 2 X 1.3.4.2 1 1.3.4.3 1 X 1.3.4.4 1 X 1.3.5.1 2 X X 1.3.5.2 1 X X 1.3.5.3 2 X 1.3.5.4 1 X X 1.3.6.1 1 X 1.3.6.3 1 X X 1.3.6.4 2 1.3.7.3 1 X 1.3.7.6 1 X 1.3.7.7 1 X 1.3.7.8 1 X 1.4.5.2 1 X 1.5.1.3 1 1.6.3.1 1 X 1.6.3.2 1 X

-125-

1.6.3.3 1 X 1.7.3.1 1 X 1.7.3.2 2 X 1.7.3.3 2 X 1.7.4.1 3 1.7.4.2 3 X X 1.7.4.3 1 X 1.7.4.4 2 X 1.7.4.5 3 X 1.7.4.6 3 X



Tecnologías de la Información y Comunicaciones como son: Servidor Windows

S1.

Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1 (Activo 4.3).

Fuente: Autor.

No. Div. Amenaza Descripción Vulnerabilidades


1.3.5.4

2.23 2 Planificación inadecuada de los dominios 1.1.4.3

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2.1

3.2.2 3.2.3 3.3.1 3.3.2 3.4.1 3.4.2

3.5.1 3.5.2 3.5.3 3.5.4 3.6.1 3.6.2


3.6.3 3.7.1 3.7.2 3.8.1 3.8.2 3.9.1

3.9.2 3.10.1 3.10.2 3.10.3 3.11.1 3.12.1

3.12.2 3.12.3 3.12.4 3.12.5 3.14.1 3.14.2

3.15.1 3.15.2 3.16.1 3.16.2 3.17.1 3.17.2

3.17.3 3.18.1 3.18.2 3.18.3


1.6.2.1

4.16 1 Reconocimiento automático del DVD-ROM 3.12.1

5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4

5.18 3 Macro virus 1.2.2.1 1.2.2.3

5.21 4 Mal uso de los derechos de administrador en sistemas Windows

1.6.1.4 1.6.1.5


3.3.1 3.17.1

-126-


al Servidor Windows S1 de la Dirección de Tecnologías de la Información y

Comunicaciones.

Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). Fuente: Autor.





1.2.2.4 1 No se generan discos de recuperación


1.6.1.4 1 Utilidad auditoria para rastreo de acciones




3.1.2 2 Versiones actuales del IIS; ACL y directorios










3.4.2 2 Nivel seguridad del IE






3.6.2 2 Archivo msadcs.dll con windows e IIS






3.9.1. 3 Puertos de aplicaciones P2P

-127-













3.15.1 3 Se usa FAT



3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa









Comunicaciones como son: Servidor Windows S1.

Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1 (Activo 4.3). Fuente: Autor.

Amen. 2.18 2.23 2.24 4.5 4.16 5.13 5.18 5.21 5.29

Vulner. Nivel 2 2 3 4 1 4 3 4 3

1.1.4.3 3 X 1.2.2.1 3 X X 1.2.2.3 2 X X 1.2.2.4 1 X 1.3.5.4 1 X 1.6.1.4 1 X

-128-

1.6.1.5 1 X 1.6.2.1 3 X 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 X 3.2.2 2 X 3.2.3 2 X 3.3.1 3 X X

3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 X 3.5.2 2 X 3.5.3 3 X 3.5.4 3 X 3.6.1 3 X 3.6.2 2 X 3.6.3 1 X 3.7.1 3 X 3.7.2 1 X 3.8.1 2 X 3.8.2 1 X 3.9.1. 3 X 3.9.2 2 X 3.10.1 2 X 3.10.2 3 X 3.10.3 2 X 3.11.1 3 X 3.12.1 3 X X 3.12.2 2 X 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 X 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 X X

3.17.2 1 X 3.17.3 2 X

-129-

3.18.1 2 X 3.18.2 2 X 3.18.3 1 X



Tecnologías de la Información y Comunicaciones como son: Servidor Windows

S4.

Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4 (Activo 4.3).

Fuente: Autor.

No. Div. Amenaza

Descripción Vulnerabilidades


1.3.5.4

2.23 2 Planificación inadecuada de los dominios

3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.3.1

3.3.2 3.4.1 3.4.2 3.6.1 3.6.2 3.7.1


3.7.2 3.8.2 3.10.1 3.10.2 3.12.1 3.12.3

3.12.4 3.12.5 3.14.1 3.14.2 3.15.2 3.16.1

3.16.2 3.18.1 3.18.2 3.18.3


4.16 1 Reconocimiento automático del DVD-ROM

3.12.1

5.13 4 Virus de computador 1.2.2.1 5.18 3 Macrovirus 1.2.2.1 5.21 4 Mal uso de los derechos de

administrador en sistemas Windows 1.6.1.4 1.6.1.5


3.3.1


al Servidor Windows S4 de la Dirección de Tecnologías de la Información y

Comunicaciones.

-130-

Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3). Fuente: Autor.





1.2.2.4 1 No se generan discos de recuperación


1.6.1.4 1 Utilidad auditoría para rastreo de acciones




3.1.2 2 Versiones del IIS; ACL y directorios










3.4.2 2 Nivel seguridad del Internet Explore






3.6.2 2 Archivo msadcs.dll con windows e IIS






3.9.1 3 Puertos de aplicaciones P2P









-131-





3.15.1 3 Se usa FAT



3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa









Comunicaciones como son: Servidor Windows S4.

Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4 (Activo 4.3). Fuente: Autor.

Amen. 2.18 2.24 4.16 5.13 5.18 5.21 5.29

Vulner. Nivel 2 3 1 4 3 4 3

1.1.4.3 3 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 X X 1.3.5.4 1 X 1.6.1.4 1 X 1.6.1.5 1 X 1.6.2.1 3 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 3.2.2 2 3.2.3 2

-132-

3.3.1 3 X X

3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3 3.6.1 3 3.6.2 2 X 3.6.3 1 3.7.1 3 X 3.7.2 1 X 3.8.1 2 3.8.2 1 X 3.9.1 3 3.9.2 2 3.10.1 2 X 3.10.2 3 X 3.10.3 2 3.11.1 3 3.12.1 3 X X 3.12.2 2 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 X 3.18.2 2 X 3.18.3 1 X



Tecnologías de la Información y Comunicaciones como son: Firewall.

-133-

Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3).

Fuente: Autor.

AMENAZAS Vulnerabilidades

Nro. Div. Descripción

2.17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger

2.1.1 2.2.2 2.2.3 2.3.3 2.5.1 2.6.1

2.6.2 2.6.3 2.8.2 2.8.3 2.8.5 2.8.6

2.8.9 2.8.10 2.9.1 2.9.3 2.9.4 2.10.1

2.10.4 2.11.2 2.11.3 2.11.4 2.11.6 2.11.7

2.11.8 2.11.9 2.11.11 2.11.12 2.11.14 2.11.15

2.12.1 2.12.2 2.14.1 3.10 4 Exportación incorrecta de

sistemas de archivos bajo Linux

2.1.1 2.4.2 2.6.4 2.13.1

3.11 4 Configuración impropia del sendmail

1.4.3.1 2.7.1 2.8.11 2.11.5

4.1 2 Interrupciones en la fuente de energía

1.4.3.1 2.4.1 2.8.7 2.11.10

4.13 4 Autenticación faltante o de pobre calidad

2.2.1 2.4.3 2.8.8

5.30 1 Sabotaje 1.4.3.1 2.9.4


al Firewall de la Dirección de Tecnologías de la Información y Comunicaciones.

Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). Fuente: Autor.



2.1.1 2 Servicios habilitados innecesarios

2.2.1 2 Instalación/ISC, versión y parches Bind

2.2.2 2 Actualización dinámica del DNS

2.2.3 2 Demonio named habilitado en servidores no DNS

2.3.1 3 RPC habilitado

2.3.3 2 Servicios RPC que se pueden explotar

2.4.1 2 Versión SNMP y puertos habilitados

2.4.2 3 Nombres comunidad SNMP por default


2.5.1 1 Instalación y versión ssh

2.6.1 3 Versión NIS

2.6.2 3 Ubicación password del root con NIS

-134-

2.6.3 2 Versión NFS

2.6.4 3 Configuración archivo export y montaje de sistema de archivos NFS

2.7.1 1 Versión Open SSL

2.8.1 3 Habilitación y funcionalidad anónima ftp

2.8.2 3 Sin uso de password en el modo de subida ftp

2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios en ftp

2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers

2.8.6 3 No hay diferenciación archivos contraseñas ftp con los del Sistema Operativo

2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo

2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin

2.8.9 2 Permisos y propietarios directorio home ~ftp/

2.8.10 3 Existencia de archivos .rhosts y .forward

2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos

2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd

2.9.2 3 tftp habilitado

2.9.3 3 tftp necesario pero sin precauciones de acceso restringido

2.9.4 2 No se usa un programa para mejorar la elección de contraseñas

2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red

2.10.2 2 Cron acepta usuarios ordinarios

2.10.3 3 Se puede registrar como root en la consola en forma remota

2.10.4 3 Terminales no adecuados en el archivo de terminal seguro

2.11.1 2 Archivos .exrc no justificados

2.11.2 2 Archivos .forward en directorios home de usuarios

2.11.3 2 Umask inadecuado de algunos programas

2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc

2.11.5 3 Escritura indebida de los archivos log

2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas

2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix

2.11.8 3 Archivos que no debieran ser propiedad sino de root, y /tmp que no tiene el sticky-bit

2.11.9 3 Archivos o directorios no esperados que son escribibles por cualquiera

2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID

2.11.11 2 Umask inadecuado de algunos usuarios

2.11.12 2 Archivos ordinarios en el directorio /dev

2.11.13 2 Archivos especiales fuera de /dev

2.11.14 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera

2.11.15 2 Archivos sin propietarios

2.12.1 3 No se han definido los archivos log adecuados para seguridad

2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log

2.13.1 2 Inadecuados permisos y propiedad del archivo /etc/export

2.14.1 3 Parches y actualizaciones Linux

-135-



Comunicaciones como son: Firewall.

Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3).

Fuente: Autor.

Amen. 2.17 3.10 3.11 4.1 4.13 5.30

Vulner. Nivel 4 4 4 2 4 1

1.4.3.1 2 X X X

2.1.1 2 X X

2.2.1 2 X

2.2.2 2 X

2.2.3 2 X

2.3.1 3

2.3.3 2 X

2.4.1 2 X

2.4.2 3 X

2.4.3 2 X

2.5.1 1 X

2.6.1 3 X

2.6.2 3 X

2.6.3 2 X

2.6.4 3 X

2.7.1 1 X

2.8.1 3

2.8.2 3 X

2.8.3 3 X

2.8.5 3 X

2.8.6 3 X

2.8.7 2 X

2.8.8 2 X

2.8.9 2 X

2.8.10 3 X

2.8.11 3 X

2.9.1 2 X

2.9.2 3

2.9.3 3 X

2.9.4 2 X X

2.10.1 2 X

2.10.2 2 X

2.10.3 3 X

2.10.4 3 X

2.11.1 2

-136-

2.11.2 2 X

2.11.3 2 X

2.11.4 2 X

2.11.5 3 X

2.11.6 2 X

2.11.7 2 X

2.11.8 3 X

2.11.9 3 X

2.11.10 2 X

2.11.11 2 X

2.11.12 2 X

2.11.13 2

2.11.14 2 X

2.11.15 2 X

2.12.1 3 X

2.12.2 2 X

2.13.1 2 X

2.14.1 3 X

4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN

El análisis del riesgo tiene como objetivo identificar y calcular los riesgos

basados en la identificación de los activos, y en el cálculo de las amenazas y

vulnerabilidades.

(Alexander, 2007, pág. 53), señala que “…los riesgos se calculan de la

combinación de los valores de los activos, que expresan el impacto de pérdidas

por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad

de que las amenazas y vulnerabilidades relacionadas se junten y causen un

incidente”.

Para realizar el cálculo del riesgo se utilizará la matriz de riesgo de la

metodología de Cramm que se describe en la Tabla 36.

-137-

Tabla 36. Matriz de Riesgo.

Fuente: (ESPE, 2005)

Amenaza Muy Baja Baja Media Alta Muy Alta

Vulnerabilidad

Ba

ja

Me

dia

Alta

Ba

ja

Me

dia

Alta

Ba

ja

Me

dia

Alta

Ba

ja

Me

dia

Alta

Ba

ja

Me

dia

Alta

Activo

1 1 1 1 1 1 1 1 1 2 1 2 2 2 2 3

2 1 1 2 1 2 2 2 2 3 2 3 3 3 3 4

3 1 2 2 2 2 2 2 3 3 3 3 4 3 4 4

4 2 2 3 2 3 3 3 3 4 3 4 4 4 4 5

5 2 3 3 3 3 4 3 4 4 4 4 5 4 5 5

6 3 3 4 3 4 4 4 4 5 4 5 5 5 5 6

7 3 4 4 4 4 5 4 5 5 5 5 6 5 6 6

8 4 4 5 4 5 5 5 5 6 5 6 6 6 6 7

9 4 5 5 5 5 6 5 6 6 6 6 7 7 7 7

10 5 5 6 5 6 6 6 6 6 6 7 7 7 7 7

Para el cálculo de riesgo de un activo utilizando la matriz de la Tabla 36, se

requiere los valores de la Tabla 16 Activos Primarios Clasificados definidos en

7 clases y 10 niveles (1 -10); los valores de las amenazas definidas en la Tabla

17 clasificadas en 5 tipos y 5 niveles de amenazas (1 - 5); y, los valores de las

vulnerabilidades definidas en la Tabla 19 clasificadas en 4 tipos y 3 niveles de

vulnerabilidades (1 - 3). Con esta información reemplazaremos en la matriz y

determinamos el nivel del riesgo para este activo el mismo que tendrá un valor

de (1 – 7).

Riesgos

Amenazas

Vulnerabilidades

Nivel Valor

Nivel Valor

Nivel Valor

Muy Bajo 1 Muy Baja 1

Baja 1

Bajo 2 Baja 2

Media 2

Medio bajo 3 Media 3

Alta 3

Medio 4

Alta 4

Medio alto 5

Muy Alta 5

Alto 6

Muy Alto 7

-138-

Utilizando la matriz de riesgo en la Tabla 37 se presenta el cálculo del riesgo

para los activos: Sala de Servidores.

Tabla 37. Niveles particulares de riesgo para la Sala de Servidores. Activo 2.32 Fuente: Autor.

Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29

Vulner. Nivel 4 2 4 3 2 2 2 2 2 4 5 3 3 2 3 5 1

1.2.3.1 1 6 1.2.4.1 1 6 1.4.1.1 2 6 5

1.4.1.2 1 4

1.4.3.1 2 6 5 1.4.4.1 1 5 1.4.4.2 1 5 1.4.4.3 1 5 7 4

1.4.4.4 1 5 5 5 7 4

1.4.4.5 2 5 1.5.1.1 1 5 1.5.1.4 2 6 1.5.2.1 3 7 1.6.1.1 2 6 1.6.1.2 1 5 1.6.1.3 2 6 1.6.1.4 1 5 1.6.1.5 1 5 1.7.1.1 2 6 1.7.1.2 1 6 1.7.1.3 2 6 1.7.1.4 2 6 1.7.2.1 3 7 1.7.2.2 2 6 1.7.2.3 2 6 1.7.2.4 2 6

-139-

En la Tabla 38 se presenta el resumen de las amenazas para el activo sala de

servidores.

Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. Fuente: Autor.

Nro. Nivel Descripción Cantidad Vulnerab. Potenc.

Máximo riesgo

1,2 4 Fallas de los sistemas TI 8 7

1,3 2 Rayos 1 5

1,4 4 Incendio 1 6

1,5 3 Inundación 1 5

1,6 2 Cables quemados 1 5

1,7 2 Polvo y suciedad 1 5

1,8 2 Efectos de catástrofes en el ambiente 1 5

1,9 2 Problemas causados por grandes eventos públicos 1 5

1,1 2 Tormentas 1 5

2,1 4 Falta o insuficiencia de reglas de seguridad en general 3 6

2,2 5 Conocimiento insuficiente de documentos sobre reglas y procedimientos

1 7

2,4 3 Monitoreo insuficiente de las medidas de seguridad TI 5 6

2,1 3 Dimensionamiento insuficiente de redes y centro de cómputo 1 5

2,11 2 Documentación insuficiente del cableado 1 5

5,4 3 Robo 1 6

5,5 5 Vandalismo 2 7

5,29 1 Sabotaje 4 5

En conclusión, la sala de servidores tiene un nivel de riesgo promedio de 5,58

sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue

de 34 y los niveles de protección son: para la confidencialidad es medio, para la

integridad medio y la disponibilidad es alta.


para los activos: Software y Aplicaciones.

-140-

Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 Fuente: Autor.

Amen. 2,1 2,3 2,18 2,19 2,2 2,21 3,3 3,15 4,4 4,14 5,12 5,13 5,18

Vulner. Nivel 4 2 3 3 2 4 4 3 5 4 3 4 3

1.1.1.2 2 5 1.1.1.3 2 5 1.2.2.1 3 6 5

1.2.2.3 2 5 5 1.2.2.4 1 5

1.2.3.1 1 1.2.3.3 1 4 4 1.2.5.1 3 5 1.3.2.1 1 5 1.3.2.2 3 6 1.3.2.3 2 1.3.3.1 1 5 1.3.3.2 1 5 1.3.3.3 2 5 1.3.3.4 1 5 1.3.4.1 2 5 1.3.4.2 1 1.3.4.3 1 5 1.3.4.4 1 5 1.3.5.1 2 5 5 1.3.5.2 1 4 5 1.3.5.3 2 5 1.3.5.4 1 4 5 1.3.6.1 1 4 1.3.6.3 1 4 4 1.3.6.4 2 1.3.7.3 1 4 1.3.7.6 1 4 1.3.7.7 1 5 1.3.7.8 1 5 1.4.5.2 1 4 1.5.1.3 1 1.6.3.1 1 4 1.6.3.2 1 4 1.6.3.3 1 4 1.7.3.1 1 4 1.7.3.2 2 5

-141-

1.7.3.3 2 5 1.7.4.1 3 1.7.4.2 3 6 6 1.7.4.3 1 5 1.7.4.4 2 5 1.7.4.5 3 6 1.7.4.6 3 6

En la Tabla 40 se presenta el resumen de las amenazas para el activo

Software de Aplicaciones.

Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones. Activo 7.1 Fuente: Autor.


Máximo riesgo

2,1 4 Falta o insuficiencia de reglas de seguridad en general 1 6

2,3 2 Recursos incompatibles o inadecuados 3 4

2,18 3 Procedimientos faltantes o inadecuados para test y liberación de software

6 5

2,19 3 Documentación faltante o inadecuada 1 4

2,2 2 Violación de derechos de autor 2 4

2,21 4 Prueba de software con datos de producción 1 5

3,3 4 No cumplimiento con las medidas de seguridad TI. 8 6

3,15 3 Errores en la configuración y operación 6 5

4,4 5 Reconocimiento de vulnerabilidades en el software 1 5

4,14 4 Vulnerabilidades o errores de software 12 6

5,12 3 Caballos de Troya 1 5

5,13 4 Virus de computador 3 6

5,18 3 Macrovirus 1 5

En conclusión, el activo 7.1 Software y Aplicaciones tiene un nivel de riesgo

promedio de 4,69 sobre 7, el total de cruces encontrado para las amenazas y

vulnerabilidades fue de 46 y los niveles de protección son: para la

confidencialidad es medio, para la integridad medio y la disponibilidad es alta.

-142-

En la Tabla 41 utilizando la matriz de riesgo se presenta el cálculo del riesgo

para los activos: Servidor Windows.

Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3) Fuente: Autor.

Amen. 2,18 2,23 2,24 4,5 4,16 5,13 5,18 5,21 5,29

Vulner. Nivel 2 2 3 4 1 4 3 4 3

1.1.4.3 3 6 1.2.2.1 3 7 6 1.2.2.3 2 7 6 1.2.2.4 1 6 1.3.5.4 1 5 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 7 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.1 3 6 3.2.2 2 6 3.2.3 2 6 3.3.1 3 6 6

3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 6 3.5.2 2 6 3.5.3 3 6 3.5.4 3 6 3.6.1 3 6 3.6.2 2 6 3.6.3 1 6 3.7.1 3 6 3.7.2 1 6 3.8.1 2 6 3.8.2 1 6 3.9.1 3 6 3.9.2 2 6 3.10.1 2 6

-143-

3.10.2 3 6 3.10.3 2 6 3.11.1 3 6 3.12.1 3 6 6 3.12.2 2 6 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 6 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 6 6 3.17.2 1 6 3.17.3 2 6 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6


Servidor Windows.


Fuente: Autor.


Máximo riesgo

2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P

1 5

2,23 2 Planificación inadecuada de los dominios 1 6

2,24 3 Protección inadecuada del sistema Windows 46 6

4,5 4 Diversidad de posibilidades de acceso a sistemas TI en red 1 7

4,16 1 Reconocimiento automático del DVD-ROM 1 6



5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6

5,29 3 Adquisición no autorizada de derechos de administrador con Windows

2 6

-144-

En conclusión, el activo 4.3, servidor Windows S1 tiene un nivel de riesgo



confidencialidad es alto, para la integridad medio y la disponibilidad es alta.


para los activos: Servidor Windows S4.

Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3). Fuente: Autor.

Amenaza 2,2 2,2 4,2 5,1 5,2 5,2 5,3

Vulnerabilidad Nivel 2 3 1 4 3 4 3

1.1.4.3 3 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 6 6 1.3.5.4 1 5 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.2 2 3.2.3 2 3.3.1 3 6 6

3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3

-145-

3.6.1 3 3.6.2 2 6 3.6.3 1 3.7.1 3 6 3.7.2 1 6 3.8.1 2 3.8.2 1 6 3.9.1 3 3.9.2 2 3.10.1 2 6 3.10.2 3 6 3.10.3 2 3.11.1 3 3.12.1 3 6 6 3.12.2 2 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6


Servidor Windows S4.

-146-

Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3). Fuente: Autor.


Máximo riesgo

2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P

1 5

2,24 3 Protección inadecuada del sistema Windows 27 6

4,16 1 Reconocimiento automático del DVD-ROM 1 6



5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6

5,29 3 Adquisición no autorizada de derechos de administrador con Windows

1 6

En conclusión, el activo 4.3, servidor Windows S4 tiene un nivel de riesgo



confidencialidad es alto, para la integridad medio y la disponibilidad es alta.


para los activos: Firewall.

Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). Fuente: Autor.

Amen. 2,17 3,1 3,11 4,1 4,13 5,3

Vulner. Nivel 4 4 4 2 4 1

1.4.3.1 2 7 6 5

2.1.1 2 7

2.2.1 2 7

2.2.2 2 7

2.2.3 2 7

2.3.1 3

2.3.3 2 7

2.4.1 2 6

2.4.2 3 7

-147-

2.4.3 2 7

2.5.1 1 6

2.6.1 3 7

2.6.2 3 7

2.6.3 2 7

2.6.4 3 7

2.7.1 1 6

2.8.1 3

2.8.2 3 7 2.8.3 3 7 2.8.5 3 7 2.8.6 3 7 2.8.7 2 6 2.8.8 2 7 2.8.9 2 7 2.8.10 3 7 2.8.11 3 7 2.9.1 2 7 2.9.2 3 2.9.3 3 7 2.9.4 2 7 5

2.10.1 2 7 2.10.2 2 7 2.10.3 3 7 2.10.4 3 7 2.11.1 2 2.11.2 2 7 2.11.3 2 7 2.11.4 2 7 2.11.5 3 7 2.11.6 2 7 2.11.7 2 7 2.11.8 3 7 2.11.9 3 7 2.11.10 2 6 2.11.11 2 7 2.11.12 2 7 2.11.13 2 2.11.14 2 7 2.11.15 2 7 2.12.1 3 7 2.12.2 2 7 2.13.1 2 7 2.14.1 3 7

-148-


Servidor Windows S4.

Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3).

Fuente: Autor.


Máximo riesgo

2,17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger

34 7

3,1 4 Exportación incorrecta de sistemas de archivos bajo Linux 4 7

3,11 4 Configuración impropia del sendmail 4 7

4,1 2 Disrupciones en la fuente de energía 4 6

4,13 4 Autenticación faltante o de pobre calidad 3 7

5,3 1 Sabotaje 2 5

En conclusión, el activo 5.3, Firewall tiene un nivel de riesgo promedio de 6,50

sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue

de 51 y los niveles de protección son: para la confidencialidad es medio, para la

integridad medio y la disponibilidad es alta.

4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL

TRATAMIENTO DEL RIESGO

Una vez efectuados el análisis y la evaluación del riesgo, se debe decidir

cuáles acciones se deben tomar con esos activos que están sujetos a riesgos y

estas decisiones deberán ejecutarse, identificando y planificando las

actividades con claridad y distribuir las responsabilidades a los encargados de

los activos, estimar los requerimientos de los recursos, el conjunto de

entregables, fechas críticas y la supervisión del progreso.

-149-

Según la Norma ISO/IEC 27002:2005 la opciones posibles para el tratamiento

de riesgos son: (a) Aplicar controles apropiados. (b) Aceptar riesgos

consistente y objetivamente. (c) Evitar los riesgos. (d) Transferir los riesgos. De

las opciones propuestas por la norma se decidió tomar las 2 primeras, por lo

que en este caso de estudio los riesgos serán controlados o asumidos.

En el Anexo J se presentan los procedimientos correspondientes al control

A.6.3.1 Reporte de incidente de seguridad, control A.9.2.3 Administración de

contraseñas de usuarios, control A.9.3.1 Uso de contraseñas y control A.9.5.4

Sistema de Administración de contraseñas.

4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y

CONTROLES PARA EL TRATAMIENTO DEL RIESGO

Los resultados del análisis y la evaluación del riesgo de la Dirección de

Tecnologías de la Información y Comunicaciones DIRTIC, requieren ser

revisados con regularidad para visualizar cualquier modificación.

Las estructuras organizacionales, las tareas que se ejecutan, la tecnología que

se utiliza y las personas en las organizaciones hacen una dinámica que afectan

los riesgos valorados en un momento determinado.

Luego del proceso de identificación de las opciones de tratamiento de riesgo y

de haber evaluado estos riesgos, la DIRTIC deberá asignar los recursos y las

acciones correspondientes para implementar las decisiones de la gestión del

riesgo que deben iniciar y decidir cuáles objetivos de control y controles

-150-

escoger para el tratamiento del riesgo y preparar la declaración de

aplicabilidad, como se ilustra en la Tabla 47, el cual es un documento muy

importante del Sistema de Gestión de Seguridad de la Información, según

(ISO/IEC 27001:2005, 2005), la cláusula 4.2.1 (j) da las exigencias que se

deben seguir para estar en conformidad.

Tabla 47. Plan de tratamiento del riesgo. Fuente: Autor.

Áreas Actividades Control Activo Fecha de

Culminación Responsable

DIRTIC

Elaborar procedimientos para el sistema de administración de contraseñas, uso de contraseñas y administración de contraseñas de usuarios.

A.9.2.3 A.9.3.1 A.9.5.4

Seguridad Informática

15/01/2016 Normalización y Seguridad Telemática

Elaborar documentos de los procedimientos operativos de la DIRTIC

A.10.1.1 Seguridad Informática


Realizar controles de cambios cuando ocurra alguna variación en los recursos o en los sistemas de la DIRTIC

A.10.1.2 Recursos

Informáticos

Cada vez que ocurra un cambio

CETEIN

Realizar estadísticas del crecimiento de los sistemas de la DIRTIC a fin de hacer proyecciones de los requisitos de la capacidad futura de los servidores

A.10.3.1 Control de

Centros de TI Mensual

Control de Centros de TI

Instalar antivirus y actualizarlos constantemente para mitigar el riesgo del código malicioso

A.10.4.1 Soporte de Hardware y

Software Semanalmente CETEIN

Elaborar un programa de capacitación para la detección y prevención de código malicioso.

A.10.4.1 Control de

Centros de TI 15/02/2016 CETEIN

Realizar las copias de seguridad de la información según la política de seguridad acordada.

A.10.5.1 Base de Datos y Servidores

Semanalmente

CETEIN - Normalización y Seguridad Telemática

Elaborar un procedimiento para la eliminación segura de los medios de información. (Disco duros, Pen drive, CD, DVD, entre otros)


15/02/2016

CETEIN - Normalización y Seguridad Telemática

Se debe llevar el registro de las actividades del administrador de la DIRTIC, así como de los operadores

A.10.10.4 Jefe CETEIN Regularmente CETEIN

Elaborar registro de las fallas detectada en los sistemas y en la infraestructura.

A.10.10.5 Recursos

Informáticos Regularmente CETEIN

-151-

Elaborar las políticas de control de acceso a los sistemas de la DIRTIC



Elaborar un procedimiento de registro y des-registro de usuarios para conceder o revocar el acceso a los sistemas de la DIRTIC.

A.11.2.1 Mesa de ayuda 15/02/2016 CETEIN

Elaborar procedimientos de selección y uso de contraseñas



Elaborar un procedimiento para el sistema de gestión de contraseñas



Elaborar un plan para la realización de auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones en los procesos administrativos.

A.15.3.1 Desarrollo y Gestión de

Proyectos TIC 30/06/2016 DIRTIC

Elaborar un programa detallado de capacitación para el manejo de los sistemas de la DIRTIC.

A.8.2.2 Control de

Centros de TI 30/03/2016

CETEIN - Control de

Centros de TI

Elaborar un documento de la política de seguridad de la información



Elaborar las políticas de control de accesos a la información o recursos de información del personal externo e interno



Elaborar una política sobre seguridad de información incluyendo papeles, responsabilidades y sanciones.

A.8.1.1 A.8.2.3



Elaborar políticas para que los usuarios ejerciten buenas prácticas en la selección y uso de claves.

A.11.3.1 A.11.5.3



Elaborar un programa detallado de capacitación para crear conciencia sobre la importancia de la seguridad de información y su manejo por el personal de la DIRTIC.

A.8.2.2 A.6.1.3

Control de Centros de TI

30/01/2016 CETEIN - Control de

Centros de TI

Elaborar políticas definidas para la asignación de responsabilidades en la protección de activos de información así como de seguridad de información.

A.6.1.3 Normalización y Seguridad Telemática

15/02/2016 DIRTIC

Se debe organizar y mantener actualizada la cadena de contactos (Interno o Externo) con el mayor detalle posible identificando los requisitos de seguridad antes de dar acceso a la información.

A.6.2.2 A.6.2.3



-152-

4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA

DIRECCIÓN, DE LOS RIESGOS RESIDUALES PROPUESTOS.

Según la (ISO/IEC 27001:2005, 2005), el riesgo residual es: “El riesgo

remanente después del tratamiento del riesgo”. En el paso anterior Selección

de Objetivos de Control y Controles, se propusieron salvaguardas para los

riesgos detectados y clasificados como importantes.

La aplicación de estos controles persigue llevar el riesgo a niveles aceptables,

permitiendo un margen de error Riesgo Residual, el cual debe ser conocido y

aprobado por la Dirección de Tecnologías de la Información y Comunicaciones

de la Armada DIRTIC, por lo cual se hace necesario que en el Diseño de un


tomando como referencia a la Dirección de Tecnologías de la Información y

Comunicaciones de la Armada, la Dirección apruebe el Riesgo Residual no

cubierto, la aprobación se puede conseguir por medio de la firma del

documento “Matriz de Gestión de Riesgo, Controles Recomendados y

Estimados” y la firma del siguiente documento:

-153-

Armada del Ecuador

Dirección de Tecnologías de la Información y Comunicaciones Guayaquil

APROBACIÓN DEL RIESGO RESIDUAL

DECLARACIÓN

A través del siguiente documento se aprueba el “Riesgo Residual” no cubierto en la implantación de los controles sugeridos como resultado de la Evaluación del Riesgo para el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como caso de referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada.

A los ___ días del mes de ________ del 2015.

Director de la DIRTIC Firma autorizada

-154-

4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA

IMPLEMENTAR Y OPERAR EL SGSI.

Es necesario garantizar la puesta en marcha de Diseño de un Sistema de

Gestión de Seguridad de la Información para Instituciones Militares, tomando

como referencia a la Dirección de Tecnologías de la Información y

Comunicaciones de la Armada, con el compromiso de la Dirección de facilitar

los recursos necesarios para la implementación de los controles propuestos.

En este caso de estudio, la persona encargada de la Jefatura de Departamento

de Normalización y Seguridad Telemática, así como la Jefatura del Centro de

Tecnología de la Información no tiene la competencia para autorizar los

recursos necesarios para la implementación y operación del SGSI; sin

embargo, de considerar pertinente la adopción de los controles propuestos

como solución a los problemas detectados en la seguridad de la información

que se maneja en la DIRTIC, pudiese llevar a cabo las acciones necesarias

para lograr dicha aprobación a través de una instancia superior (Director de

Tecnologías de la Información y Comunicaciones).

La autorización para implementación del SGSI en la Dirección de Tecnologías

de la Información y Comunicaciones de la Armada se puede lograr a través de

la firma del documento “Enunciado de Aplicabilidad” por parte del “Director de

la DIRTIC” con competencia para ello y la firma del siguiente documento:

-155-

Armada del Ecuador

Dirección de Tecnologías de la Información y Comunicaciones Guayaquil

AUTORIZACIÓN DE IMPLEMENTACIÓN Y OPERACIÓN

RESOLUCIÓN No. _____________

El _______________________________ de la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, en Sesión No. _________, Ordinaria, celebrada el día ____ de ______ del año ________, en uso de las atribuciones legales y reglamentarias que le confiere la ley AUTORIZÓ la IMPLEMENTACIÓN Y OPERACIÓN DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES, TOMANDO COMO REFERENCIA A LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA ARMADA.

Director de la DIRTIC Firma autorizada

-156-

En el Anexo K se presenta un cronograma de cuarenta y cuatro (44) semanas

para implementar el Sistema de Gestión de Seguridad de la Información para

Instituciones Militares, tomando como referencia a la Dirección de Tecnologías

de la Información y Comunicaciones de la Armada.

4.11 DECLARACIÓN DE APLICABILIDAD

La declaración de aplicabilidad, como lo exige el ISO/IEC 27001:2005 en la

cláusula 4.2.1 (4) (j), es un excelente registro de los últimos controles

establecidos. Tiene como finalidad la observancia de todos los controles de

seguridad propuestos en la norma ISO/IEC 27001:2005, con la justificación de

su inclusión o exclusión.

El uso de la declaración de aplicabilidad es muy apropiado para mantener un

registro actualizado de los últimos controles instaurados en el Diseño de un


tomando como referencia a la Dirección de Tecnologías de la Información y

Comunicaciones de la Armada, en la Tabla 48 se tiene una ilustración de la

declaración de aplicabilidad.

Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la Información. Fuente: Autor.

Objetivos de control

Controles Aplicabilidad Justificación

SI NO

A.5.1. Política de Seguridad de la

información

A.5.1.1 X

Es necesario establecer las políticas de seguridad para los sistemas de información, ya que manejan la información vital de la DIRTIC. Es necesario revisar periódicamente las políticas de seguridad para asegurar que se mantengan adecuadas. A.5.1.2 X

-157-

A.6.1 Organización interna

A.6.1.1 X

Es necesario tener controles y políticas para el manejo de la seguridad de la información dentro de la DIRTIC y CETEIN.

A.6.1.2 X

A.6.1.3 X

A.6.1.4 X

A.6.1.5 X

A.6.1.6 X

A.6.1.7 X

A.6.1.8 X

A.6.2 Partes externas

A.6.2.1 X Se necesita controles para mitigar riesgos

con instituciones externas. Es necesario establecer requerimientos de seguridad porque hay documentos con información clasificada de la DIRTIC que son trasladados por terceros.

A.6.2.2 X

A.6.2.3 X

A.7.1 Responsabilidad por los activos

A.7.1.1 X Es necesario tener controles y políticas para

mantener la protección apropiada de los activos de la DIRTIC.

A.7.1.2 X

A.7.1.3 X

A.7.2 Clasificación de la información

A.7.2.1 X

Es necesario tener políticas y controles para asegurar que la información reciba un nivel de protección apropiado. A.7.2.2 X

A.8.1 Antes del empleo

A.8.1.1 X Es necesario que los todos los usuarios

(Militares, Servidores Públicos y usuarios externos), que laboran para la DIRTIC, comprendan sus responsabilidades, y que sean apropiados para los roles considerados, para mitigar los riesgos de robo, fraude o mal uso de los recursos.

A.8.1.2 X

A.8.1.3 X

A.8.2 Durante el empleo

A.8.2.1 X Todos los usuarios (Militares, Servidores

Públicos y usuarios externos), que laboran en la DIRTIC deben estar conscientes de las amenazas que tienen los sistemas de información, sus responsabilidades y obligaciones para reducir el riesgo de error humano.

A.8.2.2 X

A.8.2.3 X

A.8.3 Terminación o cambio de empleo

A.8.3.1 X

Debe asegurarse que todos los usuarios (Militares, Servidores Públicos y usuarios externos), que laboran en la DIRTIC o que son trasladados a otras oficinas lo hagan de una manera ordenada.

A.8.3.2 X

A.8.3.3 X

A.9.1 Áreas seguras

A.9.1.1 X

Es necesario prevenir el acceso físico no autorizado, daño e interferencia a las instalaciones e información de la DIRTIC y CETEIN

A.9.1.2 X

A.9.1.3 X

A.9.1.4 X

A.9.1.5 X

A.9.1.6 X

A.9.2 Seguridad de los equipos

A.9.2.1 X Se debe prevenir las pérdidas, daño o robo

de los activos que puedan causar la interrupción de las actividades de la DIRTIC

A.9.2.2 X

A.9.2.3 X

-158-

A.9.2.4 X

A.9.2.5 X

A.9.2.6 X

A.9.2.7 X

A.10.1 Procedimiento y

responsabilidades de operación

A.10.1.1 X

Se debe asegurar la correcta operación de los recursos para el tratamiento de información.

A.10.1.2 X

A.10.1.3 X

A.10.1.4 X

A.10.2 Gestión de entrega de servicio

de tercera parte

A.10.2.1 X

Cuando se realice algún servicio externo se debe implementar controles para mantener el nivel apropiado de seguridad de la información.

A.10.2.2 X

A.10.2.3 X

A.10.3 Planificación y aceptación del

sistema

A.10.3.1 X Se debe minimizar el riesgo de fallas de los

sistemas. A.10.3.2 X

A.10.4 Protección contra código

malicioso y movible

A.10.4.1 X Se debe proteger la integridad del software y

de la información. No está autorizado el uso de código movible. A.10.4.2

X

A.10.5 Copia de seguridad

A.10.5.1 X

Se debe asegurar realizar respaldo del sistema y de las bases de datos. Igualmente se deben probar que las copias de seguridad funcionen correctamente a fin de garantizar la integridad y la disponibilidad de la información.

A.10.6 Gestión de seguridad de la red

A.10.6.1 X Se debe proteger la información en la red de

datos, así como la infraestructura de soporte. A.10.6.2 X

A.10.7 Manejo de medios de

información

A.10.7.1 X Se debe prevenir la divulgación, modificación,

eliminación o destrucción no autorizada de los activos e interrupción de las actividades administrativas de la DIRTIC.

A.10.7.2 X

A.10.7.3 X

A.10.7.4 X

A.10.8 Intercambio de información

A.10.8.1 X

Se debe asegurar el intercambio de información dentro de la DIRTIC y CETEIN con cualquier entidad externa

A.10.8.2 X

A.10.8.3 X

A.10.8.4 X

A.10.8.5 X

A.10.9 Servicio de comercio

electrónico

A.10.9.1

X No se realiza comercio electrónico en la DIRTIC y CETEIN A.10.9.2

X

A.10.9.3

X

A.10.10 Seguimiento

A.10.10.1 X

Se debe registrar las actividades de procesamiento de información no autorizada.

A.10.10.2 X

A.10.10.3 X

A.10.10.4 X

A.10.10.5 X

A.10.10.6 X

-159-

A.11.1 Requisitos del negocio para el control de accesos

A.11.1.1 X

Es necesario establecer las políticas de control de acceso.

A.11.2 Gestión de acceso de usuarios

A.11.2.1 X

Es necesario prevenir el acceso no autorizado a los sistemas de información

A.11.2.2 X

A.11.2.3 X

A.11.2.4 X

A.11.3 Responsabilidad de

usuarios

A.11.3.1 X

Es necesario crear conciencia en los usuarios de la DIRTIC y CETEIN para que sigan buenas prácticas de seguridad a fin de evitar el acceso de usuarios no autorizados y mitigar los riesgos de robo de información o de recursos de procesamiento de información.

A.11.3.2 X

A.11.3.3 X

A.11.4 Control de acceso a la red

A.11.4.1 X

Es necesario elaborar políticas de acceso para la utilización de los servicios de red.

A.11.4.2 X

A.11.4.3 X

A.11.4.4 X

A.11.4.5 X

A.11.4.6

X

A.11.4.7

X

A.11.5 Control de acceso al sistema

operativo

A.11.5.1

X

Es necesario que todos los usuarios de la DIRTIC y CETEIN dispongan de un identificador único. Deben existir sistemas para la gestión de contraseñas.

A.11.5.2 X

A.11.5.3 X

A.11.5.4 X

A.11.5.5 X

A.11.5.6 X

A.11.6 Control de acceso a las

aplicaciones e información

A.11.6.1 X Se debe prevenir el acceso no autorizado a la

información contenida en los sistemas de aplicación. A.11.6.2 X

A.11.7 Computación móvil y trabajo a distancia

A.11.7.1

X No se realiza teletrabajo ni recursos de computación móvil.

A.11.7.2

X

A.12.1 Requisitos de seguridad de los

sistemas de información

A.12.1.1 X

Se deben especificar los controles de seguridad para la DIRTIC y CETEIN.

A.12.2 Procesamiento correcto en las aplicaciones

A.12.2.1 X

Se debe prevenir los errores, pérdida, modificación no autorizada o mal uso de la información en la DIRTIC y CETEIN

A.12.2.2 X

A.12.2.3 X

A.12.2.4 X

A.12.3 Controles criptográficos

A.12.3.1

X No se utiliza encriptación de la información, ni gestión de claves. A.12.3.2

X

A.12.4 Seguridad de los archivos del

sistema

A.12.4.1 X

Se debe asegurar la seguridad de los archivos del sistema. A.12.4.2 X

A.12.4.3 X

A.12.5 Seguridad

en los procesos de desarrollo y soporte

A.12.5.1 X

Se debe mantener la seguridad del software y la información de Los sistemas que dispone la DIRTIC y CETEIN A.12.5.2

X

-160-

A.12.5.3 X

A.12.5.4 X

A.12.5.5 X

A.12.6 Gestión de vulnerabilidad

técnica A.12.6.1 X

Se deben evaluar las vulnerabilidades de los sistemas que dispone la DIRTIC para mitigar el riesgo asociado.

A.13.1 Reportar los eventos y

debilidades de seguridad de la

información

A.13.1.1 X

Se deben diseñar formatos para reportar los incidentes de seguridad asociados a los sistemas que dispone la DIRTIC para tomar acciones correctivas oportunamente.

A.13.1.2 X

A.13.2 Gestión de los incidentes y

mejoras de seguridad de la

información

A.13.2.1 X

Se deben gestionar los incidentes de seguridad de la información. A.13.2.2 X

A.13.2.3 X

A.14.1 Gestión de continuidad del

negocio

A.14.1.1 X

Se debe diseñar un plan de continuidad del negocio que garantice la reanudación del servicio oportunamente ante la ocurrencia de un evento de seguridad.

A.14.1.2 X

A.14.1.3 X

A.14.1.4 X

A.14.1.5 X

A.15.1 Cumplimiento de requisitos legales

A.15.1.1 X

Se debe evitar el incumplimiento de cualquier ley, estatuto, obligación reglamentaria y de cualquier requisito de seguridad.

A.15.1.2 X

A.15.1.3 X

A.15.1.4 X

A.15.1.5 X

A.15.1.6

X

A.15.2 Cumplimiento con

las políticas y normas de

seguridad y el cumplimiento

técnico

A.15.2.1 X

Se debe realizar y evaluar un plan de seguridad de la información de la DIRTIC

A.15.2.2 X

A.15.3 Consideraciones de

auditoria de los sistemas de información

A.15.3.1 X Elaborar un plan para la realización de

auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones de los procesos administrativos de la DIRTIC.

A.15.3.2 X

-161-

4.12 FACTIBILIDAD

(Seen, 1987), define “la factibilidad es la posibilidad de que el sistema sea

beneficioso para la organización”, un estudio de factibilidad sirve para recopilar

datos relevantes sobre el desarrollo de un proyecto y en base a ello tomar la

mejor decisión, si procede su estudio, desarrollo o implementación.

En el estudio de factibilidad para determinar la viabilidad del Diseño de un

Sistema de Gestión de Seguridad de la Información para las Instituciones

Militares, tomando como referencia la Dirección de Tecnologías de la

Información y Comunicaciones, se analizarán los tres tipos de factibilidad:

operativa, técnica y económica.

4.12.1 FACTIBILIDAD OPERATIVA

La factibilidad operativa es un análisis del recurso humano que participan en el

proyecto, su capacitación, así como la estructura orgánica funcional de la

institución, identificando todas las actividades que son necesarias para lograr

el objetivo y se evalúa y determina todo lo necesario para llevarla a cabo el

Diseño de un SGSI para Instituciones Militares, tomando como referencia la

DIRTIC.

Para establecer el Diseño de un Sistema de Gestión de Seguridad de la

Información para las Instituciones Militares, tomando como referencia la

Dirección de Tecnologías de la Información y Comunicaciones, se procedió a

tomar la publicación (D.G.P. COGMAR-INF-002-2010-O, 2010), referente a

Seguridad de la Información.

-162-

Se realizó reuniones con el Director de Tecnologías de la Información

Comunicaciones y Subdirector de la DIRTIC y el Jefe del Departamento

Administrativo Financiero para verificar si existe el presupuesto necesario para

Capacitación al personal de la DIRTIC en “Sistema de Gestión de Seguridad de

Información ISO 27001:2005”.

Se realizó reuniones con el Director de Tecnologías de la Información

Comunicaciones y Subdirector de la DIRTIC para lograr un compromiso y el

reconocimiento de las responsabilidades de seguridad de la información.

Se realizó reuniones con el Jefe del Centro de Tecnologías de la Información,

de la Dirección de Tecnologías de las Información y Comunicaciones, para

lograr el compromiso necesario para el establecimiento del Diseño de un SGSI

para las Instituciones Militares.

Se realizaron reuniones con el personal del Departamento de Desarrollo y

Gestión de Proyectos TIC de la Dirección de Tecnologías de las Información y

Comunicaciones, Departamento de Normalización y Seguridad Telemática,

Departamento de Comunicaciones, Departamento de Control de Centros de TI

y el personal del Centro de Tecnología de la Información para ejecutar la fase

de diagnóstico.

Se realizó una capacitación de “Sistema de Gestión de Seguridad de

Información ISO 27001:2005” en la Empresa CAPLAM con un costo de USD.

400,00 por estudiante y “Análisis y Gestión de Riesgos” en la empresa

CAPLAM con un costo de USD. 500,00 por estudiante donde participaron los

Jefes de los del Departamento de Desarrollo y Gestión de Proyectos TIC de la

Dirección de Tecnologías de las Información y Comunicaciones, Departamento

-163-

de Normalización y Seguridad Telemática, Departamento de Comunicaciones,

Departamento de Control de Centros de TI y el Centro de Tecnología de la

Información y además el personal involucrado en el Sistema de Gestión de

Seguridad de la Información para las Instituciones Militares, tomando como

referencia la Dirección de Tecnologías de la Información y Comunicaciones

Se impartió capacitación al personal militar y civil de la Dirección de

Tecnologías de las Información y Comunicaciones y del Centro de Tecnologías

de la Información, sobre las normas básicas de Seguridad de Información y la

Directiva de Seguridad de la Información publicada por la Comandancia

General de Marina para todos los repartos de la armada y a la DIRTIC

encargada de su difusión.

El personal militar y civil de la Dirección de Tecnologías de la Información y

Comunicaciones y el Centro de Tecnología de la Información está consciente

de los incidentes de seguridad, por lo cual han solicitado mejorar la seguridad

física y el control de acceso a las instalaciones, de acuerdo a lo que se

describe en la Tabla 15 del capítulo 3.2.8.

La Dirección de Tecnologías de la Información y Comunicaciones y el Centro

de Tecnología de la Información poseen una estructura orgánica funcional de

acuerdo a como se ilustra en el Anexo A y Anexo B, lo que permite la toma de

decisiones de forma oportuna, brindando disponibilidad en la vinculación del

talento humano del que dispone esta institución.

Debido a la experiencia adquirida y al empoderamiento de los procesos

organizacionales que existen en la Institución, permiten la factibilidad operativa

y los usuarios están en la mejor disposición y compromiso para el desarrollo del


Instituciones Militares, tomando como referencia la Dirección de Tecnologías

de la Información y Comunicaciones de la Armada.

-164-

4.12.2 FACTIBILIDAD TÉCNICA

La factibilidad técnica es un análisis que se realizará para determinar la

infraestructura tecnológica y la capacidad técnica que implica el Diseño de un


tomando como referencia la Dirección de Tecnologías de la Información y

Comunicaciones de la Armada.

Para determinar la factibilidad Técnica se realizó una evaluación de las

capacidades técnicas requeridas para las alternativas del diseño. Además se

verificó si la DIRTIC posee el personal con experiencia técnica requerida para

establecer el Diseño de un Sistema de Gestión de Seguridad de la Información

para las Instituciones Militares, tomando como referencia la Dirección de

Tecnologías de la Información y Comunicaciones.

La Dirección de Tecnologías de la Información y Comunicaciones de la Armada

poseen personal con experiencia suficiente en el área de seguridad de la

información. El Departamento de Normalización y Seguridad Telemática será la

encargada de supervisar el Diseño de un Sistema de Gestión de Seguridad de

la Información para las Instituciones Militares, tomando como referencia la

Dirección de Tecnologías de la Información y Comunicaciones de la Armada

para lo cual en la Tabla 49, se describe los perfiles y habilidades del personal

de este Departamento.

Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática de la DIRTIC.

Fuente: DIRTIC

Nombre del puesto Título de Tercer Nivel Experiencia en áreas Años de

experiencia

Jefe de Departamento Ingeniero en

Computación y Ciencias

de la Informática

Sistema de Gestión de Seguridad de

Información ISO 27001:2005

Análisis y Gestión de Riesgos

22 años

-165-

Administrador de

Seguridad Informática y

Comunicaciones

Ingeniero en Sistemas e

Informática



Análisis y Gestión de Riesgos

12 años

Analista de Seguridad

Informática y

Comunicaciones

Ingeniero en Sistemas e

Informática



10 años

Analista de Tecnologías

de la Información

Ingeniero en Informática Sistema de Gestión de Seguridad de


10 años


de la Información

Licenciado en Sistemas Sistema de Gestión de Seguridad de


10 años


de la Información 2

Licenciado en Sistemas Sistema de Gestión de Seguridad de


8 años

En la Dirección de Tecnologías de la Información Comunicaciones de la

Armada, el Departamento de Normalización y Seguridad Telemática se ha

preparado técnicamente, teniendo una visión hacia donde encamina las

necesidades tecnológicas y de la información de la Institución, de acuerdo al

organigrama que se describe en el Anexo A.

En Dirección de Tecnologías de la Información y Comunicaciones de la

Armada, se evaluarán la infraestructura de red, hardware y software. Dentro de

la infraestructura de red se describe la interconexión que existe en la DIRTIC;

del hardware se encuentran los servidores y las computadoras de los cuales se

describe las especificaciones, requerimientos y características técnicas; y,

dentro del software se describe las aplicaciones, programas y plataforma que

se requieren para el Diseño de un Sistema de Gestión de Seguridad de la


Dirección de Tecnologías de la Información y Comunicaciones de la Armada.

INFRAESTRUCTURA DE RED

Dirección de Tecnologías de la Información Comunicaciones de la Armada,

dispone de una Infraestructura Tecnológica y las capacidades técnicas

-166-

necesarias para el Diseño de un Sistema de Gestión de Seguridad de la


Dirección de Tecnologías de la Información y Comunicaciones de la Armada,

de acuerdo a lo que se describe en la Figura 6.

HARDWARE

La Dirección de Tecnologías de la Información y Comunicaciones dispone del

siguiente hardware:

· Servidor de Aplicaciones y Base de Datos, Servidor Web, Servidor

Proxy, Servidor de Correo Electrónico

· Estaciones de Trabajo

· Switch

· Antivirus Corporativo Kaspersky

· Sistema de Seguridad Firewall

· Enlace dedicado

Servidores

Servidor Aplicaciones y Base de Datos, es el lugar donde se alojará la

Información del Diseño del Sistema de Gestión de Seguridad de la Información

para Instituciones Militares, tomando como referencia la Dirección de

Tecnologías de la Información y Comunicaciones de la Armada.

· Servidores blade HP

· Servidores rackeables IBM

Estaciones de Trabajo

-167-

Las estaciones de trabajo con la que cuenta la Dirección de Tecnologías de la

Información y Comunicaciones para el Diseño del Sistema de Gestión de

Seguridad de la Información para Instituciones Militares, tomando como

referencia la Dirección de Tecnologías de la Información y Comunicaciones de

la Armada, son de las siguientes características:

Procesador INTEL CORE I3- cuarta Generación 3.6GHZ 3MB CACHE

Disco Duro 1TB 7200RPM SATA 6.0 CACHE 64MB

Lector de Disco DVD-RWRITER S 24X SATA

Memoria RAM DIMM 8GB PC-1600 DDR3

Lector de tarjetas 7 EN 1

Periféricos Teclado, Mouse, Parlantes

Monitor Incluido Screen Size 18.5"

La Dirección de Tecnologías de la Información y Comunicaciones de la

Armada, dispone de 51 estaciones de trabajo y 04 impresora HP Láser, de las

cuales 06 estaciones de trabajo son asignadas al Departamento de

Normalización y Seguridad Telemática, el equipo necesario para el Diseño del



Comunicaciones de la Armada, se describe en la Tabla 50.

Tabla 50. Equipamiento necesario de la DIRTIC. Fuente: DIRTIC

Áreas Involucradas Cantidad de

Computadores Impresoras

Láser

DIRTIC

Dirección 2 1

Subdirección 6

Departamento Administrativo Financiero 4

-168-

Departamento de Desarrollo y Gestión de Proyectos Informáticos

5 1

Departamento de Comunicaciones 5

Departamento de Normalización y Seguridad Telemática

6 1

Departamento de Control de Centros 2

CETEIG

Centro de Tecnología de la Información y Comunicaciones

21 1

Total 51 04

Switch


Armada, dispone de un Switch, para el Diseño del Sistema de Gestión de



la Armada.

· SWITCH CISCO

Firewall


Armada, dispone de un Firewall, para el Diseño del Sistema de Gestión de



la Armada.

· CISCO ASA.

SOFTWARE

-169-

Las licencias para los servidores y estaciones de trabajo con que cuenta la

Dirección de Tecnologías de la Información y Comunicaciones para el Diseño

del Sistema de Gestión de Seguridad de la Información para Instituciones


Información y Comunicaciones de la Armada son las siguientes:

Windows Server 2012 R2 Datacenter. Proporciona un centro de datos de clase

empresarial y soluciones de nube híbrida que son fáciles de implementar, con

derechos de virtualización ilimitados con beneficios de escala en el nivel de la

nube con costos menores y predecibles, enfocada en las aplicaciones y

centradas en los usuarios.

Red Hat Enterprise Linux Server. Distribución comercial de Linux desarrollada

por Red Hat. Es una plataforma versátil que se puede implementar en los

sistemas físicos, como invitado en los principales hipervisores, o en la nube.

Microsoft SQL Server 2012 Express. Es un sistema de administración de datos

gratuito, eficaz y confiable que ofrece un almacén de datos completo y

confiable para sitios web ligeros y aplicaciones de escritorio.

Microsoft Windows 8 Pro para estaciones de trabajo. La edición de Windows 8

Pro para las arquitecturas x86 y x64, está enfocada hacia los entusiastas de la

tecnología, de negocios y profesionales, las características adicionales incluyen

operar como un servidor de escritorio remoto, la habilidad de participar en un

dominio de Windows Server, encriptación, virtualización, gestión de PC,

políticas de grupo, además se puede utilizar la funcionalidad de Windows

Media Center.

-170-

Microsoft Office 2013. Paquete ofimático de Microsoft, posee numerosas

novedades a Word, PowerPoint, Excel, Outlook, Publisher, Access y OneNote,

permite la integración con la Nube, las aplicaciones del paquete se integran a la

perfección con SkyDrive, Skype, Bing y otros servicios web.

Todas las licencias anteriores permiten el funcionamiento del Servidor de

Aplicaciones, Base de datos y Servidor Web y estaciones de trabajo, este

sistema operativo es capaz de brindar políticas de seguridad para el acceso a

los usuarios internos para la aplicación local como de internet, acceso a la red y

permite compartir recursos y mantiene comunicación entre las estaciones de

trabajo.

La DIRTIC y la Armada del Ecuador, poseen una infraestructura Informática de

una Red Corporativa de Datos denominada Sistema de Comunicaciones

Navales, interconectada a través de todos los repartos navales, la misma que

permite el acceso a los servicios de Internet Corporativo, Sistemas

Corporativos, transporte de voz, vídeo, datos.

Una vez realizado la evaluación de las actividades anteriores se puede afirmar

que existe factibilidad técnica, el personal que labora en la Dirección de

Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de

la Información, posee experiencia técnica requerida para establecer el Diseño

de un Sistema de Gestión de Seguridad de la Información para las Instituciones


Información y Comunicaciones, además existe personal con experiencia en

seguridad de la información, y la infraestructura informática se encuentra

acorde a los requerimientos del Diseño.

4.12.3 FACTIBILIDAD ECONÓMICA

-171-

La factibilidad económica es un análisis que se realiza para determinar el

costo-beneficio del Diseño de un Sistema de Gestión de Seguridad de la

Información para Instituciones Militares, tomando como referencia la Dirección

de Tecnologías de la Información y Comunicaciones de la Armada.

RECURSO HUMANO

En Este estudio se incluye el costo del recurso humano para dar una

aproximación más real del valor del proyecto del Diseño, la mano de obra es

más importante para la realización del Diseño de un Sistema de Gestión de



la Armada, determinando el salario mensual del personal que labora el

Departamento de Normalización y Seguridad Telemática de la DIRTIC, el cual

se describe en la Tabla 51.

Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC

Nombre del puesto Meses Salario ($)

Jefe de Departamento 1 2600

Administrador de Seguridad Informática y Comunicaciones 1 1500

Analista de Seguridad Informática y Comunicaciones 1 1500

Analista de Tecnologías de la Información 1 1500

Analista de Tecnologías de la Información 1 1300

Analista de Tecnologías de la Información 2 1 1300

TOTAL $ 9.700,00

RECURSOS CONSUMIBLES

Los recursos consumibles que serán utilizados para la realización del Diseño

de un Sistema de Gestión de Seguridad de la Información para Instituciones

-172-


Información y Comunicaciones de la Armada, se describe en la Tabla 52.

Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática de la DIRTIC.

Fuente: DIRTIC

Nombre del consumible cantidad Precio Unitario ($) Total ($)

Caja de resmas de papel bond Tamaño A4 10 $ 4,00 $ 40,00

Caja de CD 10 $ 7,00 $ 70,00

Caja de DVD 11 $ 9,00 $ 99,00

Cartucho de tinta de color para impresora 04 $ 250,00 $ 1.000,00

Fotocopias 5000 $ 0,03 $ 150,00

Gastos varios $ 500,00

TOTAL $ 1.959,00

RECURSOS TECNOLÓGICOS

Los recursos tecnológicos que serán utilizados por el Departamento de

Normalización y Seguridad Telemática para la realización del Diseño de un



Comunicaciones de la Armada, se describe en la Tabla 53.

Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad Telemática de la DIRTIC.

Fuente: DIRTIC

Nombre del Recurso cantidad Precio Unitario ($) Total ($)

Servidores (Web y Aplicaciones) 2 $ 9.000,00 $ 18.000,00

Computadoras 6 $ 600,00 $ 3.600,00

Impresora 1 $1700,00 $ 1700,00

Swich 1 $ 4.500,00 $ 4.500,00

Firewall 1 $ 9.000,00 $ 9.000,00

Windows Server 2012 R2 Datacenter 1 $ 6.100,00 $ 6.100,00

-173-

Red Hat Enterprise Linux Server 1 $ 3.815,00 $ 3.815,00

Microsoft SQL Server 2012 Express 1 $ 1.793,00 $ 1.793,00

Microsoft Windows 8 Pro para PC 6 $ 150,00 $ 900,00

Microsoft Office 2013 6 $ 160,00 $ 960,00

TOTAL $ 50.368,00

RECURSOS DE OPERACIÓN

Energía Eléctrica. Para el cálculo de energía eléctrica se realiza tomando en

cuenta el consumo de energía utilizada por el hardware que se utiliza para el

desarrollo del proyecto, en los cuales se especifica la cantidad de energía

consumida por cada uno de los equipos que depende de las características

propias de cada uno de ellos, así como se describe en la Tabla 54.

(Empresa Eléctrica Quito, 2014), El Costo del Kilowatts por hora del servicio de

energía eléctrica utilizados por los equipos informáticos del Departamento de

Normalización y Seguridad Telemática de la Dirección de Tecnologías de la

Información y Comunicaciones de la Armada, se toma en consideración de

acuerdo al pliego del tarifario vigente, del período de consumo de diciembre del

2014 emitido por la Empresa Eléctrica de Quito, en la cual especifica que el

rango de consumo de 701 – 1000 Kw/h tiene un valor de USD. 0,1450; de 201

– 500 Kw/h tiene un valor de USD. 0,0994; de 51 – 100 Kw/h tiene un valor de

USD. 0,0814; y, de 0 – 50 Kw/h tiene un valor de USD. 0,0784.

Tal como se muestra en la Tabla 54, los servidores son generalmente las

mayores plataformas informáticas en términos de consumo energético dentro

de la DIRTIC, debido a su mayor rendimiento en el procesamiento de datos en

comparación con una computadora u otro equipo informático, debido a que

utilizan de manera eficaz su arquitectura de procesadores con diversos núcleos

y grandes capacidades de tratamiento de la memoria al operar con un

-174-

rendimiento máximo las 24 horas al día, 7 días a la semana, los 365 días al

año, de igual manera el ruteador y el switch. Las Computadoras e impresoras

operan con un rendimiento de 8 horas al día, 5 días a la semana y 240 días al

año. (Kingston, 2015).

Tabla 54. Consumo de energía de los quipos informáticos del Dpto. Normalización y Seguridad Telemática de la DIRTIC.

Fuente: DIRTIC

Equipos Cantidad Watts Kw/h Kw/h

( al mes)

Costo

Kw/h Total ($)

Servidores 2 670 1,340 964,8 0,1450 $ 139,90

Computadoras 6 430 2,58 412,8 0,0994 $ 41,03

Impresora 1 120 0,12 19,2 0,0784 $ 1,51

Switch 1 110 0,11 79,2 0,0814 $ 6,45

Firewall 1 110 0,11 79,2 0,0814 $ 6,45

TOTAL $ 195,34

El costo total del proyecto para el Diseño de un Sistema de Gestión de



la Armada, se detalla en la Tabla 55.

Tabla 55. Costo Total del Diseño. Fuente: DIRTIC

Nombre del Recurso meses Precio Unitario ($) Total ($)

Recurso Humano 6 $ 9.700,00 $ 58.200,00

Recursos Consumibles 6 $ 1.959,00 $ 11.754,00

Recurso Tecnológico $ 50.368,00 $ 50.368,00

Recursos de Operación 6 $ 195,34 $ 1.172,04

TOTAL $ 121.594,04

-175-

EVALACUACIÓN ECONÓMICA

(Moreno, 2011), Describe que la evaluación económica de proyectos

tecnológicos es un método de análisis, en la que permite adoptarlas

disposiciones para el cumplimiento de los objetivos de seguridad.

La evaluación económica se apoya en técnicas de evaluación como:

· Métodos de Valor Actual Neto VAN.

· Método de la Tasa Interna de Retorno TIR.

· Método de Beneficio / Costo

En la aplicación de las metodología para la evaluación de los proyectos de

inversión, casi siempre hay más posibilidades de aceptar un proyecto cuando la

evaluación se efectúa a una tasa de interés baja, que a una tasa de interés

mayor (Gómez, 2015).

La evaluación económica de los proyectos constituye la técnica matemática

financiera, a través de la cual se determina los beneficios o pérdidas en los que

se puede incurrir al realizar una inversión, con el objetivo de obtener resultados

que apoyen la toma de decisiones del proyecto.

En la planificación de todo proyecto es necesario realizar el análisis económico

para conocer la rentabilidad y factibilidad del mismo. Con este análisis se podrá

conocer los costos de inversión y mediante la relación costo beneficio

determinar qué tan rentable es el proyecto.

-176-

VALOR ACTUAL NETO (VAN)

(Moreno, 2011), define al VAN a la diferencia entre el valor actual de los

ingresos esperados de una inversión y el valor actual de los egresos que la

misma ocasione. Es la rentabilidad mínima pretendida por el inversor, por

debajo de la cual estará dispuesto a efectuar su inversión.

Al ser un método que tiene en cuenta el valor tiempo de dinero, los ingresos

futuros esperados, como también los egresos, deben ser actualizados a la

fecha del inicio del proyecto. La tasa de interés será fijada por la persona que

evalúa el proyecto de inversión conjuntamente con los inversores o dueños,

para lo cual podemos aplicar la siguiente fórmula:

Dónde: VAN = Valor Actual Neto de la Inversión.

A = Valor de la Inversión Inicial.

Qi = Valor neto de los distintos flujos de caja. Se trata del valor neto así

cuando en un mismo periodo se den flujos positivos y negativos será la

diferencia entre ambos flujos.

ki = Tasa de retorno del periodo.

Tomando los valores de Flujo de Caja del Proyecto que y reemplazando en la

fórmula tenemos como resultado un VAN de 24.469,77.

-177-

El criterio general para saber si es conveniente realizar el proyecto es el

siguiente:

VAN ≥ 0 Los proyectos de inversión son aceptados

VAN < 0 Los proyectos de inversión son rechazados

TASA INTERNA DE RETORNO (TIR)

Es la tasa que iguala a la suma de los ingresos actualizados. Con la suma de

los egresos actualizados (igualando al egreso inicial). Es la tasa de interés que

hace que el VAN del proyecto sea igual a cero (Moreno, 2011).

El TIR es el tipo de descuento que hace igual a cero el VAN, como se describe

en la siguiente fórmula:

-178-

Dónde: Ft = Es el flujo de caja en el período t.

n = Es el número de períodos.

I = Es el valor de la inversión inicial.

De acuerdo al cálculo realizado en el Flujo de Caja del Proyecto, tenemos un

TIR de 23,97%.

El criterio general para saber si es conveniente realizar el proyecto es el

siguiente:

TIR ≥ 0 Se aceptará el proyecto. La razón es que el proyecto da una

rentabilidad mayor que la rentabilidad mínima requerida (el coste de

oportunidad).

TIR < 0 Se rechazará el proyecto. La razón es que el proyecto da una

rentabilidad menor que la rentabilidad mínima.

TASA DE DESCUENTO

Para el cálculo de la Tasa de Descuento para este Proyecto, es necesario

calcular la Tasa Mínima Aceptable de Rendimiento (tmar). Para tomar la

decisión de ejecutar el proyecto, se exige una tasa mínima de ganancia sobre

la inversión que realiza, conocida como Tasa Mínima Aceptable de

rendimiento, esta tasa se espera que sea por lo menos igual al costo promedio

ponderado de la institución de crédito, según el Banco Central del Ecuador12

para el mes de enero del 2015, la inflación se ubica en 3,53%, tasa nominal

pasiva 5,22%, riesgo país 5,63%, como se describe en la Tabla 56.

TMAR = Inflación + tasa pasiva + riesgo país

12 http://www.bce.fin.ec

-179-

TMAR = 3,53 + 5,22 + 5,63

TMAR = 14,38%

Tabla 56. Tasa de Descuento. Fuente: DIRTIC

CONCEPTO VALOR

EN $

% DE PARTICIPACIÓN

1

TASA NOMINAL DE INTERÉS

2

COSTO PONDERADO DE CADA FUENTE

3 = 1 x 2

FINANCIAMIENTO DEL ESTADO

121,594 100.00% 14.38% 14.38%

TOTAL DEL FINANCIAMIENTO

121,594 100.00% 14.38% 14.38%

COSTO Y DEPRECIACIÓN DE EQUIPOS INFORMÁTICOS

Para el Diseño de un Sistema de Gestión de Seguridad de la Información para

las Instituciones Militares, tomando como referencia la Dirección de

Tecnologías de la Información y Comunicaciones de la Armada tiene un valor

de USD. 50.468,00. y la depreciación anual de los equipos informáticos se

describe en la Tabla 57.

Tabla 57. Depreciación anual de Equipos Informáticos. Fuente: DIRTIC

Rubro Monto Dep. Anual

Servidores $18,000.00 4,860

Computadoras $3600.00 972

Impresoras $1,700.00 459

Swich $4,500.00 1,215

Firewall $9,000.00 2,430

Sistemas $7,468.00 2,016

TOTAL DEPRECIACIÓN ANUAL 11,952

-180-

COSTOS DE SUMINISTROS

Para el Diseño de un Sistema de Gestión de Seguridad de la Información para

las Instituciones Militares, tomando como referencia la Dirección de

Tecnologías de la Información y Comunicaciones de la Armada tiene los costos

de suministros de valor de USD. 1.959,00.

INGRESOS ANUALES

(Neira, 2015), define que el Sistema de Gestión de la Seguridad de la

Información (SGSI) en las empresas ayuda a establecer las políticas,

procedimientos y controles, con objeto de mantener siempre el riesgo por

debajo del nivel asumible por la propia organización, por lo cual para este

proyecto determinaremos y estableceremos los ingresos anuales en el flujo de

caja del proyecto como los beneficios que se obtiene al diseñar el SGSI para la

DIRTIC.

Para establecer los ingresos anuales y calcular el flujo de caja se realiza

partiendo de la base de que la seguridad al 100% no existe, la adopción de un

Sistema de Gestión de la Seguridad de la Información (SGSI) es una

alternativa adecuada para establecer una metodología y una serie de medidas

que permita ordenar, sintetizar y simplificar la seguridad de la información.

(Neira, 2015), establece que además de la confidencialidad, integridad y

disponibilidad de la información se debe considerar la privacidad de la

información como un elemento clave en la empresa y en la gestión y

-181-

actividades que realiza, y se debe cambiar la relación seguridad-gasto típica a

una más interesante privacidad-beneficios, lo que permite a las empresas

potenciar sus negocios, explotar al máximo su imagen y certificación ISO

27001, adaptarán y mejoraran continuamente su nivel de protección, sin reducir

el nivel de satisfacción de los clientes o empleados.

Para cumplir con lo antes mencionado (Neira, 2015), describe en cinco grupos

principales para establecer los beneficios económicos que una empresa tiene

al implementar in SGSI, de los cuales tomaremos como referencia para el

cálculo de los ingresos económicos anuales de nuestro proyecto como se

describe en la Tabla 58.

Tabla 58. Ingresos anuales durante los 3 años. Fuente: DIRTIC

INGRESOS ANUALES

CONCEPTO PRIMER

AÑO SEGUNDO

AÑO TERCER

AÑO Reducción de riesgos en la DIRTIC 7,000.00 14,000.00 22,000.00

Ahorro económico 7,000.00 14,000.00 22,000.00

La seguridad se transforma en actividad de gestión

7,000.00 14,000.00 22,000.00

Cumplimiento legal 7,000.00 14,000.00 22,000.00

Competitividad en el mercado 7,000.00 14,000.00 22,000.00

TOTAL 35,000.00 70,000.00 110,000.00

CÁLCULO DE RENTABILIDAD

Para el cálculo de rentabilidad del Diseño de un Sistema de Gestión de

Seguridad de la Información para las Instituciones Militares, tomando como


la Armada, se utilizó los valores descritos en los cuadros anteriores.

-182-

La utilidad neta de nuestro proyecto se calculó tomando la diferencia entre el

ingreso realizado en un periodo y los gastos que se asocian directamente en

este ingreso, proyectado para 3 años como se describe en la Tabla 25.

Considerando en el Artículo 31, de la Ley de Régimen Tributario, se establece

que Diseño de un Sistema de Gestión de Seguridad de la Información para las


de la Información y Comunicaciones de la Armada tiene una vida útil

proyectada de 3 años se realiza el Flujo de Caja de acuerdo a lo que se detalla

en la Tabla 59.

Tabla 59. Flujo de Caja del Proyecto. Fuente: DIRTIC

FLUJO DE CAJA OPERATIVOS

CONCEPTO FINANCIAMIENTO PRIMER

AÑO SEGUNDO

AÑO TERCER

AÑO

INGRESOS POR SERVICIOS PRESTADOS

35,000.00 70,000.00 110,000.00

(+) DEPRECIACIONES ACTIVOS FIJOS

11,952.00 11,952.00 11,952.00

(-) GASTOS ADMINISTRATIVOS

15,000.00 15,000.00 15,000.00

(- ) VALOR RESIDUAL DE LOS ACTIVOS FIJOS

1,959.00 1,959.00 1,959.00

FLUJO DE CAJA OPERATIVO NOMINAL -121,594.04 29,993.00 64,993.00 104,993.00

TASA PERTINENTE DE DESCUENTO (EN %)

14.38% 14.38% 14.38%

FACTOR DE VALOR ACTUAL A LA TASA Kp

0.874279 0.764363 0.668267

VALOR ACTUAL DE LOS FLUJOS DE CAJA -121,594.04 26,222.24 49,678.26 70,163.31

FLUJOS ACTUAL DE CAJA ACUMULADOS

-95,371.80 -45,693.54 24,469.77

SUMA DE LOS FLUJOS DE CAJA ACTUALIZADOS

24,470

COSTO (INVERSIÓN) DEL PROYECTO

121,594

-121,594.04 29,993.00 64,993.00 104,993.00

De acuerdo a los índices de evaluación calculados en el flujo de caja, podemos

visualizar que el VAN es ≥ 0, TIR es ≥ 0; Relación B/C es ≥ 1; y, el periodo real

de recuperación es menor a 3 años, por lo cual el proyectos es rentable, de

acuerdo a lo que se describe en la Tabla 60.

-183-

Tabla 60. Resultados de los Índices de Evaluación. Fuente: DIRTIC

ÍNDICES DE EVALUACIÓN VALOR

VALOR ACTUAL NETO (VAN) 24,469.77

RELACIÓN BENEFICIO / COSTO (B/C) 1.20

TASA INTERNA DE RETORNO (TIR) (%) 23.97%

PERÍODO REAL DE RECUPERACIÓN (AÑOS) 2.92

Al analizar la factibilidad operativa, técnica y económica se determinó que el



de la Información y Comunicaciones de la Armada, basado en las normas

(ISO/IEC 27001:2005, 2005) es viable.

-184-

CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES

5.1 CONCLUSIONES

a. Las Instituciones Militares, actualmente no disponen de un Sistema de

Gestión de Seguridad de la Información para resguardar los activos de

información que posee la institución, lo que dificulta mantener la

información de acuerdo a las normas de la ISO 27001:2005.

b. Se realizó una encuesta para determinar cómo se encuentra la

seguridad de la información en función a los objetivos definidos

aplicando un cuestionario estructurado con preguntas cerradas que

cubren todos los aspectos de riesgos, incluso las amenazas a la

confiabilidad, integridad y la disponibilidad de los datos y están basadas

en los objetivos de control de la ISO 27001:2005, a 51 personas de la

DIRTIC y CETEIN que contiene 69 ítems relacionados a 55 indicadores

utilizando el método Alpha de Crombrach para determinar la validez del

instrumento, lo que permitió trabajar con información de alta

confiabilidad debido a que el resultado fue de 0,96.

c. Se realizó el levantamiento de información por observación directa

utilizando como guía la norma ISO/IEC 27001:2005, en la cual se

encuentran 11 cláusula, 25 objetivos de control y 41 controles en base a

los requerimientos de la institución y de acuerdo a lo que dispone en

seguridad de la información de la DIRTIC y CETEIN, lo que permitió

identificar los activos de información así como el diagnóstico de

seguridad de estos activos de acuerdo a los objetivos de control y

controles.

-185-

d. Se determinó la factibilidad operativa, técnica y económica para

establecer el Diseño de un Sistema de Gestión de Seguridad de la

Información para las instituciones Militares, lo que permitió verificar que

cumplan con las características acordes a las Instituciones Militares y

determinar que el proyecto sea puesto en marcha aprovechando todos

los beneficios para la Institución logrando que los usuarios estén en

compromiso de seguridad y el reconocimiento de las responsabilidades

de seguridad de la información.

e. Se realizó el establecimiento del Diseño de un Sistema de Gestión de

Seguridad de la Información para las Instituciones Militares; así como la

identificación del riesgo, amenazas y vulnerabilidades; el cálculo del

riesgo amenazas y vulnerabilidades; tratamiento de riesgo; y, revisión de

los riesgos y reevaluación de los activos de información de la Dirección

de Tecnologías de la Información y Comunicaciones, lo que permitió

aplicar para el Diseño del SGSI la cláusula 4.2.1 de la norma ISO

27001:2005 literales a) a la j).

-186-

5.2 RECOMENDACIONES

a. Aplicar el presente trabajo para realizar la implementación del Sistema

de Gestión de Seguridad de la Información para Instituciones Militares,

que permita resguardar los activos de información que posee la

institución, a fin de mantener la información de acuerdo a las normas de

la ISO 27001:2005.

b. Utilizar el método Alpha de Crombrach para determinar la validez del

instrumento para futuras actualizaciones e investigaciones referentes al

Sistema de Gestión de Seguridad de la Información para Instituciones

Militares, la misma que permitirá medir la confiabilidad de la

información con la que se va a trabajar en este tipo de proyectos.

c. Revisar y actualizar periódicamente el Anexo F donde se encuentran los

objetivos de control y controles listados en la Tabla A.1 de la norma

ISO/IEC 27001:2005, en base a los requerimientos de la institución y de

acuerdo a lo que dispone en seguridad de la información para el

levantamiento de la información del Sistema de Gestión de Seguridad de

la Información para Instituciones Militares, la misma que permitirá

identificar los activos de información así como el diagnóstico de

seguridad de estos activos.

d. Verificar y actualizar permanentemente los compromisos de seguridad,

el reconocimientos de responsabilidades de seguridad de la información

con el fin de generar concientización sobre la protección de la

información en el Sistema de Gestión de Seguridad de la Información

-187-

para Instituciones Militares, lo que permitirá cumplir con el numeral 4.2

de la norma ISO/IEC 27001:2005.

e. Utilizar y aplicar la información que se generó en el establecimiento del

Diseño de un Sistema de Gestión de Seguridad de la Información para

las Instituciones Militares; aplicando la cláusula 4.2.1 de la norma ISO

27001:2005 literales a) a la j), para realizar la implementación del

Sistema de Gestión de Seguridad de la Información para Instituciones

Militares, lo que permitirá gestionar eficientemente la accesibilidad de la

información, asegurando la confidencialidad, integridad y disponibilidad

de los activos de información minimizando los riesgos de seguridad de la

información.

-188-

REFERENCIAS BIBLIOGRAFÍCAS

AFP/ Ben Stansall. (19 de 11 de 2013). http://sp.ria.ru/. Recuperado el 2013,

de http://sp.ria.ru/: http://sp.ria.ru/trend/assange_caso/

Alexander, A. (2007). Diseño de un Sistema de Seguridad de la Información,

óptica ISO 27001:2005. Bogotá, D.C.- Colombia: Alfaomega Colombiana

S.A.

Armada. (2013). http://www.armada.mil.ec. Recuperado el 2013, de

http://www.armada.mil.ec: http://www.armada.mil.ec

Ary, W. (1996). Metodología de la Investigación. Madrid - España: Ediciones

Roalg.

CALVO, R. F. (1994–2000). http://www.ati.es. Recuperado el 2013, de

http://www.ati.es: http://www.ati.es/novatica/2000/145

COMACO. (Diciembre de 2008). Manual de Elaboración de Documentación de

las Fuerzas Armadas. Quito, Pichincha, Ecuador: COMACO.

D.G.P. COGMAR-INF-002-2010-O. (2010). Directiva de Seguridad de la

Información. Es una infraestructura de intranet que utiliza las Fuerzas

Armadas.

D.G.P. COGMAR-INF-002-2010-O. (12 de Julio de 2010). Directiva General

Permanente. Seguridad de la Información. Quito, Pichincha, Ecuador:

Armada del Ecuador.

De Freitas, V. (2009). Análisis y Evaluación del Riesgo de la Información: Caso

de estudio Universidad Simón Bolívar. Enlace:Revista Venezolana de

Información, Tecnología y Conocimiento, 6 (1), 43-55.

DIRTIC. (25 de Noviembre de 2010). Estatuto Orgánico por Procesos.

Guayaquil, Guayas, Ecuador: Armada del Ecuador.

-189-

El Comercio. (12 de 06 de 2013). http://www.elcomercio.ec. Recuperado el

2013, de http://www.elcomercio.ec:

http://www.elcomercio.ec/mundo/Snowden-informatico-espionaje-EEUU-

USA-CIA-Obama_0_936506374.html

Empresa Eléctrica Quito. (Diciembre de 2014). Tarifario Vigente 2014. Tarifario

Vigente 2014. Quito, Pichincha, Ecuador: Empresa Eléctrica Quito.

ESPE. (2005). Tesis Manual de procedimientos para ejecutar la auditoria

informática en la Armada del Ecuador. Facultad de Ingeniería en

Sistemas e Informática. ESPE. Sede Sangolquí. Quito, Pichincha,

Ecuador: ESPE / SANGOLQUÍ.

Estado Mayor de la Armada. (2010). Programa de Desarrollo de Tecnologias

de la Información y Comunicaciones. PDETIC. Quito, Pichincha,

Ecuador: Armada del Ecuador.

FFAA. (2013). http://www.ccffaa.mil.ec/. Recuperado el 2013, de

http://www.ccffaa.mil.ec/: http://www.ccffaa.mil.ec/

Gómez, G. (2015). Evaluación de Alternativas de Inversión. Recuperado el

2015, de

http://www.gestiopolis.com/canales/financiera/articulos/22/cauetio.htm.

Hernández, E. (2003). Seguridad y Privacidad en los Sistemas Informáticos.

Recuperado el 21 de Noviembre de 2012, de

http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF

Hernández, R. (2003). Metodología de la Investigación. Mexico D.F.: McGraw-

Hill.

hoy. (26 de 06 de 2013). http://www.hoy.com.ec. Recuperado el 2013, de

http://www.hoy.com.ec: http://www.hoy.com.ec/noticias-ecuador/solo-1-

de-cada-600-delitos-informaticos-se-denuncia-584518.html

INEN. (2009). Código de Práctica para la Gestión de la Seguridad de la

Información. En INEN, Tecnologías de la Información - Técnicas de

-190-

Seguridad - Código de Práctica para la Gestión de la Seguridad de la

Información. Quito: NTE INEN.

Infobae. (09 de 08 de 2011). http://www.seguridadydefensa.com.ec.

Recuperado el 2013, de http://www.seguridadydefensa.com.ec:

http://www.seguridadydefensa.com.ec/noticias/anonymus-revelo-datos-

de-45-mil-policias-24513.html

Interfutura. (15 de 05 de 2012). http://www.interfutura.ec. Recuperado el 2013,

de http://www.interfutura.ec: http://www.interfutura.ec/blog/delitos-

informaticos-en-ecuador-lo-que-vendria-en-la-nueva-legislacion/

ISO /IEC 17779:2005. (2005). Código de Práctica para la Gestión de Seguridad

de la Información.

ISO/IEC 27001:2005. (2005). Estándar Internacional. Tecnología de la

Información - Técnicas de Seguridad - Sistemas de Gestión de

Seguridad de la Información - Requerimientos.

Kingston. (03 de 02 de 2015). Consumo Energético. Obtenido de Kingston.com:

http://www.kingston.com/es/business/server_solutions/power_benchmar

k

L Hurdado y Toro G.J. (2001). Paradigmas y Métodos de Investigación.

Valencia - España: Editorial Espíteme.

Ministerio de Defensa Nacional (MIDENA). (31 de Octubre de 2012). Políticas

de Seguridad Cibernética del M.D.N. O.G. 210. Políticas de Seguridad

Cibernética del M.D.N. O.G. 210. Quito, Pichincha, Quito: Ministerio de

Defensa Nacional.

Moreno, N. A. (2011). Gerencia de Tecnología. Gerencia de Tecnología II.

Madrid, España: Promade.

Neira, A. L. (03 de 02 de 2015). Privacidad y beneficio económico en un SGSI.

Recuperado el 11 de 03 de 2015, de SGSI:

www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf

-191-

NTE INEN, ISO/IEC 27002:2009. (2009). Tecnologías de la Información -

Técnicas de Seguridad - Código de Práctica para la Gestión de la

Seguridad de la Información. NTE INEN - ISO/IEC 27002:2009. Quito,

Pichincha, Ecuador: Ecuador.

PDETIC. (2012). Objetivos Estratégicos Institucionales. Quito: PDETIC.

Santos, L. (2001). Guía para la evaluación de Seguridad en un Sistema.

Recuperado el 12 de marzo de 2013, de Trabajo de grado para optar el

título de Mestría en Ingeniería y Sistemas y Computación, Universidad

de Pamplona. Colombia:

http://www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/pamplona.d

oc

Seen, J. (1987). Análisis y Diseño de Sistemas de Información. México, DF-

México: McGraw-Hill.

-192-

ANEXOS

FACULTAD DE INGENIERÍA DE SISTEMASbibdigital.epn.edu.ec/bitstream/15000/10439/3/CD-6187.pdf ·...

Documents

Transcript of FACULTAD DE INGENIERÍA DE SISTEMASbibdigital.epn.edu.ec/bitstream/15000/10439/3/CD-6187.pdf ·...