View
2
Download
0
Category
Preview:
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
TRABAJO DE TITULACIÓN PRESENTADO COMO REQUISITO PARA OPTAR POR
EL TÍTULO DE INGENIERÍA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
TEMA:
MODELO ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035
AUTOR: Rodríguez Cepeda Steven Xavier
TUTOR DE TESIS: Msc. David Cárdenas Giler
Guayaquil, Marzo 2019
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
i
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: Modelo escalonado para gestión de incidentes de seguridad de la
información para ITGACIC S.A. basado en la norma ISO/IEC 27035
AUTOR(ES) (apellidos/nombres): Rodríguez Cepeda Steven Xavier
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
Msc. Wilches Medina Alexandra
Msc. Cárdenas Giler David Xavier
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Ciencias administrativas
MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistemas Administrativos Computarizados
GRADO OBTENIDO: Ingeniero en Sistemas Administrativos Computarizados
FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 138
ÁREAS TEMÁTICAS: Tecnologías de la Información
PALABRAS CLAVES/
KEYWORDS:
Incidencias de seguridad de la información, vulnerabilidades, amenazas,
riesgos, Seguridad de la información.
RESUMEN/ABSTRACT : Con el arribo de la tecnológica y el cambio asociado a esta misma en todos los
aspectos de la sociedad humana, las empresas independientemente de su tamaño, actividad, ámbito de actuación
o forma jurídica, perciben la transformación digital (adopción de tecnologías digitales para automatizar los
procesos) como hecho ineludible. El presente trabajo está orientado a contribuir a la empresa ITGACIC S.A. que
tiene como principal actividad económica enseñanzas de educación superior, siendo de conocimiento que la
información es el activo más importante y vital para la operatividad de la organización, este activo está
constantemente expuesto a un número creciente de amenazas siendo estas cada vez más sofisticadas, se han
presentado incidencias que la mesa de ayuda de ITGACIC siendo responsable de precautelar la seguridad de la
información, presenta insuficiencia o incapacidad. Encontrándose ITGACIC en la necesidad de gestionar de
manera eficaz y confiable las incidencias de seguridad de la información, se propone como la solución más
viable la realización de un modelo escalonado de gestión de incidentes de seguridad de la información basado en
la norma ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las eventualidades que se presenten,
precautelando la ejecución de las operaciones y por ende el cumplimiento de los objetivos, adicional genera el
cumplimiento de las leyes impuestas a las organizaciones de esta índole.
ADJUNTO PDF: SI NO
CONTACTO CON AUTOR/ES: Teléfono: 2-936238
0991136133
E-mail:
stevenrodriguezcepeda@gmail.com
CONTACTO CON LA
INSTITUCIÓN:
Nombre: Lcdo. Marlon Alarcón
Teléfono: 0994503520
E-mail: marlon.alarcon@igad.edu.ec
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
ii
Guayaquil, 31 de Enero del 2019
ING. ERICK PAÚL MURILLO DELGADO, MAE.
DIRECTOR (A) DE LA CARRERA
INGENIERÍA EN SISTEMAS ADMINISTRADOS COMPUTARIZADOS
FACULTAD CIENCIAS ADMINISTRATIVAS
UNIVERSIDAD DE GUAYAQUIL
Ciudad.-
Guayaquil
De mis consideraciones:
Envío a Ud. el Informe correspondiente a la tutoría realizada al Trabajo de Titulación MODELO
ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035, del (los)
estudiante (s) Steven Xavier Rodríguez Cepeda, indicando ha (n) cumplido con todos los
parámetros establecidos en la normativa vigente:
El trabajo es el resultado de una investigación.
El estudiante demuestra conocimiento profesional integral.
El trabajo presenta una propuesta en el área de conocimiento.
El nivel de argumentación es coherente con el campo de conocimiento.
Adicionalmente, se adjunta el certificado de porcentaje de similitud y la valoración del trabajo de
titulación con la respectiva calificación.
Dando por concluida esta tutoría de trabajo de titulación, CERTIFICO, para los fines pertinentes,
que el (los) estudiante (s) está (n) apto (s) para continuar con el proceso de revisión final.
Atentamente,
_____________________________________
Msc. David Cárdenas Giler
C.I. 0914619358
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
iii
CERTIFICADO PORCENTAJE DE SIMILITUD
Habiendo sido nombrado Msc. David X. Cárdenas Giler, tutor del trabajo de titulación
certifico que el presente trabajo de titulación ha sido elaborado por Rodríguez Cepeda Steven
Xavier, con C.C.: 0950315630, con mi respectiva supervisión como requerimiento parcial
para la obtención del título de Ingeniero en Sistemas Administrativos Computarizados.
Se informa que el trabajo de titulación: “Modelo escalonado para gestión de incidentes de
seguridad de la información para ITGACIC S.A. basado en la norma ISO/IEC 27035”,
ha sido orientado durante todo el periodo de ejecución en el programa antiplagio URKUND
quedando el 0% de coincidencia.
https://secure.urkund.com/view/46307992-786519-
529482#q1bKLVayio7VUSrOTM/LTMtMTsxLTlWyMqgFAA==
Msc. David X. Cárdenas Giler
C.I. 0915249668
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
iv
Guayaquil, 31 de Enero 2019
CERTIFICACIÓN DEL TUTOR / REVISOR
Habiendo sido nombrado Msc. Alexandra Wilches Medina, tutor del trabajo de titulación
Modelo escalonado para gestión de incidentes de seguridad de la información para
ITGACIC S.A. basado en la norma ISO/IEC 27035 certifico que el presente trabajo de
titulación, elaborado por Steven Xavier Rodríguez Cepeda, con C.I. No. 0950315630, con
mi respectiva supervisión como requerimiento parcial para la obtención del título de
Ingeniero en Sistemas Administrativos Computarizados, en la Ingeniería en Sistemas
Administrativos Computarizados facultad Ciencias administrativas, ha sido REVISADO Y
APROBADO en todas sus partes, encontrándose apto para su sustentación.
_________________________ _______________________________
Msc. David X. Cárdenas Giler Msc. Alexandra Wilches Medina
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
v
LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL
USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS
Yo, Steven Xavier Rodríguez Cepeda con C.I. No. 0950315630, certifico que los
contenidos desarrollados en este trabajo de titulación, cuyo título es “Modelo escalonado para
gestión de incidentes de seguridad de la información para ITGACIC S.A. basado en la norma
ISO/IEC 27035” son de mi absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114 del
CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS,
CREATIVIDAD E INNOVACIÓN*, autorizo el uso de una licencia gratuita intransferible y no
exclusiva para el uso no comercial de la presente obra con fines no académicos, en favor de la
Universidad de Guayaquil, para que haga uso del mismo, como fuera pertinente.
__________________________________________
Steven Xavier Rodríguez Cepeda
C.I. No. 0950305630
*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita,
intransferible y no exclusiva para el uso no comercial de la obra con fines académicos.
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
vi
DEDICATORIA
A Jehová Dios porque sin Él nada somos y con el todo lo podemos.
A mis padres porque a lo largo de estos 24 años se han esforzado para darme lo mejor,
porque es por ellos todo lo bueno que hay en ser, este triunfo, este título es gracias al esfuerzo y el
apoyo que me han dado, como hijo nunca podré devolverles todo lo que han hecho por mí, pero
esto es una forma de agradecerles por su amor, compresión y apoyo incondicional.
Steven Xavier Rodríguez Cepeda
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
vii
AGRADECIMIENTO
Agradezco a Dios por cuidarme y guiarme día a día en mi camino, por la bendición de vivir
este momento, a mi familia por ser un pilar fundamental en mi vida porque ellos son mi
roca de apoyo, porque son el motor que me impulsa a seguir mejorando día a día.
A mi tutor, Ing. David Cárdenas Giler por toda la ayuda que me ha brindado en este
proyecto tan importante, por mostrar que esforzándonos y siendo disciplinado se puede conseguir
lo que muchas veces creemos imposible.
Steven Xavier Rodríguez Cepeda
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
viii
“MODELO ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE
LA INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035”
Autor: Steven Xavier Rodríguez
Cepeda
Tutor: Msc. David Xavier Cárdenas
Giler
RESUMEN
Con el arribo de la tecnológica y el cambio asociado a esta misma en todos los aspectos de la
sociedad humana, las empresas independientemente de su tamaño, actividad, ámbito de actuación
o forma jurídica, perciben la transformación digital (adopción de tecnologías digitales para
automatizar los procesos) como hecho ineludible.
El presente trabajo está orientado a contribuir a la empresa ITGACIC S.A. que tiene como
principal actividad económica enseñanzas de educación superior, siendo de conocimiento que la
información es el activo más importante y vital para la operatividad de la organización, este activo
está constantemente expuesto a un número creciente de amenazas siendo estas cada vez más
sofisticadas, se han presentado incidencias que la mesa de ayuda de ITGACIC siendo responsable
de precautelar la seguridad de la información, presenta insuficiencia o incapacidad.
Encontrándose ITGACIC en la necesidad de gestionar de manera eficaz y confiable las incidencias
de seguridad de la información, se propone como la solución más viable la realización de un
modelo escalonado de gestión de incidentes de seguridad de la información basado en la norma
ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las eventualidades que se presenten,
precautelando la ejecución de las operaciones y por ende el cumplimiento de los objetivos,
adicional genera el cumplimiento de las leyes impuestas a las organizaciones de esta índole.
Palabras Claves: Incidencias de seguridad de la información, vulnerabilidades, amenazas,
riesgos, Seguridad de la información.
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
UNIDAD DE TITULACIÓN
ix
“STANDARDIZED MODEL FOR MANAGING INFORMATION SECURITY
INCIDENTS FOR ITGACIC S.A. BASED ON ISO / IEC 27035 STANDARD”
Author: Steven Xavier Rodríguez
Cepeda
Advisor: Msc. David Xavier
Cárdenas Giler
ABSTRACT
With the arrival of technology and the change associated with this same society in all aspects of human society, companies, activity, the field of legal activity and digital printing. processes) as an inescapable fact. The present work is oriented to contribute to the ITGACIC SA company whose main economic activity is higher education, being the knowledge the information is the most important and vital asset for the operation of the organization. is more and more sophisticated, the incidences of the ITGACIC help desk have been presented, being responsible for the security of the information, the presentation of the disability. I found ITGACIC in the need to effectively and reliably manage information security incidents, proposing the implementation of a stepped model of information security incident management based on ISO 27035 as the most viable solution. Which is the objective of preventing, detecting and dealing with the eventualities that arise, precaution in the execution of the operations and in the fulfillment of the objectives, in addition to the rules of compliance with the laws imposed on the organizations of this nature. Keywords: Incidents of information security, vulnerabilities, threats, risks, Information security.
1
ÍNDICE
Repositorio nacional en ciencia y tecnología ................................................................................... i
Certificado porcentaje de similitud ................................................................................................ iii
Certificación del tutor / revisor ...................................................................................................... iv
Licencia gratuita intransferible y no exclusiva para el uso no comercial de la obra con fines no
académicos ...................................................................................................................................... v
Dedicatoria ..................................................................................................................................... vi
Agradecimiento ............................................................................................................................. vii
Resumen ....................................................................................................................................... viii
Abstract .......................................................................................................................................... ix
Índice............................................................................................................................................... 1
Índice de Figuras ............................................................................................................................. 3
Índice de tablas ............................................................................................................................... 4
CAPÍTULO 1 .................................................................................................................................. 5 1.1. Introducción ...................................................................................................................................................................... 5 1.2. Antecedentes ................................................................................................................................................................... 10 1.3. El problema...................................................................................................................................................................... 13 1.4. Objetivos ........................................................................................................................................................................... 17 1.4.1. Objetivo General ........................................................................................................................................................ 17 1.4.2. Objetivos Específicos ............................................................................................................................................... 17 1.5. Justificación ..................................................................................................................................................................... 17 1.6. Contexto y marco teórico ........................................................................................................................................... 18 1.6.1 Relevancia social ......................................................................................................................................................... 18 1.6.2. El propósito del estudio. ......................................................................................................................................... 19 1.6.3. El significado del estudio. ....................................................................................................................................... 19 1.7. Definición de términos ................................................................................................................................................ 19
CAPÍTULO 2 DISEÑO TEÓRICO .............................................................................................. 21 2.1. Fuentes .............................................................................................................................................................................. 21 2.2. Introducción .................................................................................................................................................................... 21 2.3. Norma ISO 27035 .......................................................................................................................................................... 22 2.3.1. Historia de la norma ISO 27035 .......................................................................................................................... 22 2.3.2. Estructura de la norma ISO 27035 ..................................................................................................................... 23 2.3.3. Alcance de la norma ISO 27035 ........................................................................................................................... 24 2.4. Conceptos y principios ................................................................................................................................................ 25 2.4.1. Glosario del trabajo .................................................................................................................................................. 25 2.5. IRT ....................................................................................................................................................................................... 26 2.5.1. Tipos de IRT ................................................................................................................................................................. 27 2.5.2. Funciones del IRT ...................................................................................................................................................... 28 2.5.3. Tareas de la IRT .......................................................................................................................................................... 28 2.6. Relación de los objetos en un incidente de seguridad de información ................................................... 29
2
2.7. PHVA ................................................................................................................................................................................... 29 2.8. Gestión de incidentes de seguridad de la información .................................................................................. 30 2.8.1. Beneficios de un enfoque estructurado ............................................................................................................ 31 2.8.2. Relación de la gestión de incidentes con el SGSI .......................................................................................... 32 2.9. Fases de la gestión de incidentes de seguridad de la información ........................................................... 34 2.9.1. Planificar y preparar ................................................................................................................................................ 35 2.9.2. Detección y reporte .................................................................................................................................................. 36 2.9.3. Evaluación y decisión ............................................................................................................................................... 38 2.9.4. Respuestas a incidentes .......................................................................................................................................... 42 2.9.5. Lecciones aprendidas .............................................................................................................................................. 43
CAPÍTULO 3 ................................................................................................................................ 46 3.1. METODOLOGÍA DE LA INVESTIGACIÓN ............................................................................................................. 46 3.1.1. Investigación de campo .......................................................................................................................................... 47 3.1.2. La investigación exploratoria ............................................................................................................................... 47 3.1.3. Investigación descriptiva ....................................................................................................................................... 48 3.2. Población y muestra ..................................................................................................................................................... 48 3.3. Técnicas e instrumentos de investigación .......................................................................................................... 49 3.3.1. Observación ................................................................................................................................................................. 49 3.3.2. Análisis de los resultados ....................................................................................................................................... 49 3.4. Metodología de la investigación aplicada ........................................................................................................... 50
CAPÍTULO 4 ................................................................................................................................ 53 4.1. LA PROPUESTA .............................................................................................................................................................. 53 4.2. Justificación de la propuesta .................................................................................................................................... 54 4.3. Descripción de la propuesta ..................................................................................................................................... 55 4.3.1. Implementación del diseño del modelo escalonado de gestión de incidentes de seguridad de la información en los marcos de ISO 27035 .................................................................................................................... 55 4.4. Fase 1: Planificar y preparar políticas de seguridad ...................................................................................... 57 4.5. Fase 2: Gestión de riesgos .......................................................................................................................................... 57 4.6. Fase 3: Definición de controles................................................................................................................................ 63 4.7. Fase 4: Mejora continua.............................................................................................................................................. 67 4.7.1. Desarrollo de los indicadores ............................................................................................................................... 67 4.7.2. Análisis de los resultados de los indicadores................................................................................................. 67 4.7.3. Medidas preventivas y correctivas..................................................................................................................... 68 4.7.4. Propuesta ...................................................................................................................................................................... 69
CAPÍTULO 5 ................................................................................................................................ 76 5.1. Conclusiones ................................................................................................................................................................... 76 5.2. Aportaciones y reflexiones ........................................................................................................................................ 78 5.2.1. Aportaciones................................................................................................................................................................ 78 5.2.2. Reflexiones ................................................................................................................................................................... 78 5.3. Oportunidad de futura investigación y desarrollo .......................................................................................... 78 BIBLIOGRAFÍA ........................................................................................................................................................................ 80
ANEXOS ...................................................................................................................................... 82
3
Índice de Figuras
Figura 1.1: Tipos de amenazas de seguridad de la información ................................................ 6 Figura 1.2: Alcance de daños en la seguridad de la información causados por vulnerabilidades
explotadas ............................................................................................................................ 7 Figura 1.3: Controles implementados por las organizaciones el Latinoamérica ....................... 8 Figura 1.4: Estructura organizacional ITGACIC S.A., 2018 ................................................... 10
Figura 1.5: Árbol de problema de ITGACIC ........................................................................... 15
Figura 2.1: Procesos del Reporte técnico TR 18044:2004……………………………….......23
Figura 2.2: Estructura de la norma ISO 27035…………………………….......………….….24
Figura 2.3: Aspectos que las organizaciones deben considerar en la aplicación de la norma
ISO27035………………………………………………………….……………………….…25
Figura 2.4: Tipos de IRT……………………………………………………………………..27
Figura 2.5: Relación de los objetos en un incidente de seguridad de información…………..29
Figura 2.6: PHVA alineado a ISO 27035…………………………………………………….30
Figura 2.7: Gestión de la información aplicando el uso de un enfoque estructurado……......32
Figura 2.8: Relación de la gestión de incidentes con el SGSI………………………………..34
Figura 2.9: Fases de la Gestión de incidentes de seguridad de la información………………35
Figura 2.10: Medios y fuentes de detección de eventos……………………………………...37
Figura 2.11: Interacción del IRT respecto al reporte de un evento………………….……….38
Figura 2.12: Diagrama de Flujo de eventos e incidente a través de las fases de gestión de
incidentes……………………………………………………………………………………..45
Figura 3.1: Investigación del trabajo…………………………………....……………………47
Figura 3.2: Metodología de la investigación utilizada………………………………….…....51
Figura 4.1: Modelo escalonado de gestión de incidentes de seguridad de la información. ..... 56
Figura 4.2: Composición del riesgo según las amenazas ......................................................... 59 Figura 4.3: Fases de ejecución del plan de tratamiento de riesgo ............................................ 62
Figura 4.4: Controles implementados por el modelo ............................................................... 64 Figura 4.5: Análisis comparativo de las ejecuciones del modelo ............................................ 74
4
Índice de tablas
Tabla 1.1: Incidentes reportados .............................................................................................. 13 Tabla 2.1: Conceptos de relevancia para el entendimiento del trabajo .................................... 26 Tabla 2.2: Funciones de la IRT ................................................................................................ 28
Tabla 2.3: Tareas de la IRT...................................................................................................... 28 Tabla 2.4: Objetivos de la gestión de incidencias de seguridad de la información ................. 31 Tabla 2.5: Gestión de incidentes fase Planificar y preparar ..................................................... 35 Tabla 2.6: Gestión de incidentes fase Detección y reporte ...................................................... 36
Tabla 2.7: Gestión de incidentes fase Evaluación y decisión .................................................. 38 Tabla 2.8: Ejemplo de criterios fundamentales de incidentes.................................................. 39
Tabla 2.9: Ejemplos de impacto de acuerdo con los incidentes .............................................. 39 Tabla 2.10: Ejemplo de clasificación por escala de daño del incidente ................................... 40 Tabla 2.11: Ejemplo de clasificación de Información / Sistemas de importancia ................... 41
Tabla 2.12: Ejemplos de clasificación de nivel de alarma de incidentes ................................. 41 Tabla 2.13: Gestión de incidentes fase Respuestas .................................................................. 42
Tabla 2.14: Tipos de respuestas ............................................................................................... 43 Tabla 2.15: Gestión de incidentes fase Lecciones aprendidas ................................................. 43 Tabla 2.16: Gestión de incidentes actividades repetitivas en las fases .................................... 44
Tabla 3.1: Resultados de la técnica observación ..................................................................... 50 Tabla 4.1: Tasación de los activos ........................................................................................... 58
Tabla 4.2: Plan de tratamiento de riesgos ................................................................................ 60 Tabla 4.3: Análisis tiempo y costo del plan de tratamiento de riesgo ..................................... 62
Tabla 4.4: Declaración de aplicabilidad……………………………………………………...66
Tabla 4.5: Efectividad de los controles implementados .......................................................... 67
Tabla 4.6: Medidas correctivas ................................................................................................ 69
Tabla 4.7: Medidas correctivas…………………………………………....…………….……69
Tabla 4.8: Detección de incidentes o eventos de seguridad de la información………………70
Tabla 4.9: Plan de mejora continúa.......................................................................................... 71
Tabla 4.10: Detección de incidentes o eventos de seguridad de la información……………..72
Tabla 4.11: Plan de mejora continúa…………………………………………………………73
Tabla 4.12: Beneficios del modelo implementado…………………………………………...74
Tabla 5.1: Conclusiones de la investigación……………………………………………….…76
5
CAPÍTULO 1
1.1. Introducción
En el ámbito empresarial la tecnología se ha vuelto fundamental para las actividades diarias
mejorando procesos, implementando nuevas herramientas y hasta incrementando ingresos. La
tecnología permite recopilar información para poder almacenar, estudiar, actualizar, recuperar,
transmitir y manipular datos proporcionando sentido o significado a las cosas, convirtiendo a la
información unido a los procesos y sistemas que la utilizan en activos muy importantes de toda
organización (ISO 27000, 2012).
Para el instituto de educación superior ITGACIC dichos activos de tal relevancia resultan
ser constantemente expuestos a un número creciente de amenazas siendo conscientes de la
existencia de riesgos a los cuales está obligado a enfrentarse. En cuanto a sofisticación las
amenazas se multiplican y aumentan, la organización deben estar consciente de este hecho, es
importante que mantenga las tendencias de seguridad considerando que no se puede asegurar la
totalidad de la protección de la información incluso disponiendo de un presupuesto ilimitado
(Reporte de seguridad cibernética de las Américas, 2015).
Un reporte realizado en el 2015 por la Organización de Estados Americanos OEA muestra
algunos de los distintos tipos de incidentes de seguridad a los que se han enfrentado y que aún
tienen que enfrentar las organizaciones (Reporte de seguridad cibernética de las Américas, 2015).
6
Figura 1.1: Tipos de amenazas de seguridad de la información
Elaborado por el autor a partir de Reporte de seguridad cibernética de las Américas, 2015.
Causando distintos tipos de incidentes que derivan en graves consecuencias y dejando
descubiertas las brechas, las amenazas aprovechan cualquier vulnerabilidad existente para
violentar a los sistemas implicados en el tratamiento de la confidencialidad, integridad y
disponibilidad de la información siendo estos tres términos los que constituyen la base en la cual
se edifica la seguridad de la información, según el reporte realizado por la OEA en el 2015 respecto
a las vulnerabilidades un 60 por ciento podrían afectar a la confidencialidad, mientras que un 30
por ciento amenaza a la integridad, en tanto al 10 por ciento restante afectaría la disponibilidad de
la información y servicios (Reporte de seguridad cibernética de las Américas, 2015).
28%
20%
16%
13%
8%
8%7%
Phishing Vulnerabilidades
DDos Inyección de SQL
Cross site scripting Ataques originados por Hacktivistas
ATPs
7
Figura 1.2: Alcance de daños en la seguridad de la información causados por
vulnerabilidades explotadas
Elaborado por el autor a partir de Reporte de seguridad cibernética de las Américas, 2015.
(Forbes, 2018) Señala que el sector educativo se encuentra en el tercer puesto a nivel
mundial cuando se habla de vulnerabilidad solo por debajo del sector financiero y gubernamental,
que ocupan el primer y segundo puesto respectivamente.
Considerando a las universidades como punto vulnerable perfecto debido a que no solo
registra atacantes externos, también cuenta con una gran cantidad de atacantes internos, siendo
mayormente los estudiantes quienes al querer aplicar conocimientos adquiridos intentan vulnerar
las redes de las universidades (Forbes, 2018).
Kaspersky Lab incita a los académicos a tener un mayor cuidado respecto a la navegación
en línea, debido a que una investigación realizada por parte de esta compañía concluyó como
resultado la detección de múltiples ataques cibernéticos realizados en 131 universidades en 16
60%
30%
10%
Confidencialidad Integridad Disponibilidad
8
países, todos estos intentos de robo de información privilegiada o confidencial se los han realizado
tan solo desde Septiembre del 2017 (Kaspersky LAB, 2018).
Una encuesta anual de seguridad de la información realizada por Building a better working
world muestra que a nivel de Latinoamérica evidencia la preocupación de las organizaciones, que
realizan la ejecución de controles para mitigar los riesgos a los que están expuesto sus activos de
gran importancia, teniendo presente que no se puede garantizar un nivel de protección total pero
si minimizar los riesgos nuevos o que van en aumento, evitando en muchas ocasiones cuantiosos
gastos por información comprometida (Global Information Security Survey, 2015).
Figura 1.3: Controles implementados por las organizaciones el Latinoamérica
Elaborado por el autor a partir de Global Information Security Survey, 2015.
Esta encuesta revela los controles más relevantes, y destaca los ajustes de políticas dentro
de las organizaciones como una de las medidas de mayor impacto para la seguridad de la
64%
47%
34%
31%
39%
34%
29%
17%
8%
24%
0% 20% 40% 60% 80%
Ajustes de políticas
Más actividades de concienciación de laseguridad
Técnicas de encriptación
Controles mas sólidos de administración deidentidad y acceso
Más habilidades de auditoria
Cambios arquitectónicos
Procesos ajustados de manejo de incidentes
Porceso más sólidos de administración decontratos
Mayor due diligence de proveedores deservicios
Nuevos procesos disciplinarios
9
información. La mejor manera de implementar políticas de seguridad para la obtención de los
mejores resultados es seguir los lineamientos internacionales de las buenas prácticas a las que se
acogen las organizaciones en todo el orbe.
La ISO (Organización de Estándares Internacionales) expone la serie ISO 27035 que nos
da pautas para realizar una gestión adecuada de los incidentes que afectan a la seguridad de la
información, dando espacio a la identificación de los riesgos a los que está expuesta la información,
tomando medidas, realizando cambios según la necesidad permitiendo conocer, asumir, minimizar
y gestionar estos riesgos, documentando todos los hechos acontecidos, puesto que es virtualmente
imposible garantizar un nivel total de protección, pero la gestión documentada ayudará y servirá
como material de apoyo ante posteriores conflictos e inconvenientes (ISO 27000, 2016).
Un modelo escalonado para la gestión de incidentes de Seguridad de la información dará
espacio a que la empresa ITGACIC S.A. conozca, asuma, minimice y gestione los riesgos a los
que está expuesta de la seguridad de la información, manteniendo un bajo nivel de riesgos para
beneficio de la organización llegando a preservar los niveles de competitividad, rentabilidad y
conformidad logrando los objetivos de la organización, evitando que los activos críticos de
información se encuentren sometidos a fraude, espionaje, sabotaje o vandalismo entre otros
ejemplos de vulnerabilidades que pueden afectar como el hacking, virus o denegación de servicios,
también considerando incidentes de seguridad causados siendo o no cometidos de forma
deliberada o pertenezcan a aquellos provocados por catástrofes naturales o fallos técnicos (ISO
27000, 2012).
10
1.2. Antecedentes
ITGACIC es una empresa dedica a la educación superior formando profesionales
especializados a nivel tecnológico en artes y ciencias digitales, con una trayectoria de 20 años en
el Ecuador. Fundada por el Doctor Efraín Paredes que desde sus orígenes ha contado con las
autorizaciones necesarias que la facultan para su correcto funcionamiento.
En la ciudad de Guayaquil la empresa ITGACIC S.A. con actividad económica de
enseñanza superior, diariamente esta institución genera, manipula, corrige y actualiza información
de las clasificaciones confidencial, pública, restringida y de uso interno.
ITGACIC cuenta con un personal altamente calificado para el cumplimiento de sus
funciones en las ocupaciones asignadas dentro de cada departamento de la institución, en la
siguiente ilustración se muestra la estructura organizacional de la institución ITGACIC.
Figura 1.4: Estructura organizacional ITGACIC S.A., 2018
11
Elaborado por el autor
Debido a la naturaleza de la empresa la información que esta emita a los organismos
reguladores correspondientes debe ser de calidad, pertinente y actualizada, de esta manera la
seguridad de la información se vuelve en un punto de gran importancia para las organizaciones de
esta índole, así lo exige la Ley Orgánica de Educación Superior en vista de que el cumplimiento
de estas propiedades sobre la información presentada a los entes reguladores propicia la
acreditación de las instituciones para su correcto funcionamiento (Servicio Ecuatoriano de
Normalización, 2016).
Con el objetivo de gestionar de forma eficiente y eficaz la seguridad de la información, la
Secretaría Nacional de Administración Pública del Ecuador emitió en el acuerdo ministerial No
166 un documento nombrado Esquema Gubernamental de la Seguridad de la Información que
expone el uso de las buenas prácticas de seguridad basado en la Norma Técnica Ecuatoriana NTE
INEN ISO/ICE 27000, siendo esta norma ecuatoriana la adaptación de la norma internacional
ISO/IEC 27000 (Esquema Gubernamental de la Seguridad de la Información, 2013).
La alta gerencia de la institución reconoce la importancia de la información junto a los
procesos y sistemas que hacen uso de ella, es por esto que en busca de precautelar la seguridad de
estos activos ha realizado una serie de inversiones en medios técnicos.
Como medida técnica para resguardar estos activos de vital relevancia para sus actividades
diarias implementó un software antivirus con la finalidad de detección de virus u otros programas
que puedan ser perjudiciales.
12
Otra medida que la alta gerencia realizó fue la implementación de un sistema integrado
llamado SGA el cual posee el historial académico completo de cada estudiante y que cumple
distintas funciones como ingreso, visualización y edición de calificaciones, registro de asistencias,
registros de pagos, planificación académica, registro de perfil académico de cada alumno, entre
otras funciones que han agilizado los procesos pudiendo automatizar muchos de estos facilitando
en gran proporción la administración de la información.
Es importante mencionar que a pesar de contar con este sistema que es de gran ayuda, la
institución como medida de preventiva está obligada a llevar respaldos físicos de toda la
información almacenada en el sistema.
Para comodidad de los usuarios el ingreso al sistema es mediante su website, los usuarios
tienen clasificaciones que permiten otorgar o quitar permisos debidamente, los perfiles de usuarios
tienen acceso a la visualización de datos como calificaciones, asistencias, pagos e historial
académico, dependiendo de los privilegios del usuario podrá realizar la edición de estos.
No obstante las medidas técnicas efectuadas por parte de la organización no suprimen todas
las vulnerabilidades a la que se encuentra expuesta la información y no la dejan exenta de
incidentes que afecten a la seguridad de la información.
13
1.3. El problema
Actualmente el problema que enfrenta la mesa de ayuda de ITGACIC que es responsable
de precautelar la seguridad de la información es la insuficiencia o incapacidad de desarrollar e
implementar una correcta gestión de incidentes de seguridad de la información.
Dentro de la institución se han originado una serie de eventualidades que han afectado la
seguridad de la información, que pueden incidir en graves consecuencias citando algunos ejemplos
como, pérdida de la información, manchando la imagen de la institución, pérdida de confiabilidad.
Tabla 1.1: Incidentes reportados
Fecha Eventualidad Causa Efecto
MARZO, 2016 Pérdida de la
información. Corto
eléctrico, trascendió en
daño total de disco duro.
Inexistencia de plan de
contingencia y backups.
Pérdida parcial y
alteración de la
disponibilidad de la
información en el
departamento Secretaría.
FEBRERO, 2018 Intento de phishing. Ausencia de control de
riesgos y aparente
escasez de capacitación a
usuarios.
Alteración de la
Confidencialidad e
Integridad de la
información en el
sistema de calificaciones.
Elaborado por el autor.
Estas eventualidades dejan constancia de que los medios técnicos proporcionan un nivel
limitado e insuficiente de seguridad, aun contando con las mejores implementaciones o un
presupuesto ilimitado para realizar más implementaciones de medios técnicos, la correcta gestión
de la seguridad de la información se la debe realizar a través de un proceso sistemático,
documentado y conocido por toda la organización.
14
Debido a que los medios técnicos implementados por la institución no son suficientes para
la identificación, evaluación y clasificación por criticidad de los incidentes de seguridad de la
información, que puedan ofrecer una respuesta eficiente y eficaz para la eliminación o mitigación
de los riesgos.
Se propicia el desarrollo e implementación de controles y política para la gestión de
incidentes de seguridad de la información, que permita a la mesa de ayuda la detección temprana
de eventos que puedan trascender en incidentes, reportando a tiempo debido, otorgando valores de
criticidad para la correcta toma de decisiones respondiendo así de la forma adecuada ante las
eventualidades, y poniendo en práctica las lecciones aprendidas del tratamiento y mitigación de
los mismos en eventualidades anteriores.
En la siguiente ilustración se muestra el problema evidenciando las causas del mismo y los
efectos que causan en la organización.
15
Figura 1.5: Árbol de problema de ITGACIC
Inexistencia o falta de Controles y Políticas de seguridad de la información en ITGACIC
Perdida de la confidencialidad,
integridad y disponibilidad de la
información
Denegación de servicios
Suplantación de identidad
Alteración de la información
Incurrir en gastos
Tiempo de operatividad
Inversiones para poder retomar las operaciones
Actos maliciosos
Robo de información
Sabotaje
Ataques a los sistemas de información
Fallo del factor humano
Errores en la información
Accidentes que causen pérdida
de la información
Personal no apto para el desarrollo e implementación de
controles y políticas.
Personal no capacitado para el
desarrollo
Personal sin disponibilidad de
tiempo por sobrecargo de obligaciones
No existe valoración por parte de la alta gerencia respecto al desarrollo e
implementación de controles y políticas
Desconocimiento de la relevancia de controles
y políticas
Estimación elevada del valor del desarrollo e
implementación
Resistencia al cambio
organizacional
Comodidad del personal en la
desorganización
Elaborado por el autor.
16
El análisis de causa y efecto a través de la herramienta árbol de problemas deja en evidencia
el problema principal, los riesgos a que está expuesta la institución debido a esta problemática y
los hechos causantes que derivan en estos riesgos.
De esta manera demuestra la urgencia de la institución por desarrollar controles y políticas
para la gestión de incidentes de la seguridad, que permita confrontar los riesgos en el contexto de
seguridad de la información de la mejor manera posible, mitigando el impacto de los mismos
sobre la operatividad de la institución, causando un ambiente de confiabilidad y seguridad en toda
la institución, contribuyendo al cumplimiento de objetivos de la organización.
Las eventualidades que afectaron la seguridad de la información son originadas por la
inexistencia de un sistema de gestión de seguridades de la información una herramienta de gran
utilidad y que tiene gran relevancia en la asistencia para la gestión de la organización que permita
percibir los riesgos y que otorgue la posibilidad de asumirlos, controlarlos y minimizarlos a través
de políticas, controles y constantes mediciones de los resultados, brindando confiabilidad a la
protección de los activos y objetivos de negocio manteniendo niveles de riesgos bajos con la
propiedad de escalabilidad, asegurando el máximo beneficio o hasta dando apertura al
aprovechamiento de nuevas oportunidades de negocio, en esto radica la problemática que denota
la empresa ITGACIC S.A..
17
1.4. Objetivos
1.4.1. Objetivo General
Diseñar un modelo escalonado para la gestión de incidentes de la seguridad de la
información basado en la norma ISO/ICE 27035 para la empresa ITGACIC S.A..
1.4.2. Objetivos Específicos
Evaluar e identificar los activos y procesos en riesgos fijando niveles de criticidad de
los incidentes por el impacto y alcance de las amenazas sobre estos.
Definir política de seguridad que consideren requerimientos legales o contractuales, que
incluya el objetivo y el marco general de la seguridad de la información alineada al
contexto estratégico de gestión de riesgos de la institución.
Desarrollar los controles para el tratamiento de incidentes de seguridad de la
información.
Construir un listado de indicadores que permita extraer resultados reproducibles y
comparables que faciliten la medición de los controles.
1.5. Justificación
En las organizaciones es fundamental poseer una correcta gestión de incidentes de la
seguridad de la información para poder percibir los riesgos a los que está expuesta, a su vez dando
las medidas que ayudaran a mitigar y gestionar de forma documentada, protegiendo
18
adecuadamente los objetivos de negocio asegurando el mayor beneficio y al mismo tiempo poder
explotar recientes oportunidades de negocio. Puesto que es esencial la integridad, confidencialidad
y disponibilidad de la información sensible, para obtener niveles altos de competitividad,
rendimiento y logrando una imagen empresarial necesaria para cumplir con los objetivos de la
organización y garantizar beneficios económicos.
Dado estos aspectos surge la propuesta acorde a las necesidades de la empresa de
proporcionar un modelo para la implementación de un modelo escalonado para la gestión de
incidentes de la seguridad de la información, imitando las buenas prácticas de la norma ISO/ICE
27035 que a nivel global son reconocidas por los especialistas, estableciendo, implementando,
controlando, revisando, manteniendo y mejorando la seguridad de la información para poder
resolver este gran inconveniente que se presente en la mesa de ayuda de ITGACIC.
1.6. Contexto y marco teórico
1.6.1 Relevancia social
El proyecto tiene el objetivo de implementar un sistema que permita confrontar los riesgos
en el contexto de seguridad de la información de la mejor manera posible, mitigando el impacto
de los mismos sobre la operatividad de la institución, causando un ambiente de confiabilidad y
seguridad en toda la institución, contribuyendo al cumplimiento de objetivos de la organización.
19
1.6.2. El propósito del estudio.
Se propicia una mejora en niveles de confiabilidad, integridad y disponibilidad de la
información como propósito de este estudio, basando los resultados en la implementación de un
modelo escalonado de gestión de incidentes de la seguridad de la información.
1.6.3. El significado del estudio.
El estudio en efecto puede ser tomado de ejemplo para instituciones de similar índole
proporcionando una correcta cultura de seguridad de la información, existiendo proyectos basados
en los mismos lineamientos pero que no corresponden a la misma naturaleza.
1.7. Definición de términos
Los siguientes términos fueron elaborados a partir de la norma ISO 27001, 2016.
Seguridad de la información: Garantizar la confidencialidad, integridad y disponibilidad
de la información propia de la institución ITGACIC S.A..
Confidencialidad: Mantener la información bajo restricciones de uso, dando acceso solo
al personal autorizado de ITGACIC.
Integridad: La información proporcionada mantiene su veracidad, brindando confianza en
la institución.
Disponibilidad: Que los usuarios que tengan permisos de acceso a la cierta información,
lo hagan de manera rápida y en tiempo real.
Riesgos: Cualquier tipo de evento, amenaza o vulnerabilidad que atente contra la seguridad
de la información.
Políticas: Protocolo a seguir para salvaguardar la seguridad de la información.
20
Controles: Comprobación del funcionamiento, cumplimiento y efectividad de las
políticas.
Indicadores: Conjunto de medidas cualitativas y cuantitativas que muestra un resultado en
forma de valor, magnitud o criterio respecto a la eficacia de los controles de gestión de
incidentes de seguridad de la información.
Amenaza: Potencial causa de incidentes repercute en daños en la organización.
Vulnerabilidad: Brecha situada dentro de un control o activo que puede ser explotada por
amenazas.
21
CAPÍTULO 2
DISEÑO TEÓRICO
2.1. Fuentes
El marco teórico gravita en los estándares internacionales de la serie ISO 27000
específicamente en la norma ISO/IEC 27035 para un modelo de gobernanza que mantengan una
relación acertada respecto a la gestión correcta de incidentes sobre la seguridad de la información.
2.2. Introducción
Los incidentes que atentan contra la seguridad de la información son muy diversos y su
número constantemente crece, esto produce una creciente preocupación cada año más alta para las
empresas (Norma ISO/IEC 27035, 2016).
La implementación de políticas o controles de seguridad de la información por si solos no
son garantía de la protección completa de la información, hay probabilidades de la existencia de
vulnerabilidades residuales y que a través de estas se susciten ocurrencias de incidentes de
seguridad de la información que afecten la operatividad de la organización.
En consecuencia, con el fin de garantizar un nivel óptimo de protección de la información
manteniendo niveles bajos de riesgos la norma ISO 27035 proporcionan orientación respecto a la
gestión adecuada de incidentes de la información, mostrando la forma de asumir, corregir,
controlar, minimizar, gestionar y documentar dichos incidentes (Norma ISO/IEC 27035, 2016).
No obstante no es fácil realizar la gestión adecuada para preservar la seguridad de la
información y los sistemas implícitos, surgen muchas dudas e incógnitas respecto a la
22
implementación adecuada ya que cada empresa varía en función de su tamaño o naturaleza del
negocio. Debido a estas interrogantes surge ISO 27035 un estándar de buenas prácticas para la
gestión de incidentes de seguridad de la información gozando de adaptabilidad, un gran alcance y
que permite lograr la gestión de incidentes de seguridad de la información (Norma ISO/IEC 27035,
2016).
2.3. Norma ISO 27035
2.3.1. Historia de la norma ISO 27035
La norma técnica ISO 27035, en sus orígenes empezó como un Reporte técnico TR
18044:2004 como guía para la gestión de incidentes publicado en el año 2004 el 12 de Octubre,
que tenía como finalidad guiar a los administradores de sistema y seguridad sobre la adecuada
gestión de incidentes de seguridad de la información (Bryant, 2008).
En este reporte técnico consistía en dividir a la gestión de incidentes de seguridad de la
información en 4 procesos como se puede observar en la figura 2.1.
23
Figura 2.1: Procesos del Reporte técnico TR 18044:2004
Elaborado por el autor a partir de Government CSIRTs and ISO/IEC, 2008.
Debido a su gran aporte a la preservación de la seguridad de la información ISO en el año
2011 integra a la familia ISO 27000 el reporte técnico TR 18044:2004 cambiando su naturaleza a
norma internacional siendo definida como ISO/IEC 27035 Gestión de incidentes de seguridad de
la información.
En el año 2016 ISO actualiza la norma ISO 27035 convirtiendo a esta en una norma
multipartes siendo estructurada por tres partes.
2.3.2. Estructura de la norma ISO 27035
Esta norma proporciona directrices para la gestión eficaz de incidentes de seguridad de la
información, mostrando la forma de operar y las respuestas prácticas a tomar como medidas contra
la evolución o surgimiento de los incidentes (Norma ISO/IEC 27035, 2016).
Planear y preparar las
respuestas para
materialización de
incidentes.
Implementación del plan
permite reportar, analizar,
clasificar y comunicar los
resultados.
Revisión de lecciones
aprendidas para
implementar mejores
mecanismos en detección.
Mejora constante en sus
controles e implementación.
24
Esta norma se compone en tres partes para una mejor apreciación se expone la figura 2.2.
Figura 2.2: Estructura de la norma ISO 27035
Elaborado por el autor a partir de ISO 27035
2.3.3. Alcance de la norma ISO 27035
El alcance de la norma comprende la administración de eventos de seguridad de la
información, vulnerabilidades e incidentes de seguridad de la información.
No obstante cabe recalcar que la adopción completa de la norma ISO 27035 es extensa y
que podría requerir recursos para operar y administrar, la aplicación de la norma debe ser en
perspectiva y en proporción a los siguientes aspectos siguiente:
Tanto la estructura, como el tamaño y naturaleza del negocio de la organización, se
debe incluir los procesos, así como activos críticos y junto a los datos que serán
protegidos.
El alcance del SGSI y la gestión que este implemente para los incidentes.
Riesgos potenciales derivados de los incidentes.
Objetivos de la organización.
25
Figura 2.3: Aspectos que las organizaciones deben considerar en la aplicación de la
norma ISO 27035
Elaborado por el autor a partir de ISO 27035.
Las organizaciones que adopten la norma ISO 27035 deben acoger las directrices de esta
que sean relevantes para la escala y características del negocio (Norma ISO/IEC 27035, 2016).
2.4. Conceptos y principios
Para el correcto entendimiento a continuación se han definido términos para la
identificación de los mismos basado en ISO 27000 e ISO 27035 siendo de las versiones actuales
de cada norma.
2.4.1. Glosario del trabajo
La tabla 2.1 muestra un glosario de términos relevantes para el completo entendimiento del
lector.
Tamaño, estructura y
naturaleza del negocio
Riesgos potenciales
derivados de las incidencias
Alcance del SGSI en
relación a los incidentes
Objetivos de la empresa
26
Tabla 2.1: Conceptos de relevancia para el entendimiento del trabajo Evento de seguridad de
la información
Se trata de una o varias ocurrencias detectadas que atentan contra la seguridad
de la información y los sistemas implícitos, pone en evidencia brechas dentro de
las políticas, controles o situaciones no consideradas que pueden comprometer
las operaciones del negocio.
Incidentes de seguridad
de la información
Es uno o varios eventos de seguridad de la información presentados de manera
inesperada o no deseada, que amenazan la seguridad de la información
comprometiendo las operaciones del negocio.
Pueden ser por ejemplo de forma deliberada incumplimiento de políticas o por
accidente error humano involuntario o catástrofes naturales, los cuales pueden
derivar en divulgación de la información si autorización, destrucción de la
misma, perdida en la disponibilidad, daño o robo de activos, entre otros.
Punto de contacto (PoC) Coordinador o centro de coordinación de la información relativo a la gestión de
incidentes.
Vulnerabilidad Brecha situada dentro de un control o activo que puede ser explotada por
amenazas.
IRT Se define como IRT (Equipo responsable de incidentes) a una función
organizativa, equipo apto y de confianza de la organización responsable de
atender los incidentes de seguridad de la información.
La eficacia del IRT es crítica para la gestión de incidentes evitando la
propagación de daños en toda la organización, para el cumplimiento del objetivo
de la misma, las funciones y responsabilidades de los miembros deben estar
previamente definidas, siendo aptos para una respuesta rápida con la decisión
correcta.
Amenaza Potencial causa de incidentes repercute en daños en la organización.
Gestión de incidentes de
seguridad de la
información
Acciones de detección, comunicación, evaluación además de cómo se responde
y se obtiene aprendizaje de las experiencias ante los incidentes de seguridad de
la información.
PHVA Se lo conoce también como clico de Deming o PDCA (otorgado sus siglas en
ingles Plan Do Check Act) y PHVA (dado a las siglas en español de Planear
Hacer Verificar Actuar), se trata de una estrategia para la mejora continua de la
calidad que ISO adoptó debido a su eficacia comprobada para la aplicación de
la misma en sus normas, integrada por 4 fases que hacen referencia a sus siglas.
Elaborado por el autor a partir de ISO 27035.
2.5. IRT
Equipo responsable de incidentes por su par en ingles Incident Response Team (IRT).
27
2.5.1. Tipos de IRT
Para establecer un equipo adecuado para la respuesta de incidentes, las organizaciones
deben considerar el tamaño de la organización, la importancia de la información y la
interoperabilidad de la misma. La figura 2.4 se muestra los tres tipos de IRT.
Figura 2.4: Tipos de IRT
Elaborado por el autor a partir de ISO 27035.
Individual: Un solo IRT gestiona las incidencias, respuestas y operaciones de una
sola organización.
Jerárquico: Varios IRTs están encargados de gestión de incidentes de seguridad de
la información de una o varias organizaciones brindando mayor fiabilidad.
Remoto: Externalización de gestión de incidentes de seguridad de la información
de las organizaciones a otras organizaciones dedicadas a la atención de la misma,
IRTs que prestan servicios de gestión y no pertenecen a la organización.
28
2.5.2. Funciones del IRT
Los IRTs tienen como objetivo dar respuestas rápidas a las amenazas mediante políticas,
procedimientos y actividades de operación. Como funciones principales las que se muestran en la
tabla 2.2.
Tabla 2.2: Funciones de la IRT Función Descripción
Gestión de los sistemas de
seguridad integrados
Gestión de los agentes instalados en sistemas heterogéneos,
control y seguridad de la información.
Implementación de política
coherente
Reducción de riesgos mediante política.
Respuestas con prontitud Se refuerzan actividades de prevención de incidencias.
Optima utilización de la
estructura de seguridad
Plan eficaz de utilización de las propiedades de la seguridad de
la información.
Elaborado por el autor a partir de ISO 27035.
2.5.3. Tareas de la IRT
Se resumen las tareas que tiene la IRT, en la tabla 2.3.
Tabla 2.3: Tareas de la IRT Tarea Descripción
Gestión integrada y seguimiento Supervisión proactiva, respuestas ante las incidencias y registro debido
de la gestión realizada.
Gestión de informes Periódicamente presentación de informes de seguridad, gestión de
parches de seguridad.
Manejo técnico Gestión de seguridad en red, sistemas, aplicativos y servicios.
Funcionamiento de sistemas y la
gestión
Gestión de configuración de entorno y sistemas.
Elaborado por el autor a partir de ISO 27035.
29
2.6. Relación de los objetos en un incidente de seguridad de información
La figura 2.5 corresponde a la relación de los objetos en un incidente de seguridad de
información y muestra como las amenazas explotan las vulnerabilidades causan efectos adversos
directos o indirectos sobre la información y provocando incidentes a los activos de información,
por lo tanto también afectan a las operaciones del negocio.
Figura 2.5: Relación de los objetos en un incidente de seguridad de información
Elaborado por el autor a partir de ISO 27035.
2.7. PHVA
Para la incorporación del PHVA (Planificar Hacer Verificar Actuar) o plan de mejora
continua, se debe analizar la alineación del ciclo con la norma ISO 27035, las 4 etapas del ciclo de
mejora continua para la gestión de incidentes están integradas por las fases de la gestión de
incidentes de seguridad de la información, para un mejor entendimiento se presenta la figura 2.6.
30
Figura 2.6: PHVA alineado a ISO 27035
Elaborado por el autor a partir de ISO 27035.
En el literal 2.9 se profundizan los conceptos de las fases de gestión de incidentes de
seguridad de la información.
2.8. Gestión de incidentes de seguridad de la información
La gestión de incidentes basado en la norma ISO 27035 tiene como objetivo general
planificar con un enfoque estructurado la gestión de incidentes de seguridad de la información,
evitando o conteniendo el impacto de los incidentes de seguridad de la información, por medio de
la gestión se proporcionan las directrices para detectar, evaluar, controlar y tratar incidentes de
seguridad de la información, documentado las experiencias para su análisis y que este ayude a la
prevención de futuros incidentes, minimizando los daños que estos puedan causar directa o
indirectamente a las operaciones del negocio, para una mejor apreciación de los objetivos se
muestra la tabla 2.4.
• Verificar• Actuar
• Hacer• Planificar
Planeación y preparación de
políticas de gestion de incidentes
Detección y reporte de eventos de seguridad
evaluación y desición
Respuestas ante los incidentes
Lecciones aprendidas
posterior a las incidencias
31
Tabla 2.4: Objetivos de la gestión de incidencias de seguridad de la información
Objetivo general Objetivos específicos Conclusiones de los objetivos
Planificar con un enfoque
estructurado para la gestión
de incidentes de seguridad
de la información
Detección y tratamiento de
incidentes
Mediante monitorización se detectan
los incidentes, clasificándolos para su
posterior tratamiento.
Evaluar incidentes El IRT mediante un proceso evalúa la
situación actual del incidente
obteniendo toda la información
respecto al mismo.
Controlar efectos del incidente El IRT se encargará de minimizar los
efectos adversos generados por los
incidentes sobre la organización y sus
operaciones.
Enlazar la gestión del negocio Mediante un proceso escalonado se
establece un enlace con la gestión de la
continuidad del negocio.
Evaluar y tratar las vulnerabilidades El IRT para prevenir y reducir daños
realizará evaluaciones y tratamiento a
las vulnerabilidades.
Aprender de las lecciones Se crea un mecanismo de
retroalimentación que pretende
prevenir futuros incidentes, mejorando
la aplicación y uso de controles.
Elaborado por el autor a partir de ISO 27035.
2.8.1. Beneficios de un enfoque estructurado
La gestión de incidentes de seguridad de la información con la utilización de un enfoque
estructurado deriva en beneficios significativos, mejorando la seguridad general de la información,
ayudando a identificar apresuradamente e implementando las soluciones eficaces a través de un
proceso estructurado el cual detecte, notifique, evalúe y permita la toma de decisiones relacionadas
con los eventos de seguridad de la información (Norma ISO/IEC 27035, 2016).
32
A través de la figura 2.7 se muestran los beneficios que otorga la gestión de incidentes de
seguridad de la información con el uso de un enfoque estructurado.
Figura 2.7: Gestión de la información aplicando el uso de un enfoque estructurado
Elaborado por el autor a partir de ISO 27035.
2.8.2. Relación de la gestión de incidentes con el SGSI
Uno de los aspectos que destaca dentro de un SGSI basado en la norma ISO/IEC 27001 es
la gestión de incidentes de seguridad de la información, que mediante un manejo correcto y
oportuno busca prevenir que la información de las organizaciones se vea comprometida por
eventos, incidentes o amenazas.
No obstante los controles o políticas no son suficientes para garantizar la seguridad de la
información, ISO/IEC 27035 con la finalidad de complementar adecuadamente proporciona
orientación mucho más profunda y eficaz sobre los aspectos de la gestión de incidentes de
Mejora general de seguridad de la
información
Mejora en las políticas de
seguridad de la información
Mejoramiento de las prioridades
Concienciación sobre la seguridad de la información
Fortalecimiento en la prevención de
incidentes
Reducción de impacto
comerciales adversos
Justificación de presupuesto y
recursos
Recolección de pruebas y evidencias
Mejora continua
33
seguridad de la información debido a que es inevitable que surjan nuevas amenazas y que para
cualquier organización la insuficiente aptitud frente a eventos, incidentes o amenazas transcenderá
en la desestabilización de la seguridad de la información impactando negativamente sobre el
negocio (Norma ISO/IEC 27035, 2016).
El estudio del comportamiento de estos incidentes permitirá percibir las probabilidades de
que estos ocurran y medir los impactos que causan en la organización, suministrando datos reales
y confiables de gran utilidad para poder realizar una correcta gestión de riesgos de seguridad de la
información, ya que este estándar se basa en un modelo gestión de riesgos (Norma ISO/IEC 27035,
2016).
La norma ISO/IEC 27035 también tiene como objetivo proporcionar la orientación
adecuada para el cumplimiento del Sistema de Gestión de la seguridad de la Información a las
organizaciones que se han basado en la norma ISO 27001, debido a que esta norma está relacionada
con la gestión de incidentes de seguridad de la información.
En la figura 2.8 se muestra la relación de la gestión de incidentes con el SGSI y los controles
aplicados.
34
Figura 2.8: Relación de la gestión de incidentes con el SGSI
Elaborado por el autor a partir de ISO 27035.
Es importante considerar el intercambio de información y coordinación con ITRs externos,
esto debido a que existen posibilidades de que los incidentes traspasen los límites de la
organización y un solo ITR no podría dar soluciones fácilmente. Este tipo de socialización de ITRs
otorga muy buenos resultados, ya que pueden compartir lecciones aprendidas proporcionando
experiencias entre estos y así mejorando en la capacidad de responder y resolver incidencias
(Norma ISO/IEC 27035, 2016).
2.9. Fases de la gestión de incidentes de seguridad de la información
La gestión de incidentes de seguridad de la información que expone ISO 27035 está
comprendida por 5 fases.
35
Figura 2.9: Fases de la Gestión de incidentes de seguridad de la información
Elaborado por el autor a partir de ISO 27035
2.9.1. Planificar y preparar
Se trata de la creación de un plan eficaz y adecuado de gestión de incidentes de seguridad
de la información para posterior a su desarrollo sea puesto en funcionamiento, previo a esto una
organización tiene que realizar una serie de actividades preparatorias.
Una organización debe realizar actividades principales que se muestran en la tabla 2.5.
Tabla 2.5: Gestión de incidentes fase Planificar y preparar Planificar y preparar
La evaluación e identificación de activos y procesos en riesgos.
Elaborar una política de gestión de seguridad de la información y comprometiendo a la alta gerencia
con la política.
Actualización de políticas actuales de seguridad de la información, incluyendo las de gestión de
riesgos todo esto a nivel corporativo y de sistemas implícitos.
36
Definir y documentar un plan detallado de seguridad de la información de gestión de incidencias.
Establecer un IRT capacitado para los propósitos del plan de gestión de incidencias de seguridad de
la información.
Fortalecer y establecer de ser necesario relaciones con organizaciones internas y externas que se
encuentren involucradas en los eventos de seguridad de la información.
Implementar y establecer mecanismos técnicos, organizativos y operativos para apoyar el trabajo del
IRT y el funcionamiento del plan de gestión de incidencias de seguridad de la información.
Concienciación a toda la organización respecto a la seguridad de la información.
Prueba del plan, verificando los procesos y procedimiento.
Elaborado por el autor a partir de ISO 27035.
2.9.2. Detección y reporte
Esta segunda fase implica la detección de eventos y vulnerabilidades de seguridad de la
información con la respectiva colección de información detallada asociada a estas, para su
notificación en relación a los lineamientos de las políticas de seguridad y su posterior análisis.
Para esta fase una organización debe realizar las actividades principales que se detallan en
la tabla 2.6.
Tabla 2.6: Gestión de incidentes fase Detección y reporte Detección y reporte
Monitorización de los sistemas y la red implícita.
Detección y notificación de forma manual, personal o automática respecto a la existencia de algún
evento o vulnerabilidad de seguridad de la información.
Recopilación de información detallada sobre eventos o vulnerabilidades de seguridad de la
información.
Precautelar la documentación de todas las actividades respecto a la seguridad de la información para
su posterior análisis.
Precautelar el respaldo de pruebas digitales como evidencia que pueda ser utilizada en casos legales
o medidas disciplinarias.
Asegurarse de la monitorización y notificación de eventos o vulnerabilidades de seguridad de la
información.
37
Elaborado por el autor a partir de ISO 27035.
Detección de eventos
Los eventos de seguridad de la información pueden ser detectados por medios automáticos
que a través de personas posterior a su detección son reportados siendo así varias las fuentes
posibles, a continuación se detallan en la figura 2.10.
Figura 2.10: Medios y fuentes de detección de eventos
Elaborado por el autor a partir de ISO 27035.
Reporte de eventos
Cualquiera que fuese la fuente de detección de eventos de seguridad de la información es
responsable de iniciar el proceso de detección y presentación de informes con las características
de narrativa completa del evento e informe debidamente completo, siguiendo los protocolos para
la atención de la incidencia, por consiguiente es necesaria la concienciación de todos los miembros
de la organización.
La figura 2.11 detalla la manera de interactuar del IRT respecto al reporte del evento.
38
Figura 2.11: Interacción del IRT respecto al reporte de un evento
Elaborado por el autor a partir de ISO 27035.
2.9.3. Evaluación y decisión
Asociada a la toma de decisiones sobre los incidentes previa a una evaluación del mismo
para su clasificación según el impacto o gravedad. Una vez detectado y reportado el evento de
seguridad de la información las actividades a realizar son las que se pueden apreciar en la tabla
2.7.
Tabla 2.7: Gestión de incidentes fase Evaluación y decisión Evaluación y decisión
Asignación de responsabilidades tanto al personal de seguridad como a usuarios.
Establecer procedimientos para la toma de decisiones dependiendo del tipo y gravedad de incidente.
Documentación exhaustiva de los acontecimientos y acciones a realizar posterior a la incidencia de
seguridad de la información.
Mediciones y otros datos de seguridad de la información.
Evaluación del administrador de incidentes para determinar la veracidad de la notificación.
Elaborado por el autor a partir de ISO 27035.
Esta fase es crucial debido a que la clasificación de incidente, deriva en la certera solución
del mismo, la clasificación de los incidentes se la realiza contemplando varios parámetros como
la magnitud del impacto que causen en las operaciones, la escala del daño que el mismo provoque,
39
las afecciones que tengas los sistemas implícitos. Para una mejor apreciación de la clasificación
de los incidentes se muestra un ejemplo en la tabla 2.8.
Tabla 2.8: Ejemplo de criterios fundamentales de incidentes Categoría Descripción
Importancia de la información “Moderado”, “Importante”, “Muy importante”
Impacto del tipo de incidente “Moderado” o más allá
Escala de daños de intrusión “Moderado” o más allá
Definición de usuario Evento de seguridad es detectado por el usuario –
conjunto de reglas definidas
Elaborado por el autor a partir de ISO 27035.
A continuación se muestra en la tabla 2.9 un ejemplo de la clasificación por impacto de
cada incidente.
Tabla 2.9: Ejemplos de impacto de acuerdo con los incidentes Impacto
Tipos de incidentes Bajo Moderado Importante Muy importante
Recopilación de la información X
Ensayos de intrusión simples X
Violación de políticas de
seguridad X X
Causando red de tráfico X
Ensayos de ataques X X
Incidentes en sitios web X
falsificación de página web X
Virus o gusanos X X
DOS X X
Recursos dañados X X
Información expuesta X X
40
Destrucción del sistema X X
Falla de red X X
Elaborado por el autor a partir de ISO 27035.
Los incidentes también pueden ser clasificados por escalas, debido al daño que estos causen
directa o indirectamente a la seguridad de la información y los sistemas implícitos. A continuación
se muestra un ejemplo de clasificación por escala de daño causados por los incidentes en la tabla
2.10.
Tabla 2.10: Ejemplo de clasificación por escala de daño del incidente Escala Descripción
Bajo Impacto a los servicios básicos es potencialmente
posible.
Medio El impacto parcial a los servicios básicos.
Fuga de información en menor medida.
Perdida financiera es menor.
Alto Los servicios centrales se han atascado.
Gran cantidad de información expuesta.
Considerable pérdida financiera.
Crítico Se detiene los servicios centrales.
Pérdida financiera fatal.
Reduce rentabilidad de la entidad.
Elaborado por el autor a partir de ISO 27035.
La información también debe ser clasificada, de esta manera se da prioridad según la
criticidad. La clasificación se realiza acorde a los sistemas implícitos y el tipo de información que
estos manejen, como referencia se muestra en la siguiente tabla clasificación de la información.
41
Tabla 2.11: Ejemplo de clasificación de Información / Sistemas de importancia Escala Descripción
Bajo Tarea no núcleo que se procesa a través de los
sistemas de información (los incidentes no tienen
mucho impacto).
Medio Tareas básicas poca cantidad que son procesadas en
los sistemas de información (impacto bajo en caso de
incidentes).
Alto Tareas centrales se procesan parcialmente a través de
los sistemas de información (tareas básicas se atascan
parcialmente en caso de incidentes)
Crítica Operar la mayoría de las tareas básicas y centrales en
los sistemas de información (funciones principales en
caso de incidentes)
Elaborado por el autor a partir de ISO 27035.
Las alarmas de incidentes y su clasificación ayudan a la correcta gestión de los incidentes,
evitando propagación por toda la organización o hasta todo el país, en la tabla 2.12 se muestra una
clasificación ejemplo.
Tabla 2.12: Ejemplos de clasificación de nivel de alarma de incidentes Escala Descripción
Tratable (Azul) Posibilidad de incremento de daño por virus
o ataques de hackers.
Sistemas afectados motivo de preocupación
por posible propagación.
Se verifica causas de vulnerabilidades y
surgimiento de nuevas.
Cautelosa (Amarilla) Se verifica que el incidente puede afectar la red de la
organización, del sistema y/o aumento de
vulnerabilidades.
Alerta (Naranja) Se verifica que el incidente puede afectar numerosas
organizaciones con fallos de red, sistemas y/o
propagación a otras organizaciones.
Crítica (Rojo) Los incidentes se propagan por todo el país.
Elaborado por el autor a partir de ISO 27035.
42
2.9.4. Respuestas a incidentes
Acciones implementadas para la mitigación y resolución de incidentes de seguridad de la
información. En esta fase se realizaran las acciones predeterminadas en la fase de evaluación y
decisión, dichas acciones se las puede realizar de manera inmediata, en manera real o casi en
tiempo real, otras requerirán de una investigación de seguridad de la información.
Para esta fase una organización debe realizar las actividades principales expuestas en la
tabla 2.13.
Tabla 2.13: Gestión de incidentes fase Respuestas Respuestas
Clasificación del incidente en la escala de seguridad de la información.
El IRT debe realizar una evaluación determinando que el incidente este bajo control, en caso de que
no lo esté, realizar plan de contingencia.
Asignación de recursos internos y externos para responder a los incidentes.
Documentación detallada de la incidencia y acciones realizadas.
Comunicación de incidencias y respuestas con otros IRTs.
Distribuir responsabilidades de la gestión de la información jerárquicamente para la toma de
decisiones y acciones.
Establecer procedimientos formales al personal involucrado siendo estos la revisión, modificación,
re-evaluación de daños y notificación al personal correspondiente. Las acciones. Las acciones
individuales dependerán del tipo y gravedad de incidente.
Actividad posterior al incidente
Mayor investigación si es requerida.
Elaborado por el autor a partir de ISO 27035.
Hay varios tipos de respuestas considerando el tipo de incidente y tiempo de consecución
de la misma en la tabla 2.14 se expone las características de cada una.
43
Tabla 2.14: Tipos de respuestas Tipo Descripción
Respuesta inicial Después de la verificación debida del incidente, el
equipo de monitorización determina la criticidad del
incidente dependiendo de la misma se dará la solución
inmediata o la alerta de gravedad.
Pre-respuesta Una vez presentada la eventualidad o anormalidad, los
medios técnicos o equipos aíslan los sistemas
identificados antes de que estos se vean afectados.
Respuesta definitiva Implementación de tácticas contra los incidentes de
cualquier clasificación, para la obtención de los
resultados previstos, erradicando o minimizando
daños, manteniendo el control.
Elaborado por el autor a partir de ISO 27035.
2.9.5. Lecciones aprendidas
Esta fase se produce cuando han sido resueltos los incidentes, consiste en lecciones de
aprendizajes de cómo se han manejado los incidentes y vulnerabilidades.
Para esta fase las organizaciones deben realizas las actividades principales expuestas en la
tabla 2.15.
Tabla 2.15: Gestión de incidentes fase Lecciones aprendidas Lecciones aprendidas
Identificar las lecciones aprendidas de los incidentes y vulnerabilidades de seguridad de la
información.
Revisar, identificar y mejorar la aplicación de controles y evaluaciones de incidentes, así como
también de la política de seguridad de la información.
Revisión de eficacia de procesos, procedimientos y estructura de la organización respecto a
respuestas y recuperación de los incidentes de seguridad de la información.
Evaluación exhaustiva sobre el rendimiento y eficacia del IRT periódicamente.
Elaborado por el autor a partir de ISO 27035.
44
En el proceso de gestión de incidentes existe la posibilidad de que algunas actividades
ocurran en múltiples fases o ya sea en todo el proceso, respecto a estas actividades incluyen lo
siguiente:
Tabla 2.16: Gestión de incidentes actividades repetitivas en las fases Actividades principales que se repiten en múltiples fases
Documentación del seguimiento del proceso de manejo de incidentes, todo lo que correspondiente a
los eventos e incidencias que conforman la evidencia e información clave.
Entre las partes implicadas la coordinación y comunicación existente.
Notificación a la gestión y partes de interés respecto a los incidentes significativos.
Formando una cultura de seguridad se forja la necesidad de compartir información respecto a los
incidentes con colaboradores internos y externos citando a proveedores y otros IRTs.
Elaborado por el autor a partir de ISO 27035.
Para una mejor apreciación de la gestión de eventos e incidentes de seguridad de la
información y cómo actúan sus fases se expone la figura 2.12.
45
Figura 2.12: Diagrama de Flujo de eventos e incidente a través de las fases de gestión
de incidentes
Elaborado por el autor a partir de ISO 27035.
46
CAPÍTULO 3
3.1. METODOLOGÍA DE LA INVESTIGACIÓN
Para esta investigación se utilizaron los siguientes métodos de investigación, justificando
el uso de las metodologías dado los motivos:
La investigación de campo es debido a que el investigador está situado en la
organización e interactúa con los actores directos de la problemática.
Con la investigación exploratoria será necesario indagar las teorías impartidas por
ISO/IEC 27035 puntualmente obteniendo para la proyección del modelo de Gestión
de incidentes de seguridad de la información lo que sea necesario.
Con el método descriptivo identificaremos los aspectos de seguridad del marco de
referencia ISO/IEC 27035 y la aplicabilidad a la organización, con el objetivo de
adecuar el diseño del modelo escalonado de Gestión de incidentes de seguridad de
la información.
47
Figura 3.1: Investigación del trabajo
Elaborado por el autor.
3.1.1. Investigación de campo
Se le llama investigación de campo debido a que el investigador se encuentra en sitio de
los hechos e interactúa de forma directa en el diario convivir de los sujetos sometidos a
investigación.
Método cualitativo que a través de la compresión, observación e interacción con los sujetos
sometidos a investigación en su entorno natural recopila datos. En otras palabras la recolección de
nuevos datos proporcionados de fuentes primarias para un propósito específico (Question Pro,
2018).
3.1.2. La investigación exploratoria
El estudio exploratorio considerado el primer nivel de conocimiento científico de un
problema de investigación, su objetivo es la formulación de un tema o problemática con pocos
Investigación de campo
• El investigador se encuentra inmerso en las operaciones de la organización.
• El investigador interactua directamente con los empleados de ITGACIC.
Investigación explorativa
• Estudio de la norma ISO 27035.• Estudio de la problemática de la organización.
Investigación descriptiva
• Descripción detallada de los aspectos de seguridad de la norma y la forma de aplicabilidad a la organización.
48
antecedentes de su estudio, es la construcción del marco de referencia teórico y práctico
entrelazando métricas logrando establecer indicadores de establecimiento, complementándose con
el nivel descriptivo (Velasquez Hidalgo , 2005).
3.1.3. Investigación descriptiva
La investigación descriptiva permite analizar las propiedades, atributos y detalles
importantes de un fenómeno, dando como resultado conocimiento de mayor profundidad con el
propósito de delimitar hechos que componen el tema o la problemática de la investigación, a través
de métricas de los conceptos o variables su entorno (Velasquez Hidalgo , 2005).
3.2. Población y muestra
Siendo el personal de ITGACIC la población para el presente trabajo, la investigación se
desarrolló con el estudio de los actores principales.
El departamento Secretaria de ITGACIC maneja información crítica para la operatividad
de la organización, debido a que este departamento se encarga de administrar información de gran
relevancia como el historial académico de cada estudiante, el cual debe ser revisado de manera
exhaustiva por el personal del departamento antes de su correcta documentación.
Dado que a las organizaciones de esta índole periódicamente son sometidas a auditorias
por parte de los entes reguladores, siendo la consistencia y veracidad de información como la
antes mencionada uno de los puntos fundamentales de la auditoria y vital para la acreditación con
49
la cual la organización puede desarrollar sus actividades con normalidad contando con los
permisos necesarios.
Debido a la relevancia de la información que maneja el departamento Secretaria,
convierten a sus procesos en susceptibles a la presencia de incidentes de seguridad de la
información.
3.3. Técnicas e instrumentos de investigación
La técnica de captura de datos empleada para la investigación fue la observación.
3.3.1. Observación
Esta técnica permitió situar al investigador en la problemática y poder recopilar la
información mediante observación de las acciones del personal del departamento Secretaria,
adquiriendo más información sobre las incidencias de seguridad de la información, dando
constancia de cómo actúa el personal del departamento ante la presencia de un incidente,
identificando las falencias del sistema de atención actual e identificando los aspectos frágiles de la
seguridad de la información.
3.3.2. Análisis de los resultados
Una vez culminada la observación de las actividades del departamento Secretaria se
procedió al análisis la información recopilada sobre los incidentes de seguridad de la información
y los aspectos que enmarcan a los mismos, según estos datos se realizó la tabla 3.1 para exponer
de mejor forma las conclusiones obtenidas a partir de la observación del personal del departamento
Secretaria que consta de 5 usuarios incluido el jefe del departamento.
50
Tabla 3.1: Resultados de la técnica observación Aspectos de relevancia Conclusión
Existen incidentes de malware en que los usuarios
inconscientemente son la puerta de entrada a través
de dispositivos de almacenamiento de uso no
laboral.
Provocado por la inexistencia de políticas gestión de
incidentes, donde se estipula que hacer, como actuar,
a quien acudir en caso de que se suscite un evento de
seguridad de la información.
Cuando se presenta un incidente los usuarios no
saben a dónde acudir para buscar la solución.
No hay automatización del manejo de reporte de
incidentes.
Falta de organización de responsabilidades sobre
activos en el departamento Secretaria como
computadores, impresoras y dispositivos de
almacenamientos externo, provocando la
propagación o causando desorden al momento en
que se coincida en el uso de un activo que deriva en
la generación de un mal ambiente.
Provocado por la falta de controles sobre los activos
y procesos críticos gestión de información.
El personal tiene libre acceso para navegar por la
web sin restricciones de sitios inseguros y sin
restricciones de los recursos compartidos en la red
como base de datos.
Elaborado por el autor.
3.4. Metodología de la investigación aplicada
Evaluar o medir la actualmente aplicada gestión de incidentes de seguridad de la
información fue la finalidad del estudio, en el que se puede constar la presencia de falencias como
la falta de políticas de gestión de incidentes de seguridad de la información y la inexistencia de
controles sobre los activos y procesos de gestión de información.
Basado en el resultado de aplicar la metodología exploratoria, promueve al estudio de la
norma ISO 27035 y se analiza el planteamiento del modelo escalonado de gestión de incidentes
de seguridad de la información, el cual busca dar solución a la problemática actual de la
organización, para mejorar la compresión se elaboró la figura 3.2.
51
Figura 3.2: Metodología de la investigación utilizada
Paso 1Recopilar de información
Paso 2Análisis de la información
Paso 3Sensibilización y
análisis comparativo
Paso 4Diseño del modelo
Paso 5Redacción de
documentos de tesis
Revisión del tutor
Correcciones y ajustes
Paso 6Ejecución del
modelo
Paso 7Presentación de
tesis
Elaborado por el autor.
Con la metodología descriptiva se detallará en el capítulo 4 en la propuesta los aspectos de
seguridad de la información aplicables a la organización. Para poder evaluar la efectividad del
modelo se desarrollan indicadores basados en los controles implementados los cuales nos
permitirán monitorear y controlar el modelo constantemente dando la aprobación del
cumplimiento de los controles obteniendo la aprobación de la alta gerencia.
52
Finalizamos con las conclusiones respecto al modelo basado en la norma ISO 27035 de su
amplia teoría y aplicación.
53
CAPÍTULO 4
4.1. LA PROPUESTA
Como objetivo la propuesta plantea realizar una planificación con enfoque estructurado de
un modelo escalonado de gestión de incidentes de seguridad de la información, con la finalidad
de precautelar la seguridad de la información contra incidentes y amenazas que se puedan suscitar
en la institución de educación superior ITGACIC, pudiendo este modelo ser implementado o
tomado a manera de ejemplo para otras organizaciones de la misma o similar naturaleza.
El modelo desarrollado conjunto a la dirección de la organización a partir de la
investigación y las necesidades de la misma, se resume en 5 fases, en las cuales se desarrollaron
políticas de seguridad, controles, indicadores de los controles y plan de mejora continua.
Las políticas de seguridad buscan comprometer a la dirección y todo el personal
involucrados en las actividades de la organización, a una cultura de seguridad que genere un
ambiente más confiable para el cumplimiento de los objetivos del a organización.
Los controles escogidos tienen como objetivo mejorar los aspectos vulnerables actualmente
detectados por la investigación realizada en la organización, que pueden ser explotados por las
amenazas, para poder implementar los controles adecuados se realiza la evaluación de activos
detectando las vulnerabilidades que tiene cada uno de ellos, y al mismo tiempo desarrollando las
mejoras que ayudaran a disminuir las vulnerabilidades por consiguiente se controla el riesgo.
54
Para poder demostrar la aplicabilidad del modelo se procedió al desarrollo de indicadores
de los controles implementados, la medición de los controles mostrara la efectividad del modelo,
su eficiencia y eficacia.
La última fase del modelo consiste en la mejora continua del mismo, la retroalimentación
que tenga a partir de los resultados de los indicadores colabora en la mejora de las operaciones,
reducción de costos y ejecución de los procesos.
Para lograr el objetivo se han tomado las directrices del estándar internacional norma ISO
27035 ya que este imparte la manera correcta de cómo realizar la gestión de incidentes de seguridad
de la información, dando las pautas de cómo implementar la política y controles adecuados.
4.2. Justificación de la propuesta
Dado que la organización ITGACIC presenta eventualidades que afectan a las operaciones
y que son originadas por la insuficiencia o incapacidad de la gestión actual de incidentes de
seguridad de la información la mesa de ayuda de TI, se realizó una investigación respecto a las
necesidades de ITGACIC y las diferentes maneras de gestionar los incidentes de seguridad de la
información a nivel mundial.
Basado en los resultados de la investigación se propone como la solución más viable la
realización de un modelo escalonado de gestión de incidentes de seguridad de la información
basado en la norma ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las
eventualidades que se presenten, precautelando la ejecución de las operaciones y por ende el
55
cumplimiento de los objetivos, adicional genera el cumplimiento de las leyes impuestas a las
organizaciones de esta índole.
4.3. Descripción de la propuesta
Actualmente la gestión de incidentes de seguridad de la información de ITGACIC se la
realiza de manera informal sin protocolos o políticas a seguir, el estudio del problema mostró que
la ausencia de políticas y controles de seguridad de la información deriva en varios efectos
negativos sobre la organización.
Actualmente los activos más relevantes del departamento de estudio Secretaria denotan
varias vulnerabilidades, afortunadamente estas vulnerabilidades no han sido explotadas por las
amenazas, por lo que se propicia la implementación de política de seguridad, un plan de
tratamiento de riesgos, nuevos controles y plan de mejora continúa.
La propuesta de un diseño de un modelo escalonado de gestión de incidentes de la
información basada en la norma ISO 27035, busca demostrar que se detectan, controlan y mitigan
los incidentes de seguridad de la información que afecten a la organización.
4.3.1. Implementación del diseño del modelo escalonado de gestión de incidentes de seguridad
de la información en los marcos de ISO 27035
La figura 4.1 muestra el modelo desarrollado a partir de la investigación que tiene como
finalidad dar solución a las necesidades de la gestión de incidentes de seguridad de la información
de la organización.
56
Declaración de aplicabilidad Declaración de aplicabilidad
4.-Mejora continúa
Desarrollo de indicadores.
Análisis de los resultados de los
indicadores.
Medidas preventivas y correctivas.
Propuesta.
3.-Definición de controles
Elección de controles.Implementación de
controles.Declaración de aplicabilidad.
2.-Análisis de riesgos
Identificación de los activos críticos.
Identificación y análisis de riesgos.
Tratamiento de Riesgos.
1.-Desarrollo de las políticas de seguridad de la organización
Desarrollo
•Definir alcance y los límites.•Definir políticas de gestión de incidentes
de seguridad de la información.•Definir enfoque de evaluación de riesgos.
•Objetivos de los controles.•Identificación de riesgos.•Análisis y evaluación de riesgos.
•Tratamiento de riesgos.•Riesgos residual.•Aplicabilidad.
Ejecución
•Formulación e implementación del plan de riesgos.•Implementación de métricas.•Medir la efectividad de los
controles.•Registrar las acciones y eventos
Figura 4.1: Modelo escalonado de gestión de incidentes de seguridad de la información.
57
Elaborado por el autor.
4.4. Fase 1: Planificar y preparar políticas de seguridad
La creación de una política de gestión de incidentes de la información tiene por objetivo
establecer lineamientos los cuales permitan prevenir y mitigar el impacto de posibles incidentes
de seguridad de la información, y su alcance va desde los empleados de planta de ITGACIC
hasta aquellos empleados de contratos mediante terceros. Para mejor apreciación el anexo A,
se encuentra la política desarrollada con lo antes mencionado.
La política de seguridad de la información se acordó y definió en conjunto a la dirección
de la organización y el departamento de TI en la fecha martes 20 de noviembre del 2018, que
puede ser consultado en el anexo A.
4.5. Fase 2: Gestión de riesgos
En este apartado se define todos los activos más importantes del departamento Secretaria
en el cual se analizan el nivel de criticidad cuando el riesgo se hace presente, se establece un
plan de tratamiento de riesgo, se define políticas de salvaguarda y por último se hace un análisis
de tiempo y costo.
Identificación de activos
Mediante la tasación de activos se identificó a los activos críticos para las operaciones
del departamento de Secretaría, en la tabla 4.1 se muestran los activos y su respectivo nivel de
criticidad, ver anexo C para el detalle de la tasación de los activos.
58
Tabla 4.1: Tasación de los activos Activo Confidencialidad Integridad Disponibilidad Criticidad
[S] Servicios 5 4 6 5
[D] Datos 9 8 7 8
[SW] Software 5 5 5 5
[HW] Hardware 5 8 8 7
[P] Personal 7 6 5 6
Elaborado por el autor.
Análisis de los riesgos
Una vez identificados los activos se realiza el análisis correspondiente de las amenazas
y vulnerabilidades a los que estén expuestos determinando el nivel de riesgo que tienen los
activos del departamento de Secretaria. En la ilustración 4.2 mostramos el riesgo al que afrontan
los activos del Departamento Secretaria, en donde se puede observar que la amenaza más alta
es el daño de hardware debido a que las bases de datos con toda la información que genera el
departamento Secretaria están alojadas en una estación de trabajo y no en los servidores, sumado
a que no se realizan respaldos de esta información, consultar el anexo C en donde se muestra de
manera extendida el análisis del riesgo.
59
Figura 4.2: Composición del riesgo según las amenazas
Elaborado por el autor.
Tratamiento de riesgos
Basado en el análisis de los riesgos se toman las medidas de mejora para la mitigación
de los riesgos a un nivel aceptable, como se demuestra la tabla 4.2.
Partiendo desde la perspectiva que a los riesgos se los puede mitigar, aceptar, evitar o
transferir. Se eligió el tratamiento de mitigar los riesgos acorde a su nivel de impacto y el
atributo de alcance que posee, siendo este tratamiento respaldado por la directiva de la
organización.
9%
12%
39%
33%
7% [E.19] Fuga de información
[A.11] Acceso no autorizado
[I.5] Avería de origen físico ológico
[A.15] Modificación deliberada dela información
[A.30] Ingeniería social
60
Tabla 4.2: Plan de tratamiento de riesgos
Amenazas /
Actividades de
mejora
Acciones Tiempo de
implementación
Costes Impacto Frecuencia Nuevo
riesgo
[E.19] Fuga de
información
Mitigar 7.47 0.02 0.1494
Implementación
sistema de video
vigilancia
0.5 meses $ 450,00
Implementación y
concienciación de
políticas de control
de acceso físico
1.5 meses $ 600,00
[A.11] Acceso no
autorizado
Mitigar 9.98 0.02 0.1996
Mejoramiento de la
configuración de
control de acceso
de usuarios en los
sistemas y bases de
datos
3 meses $ 700,00
[I.5] Avería de
origen físico o
lógico
Mitigar 4.20 0.10 0.42
Mantenimiento
preventivo 2 veces
al año
0.5 meses $ 150,00
Adquisiciones de
UPS
0.5 meses $425,00
Implementación de
guías y
concienciación de
uso debido del
1 mes $250,00
61
hardware para el
personal
[A.15]
Modificación
deliberada de la
información
Mitigar 9.25 0.02 0.37
Implementación de
Firewall físico
4 mes $ 360,00
Implementación del
servicio de cloud
Backup por 12
meses
6 meses $1.500,00
Adquisición de
software licencia
antivirus para 5
equipos por 12
meses
0.5 meses $ 435,00
[A.30] Ingeniería
social
Mitigar 5.65 0.02 0.113
Capacitaciones para
los usuarios por 12
meses
0.125 meses $ 600,00
Elaborado por el autor.
El plan de tratamiento de riesgo se lo ejecuta por fases determinando su efectividad, que
se van ejecutando de manera secuencial, es decir al finalizar una fase se da inicio a la siguiente.
62
Figura 4.3: Fases de ejecución del plan de tratamiento de riesgo
Elaborado por el autor.
En la tabla 4.3 se detalla el análisis del costo y tiempo de las actividades de mejora en el
departamento Secretaria.
Tabla 4.3: Análisis tiempo y costo del plan de tratamiento de riesgo Fase / Mejora Tiempo de implementación Valor anual
Fase 1
Adquisición de software
antivirus por 12 meses para los 5
equipos del departamento
Secretaria
0.5 meses $435,00
Implementación y concienciación
de políticas de control de acceso
físico.
1.5 meses $600,00
Mejoramiento de la
configuración de control de
acceso de usuarios
3 meses $700,00
Fase 1
•Adquisición de software antivirus para los equipos del departamento Secretaria.
• Implementación y concienciación de políticas de control de acceso físico.
•Mejoramiento de la configuración de control de acceso de usuarios en los sistemas y bases de datos.
•Mantenimiento preventivo semestral.
Fase 2
•Adquisición de Plan cloud Backup.
• Implementación de guías y concienciación de uso debido del hardware para el personal.
• Implementación sistema de video vigilancia.
Fase 3
•Capacitaciones para los usuarios..
•Adquisiciones de UPS.
• Implementación de Firewall físico.
Tiempo: 3 meses
Valor: $1.885,00
Tiempo: 6 meses
Valor: $2.200,00
Tiempo: 4 meses
Valor: $1.385,00
63
Mantenimiento preventivo 2
veces al año
0.5 meses $150,00
Total Fase 1 3 meses $1.885,00
Fase 2
Adquisición del servicio cloud
Backup
6 meses $1500,00
Implementación de guías y
concienciación de uso debido del
hardware para el personal
1 mes $250,00
Implementación sistema de video
vigilancia
0.5 meses $450,00
Total Fase 2 6 meses $2.200,00
Fase 3
Capacitaciones para los usuarios
por 12 meses
0.125 meses $600,00
Adquisiciones de UPS 0.5 meses $425,00
Implementación de Firewall
físico
4 meses $360,00
Total Fase 3 4 meses $1385,00
Valor total 13 meses $5.470,00
Elaborado por el autor.
Una vez implementadas tan solo la fase 1 y sus mejoras del plan de tratamiento de
riesgos ya se pueden observar resultados, se proyectan mayor reducción del riesgo con las
ejecuciones de las siguientes fases del plan de tratamiento de riesgo, consultar anexo C para
revisión del análisis comparativo del riesgo una vez implementadas las mejoras.
4.6. Fase 3: Definición de controles
Este apartado muestra la integración de los controles en este modelo basado en las
necesidades de la empresa ITGACIC.
64
Elección de controles
Los controles han sido debidamente estudiados y revisados por el departamento de TI
en conjunto a la directiva de ITGACIC, se reducen en 5 controles de gestión y 1 Control de
cumplimiento para la seguridad de la información.
Figura 4.4: Controles implementados por el modelo
Elaborado por el autor.
Implementación de los controles
Se destinó a un equipo en el que incluye personal de TI y de la directiva de ITGACIC,
para la gestión de la implementación de los controles elegidos, para el detalle de los controles
implementados consultar anexo D.
La implementación de los controles se la realiza a partir de la ejecución del plan de
tratamiento de riesgo, es importante recalcar que el control contra código malicioso y copias de
respaldo de la información fueron integrados en la segunda ejecución del modelo basado en los
Control contra Código
malicioso
Copias de seguridad de la
información
Cumplimiento de las políticas
y normas de seguridad
Uso de activos
Control de Red
Restricción del acceso a la
información
65
resultados de la primera ejecución, debido a que anteriormente no se los había contemplado y
con la ejecución de la mejoras de la fase uno fueron detectados la necesidad de estos controles
e integrados.
Declaración de aplicabilidad SoA
La declaración de aplicabilidad por su par en inglés (SoA Statement of Applicability), es un
documento utilizado por las organizaciones para mantener un registro y control en el cual se enlistan
aquellos controles de seguridad que son aplicados como medida de seguridad, el estándar ISO 27001
establece controles referenciales para comprobar que no se dejen de lado medidas de seguridad.
Este documento es la constancia formal de la decisión de ITGACIC, relacionado al tratamiento
de riesgo, luego del análisis de los mismos y el diagnóstico resultante de conformidad con la norma ISO
27001:2013, realizado en el modelo escalonado de gestión de incidentes de seguridad de la información.
66
Tabla 4.4: Declaración de aplicabilidad Dominio Control Cómo Justificación Amenaza a la que va
dirigida
A.9 Control de acceso A.9.4.1 Restricción del
acceso a la información
Se establecen los permisos para cada
usuario en los sistemas de información,
según corresponda a su perfil,
definiendo los niveles de estos.
Evitar uso indebido o mal intencionado
de la información.
Acceso no autorizado,
Modificación no
intencionada de la
información.
A.13 Seguridad en las
telecomunicaciones
A.13.1.1 Control de red Se establecen políticas para el control a
los servicios de red, se realiza
segregación de funciones.
La navegación sin restricción en la red o
en la web, permite la efectuación de
incidentes como propagación de virus,
infiltración de atacantes externos, fuga de
información, entre otros.
Fuga de información,
atacantes externos,
vulneración de los
sistemas de información.
A.8 Gestión de activos A.8.1.3 Uso de activos Se realizan manuales para uso debido de
los activos, se compromete a los
usuarios para realizar el buen uso de los
activos.
Los activos son críticos para las
operaciones diarias, el fallo de los
mismos causaría atrasos en las
operaciones.
Avería de origen físico o
lógico.
A.18 Cumplimiento A.18.2.2 Cumplimiento de
las políticas y normas de
seguridad
La alta dirección de ITGACIC aprobó la
política de seguridad de la información
y se ha comprometido a la campaña de
concienciación a todas las partes que
conforman el personal de ITGACIC.
Las políticas son directrices para
establecer un buen ambiente laboral,
para colaborar con el cumplimiento de los
objetivos del negocio.
Acceso no autorizado,
modificación deliberada
de la información, Fuga de
información, Avería de
origen físico o lógico,
ingeniería social.
A.12 Seguridad en la
operatividad
A.12.2.1 Control contra
código malicioso
Se establece el uso de herramienta
antivirus, para su instalación en todos
los equipos del departamento Secretaria
y servidor gestionado de forma
centralizado.
Prevenir las infecciones y propagaciones
de virus, si hay infecciones existentes
para poder tratarlas.
Código malicioso.
A.12 Seguridad en la
operatividad
A.12.3.1 Copias de
seguridad de la información
Se creó un procedimiento de respaldo de
información, con los lineamientos que
muestran la forma en que se realizan las
copias de respaldo, que se almacenan en
el servidor y para mayor redundancia se
realizan respaldos en la nube.
Mantener respaldos de información
óptimos.
Perdida de la información,
Avería de origen físico o
lógico.
Elaborado por el autor.
67
4.7. Fase 4: Mejora continua
4.7.1. Desarrollo de los indicadores
En este apartado se muestra el desarrollo de los indicadores para los controles, estos
indicadores son elaborados a partir del repositorio de trabajos relacionados a la norma ISO 27035
y los ejemplos que estos muestran, el desarrollo y ejecución de los indicadores de los controles
aplicados puede ser consultado en el anexo E.
4.7.2. Análisis de los resultados de los indicadores
Para el análisis de los resultados de los indicadores elaboramos la tabla 4.4 en la cual se
integran todos los resultados, para poder apreciar la efectividad de los controles implementados,
para la elaboración de esta tabla se toman los últimos resultados de efectividad de cada indicador
de control, consultar el anexo E para el detalle del cálculo de efectividad de los controles.
Tabla 4.5: Efectividad de los controles implementados Control Efectividad Nivel de efectividad
Restricción del acceso a la información 75% Mínimo
Control de red
90.9% Satisfactorio
Cumplimiento de las políticas y normas
de seguridad de la información
100% Sobresaliente
Uso de activos 87.5% Satisfactorio
Control contra código malicioso 80% Mínimo
Copias de seguridad de la información
87.5% Satisfactorio
Elaborado por el autor.
68
Los indicadores muestran un promedio satisfactorio de los controles implementados, se
espera una proyección de mejores niveles de efectividad de los controles debido a que este
resultado proviene de la finalización de la primera fase del plan de tratamiento de riesgo. Es
importante recalcar que la medición de estos controles se los realiza mensualmente.
4.7.3. Medidas preventivas y correctivas
Medidas preventivas
El objetivo de las medidas correctivas es colaborar a la mejora de los controles propuestos
en el plan de tratamiento de riesgos, cerrando las brechas de las amenazas internas como de las
externas. Como medidas preventivas contra los incidentes de seguridad de la información, fueron
estudiadas y definidas por el departamento de TI, en la tabla 4.5 se muestras las medidas tomadas.
Tabla 4.6: Medidas preventivas Medidas tomadas Objetivo
Filtrar los usuarios que necesitas acceso a la navegación
web.
Optimizar el uso del servicio de internet.
Reducir los sitios de acceso para la navegación web. Ofrecer navegación segura a los usuarios.
Limitar servicios de instalación de software a los
usuarios excluyendo a los usuarios administradores.
Evitar la infección y propagación de virus.
Realizar 3 respaldos diarios de las bases de datos del
departamento de Secretaria.
Contar con soporte en caso de incidentes
críticos.
Realizar campañas de concienciación al personal del
departamento de Secretaria.
Crear cultura de seguridad de la información.
Realizar mantenimientos a las estaciones de trabajo y
servidores.
Prevenir avería de origen físico o lógico.
Crear políticas de contraseñas donde se estipule el
cambio de las mismas cada 3 meses.
Prevenir la vulneración de los sistemas de
información.
Cifrar la información almacenada en los servidores. Proteger la información.
Mantener las bases de datos en los servidores, y a su vez
mantener los servidores en sitios seguros.
Prevenir perdida de información en caso de la
presencia de incidentes críticos.
69
Controlar el acceso físico a los servidores y equipos. Prevenir el uso indebido de los equipos.
Elaborado por el autor.
Medidas Correctivas
Las medidas correctivas se las elaboró a partir de la detección de eventos de seguridad de
la información en el departamento de Secretaria, debido a la presencia de estos eventos el
departamento de TI realizó la toma de las medidas que se muestran en la tabla 4.6.
Tabla 4.7: Medidas correctivas Medidas tomadas Objetivo
Limpieza de equipos de cómputo del departamento
Secretaria mediante el uso de antivirus.
Detectar software malicioso o de dudosa
procedencia.
Formatear y reinstalar equipo. Devolver operatividad del equipo.
Restaurar información respaldada. Restaurar la información de equipo reinstalado.
Realizar de restauraciones de respaldos. Comprobar operatividad de los respaldos.
Integrar Políticas de uso de correo electrónico. Corregir el uso indebido del correo electrónico
institucional.
Integrar Políticas de uso de activos Corregir el uso indebido de los activos del
departamento de secretaria.
Elaborado por el autor.
4.7.4. Propuesta
La mejora continua del modelo es el resultante de las ejecuciones del modelo, en donde se
sugieren nuevas medidas para su integración al modelo actual, que se requieran para el tratamiento
de riesgo de las eventualidades no previstas, para el detalle del proceso consultar anexo F.
Primera ejecución del modelo
En el primer análisis por tratarse del génesis de la aplicación del modelo en el departamento
de Secretaria, es evidente de que los resultados respecto a los incidentes detectados por el modelo
es alto siendo 41 las incidencias detectadas y que el número de medidas a implementar es alto,
70
esto permitió la elaboración del plan de tratamiento para los mismos, se crean medidas para el
tratamiento de riesgo de las cuales se definió que su ejecución se la elabore en 3 fases. Los
resultados de la primera ejecución del modelo son presentados en la siguiente tabla.
Tabla 4.8: Detección de incidentes o eventos de seguridad de la información Cantidad Incidente /
evento de
seguridad de la
información
Causa Consecuencia Frecuencia
anual
Usuarios /
departamentos
afectados
13 Detección de
software
malicioso
malware.
No existía
antivirus para la
detección de
software
malicioso
2 equipos
afectados.
25 2 usuarios
Uso indebido del
correo
electrónico.
3 Avería de
hardware.
No se realizaban
mantenimientos
preventivos.
3 equipos
afectados.
5 3 usuarios
2 Modificación de
la información.
Error de usuario. 1 base de datos
afectada.
3 1 Departamento
(Secretaria).
Acceso sin
restricción a la
información.
10 Robo de
contraseña.
Usuarios víctima
de phishing.
1 sistema de
datos afectado.
5 1 Departamento.
(Secretaria)
13 Intentos de
intrusión en el
sistema de
calificaciones.
Atacantes
externos y
usuarios no
autorizados.
0. 30. 0.
Elaborado por el autor.
A continuación se muestra la propuesta de mejora continua que surgió con la primera
ejecución del modelo.
71
Tabla 4.9: Plan de mejora continúa Incidente / evento de
seguridad de la
información
Actividad de Mejora Política Control
Detección de
software malicioso
malware.
Adquisición e
implementación de
software antivirus.
Política de instalación
de software.
Control de instalación
de software.
Política de uso de
dispositivos extraíbles.
Control de uso de
dispositivos extraíbles.
Política de uso de correo
electrónico.
Control de uso de correo
electrónico.
Avería de hardware Implementación de
programa de
mantenimiento
preventivo.
Política de
mantenimiento
preventivo del hardware
Control de
mantenimiento
preventivo.
Política de uso de
activos.
Control de uso de
activos.
Modificación de la
información.
Implementación de
servicio cloud backup.
Política de copias de
seguridad de la
información.
Control de la realización
de copias de seguridad
de la información.
Adquisición e
implementación de
Firewall.
Política de acceso a la
información.
Control de Restricción
del acceso a la
información.
Control de uso debido
de la información.
Robo de contraseña Implementación de
campaña de
concienciación.
Política de contraseñas
de los sistemas de
información.
Control de actividades
en los sistemas de
información.
Políticas de ingreso a
los sistemas de
información.
Control de cambio de
contraseñas.
Control del nivel de
seguridad de las
contraseñas.
Intentos de intrusión
en el sistema de
calificaciones
Implementación de
sistemas de detección de
intrusos.
Políticas de acceso a la
información.
Control de Restricción
de acceso a la
información.
72
Elaborado por el autor.
Segunda ejecución del modelo
En la segunda ejecución del modelo ya se integran las actividades de mejora, las políticas
y controles, que surgieron a partir de la ejecución anterior del modelo, también se realiza el
seguimiento del tratamiento que se les da a las incidencias de seguridad de la información, con
estas mejoras ya es posible notar la reducción de incidencias y la disminución del riesgo. A
continuación se muestran los resultados de la segunda ejecución del modelo.
Tabla 4.10: Detección de incidentes o eventos de seguridad de la información Cantidad Incidente /
evento de
seguridad de la
información
Causa Consecuencia Frecuencia
anual
Usuarios /
departamentos
afectados
5 Detección de
software
malicioso
malware.
Usuario
desactivo el
antivirus e
introdujo
dispositivo
extraíble
infectado.
1 equipos
afectados.
12 1 usuarios
1 Perdida de
información.
Copia de
seguridad
reestablecidas
fallidas.
1 base de datos
desactualizada.
1 5 usuarios
5 Intento de
intrusión en el
sistema de
calificaciones.
Atacantes
externos.
0 30 0
Elaborado por el autor.
A continuación se muestra la propuesta de mejora continua que surgió con la segunda
ejecución del modelo.
73
Tabla 4.11: Plan de mejora continúa Incidente / evento de
seguridad de la
información
Actividad de Mejora Política Control
Detección de
software malicioso
malware.
Concienciación del
peligro de los virus.
Política de
administración del
software antivirus.
Control de operatividad
de software antivirus.
Control de
cumplimiento de
políticas de seguridad.
Perdida de la
información por
respaldos no
operativos.
Asignar responsabilidad
de copias de seguridad de
la información.
Política de copias de
seguridad de la
información.
Control de operatividad
de las copias de
seguridad de la
información.
Intento de intrusión
en el sistema de
calificaciones.
Asignar a miembros del
IRT responsabilidad de
seguimiento de
intrusiones o intentos de
intrusiones.
Política de seguimiento
de incidentes de
seguridad de la
información.
Control de Seguimiento
de incidentes de
seguridad de la
información.
Elaborado por el autor.
Para un análisis de la efectividad del modelo se realiza comparaciones de las ejecuciones
del modelo y los respectivos resultados, dando constancia de cómo ha mejorado la gestión de los
incidentes de seguridad de la información, y como la presencia de los incidentes ha disminuido
con las medidas ejecutadas por el modelo.
74
Figura 4.5: Análisis comparativo de las ejecuciones del modelo
Elaborado por el autor.
En la tabla se enlistan beneficios con los que ahora la organización cuenta desde la
adopción del modelo escalonado de gestión de incidentes de seguridad de la información.
Tabla 4.12: Beneficios del modelo implementado Beneficios
Se cumple con las entidades de control (CES, CEAACES, Secretaria de educación Superior, Ciencia y
Tecnología) respecto a la gestión de la información y la calidad de la información entregada.
Se obtuvo un documento de valor legal que compromete al personal y todos los que conforman la
organización, al cumplimiento de las directrices implantadas para forjar la seguridad de la información y
ayudar a conseguir los objetivos de la organización.
Se está creando una cultura de seguridad de la información.
Se crea conciencia a la directiva y el personal de la organización de la importancia de las TI.
Hay un número menor interrupciones en los procesos operativos de la organización.
Se obtuvo inventarios de los activos de la información.
Controles de gestión y cumplimiento para la seguridad de la información.
Sistemas de respaldos de la información.
13
3
2
10
13
0
5
0 0 0
5
1
0
2
4
6
8
10
12
14
Detección desoftwaremalicioso
Avería dehardware
Modificacionesde la
información
Robo decontraseña
Intentos deintrusión
Respaldos nooperativos
Primera ejecución Segunda ejecución
75
Programa de prevención contra de código malicioso.
Elaborado por el autor.
76
CAPÍTULO 5
5.1. Conclusiones
Tabla 5.1: Conclusiones de la investigación Objetivo Question research Conclusiones Consultar
Diseñar un modelo escalonado para la
gestión de incidentes de la seguridad
de la información basado en la norma
ISO/ICE 27035 para la empresa
ITGACIC S.A..
¿Qué relevancia tiene regirse al
estándar ISO 27035 para el desarrollo
de un modelo de gestión de incidentes
seguridad de la información?
Un modelo escalonado de gestión de incidentes
de seguridad de la información basado en la
norma ISO 27035 otorga un enfoque
estructurado para la gestión de incidentes de
seguridad de la información, la gestión efectiva
de incidentes involucra controles preventivos y
correctivos diseñados para reconocer y
responder a eventos e incidentes, minimizar
impactos adversos, reunir evidencia forense
(cuando corresponda), y, a su debido tiempo,
´aprender las lecciones´ en términos de impulsar
las mejoras del modelo de gestión de incidentes
de seguridad de la información, generalmente
mejorando los controles preventivos u otro
tratamiento de riesgo.
Capítulo 2, # 2.3
Evaluar e identificar los activos y
procesos en riesgos fijando niveles de
criticidad de los incidentes por el
impacto y alcance de las amenazas
sobre estos.
¿Cómo se efectúa la evaluación e
identificación de activos y procesos en
riesgos?
¿Cómo se clasifican los incidentes de
seguridad de la información?
La evaluación e identificación de activos y
procesos en riesgos y la clasificación de los
incidentes que puedan afectar a estos, permitió
crear planes de respuestas en conformidad al
nivel de criticidad de los incidentes.
Capítulo 2, # 2.9
Capítulo 4, # 4.4
Anexo C
77
Definir política de seguridad que
consideren requerimientos legales o
contractuales, que incluya el objetivo
y el marco general de la seguridad de
la información alineada al contexto
estratégico de gestión de riesgos de la
institución.
¿Por qué es importante la creación de
políticas de seguridad de la
información?
¿Qué tipo de políticas se deben
desarrollar?
Las políticas de seguridad de la información son
de gran relevancia para la gestión adecuada de la
seguridad de la información, debido a que
otorgan los lineamientos que imparte la
organización para precautelar la seguridad de su
información, estas políticas deben de gozar de
validez legal de reservando para la organización
el derecho de aplicar sanciones por su
incumplimiento.
Capítulo 4, # 4.3
Anexo A
Desarrollar los controles para el
tratamiento de incidentes de
seguridad de la información.
¿Cuál es el objetivo de los controles
para el tratamiento de incidentes de
seguridad de la información?
¿Qué beneficios otorgan los
controles?
Los controles buscan evaluar y corregir el
desempeño de las medidas implementadas, se
procura con estos fomentar cultura de seguridad
de la información, los controles ayudaron al
compromiso del personal y la organización para
la realización correcta de las tareas y funciones,
derivando en el cumplimiento de los objetivos
del negocio.
Capítulo 4, # 4.5
Anexo D
Construir un listado de indicadores
que permita extraer resultados
reproducibles y comparables que
faciliten la medición de los controles.
¿Qué objetivo tiene los indicadores del
modelo escalonado de gestión de
incidentes de seguridad de la
información?
Los indicadores tienen como finalidad obtener
métricas de la eficacia de los controles del
modelo escalonado de gestión de incidentes de
seguridad de la información, a través de su
análisis se realizan ajustes en los controles y se
apoya a la creación del plan de mejora continua.
Capítulo 4, # 4.6.1, # 4.6.2
Anexo E
Elaborado por el autor.
78
5.2. Aportaciones y reflexiones
5.2.1. Aportaciones
Proporciona un marco de trabajo que describe los procesos para administrar eventos
de seguridad de la información, incidentes y vulnerabilidades de manera que no se
vea afectada la operatividad de las empresas, contribuyendo al cumplimiento de los
objetivos de negocio.
Permite ir afinando procesos de seguridad mediante los pasos definidos, iniciando
con la implementación de políticas para la seguridad de la información,
comprometiendo a toda la organización a su cumplimiento, seguido se realiza la
gestión de riesgo minimizando el riesgo hasta un nivel aceptable.
Proporciona controles e indicadores que otorgan resultados reales y a partir de estos
se crea un plan de mejora continua que suma en los niveles de eficacia y
confiabilidad de la gestión de incidentes de seguridad de la información.
5.2.2. Reflexiones
El respaldo de la directiva de las organizaciones es fundamental para crear una
cultura de seguridad de la información, esta deriva en el óptimo desempeño de la
operatividad de los procesos de la organización, así como en un ambiente laboral
mucho más confortable, repercutiendo en el cumplimiento de los objetivos del
negocio.
5.3. Oportunidad de futura investigación y desarrollo
Diseño completo del modelo de gestión de incidentes de seguridad de la información,
expandiendo la investigación a los departamentos restantes que componen la
organización.
79
Desarrollo de un modelo de gestión de riesgos de seguridad de la información basado
en el estándar ISO 27005 el cual trabaje en conjunto al modelo de gestión de
incidentes de seguridad de la información.
Diseño e implementación de un SGSI para la organización expandiendo la gestión
seguridad de la información de forma holística.
80
BIBLIOGRAFÍA
(2012). Obtenido de ISO 27000: www.iso27000.es
(2013). Obtenido de Esquema Gubernamental de la Seguridad de la Información:
https://www.politica.gob.ec/wp-content/uploads/2017/04/EGSI.pdf
(2014). Obtenido de Historia de la ISO: http://blogdecalidadiso.es/historia-de-la-iso/
(2015). Obtenido de Reporte de seguridad cibernética de las Américas:
https://www.sites.oas.org/cyber/Certs_Web/OEA-
Trend%20Micro%20Reporte%20Seguridad%20Cibernetica%20y%20Porteccion%20de%20la%
20Inf%20Critica.pdf
(2016). Obtenido de Servicio Ecuatoriano de Normalización:
http://www.normalizacion.gob.ec/
(2016). Obtenido de ISO 27000: http://www.iso27000.es/iso27000.html
Bryant, I. (2008). Obtenido de https://www.terena.org/activities/tf-csirt/meeting25/bryant-
iso27035.pdf
El universo. (Marzo de 2013). Obtenido de
https://www.eluniverso.com/2013/03/07/1/1528/investigan-hackeo-sistema-uees.html
ESET Security Solutions. (2018). Obtenido de https://www.welivesecurity.com/la-
es/2018/03/01/impacto-ransomware-latinoamerica-2017/
Forbes. (2018). Obtenido de https://www.forbes.com.mx/las-universidades-tercer-destino-
de-ciberataques-en-rd/
81
Gestión de incidentes de seguridad de la información. (2016). Norma ISO/IEC 27035.
Global Information Security Survey. (2015). Obtenido de
https://www.ey.com/gl/en/services/advisory/ey-cybersecurity
Henry, J. (2018). IBM Security Intelligence. Obtenido de
https://securityintelligence.com/these-5-types-of-insider-threats-could-lead-to-costly-data-
breaches/?mhq=causes%20cyberattacks&mhsrc=ibmsearch_a
IBM Intelligence Security Platform. (2018). Obtenido de www-01.ibm.com
ISO 27000. (2012). Obtenido de http://www.iso27000.es/download/doc_sgsi_all.pdf
Kaspersky LAB. (2018). Obtenido de https://latam.kaspersky.com/about/press-
releases/2018_pr-scholars-phishing
Velasquez Hidalgo , I. (18 de 12 de 2005). www.gestiopolis.com. Obtenido de
https://www.gestiopolis.com/tipos-estudio-metodos-investigacion/
82
ANEXOS
83
Índice de Anexos
ANEXO A.- POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN .......................................................................................................................... 87 I. Introducción............................................................................................................................................................. 87 II. Información del Documento.............................................................................................................................. 87 III. Validación del documento ............................................................................................................................ 88 IV. Objetivos .............................................................................................................................................................. 88 V. Alcance ....................................................................................................................................................................... 89 VI. Responsabilidades ........................................................................................................................................... 89 VII. Adopción y reconocimiento ......................................................................................................................... 90 VIII. Identificación, valoración y clasificación de activos de información .......................................... 90 IX. Seguridad de la información custodiada por el recurso humano ................................................. 90 X. Seguridad física de equipos y del entorno ................................................................................................... 91 XI. Reporte y seguimiento de incidentes de seguridad de la información ...................................... 92 XII. Protección contra hacking y software malicioso ................................................................................. 92 XIII. Respecto a las copias de seguridad ........................................................................................................... 93 XIV. Configuración y administración de la red .............................................................................................. 93 XV. Información de intercambio con organizaciones externas ............................................................. 94 XVI. Acceso a internet y uso de correo electrónico ...................................................................................... 94 XVII. Instalación de software .................................................................................................................................. 95 XVIII. Categorías de acceso .................................................................................................................................. 95 XIX. Control de claves ............................................................................................................................................... 95 XX. Auditoria y seguimiento ............................................................................................................................... 96 XXI. Acceso remoto ................................................................................................................................................... 96 XXII. Seguridad de software .................................................................................................................................... 96 XXIII. Cumplimiento ............................................................................................................................................... 96 XXIV. Incumplimiento ............................................................................................................................................ 96 XXV. Formato de las Políticas de seguridad de la información ................................................................ 97
ANEXO B.- EQUIPO DE RESPUESTAS CONTRA INCIDENCIAS (IRT) ............................. 99 I. Establecimiento del IRT ...................................................................................................................................... 99 II. Funciones que debe cumplir el IRT ................................................................................................................ 99 III. Tareas que debe cumplir el IRT ............................................................................................................... 100 IV. Tabla B.2: Tareas del IRT ITGACIC ......................................................................................................... 100
ANEXO C.- ANÁLISIS DE RIESGOS ..................................................................................... 102 I. Identificación de activos .................................................................................................................................. 102 II. Análisis de los riesgos ....................................................................................................................................... 105 III. Del plan de tratamiento de los riesgos del departamento Secretaria...................................... 108
ANEXO D.- DEFINICIÓN DE CONTROLES PARA LA SEGURIDAD DE LA
INFORMACIÓN ........................................................................................................................ 110 I. Implementación de los controles ................................................................................................................. 110 II. Restricción del acceso a la información .................................................................................................... 110 III. Control de red ................................................................................................................................................. 111 IV. Control de Uso de activos ........................................................................................................................... 112
84
V. Control de cumplimiento de políticas de seguridad de la información........................................ 113 VI. Control contra código malicioso.............................................................................................................. 114 VII. Control de Copias de seguridad de la información .......................................................................... 115
ANEXO E.- DESARROLLO DE LOS INDICACODRES ........................................................ 117 I. Indicador de Restricción del acceso a la información ......................................................................... 117 II. Indicador de Control de red ........................................................................................................................... 118 III. Indicador de Cumplimiento de políticas y normas de seguridad .............................................. 120 IV. Indicador de desempeño de Control de Uso de activos ................................................................. 121 V. Indicador de Control contra software malicioso ................................................................................... 123 VI. Indicador de Copias de seguridad de la información ..................................................................... 125
ANEXO F.- PROCESO MEJORA CONTINUA ....................................................................... 128
85
Índice de Figuras de anexos
Figura C.1: Análisis comparativo del riesgo………………………………..………………109
Figura D.1: Implementación de Restricción del acceso a la información……………..…….111 Figura D.2: Implementación de control de red………………………………………………...………112 Figura D.3: Implementación de Control de Uso de activos………………………………...113
Figura D.4: Control de cumplimiento de políticas de seguridad de la información………..114
Figura D.5: Implementación de control contra código malicioso…………………………..115
Figura D.6: Implementación de control Copias de seguridad de la información……..……116
Figura E.1: Indicador de Restricción del acceso a la información………………………….118
Figura E.2: Indicador de navegación web…………………………………………………..119
Figura E.3: Indicador de Cumplimiento de políticas y normas de seguridad………………120
Figura E.4: Indicador de Control de Uso de activos………………………………………..122
Figura E.5: Indicador de Control contra software malicioso……………………………….124
Figura E.6: Indicador Copias de seguridad de la información……………………………..126
Figura F.1: Procesos de mejora continúa…………………………………………………...128
86
Índice de tablas de anexos
Tabla B.1: Funciones de la IRT de ITGACIC…………………………………………...…....99 Tabla B.2: Tareas del IRT ITGACIC………………………………………………………...100
Tabla C.1: Nivel de importancia de los activos……………………………………………....102
Tabla C.2: Términos y conceptos para la tabla de identificación de activos………………....103
Tabla C.3: Matriz identificación de activos del departamento Secretaria …………………...103
Tabla C.4: Matriz impacto de las amenazas…………………………………………………..105
Tabla C.5: Estimación de ocurrencias de los riesgos…………………………………………107
Tabla C.6: Conceptos de los términos usados en la tabla de análisis de impacto de los
riesgos……………………………..………………………………………………………….107
Tabla C.7: Análisis de riesgos del departamento Secretaria………………………………….107
Tabla C.8: Comparación de riesgo…………………………………………………………...108
Tabla E.1: Resultado del indicador de Restricción del acceso a la información………….....118
Tabla E.2: Resultado del indicador de control de red……………………………………..…119
Tabla E.3: Resultado del indicador de Cumplimiento de políticas y normas de seguridad….121
Tabla E.4: Resultado del indicador de desempeño de Control de Uso de activos………..….123
Tabla E.5: Resultado del indicador de Control contra software malicioso…………………..125
Tabla E.6: Resultado del indicador de Copias de seguridad de la información……………...128
87
ANEXO A.- POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
I. Introducción
ITGACIC reconoce a la información como activo crítico para la operatividad diaria, así
como de los sistemas de información que ayudan a los procesos para llevar a cabo el cumplimiento
de las metas de la organización, se requiere obtener estrategias de categoría alta que permita
controlar y administrar la efectividad de la información.
La presente política de seguridad de la información se compromete al Instituto de Artes
Gráficos Digitales ITGACIC con la gestión responsable de la información con el objetivo de
preservar los atributos de confidencialidad, integridad y disponibilidad de este activo crítico.
II. Información del Documento
DATOS HISTÓRICOS DEL DOCUMENTO Nombre del documento Políticas de seguridad de la información
Preparado por: Steven Rodríguez Cepeda Responsable del documento
Steven Rodríguez Fecha de creación
20 de noviembre 2018
Aprobado por Departamento de TI y directiva de ITGACIC
Fecha de aprobación
3 de diciembre 2018
CONTROL DE VERSIONES
Versión Fecha de creación
Preparada por Descripción
1.0 20/11/ 2018 Steven Rodríguez Creación de la primera versión del documento.
1.1 06/12/2018 Steven Rodríguez Integración de las políticas instalación de software, dispositivos extraíbles, uso de correo
88
electrónico, mantenimiento preventivo de hardware, Uso de activos.
1.2 17/12/2018 Steven Rodríguez, Marlon Alarcón
Integración de las políticas copias de seguridad de la información, acceso a la información, contraseñas de los sistemas de información, ingreso a los sistemas de información.
*La presente versión sustituye a las versiones precedentes, dando la validación a este documento de entre todas las versiones.
III. Validación del documento
Mediante el presente Carta de compromiso, tiene por objetivo la validación del documento
Políticas de seguridad de la información por unas parte la empresa ITGACIC, representada
legalmente por Efraín Paredes Álava en calidad de gerente general y por otra parte Steven
Rodríguez Cepeda quien en calidad de Jefe de Sistemas, se ratifica por los comparecientes en todos
y cada uno de las declaraciones y considerando contenidos en el presente instrumento, la
aceptación de su contenido, teniendo este documento valor legal, se celebra en la ciudad de
Guayaquil con los señores
Por el departamento de Sistemas
Por la Gerencia Por el vicerrectorado de ITGACIC
Steven Rodríguez Cepeda Jefe de Sistemas
Efraín paredes Álava Gerente General ITGACIC
Katty Paredes Álava Vicerrectora ITGACIC
IV. Objetivos
89
Establecer lineamientos para la prevención y limitación de incidentes de seguridad
de la información mediante acciones con la finalidad de garantizar la preservación
de la información, considerando las expectativas de la dirección de ITGACIC
respecto a la seguridad de la información de la organización contemplando los
requisitos tecnológicos, legales y de seguridad.
Establecer una cultura de seguridad de la información la cual promueva la
comprensión de las responsabilidades a todo el personal de ITGACIC quienes
puedan utilizar la política como herramienta en la toma de decisiones apropiada
para situaciones que correspondan al ámbito de seguridad de la información.
V. Alcance
La aplicación de esta política se la realiza al conjunto de dependencias que conforman la
organización incluido aquellas que realizan sus labores a través de contratos mediante terceros, así
como también a los recursos y procesos vinculados a la organización sean estos de internos o
externos cuya relación sea mediante acuerdos o contratos.
VI. Responsabilidades
La dirección de ITGACIC es responsable por:
Aprobación y autorización de modificaciones de esta política.
Facilitar la asignación de recursos al IRT para la adecuada de seguridad de la información.
Aprobar y promulgar la campaña de concienciación a todo el personal de la organización sin
excepción alguna.
Encargado de seguridad de TI:
Llevar a cabo la campaña de concienciación de seguridad de la información.
Realizar actualizaciones y modificaciones necesarias a la política de seguridad de la información.
Aplicar y hacer cumplir la política de seguridad de información establecida.
90
Monitorear, aplicar, mantener o crear controles de seguridad de la información que contribuyan a
garantizar la seguridad de la información.
El personal de ITGACIC es responsable de:
El cumplimiento de la presente política.
Él o los usuarios que hagan uso y almacenamiento de la información serán
automáticamente responsables de la misma sin restricciones por su ámbito.
Realizar el reporte de los eventos de seguridad de información de los que se hayan
percatado, siguiendo el procedimiento previamente establecido.
Para un completo entendimiento de que es el IRT consultar anexoB.
VII. Adopción y reconocimiento
Se reconoce por parte de la dirección de ITGACIC la importancia de la implementación de
la política. La política de gestión de incidentes de seguridad de la información es adoptada al
reglamento general de ITGACIC, siendo la misma previamente difundida.
VIII. Identificación, valoración y clasificación de activos de información
El departamento de TI a través del IRT es responsable de realizar, actualizar, corregir
si así lo amerite el inventario de activos de información periódicamente de forma
bimestral, clasificando y valorizando estos activos.
El departamento de TI a través del IRT presentará bimestralmente el inventario de
los activos de información a la dirección de ITGACIC.
IX. Seguridad de la información custodiada por el recurso humano
ITGACIC define a la información física o digital como un activo crítico y vital para
sus operaciones, por ende establece que el uso y procesamiento de la información
sea únicamente para propósito laboral, cualquier otro uso de la información será
sancionado como la directiva de ITGACIC lo establezca.
91
Todo el personal de ITGACIC sin excepción debe tener asociado un perfil de
conocimientos de uso de los recursos de información, tanto hardware como
software, el departamento de TI será el encargado de definir, mantener y actualizar
los perfiles según correspondan.
El departamento de TI a través del IRT impartirá al personal manuales de
responsabilidades del personal para la seguridad de la información.
El personal de ITGACIC es reconocido como custodio tanto de los activos de
información de los que este haga uso así como de la información generada en sus
funciones.
ITGACIC bajo seguimiento de actividades protegerá su información de amenazas
que sean originadas por usuarios, practicantes, contratistas o sus funcionarios.
En caso de finalización de la relación contractual o cambio de cargo ITGACIC
responsabiliza al custodio para que la información utilizada, mantenida o producida
sea entregada de integra, en caso de no cumplir con lo establecido ITGACIC se
reserva el derecho de aplicar sanciones.
X. Seguridad física de equipos y del entorno
Se debe mantener el acceso controlado en cada departamento, los integrantes de cada
departamento son los encargados de mantener el acceso.
ITGACIC se compromete a otorgar los accesos y recursos al personal según sus
funciones, así mismo si la situación lo amerite revocará el acceso a los mismos.
El acceso físico a los equipos debe ser controlado por sus custodios.
92
Los servidores y contenedores de información institucional de ITGACIC deben
encontrarse bajo un ambiente seguro y con un plan de protección que contenga la
prevención contra catástrofes como incendios, inundaciones o descargas eléctricas.
Los equipos claves deben estar protegidos de forma eléctrica por UPS, IRT
establecerá los equipos claves.
Trimestralmente se deben realizar por parte del departamento de TI en coordinación
con los usuarios mantenimientos de hardware asegurando la preservación de la
infraestructura tecnológica.
XI. Reporte y seguimiento de incidentes de seguridad de la información
El departamento de TI a través del IRT debe definir, mantener y difundir las guías
para el reporte de incidentes de seguridad de la información.
Todo el personal de ITGACIC es responsable de reportar con prontitud y
responsablemente incidentes o eventos de seguridad de la información al
departamento de TI.
El IRT es responsable de realizar el seguimiento debido a los incidentes o eventos
reportados a través de los distintos mecanismos para su pronta solución.
XII. Protección contra hacking y software malicioso
Con un enfoque estructurado se debe proteger la información y todos los recursos
que hacen uso de esta, este enfoque debe involucrar control de usuarios, control
físico y controles técnicos. El departamento de TI deberá elaborar, actualizar y
mantener políticas, estándares, procedimientos y guías que permitan garantizar la
mitigación de riesgos relacionados a hacking y software malicioso.
93
Como control mínimo de las estaciones de trabajo de ITGACIC, estas deberán estar
bajo la protección de software antivirus, cuyas actualizaciones tendrán el privilegio
de ser realizadas de forma automática.
Los usuarios de las estaciones de trabajo de ITGACIC tiene prohibido desactivar la
protección del software antivirus.
El IRT debe elaborar, actualizar y mantener una base de datos de incidentes y
eventualidades de seguridad de la información presentadas.
XIII. Respecto a las copias de seguridad
La información de interés para los procesos de operativos de ITGACIC y toda
aquella que pertenezca a la matriz de activos de información deberá ser alojada en
los servidores, que mediante un procedimiento de copias de seguridad deben ser
respaldadas.
Las copias de seguridad deben ser almacenadas en sitios seguros, y aquellas que se
encuentren alojadas por más de 3 meses deberán ser dabas de baja, para reutilizar
el espacio de almacenamiento que estás usan.
Las copias de seguridad se las debe realizar de forma periódica bimensualmente.
El procedimiento de copias de seguridad se lo realiza automáticamente bajo software
para backups.
Para mayor redundancia de los respaldos se realiza la contratación de un espacio en
la nube para el almacenamiento de los backups.
XIV. Configuración y administración de la red
94
El departamento de TI es el encargado de elaborar, actualizar y mantener el diseño
topológico de la red.
El departamento de TI es responsable de la configuración de Routers, switchs,
firewalls y otros dispositivos de red, acorde a las necesidades de ITGACIC.
El departamento de TI debe crear, actualizar y mantener una matriz que contenga
los equipos de la red debidamente registrados.
Se debe crear perfiles para invitados que tengan autorización para conexión a la red
local de ITGACIC.
XV. Información de intercambio con organizaciones externas
Aquella información que sea requerida por entes externos su acceso deberá ser
autorizado por la dirección de ITGACIC.
En casos de externalización de la información será realizada únicamente con
documentos firmados que integren los términos y condiciones que acuerden y que
comprometan a las partes.
Los entes externos que requieran información de ITGACIC para el manejo de la
misma deberá regirse bajo la política de seguridad de la información de ITGACIC.
XVI. Acceso a internet y uso de correo electrónico
El departamento de TI se encargará de la elaborar, actualizar y mantener la
configuración de acceso a internet, así como de las normas del uso de internet que
serán difundidas por toda la organización ITGACIC.
El uso de correo electrónico institucional será exclusivamente de uso laboral para
todo el personal de ITGACIC, el uso indebido será sancionado.
95
ITGACIC se compromete a salvaguardar la información generada o procesada en
sus funciones o aquella que fue entregada para custodio por motivos de realización
de trámites.
XVII. Instalación de software
El departamento de TI es el responsable de la instalación de software que faciliten
las operaciones y ayuden al cumplimiento de las metas de ITGACIC, toda
instalación debe ser notificada a la dirección de ITGACIC.
El departamento de TI es responsable de elaborar, actualizar y mantener una matriz
que contenga el detalle del software de cada estación de trabajo de ITGACIC.
XVIII. Categorías de acceso
Los perfiles de acceso de los usuarios sean al sistema, a las bases de datos, o las
estaciones de trabajo, deben ser creados, definidos y actualizados por el
departamento de TI.
XIX. Control de claves
Se recomienda que para la autenticación de usuarios se lo realice bajo sistemas que
automaticen y controlen este proceso.
Todo el personal de ITGACIC está comprometido a no otorgar a ningún otro
colaborador o ajeno a la organización sus claves de acceso.
Por motivos de seguridad las claves serán cambiadas por el departamento de TI, este
mismo otorgara a los usuarios sus nuevas claves.
En caso de finalizar la relación laboral de algún empleado serán invalidado tanto su
usuario como claves.
96
XX. Auditoria y seguimiento
ITGACIC con el fin de precautelar la seguridad de la información, el uso de los
activos y el cumplimiento de la política vigente se reserva el derecho de realizar
auditorías de control sin previo aviso.
XXI. Acceso remoto
Mediante acuerdos con la directiva de ITGACIC el departamento de TI establece,
define, actualiza y mantiene el acceso remoto a la red de la organización.
XXII. Seguridad de software
Todo software requerido para apoyar los procesos operativos de ITGACIC, debe ser
previamente aprobado por el departamento de TI.
En caso de requerir el desarrollo de un software el departamento de TI es el
encargado de gestionar el proyecto bajo la aprobación de la dirección del ITGACIC.
XXIII. Cumplimiento
La dirección de ITGACIC debe comprometer a su personal al cumplimiento de la
política de seguridad, encargando al departamento de TI la responsabilidad de
verificar su cumplimiento.
ITGACIC se compromete a definir, crear, implementar y mejorar de manera
periódica el modelo de gestión de incidentes de seguridad de la información que
tiene por objetivo preservar la seguridad de la información estableciendo
lineamientos que estén asociados a la misión y objetivos de la organización.
XXIV. Incumplimiento
97
El personal de ITGACIC deberá cumplir con la política de gestión de incidentes de
seguridad de la información, el no cumplir con la política será motivo de sanción dependiendo de
la situación, podría ser clasificado como evento delictivo, ITGACIC se reserva el derecho al tomar
las respectivas sanciones.
XXV. Formato de las Políticas de seguridad de la información
Toda política de seguridad de la información de ITGACIC de contener:
Introducción
Objetivos
Alcance
Responsabilidades
Adopción y reconocimiento
Identificación, valoración y clasificación de activos de información
Seguridad de la información custodiada por el recurso humano
Seguridad física de equipos y del entorno
Reporte y seguimiento de incidentes de seguridad de la información
Protección contra hacking y software malicioso
Respecto a las copias de seguridad
Configuración y administración de la red
Información de intercambio con organizaciones externas
Acceso a internet y uso de correo electrónico
Instalación de software
Categorías de acceso
98
Control de claves
Auditoria y seguimiento
Acceso remoto
Seguridad de software
Cumplimiento
Incumplimiento
99
ANEXO B.- EQUIPO DE RESPUESTAS CONTRA INCIDENCIAS (IRT)
La elaboración del equipo de respuestas para los incidentes de seguridad de la información
tiene gran relevancia, debido a que asignando la responsabilidad de lis incidentes a un equipo
especializado se otorga respuestas con prontitud y lo más acertadas posibles ante eventos o
incidentes de seguridad de la información.
I. Establecimiento del IRT
Basado en los tipos de IRTs , debido a la naturaleza y estructura de la organización se eligió
el tipo de IRT singular, el equipo de respuestas debe ser debidamente calificados y de confianza
de la organización. Monitorear el cumplimiento de la política o mejora de la misma se le otorga
esta responsabilidad al IRT, no obstante el IRT tiene otras funciones y tareas que se extienden a
continuación.
II. Funciones que debe cumplir el IRT
El IRT debe estar comprometido a realizar las funciones que se muestran en la tabla B.1
para procurar dar respuestas rápidas ante la presencia de amenazas.
Tabla B.1: Funciones de la IRT de ITGACIC. Función Descripción
Gestión de los sistemas de seguridad
integrados
Monitorización y gestión del sistema de
calificaciones de ITGACIC.
Gestión y monitorización de la configuración
de red de ITGACIC.
Control y monitorización de las aplicaciones en
los equipos de ITGACIC.
Control y monitorización de datos que usan las
aplicaciones.
100
Implementación de política coherente Desarrollo y constante mejora de la política de
gestión de incidentes de seguridad de la
información.
Respuestas con prontitud Desarrollar estrategias de respuestas ante los
incidentes que se susciten en ITGACIC.
Delegar responsabilidades a los miembros del
IRT para la resolución de los distintos tipos de
incidentes.
Optima utilización de la estructura de
seguridad
Procurar la óptima utilización de recursos de
seguridad de la información, tanto recursos
técnicos, como del personal.
Elaborado por el autor.
III. Tareas que debe cumplir el IRT
La tabla B.2 muestra las tareas que debe realizar el equipo de respuestas de incidentes en
relación al departamento secretaria de ITGACIC.
IV. Tabla B.2: Tareas del IRT ITGACIC
Tarea Descripción
Gestión integrada y seguimiento Supervisión proactiva de las actividades que
realicen los sistemas implícitos del
departamento Secretaria.
Planificar y preparar respuestas contra las
posibles incidencias.
Documentar toda actividad que de indicios de
la presencia de incidentes.
Gestión de informes Bimensualmente presentar informes de
seguridad del departamento Secretaria.
Análisis de los informes para la elaboración de
parches de seguridad.
Documentar los informes y resultado de
análisis.
101
Manejo técnico Gestión de seguridad de recursos compartidos
en red del departamento Secretaria.
Control y respaldo de los datos en los sistemas
de calificaciones.
Funcionamiento de sistemas y la gestión Gestión de entorno de los equipos y estructura.
Capacitación de los usuarios respecto al uso o
cambio de los sistemas.
Elaborado por el autor.
102
ANEXO C.- ANÁLISIS DE RIESGOS
Con el análisis de los activos logramos determinar la criticidad e importancia que tienen
estos para la operatividad de la organización, al mismo tiempo podemos visualizar los riesgos a
los que están expuestos, el departamento de TI en conjunto a la directiva de la organización deben
tomar medidas para el tratamiento de los riesgos, precautelando así la seguridad de los activos, de
esta forma colaborando para que los el cumplimiento de los objetivos de la organización.
I. Identificación de activos
Por medio del análisis de la problemática se realizó la identificación y clasificación de los
activos más sensibles y vulnerables a los riesgos que puedan generar gran impacto en el
departamento Secretaria lo podemos apreciar en la tabla C.1, a cada activo se le asigna un nivel
según su importancia, para determinar estos niveles se tomó la guía del Framework MAGERIT.
Tabla C.1: Nivel de importancia de los activos Valor Activo
5 [S] Servicios
8 [D] Datos
7 [HW] Equipos informáticos
5 [SW] Software
6 [P] Personal
Elaborado por el autor.
Una vez identificados los activos y el nivel de importancia para el departamento Secretaria
se calcula el nivel de criticidad de los activos sobre la seguridad de la información como se muestra
en la tabla C.3.
103
Para el completo entendimiento de los parámetros bajo la cual se desarrolló la matriz C.3,
se presenta la siguiente tabla.
Tabla C.2: Términos y conceptos para la tabla de identificación de activos Términos Conceptos
Tipo de activo Específica el tipo de activo identificado del
departamento de Secretaria.
Descripción del activo Describe la función que cumple el activo para
el departamento.
Descripción del riesgo Específica el riesgo al que está expuesto el
activo.
Vulnerabilidades Específica la causa por la cual se generan las
amenazas.
Amenazas Describe las amenazas que pueden afectar a los
activos.
Nivel de afección de criterio
Específica el nivel en que ha impactado el
riesgo, siendo C de confidencialidad, I de
integridad y D de disponibilidad.
Elaborado por el autor.
En la tabla C.3 se muestran los activos identificados del departamento Secretaria y el nivel
de criticidad que tienen sobre la seguridad de la información.
Tabla C.3: Matriz identificación de activos del departamento Secretaria
Nivel de afección de
los criterios de
seguridad
Tipo de
activo
Descripción del
activo
Descripción
del riesgo
Vulnerabilidade
s
Amenazas C
%
I
%
D
%
Valo
r %
[S] Servicios /
Servicio de
internet
Permite
conexión con la
WAN
otorgando mejor
comunicación y
transporte de
datos.
Puerta de
entrada para
atacantes
externos.
Falta de políticas
de seguridad de
la información.
Controles sobre
la navegación de
usuarios.
Fuga de
información
70 3
0
0 33.33
Acceso no
autorizado
20 2
0
0 13.33
Modificació
n deliberada
50 5
0
0 33.33
104
de la
información.
Ingeniería
social
50 5
0
0 33.33
[D] Datos /
Base de datos
física y digital
Almacenamient
o de record
académico de
los estudiantes,
contratos,
manuales,
procedimientos
de soporte.
Ataques
internos.
Perdida de
disponibilidad.
Alteración de
la integridad.
Mala segregación
de funciones.
Falta de control
de acceso.
Modificació
n deliberada
de la
información.
50 6
0
0 36.67
Avería de
origen físico
o lógico
0 2
0
5
0
23.33
Acceso no
autorizado
40 6
0
0 33.33
Fuga de
información
70 5
0
0 40
[HW] Equipos
informáticos /
Computadores
, routers,
servidores,
firewall
Automatización
de procesos del
departamento y
comunicación
del mismo.
Cese de
operaciones de
usuario.
Perdida de
disponibilidad.
Tecnología
obsoleta.
Catástrofes
naturales.
Mal control de
acceso a los
equipos.
Mala
configuración de
los equipos.
Avería de
origen físico
o lógico
0 3
0
7
0
33.33
Acceso no
autorizado
10 4
0
3
0
26.67
[SW]
Software /
Sistemas
operativos,
ofimáticos,
utilitarios
Permiten la
interacción
hombre-
máquina.
Errores de
funcionamiento
.
Bloqueo de
servicios.
Propagación de
amenazas.
Bajo control de
aplicaciones en
los
computadores.
Mal uso de las
aplicaciones.
Uso de software
pirata.
Modificació
n deliberada
de la
información
30 7
0
0 33.33
Ingeniería
social
40 2
0
0 20
Acceso no
autorizado
50 7
0
0 40
[P] Personal /
Servicios y
capacidades
Ejecutor de
procesos.
Vandalismo.
Sabotaje.
Deficiente
control de acceso
físico al
departamento.
Modificació
n deliberada
de la
información
50 7
0
0 56.67
105
Carencia de
asignación de
responsabilidades
.
Ingeniería
social
10
0
5
0
0 50
Acceso no
autorizado
70 7
0
0 46.67
Fuga de
información
10
0
3
0
0 43.33
Elaborado por el autor.
II. Análisis de los riesgos
Luego de ser identificados los activos a continuación se muestra el cálculo del impacto que
pueden causar las amenazas en caso de hacerse presente sobre la seguridad de la información del
departamento Secretaria.
Tabla C.4: Matriz impacto de las amenazas
Amenaza / activo Valor Promedio Impacto (VxP)
[E.19] Fuga de información 7.47
[S] Servicios 5 33.33 1.67
[D] Datos 8 40 3.20
[P] Personal 6 43.33 2.60
[A.11] Acceso no autorizado 9.98
[S] Servicios 5 13.33 0.67
[D] Datos 8 33.33 2.64
[HW] Equipos informáticos 7 26.77 1.87
[SW] Software 5 40 2
106
[P] Personal 6 46.67 2.80
[I.5] Avería de origen físico o lógico 4.2
[D] Datos 8 23.33 1.87
[HW] Equipos informáticos 7 33.33 2.33
[A.15] Modificación deliberada de la
información
9.25
[S] Servicios 5 33.33 1.66
[D] Datos 8 36.67 2.93
[SW] Software 5 33.33 1.66
[P] Personal 6 40 3.
[A.30] Ingeniería social 5.65
[S] Servicios 5 33.33 1.65
[SW] Software 5 20 1
[P] Personal 6 50 3
Elaborado por el autor.
Luego de ser identificados los activos se realiza el análisis del riesgo, tomando en cuenta
estimaciones respecto a los periodos de concepción de las amenazas y el impacto que causen en la
seguridad de la información, en la tabla C.7 mostramos el análisis del riesgo a los que se enfrentan
los activos del departamento Secretaria. Para el entendimiento del análisis de riesgos se establece
la tabla de estimación en que pueden ocurrir los riesgos en el departamento Secretaria.
107
Tabla C.5: Estimación de ocurrencias de los riesgos Valor Descripción
0-0.25 Anualmente
0.25-0.50 Semestralmente
0.51-0.75 Mensualmente
0.76-1.00 Semanalmente
Elaborado por el autor.
A continuación describimos los campos y conceptos de la tabla C.7 de análisis del impacto
de los riesgos del departamento Secretaria.
Tabla C.6: Conceptos de los términos usados en la tabla de análisis de impacto de los
riesgos. Términos Conceptos
Amenaza Especifica el tipo de riesgo identificado que se
puede del departamento de Secretaria.
Métricas para el análisis
Especifica el nivel en que ha impactado el
riesgo, siendo O de nivel de ocurrencia de los
riesgos e I el nivel de impacto de los riesgos
sobre los activos de la organización,
Elaborado por el autor.
Tabla C.7: Análisis de riesgos del departamento Secretaria Métricas para el análisis
Amenaza O I Total
[E.19] Fuga de información 0.05 7.47 0.37
[A.11] Acceso no autorizado 0.05 9.98 0.49
[I.5] Avería de origen físico o lógico 0.40 4.20 1.68
[A.15] Modificación deliberada de la información 0.15 9.25 1.39
[A.30] Ingeniería social 0.05 5.65 0.28
Elaborado por el autor.
108
III. Del plan de tratamiento de los riesgos del departamento Secretaria
Una vez implementados las mejoras de la Fase 1 se realizó nuevamente el cálculo para
demostrar la disminución sobre las amenazas, dando como resultado un nuevo riesgo, que como
se puede apreciar en la tabla C.8, la diferencia es considerable una vez implementadas las medidas
para que las posibilidades de que estas ocurran sean menores.
Tabla C.8: Comparación de riesgo Amenaza Riesgo anterior Nuevo Riesgo
[E.19] Fuga de información 0.37 0.216
[A.11] Acceso no autorizado 0.49 0.1996
[I.5] Avería de origen físico o
lógico
1.68 1.26
[A.15] Modificación
deliberada de la información
1.39 0.98
Elaborado por el autor.
A continuación en la ilustración C.1 se aprecia cómo disminuye el riesgo al implementar
las medidas de mejora que se obtuvieron como resultado al ejecutar el modelo.
109
Figura C.1: Análisis comparativo del riesgo
Elaborado por el autor.
0.37
0.49
1.68
1.39
0.216
0.1996
1.26
0.98
0 0.2 0.4 0.6 0.8 1 1.2 1.4 1.6 1.8
[E.19] Fuga de información
[A.11] Acceso no autorizado
[I.5] Avería de origen físico o lógico
[A.15] Modificación deliberada de lainformación
Nuevo riesgo Riesgo anterior
110
ANEXO D.- DEFINICIÓN DE CONTROLES PARA LA SEGURIDAD DE LA
INFORMACIÓN
Los controles buscan evaluar y corregir el desempeño de las medidas implementadas, se
procura con estos fomentar cultura de seguridad de la información, los controles ayudaran al
compromiso del personal y la organización para la realización correcta de las tareas y funciones.
I. Implementación de los controles
Se muestra los controles que son relevantes para el modelo escalonado de gestión de
incidentes de seguridad de la información con relación a las necesidades de ITGACIC. Se realiza
la implementación de los controles seleccionados, a continuación se muestra los controles
implementados en el departamento Secretaria.
II. Restricción del acceso a la información
Parte de las falencias de la administración antes del modelo fue el Restricción del acceso a
la información a los sistemas de información, no existía restricciones de uso para los usuarios
dejando la brecha abierta para confección de incidentes de seguridad de la información.
111
Figura D.1: Implementación de Restricción del acceso a la información
A.9.4.1 Restricción del acceso a la información
ISO 27035
Dominio: A.9. Control de acceso.
Objetivos:
Definir los lineamientos que establezca el control y monitorización del acceso de
usuarios en los sistemas de información.
Justificaciones
Justificación desde el negocio:Es necesario el control de acceso a los sistemas de información de ITGACIC , para evitar uso indebido o mal intencionado de la información.
Prácticas: Elaborar perfiles de usuarios con la ayuda de la segregación de funciones , para permitir y
denegar el acceso según corresponda su función. Monitorear el acceso a los sistemas de información con la finalidad de detectar posibles
intrusos.
MÉTRICAS
Número de detección de intrusos. Número de intrusiones con éxito. Número de incidencias ocasionadas por el uso indebido.
SALVAGUARDAS
[D] Protección de la información. [D.A] Copias de seguridad de los datos (Backup). [D.C] Cifrado de la información.
Elaborado por el autor.
III. Control de red
En el departamento de Secretaria la navegación web no se encontraba limitada, y los
usuarios no tienen los conocimientos para determinar si se encuentran en un sitio seguro, causando
la descarga de virus afectando a las estaciones de trabajo y su operatividad, por este motivo se creó
el control de red.
112
Figura D.2: Implementación de control de red
A.13.1.1 Control de red
ISO 27035
Dominio: A.13 Seguridad en las telecomunicaciones
Objetivos:
Definir los lineamientos estableciendo la navegación segura de los usuarios con acceso
a la web, para la red utilizada por el departamento Secretaria.
Justificaciones
Justificación desde el negocio:Es necesario el control de navegación web, y el control de tráfico en la red, debido a que los usuarios no se percatan de la navegación insegura y estos son la puerta para confección de los incidentes de seguridad de la información.
Prácticas: Elaborar configuraciones de navegación web en los servidores que facilitan el servicio . Realizar configuraciones de los puertos en los enrutadores bloqueando puertos para evitar
la posible intrusión de atacantes externos. Monitorear las actividades de navegación web. Precautelar la continuidad del servicio de navegación web.
MÉTRICAS
Número de intrusiones en los sistemas informáticos de ITGACIC a través de la web . Tráfico de salida a la web no identificado. Visitas a sitios peligrosos durante la navegación web.
SALVAGUARDAS
[S.www] Protección de servicios y aplicaciones web. [S.A] Aseguramiento de la disponibilidad. [S.dir] Protección del directorio.
Elaborado por el autor.
IV. Control de Uso de activos
Se estable controles de uso de los activos de información, así se pretende mantener la
seguridad de la información, comprometiendo a los usuarios a estos controles en donde el
departamento de TI deberá realizarlo periódicamente auditorias de control, comprobando los
inventarios, verificando el uso de los activos e informando en caso de existir cualquier anomalía.
113
Figura D.3: Implementación de Control de Uso de activos
A.8.1.3 Uso de activos
ISO 27035
Dominio: A.8 Gestión de activos.
Objetivos:
Definir los lineamientos para la prevención de daños o afecciones a los activos de
ITGACIC contra amenazas de forma óptima, garantizando la seguridad de los activos .
Justificaciones
Justificación desde el negocio:Se identifica los activos como parte vital para la operatividad diaria de ITGACIC.
Prácticas: Realizar inventario con la señalización de propietarios dentro de ITGACIC. Realización de directrices respecto al uso de los activos para salvaguardar su seguridad Revisión y documentación de Inventarios.
MÉTRICAS
Incremento de ciclo de vida útil de los activos. Reducción de daños a partir la concienciación al personal. Reducción de costes por daños irreversibles en los activos.
SALVAGUARDAS
[HW] Protección de los equipos informáticos. [HW.SC] Se aplica perfiles de seguridad. [HW.CM] Cambios (actualizaciones y mantenimientos).
Elaborado por el autor.
V. Control de cumplimiento de políticas de seguridad de la información
El cumplimiento de políticas de seguridad de la información ayuda a mantener al personal
comprometido y apoya al cumplimiento debido de procesos para el que se efectúen los objetivos
de la organización.
114
Figura D.4: Control de cumplimiento de políticas de seguridad de la información
A.18.2.2 Cumplimiento de las políticas y normas de seguridad
ISO 27035
Dominio: A.18 Cumplimiento
Objetivos:
Definir los lineamientos para la prevención de incidentes de seguridad de la
información que se puedan suscitar en ITGACIC, la política debe ser previamente
aprobada por la dirección de la organización .
Justificaciones
Justificación desde el negocio:Basado en la implementación de un Modelo escalonado de gestión de incidentes de seguridad de la información para ITGACIC, que cubra las necesidades de la organización.
Prácticas: Documentos firmados por la dirección de la organización que den afirmación de la
aprobación de las Políticas de seguridad de la información. Actas que den constancia de revisión periódicas y actualización de políticas . Concienciación de costos por recuperación tras incidencias.
MÉTRICAS
Minimización de Incidentes de seguridad de la información desde la concienciación de las políticas de gestión de incidentes de seguridad de la información .
Incremento porcentual respecto a las respuestas frente a incidencias . Minimización de gastos de TI, a causa de concienciación de costos por recuperación tras
incidencias.
SALVAGUARDAS
[H.IR] Gestión de incidencias. [H.VM] Gestión de vulnerabilidades. [H.AU] Registro y auditoria.
Elaborado por el autor.
VI. Control contra código malicioso
A partir de la segunda ejecución del modelo se determinó mediante las mejoras
implementadas en el plan de tratamiento de riesgo, específicamente de la implementación de
software antivirus el cual detectó software malicioso o de dudosa procedencia, surgiendo la
necesidad de controlar este tipo de incidencias. Es necesario mantener control del software que se
encuentre en las estaciones de trabajo, la realización de un inventario ayudará a percibir cualquier
115
anomalía relacionada con cualquier software no identificado o de dudosa procedencia, además de
que los privilegios para poder realizar las instalaciones de software serán exclusivas del
departamento de TI.
Figura D.5: Implementación de control contra código malicioso
A.12.2.1 Control contra código malicioso
ISO 27035
Dominio: A.12 Seguridad en la operatividad
Objetivos:
Definir los lineamientos estableciendo monitorización contra software malicioso o de
procedencia desconocida.
Justificaciones
Justificación desde el negocio:Es necesario el control de software para prevenir la implantación de software malicioso que afecte la operatividad de las estaciones de trabajo y dificulte los objetivos de empresa.
Prácticas: Elaborar inventario de todo el software que se encuentren en las estaciones de trabajo ,
mantener actualizado el inventario. Depurar las estaciones de trabajo del software malicioso. Bloquear el privilegio de instalación de software según los perfiles de los usuarios . Realizar monitorizaciones periódicamente.
MÉTRICAS
Número de software malicioso detectado. Número de inconsistencias en el inventario.
SALVAGUARDAS
[SW] Protección de las aplicaciones. [SW.A] Copias de seguridad. [SW.CS] Se aplican perfiles de seguridad. [SW.CM] Cambios (Actualizaciones y mantenimiento)
Elaborado por el autor.
VII. Control de Copias de seguridad de la información
Otro aspecto no contemplado es el respaldo de la información, el cual era efectuada
escasamente, con el control se pretende efectuar de manera ordenada, periódicamente y
documentada el proceso de respaldos de la información de ITGACIC, además de realizar la
116
comprobación del funcionamiento de los mismos. Este control se lo implementó en la segunda
ejecución del modelo debido a que fue detectado en la primera ejecución, a través de las mejoras
del plan de tratamiento de riesgos, en el que al detectar software malicioso se contempló la
posibilidad realizar la reinstalación del equipo y restaurar las copias de seguridad de la
información, pero se identificó la como vulnerabilidad que no se frecuentan las copias de seguridad
dando apertura a tomar medidas ante esta vulnerabilidad.
Figura D.6: Implementación de control Copias de seguridad de la información
A.12.3.1 Copias de seguridad de la infomración
ISO 27035
Dominio: A.12 Seguridad en la operatividad
Objetivos:
Definir los lineamientos para uso correcto de las cintas de respaldos, su
almacenamiento y eliminación.
Justificaciones
Justificación desde el negocio:Los backups que se realizan en ITGACIC no son llevados a pruebas para verificar su óptimo funcionamiento.
Prácticas: Realizar inventario periódicamente de backups. Seguir la política de respaldos establecida. Realizar pruebas de control a los respaldos verificando su funcionamiento .
MÉTRICAS
Número de backups comprobados que funcionaron correctamente. Número de backups que se encuentre existente fuera de su ciclo de vida útil . Numero de inconsistencias de backups documentados.
SALVAGUARDAS
[H] Protecciones generales. [H.AU] Registro y auditoria.
Elaborado por el autor.
117
ANEXO E.- DESARROLLO DE LOS INDICACODRES
Se realizó la elaboración de indicadores para los controles implementados con la finalidad
de obtener métricas de su eficacia, a continuación se muestran los indicadores que a través de las
métricas permitirán comprender si los controles implementados son efectivos, para un análisis
comparativo se realiza la ejecución del modelo escalonado por segunda vez una vez concluida la
Fase 1 del tratamiento de riesgo.
I. Indicador de Restricción del acceso a la información
Este indicador mostrará las métricas del desempeño que tuvo el control de Restricción del
acceso a la información en el departamento Secretaria durante la primera fase del plan de
tratamiento de riesgo.
118
Figura E.1: Indicador de Restricción del acceso a la información
Desempeño del control Restricción del acceso a la información
Definición
A través de indicador se busca medir la eficiencia del control de accesoa los
sistemas de información.
Objetivo
Realiza seguimiento de las los intentos de intrusiones e intrusiones en los
sistemas de información.
Tipo de indicador
Indicador de Gestión.
Descripción de la variable
VGSI-08: Número de intrusiones
tratadas o bloqueadas.
VGSI-09: Número de intrusiones
detectadas.
Formula
(VGSI-08/VGSI-09)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 91-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
Elaborado por el autor.
A continuación se presentan los resultados del Restricción del acceso a la información
siendo esta la segunda ejecución del control.
Tabla E.1: Resultado del indicador de Restricción del acceso a la información
Ejecución del control Intrusiones tratadas
Intrusiones detectadas
Resultado
Primera ejecución 7 10 70%
Segunda ejecución 3 4 75%
Elaborado por el autor.
II. Indicador de Control de red
119
Diseñado para verificar el desempeño del control de red, mostrando que tan eficientes
fueron las medidas realizadas respecto a la navegación de usuarios del departamento Secretaria.
Figura E.2: Indicador de navegación web
Desempeño del control de red
Definición
A través de indicador se busca medir la eficiencia del control de navegación en
la web del personal de la organización.
Objetivo
Realiza seguimiento de la navegación web una vez aplicada la configuración
para la navegación segura.
Tipo de indicador
Indicador de gestión
Descripción de la variable
VGSI-10: Número de páginas sin
certificados bloqueadas.
VGSI-11: Número intento de visitas de
páginas sin certificados.
Formula
(VGSI-10/VGSI-11)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 91-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
Elaborado por el autor.
A continuación se presentan los resultados del control de red siendo esta la segunda
ejecución del control.
Tabla E.2: Resultado del indicador de control de red
Ejecución del control Páginas bloqueadas
Intento de visitas Resultado
Primera ejecución 39 45 86.67%
Segunda ejecución 20 22 90.90%
Elaborado por el autor.
120
III. Indicador de Cumplimiento de políticas y normas de seguridad
Es importante reconocer si el personal se encuentra en conocimiento de la existencia de las
políticas de seguridad de la información, para ello se desarrolló este indicador que busca demostrar
que tanto del personal del departamento de Secretaria se encuentra informado de la existencia de
las políticas y si este personal se rige bajo estas, debido a que seguir estos lineamientos colaborará
a crear un óptimo rendimiento y un ambiente confiable, ayudando a cumplir los objetivos de la
organización.
Figura E.3: Indicador de Cumplimiento de políticas y normas de seguridad
Cumplimiento de políticas y normas de seguridad
Definición
A través de indicador se busca medir la aplicación de los lineamientos de
gestión de incidentes de seguridad de la información sensibilizados por medio
de campañas de concienciación.
Objetivo
Establece efectividad de la campaña de concienciación y capacitación para el
personal de ITGACIC sobre la relevancia de las directrices de la gestión de la
seguridad de la información.
Tipo de indicador
Indicador de cumplimiento.
Descripción de la variable
¿La entidad ha definido organizaciones
internas y responsabilidades con la
finalidad de cumplir las políticas de
incidentes de seguridad de la información?
VGSI-06: Número de personas que
respondieron que se cumple.
VGSI-07: Total de personas consultadas.
Formula
(VGIS-06/VGIS-07)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 90-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
121
Elaborado por el autor.
A continuación se presentan los resultados del control de cumplimiento de políticas y
normas de seguridad de la información siendo esta la segunda ejecución del control.
Tabla E.3: Resultado del indicador de Cumplimiento de políticas y normas de
seguridad
Ejecución del control Personas que incumplieron o
fallaron
Total de personas capacitadas
Resultado
Primera ejecución 1 5 20%
Segunda ejecución 0 5 0%
Elaborado por el autor.
IV. Indicador de desempeño de Control de Uso de activos
Para el correcto uso de los activos de información se desarrolló un control, para medir el
desempeño de este control se realizó este indicador a partir de la primera ejecución del modelo
escalonado, a través de las métricas resultantes podremos tomar acciones correctivas, creando una
propuesta para la mejora continua del modelo.
122
Figura E.4: Indicador de Control de Uso de activos
Desempeño del control Uso de activos
Definición
A través de indicador se busca medir la eficiencia del cubrimiento de las
directrices de control de activos y la seguridad de los mismos.
Objetivo
Realiza seguimiento de los activos críticos de información y el control al que
estén sometidos, bajo los parámetros de seguridad.
Tipo de indicador
Indicador de gestión.
Descripción de la variable
VGSI-02: Número de activos críticos de
información, que se encuentre dentro del
alcance del modelo de gestión de incidentes de
seguridad de la información y en zona de
riesgos que no requieran adquisición de
hardware o software.
VGSI-03: Número de activos críticos de
información, que se encuentren bajo el alcance
del modelo de gestión de incidentes de
seguridad de la información.
Formula
(VGSI-02/VGSI-03)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 90-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
Elaborado por el autor.
A continuación se presentan los resultados desempeño de control de Uso de activos siendo
esta la segunda ejecución del control.
123
Tabla E.4: Resultado del indicador de desempeño de Control de Uso de activos
Ejecución del control Activos que no requieren nueva
adquisición
Activos identificados Resultado
Primera ejecución 6 8 75%
Segunda ejecución 7 8 87.50%
Elaborado por el autor.
V. Indicador de Control contra software malicioso
Este indicador al igual que su control fue desarrollado a partir de la segunda ejecución del
modelo, debido que fue parte del segundo plan de mejora continua, ya que se detectaron estas
incidencias con software malicioso detectado, con el resultado de este indicador se muestra que
tan efectivo fue el control de software.
124
Figura E.5: Indicador de Control contra software malicioso
Desempeño del Control contra software malicioso
Definición
A través de indicador se busca medir la eficiencia del control de software que se
ejecuta para el reconocer software malicioso o de dudosa procedencia.
Objetivo
Realiza seguimiento del software que se encuentra en las estaciones de trabajo
manteniendo un ambiente controlado y que genere confianza.
Tipo de indicador
Indicador de Gestión.
Descripción de la variable
VGSI-12: Número de software
malicioso o de dudosa procedencia
tratado o eliminado.
VGSI-13: Número de software
malicioso o de dudosa identificado.
Formula
(VGSI-12/VGSI-13)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 90-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
Elaborado por el autor.
A continuación se presentan los resultados desempeño de Control contra software
malicioso siendo este integrado en la segunda ejecución del control.
125
Tabla E.5: Resultado del indicador de Control contra software malicioso
Ejecución del control Número de software
malicioso tratado
Número total de software malicioso
Resultado
Detección a través del plan de tratamiento de riesgo
10 13 76.92%
Primera ejecución 4 5 80%
Elaborado por el autor.
VI. Indicador de Copias de seguridad de la información
Con este indicador se muestra la efectividad del control de copias de seguridad de la
información, se muestra la efectividad de este control al simular la restauraciones de las copias de
seguridad efectuadas, obteniendo resultados de que porcentaje fue de estas copias de seguridad se
las realizó de manera adecuada.
126
Figura E.6: Indicador Copias de seguridad de la información
Desempeño del Copias de seguridad de la información
Definición
A través de indicador se busca medir la eficiencia del control de las copias de
seguridad de la información, buscando revelar si se realiza el correcto
seguimiento del funcionamiento de los backups.
Objetivo
Realiza seguimiento de backups a través de simulaciones en las que se ponga a
prueba el funcionamiento las cintas de respaldos realizados.
Tipo de indicador
Indicador de gestión.
Descripción de la variable
VGSI-14: Número de simulaciones de
restauración con éxito.
VGSI-15: Número de simulaciones de
restauración realizadas.
Formula
(VGSI-14/VGSI-15)*100
Metas
Mínima 75-80% Satisfactoria 81-90% Sobresaliente 90-100%
Si el porcentaje es menor al mínimo se debe efectuar una revisión del control
para detectar si existen falencias o aplicar otro control como apoyo.
Elaborado por el autor.
A continuación se presentan los resultados desempeño de Copias de seguridad de la
información siendo este integrado en la segunda ejecución del control.
127
Tabla E.6: Resultado del indicador de Copias de seguridad de la información
Ejecución del control Restauraciones con éxito
Total de restauraciones
Resultado
Detección a través del plan de tratamiento de riesgo
0 0 0%
Primera ejecución 7 8 87.50%
Elaborado por el autor.
128
ANEXO F.- PROCESO MEJORA CONTINUA
Para el proceso de mejora continua se tomará toda la documentación de las experiencias
adquiridas tras ejecución del modelo, esto permitirá la elaboración de nuevas medidas de mejora
que contenga acciones contra situaciones anteriormente no previstas, estas acciones se las
integraran al modelo ya existente.
Figura F.1: Procesos de mejora continúa
Evaluación de procesos del
modelo
Análisis de los resultados de la
ejecución del modelo
Actualización y ejecución del modelo
Elaboración de nuevas
medidas a partir de los
resultados para integrar a
modelo
Elaborado por el autor.
Recommended