UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA...
146
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL DEPARTAMENTO ACADÉMICO DE GRADUACIÓN TRABAJO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERA EN TELEINFORMÁTICA ÁREA SEGURIDAD DE INFORMACIÓN TEMA "INVESTIGACIÓN PARA EL DESARROLLO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN LA NORMA ISO 27001 EN EL DEPARTAMENTO DE ASUNTOS REGULATORIOS DE LA EMPRESA AGRIPAC S.A." AUTORA CHÉRREZ SALAZAR ROSANA MARÍA DIRECTOR DEL TRABAJO ING. TELEC. VEINTIMILLA ANDRADE JAIRO G., MBA. 2015 GUAYAQUIL - ECUADOR
Transcript of UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA...
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE INGENIERÍA INDUSTRIAL
DEPARTAMENTO ACADÉMICO DE GRADUACIÓN
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
INGENIERA EN TELEINFORMÁTICA
ÁREA
SEGURIDAD DE INFORMACIÓN
TEMA
"INVESTIGACIÓN PARA EL DESARROLLO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN BASADO EN LA NORMA ISO 27001
EN EL DEPARTAMENTO DE ASUNTOS
REGULATORIOS DE LA EMPRESA AGRIPAC S.A."
AUTORA
CHÉRREZ SALAZAR ROSANA MARÍA
DIRECTOR DEL TRABAJO
ING. TELEC. VEINTIMILLA ANDRADE JAIRO G., MBA.
2015
GUAYAQUIL - ECUADOR
ii
DECLARACIÓN DE AUTORÍA
“La responsabilidad del contenido de este Trabajo de Titulación, me corresponde
exclusivamente; y el patrimonio Intelectual del mismo a la Facultad de Ingeniería
Industrial de la Universidad de Guayaquil”
Chérrez Salazar Rosana María
C.C. 0925796211
iii
DEDICATORIA
Para los 3 angelitos que jamás han dejado de acompañarme en mi largo
caminar; levantándome cada vez que he caído, acompañándome cada
vez que me he sentido sola y apoyándome cuando lo he visto todo
perdido. Los amé, los amo y los amaré con todas mis fuerzas hasta el
último día.
Héctor Armando Edmundo Salazar (+)
Celso Isaías Chérrez Noriega(+)
Rosa Georgina Betancourt Garzón (+)
iv
AGRADECIMIENTO
A Dios y a todos los que jamás perdieron la confianza en mí. Gracias
infinitas.
v
ÍNDICE GENERAL
N° Descripción Pág.
PRÓLOGO
CAPÍTULO I
MARCO TEÓRICO
N° Descripción Pág.
1.1 Tema 2
1.2 Introducción 2
1.3 Objeto de investigación 4
1.4 Justificación 5
1.5 Objetivos 6
1.5.1 Objetivo general 6
1.5.2 Objetivos específicos 6
1.6 Antecedentes 6
1.7 Fundamentación teórica 11
1.7.1 ISO 27000 11
1.7.1.1 Origen 11
1.7.2 La serie Normas ISO 27000 12
1.7.3 ISO 27001:2005 15
1.7.3.1 Generalidades 15
1.7.4 Sistema de Gestión de la Seguridad de la Información 15
1.7.5 Documentación del Sistema de Gestión de la Seguridad
de la Información 17
1.7.6 Control de la documentación 20
1.7.7 Implementación de un SGSI 21
1.7.7.1 Ventajas de implementar un SGSI 22
1.7.8 Revisión del SGSI 23
vi
N° Descripción Pág.
1.7.9 Análisis y Evaluación del Riesgo 24
1.7.9.1 Tratamiento del Riesgo y la Toma de Decisiones
Gerenciales
25
1.7.9.2 Opciones para el Tratamiento del Riesgo 25
1.7.9.3 Reducción del Riesgo 25
1.7.9.4 Aceptación del Riesgo 26
1.7.9.5 Transferencia del Riesgo 27
1.7.9.6 Evitar el Riesgo 27
1.7.10 Controles de seguridad 28
1.8 Fundamentación Legal 30
CAPÍTULO II
METODOLOGÍA
N° Descripción Pág.
2.1 Antecedentes de la empresa 32
2.2 Organigrama parcial 33
2.3 Situación actual geográfica 34
2.4 Campo de investigación 34
2.5 Tipo de investigación 35
2.6 Método de investigación 36
2.7 Fuentes y técnicas de investigación 37
2.7.1 Fuentes 37
2.7.2 Técnicas 37
2.8 Procedimiento 39
2.8.1 Preparación de la auditoría 39
2.8.2 Gestión de Recursos 39
2.8.2.1 Actividades 39
2.8.2.2 Recursos 40
2.9 Presentación y Análisis de los Resultados 40
2.9.1 Resultados 40
vii
N° Descripción Pág.
2.9.2 Análisis de resultados 44
CAPÍTULO III
CONCLUSIONES Y RECOMENDACIONES
N° Descripción Pág.
3.1 Título 48
3.2 Objetivos 48
3.3 Desarrollo de la Propuesta 48
3.4 Planeación 49
3.5 Desarrollo 50
3.6 Implantación del Proyecto 42
3.7 Conclusiones 52
3.8 Recomendaciones 53
GLOSARIO DE TÉRMINOS 55
ANEXOS 57
BIBLIOGRAFÍA 130
viii
ÍNDICE DE GRÁFICOS
N° Descripción Pág.
1 Familia ISO 27000 12
2 Riesgos SGSI 17
3 Documentación del SGSI 17
4 Organigrama parcial de Agripac S.A. 35
5 Resultado de la entrevista de nivel de seguridad 43
6 Resultado de Auditoría Requisitos Normativos 44
7 Resultado de la Auditoría - Controles 45
ix
ÍNDICE DE TABLAS
N° Descripción Pág.
1 Tabla Ciclo de Deming (PHVA) Aplicado a la Norma ISO
27001 21
2 Cuadro de controles anexo a. 29
3 Tabla de Resultado de la Entrevista de Nivel de
Seguridad 42
4 Tabla Resultado de Auditoría Requisitos Normativos 44
5 Tabla de Resultado de la Auditoría - Controles 45
x
ÍNDICE DE ANEXOS
N° Descripción Pág.
1 Entrevista 57
2 Plan de Auditoría 58
3 Lista de Distribución para el diagnóstico Basado en
Requisitos Normativos ISO 27001:2005 62
4 Lista de Distribución para el diagnóstico Basado en
Controles Anexo A Normativos ISO 27001:2005 88
5 Anexo C Normativos ISO 27001:2005 128
xi
AUTOR: CHÉRREZ SALAZAR ROSANA MARÍA
TÍTULO: INVESTIGACIÓN PARA EL DESARROLLO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN BASADO EN LA NORMA ISO 27001
EN EL DEPARTAMENTO DE ASUNTOS
REGULATORIO DE LA EMPRESA AGRIPAC S.A.
DIRECTOR: ING. VEINTIMILLA ANDRADE JAIRO GEOVANNY,
MBA.
RESUMEN
El objetivo del presente trabajo es proponer un diseño de un Sistema de Gestión de Seguridad de la Información que cumpla los requisitos necesarios de la norma ISO 27001:2005, para el Departamento de Asuntos Regulatorios del edificio matriz de la empresa Agripac S.A. de la ciudad de Guayaquil. La norma es una herramienta que permitió obtener soluciones de una forma sistematizada, además facilitó el análisis de los resultados. Este Estándar Internacional ha sido diseñado para proporcionar un modelo para definir, efectuar, manejar, controlar, inspeccionar, conservar y optimizar un SGSI. Para efectos de levantamiento de información, análisis y conclusiones, se realizó una investigación diagnóstica del Sistema de Seguridad de Información vigente en el Departamento de Asuntos Regulatorios de la empresa Agripac S.A. bajo los lineamientos de la Norma ISO 27001:2005. Agripac S.A. es una empresa certificada bajo un Sistema de Gestión Integrado, y con los resultados obtenidos y la propuesta del diseño se pudo demostrar la importancia y los beneficios de implementar un Sistema de Gestión de Seguridad de información que asegure la continuidad del negocio por medio de la correcta administración, salvaguarda y manejo de uno de los activos más importantes de una compañía: su información.
Palabras claves: Seguridad, SGSI, Auditoria, Información, ISO 27001,
Diagnóstico.
xii
Chérrez Salazar Rosana María Ing. Veintimilla Andrade Jairo Geovanny, MBA
C.C. 0925796211 Director de Trabajo
AUTHOR: CHÉRREZ SALAZAR ROSANA MARÍA
SUBJECT RESEARCH FOR THE DEVELOPMENT OF AN
INFORMATION SECURITY MANAGEMENT SYSTEM
BASED ON THE INTERNATIONAL STANDARD
ORGANIZATION 27001 FOR THE REGULATORY
AFFAIRS DEPARTMENT OF THE AGRIPAC
CORPORATION.
DIRECTOR: TELECOMMUNICATION ENGINEER VEINTIMILLA
ANDRADE JAIRO GEOVANNY, MBA.
ABSTRACT
The aim of this academic study is to propose a design of an Information Security Management System that meets the requirements of the International Standard Organization 27001: 2005 for the Regulatory Affair Department on the Agripac Corporation headquarters in the city of Guayaquil. The standard is a tool that allowed to obtain solutions in a systematic way, that also facilitates the analysis of the results. This international standard is designed to provide a model to define, perform, management, monitor, inspection, maintain and optimize an Information Security Management System. For purposes of information gathering, analysis and conclusions, a diagnostic investigation of the current System Information Security was performed at the Regulatory Affairs Department of the Agripac Corporation, under the guidelines of the International Standard Organization 27001:2005. Agripac Corporation is certified under an Integrated Management System, and with the results and the proposed design, could be demonstrated the importance and benefits of implementing an Information Security Management System to ensure business continuity through the proper administration, safeguarding and management of one of the most important assets of a company: Its information.
Key words: Security, Information Security Management System,
Audit, Information, International Standard
Organization 27001, Diagnostic.
xiii
Chérrez Salazar Rosana María Ing. Veintimilla Andrade Jairo Geovanny, MBA
I.D 0925796211 Director of Work
PRÓLOGO
El presente documento ha sido elaborado como trabajo de tesis
previa la obtención del título de Ingeniera en Teleinformática en la
Universidad de Guayaquil. En este proyecto se estableció como objetivo
general proponer una mejora sobre el Sistema de Gestión de Seguridad
de la Información vigente, para asegurar el Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Con la finalidad de que cumpla los requisitos necesarios de la
norma ISO 27001, se estudió la norma, se elaboraron listas de
distribución de acuerdo con los requisitos normativos y los controles de la
norma, además se diseñó un formato de entrevista a la jefe del
departamento, todo esto para poder evaluar la seguridad en los procesos
realizados en el área, identificar las vulnerabilidades y diseñar una
propuesta de mejora.
De acuerdo a los objetivos específicos, el proyecto marca su inicio
realizando una auditoría de diagnóstico del Sistema de Seguridad de
Información en uso en el Departamento de Asuntos Regulatorios de la
empresa Agripac S.A., para tales efectos, se utilizó el material antes
mencionado, el cual, permitió hallar las falencias, y, una vez encontrados
los incumplimientos de la norma, se desarrolló una propuesta de mejora
en el Sistema de Gestión actual, que es un Sistema de Gestión Integrado,
basado en las normas ISO 9001, 14001 y 18000, el cual, mediante la
propuesta, fue enfocado a la seguridad de información, enunciando los
principales beneficios de utilizar un Sistema de Gestión de Seguridad de
Información que de un valor agregado a los procedimientos realizados en
el Departamento de Asuntos Regulatorios.
CAPÍTULO I
MARCO TEÓRICO
1.1. Tema
"Investigación para el desarrollo de un sistema de gestión de
seguridad de la información basado en la norma ISO 27001 en el
Departamento de Asuntos regulatorio del Grupo Agripac S.A."
1.2. Introducción
En toda organización, la información es un activo de vital
importancia, que como otros activos comerciales, es esencial para el
manejo y la continuidad del negocio, y como consecuencia de ello
necesita ser protegido adecuadamente, en especial en un ambiente
operativo que se encuentra cada vez más interconectado. (ISO/IEC,
NORMA ISO 17799/27002, 2005)
Debido al crecimiento de las redes informáticas, la información se
encuentra cada vez más expuesta a una gran variedad de posibles
amenazas y vulnerabilidades. En la actualidad, los últimos ataques sobre
información almacenada en la nube por parte de hackers, es lo que hace
preocupar a los usuarios y empresas sobre si existe la posibilidad de que
su información quede vulnerada de alguna manera. (Catteddu, 2010).
Las empresas toman decisiones sobre la inversión en seguridad
informática según como se maneje la vulnerabilidad de los datos.
(Hausken, 2006).
Marco Teórico 3
La norma ISO 27001 es una herramienta que permitirá obtener
resultados de una forma sistematizada, que facilite el análisis de los
mismos. Este Estándar Internacional ha sido desarrollado para proveer
requerimientos dedicados a establecer, implementar, mantener y mejorar
de manera continua un Sistema de Gestión de Seguridad de la
Información. (ISO/IEC, 2013)
Agripac S.A. es una empresa con más de 40 años de experiencia
en el Ecuador, con liderazgo en la actividad agrícola y otras áreas afines,
aportando productos de calidad y valor para el desarrollo del país. Entre
sus actividades se encuentran la producción, distribución y venta de
productos agrícolas, veterinarios, acuícolas, semillas y granos. (Agripac,
2015)
Por la actividad comercial que desarrolla Agripac, se necesita
mantener parcialmente la información en forma confidencial, así como
también mantener la confidencialidad de la información de sus clientes,
por lo que es responsabilidad de la empresa la apropiada salvaguarda de
dicha información y efectiva limitación del uso de la misma. Para llevar a
cabo las distintas actividades que Agripac realiza, debe cumplir con los
requisitos legales necesarios que solicitan las autoridades pertinentes del
país.
El Departamento de Asuntos Regulatorios es el encargado de
manejar y resguardar la información legal y técnica de los productos,
utilizada única y exclusivamente con fines profesionales, por lo que no
debe ser divulgada ni aún a miembros de la misma organización que no la
requieran para decisiones propias de la actividad que se desarrolla dentro
de la empresa.
Se conoce que actualmente el Departamento de Asuntos
Regulatorios no cuenta con un sistema de seguridad de información
Marco Teórico 4
establecido que devuelva los resultados que en función del negocio se
requiere, quedando expuesto a graves problemas de seguridad y riesgos
que comprometen información de suma importancia para la compañía.
Se necesita concentrar el procesamiento de datos e información
de una manera sistematizada y automática que garantice siempre la
disponibilidad, la confidencialidad e integridad de la misma.
Debido al gran volumen de información que posee el departamento
y a la necesidad de mantener la seguridad de la misma, se considera
importante se realice un diagnóstico de la situación actual basado en la
norma ISO 27001:2005 en los siguientes procedimientos propios del área:
Procedimiento para Obtener Certificado de Registro de un
Producto en Ecuador.
Procedimiento para Elaborar Artes de Etiquetas de Productos
Registrados.
Los resultados de la auditoria de diagnóstico son de suma utilidad
para el análisis de posibles mejoras que disminuyan o erradiquen los
riesgos presentes y mantengan protegidos los activos de información,
otorgando confianza y seguridad a las partes interesadas. El trabajo
propuesto está estructurado de la siguiente manera: En el capítulo I
tenemos las generalidades, definición del problema y justificación. En el
capítulo II se detalla el marco teórico.
En el capítulo III se establece la metodología y los resultados de la
auditoría de diagnóstico. En el capítulo IV se indican las conclusiones y
recomendaciones finales del presente trabajo de investigación.
1.3. Objeto de la investigación
Realizar un estudio de investigación para plantear una propuesta
para el desarrollo de un Sistema de Gestión de Seguridad de la
Marco Teórico 5
Información basado en la Norma ISO 27001 en el departamento de
Asuntos Regulatorios del edificio matriz de Agripac S.A.
1.4. Justificación
El Departamento de Asuntos Regulatorios maneja grandes
volúmenes de información debido a los procedimientos que realiza, por lo
que se considera importante robustecer la seguridad de la misma por
medio de un Sistema de Gestión de Seguridad de la Información
utilizando la norma ISO 27001:2005.
Luego de realizado el respectivo diagnóstico, devolverá el valor de
la situación de la seguridad en la que el departamento se encuentra y se
propondrán opciones de mejora.
La información dentro de una empresa puede existir de muchas
formas. Puede estar impresa o escrita en papeles, almacenada en
archivadores o electrónicamente, transmitida por correo o utilizando
medios electrónicos, e inclusive hablada en una conversación.
Cualquiera que sea la forma que tome dicha información, o medio
por el cual sea almacenada o transmitida, debe siempre mantenerse bajo
una protección adecuada. Se desea definir, lograr mantener y mejorar la
seguridad de la información, puesto que es esencial para mantener una
ventaja competitiva, margen de utilidad, rentabilidad, liquidez, observancia
legal e imagen comercial; pero se debe tener en cuenta que la seguridad
que se vaya a implementar sea apoyada por la gestión y a los
procedimientos adecuados.
Para mantener la seguridad de la información se ha determinado:
Proporcionar las mejores prácticas de seguridad de la información.
Permitir diagnosticar, analizar y medir prácticas efectivas de
gestión de seguridad.
Marco Teórico 6
Proporcionar confianza en el tratamiento de la información.
Que sea aplicable a los procedimientos del Departamento.
Es importante recalcar que quienes conforman la empresa
incluyendo proveedores, clientes y terceros deben participar de la correcta
gestión de la seguridad. De demostrarse resultados positivos a la
propuesta de mejora dentro del departamento, se aplicaría el sistema
propuesto en otras áreas, con la finalidad de mantener una imagen
profesional y confiable de la empresa ante la competencia, lo cual dará
ventaja competitiva en el mercado.
1.5. Objetivos
1.5.1. Objetivo general
Desarrollar una propuesta de mejora que permita la
implementación de un Sistema de Gestión de Seguridad de la Información
en el Departamento de Asuntos Regulatorios de la empresa Agripac S.A.
1.5.2. Objetivos específicos
Realizar un diagnóstico, mediante una auditoría, del Sistema de
Seguridad de Información vigente en el Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Identificar a través de análisis de los resultados, las fortalezas y
debilidades del Sistema de seguridad de información vigente.
Proponer una mejora en el Sistema de Gestión actual, enfocado a
la seguridad de información.
1.6. Antecedentes
La finalidad de un Sistema de Gestión de Seguridad de la
Información no es mantener la seguridad en un 100%, puesto que no es
posible, ya que siempre habrá brechas de seguridad.
Marco Teórico 7
El propósito de este sistema de gestión es asegurar a la entidad en
donde se aplique, garantizando que los riesgos de seguridad de
información que se encuentren en el proceso de auditoría sean
conocidos, asumidos, gestionados y minimizados por la organización;
mismos que deben ser manejados a través de evidencia documentada,
facilitando la identificación estructurada y continua de estos.
Un SGSI facilita el establecimiento de políticas y procedimientos
alineados de manera directa a los objetivos del negocio de la compañía,
para mantener así un nivel de exposición que sea siempre menor al nivel
de los riesgos que la propia organización ha decidido asumir.
Con la ayuda de un SGSI, la organización está al tanto de los
riesgos a los que su información está expuesta y puede asumirlos,
minimizarlos, transferirlos o controlarlos mediante una política definida,
que esté documentada y que sea conocida por todos los que conforman
la compañía, y que sea revisada y mejorada constantemente.
Se han realizado y se siguen realizando estudios, a nivel nacional e
internacional, sobre el impacto que causa en una organización la
implementación de un SGSI. La información recolectada ha sido de gran
aporte para conocer los beneficios que provee implementar un SGSI a
una organización.
Entre los estudios a nivel internacional podemos destacar los
siguientes:
Juan David Aguirre Cardona y Catalina Aristizabal Betancourt, en
un estudio realizado en Pereira, Colombia, de un Diseño del Sistema de
Gestión de Seguridad de la Información para el Grupo Empresarial La
Ofrenda, concluyen que en una época en que la información tiene un
papel elemental en la gran mayoría de las organizaciones, es importante
contar con un Sistema de Gestión de Seguridad de la Información,
Marco Teórico 8
enfocado en las necesidades del negocio, para poder asegurar a un nivel
aceptable la información de la empresa, puesto que de quedar expuesta a
una catástrofe podría perderse, afectando la continuidad del negocio.
Recalcan también la importancia de implementar controles necesarios en
cada proceso crítico de la empresa cuando ya se hayan identificado los
riesgos. Mencionan también que el apoyo de la alta gerencia es
indispensable ya que se puede asegurar que todo el personal de la
organización va a seguir las políticas, procedimientos, controles,
lineamientos, estándares y demás que se definan en el SGSI. Con el
SGSI expuesto en su investigación, lograron evitar incidentes que puedan
afectar la operatividad diaria de la empresa brindando un nivel aceptable
de seguridad de la información que se maneja. (JUAN DAVID AGUIRRE
CARDONA, 2013)
En otro estudio, realizado en Lima - Perú, por el Ph.D Alberto G.
Alexander, sobre el Análisis del Riesgo y el Sistema de Gestión de
Seguridad de Información: El Enfoque ISO 27001:2005, el autor asegura
que el implementar un SGSI en una organización, tiene como
requerimiento básico la participación de la gerencia. Menciona también
que este estándar fue elaborado para gestionar un sistema de seguridad
de información, cuyo propósito fundamental es asegurar la información
manteniendo su confidencialidad, integridad y disponibilidad, conservando
como tema central la gestión del riesgo. Además considera que con las
nuevas reglas de comercio internacional y la globalización, para mantener
un nivel competitivo considerable a nivel del mercado local y mundial, se
tendrá que implementar la norma ISO 27001:2005. (Alexander, 2006)
Otra investigación que podemos mencionar es la realizada en
Barquisimeto - Venezuela por la Ing. Arelys Altagracia López M., sobre un
Diseño de un Plan de Gestión de Seguridad de la Información para la
Dirección de Informática de la Alcaldía del Municipio del Estado Lara,
evidencio a través de su estudio que en una organización que carece de
políticas y controles eficientes que resguarden y manejen la información
Marco Teórico 9
que se encuentre expuesta a riesgos que perjudiquen la continuidad de su
negocio, si existe factibilidad técnica económica y operativa, será posible
diseñar un Plan de Seguridad de Información que brinde un esquema de
seguridad más sólido y eficiente en el uso de sus Sistemas de
Información cuando sea implementado, mismo que, para obtener los
efectos que se requieren, deberá ser periódicamente evaluado y
mejorado. (Arelys Alttagracia, 2011)
De los estudios realizados a nivel nacional podemos destacar los
siguientes:
José Alfonso Aranda Segovia, en su investigación sobre la
Implementación del Primer Sistema de Gestión de Seguridad de la
Información, en el Ecuador, Certificado bajo la Norma ISO 27001:2005,
indica que la norma está orientada al tratamiento de la seguridad e
información mediante la gestión del riesgo, tanto para sus activos como
para sus procesos. Esto garantiza que ante recursos limitados las
inversiones sean bien focalizadas. Indica también que las decisiones
respecto al cumplimiento de las políticas del SGSI deben ser de carácter
jerárquico, impulsado por el director de la organización, quien debe
motivar a que el personal se adapte a los cambios que se presenten, e
incentivarlos para que tengan compromiso con el cumplimiento del SGSI
a establecerse. Recalca también que para tener una implantación exitosa
del SGSI, los objetivos del mismo deben estar alineados al negocio de la
compañía, caso contrario el valor que agrega no sería tangible. Afirma
también que tener implantado un SGSI no significa contar con seguridad
máxima en la información de la organización, significa que la empresa
cumple con los requerimientos y mejores prácticas establecidas en dicha
norma para que su SGSI funcione correctamente y pueda evolucionar
hacia la sofisticación, y finalmente concluye que el eslabón más débil de
la cadena son las personas, por tanto, el análisis y evaluación del riesgo
del SGSI debe hacer énfasis en considerar este tipo de amenazas.
(Aranda, 2009).
Marco Teórico 10
Continuando con los estudios realizados en el país, los autores
Diana Calderón Onofre, Estela Ochoa Martín y Manuel Flores Villamar,
realizaron una Implementación de Sistema de Gestión de Seguridad de la
Información aplicada al área de Recursos Humanos de la empresa
Decevale S.A., en la que exponen que el utilizar un SGSI en una
organización provee de herramientas y mecanismos necesarios para
poder afrontar riesgos.
Agregan además que el identificar los activos de información de la
empresa y definir políticas de seguridad claras y completas son factores
determinantes para la correcta implantación de un SGSI que defina
acciones de control y tratamiento de riesgos, sin tener q exponer los
activos de información de la empresa ante cualquier evento que se
presente.
Esto beneficia a la organización puesto que se satisfacen de mejor
manera los requerimientos de los clientes, proveedores y organismos de
control, formalizando responsabilidades operativas y legales de los
usuarios y cumpliendo las disposiciones legales correspondientes.
(Calderón Onofre, Estrella Ochoa, & Flores Villamarín, 2011).
Continuando con otras investigaciones realizadas, Oscar Eduardo
Campaña Tenesaca, en su Plan de propuesta para la implantación de la
norma de seguridad informática ISO 27001:2005 para el Grupo Social
Fondo Ecuatoriano Populorum Progressio (GSFEPP), afirma que la
implementación de un SGSI en una empresa no es simplemente una
imagen de sello útil, puesto que al implementarlo se presentan cambios
físicos, tecnológicos y en el recurso humano a nivel institucional,
presentando mejoras, estableciendo relaciones de confianza que
intensifican las actividades comerciales con sus clientes y empresas
colaboradoras, facilitando la propagación a clientes potenciales y
favoreciendo a la relación de la institución con sus empleados, ya que
Marco Teórico 11
reduce los niveles de posibles pérdidas económicas. (Campaña
Tenesaca, 2010).
Todos estos estudios realizados nos dan una idea de los beneficios
de implementar un SGSI y su impacto en una organización. Además nos
orienta a cuáles deben ser nuestros puntos de acción empleando las
tácticas pertinentes para su implementación.
Si se desea tener un SGSI que devuelva los resultados que la
seguridad de información demanda, es importante que esté alineado a la
norma ISO 27001, para tales efectos es importante conocer la norma, su
contenido, historia, estructura y demás características.
Además es importante conocer los conceptos y la terminología que
contiene. A continuación se analizarán los fundamentos teóricos de esta
investigación.
1.7. Fundamentación teórica
1.7.1. ISO 27000
1.7.1.1. Origen
Desarrollado en dos partes, la primera publicada en el año 1995
por el British Standards Institution bajo el nombre de BS-7799, la cual
estaba dirigida a buenas prácticas de seguridad de empresas británicas y
la segunda parte en el año 1998 por medio de la cual se establece los
requerimientos para el desarrollo de un SGSI.
En este contexto la BS-7799 sirvió de punto de origen en el año
2000 para el desarrollo de la Norma Internacional ISO-17799.
Posteriormente en el año 2005 se inicia el desarrollo de la Familia de
Normas ISO-27000.
Marco Teórico 12
Consecuentemente la norma ISO-17799 es renombrada como ISO-
27002, sirviendo como punto de partida para la creación del Comité
Técnico encargado de la creación de normativas ISO-27000. (Seguridad
Informática WordPress.com, 2013)
1.7.2. La serie Normas ISO 27000
ISO/IEC 27000, es una familia de estándares enfocados en permitir
a las organizaciones a mantener seguros sus activos de información.
Establecen un marco para la correcta administración de la
seguridad de la información, siendo aplicable en cualquier organización
sea esta pública o privada gracias a la versatilidad provista en las normas.
(Seguridad Informática WordPress.com, 2013)
La familia de normas ISO 27000 especifica un conjunto de buenas
prácticas enfocadas en Seguridad de la información para el desarrollo,
implementación y mantenimiento continuo de especificaciones en los
SGSI. La familia de estándares 27000 está contemplada dentro de los
estándares ISO/EC como seguridad de la información:
FIGURA N° 1
FAMILIA ISO 27000
Fuente: https://seguridadinformaticaunivia.wordpress.com Elaborado por: Chérrez Salazar Rosana María
27007
27006 27000
FAMILIA
ISO 27000
27004
27003
27005 27001
27002
Marco Teórico 13
a) ISO 27000: Describe de forma general el vocabulario utilizado en el
conjunto de estándares 27000. Permite un mayor entendimiento de
la serie de normas y la relación que existe entre la documentación
presente en esta. (Seguridad Informática WordPress.com, 2013)
b) UNE-ISO/IEC 27001:2005: Establece los principales requisitos de
un SGSI. Describe que todo Sistema de Seguridad de la
Información será certificado mediante una auditoría externa a la
organización. Contiene un listado que responde a controles y
objetivos de control desarrollados la ISO 27002. (Seguridad
Informática WordPress.com, 2013)
c) ISO/IEC 27002: Sostiene una guía de buenas prácticas de gestión
de la seguridad de la información. Delinea controles y objetivos de
control divididos en dominios específicos. (Seguridad Informática
WordPress.com, 2013)
d) ISO/IEC 27003: Provee una guía práctica en el desarrollo del plan
de implementación de un SGSI dentro de la organización de
acuerdo con la ISO/IEC 27001. (Seguridad Informática
WordPress.com, 2013)
e) ISO/IEC 27004: Provee una guía en el desarrollo y uso de medidas
y medición con el fin de evaluar la eficacia del SGSI. Especifica un
conjunto de controles y objetivos de control especificados en la
ISO/IEC 27001. (ISO, 2009)
f) ISO/IEC 27005: Provee guías con respecto a la gestión de riesgo
de la información. Mantiene los conceptos generales especificados
en ISO/EC 27001 y está designada a asistir la satisfactoria
implementación de seguridad de la información basado en un
enfoque de gestión de riesgo. (ISO, 2011)
Marco Teórico 14
g) ISO/IEC 27006: Especifica los requisitos y proporciona orientación
para los organismos que realizan la auditoría y certificación de un
sistema de gestión de seguridad de la información, en adición a los
requerimientos contenidos en ISO/IEC 17021, ISO/IEC 27001.(ISO,
2011)
h) ISO/IEC 27007: – Proporciona una guía para auditar al SGSI. Es
aplicable a aquellos que necesitan comprender o realizar auditorías
internas o externas de un SGSI o para gestionar un programa de
auditoría SGSI. (Seguridad Informática WordPress.com, 2013)
Las normas de la familia ISO 27000, fundamentalmente la ISO/IEC
27001 e ISO/IEC 27002, tienen como principales objetivos:
Establecer un marco metodológico para un SGSI.
La adopción de controles proporcionales a los riesgos percibidos.
La documentación de políticas, procedimientos, controles y
tratamiento de riegos.
Identificación y asignación de responsabilidades al nivel adecuado.
Formalización, seguimiento y revisión de los controles y riesgos, de
forma sistemática (periódica) y metodológica.
Generación y preservación de evidencias.
Tratamiento de los incidentes de seguridad.
Revisión y mejora continua del SGSI.
Gestión de Riesgos
Uso de métricas para evaluar efectividad y eficiencia de los
controles y del propio SGSI.
Los lineamientos metodológicos y los requerimientos de la norma
ISO/IEC 27001 son propuestos bajo el enfoque del Ciclo de Deming:
Planificar – Hacer – Verificar – Actuar (PHVA). (Seguridad Informática
WordPress.com, 2013)
Marco Teórico 15
1.7.3. ISO 27001:2005
1.7.3.1. Generalidades
Este estándar internacional especifica los requerimientos para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar
un SGSI documentado dentro del contexto de los riesgos comerciales
generales de la organización. (ISO/IEC, 2005)
Por medio de este estándar se puede gestionar la seguridad de
información en una organización. En él, se escribe una metodología para
implementar dicha gestión en la organización. También permite que una
empresa pueda certificarse si esta gestión ha sido implementada con
éxito y bajo los requisitos del estándar 27001.
Esta norma se ha convertido en una de las principales
herramientas para asegurar la información y es utilizada en varias
organizaciones a nivel mundial, que han certificado su cumplimiento
logrando una apropiada salvaguarda y gestión de sus activos de
información.
1.7.4. Sistema de Gestión de la Seguridad de la Información
El SGSI es la idea bajo la que se desarrolla la ISO 27001. La
administración de la seguridad de la información se realiza bajo un
proceso debidamente estructurado, analizado y ampliamente
documentado por la organización. Mantener un nivel de protección total
dentro de una organización no es posible, incluso contando con un
presupuesto ilimitado. Por esto, el propósito final de un SGSI es el de
mantener el nivel de riesgo aceptable, garantizando de esta manera que
este sea conocido, administrado, aceptado, disminuido por la
organización de una forma documentada, registrada, metódica,
Marco Teórico 16
organizada, repetible, eficaz y acoplada a posibles cambios que se
produzcan en los riesgos, ambiente y tecnologías.. (WWW.ISO27000.ES,
2012)
Según ISO 27001, la seguridad de la información está determinada
por la conservación de su confidencialidad, integridad y disponibilidad, de
igual manera con los sistemas que se encuentran inmersos en su
tratamiento en la organización.
Es de esta manera que bajo el concepto de estos tres términos se
constituye el fundamento de toda configuración de un SGSI:
Confidencialidad: La información se encuentra protegida y no es
revelada a intrusos o a accesos no autorizados, nunca es
dispuesta a personas, entidades o procesos.
Integridad: La información mantiene su estado original, sin ser
modificada o alterada.
Disponibilidad: Personas, entidades o procesos estructurados y
debidamente autorizados tienen la capacidad de acceder y usar la
información y sistemas de gestión de esta. (WWW.ISO27000.ES,
2012)
Para que la seguridad de la información sea garantiza, la misma
debe ser administrada por medio de un proceso metódico, documentado y
ampliamente conocido por la organización, desde el punto de vista de
riesgo organizacional.
La concepción de un SGSI permite la creación de políticas y
procesos que estén estrechamente alineados con los objetivos de la
organización, obteniendo de esta manera un nivel de exposición
aceptable y manejable; el mismo que siempre se encontrará a un nivel
menor al esperado por la organización.
Marco Teórico 17
FIGURA N° 2
RIESGOS - SGSI
Fuente: (WWW.ISO27000.ES, 2012) Elaborado por: ISO27000
1.7.5. Documentación del Sistema de Gestión de la Seguridad de la
Información
En el campo de la gestión de calidad de acuerdo a la norma ISO
9001, constantemente se ha expresado de forma gráfica la
documentación del sistema en una pirámide de cuatro niveles. Es viable
introducir dicho modelo a un SGSI fundamentado en ISO 27001 puesto
que hay similitudes entre estos dos estándares, y se puede exponer de la
siguiente manera:
FIGURA N° 3
DOCUMENTACIÓN DEL SGSI
Fuente: (WWW.ISO27000.ES, 2012)
Elaborado por: ISO27000
Marco Teórico 18
a) Documentos de Nivel 1: Manual de seguridad: Es el instrumento
en el que se basa y rige la totalidad del sistema, es aquel que
presenta y establece los propósitos, alcance, objetivos, deberes,
reglamentos, normas principales, etc., del SGSI.
(WWW.ISO27000.ES, 2012)
b) Documentos de Nivel 2: Procedimientos: Documentos en el nivel
operacional, que aseveran que se efectúen de manera efectiva los
programas, la evolución y el monitoreo de los procesos de
seguridad de información. (WWW.ISO27000.ES, 2012)
c) Documentos de Nivel 3: Instrucciones, checklists y formularios:
Documentación que refiere como se ejecutan las labores y
movimientos específicos relacionados con la seguridad de
información. (WWW.ISO27000.ES, 2012)
d) Documentos de Nivel 4: Registros: Documentación que evidencia
el acatamiento de las obligaciones del SGSI; se encuentra
relacionada a la documentación de los tres niveles antes
mencionados como output que evidencia el cumplimiento de lo que
se indica en los mismos. (WWW.ISO27000.ES, 2012)
De forma concreta, ISO 27001 muestra que un SGSI debe estar
conformado por la siguiente documentación, difiriendo del formato y
medio en que se presente:
Alcance del SGSI: Ambiente de la Compañía que se somete al
SGSI, identificando de forma específica las dependencias, relaciones y
limitantes existentes entre el alcance y las partes no consideradas (en los
casos en los que el medio de dominio del SGSI estime una parte
determinada de la institución como delegaciones, divisiones,
departamentos, procesos, sistemas o actividades concretas).
Marco Teórico 19
Política y objetivos de seguridad: documentación que contiene
establecido en forma genérica las responsabilidades de la dirección y la
orientación de la institución sobre la gestión de la seguridad de
información.
Procedimientos y mecanismos de control que soportan al
SGSI: aquellas tareas que regularizan el funcionamiento del SGSI.
Enfoque de evaluación de riesgos: explicación de los métodos a
utilizar (de qué forma se hará la valoración de las amenazas,
debilidades, posibilidades de ocurrencia e impactos de acuerdo a la
información propia contenida en el alcance selecto), elaboración de de
criterios de aceptación de riesgo y definición de niveles de riesgo
aceptables.
Informe de evaluación de riesgos: Estudio que resulta de la
aplicación de los métodos antes mencionados a los activos de
información de la institución.
Plan de tratamiento de riesgos: Documentación que define las
funciones de la dirección, los recursos las obligaciones y las prioridades
para tratar los riesgos de seguridad de información, de acuerdo con los
resultados obtenidos de la valoración de los riesgos,, de los objetivos de
control encontrados, de los recursos disponibles, etc.
Procedimientos documentados: son todos aquellos que se
necesitan para asegurar la planificación, ejecución y vigilancia de los
procesos de seguridad de la información, y para la medir de la eficacia de
los controles establecidos.
Registros: Documentación que evidencia el acatamiento de las
obligaciones del SGSI y la eficacia de su funcionamiento.
Marco Teórico 20
Declaración de aplicabilidad: Documentación conformada por los
objetivos de control y los controles contenidos por el SGSI, basada en los
resultados de los procesos de valoración y tratamiento de riesgos,
evidenciando inclusiones y exclusiones. (WWW.ISO27000.ES, 2012)
1.7.6. Control de la documentación
Para los documentos generados se debe establecer, documentar,
implantar y mantener un procedimiento que defina las acciones de gestión
necesarias para:
Garantizar la correcta documentación antes de ser emitida.
Verificar y renovar documentación cuando sea necesario y
actualizar su validez.
Establecer garantías sobre la identificación del estado actual y
cambios en la revisión de documentos.
Garantizar que las versiones notables de la documentación
presente esté dispuesta en los lugares de trabajo.
Asegurar que la respectiva documentación es legible y de fácil
identificación.
Garantizar la disponibilidad de la documentación para el personal
que la necesite; los mismos que son transmitidos, guardados y
eliminados acorde a procedimientos según su pertinente
clasificación.
Respaldar la identificación de documentos provenientes del
exterior.
Asegurar el control sobre la distribución de documentos.
Desechar documentos desactualizados y obsoletos.
Identificar apropiadamente documentos que hayan sido retenidos
con algún propósito. (WWW.ISO27000.ES, 2012)
Marco Teórico 21
1.7.7. Implementación un SGSI
Para este propósito se utiliza el círculo de mejora continua PDCA
(PHVA); el mismo es ampliamente utilizado por los Sistemas de Gestión
de Calidad y Sistemas de Gestión de Seguridad de la Información. En el
Cuadro 1, se especifican los principales procesos que indica la referida
norma, con las etapas del ciclo PHVA.
TABLA N° 1
CICLO DE DEMING (PHVA) APLICADO A LA NORMA ISO 27001
Ciclo PHVA Procesos
Planificar (Plan)
Establecer el contexto. Alcance y Limites.
Definir Política del SGSI.
Definir Enfoque de Evaluación de Riesgos.
Identificación de riesgos.
Análisis y Evaluación de riesgos.
Evaluar alternativas para el Plan de tratamiento de
riesgos.
Aceptación de riesgos.
Declaración de Aplicabilidad.
Hacer (Do)
Implementar plan de tratamiento de riesgos.
Implementar los controles seleccionados.
Definir las métricas.
Implementar programas de formación y
sensibilización.
Gestionar la operación del SGSI.
Gestionar recursos.
Implementar procedimientos y controles para la
gestión de incidentes de seguridad
Marco Teórico 22
Verificar
(Check)
Ejecutar procedimientos de seguimiento y revisión
de controles.
Realizar revisiones regulares de cumplimiento y
eficacia de los controles y del SGSI.
Medir la eficacia de los controles y verificación de
satisfacción de los requerimientos de seguridad.
Revisión de la evaluación de riesgos
periódicamente.
Realizar auditorías internas.
Revisión de alcance y líneas de mejoras del SGSI
por la Dirección.
Actualizar los planes de seguridad.
Registrar acciones que podrían impactar la
eficacia y/o eficiencia del SGSI
Actuar (Act)
Implementar las mejoras identificadas para el
SGSI.
Implementar las acciones correctivas y preventivas
pertinentes.
Comunicar acciones y mejoras a todas las partes
involucradas.
Asegurarse que las mejoras logren los objetivos
previstos.
Fuente: (Mega, 2009)
Elaborado por: Chérrez Salazar Rosana María
1.7.7.1. Ventajas de implementar un SGSI
Aumenta el compromiso de la organización.
Incrementa la confianza de los clientes, usuarios y otras partes
interesadas con respecto a la información que maneja la empresa.
Mejora la eficacia de las operaciones, personas y procesos
relacionados con la seguridad de la información;
Marco Teórico 23
Garantiza una mejor disponibilidad de los documentos, información
y datos.
Evita pérdidas, robos, descuidos, etc., con los activos de
información en la organización.
Garantiza la conformidad y el cumplimiento a las autoridades
competentes con respecto a la reglamentación y leyes aplicables,
pudiendo evidenciarlo mediante registros.
Facilita los procesos de formación y conocimiento del personal en
materia de seguridad de la información, siendo una herramienta
compatible y complementaria con otros Sistemas de Gestión (ISO
9001 e ISO 14001.
1.7.8. Revisión del SGSI
La dirección de la organización es la encargada de realizar el
trabajo de revisar el SGSI por lo menos una vez al año, asegurando que
mantenga su eficacia. Para realizar esta tarea, la dirección debe mantener
información actualizada que le permita tomar decisiones oportunas, entre
las que se encuentran:
Resultados y productos de auditorías y estudios del SGSI.
Análisis por medio de observaciones realizadas por las partes
interesadas.
Técnicas, productos o procedimientos que pudieran ser útiles para
mejorar el rendimiento y eficacia del SGSI.
Datos sobre el estado de acciones provisorias y correctivas.
Debilidades o amenazas que no han sido tomadas en cuenta o no
han sido tratadas en forma correcta en el análisis de resultados de
evaluaciones de riesgo previas.
Resultados de las mediciones de eficacia.
Condición de las acciones iniciadas a raíz de revisiones previas de
la dirección técnica.
Marco Teórico 24
Posibles cambios que podrían alterar al SGSI.
Sugerencias de mejora. (Montenegro & De la Cruz, 2008)
De acuerdo a lo propuesto por Montenegro & De la Cruz (2008),
tomando en cuenta todos estos puntos, la dirección técnica es la
encargada de revisar el SGSI y realizar la toma de decisiones
relacionadas a:
Aumento de la eficacia del SGSI.
Reajuste de la evaluación de riesgos y del plan de tratamiento de
riesgos.
Rectificación de los procedimientos y controles que intervienen en
la seguridad de la información, en consecuencia a cambios
internos y ajenos, con respecto a los intereses de negocio,
necesidades de seguridad, procesos de negocio, marco legal,
obligaciones contractuales, niveles de riesgo y criterios de
aceptación de riesgos.
Requerimientos de recursos.
Perfeccionamiento en la forma de establecer métricas y mediciones
enfocadas a la efectividad de los controles.
1.7.9. Análisis y Evaluación del Riesgo
Es un compendio de pasos estructurados establecidos por la
organización. Estos comprenden desde la identificación de activos de
información hasta el establecimiento de la prioridad de amenazas
clasificadas según su impacto en el riesgo de los activos. El fin del
análisis y evaluación de riesgo es determinar la magnitud del riesgo que
afecta de una u otra manera a los activos de información. De esta manera
se describe la secuencia de pasos estructurados que sigue el análisis y
evaluación de riesgo. (Montenegro & De la Cruz, 2008)
Marco Teórico 25
Los pasos para la metodología de análisis de riesgos son:
Identificación de activos de información.
Tasación de activos de información.
Identificación de amenazas y posibilidades de ocurrencia.
Identificación de vulnerabilidades.
Estimación de la exposición de la explosión al riesgo de los activos
de información.
Priorización de las amenazas por su exposición al riesgo.
(Montenegro & De la Cruz, 2008)
1.7.9.1. Tratamiento del Riesgo y la Toma de Decisiones Gerenciales
Los riesgos deben ser administrados por medio de un conjunto de
combinaciones de controles y estrategias de aceptación. La alta gerencia
será la encargada de la toma de decisiones enfocadas al tratamiento del
riesgo; la misma utilizará como guía los siguientes factores:
Impacto del riesgo en caso de concretarse.
Probabilidad de su ocurrencia.
En caso de inminente impacto del riesgo sobre la situación
financiera de esta, la organización deberá tomar en cuenta el costo de
intervenir sobre alguna de las opciones de contingencia del riesgo.
1.7.9.2. Opciones para el Tratamiento del Riesgo
Para el tratamiento del riesgo existen cuatro estrategias que son
las más difundidas a nivel internacional. A continuación se hará una breve
descripción de cada una de ella:
1.7.9.3. Reducción del Riesgo
Para realizar el análisis de reducción de riesgo es necesaria la
serie de controles incluidas en la ISO 270001:2005 ANEXO A. Una vez
Marco Teórico 26
identificado el nivel de los controles es de vital importancia tomar en
cuenta las necesidades de seguridad relacionadas al riesgo, debilidades y
amenazas que hayan sido identificadas con anterioridad.
Los controles permiten de manera oportuna llegar a reducir los
riesgos de las siguientes formas:
Disminuyendo la probabilidad de que las debilidades sean
explotadas por posibles amenazas.
Disminuyendo la probabilidad de impacto si el riesgo es ejecutado
al momento de ser detectado, identificado, reaccionado y
recuperándose del mismo.
La selección de la forma en la cual se tratará el riesgo es de
responsabilidad de la organización, y la selección de la misma será
consecuencia de necesidades comerciales de la misma, ambiente y las
circunstancias en que la empresa desea operar. (Montenegro & De la
Cruz, 2008)
1.7.9.4. Aceptación del Riesgo
Muchas veces la organización se encontrará en situaciones en las
que no existen controles y no es factible la creación o diseño de los
mismos, incluso puede darse el caso en el que la implementación de un
control supere el costo de las consecuencias. Es en estas circunstancias
en las que es posible aceptar el riesgo y por consiguiente aceptar las
consecuencias de este.
Cuando las circunstancias hacen que el costo de disminuir el riesgo
por medio de la implementación de controles sea significativamente alto, o
las consecuencias del riesgo son catastróficas para la organización, se
Marco Teórico 27
debe tomar en cuenta las opciones de transferencia de riesgo o la de
evitar el riesgo. (Montenegro & De la Cruz, 2008)
1.7.9.5. Transferencia del Riesgo
Según lo expuesto por Montenegro & De la Cruz (2008), la
transferencia del riesgo es una posibilidad que la organización tiene
cuando la esta no está en capacidad de sobrellevar el riesgo a un nivel
aceptable, ni técnica ni económicamente. En este caso podría ser
económicamente aceptable transferir el riesgo a una aseguradora.
Por consiguiente la transferencia del riesgo tiene que ser estudiada
y analizada con cautela para de esta manera exponer con precisión,
cuando el riesgo está siendo trasferido.
Otra opción es la de tercerizar los servicios de administración de
activos o procesos en estado crítico. Si se opta por esta posibilidad hay
que tener en cuenta que el riesgo residual es de entera responsabilidad
de la organización.
1.7.9.6. Evitar el Riesgo
Corresponde a cualquier acción en el que las actividades de la
organización, o las formas de manejar la administración comercial de la
misma, son modificadas, logrando de esta forma evitar que se produzca
un riesgo. Las formas más comunes para implantar esta opción son:
Detener la ejecución de algunas actividades.
Mover activos de información de un área en riesgo a otra.
Decidir no procesar cierto tipo de información si no se consigue la
protección adecuada.
Marco Teórico 28
Si se decide optar por la opción de evitar el riesgo, esta debe ser
medida contra las necesidades comerciales y financieras de la
organización.. (Montenegro & De la Cruz, 2008)
1.7.9.7. Controles de seguridad
Los controles de seguridad están definidos como políticas, tareas o
procedimientos, prácticas y disposiciones organizacionales creadas para
avalar de forma razonable que los objetivos de la organización serán
alcanzados, teniendo en cuenta eventos no deseados que serán
oportunamente identificados y rectificados.
El objetivo de control en tecnologías de información está definido
como resultado del efecto o propósito que se tiene como meta obtener
implantando tareas de control en una actividad específica de tecnología
de información. La valoración del riesgo y las actividades referentes a
tratamiento de riesgo permitirán de manera oportuna la correcta selección
e implementación de controles de tratamiento del riesgo. (Montenegro &
De la Cruz, 2008)
El estándar especifica en su “Anexo A” el listado completo de cada
uno de ellos, agrupándolos en once dominios. Para cada uno de ellos
define el objetivo y lo describe brevemente.
El Anexo A suministra una suficiente base de referencia de
controles que no llega a ser exhaustiva. De esta manera los 133 controles
mostrados son los mínimos que se aplicarán o justificarán su no
aplicación. La implantación de los controles no garantiza la aplicación
completa de la norma si es que en el proceso de análisis de riesgo llega a
presentarse aspectos que no son cubiertos por algún tipo de control.
La creación de nuevos controles será determinada por medio de la
evaluación de riesgos, la implantación del SGSI impondrá la inclusión de
Marco Teórico 29
los mismos, sino seguramente el ciclo no estará cerrado y presentará
huecos claramente identificables. Los controles que el ANEXO A de esta
norma dispone dentro de su apartado quedan agrupados y numerados de
la siguiente forma:
TABLA N° 2
CUABRO DE CONTROLES ANEXO A.
A.5 Política de seguridad
A5.1 Política de seguridad de la información
A.6 Organización de la información de seguridad
A.6.1 Organización interna
A.6.2 Terceros
A.7 Administración de recursos
A.7.1 Responsabilidad por los activos
A.7.2 Clasificación de la información
A.8 Seguridad de los recursos humanos
A.8.1 Antes del empleo
A.8.2 Durante el empleo
A.8.3 Terminación o cambio de empleo
A.9 Seguridad física y del entorno
A.9.1 Áreas aseguradas
A.9.2 Seguridad del equipo
A.10 Administración de las comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades operativas
A.10.2 Gestión de servicios de terceros
Marco Teórico 30
A.10.3 Planeamiento y aceptación de sistemas
A.10.4 Protección contra código malicioso y código móvil
A.10.5 Respaldo
A.10.6 Gestión de seguridad de redes
A.10.7 Manipulación de medios
A.10.8 Intercambio de información
A.10.9 Sistemas de información de negocios
A.10.10 Monitoreo
A.11 Control de accesos
A.11.1 Requisito de negocios para el control de acceso
A.11.2 Gestión del acceso de usuarios
A.11.3 Responsabilidades de los usuarios
A.11.4 Control del acceso a redes
A.11.5 Control de acceso al sistema operativo
A.11.6 Control del acceso a aplicación e información
A.11.7 Computación móvil y teletrabajo
A.12 Adquisición de sistemas de información, desarrollo y
mantenimiento
A.12.1 Requisitos de seguridad para sistemas de información
A.12.2 Procesamiento correcto en aplicaciones
A.12.3 Controles criptográficos
A.12.4 Seguridad de archivos del sistema
Marco Teórico 31
A.12.5 Seguridad en los procesos de desarrollo y soporte
A.12.6 Gestión de vulnerabilidades técnicas
A.13 Administración de los incidentes de seguridad
A.13.1 Reportes de eventos y debilidades de seguridad de la información
A.13.2 Gestión de incidentes y mejoras de seguridad de la información
A.14 Administración de la continuidad de negocio
A.14.1 Aspectos de seguridad de la información en la gestión de la
continuidad de negocios
A.15 Cumplimiento (legales, de estándares, técnicas y auditorias)
A.15.1 Cumplimiento de requisitos legales
A.15.2 Cumplimiento de las políticas y normas de seguridad, y
cumplimiento técnico
A.15.3 Consideraciones de auditoría de sistemas de información
Fuente: ISO-27001 Elaborado por: Chérrez Salazar Rosana María
1.7.9.8. Fundamentación Legal
Reglamento unificado de régimen académico del sistema nacional de
Educación Superior y reglamentos
Art. 37 "Los trabajos de graduación o titulación se definen de la
siguiente manera de acuerdo a los títulos de grados que se otorgan".
37.2 Para obtención del grado académico de licenciado o del Título
profesional universitario o politécnico, el estudiante debe realizar y
defender un proyecto de investigación conducente a una propuesta para
resolver un problema o situación práctica, con características de
viabilidad, rentabilidad y originalidad en los aspectos de acciones,
condiciones de aplicación, recursos, tiempos y resultados esperados".
Marco Teórico 32
Ley de comercio electrónico, firmas y mensajes de datos
Ley No. 67. R.O. Suplemento 557 de 17 de Abril del 2002.
Título preliminar
Artículo 1.- Objeto de la Ley .- "Esta Ley regula los mensajes de
datos, la firma electrónica, los servicios de certificación, la contratación
electrónica y telemática, la prestación de servicios electrónicos, a través
de redes de información, incluido el comercio electrónico y la protección a
los usuarios de estos sistemas".
Título I
De los mensajes de datos
Capítulo I
Principios generales
Artículo 9.- Protección de datos.- Para la elaboración,
transferencia o utilización de bases de datos, obtenidas directa o
indirectamente del uso o transmisión de mensajes de datos, se requerirá
el consentimiento expreso del titular de éstos, quien podrá seleccionar la
información a compartirse con terceros.
La recopilación y uso de datos personales responderá a los
derechos de privacidad, intimidad y confidencialidad garantizados por la
Constitución Política de la República y esta Ley, y podrán ser utilizados o
transferidos únicamente con autorización del titular u orden de autoridad
competente.
Ley Orgánica de Telecomunicaciones del Ecuador
Artículo 11. "Son servicios de valor agregado, aquellos que utilizan
servicios finales de telecomunicaciones e incorporan aplicaciones que
Marco Teórico 33
permiten transformar el contenido de la información trasmitida. Esta
transformación puede incluir un cambio neto entre los puntos extremos de
la transmisión en el código, protocolo o formato de la informa
CAPÍTULO II
METODOLOGÍA
2.1. Antecedentes de la empresa
El Grupo Agripac S.A. inicio sus operaciones comerciales en
Guayaquil en el año 1972 comenzado la venta y distribución de productos
relacionados a la agroindustria a lo largo del territorio ecuatoriano. A partir
de esto, la división inició la expansión a distintos sectores agrícolas a lo
largo de diversas provincias de Ecuador con el fin de satisfacer
necesidades específicas de los clientes.
El Grupo Agripac S.A. presenta una diversa gama de servicios y
con la finalidad de optimizar estos, la corporación se encuentra distribuida
en distintas áreas de acuerdo a su distinción. Actualmente existen siete
Divisiones, clasificadas en: Fertilizantes, Agrícola, Salud Animal, Químicos
Industriales, Consumo, Acuacultura y Semillas; las mismas se encuentran
presentes en la mayoría del territorio ecuatoriano.
Actualmente cuenta con una red de distribución más extensa del
Ecuador, permitiéndoles comercializar productos de alta calidad en sus
160 puntos de ventas.
Visión: Consolidar al Grupo Corporativo en el país y en toda
América Latina, enfocando su futuro en el cliente como base del éxito del
negocio.
Misión: Ofrecer soluciones integrales a través de la provisión de
insumos agropecuarios y de salud pública de alta calidad gracias a su
filosofía de servicio permanente.
Metodología 35
2.2. Organigrama parcial
FIGURA N° 4
ORGANIGRAMA PARCIAL DE AGRIPAC S.A.
Fuente: Agripac S.A. Elaborado por: Agripac S.A
PRESIDENCIA
VICEPRESIDENCI
A EJECUTIVA GERENCIA
PTOS. VENTA
GERENCIA
GENERAL
DIRECCIÓN
RRHH DIRECCIÓN
OPERACION
DIRECCIÓN DE
FINANZAS
DIRECCIÓN DE
COMPRAS
DIRECCIÓN
COMERCIAL
GERENCIA
IMPORTACIONES
SUBGERENCIA DE
COMPRAS LOCALES
JEFATURA DE
IMPORTACIONE
S
JEFATURA DE
ASUNTOS
REGULATORIOS
DISEÑADOR
GRÁFICO
ASISTENTE
COORDINADORA
GTE.
SEGURIDAD,
AMBIENTE Y
CALIDAD
GTE. SISTEMA
DPTO. LEGAL
SUBGTE.
AUDITORES
AEROAGRIPAC
ADMINISTRACIÓN
DE BIENES
Metodología 36
2.3. Situación actual y geográfica
El presente trabajo de investigación se desarrolló en el Edificio
Matriz del Grupo Agripac S.A., ubicado en las calles General Córdova 623
y Padre Solano, centro de la ciudad de Guayaquil.
2.4. Campo de investigación
Para propósitos de estudio, se hará referencia al campo de la
seguridad de información, aplicado en el Departamento de Asuntos
Regulatorios y su personal, cuyas funciones se detallarán a continuación.
Jefe de Asuntos Regulatorios: Mantener actualizada la
documentación legal para el funcionamiento de la compañía, que permita
importar, fabricar, formular, almacenar, distribuir y exportar todos los
productos manejados por Agripac S.A.. Es responsable de cumplir con los
objetivos que determine la compañía a través de la Gerencia General
relacionadas con sus actividades. Es responsable de mantener el sistema
de registro de la compañía vigente.
Es responsable de mantener la documentación legal que permita el
funcionamiento de la compañía.
a) Asistente de Asuntos Regulatorios: Brindar el soporte y
colaboración necesarios para agilitar las actividades y cumplimiento
de los objetivos del área de Asuntos Regulatorios. Colaborar con la
elaboración de dossier de los productos a registrar y trámites
relacionados con registros de productos.
b) Diseñador Gráfico: Mantener actualizados y elaborar artes de
etiquetas de las líneas de productos registrados y que comercializa
Agripac S.A.. Es responsable de mantener el archivo de artes de
etiquetas de la compañía actualizado.
Metodología 37
c) Coordinadora de Asuntos Regulatorios: Garantizar el cumplimiento
de los objetivos planteados por el área de Asuntos Regulatorios.
Mantener toda la documentación, archivos e informes relacionados
con el área de manera organizada, ordenada y al día de tal manera
que se garantice que las actividades relacionadas con el
departamento se desarrollen con eficacia. Colaborar con la
elaboración de dossier de los productos a registrar.
2.5. Tipo de investigación
Investigación exploratoria.- Para explorar un tema, se dispone de
un amplio espectro de medios y técnicas para recolectar datos en
diferentes ciencias como son la revisión bibliográfica especializada,
entrevistas y cuestionarios, observación participante y no participante y
seguimiento de casos. Una vez recolectados dichos datos, y se tenga
conocimiento del tema, los resultados de la investigación exploratoria
permitirán conocer los argumentos a fondo y determinar qué factores son
relevantes al problema e investigarlos con mayor profundidad. (Calle,
2012)
Investigación de campo.- Corresponde a la fase en la que por
medio del método científico se obtiene nueva información en el campo de
la realidad social. Por otro lado se refiere al estudio de una situación en
particular con el fin de analizar necesidades y problemáticas como
consecuencia de aplicar la nueva información en una práctica real. Por lo
general a esta clase de investigación se la conoce también como
investigación in situ. Todo esto permite al investigador, profundizar en el
área de conocimiento correspondiente, debido a que con los datos
recolectados se puede aplicar diversidad de diseños explicativos,
descriptivos y experimentales. (Graterol, 2011)
Investigación analítica.- La investigación analítica tiene como
objetivo analizar un evento y comprenderlo en términos de sus aspectos
Metodología 38
menos evidentes, y consiste en identificar y reorganizar las sinergias de
un evento en base a patrones de relación implícitos o menos evidentes, a
fin de llegar a una comprensión más profunda del evento, descubriendo
nuevos significados y significaciones, tanto de éste como de sus
sinergias, en función de la nueva organización.
Para ello es necesario descubrir patrones de relación internos que
forman unidades de menor magnitud que la unidad total. (RIVERO, 2007)
En la presente investigación se utilizarán los tipos de investigación
mencionados, debido a que se emplearán técnicas de recolección de
datos para realizar un diagnóstico de la situación de gestión de seguridad
del departamento de Asuntos Regulatorios, en referencia a el material
bibliográfico revisado, lo cual nos será de utilidad para posteriormente
proponer mejoras a los problemas que hayan sido planteados.
2.6. Método de Investigación
Descriptivo.- El estudio descriptivo tiene como objetivo conocer los
escenarios, hábitos y cualidades que predominan por medio de la
descripción estricta de actividades, objetos, técnicas y sujetos. No se
basa únicamente en la recolección de información, sino en el pronóstico y
caracterización de la relación que podría existir entre variables.
En el estudio se recolecta la información basada en una hipótesis o
teoría, se describe y se sintetiza la información de forma metódica y luego
se examina cuidadosamente los resultados, con el objetivo de obtener
generalizaciones significativas que permitan aumentar el conocimiento.
(Meyer., 2006)
Cuantitativo.- Utiliza técnicas basadas en la estadística con el fin
de descubrir características particulares pertenecientes a la población en
Metodología 39
la cual se realiza la investigación. Se basa en el principio de que las
partes representan al todo; es decir que por medio del estudio de un
número específico de sujetos pertenecientes a la población, es posible
formular una idea de cómo es esta en general. De manera concreta, el fin
de esta técnica es conocer la distribución de ciertas variables presentes
en una población. Con el fin de observar dichas variables y recoger la
información se suele usar varias técnicas entre las que se puede
mencionar a las encuestas o a la medición. No es necesaria la
observación total de todos los sujetos de la población, con una simple
muestra de esta, es suficiente para establecer una métrica eficaz que
sustente una investigación fiel. Cuando la muestra sea escogida de
manera aleatoria, será factible definir hasta que instancia los resultados
conseguidos para la muestra son valederos para toda la población.
Aplicamos este método de investigación porque nos permite
cuantificar el cumplimiento de la seguridad informática conforme a los
debe de la norma 27001:2005. (Cascant, 2014)
2.7. Fuentes y técnicas de investigación
2.7.1. Fuentes
Manual del Sistema de gestión Integrado del Grupo Agripac S.A.
Procedimientos del Departamento de Asuntos regulatorios
Reglamento interno de seguridad de salud en el trabajo de Agripac
SA.
Norma 27001:2005
2.7.2. Técnicas
Durante el periodo de investigación, se realizaron las actividades
de levantamiento y análisis de información. Para efecto de dichas
Metodología 40
actividades, se utilizaron las siguientes técnicas de recopilación de
información: la entrevista y observación.
La entrevista es una técnica que permite al investigador adquirir
datos de forma oral y de manera personificada. La información
responderá a aspectos generales de los sujetos, como lo son
experiencias personales y características subjetivas de estos, como
opiniones, idiosincrasia y valores relacionados a la situación a la que
corresponde la investigación. (Torrecilla, 2009)
La observación es el método por el cual se establece una relación
concreta e intensiva entre el investigador y el hecho social o los actores
sociales, de los que se obtienen datos que luego se sintetizan para
desarrollar la investigación. (Fabbri, 2013)
Se realizó una entrevista a la Jefe del Dpto. de Asuntos
Regulatorios (Anexo 1) con la finalidad de conocer de manera general el
nivel de seguridad del departamento, evaluar las políticas de Seguridad
Informática y conocer la percepción de la persona entrevistada y sus
opiniones evaluativas de esta actividad.
Para el levantamiento de información, se llevó a cabo una auditoría
de diagnóstico, detallada en el Plan de Auditoría (Anexo 2) que fue
presentado a la jefe del área con la previa autorización del representante
legal del Grupo Agripac S.A., además se diseñó un formato con los
requisitos normativos (Anexo 3) y controles (Anexo 4) de la norma ISO
27001:2005 en el Departamento de Asuntos regulatorios.
Se realizó un análisis cuantitativo de los resultados para determinar
el estado de seguridad de la información vigente que tiene el
departamento de Asuntos regulatorios de Agripac S.A.
Metodología 41
2.8. Procedimiento
2.8.1. Preparación de la auditoría.
Podemos considerar la fase de preparación como la más crítica del
proceso de auditoría. Todo proceso de preparación eficaz, incluye los
siguientes pasos:
Definir y comprender el alcance de la auditoría
Revisar las normas aplicables
Preparar un modelo de proceso
Revisar la documentación aplicable
Revisar los resultados de las auditorías anteriores
Realizar una reunión previa a la auditoría
Recopilar y verificar información.
Conclusiones de auditoría.
Reunión de cierre.
Se prepararon como documentos de trabajo:
Listas de verificación.
Formulario para registrar información
Checklist
Cuestionario para entrevista
2.8.2. Gestión de Recursos
2.8.2.1. Actividades:
Elaborar controles y requisitos para la auditoria de diagnóstico.
Realizar auditoría de diagnóstico de la situación actual de la
seguridad de información del Departamento de Asuntos
Regulatorios de la empresa Agripac S.A.
Metodología 42
Analizar los resultados obtenidos en la auditoria.
Exponer las vulnerabilidades y los riesgos encontrados.
Proponer un Sistema de Gestión de Seguridad que disminuya o
erradique los riesgos y vulnerabilidades encontrados.
2.8.2.2. Recursos:
Humano: Estudiante, tutor, personal del departamento.
Materiales: impresiones, actas, permisos, textos y material de
consulta, la norma ISO 27001 y la norma ISO 17799, los papeles
de trabajo son todos aquellos apuntes, datos, e información
recopilada con relación a una auditoría y que conforman una
documentación y evidencia del trabajo realizado por el auditor.
Técnicos: Dispositivos de almacenamiento, internet, Pc.
Financieros: Capital para insumos y transporte.
2.9. Presentación y análisis de los resultados
2.9.1. Resultados
A continuación se mostrarán los resultados de la investigación:
De la entrevista realizada sobre los niveles de seguridad de
información se obtuvieron los siguientes resultados:
TABLA N° 3
RESULTADO DE LA ENTREVISTA DE NIVEL DE SEGURIDAD
N° de Preguntas Respuestas Afirmativas
Respuestas Negativas
N/A
10 7 3 0
Fuente: Entrevista de nivel de Seguridad
Elaborado por: Chérrez Salazar Rosana María
Metodología 43
FIGURA N° 5
RESULTADO DE LA ENTREVISTA DE NIVEL DE SEGURIDAD
Fuente: Entrevista de nivel de Seguridad Elaborado por: Chérrez Salazar Rosana María
Se auditó bajo la norma ISO 27001:2005, verificando el
cumplimiento de los requisitos normativos y los controles del Anexo A de
la norma mencionada. Agripac S.A. cuenta con un Sistema De Gestión
Integral, cuya última revisión se encuentra vigente desde el 2 de abril del
2013.
El sistema de gestión implementado está basado en los requisitos
de las Normas ISO definidos en:
ISO 9001:2008 "Sistemas de gestión de calidad. Requisitos"
ISO 14001:2004 "Sistemas de Gestión Ambiental. Requisitos"
OHSAS 18001:2007 "Sistema de Gestión de Seguridad y Salud
Ocupacional"
70%
30%
0
Resultados de Entrevista
Respuestas Afirmativas
Respuestas Negativas
N/A
Metodología 44
El SGI del Grupo AGRIPAC S.A. cubre los procesos que se llevan
a cabo en las Unidades Productivas del Grupo Agripac S.A. en las que se
encuentra incluido el Dpto. de Asuntos Regulatorios.
Teniendo presente la compatibilidad que el Estándar Internacional
ISO 27001 tiene con el ISO 9001 y el ISO 14001 (Anexo 5), y existiendo
la posibilidad de que se alinee o integre con los sistemas de gestión con
los que se relaciona, se tomó en cuenta los requerimientos satisfechos en
el SGI existente en la empresa al momento de realizar la auditoría.
A continuación se presentan los resultados de la auditoría basados
en nivel de cumplimiento de los requisitos normativos y los controles del
Estándar ISO 27001:2005.
TABLA N° 4
RESULTADO DE AUDITORIA - REQUISITOS NORMATIVOS
Requisito Normativo Cumple No cumple
Parcial Total
4. Sistema de Gestión de Seguridad de Información
4 7 6 17
5. Responsabilidad de la Dirección 2 0 1 3
6. Auditorías Internas del SGSI 1 0 0 1
7. Revisión por la dirección del SGSI 1 0 1 2
8. Mejora del SGSI 3 0 0 3
TOTAL 11 7 8 26
Fuente: Resultado de Auditoría-Requisitos normativos Elaborado por: Chérrez Salazar Rosana María
FIGURA N° 6
RESULTADO DE AUDITORIA - REQUISITOS NORMATIVOS
Fuente: Resultado de Auditoría-Requisitos Normativos Elaborado por: Chérrez Salazar Rosana María
42%
27%
31%
Diagnóstico basado en Requisito Normativo ISO 27001:2005
Cumple
No cumple
Parcial
Metodología 45
TABLA N° 5
RESULTADO DE AUDITORÍA - CONTROLES
CONTROLES ANEXO A NORMA ISO 27001:2005
Cumple No cumple
Parcial Total
A5. Política de seguridad 0 2 0 2 A6. Organización de la seguridad de la información
5 0 6 11
A7. Gestión de activos 5 0 0 5 A8.Seguridad de recursos humanos 6 1 2 9 A9. Seguridad física y ambiental 8 2 3 13 A10. Gestión de comunicaciones y operaciones
9 6 14 29
A11. Control de accesos 12 7 6 25 A12. Adquisición, desarrollo y mantenimiento de sistemas de información
8 3 4 15
A13. Gestión de incidente de seguridad de información
2 1 2 5
A14. Gestión de continuidad del negocio
0 0 1 1
A15. Cumplimiento 2 0 1 3 TOTAL 57 22 39 118
Fuente: Resultado de Auditoría-Controles Elaborado por: Chérrez Salazar Rosana María
FIGURA N° 7
RESULTADO DE AUDITORÍA - CONTROLES
Fuente: Resultado de Auditoría-Controles Elaborado por: Chérrez Salazar Rosana María
48%
19%
33%
Diagnóstico basado en Controles Anexo A Norma ISO 27001:2005
Cumple
No cumple
Parcial
Metodología 46
2.9.2. Análisis de los resultados
Como se observa en la gráfica de resultados de la entrevista, con
un 70% de respuestas afirmativas sobre un 30% de respuestas negativas,
se puede determinar que existe un nivel de seguridad de información
considerable en el Dpto. de Asuntos Regulatorios.
A través de los resultados de la auditoría de diagnóstico que se
presentan en las gráficas de nivel de cumplimiento de los requisitos
normativos y de los controles, se pudo determinar el nivel de efectividad
de la seguridad de información existente.
De acuerdo con los resultados obtenidos en la auditoría de
diagnóstico podemos evidenciar que en los requisitos normativos el nivel
de cumplimiento es de un 42%, lo que demuestra que, a pesar de no
tener establecido un SGSI, hay seguridad de información, y existe el
interés por parte del departamento en mejorarla.
En la misma gráfica evidenciamos también un cumplimiento parcial
de los requisitos normativos en un 33% que recaen con mayor fuerza en
los puntos 4, 5 y 7 de la norma, convirtiéndose estos en los principales
puntos de acción a aplicar mejoramiento para aumentar el nivel de
cumplimiento.
Finalmente se muestra un 27% de no cumplimiento, que recae
sobre algunos aspectos del punto 4 de la norma, los cuales se convierten
en los puntos críticos sobre los que se debe trabajar un plan de acción
que devuelva al departamento los niveles de seguridad que requiere. La
gráfica del diagnóstico basado en los controles del Anexo A de la norma
demuestra que existe un nivel de cumplimiento del 48% en los controles
utilizados por el departamento para mantener la seguridad de su
Metodología 47
información, frente a un 33% de cumplimiento parcial y un 19% de no
cumplimiento.
Con estos valores, se justifica que no solo existe un nivel de
seguridad considerable, sino también el interés de los miembros del
departamento por mantener ese nivel y mejorarlo; y al mantener altos los
valores de conformidad con la norma ISO 27001, hacen que sea factible
emplear una propuesta de mejora que permita trabajar en el mejoramiento
de las falencias encontradas, aumentar el nivel de cumplimiento y poder
implementar a futuro un Sistema de Gestión de Seguridad de Información,
que cumpla con los requisitos que provee la norma ISO 27001 para
gestionar de forma efectiva la seguridad de información.
Es necesario también mencionar que el nivel de cumplimiento que
tiene el Departamento de Asuntos Regulatorios corresponde también al
cumplimiento posee con el SGI ya implementado, lo que nos conlleva a
proponer alinear la el SGSI de la norma ISO 27001 con el SGI de las
normas ISO 9001, 14001 y 180.
CAPÍTULO III
CONCLUSIONES Y RECOMENDACIONES
3.1. Título
Propuesta de mejoramiento para el Sistema de Gestión de
Seguridad vigente en el Departamento de Asuntos Regulatorios de la
empresa Agripac S.A.
3.2. Objetivos
Objetivo General.
Mejorar el Sistema de Gestión de Seguridad vigente, de tal forma
que pueda alinearse al SGI ya implementado en el Departamento de
Asuntos Regulatorios.
Objetivos específicos.
Detallar el plan de trabajo para alinear el Sistema de Gestión de
Seguridad de Información al Sistema de Gestión Integral vigente en
el departamento de asuntos regulatorios.
Identificar los puntos de acción a fortalecer del SGSI.
Describir la propuesta de implementación
3.3. Desarrollo de la Propuesta
Se debe elaborar un plan de trabajo en el cual consten las
actividades a realizar para el proceso de mejora del Sistema de Gestión
de seguridad actual.
Conclusiones y Recomendaciones 49
3.4. Planeación
a) Formar grupos de Trabajo: Debe estar conformado por un grupo de
empleados que conozcan las actividades y procesos del
Departamento. Deben ser personas responsables, proactivas, con
capacidad de liderazgo para fomentar en los demás el logro de los
objetivos y metas a proponerse. Dicho personal debe capacitarse
en todos los temas en los que van a trabajar. El grupo de trabajo
debe tener claro sus propósitos de trabajo, tener la capacidad de
solucionar problemas y tomar decisiones para que las metas y
objetivos puedan ser cumplidos dentro del periodo de tiempo
establecido en la planificación.
b) Elaborar un plan de trabajo: Se recomienda identificar todas las
tareas a realizarse, el tiempo en que deben realizarse, y los
responsables de llevarla a cabo.
c) Asignar responsabilidades: Se deben asignar responsabilidades a
las personas o grupos, de manera que puedan monitorearse las
tareas que se efectúan y el nivel de cumplimiento de las mismas,
además los responsables de realizar dichas tareas deben tener
conocimiento pleno de las mismas y su relación con tareas afines.
d) Elaborar un cronograma de actividades: Cuando se hayan
establecido todas las actividades a realizarse y los responsables de
las mismas, el grupo de trabajo debe elaborar un cronograma que
contenga las tareas en su respectivo orden de ejecución, con las
fechas de inicio y finalización y el encargado de cada tarea.
e) Definir los recursos: establecer cuáles serán los recursos humanos,
en este caso, los grupos de trabajo, también los recursos físicos y
técnicos como la infraestructura, equipos, documentos, y
Conclusiones y Recomendaciones 50
finalmente los financieros que hacen referencia al presupuesto
designado para llevar a cabo las actividades planificadas.
f) Capacitar: cuando ya se conozcan las actividades responsables,
cronogramas y recursos asignados, el personal que conforma los
grupos de trabajo debe ser debidamente capacitado de tal forma
que a través de la implementación de sus conocimientos puedan
alcanzarse los objetivos planteados. Además dicha capacitación
debe ser extendida a todos los miembros del Departamento, para
que, al conocer el proyecto puedan ponerlo en marcha acorde a los
requisitos de la norma a implementarse y la importancia y los
beneficios que aporta.
3.5. Desarrollo
En esta etapa se realiza el desarrollo de la situación actual del
Departamento, actividad que ya ha sido realizada y de la cual ya se tienen
resultados que ya han sido analizados.
Es importante que el soporte documental del Sistema de Gestión
este acorde a los requisitos que la norma requiera. De acuerdo al análisis
de la situación actual, los puntos de acción a trabajar son los de la
cláusula 4 de la norma ISO 27001, en los que se evidenciaron mayores
no cumplimientos o cumplimientos parciales, los cuales se detallan a
continuación:
Establecimiento y gestión del SGSI: Establecer alcances y limites
del SGSI según las características del negocio, la organización, su
ubicación, activos y tecnología.
Política del SGSI: Definir una política que incluya un marco para
establecer objetivos y fijar un sentido global de la dirección y los
principios para la acción con respecto a la seguridad de la
información.
Conclusiones y Recomendaciones 51
Implementación y operación del SGSI: Se debe formular un plan un
plan de tratamiento de riesgo, implementar el plan de tratamiento
de riesgo, implementar los controles que se seleccionen y definir
cómo se medirá la eficacia de los mismos, y gestionar la operación
y los recursos del SGSI.
Mantenimiento y mejora del SGSI: Implementar mejoras en el
SGSI, tomar acciones correctivas y preventivas apropiadas y
comunicarlas a las partes interesadas y asegurar que las mejoras
alcancen los objetivos propuestos.
Requisitos de la documentación: La documentación debe contener
registros de las decisiones de la dirección, asegurar que las
acciones son trazables a las decisiones y las políticas establecidas
y asegurar que los resultados registrados son reproducibles. Debe
mostrarse la relación entre los controles seleccionados los
resultados de la evaluación de riesgo y el proceso de mejoramiento
del riesgo, la política del SGSI y los objetivos.
Como existe ya un SGI implementado, deben enlistarse los
documentos, hacer una comparación de acuerdo a la correspondencia
con la norma ISO 27001, y adecuarla a los requisitos de esta norma,
teniendo el debido cuidado en que no se generen documentos duplicados,
de que no se omita información pertinente y de descartar la información
obsoleta. También se debe realizar una adecuada selección de los
controles que van a medir la efectividad del Sistema de Gestión, de
acuerdo con las actividades del departamento.
Se debe definir también qué documentación es útil para el proceso
de certificación, y mantener siempre informados a los miembros del
departamento y a la alta gerencia de todos los avances, cambios y
resultados que se van presentando a lo largo del proceso para que se
vayan involucrando con el proyecto y puedan revisarlo, hacer
correcciones de ser necesario y aprobarlo para dar paso a la
implementación.
Conclusiones y Recomendaciones 52
3.6. Implantación del proyecto
En esta etapa se recomienda hacer una adecuación del sistema
propuesto, contando con el visto bueno de la alta gerencia, teniendo en
cuenta las observaciones que se hayan realizado.
Cuando se hayan implantado los procesos que la norma requiere,
es recomendable hacer una nueva auditoría con base a los requisitos de
las normas implementadas. Previamente se debe haber capacitado con la
nueva norma a los auditores internos de la organización, para que puedan
detectar cualquier incumplimiento que se presente.
Con base en los resultados de la nueva auditoría, se deben iniciar
los programas de mejora continua, hasta alcanzar los niveles adecuados
e identificar donde se pueden establecer ciclos de mejora continua PHVA
que devuelvan resultados positivos.
Es de suma importancia que todo el personal del departamento de
asuntos regulatorios comprenda que es un proceso de cambios, que
habran ciclos de mejoras, y que no va a culminar rápidamente, además
deben comprometerse y trabajar con ahínco para lograr resultados
satisfactorios y lograr, de existir, el propósito de la certificación.
3.7. Conclusiones
Al finalizar el presente trabajo conforme a los objetivos establecidos
y desarrollar una propuesta de mejora que permita implementar un SGSI
en el Departamento de Asuntos Regulatorios se concluye lo siguiente:
La organización Agripac S.A., solicita un diagnóstico de nivel de
implementación de la norma de Seguridad de la Información ISO
27001:2005 para el área de Asuntos Regulatorios que incluye los
procesos:
Conclusiones y Recomendaciones 53
Procedimiento para Obtener Certificado de Registro de un Producto
en Ecuador.
Procedimiento para Elaborar Artes de Etiquetas de Productos
Registrados.
La auditoría se desarrolló los días 24 y 25 de febrero en las
instalaciones de la organización con la guía de la Jefe del Dpto. de
Asuntos Regulatorios y la Coordinadora del Dpto.
Es necesario enfatizar que realizar un diagnóstico implica
determinar el nivel de cumplimiento de la norma ISO 27001:2005, en este
caso puede resultar incoherente indicar que”no se evidencia
implementación” cuando la empresa siente que si tienen algo realizado
pero cara al requisito de la norma no cumple.
También es necesario mencionar que la empresa ya cuenta con un
Sistema de Gestión Integral SGI, y que se tomó en cuenta dicho sistema
para la auditoría.
El Departamento de Asuntos Regulatorios tiene controles de la
información a control de accesos de usuarios, administración de activos y
en los accesos a las oficinas, sin embargo es necesario fortalecer la
aplicación de los controles haciendo énfasis en que la seguridad de la
información debe ser una política aplicada en todos los niveles y que
todos deben de estar conscientes de la importancia de cumplir con las
políticas establecidas.
3.8 Recomendaciones
Importante fortalecer:
Determinar el alcance del sistema de gestión de seguridad de la
información.
Conclusiones y Recomendaciones 54
Establecimiento de política de seguridad de la información.
Suscribir convenios de confidencialidad de la información con el
personal interno y externo.
Revisar contratos con el personal con cláusulas de seguridad de la
información y propiedad intelectual.
Efectuar auditorias de cumplimiento de seguridad de la información
de manera sistemática.
Establecer una metodología de identificar de riesgos de objetivos
de control solo los riesgos identificados.
Establecer campañas de concientización a todo el personal de la
importancia de cumplir con las políticas de seguridad de la
información, y la determinación de procesos disciplinarios formales
cuando se incurre en casos de incumplimiento de las reglas de
seguridad de la información.
Determinar políticas de traslado de equipos.
Determinar políticas de uso de equipos portátiles fuera de las
instalaciones.
Establecer políticas para uso de escritorios y la información que se
deja en las oficinas.
Se debe trabajar en la definición del plan de continuidad del
negocio y con ello la consideración de la seguridad de la
información.
GLOSARIO DE TÉRMINOS
Confidencialidad: la propiedad que esa información está
disponible y no está divulgada a personas, entidades o procesos no
autorizados. (ISO/IEC, ISO 27001:2005, 2005)
Disponibilidad: la propiedad de estar disponible y utilizable
cuando lo requiera una entidad autorizada. (ISO/IEC, ISO 27001:2005,
2005)
IEC: International Electrotechnical Commission (Comisión
Electrotécnica Internacional).
Integridad: propiedad de salvaguardar la exactitud e integridad de
los activos. (ISO/IEC, ISO 27001:2005, 2005)
ISO: International Organization for Standardization (Organización
Internacional de Normalización).
PDCA: Siglas en inglés : Plan (planificar), Do (hacer), Check
(verificar), Act (actuar).
PHVA: Planificar, Hacer, Verificar, Actuar
SGSI: Sistema de Gestión de la Seguridad de la Información.
Sistema de gestión de seguridad de información SGSI: Parte
del sistema gerencial general, basada en un enfoque de riesgo comercial,
para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la información. (ISO/IEC, ISO 27001:2005, 2005)
Glosario de Términos 56
Seguridad de Información: Preservación de la confidencialidad,
integridad y disponibilidad de la información; además también pueden
estar involucradas otras propiedades como autenticidad, responsabilidad,
no-repudio y confiabilidad. (ISO/IEC, ISO 27001:2005, 2005)
ANEXOS
Anexos 58
ANEXO 1
ENTREVISTA
Anexos 59
ANEXO 2
PLAN DE AUTORIA
Audit Plan Plan de Auditoría
Organization/
Organización::
Agripac S.A.
Address/
Dirección:
General Córdova 623
y Padre Solano
Visit
Number/Numero
de Visita:
1 Actual Visit Date/
Fecha Actual:
24 y
25 /
Febrer
o
/2015
Visit Due by
Date/Fecha de
Visita Planeada:
24/Febrero/2015 For auditor information
only/ Solo Información
para el Auditor
Lead Auditor/
Auditor Lider:
ROSANA CHERREZ SALAZAR (RCH)
Team
Member(s)/
Miembros del
Equipo Auditor:
-
Standard(s)/
Estándar:
ISO 27001:2005
Audit
Language/Leng
uaje de la
Auditoria:
ESPAÑOL
Audit Scope/
Alcance de
auditoría:
Asuntos Regulatorios
Objetivo de Auditoria: Obtener un diagnóstico de la situación actual de la
gestión de seguridad de información de acuerdo con los requisitos de la
normativa auditada.
Anexos 60
Date/
Fecha
Time/
Hora
Auditor/
Auditor
Area / Department / Process / Function
Área/ Departamento/ Proceso / Función
24
Febrero
9:00 RCH REUNIÓN INICIAL
9:15 RCH ORGANIZACIÓN DE SEGURIDAD DE
INFORMACION
09:30 RCH GESTIÓN DE ACTIVOS
09:50 RCH SEGURIDAD DEL PERSONAL
10:10 RCH SEGURIDAD FÍSICA Y DEL ENTORNO
10:30 RCH GESTION DE COMUNICACIONES Y
OPERACIONES
PROCEDIMIENTOS OPERACIONALES Y REPONSABILIDADES
11:00 RCH GESTION DE SERVICIOS ENTREGADOS POR TERCERAS PARTES
11:30 RCH PLANEACION Y ACEPTACION DEL SISTEMA
12:00 RCH CONTROLES CONTRA SOFTWARE MALICIOSO
12:30 RCH BACKUP-UP
14:00 RCH GESTION DE LOS MEDIOS
14:30 RCH INTERCAMBIO DE INFORMACION
15:00 RCH MONITOREO
15:30 RCH CONTROL DE ACCESO
REQUISITOS DEL NEGOCIO PARA EL
CONTROL DE ACCESO
16:00 RCH ADMINISTRACION DE ACCESO DE
USUARIOS
Anexos 61
Date/
Fecha
Time/
Hora
Auditor/
Auditor
Area / Department / Process / Function
Área/ Departamento/ Proceso / Función
16:30 RCH RESPONSABILIDADES DE LOS USUARIOS
17:00 RCH SALIDA PRIMER DÍA
25
Febrero
9:00 RCH CONTROL DE ACCESO A REDES
09:30 RCH CONTROL DE ACCESO AL SISTEMA OPERATIVO
10:00 RCH CONTROL DE ACCESO EN LA INFORMACION Y A LAS APLICACIONES
11:00 RCH ADQUISICION, DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
REQUISITOS DE SEGURIDAD DE
LOS SISTEMAS
12:00 RCH SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA
13:00 RCH GESTIÓN DE LOS INCIDENTES DE SEGURIDAD DE INFORMACIÓN
14:30 RCH REPORTE DE INCIDENTES Y
ANOMALIAS DE SEGURIDAD DE
INFORMACIÓN.
15:00 RCH GESTION DE CONTINUIDAD DEL
NEGOCIO
ASPECTOS DE SEGURIDAD DE
INFORMACION EN GESTION DE
CONTINUIDAD DEL NEGOCIO
15:30 RCH CONFORMIDAD
CONFORMIDAD CON LOS REQUISITOS LEGALES
16:00 RCH CONFORMIDAD DE POLÍTICA DE
SEGURIDAD, NORMAS Y EL
Anexos 62
CUMPLIMIENTO TÉCNICO
16:30 RCH CONSIDERACIONES DE AUDITORIA DE SISTEMAS DE INFORMACIÓN
17:00 RCH REUNIÓN DE CIERRE
17:30 Fin de auditoria
Notes to Client/ Notas para el Cliente:
Times are approximate and will be confirmed at the opening meeting prior to commencement of the audit./ Los tiempos son aproximados y se confirmarán en la reunión de apertura antes de iniciar la auditoria .
Auditors reserve the right to change or add to the elements listed before or during the audit depending on the results of on-site investigation. / Los auditores se reservan el derecho de cambiar o adicionar los elementos indicados antes o durante la auditoria, dependiendo de los resultados de la investigación en sitio .
A private place for preparation, review and conferencing is requested for the auditor’s use. / Se requerirá un lugar privado para la preparación, revisión y comentarios entre el equipo auditor.
Please provide a light working lunch on-site each audit day. / Le agradeceremos proveer los alimentos necesarios para cada día de auditoria.
Job / Cert. n°:
EC/GYE Visit Type/ Tipo
de Visita: DIAGNOSTICO ISO 27001:2005
Visit n°/ Visita No.: 1
Document: Audit Plan - Agripac
Issue n°/ Revisión
No.: 1 Page n°/ Página No.: 62
of 146
Anexos 63
ANEXO 3
LISTA DE DISTRIBUCIÓN PARA EL DIAGNÓSTICO BASADO EN
REQUISITOS NORMATIVOS ISO 27001:2005
DIAGNÓSTICO BASADO EN: ISO 27001:2005 EMPRESA: Agripac S.A. , Dpto de Asuntos Regulatorios FECHA: REQUISITO
NORMATIVO
CUMPLE NO
CUMPLE
PARCIAL OBSERVACIÓN
4. SISTEMA DE
GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN
4.1 Requisitos
generales
La organización debe
establecer, implementar,
operar, realizar,
seguimiento, revisar,
mantener y mejorar un
SGSI documentado
dentro del contexto de las
actividades del negocio
global de la organización
y los riesgos que
enfrenta.
4.2 Establecimiento y
gestión del SGSI
4.2.1 Establecimiento de
SGSI
a) Definir el alcance y los
límites del SGSI en
términos de las
Anexos 64
características del
negocio, la organización,
su ubicación activos y
tecnología, e incluyendo
los detalles y justificación
por cualquier exclusión
del alcance.
Política de SGSI
b) Definir una política de
SGSI en términos de la
características del
negocio, la organización,
su ubicación activos y
tecnología, que:
1) Incluya un marco para
fijar objetivos y establecer
un sentido global de la
dirección y los principios
para la acción con
respecto a la seguridad
de la información;
2) Tome en cuenta los
requisitos del negocio y
los legales o
reglamentarios, y las
obligaciones de seguridad
contractuales;
3) Se alineen en el
contexto de la gestión
estratégica del riesgo de
la organización en el cual
tendrá lugar el
establecimiento y el
mantenimiento del SGSI;
4) Establezca criterios
contra el riesgo a ser
evaluado (véase 4.2.1c);
y
5) Haya sido aprobada
por la dirección
Anexos 65
c) Definir el enfoque de
evaluación del riesgo de
la organización.
1) Identificar la
metodología de
evaluación del riesgo que
sea adecuada al SGSI, a
la seguridad de la
información del negocio
identificada y a los
requisitos legales y
reglamentarios.
2) Desarrollar criterios
para la aceptació de los
riesgos e identificar los
niveles aceptables de
riesgo (véase 5.11).
La metodología de
evaluación del riesgo
seleccionada debe
asegurar que las
evaluaciones del riesgo
producen resultados
comparables y
reproducibles.
d) identificar los riesgos
1) Identificar los activos
dentro del alcance del
SGSI y los dueños de
esos activos.
2) Identificar las
amenazas de esos
activos.
3) Identificar las
vulnerabilidades que
podrían ser aprovechadas
por las amenazas.
4) Identificar los impactos
Anexos 66
que las pérdidas de
confidencialidad,
integridad y disponibilidad
pueden tener sobre estos
activos.
e) Analizar y evaluar los
riesgos.
1) Evaluar los impactos
del negocio sobre la
organización que pueden
resultar en fallas de
seguridad, tomando en
cuenta las consecuencias
de una pérdida de la
confidencialidad,
integridad y disponibilidad
de los activos.
2) Evaluar la probabilidad
real de las fallas de
seguridad que ocurren
teniendo en cuenta las
amenazas predominantes
y vulnerabilidades e
impactos asociados con
estos activos y los
controles implementados
actualmente.
3) Estimar los niveles del
negocio.
4) Determinar si los
riesgos son aceptables y
si requieren tratamiento
utilizando los criterios
para la aceptación de los
riesgos establecidos en
4,2,1c
f) Identificar y evaluar las
opciones para el
tratamiento de los
riesgos.
Las posibles acciones
Anexos 67
incluyen:
1) Aplicar los controles
apropiados.
2) Aceptar los riesgos
consciente y
objetivamente, siempre
que satisfagan las
políticas y criterios de la
organización para la
aceptación de los riesgos
(véase 4.2.1c)2);
3) Evitar los riesgos, y
4)Transferir los riesgos
asociados del negocio a
otras partes por ejemplo
aseguradores,
proveedores.
g) Seleccionar los
objetivos de control y los
controles para el
tratamiento de los
riesgos.
1) Los objetivos de
control y controles deben
seleccionarse e
implementarse para
cumplir con los requisitos
identificados por la
evaluación del riesgo y el
proceso de tratamiento
del riesgo. Esta selección
debe tomar en cuenta los
criterios para la
aceptación de los riesgos
(véase 4.2.1c)2), además
de los requisitos legales,
reglamentarios y
contractuales.
2) Los objetivos de
control y los controles del
Anexo A deben
Anexos 68
seleccionare como parte
de este proceso como
adecuados para cubrir los
requisitos identificados.
Los objetivos de control y
los controles listados en
el Anexo A no son
exhaustivos y pueden
también seleccionarse
objetivos de control y
controles adicionales.
h)Obtener la aprobación
de los riesgos residuales
propuesto por la
dirección.
i)Obtener la autorización
de la dirección para
implementar y operar el
SGSI.
j) Preparar una
declaración de la
aplicabilidad.
1) Debe presentarse una
Declaración de la
Aplicabilidad que incluya
lo siguiente:
2) Los objetivos de
control y los controles
seleccionados en 4.2.1g)
y las razones para su
selección.
3) Los objetivos de
control y los controles
implementados
actualmente (véase
4.2.1e)2);
4) La exclusión de
cualesquiera de los
objetivos de control y
controles en el Anexo A y
Anexos 69
la justificación para su
exclusión.
4.2.2 Implementación y
operación el SGSI
La organización debe
hacer lo siguiente:
a)Formular un plan de
tratamiento del riesgo que
identifique la acción de
gestión, recursos,
responsabilidades y
prioridades aprobadas
para dirigir los riesgos de
seguridad de la
información (véase
capítulo 5).
b)Implementar el plan del
tratamiento de riesgo a fin
de alcanzar los objetivos
de control identificados,
que incluye la
consideración del
financiamiento y la
asignación de los roles y
las responsabilidades.
c)Implementar los
controles seleccionados
en 4.2.1g) para cumplir
los objetivos de control.
d)Definir cómo medir la
eficacia de los controles o
grupos de controles
seleccionados y
especificar cómo serán
utilizadas estas
mediciones para evaluar
la eficacia de control para
producir los resultados
comparables y
reproducibles (véase
4.2.3c)).
Anexos 70
e)Implementar los
programas de formación y
de toma de consciencia
(véase 5.2.2).
f) Gestionar la operación
del SGSI.
g) Gestionar los recursos
para el SGSI (véase
aparado 5.2)
h) Implementar los
procedimientos y otros
controles capaces de
permitir la pronta
dirección de los eventos
de seguridad y la
respuesta y los incidentes
de seguridad (véase
4.2.3a)).
4.2.3 Realizar
seguimiento y revisar el
SGSI
La organización debe
hacer lo siguiente:
a)Realizar el seguimiento
y revisar los
procedimientos y otros
controles para:
1)Detectar
inmediatamente los
errores en los resultados
del procesamiento.
2)Identificar prontamente
los incidentes y
violaciones a la
seguridad.
3)Permitir la gestión para
determinar si las
actividades de seguridad
delegadas a las personas
Anexos 71
o implementadas por
tecnología de la
información están
desempeñándose como
se esperaba;
4)Ayudar a detectar los
eventos de seguridad y
así prevenir los incidentes
de seguridad mediante la
utilización de indicadores;
5)Determinar si fueron
eficaces las acciones
tomadas para resolver
una brecha de seguridad.
b)Llevar a cabo
evaluaciones regulares
de la eficacia del SGSI
(incluyendo el
cumplimiento de la
política y objetivos del
SGSI y la revisión de los
controles de seguridad)
tomando en cuenta los
resultados de las
auditorías de seguridad,
los incidentes, los
resultados de las
mediciones de la eficacia,
sugerencias y
realimentación de todas
las partes interesadas.
c)Medir la eficacia de los
controles para verificar
que los requisitos de
seguridad de los
controles hayan sido
cumplidos.
Anexos 72
d)Revisar las
evaluaciones del riesgo a
intervalos planificados y
revisar los riesgos
residuales y los niveles
de riesgos aceptables
identificados, tomando en
cuenta los cambios de:
1)la organización
2)la tecnología.
3)los objetivos y los
procesos del negocio.
4)las amenazas
identificadas.
5)la eficacia de los
controles implementados,
y
6)los eventos externos,
tales como los cambios
para el entorno legal o
reglamentario, las
obligaciones
contractuales modificadas
y los cambios en el clima
social.
e) Conducir las auditorías
internas del SGSI a
intervalos planificados.
f)Llevar a cabo una
revisión por la dirección
del SGSI sobre una base
regular para asegurar que
el alcance permanente
adecuado y se identifican
las mejoras en el proceso
de SGSI (véase 7.1).
Anexos 73
g)Actualizar los planes de
seguridad tomando en
cuenta los hallazgos del
seguimiento y revisión de
las actividades.
h)Registrar las acciones y
los eventos que podrían
tener un impacto sobre la
eficacia o el desempeño
del SGSI.
4.2.4 Mantenimiento y
mejora del SGSI
a)La organización debe
regularmente hacer lo
siguiente:
b)Implementar las
mejoras identificadas en
el SGSI.
c)Tomar las acciones
correctivas y preventivas
apropiadas de acuerdo
con 8.2 y 8.3. Aplicar las
lecciones aprendidas de
las experiencias de
seguridad de otras
organizaciones y aquellas
de la misma organización.
d)Comunicar las acciones
y las mejoras a todas las
partes interesadas con un
nivel de detalle apropiado
a las circunstancias y,
cuando sea pertinente,
acordar sobre cómo
proceder.
e)Asegurar que las
mejoras alcanzan sus
objetivos propuestos.
4.3 Requisitos de la
Anexos 74
documentación
4.3.1 Generalidades
La documentación debe
incluir los registros de las
decisiones de la
dirección, asegurar que
las acciones son
trazables a las decisiones
de la dirección y a las
políticas, y asegurar que
son reproducibles los
resultados registrados.
Es importante ser capaz
de demostrar la relación
entre los controles
seleccionados, los
resultados de la
evaluación de riesgo y el
proceso del tratamiento
del riesgo y
posteriormente la política
de SGSI y los objetivos.
La documentación de
SGSI debe incluir:
a)Declaraciones
documentadas de la
política de SGSI (véase
apartado 4.2.1b)) y los
objetivos;
b)El alcance del SGSI
(véase apartado 4.2.1a));
c)Los procedimientos y
controles que apoyan el
SGSI;
d)Una descripción de la
metodología de
evaluación del riesgo
(véase apartado 4.2.1c));
e)El informe de
Anexos 75
evaluación del riesgo
f) el plan de tratamiento
del riesgo (véase
apartado 4.2.2b));
g)Los procedimientos
documentados
necesitamos por la
organización para
asegurar la planificación,
operación y control
eficaces de sus procesos
de seguridad de la
información y describir
cómo medir la eficacia de
los controles (véase
apartado 4.2.3c));
h)Los registros requeridos
por esta Norma (véase
apartado 4.3.3); e
i)La declaración de
Aplicabilidad.
4.3.2 Control de
documentos
Los documentos
requeridos por el SGSI
deben protegerse y
controlarse. Debe
establecerse un
procedimiento
documentado que defina
las acciones de gestión
necesarias para:
a)Aprobar los
documentos en cuanto a
su adecuación antes de
su emisión;
b)Revisar y actualizar los
documentos cuando sea
necesario y aprobarlos
Anexos 76
nuevamente;
c)Asegurarse de que se
identifican los cambios y
el estado de revisión
actual de los documentos;
d)Asegurarse de que las
versiones pertinentes de
los documentos
aplicables se encuentran
disponibles en los puntos
de uso;
e)Asegurarse de que los
documentos permanecen
legibles y fácilmente
identificables;
f)Asegurarse de que los
documentos estén
disponibles para quienes
lo necesiten, y sean
transferidos,
almacenados y finalmente
dispuestos de acuerdo
con los procedimientos
aplicables a su
clasificación;
g)Asegurarse de que
identifican los
documentos de origen
externo;
h)Asegurarse de que es
controlada la distribución
de los documentos;
i)Prevenir el uso no
intencionado de
documentos obsoletos, y
j)Aplicarles una
identificación adecuada
en el caso de que se
mantengan por cualquier
Anexos 77
propósito.
4.3.3 Control de los
registros.
Los registros deben
establecerse y
mantenerse para
proporcionar evidencia de
la conformidad de los
requisitos, así como de la
operación eficaz del
SGSI. Ellos deben
protegerse y controlarse.
El SGSI debe tomar en
cuenta cualquier requisito
legal o reglamentario y
las obligaciones
contractuales pertinentes.
Los registros deben
permanecer legibles,
fácilmente identificables y
recuperables. Debe
documentarse e
implementarse los
controles necesarios para
la identificación, el
almacenamiento, la
protección, la
recuperación el tiempo de
retención y la disposición
de los registros.
Deben mantenerse los
registros del desempeño
de los procesos como se
muestra en el apartado
4.2 y de todas las
ocurrencias de los
incidentes de seguridad
significativos relacionados
con el SGSI.
5. RESPONSABILIDAD
DE LA DIRECCIÓN
5.1 Compromiso de la
Anexos 78
dirección
La dirección debe
proporcionar evidencia de
su compromiso con el
establecimiento,
implementación,
operación, seguimiento,
revisión, mantenimiento y
mejora del SGSI:
a)Estableciendo una
política de SGSI;
b)Asegurando que se
establecen los objetivo y
planes del SGSI;
c)Estableciendo los roles
y las responsabilidades
para la seguridad de la
información;
d)comunicando a la
organización la
importancia de satisfacer
los objetivos de seguridad
de la información y
ajustar a la política de la
seguridad de la
información, a sus
responsabilidades de
acuerdo a la ley y la
necesidad para la mejora
continua;
e)Proporcionando los
recursos suficientes para
establecer, implementar,
operar, realizar
seguimiento, revisar,
mantener y mejorar el
SGSI (véase apartados
5.2.1);
f)Diciendo los criterios
para la aceptación de los
riesgos y los niveles de
Anexos 79
riesgos aceptables;
g)Asegurando que son
conducidas las auditorias
internas del SGSI (véase
capitulo 6); y
h)Conduciendo las
revisiones por la dirección
del SGSI (véase capítulo
7)
5.2 Gestión de los
recursos
5.2.1 Provisión de
recursos
La organización debe
determinar y proporcionar
los recursos necesarios
para:
a)Establecer,
implementar, operar,
realizar seguimiento,
revisar, mantener y
mejorar el SGSI;
b)Asegurarse de que los
procedimientos de
seguridad de la
información apoyan los
requisitos del negocio;
c)Identificar y dar
tratamiento a los
requisitos legales y
reglamentarios y las
obligaciones de seguridad
contractuales;
d)Mantener
adecuadamente la
seguridad a través de la
aplicación correcta de
todos los controles
implementados.;
Anexos 80
e)Levar a cabo las
revisiones cuando sea
necesario y relacionar
apropiadamente frente a
los resultados de esas
revisiones; y
f)Cuando sea requerido,
mejorar la eficacia del
SGSI.
5.2.2 Formación, toma
de conciencia y
competencia
La organización debe
asegurarse de que todo el
personal que tiene
asignada
responsabilidades
definidas en el SGSI son
competentes para
desempeñar las tareas
requeridas par:
a)Determinar las
competencias necesarias
del personal que realiza
trabajos que afectan el
SGSI;
b)Proporcionar formación
o tomar otras acciones
(por ej empleando
personal competentes)
para satisfacer dichas
necesidades;
c)Evaluar la eficacia de
las acciones tomadas; y
d)Mantener los registros
de la educación,
formación, habilidades,
experiencias y
calificaciones (véase
apartado 4.3.3.
Anexos 81
e)La organización
también debe asegurase
de que todo el personal
relevante es consciente
de la pertinencia e
importancia de sus
actividades de seguridad
de la información y de
cómo contribuyen al logro
de los objetivos del SGSI.
6. AUDITORIAS
INTERNAS DEL SGSI
La organización debe
llevar a cabo a intervalos
planificados auditorías
internas del SGSI para
determinar si los objetivos
de control, los controles,
los procesos y los
procedimientos de su
SGSI;
a)Están conforme con los
requisitos de ésta norma
y con la legislación o
reglamentación
pertinente;
b)Están conformes con
los requisitos de
seguridad de la
información identificados;
c)Son implementados y
mantenidos eficazmente;
d)Se desempañan como
se esperaba.
Se debe planificar un
programa de auditorías
tomando en
consideración el estado y
la importancia de los
procesos y las áreas a
auditar, así como los
Anexos 82
resultados de auditorías
previas.
Se debe definir los
criterios de auditorías, el
alcance de la misma, su
frecuencia y metodología.
La selección de los
auditores y la realización
de las auditorías deben
asegurar la objetividad e
imparcialidad del proceso
de auditorías. Los
auditores no deben
auditar su propio trabajo.
Deben definirse, en un
procedimiento
documentado, las
responsabilidades y
requisitos para la
planificación y la
realización de auditorías,
para informar de los
resultados y para
mantener los registros
(véase apartado 4.3.3).
La dirección responsable
del área que esté siendo
auditada debe asegurarse
de que se toman
acciones sin demora
injustificada para eliminar
las no conformidades
detectadas y sus causas.
Las actividades de
seguimiento deben incluir
las verificaciones de las
acciones tomadas y el
informe de los resultados
de la verificación (véase
apartado 8.5.2).
7 REVISIÓN POR LA
DIRECCIÓN DEL SGSI
Anexos 83
7.1 Generalidades
La dirección debe a
intervalos planificados al
menos una vez al año,
revisar el SGSI de la
organización, para
asegurarse de su
conveniencia, adecuación
y eficacia continua. La
revisión debe incluir la
evaluación de las
oportunidades de mejora
y la necesidad de
efectuar cambios en el
SGSI, incluyendo la
política de seguridad de
la información y los
objetivos de seguridad de
la información. Los
resultados de las
revisiones deben
documentarse claramente
y deben mantenerse los
registros (véase apartado
4.3.3).
7.2 Elementos de
entrada para la revisión
La información de entrada
para una revisión por la
dirección debe incluir:
a)Los resultados de
auditorías del SGSI y las
revisiones,
b)La retroalimentación de
las partes interesadas.
c)Las técnicas, los
productos o los
procedimientos que
podrían utilizarse en la
organización para mejorar
el desempeño y eficacia
Anexos 84
del SGSI;
d)El estado de las
acciones correctivas y
preventivas.
e)Las vulnerabilidades o
amenazas no tratadas
adecuadamente en la
evaluación del riesgo
previo;
f)Los resultados de las
revisiones de eficacia;
g)Las acciones de
seguimiento de revisiones
por la dirección previas,
h)Cualquier cambio que
pueda afectar el SGSI, y
i)Recomendaciones para
la mejora.
7.3 Resultados de la
revisión
Los resultados de la
revisión por la dirección
deben incluir cualquiera
de las decisiones y
acciones relacionadas
con lo siguiente:
a)Mejora de la eficacia
del SGSI.
b)Actualización de la
evaluación del riesgo y
del plan del tratamiento
del riesgo.
c)Modificación de los
procedimientos y
controles que afectan la
seguridad de la
información, cuando sea
necesario, para
Anexos 85
responder a los eventos
internos o externos que
puedan impactar sobre el
SGSI, incluyendo los
cambios a:
1)Los requisitos del
negocio;
2)Los requisitos de
seguridad,
3)Los procesos del
negocio que afectan los
requisitos del negocio
existentes;
4)Los requisitos
reglamentarios o legales;
5)Las obligaciones
contractuales; y
6)Los niveles del riesgo
y/o los criterios de
aceptación de los riesgos.
d)Las necesidades de
recursos.
e)La mejora de cómo está
siendo medida la eficacia
de los controles.
8 MEJORA DEL SGSI
8.1 Mejora continua.
La organización debe
mejorar la eficacia del
SGSI mediante el uso de
la política de seguridad
de la información, los
objetivos de seguridad de
la información, los
resultados de las
auditorías, el análisis de
los eventos seguidos, las
acciones correctivas y
Anexos 86
preventivas y la revisión
por la dirección (véase
capítulo 7)
8.2 Acción correctiva
La organización debe
tomar acciones para
eliminar la causa de las
no conformidades con los
requisitos del SBSI para
prevenir su recurrencia.
El procedimiento
adecuado para las
acciones correctivas debe
definir los requisitos para:
a)Identificar las no
conformidades;
b)Determinar las causas
de las no conformidades;
c)Evaluar la necesidad de
acciones para asegurarse
de que las no
conformidades no
vuelvan a ocurrir;
d)Determinar e
implementar las acciones
correctivas necesarias;
e)Registrar los resultados
de las acciones tomadas
(véase apartado 4.3.3); y
f)Revisar las acciones
correctivas tomadas.
8.3 Acción preventiva.
La organización debe
determinar acciones para
eliminar las causas de las
no conformidades
potenciales con los
requisitos del SGSI para
prevenir su ocurrencia.
Anexos 87
Las acciones preventivas
deben ser apropiadas a
los impactos de los
problemas potenciales. el
procedimiento
documentado para las
acciones preventivas
debe definir los requisitos
para:
a)Identificar las no
conformidades y sus
causas;
b)Evaluar la necesidad de
actuar para prevenir la
ocurrencia de no
conformidades;
c)Determinar e
implementar las acciones
preventivas necesarias;
d)Registrar los resultados
de las acciones tomadas
(véase apartado 4.3.3); y
e)Revisar las acciones
preventivas tomadas.
La organización debe
identificar el cambio en
los riesgos e identificar
los requisitos de acción
preventiva enfocando la
atención en los riesgos
cambiados
significativamente.
La prioridad de las
acciones preventivas
debe determinarse sobre
la base de los resultados
de la evaluación del
riesgo.
Anexos 88
ANEXO 4
LISTA DE DISTRIBUCIÓN PARA EL DIAGNÓSTICO BASADO EN
CONTROLES ANEXO A NORMATIVOS ISO 27001:2005
DIAGNÓSTICO BASADO EN: ISO 27001:2005 EMPRESA: FECHA: ANEXO A
REQUISITO NORMATIVO CUMPLE NO
CUMPLE PARCIAL OBSERVACIÓN
A.5 Política de seguridad
A.5.1 Política de seguridad
de la información
Objetivo: Dirigir y dar soporte
a la gestión de la seguridad
de la información de acuerdo
con los requisitos del
negocio, las leyes y
reglamentos pertinentes.
A.5.1.1 Documento de la
política de seguridad de la
información.
Un documento de política de
seguridad de información
será aprobado por la
dirección, publicado y
comunicado a todos los
empleados y partes externas
pertinentes.
A.5.1.2 Revisión de la
política de seguridad de la
información.
La política de seguridad de la
información debe realizarse
a intervalos planificados o si
ocurren cambios
significativos asegurar su
Anexos 89
conveniencia, adecuación y
eficacia continua.
A.6 Organización de la
seguridad de la
información.
A.6.1 Organización interna
Objetivo: Gestionar la
seguridad de la información
dentro de la organización.
A.6.1.1 Compromiso de la
dirección para la seguridad
de la información.
La dirección debe apoyar
activamente la seguridad
dentro de la organización a
través de la dirección clara,
del compromiso demostrado,
y la asignación explicita, y el
reconocimiento de las
responsabilidades de
seguridad de la información.
A.6.1.2 coordinación de la
seguridad de la información.
Las actividades de seguridad
de la información deben
coordinarse con
representantes de diferentes
partes de la organización con
roles y funciones de trabajo
pertinentes.
A.6.1.3 Asignación de
responsabilidades sobre
seguridad de la información.
Deben definirse claramente
todas las responsabilidades
de seguridad de la
información.
A.6.1.4 Proceso de
Anexos 90
autorización para los
recursos de procesamiento
de la información.
Debe definirse e
implementarse un proceso
de autorización para cada
nuevo recurso de
procesamiento de la
información.
A.6.1.5 Acuerdos de
confidencialidad.
Debe identificarse y
regularmente revisarse los
requisitos para los acuerdos
de confidencialidad o no
divulgación que reflejan las
necesidades de la
organización para la
protección de la información.
A.6.1.6 Contacto con las
autoridades.
Deben mantenerse los
contactos apropiados con las
autoridades pertinentes.
A.6.1.7 Contacto con grupos
interesados especiales.
Deben mantenerse los
contactos apropiados con
grupos interesados
especiales u otros foros
especialistas de seguridad y
asociaciones profesionales.
A.6.1.8 Revisión
independiente de la
seguridad de la información.
El enfoque de la
organización para gestionar
la seguridad de la
información y su
Anexos 91
implementación (es decir,
objetivo de control, controles,
políticas, procesos, y
procedimientos para la
seguridad de la información)
deben revisarse de forma
independiente, a intervalos
planificados, o cuando ocurre
cambios significativos en la
implementación de la
seguridad.
A.6.2 Partes externas.
Objetivo: Mantener la
seguridad de la información y
recursos de procesamiento
de la información de la
organización que son
accesados, procesados,
comunicados o gestionados
por partes externas.
A.6.2.1 Identificación de
riesgos relacionados a partes
externas.
Los riesgos a la información
y recursos de procesamiento
de la información de la
Organización para los
procesos del negocio que
involucran partes externas
deben identificarse y deben
implementarse los controles
apropiados antes de otorgar
el acceso.
A.6.2.2 Tratamiento de la
seguridad en las relaciones
con clientes.
Todos los requisitos de
seguridad identificados
deben tratarse antes de dar
el acceso al cliente a la
información o posesiones de
Anexos 92
la información.
A.6.2.3 Tratamiento de la
seguridad en los acuerdos
de terceras partes.
Los acuerdos con usuarios
de terceras partes que
involucran acceder,
procesar, comunicar o
gestionar la información de la
organización o los recursos
para el tratamiento de la
información, o agregar
productos o servicios a
recursos para el tratamiento
de la información deben
cubrir todos los requisitos de
seguridad pertinentes.
A.7 Gestión de activos.
A.7.1 Responsabilidad por
los activos.
Objetivo: Alcanzar y
mantener la protección
apropiada de los activos de
la organización.
A.7.1.1 Inventario de activos
.
Todos los activos deben
identificarse claramente,
elaborarse y mantenerse el
inventario de todos activos
importantes.
A.7.1.2 Propiedad de los
activos.
Toda información y activos
asociados con las
instalaciones de
procesamientos de la
información deben ser
“dueño” por una parte
Anexos 93
designada de la
organización.
A.7.1.3 Utilización aceptable
de los activos.
Deben identificarse,
documentarse e
implementarse las reglas
para la utilización aceptable
de la información y los
activos asociados con las
instalaciones de
procesamiento de la
información.
A.7.2 Clasificación de la
información
Objetivo: Asegurar que la
información reciba un nivel
apropiado de protección.
A.7.2.1 Directrices de
clasificación
La información debe
clasificarse en r4elacion con
su valor, requisitos legales,
sensibilidad y criticidad para
la organización
A.7.2.2 Etiquetado y manejo
de la información
Un conjunto apropiado de
procedimientos para
etiquetar y manejar la
información debe
desarrollarse e
implementarse de acuerdo
con el esquema de
clasificación adoptado por la
organización.
A.8 seguridad de recursos
humanos.
Anexos 94
A.8.1 Antes del Trabajo.
Objetivo: Asegurar que los
empleados los contratistas y
usuarios de terceras partes
comprendan sus
responsabilidades, y que
sean apropiados para los
roles considerados, y para
reducir el riesgo del robo,
fraude o mal uso de los
recursos.
A.8.1.1 Roles y
responsabilidades
Los roles y
responsabilidades de
seguridad de los empleados,
contratistas y usuarios
terceras partes deben
definirse y documentarse de
acuerdo con la política de
seguridad de la información
de la organización
A.8.1.2 Selección
La verificación de los
antecedentes sobre todos los
candidatos para empleados,
contratistas y usuarios de
terceras partes deben
llevarse a cabo con las leyes,
reglamentaciones y ética
pertinentes, y proporcionales
a los requisitos del negocio,
a la clasificación de la
información a ser acezada, y
los riesgos percibidos.
A.8.1.3Términos y
condiciones de empleo
Como parte de su obligación
contractual, los empleados
contratistas y usuarios de
terceras partes deben
Anexos 95
acordar y firmar los términos
y condiciones de su contrato
de trabajo, que debe declarar
sus responsabilidades por la
seguridad de la información
de la organización.
A.8.2 Durante el empleo
Objetivo: Asegurar que todos
los empleados, contratistas y
usuarios de terceras partes
son conscientes de las
amenazas y aspectos
relacionados con la
seguridad de la información,
sus responsabilidades y
obligaciones, y que estén
equipadas para respaldar la
política de seguridad de la
organización en el curso
normal de su trabajo, y
reducir el riesgo de error
humano.
A.8.2.1 Responsabilidades
de la dirección.
La dirección debe requerir
que los empleados,
contratistas y usuarios de
terceras partes apliquen la
seguridad de acuerdo con
las políticas y procedimientos
establecidos de la
organización.
A.8.2.2Toma de consciencia,
educación y formación en la
seguridad de la información.
Todos los empleados de la
organización y, cuando sea
pertinente, los contratistas y
usuarios de terceras partes
deben recibir la formación en
toma de consciencia y las
Anexos 96
actualizaciones regulares
apropiadas en las políticas y
procedimientos de la
organización, como sea
pertinente para su función de
trabajo.
A.8.2.3 Proceso disciplinario.
Debe haber un proceso
disciplinario formal para los
empleados quienes cometan
un incumplimiento de
seguridad.
A.8.3 Terminación o
cambio de empleo.
Objetivo: Asegurar que los
empleados, contratistas y
usuarios de terceras partes
se retiran de una
organización p cambian el
empleo de una manera
ordenada.
A.8.3.1 Responsabilidades
de la terminación.
Debe definirse y asignarse
claramente las
responsabilidades para llevar
a cabo la terminación o
cambio de empleo.
A.8.3.2 Devolución de los
activos.
Todos los empleados,
contratistas y usuarios de
terceras partes deben
devolver todos los activos de
la organización en su
posesión una vez terminado
su empleo, contrato o
acuerdo.
Anexos 97
A.8.3.3 Retiro de los
derechos de acceso.
Los derechos de acceso de
todos los empleados,
contratistas y usuarios de
terceras partes a la
información y recursos para
el procesamiento de la
información deben retirarse
una vez terminado su
empleo, contrato o acuerdo o
una vez ajustado el cambio.
A.9 Seguridad física y
ambiental.
A.9.1 Áreas seguras.
Objetivo: Prevenir el acceso
físico no autorizado daño e
interferencia a las
instalaciones e información
de la organización.
A.9.1.1 Perímetro de
seguridad física.
Los perímetros de seguridad
(barreras tales como
paredes, puertas de entrada
controladas por tarjetas o
puesto de recepción manual)
deben utilizarse para
proteger las áreas que
contienen la información y
las instalaciones de
procesamiento de la
información.
A.9.1.2 Controles físicos de
entrada.
Las áreas de seguridad
deben estar protegidas por
controles de entrada
apropiados que aseguren el
permiso de acceso sólo al
Anexos 98
personal autorizado.
A.9.1.3 Seguridad de
oficinas, habitaciones e
instalaciones.
Debe diseñarse y aplicarse
la seguridad física para
oficinas, habitaciones e
instalaciones.
A.9.1.4 Protección contra las
amenazas externas y
ambientales.
Debe diseñarse y aplicarse
la protección física contra el
daño por fuego, inundación,
sismo, explosión, disturbios y
las otras formas de desastre
natural o hecho por los
hombres.
A.9.1.5 Trabajo en áreas
seguras
Debe diseñarse y aplicarse
la protección física y las
directrices para trabajar en
áreas seguras.
A.9.1.6 Áreas de acceso al
público, entrega y carga.
Los puntos acceso como las
áreas de entrega y carga y
otras donde las personas no
autorizadas pueden entrar en
las instalaciones deben
controlarse y, si es posible,
aislarse de instalaciones de
procesamiento de la
información para evitar el
acceso no autorizado.
A.9.2 Seguridad de los
equipos.
Anexos 99
Objetivo: Prevenir pérdidas,
daños, robo o comprometer
los activos e interrupción de
las actividades de la
organización.
A.9.2.1 Ubicación y
protección del equipo.
El equipo debe ubicarse o
protegerse para reducir los
riesgos de amenazas y
peligros ambientales, y
oportunidades para el
acceso no autorizado.
A.9.2.2 Servicio de apoyo.
El equipo debe protegerse
contar fallas de energía y
otras interrupciones
eléctricas causadas por
fallas en los servicios de
apoyo.
A.9.2.3 Seguridad del
cableado Control.
El cableado de enrgía
eléctrica y de
comunicaciones que
transporta datos o brinda
apoyo a los servicios de
información debe protegerse
contra interceptación o daño.
A.9.2.4 Mantenimiento de
equipos.
Los equipos deben
mantenerse adecuadamente
para asegurar su continua
disponibilidad e integridad.
A.9.2.5 Seguridad de
equipos fuera de las
instalaciones de la
Anexos 100
organización.
Debe aplicarse la seguridad
a los equipos exteriores
teniendo en cuenta los
diferentes riesgos de trabajar
fuera de las instalaciones de
la organización.
A.9.2.6 Seguridad en la
reutilización o eliminación de
equipos.
Todos los elementos del
equipo que contengan
dispositivos de
almacenamiento de datos
deben controlarse para
asegurar que cualquier dato
sensible y software bajo
licencia ha sido removido o
tachado antes de su
disposición.
A.9.2.7 Retiro de la
propiedad.
No deben sacarse de las
instalaciones sin autorización
los equipos, la información o
el software.
A.10 Gestión de
comunicaciones y
operaciones.
A.10.1 Procedimientos y
responsabilidades de
operación.
Objetivo: Asegurar la
operación correcta y segura
de los recursos de
tratamiento de información.
A.10.1.1 Documentación de
procedimientos operativos.
Anexos 101
Los procedimientos
operativos deben
documentarse, mantenerse,
y estar disponibles a todos
usuarios que los necesitan.
A.10.1.2 Gestión de cambio.
Deben controlarse los
cambios para los recursos y
sistemas de procesamiento
de la información.
A.10.1.3 Segregación de
tareas.
Las tareas o áreas de
responsabilidad deben
segregarse par reducir las
oportunidades de
modificación no autorizada o
mal uso de los activos de la
organización.
A.10.1.4 Separación de los
recursos para el desarrollo,
prueba/ensayo y operación.
Deben separarse los
recursos para el desarrollo
prueba/ensayo y operación
para reducir los riesgos del
acceso no autorizado o
cambios del sistema
operativo.
A.10.2 Gestión de entrega
de servicio de tercera
parte.
Objetivo: Implementar y
mantener el nivel apropiado
de seguridad de la
información y la entrega del
servicio en línea con los
acuerdos de entrega de
servicio de tercera parte.
Anexos 102
A.10.2,1 Entrega del servicio.
Debe asegurase que los
controles de seguridad, las
definiciones del servicio y los
niveles de entrega incluidos
en el acuerdo de entrega de
servicio de tercera parte son
implementados, operados y
mantenidos por la tercera
parte.
A.10.2.2 Seguimiento y
revisión de los servicios de
tercera parte.
Los servicios, informes y
registros suministrados por la
tercera parte deben ser
seguidos y revisados
regularmente y deben ser
llevados a cabo auditorías
regularmente.
A10.2.3 Gestión de cambios
para los servicios de tercera
parte.
Los cambios para el
suministro de servicio,
incluyendo el mantenimiento
y mejora de las políticas,
procedimientos y controles
de seguridad de información
existentes, deben
gestionarse, tomando en
cuenta la criticidad del
sistema del negocio y los
procesos involucrados y la
reevaluación de los riesgos.
A.10.3 Planificación y
aceptación del sistema.
Objetivo: Minimizar el riesgo
de fallas de los sistemas.
Anexos 103
A.10.3.1 Gestión de la
capacidad.
Debe realizarse seguimiento,
ajustes, y proyecciones de
los requisitos de la
capacidad futura de la
utilización de los recursos,
para asegurar el desempeño
del sistema requerido.
A.10.3.2 Aceptación del
sistema.
Deben establecerse los
criterios de aceptación para
los nuevos sistemas de
información y versiones
nuevas o mejoradas y deben
desarrollarse pruebas
adecuadas de los sistemas
durante el desarrollo y antes
de la aceptación.
A.10.4 Protección contra
código malicioso y
movible.
Objetivo: Proteger la
integridad de software y de la
información.
A.10.4.1 Controles contra
códigos maliciosos.
Deben implementarse los
controles de detección,
prevención y recuperación
para la protección contra
código maliciosos, y
procedimientos adecuados
de toma de consciencia de
los usuarios.
A.10.4.2 Control contra
código movible
Anexos 104
Donde la utilización de
código movible está
autorizada, la configuración
debe asegurar que el código
movible autorizado opera de
acuerdo a una política de
seguridad claramente
definida y debe prevenirse el
ejecutar el código movible no
autorizado.
A.10.5 Copia de seguridad.
Objetivo: Mantener la
integridad y la disponibilidad
de la información y los
recursos de procesamiento
de la información.
A.10.5.1 Copia de seguridad
de la información.
Las copias de seguridad de
la información y software
deben ser tomadas y
probadas con regularidad de
acuerdo con la política de
copia de seguridad
acordada.
A.10.6 Gestión de
seguridad de la red.
Objetivo: Asegurar la
protección de la información
en las redes y la protección
de su infraestructura.
Las tareas o áreas de
responsabilidad deben
segregarse para reducir las
oportunidades de
modificación no autorizada o
mal uso de los activos de la
organización.
A.10.1.4 Separación de los
recursos para el desarrollo,
Anexos 105
prueba/ensayo y operación.
Deben separarse los
recursos para el desarrollo,
prueba/ensayo y operación
para reducir los riesgos del
acceso no autorizado o
cambios al sistema
operativo.
A.10.2 Gestión de entrega
de servicio de tercera
parte.
Objetivo: Implementar y
mantener el nivel apropiado
de3 seguridad de la
información y la entrega del
servicio en línea con los
acuerdos de entrega de
servicio de tercera parte.
A.10.2.1 Entrega de servicio.
Debe asegurarse de los
controles de seguridad, las
definiciones del servicio y
niveles de entrega incluidos
en el acuerdo de entrega de
servicio de tercera parte son
implementados, operados y
mantenidos por la tercera
parte.
A.10.2.2 Seguimiento y
revisión de los servicios de
tercera parte.
Los servicios, informes y
registros suministrados por la
tercera parte deben ser
seguidos y revisados
regularmente, y deben ser
llevados a cabo a auditorias
regularmente.
A.10.2.3 Gestión de cambios
para los servicios de tercera
Anexos 106
parte.
Los cambios para el
suministro de servicios,
incluyendo el mantenimiento
y mejora de las políticas,
procedimientos y controles
de seguridad de información
existentes, debe gestionarse,
tomando en cuenta la
criticidad del sistema del
negocio y los procesos
involucrados y la
reevaluación de los riesgos.
A.10.3 Planificación y
aceptación del sistema.
Objetivo: minimizar el riesgo
de falla de los sistemas.
A.10.3.1 Gestión de la
capacidad.
Debe realizarse seguimiento,
ajustes, y proyecciones de
los requisitos de la
capacidad futura de la
utilización de los recursos
para asegurar el desempeño
del sistema requerido.
A.10.3.2 Aceptación del
sistema.
Deben establecerse los
criterios de aceptación para
los nuevos sistemas de
información y versiones
nuevas o mejoradas y deben
desarrollarse pruebas
adecuadas de los sistemas
durante el desarrollo y antes
de la aceptación.
A.10.4 Protección contra
código malicioso y
Anexos 107
movible.
Objetivo: Proteger la
integridad del software y de
la información.
A.10.4.1 Controles contra
códigos maliciosos.
Deben implementarse los
controles de detección,
prevención y recuperación
para la protección contra
código malicioso y
procedimientos mal
adecuados de toma de
conciencia de los usuarios.
A.10.4.2 Control contra
código movible
Donde la utilización de
código movible está
autorizada, la configuración
debe asegurar el código
movible autorizado opera de
acuerdo a una política de
seguridad claramente
definida y debe prevenirse el
ejecutar el código movible no
autorizado.
A.10.5 Copia de seguridad.
Objetivo: Mantener la
integridad y la disponibilidad
de la información y los
recursos de procesamiento
de la información.
A.10.5.1 Copia de seguridad
de la información.
Las copias de seguridad de
la información y software
deben ser tomadas y
probadas con regularidad de
acuerdo con la política de
Anexos 108
copia de seguridad
acordada.
A.10.6 Gestión de
seguridad de la red.
Objetivo: Asegurar la
protección de la información
en las redes y la protección
de su infraestructura de
soporte.
A.10.6.1 Controles de red.
Las redes deben gestionarse
y controlarse
adecuadamente, a fin de
estar protegidas de las
amenazas, y mantener la
seguridad para los sistemas
y aplicaciones que utiliza la
red, incluyendo la
información en tránsito.
A.10.6.2 Seguridad de
servicios de red.
Las características de
seguridad, los niveles del
servicio, y los requisitos de
gestión de todos los servicios
en red deben identificarse e
incluirse en cualquier
acordado de servicio de red,
ya sea que estos servicios
sean proporcionados en la
empresa o subcontratados.
A.10.7 Manejo de medios
de información.
Objetivo: Prevenir la
divulgación, modificación,
eliminación, o destrucción no
autorizada de los activos e
interrupción de las
actividades del negocio.
Anexos 109
A.10.7.1 Gestión de medios
removibles.
Deben existir procedimientos
para la gestión de medios
removibles.
A.10.7.2 Disposición de
medios
Cuando ya no son
requeridos, los medios de
información deben eliminarse
de forma segura y sin
peligro, utilizando
procedimientos formales.
A.10.7.3 Procedimientos de
manejo de la información.
Se deben establecer
Procedimientos para el
manejo y almacenamiento de
loa información para
protegerla contra su uso
inadecuado o divulgación no
autorizada.
A.10.7.4 Seguridad de la
documentación de sistemas.
La documentación de
sistema debería protegerse
contra el acceso no
autorizado.
A.10.8 Intercambio de
información.
Objetivo: Mantener la
seguridad de la información y
el software intercambiado
dentro de una organización y
con cualquier entidad
externa.
A.10.8.1 Políticas y
procedimientos de
Anexos 110
intercambio de información.
Deben establecerse
políticas, procedimientos de
intercambios formales, y
controles para proteger el
intercambio de información a
través de la utilización de
toda clase de recursos de
comunicación.
A.10.8.2 Acuerdos de
intercambio.
Deben establecerse
acuerdos, para el
intercambio de información y
software entre la
organización y partes
externas.
A.10.8.3 Medios de
información físicos en
tránsito
Los medios que contienen la
información deben
protegerse contra el acceso
no autorizado, mal uso o
corrupción durante el
transporte más allá de los
límites físicos de una
organización.
A.10.8.4 Mensaje
electrónico.
Debe estar apropiadamente
protegida la información
involucrada en el mensaje
electrónico.
A.10.8.5 Sistema de
información del negocio
deben desarrollarse e
implementarse las políticas y
procedimientos para proteger
la información asociada con
Anexos 111
la interconexión de los
sistemas de información del
negocio.
A.10.9 Servicios de
comercio electrónico
A.10.10 Seguimiento
Objetivo: Detectar las
actividades de
procesamiento de la
información no autorizadas.
A.10.10.1 Registro de
auditoria
Debe producirse y
mantenerse los registros de
auditoría que registren
actividades , excepciones y
eventos de seguridad de la
información del usuario,
durante un periodo definido
para ayudar en futuras
investigaciones y
seguimiento del control de
acceso.
A.10.10.2 Seguimiento de la
utilización de los sistemas.
Deben establecerse los
procedimientos para el
seguimiento de la utilización
de los recursos de
procesamiento de la
información y los resultados
de las actividades de
seguimiento realizadas
regularmente.
A.10.10.3 Protección de la
información de registro.
Deben protegerse los
recursos de registro e
información de registro
Anexos 112
contra el acceso manipulado
y no autorizado.
A.10.10.4 Administrador y
operado de registro
Deben registrarse las
actividades del administrador
del sistema y del operador
del sistema.
A.10.10.5 Registro de falla
Las fallas deben registrarse,
analizarse y tomarse las
acciones apropiadas
A.10.10.6 Sincronización de
relojes
Los relojes de todos los
sistemas de procesamiento
de la información pertinente
dentro de una organización o
dominio de seguridad deben
sincronizarse con una fuente
de tiempo exacta acordada.
A.11 Control de accesos
A.11.1 Requisitos del
negocio para el control de
accesos.
Objetivo: Controlar los
accesos a la información
A.11.1.1 Política de control
de accesos
Debe establecerse,
documentarse y revisarse
una política de control de
accesos, basado en los
requisitos del negocio y de
seguridad para el acceso.
A.11.2 Gestión de acceso
Anexos 113
de usuarios.
Objetivo: Asegurar el acceso
del usuario autorizado y
prevenir el acceso no
autorizado a los sistemas de
información.
A.11.2.1 Registro de
usuarios.
Debe existir un
procedimiento formal de
registro y des-registro de
usuarios para conceder y
revocar el acceso a todos los
sistemas y servicios de
información.
A.11.2.2 Gestión de
privilegios.
Deben restringirse y
controlarse la utilización y
asignación de privilegios.
A.11.2.3 Gestión de
contraseñas del usuario.
Debe controlarse la
asignación de contraseñas a
través de un proceso de
gestión formal.
A.11.2.4 Revisión de los
derechos de acceso de
usuarios.
La dirección debe revisar los
derechos de acceso de los
usuarios a intervalos
regulares utilizando un
proceso formal.
A.11.3 Responsabilidades
de usuarios.
Objetivo: Prevenir el acceso
de usuarios no autorizados y
Anexos 114
comprometer o robar la
información y los recursos de
procesamiento de
información.
A.11.3.1 Usos de
contraseñas.
Debe requerirse a los
usuarios seguir las buenas
prácticas de seguridad para
la selección y uso de sus
contraseñas.
A.11.3.2 Equipo
desatendido.
Los usuarios deben asegurar
que los equipos
desatendidos estén
debidamente protegidos.
A.11.3.3 Políticas de
escritorios y pantallas
limpias.
Para los recursos de
procesamiento de
información, debe adoptarse
una política de escritorios
limpios de papel y de
dispositivos de
almacenamiento removibles
y una política de pantallas
limpias.
A.11.4 Control de acceso a
la red.
Objetivo: Prevenir el acceso
no autorizado a los servicios
de red.
A.11.4.1 Política de
utilización de los servicios de
red.
Los usuarios sólo deben
Anexos 115
tener acceso a los servicios
que han sido
específicamente autorizados
a utilizar.
A.11.4.2 Autentificación de
usuarios para conexiones
externas.
Deben utilizarse métodos de
autentificación apropiados
para controlar el acceso por
usuarios remotos.
A.11.4.3 Identificación de
equipos en redes.
Debe considerarse la
identificación de equipo
automático como un medio
de autentificar las
conexiones de ubicaciones y
equipos específicos.
A.11.4.4 Protección del
diagnóstico remoto y de la
configuración de puerto
Debe controlarse el acceso
físico y lógico para el
diagnóstico y configuración
de los puertos.
A.11.4.5 Segregación en
redes
Deben segregarse los
grupos de los servicios de
información, los usuarios y
los sistemas de información
en las redes.
A.11.4.6 Control de conexión
de redes.
Para redes compartidas,
especialmente aquellas que
atraviesan las fronteras de la
Anexos 116
organización, la capacidad
de usuarios a conectarse a la
red deben restringirse, de
acuerdo con la política de
control de acceso y los
requisitos de las aplicaciones
del negocio (véase apartado
11.1)
A.11.4.7 Control de
direccionamiento en la red.
Deben implementarse los
controles de
direccionamiento a redes
para asegurar que las
conexiones entre
computadora y los flujos de
información no violen la
política de control de acceso
de las aplicaciones del
negocio.
A.11.5 Control de acceso al
sistema operativo.
Objetivo: Prevenir el acceso
no autorizado a los sistemas
operativos.
A.11.5.1 Procedimientos de
conexión segura.
Debe controlarse el acceso a
los sistemas operativos por
un procedimiento de
conexión segura.
A.11.5.2 Identificación y
autenticación del usuario.
Todos los usuarios deben
disponer de un identificador
único (ID de usuario) sólo
para su uso personal y debe
seleccionarse una técnica de
autentificación adecuada
para probar la identidad
Anexos 117
declarada de un usuario.
A.11.5.3 Sistema de gestión
de contraseñas
Los sistemas para la gestión
de contraseñas deben ser
interactivos y deben
asegurar la calidad de las
contraseñas.
A.11.5.4 Utilización de las
prestaciones del sistema
Debe restringirse y
controlarse estrechamente la
utilización de programa de
servicio que podrían ser
capaces de eludir las
medidas de control del
sistema y de las
aplicaciones.
A.11.5.5 Sesión inactiva
La sesiones inactivas deben
apagarse después de un
período definido de la
inactividad.
A.11.5.6 Limitación del
tiempo de conexión
Las restricciones al horario
de conexión deben ser
utilizadas para proporcionar
seguridad adicional a las
aplicaciones de alto riesgo
A.11.6 Control de acceso a
las aplicaciones e
información
Objetivo: Prevenir el acceso
no autorizado a la
información contenida en los
sistemas de aplicación.
Anexos 118
A.11.6.1 Restricción de
acceso a la información
El acceso a la información y
a las funciones del sistema
de aplicación por usuarios y
personal de soporte debe
restringirse de acuerdo con
la política de control de
acceso definida.
A.11.6.2 Aislamiento de
sistemas sensibles
Los sistemas sensibles
deben de tener un entorno
informático dedicado
(aislados).
A.11.7 Computación móvil
y trabajo a distancia
Objetivo: Asegurar la
seguridad de información
cuando se utilizan recursos
de computación móvil y de
trabajo a distancia.
A.11.7.1 Computación móvil
y comunicaciones.
Debe implarse una política
formal y deben adoptarse las
medidas de seguridad
apropiadas para proteger
contra los riesgos de utilizar
recursos de computación
móvil y de comunicación.
A.11.7.2 Trabajo a distancia
Deben desarrollarse e
implementarse políticas,
planes operacionales y
procedimientos para las
actividades de trabajo a
distancia.
Anexos 119
A.12 Adquisición,
desarrollo y mantenimiento
de sistemas de
información.
A.12.1 Requisitos de
seguridad de los sistemas
de información.
Objetivo: Asegurar que la
seguridad es una parte
integral de los sistemas de
información.
A.12.1.1 Análisis y
especificación de los
requisitos de seguridad.
Las declaraciones de los
requisitos del negocio para
los nuevos sistemas de
información o mejoras a los
sistemas de información
existentes deben especificar
los requisitos de control de
seguridad.
A.12.2 Procesamiento
correcto en las
aplicaciones.
Objetivo Prevenir los errores,
pérdida, modificación no
autorizada o mal uso de la
información en las
aplicaciones.
A.12.2.1 Validación de datos
de entrada.
Deben validarse los datos de
entrada a las aplicaciones
para asegurarse de que
éstos son correctos y
apropiados.
A.12.2.2 Control de
Anexos 120
procesamiento interno.
Deben incorporarse a las
aplicaciones las
comprobaciones de
validación para detectar
cualquier corrupción de la
información a través de los
errores de procesamiento o
actos deliberados.
A.12.2.3 Integridad de
mensaje
Deben identificarse los
requisitos para asegurar la
autenticidad y proteger la
integridad de mensajes en
aplicaciones e identificarse e
implementarse los controles
apropiados.
A.12.2.4 Validación de los
datos de salida.
Deben validarse los datos de
salida de una aplicación para
asegurarse de que el
procesamiento de la
información almacenada es
correcto y apropiado a las
circunstancias.
A.12.3 Controles
criptográficos.
Objetivo: Proteger la
confidencialidad,
autenticidad o integridad de
la información por los medios
criptográficos.
A.12.3.1 Política sobre la
utilización de controles
criptográficos.
Debe desarrollarse e
implementarse una política
Anexos 121
sobre la utilización de
controles criptográficos para
la protección de la
información.
A.12.3.2 Gestión de las
claves.
Debe establecerse la gestión
de clave para dar apoyo a la
utilización por la
organización de técnicas
criptográficas.
A.12.4 Seguridad de los
archivo del sistema.
A.12.4.1 Control de software
operativo.
Deben existir procedimientos
establecidos para controlar la
instalación de software en
sistemas en funcionamiento.
A.12.4.2 Protección de los
datos de prueba del sistema.
Deben seleccionarse
cuidadosamente y
protegerse y controlarse los
datos de prueba.
A.12.4.3 Control de acceso
al código fuente del
programa.
Debe restringirse el acceso
al código fuente del
programa.
A.12.5 Seguridad en los
procesos de desarrollo y
soporte
Objetivo: Mantener la
seguridad de software y la
información del sistema de
Anexos 122
aplicación
A.12.5.1 Procedimientos de
control de cambios.
La implementación de los
cambios debe ser controlada
por la utilización de
procedimientos formales de
control de cambio.
A.12.5.2 Revisión técnica de
aplicaciones después de los
cambios de sistema
operativo.
Cuando los sistemas
operativos son cambiados,
deben revisarse y probarse
las aplicaciones críticas del
negocio para asegurar de
que no hay impacto adverso
sobre las operaciones o la
seguridad de la organización.
A.12.5.3 Restricciones a los
cambios a los paquetes de
software
Las modificaciones a
paquetes de software deben
ser desalentadas, limitadas a
los cambios necesarios y
todo cambio debe
controlarse estrictamente.
A.12.5.4 Fuga de
información.
Deben prevenirse las
oportunidades de fuga de
información.
A.12.5.5 Desarrollo de
software contratado
externamente.
La organización debe
Anexos 123
supervisar y realizar
seguimiento al desarrollo de
software contratado
externamente.
A.12.6 Gestión de
vulnerabilidad técnica.
Objetivo: Reducir los riesgos
que resultan de la
explotación de las
vulnerabilidades técnicas
publicadas.
A.12.6.1 Control de las
vulnerabilidades técnicas.
Debe obtenerse la
información oportuna sobre
las vulnerabilidades técnicas
del sistema de información
que está siendo utilizado,
evaluarse la exposición de la
organización a tales
vulnerabilidades y tomarse
las medidas apropiadas para
tratar el riesgo asociado.
A.13 Gestión de incidente
de seguridad de la
información
A.13.1 Reportar los
eventos y debilidades de
seguridad de la
información
Objetivo: Asegurar que los
eventos y debilidades de
seguridad de la información
asociadas con los sistemas
de información sean
comunicados de una manera
tal que permita que la acción
correctiva sea tomada
oportunamente.
Anexos 124
A.13.1.1 Reporte de los
eventos de seguridad de
información.
Deben reportarse los
eventos de seguridad de la
información a través de los
canales de gestión
apropiados tan rápidamente
como sea posible.
A.13.1.2 Reporte de
debilidades de seguridad.
Debe requerirse a todos los
empleados contratistas y
usuarios de terceras partes
de los sistemas y servicios
de información, detectar e
informar cualquier debilidad
en la seguridad de los
sistemas o servicios que
haya sido observada o
sospechada.
A.13.2 Gestión de los
incidentes y mejoras de
seguridad de la
información.
Objetivo: Asegurar que un
enfoque coherente y eficaz
es aplicado a la gestión de
los incidentes de seguridad
de la información.
A.13.2.1 Responsabilidades
y procedimientos.
Deben establecerse las
responsabilidades y
procedimientos de gestión
para asegurar una respuesta
rápida, eficaz y ordenada a
los incidentes de seguridad
de información.
Anexos 125
A.13.2.2 Aprendizaje de los
incidentes de seguridad de la
información.
Deben establecerse
mecanismos que permitan
cuantificar y realizar el
seguimiento de los tipos,
volúmenes y costos de los
incidentes de seguridad de
información.
A.13.2.3 Recolección de
evidencias
Cuando una acción de
seguimiento contra una
persona u organización,
después de un incidente de
seguridad de la información
que involucra acciones
legales (civiles o criminales),
deben recolectarse,
conservarse y presentarse
evidencias conforme a las
reglas establecidas por la
legislación aplicable o por el
tribunal que sigue el caso.
A.14 Gestión de
continuidad del negocio.
A.14.1 Aspectos de
seguridad de la
información de la gestión
de continuidad del
negocio.
Objetivo: Contrarrestar las
interrupciones de las
actividades del negocio y
proteger los procesos críticos
del negocio de los efectos de
fallas significativas o
desastres de los sistemas de
información y asegurar su
reanudación oportuna.
Anexos 126
A.14.1.1 Inclusión de la
seguridad de la información
en el proceso de gestión de
la continuidad del negocio.
Un proceso dirigido debe ser
desarrollado y mantenido
para la continuidad del
negocio a través de la
organización que trate los
requisitos de seguridad de la
información necesarios para
la continuidad del negocio de
la organización
A.15 Cumplimiento
A.15.1 Cumplimiento de
requisitos legales.
Objetivo: Evitar
incumplimientos de cualquier
ley, estatuto, obligación
reglamentaria o
contractuales y de cualquier
requisito de seguridad.
A.15.1.1 Identificación de la
legislación aplicable.
Deben definirse,
documentarse y mantenerse
actualizados todos los
requisitos legales,
reglamentarios y
contractuales pertinentes y el
enfoque de la organización
que cumplan estos requisitos
para cada sistema de
información y de la
organización.
A.15.1.2 Derechos de
propiedad intelectual (DPI)
Deben implementarse los
procedimientos apropiados
para asegurar el
Anexos 127
cumplimiento de los
requisitos legales,
reglamentarios y
contractuales sobre el uso
del material protegido por
derechos de propiedad
intelectual y sobre el uso de
productos de software
reservados.
A.15.3 Consideraciones y
auditorías de los sistemas
de información
Objetivo: Maximizar la
efectividad y minimizar las
interferencias en el proceso
de auditoría del sistema de la
información.
Anexos 128
ANEXO 5
Anexos 129
Bibliografía 130
BIBLIOGRAFÍA
Agripac. (2015). Recuperado el 01 de 02 de 2015, de http://www.agripac. com.ec/grupo_agripac.html
ALEGSA. (s.f.). Diccionario de informática y tecnología. Obtenido de http:/
/www.alegsa.com.ar/Dic/transceptor.php#sthash.oriSdzGw.dpuf
Alexander, A. G. (2006). Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005. Lima, Perú.
Alfaro, C. (s.f.). Investigación correlacional e investigación explicativa.
Recuperado el 3 de abril de 2015, de https://www.academia.edu/7377686/Investigaci%C3%B3n_correlacional_e_investigaci%C3%B3n_explicativa
Anderson, J. M. (2003). Why we need a new definition of information
security. Computers & Security, 22(4), 308-313.
Aranda, J. A. (2009). Implementación del primer Sistema de Gestión de
Seguridad de la Informacion, en el Ecuador, Certificado bajo la Norma ISO 27001:2005. Ecuador.
Arelys Alttagracia, L. M. (2011). Diseño de un Plan de Gestión de la
Seguridad de la Información. Caso: Dirección Informática de la Alcaldía del Municipio Jiménez del Estado Lara. Barquisimeto, Venezuela.
Baray, H. L. (s.f.). Investigación No Experimental. En INTRODUCCIÓN A LA METODOLOGÍA DEL LA INVESTIGACIÓN. Mexico.
Bravo, M. P. (2011). Obtenido de http://www.buenastareas.com/ensayos/
M%C3%A9todos-Descriptivos/2324769.htmlCalderón Onofre, D., Estrella Ochoa, M., & Flores Villamarín, M. (2011). Implementación de un Sistema de Gestión de Seguridad de Información aplicada al área de Recursos Humanos de la empresa Decevale S.A. Guayaquil, Ecuador.
Calle, D. J. (30 de octubre de 2012). UNAD. Recuperado el 4 de abril de 2015, de Investigación Exploratoria, Descriptiva, Correlacional y Explicativa: http://datateca.unad.edu.co/contenidos/100104/100104_EXE/leccin_6_investigacin__exploratoria_descriptiva_correlacional_y_explicativa.html
Bibliografía 131
Campaña Tenesaca, O. E. (2010). Plan de propuesta para la
implantación de la norma de seguridad informática ISO 27001:2005 para el Grupo Social Fondo Ecuatoriano Populorum Progressio (GSFEPP). Quito, Ecuador.
Cascant, A. H. (28 de febrero de 2014). Riunet. Recuperado el 3 de abril
de 2015, de Metodología y Técnicas cuantitativas de investigación: https://riunet.upv.es/bitstream/handle/10251/17004/Metodolog%25C3%25ADa%2520y%2520t%25C3%25A9cnicas%2520cuantitativas%2520de%2520investigaci%25C3%25B3n_6060.pdf?sequence=3
Catteddu, D. (2010). Cloud Computing: Benefits, Risks and Recommendations for Information Security. En C. Serrão, Web Application Security (pág. 17). Springer Berlin Heidelberg.
Dr. Lamberto Vera Vélez, U. P. (2008). http://www.ponce.inter.edu.
Obtenido de http://www.ponce.inter.edu/cai/Comite-investigacion/investigacion-cualitativa.html
Fabbri, P. M. (14 de noviembre de 2013). fhumyar. Recuperado el 14 de marzo de 2015, de Las técnicas de investigación: la observación.: http://www.fhumyar.unr.edu.ar/escuelas/3/materiales%20de%20catedras/trabajo%20de%20campo/solefabri1.htm
Garza, A. (1998). Manual de Técnicas de Investigación para Estudiantes de Ciencias Sociales. Mexico: El Colegio de Mexico.
Graterol, R. (24 de marzo de 2011). Wordpress. Recuperado el 4 de abril de 2015, de Metodología de la Investigación: https://jofillop.files.wordpress.com/2011/03/metodos-de-investigacion.pdf
Hausken, K. (2006). Returns to information security investment: The effect of alternative information security breach functions on optimal investment and sensitivity to vulnerability. Information Systems Frontiers, 8(5), 338-349.
ISO/IEC. (15 de 10 de 2005). ISO 27001:2005. TECNOLOGÍA DE LA INFORMACIÓN-TÉCNICAS DE SEGURIDAD-SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN- Requerimientos. Ginebra, Suiza.
ISO/IEC. (2005). Patente nº ISO/IEC 17799:2005. ISO/IEC. (2005). NORMA ISO 17799/27002. GINEBRA, SUIZA. Jeimy J. Cano, P. C. (2011). http://www.isaca.org/Journal/archives/2011/Volume-5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-la-Informacion-Evolucion-y-Retos-Emergentes.aspx.
Bibliografía 132
JUAN DAVID AGUIRRE CARDONA, C. A. (2013). DISEÑO DEL
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. Pereira, Colombia.
land, S. I. (2 de 01 de 2013). https://seguridadinformaticaunivia.wordpress .com/2013/01/02/el-isoiec-27000-es-tu-amigo/. Recuperado el 15 de 2 de 2015, de https://seguridadinformaticaunivia.wordpress.com/2013/01/02/el-isoiec-27000-es-tu-amigo/.
López, E. A. (2011). http://www.eumed.net/tesis-doctorales/2012/eal/meto dologia_cuantitativa.html.
Mega, G. P. (2009). www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf. Recuperado el 02 de 2015, de www.fing.edu.uy/inco/pedeciba/bibliote/cpap/tesis-pallas.pdf.
Meyer., D. B. (12 de septiembre de 2006). Blogia. Recuperado el 2 de
abril de 2015, de LA INVESTIGACIÓN DESCRIPTIVA: http://noemagico.blogia.com/2006/091301-la-investigacion-descriptiva.php
Montenegro, C. W. (JUNIO de 2008). http://www.buenastareas.com/ensayos/Usat-Tesis/69793648.html. Recuperado el 15 de FEBRERO de 2015, de http://www.buenastareas.com/ensayos/Usat-Tesis/69793648.html. Morales, F. (2010). Obtenido de http://manuelgross.bligoo.com/conozca-
3-tipos-de-investigacion-descriptiva-exploratoria-y-explicativa
Morales, F. (28 de enero de 2015). Conozca 3 tipos de investigación:
Descriptiva, Exploratoria y Explicativa. Recuperado el 3 de abril de 2015, de http://www.creadess.org/index.php/informate/de-interes/temas-de-interes/17300-conozca-3-tipos-de-investigacion-descriptiva-exploratoria-y-explicativa RIVERO, M. L. (2 de octubre de 2007). Eumed. Recuperado el 2 de abril de 2015, de LAS POLÍTICAS FISCALES Y SU IMPACTO EN EL BIENESTAR SOCIAL DE LA POBLACIÓN VENEZOLANA. UN ANÁLISIS DESDE EL PARADIGMA CRÍTICO. PERIODO: 1988-2006: http://www.eumed.net/tesis-doctorales/2010/lmr/politicas%20fiscales%20en%20Venezuela%20tipo%20y%20diseno%20de%20investigacion.htm
Rodriguez, M. (diciembre de 2011). Métodos de investigación cualitativa. Recuperado el 1 de abril de 2015, de http://www.cide.edu.co/ojs/index.php/silogismo/article/view/64/53
Rudy Mendoza Palacios. (2006). Investigación cualitativa y cuantitativa -
Diferencias y limitaciones. Recuperado el 12 de marzo de 2015, de
Bibliografía 133
https://www.prospera.gob.mx/Portal/work/sites/Web/resources/ArchivoContent/1351/Investigacion%20cualitativa%20y%20cuantitativa.pdf Santaella, L. (13 de Octubre de 2014). Definición de Método
Cuantitativo. Recuperado el 30 de marzo de 2015, de http://conceptodefinicion.de/metodo-cuantitativo/ SGS. (2005). Patente nº ISO/IEC 27001:2005. Ginebra, Suiza.
Shuttleworth, M. (26 de septiembre de 2008). Diseño de Investigación Descriptiva. Recuperado el 2 de abril de 2015, de https://explorable.com/es/diseno-de-investigacion-descriptiva Tamayo, M. (2007). El proceso de la investigación científica. México:
Limusa. Taylor, & Bogdan. (s.f.). Introducción a los métodos cualitativos de
investigación. Recuperado el 29 de marzo de 2015, de http://201.147.150.252:8080/xmlui/bitstream/handle/123456789/1216/bogdan1988.pdf?sequence=1 Torrecilla, J. M. (21 de noviembre de 2009). uca. Recuperado el 12 de
marzo de 2015, de Metodología de Investigación Avanzada: http://www.uca.edu.sv/mcp/media/archivo/f53e86_entrevistapdfcopy.pdf UAM. (s.f.). Universidad Autónoma de Madrid. Recuperado el 3 de Marzo de 2015, de LONWORK: http://odisea.ii.uam.es/esp/recursos/Lonwork.htm WWW.ISO27000.ES. (s.f.). www.iso27000.es/download/doc_sgsi_all.pdf.
Recuperado el 15 de 04 de 2015, de www.iso27000.es/download/doc_sgsi_all.pdf.
