UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS ...repositorio.ug.edu.ec/bitstream/redug/38810/1/Tesis...contenidos desarrollados en este trabajo de titulación, cuyo título es “Modelo

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS ADMINISTRATIVAS

TRABAJO DE TITULACIÓN PRESENTADO COMO REQUISITO PARA OPTAR POR

EL TÍTULO DE INGENIERÍA EN SISTEMAS ADMINISTRATIVOS

COMPUTARIZADOS

TEMA:

MODELO ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035

AUTOR: Rodríguez Cepeda Steven Xavier

TUTOR DE TESIS: Msc. David Cárdenas Giler

Guayaquil, Marzo 2019



INGENIERIA EN SISTEMAS ADMINISTRATIVOS

COMPUTARIZADOS

UNIDAD DE TITULACIÓN

i

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO: Modelo escalonado para gestión de incidentes de seguridad de la

información para ITGACIC S.A. basado en la norma ISO/IEC 27035

AUTOR(ES) (apellidos/nombres): Rodríguez Cepeda Steven Xavier

REVISOR(ES)/TUTOR(ES) (apellidos/nombres):

Msc. Wilches Medina Alexandra

Msc. Cárdenas Giler David Xavier

INSTITUCIÓN: Universidad de Guayaquil

UNIDAD/FACULTAD: Ciencias administrativas

MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistemas Administrativos Computarizados

GRADO OBTENIDO: Ingeniero en Sistemas Administrativos Computarizados

FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 138

ÁREAS TEMÁTICAS: Tecnologías de la Información

PALABRAS CLAVES/

KEYWORDS:

Incidencias de seguridad de la información, vulnerabilidades, amenazas,

riesgos, Seguridad de la información.

RESUMEN/ABSTRACT : Con el arribo de la tecnológica y el cambio asociado a esta misma en todos los

aspectos de la sociedad humana, las empresas independientemente de su tamaño, actividad, ámbito de actuación

o forma jurídica, perciben la transformación digital (adopción de tecnologías digitales para automatizar los

procesos) como hecho ineludible. El presente trabajo está orientado a contribuir a la empresa ITGACIC S.A. que

tiene como principal actividad económica enseñanzas de educación superior, siendo de conocimiento que la

información es el activo más importante y vital para la operatividad de la organización, este activo está

constantemente expuesto a un número creciente de amenazas siendo estas cada vez más sofisticadas, se han

presentado incidencias que la mesa de ayuda de ITGACIC siendo responsable de precautelar la seguridad de la

información, presenta insuficiencia o incapacidad. Encontrándose ITGACIC en la necesidad de gestionar de

manera eficaz y confiable las incidencias de seguridad de la información, se propone como la solución más

viable la realización de un modelo escalonado de gestión de incidentes de seguridad de la información basado en

la norma ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las eventualidades que se presenten,

precautelando la ejecución de las operaciones y por ende el cumplimiento de los objetivos, adicional genera el

cumplimiento de las leyes impuestas a las organizaciones de esta índole.

ADJUNTO PDF: SI NO

CONTACTO CON AUTOR/ES: Teléfono: 2-936238

0991136133

E-mail:

[email protected]

CONTACTO CON LA

INSTITUCIÓN:

Nombre: Lcdo. Marlon Alarcón

Teléfono: 0994503520

E-mail: [email protected]




COMPUTARIZADOS


ii

Guayaquil, 31 de Enero del 2019

ING. ERICK PAÚL MURILLO DELGADO, MAE.

DIRECTOR (A) DE LA CARRERA

INGENIERÍA EN SISTEMAS ADMINISTRADOS COMPUTARIZADOS

FACULTAD CIENCIAS ADMINISTRATIVAS


Ciudad.-

Guayaquil

De mis consideraciones:

Envío a Ud. el Informe correspondiente a la tutoría realizada al Trabajo de Titulación MODELO

ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035, del (los)

estudiante (s) Steven Xavier Rodríguez Cepeda, indicando ha (n) cumplido con todos los

parámetros establecidos en la normativa vigente:

El trabajo es el resultado de una investigación.

El estudiante demuestra conocimiento profesional integral.

El trabajo presenta una propuesta en el área de conocimiento.

El nivel de argumentación es coherente con el campo de conocimiento.

Adicionalmente, se adjunta el certificado de porcentaje de similitud y la valoración del trabajo de

titulación con la respectiva calificación.

Dando por concluida esta tutoría de trabajo de titulación, CERTIFICO, para los fines pertinentes,

que el (los) estudiante (s) está (n) apto (s) para continuar con el proceso de revisión final.

Atentamente,

_____________________________________

Msc. David Cárdenas Giler

C.I. 0914619358




COMPUTARIZADOS


iii

CERTIFICADO PORCENTAJE DE SIMILITUD

Habiendo sido nombrado Msc. David X. Cárdenas Giler, tutor del trabajo de titulación

certifico que el presente trabajo de titulación ha sido elaborado por Rodríguez Cepeda Steven

Xavier, con C.C.: 0950315630, con mi respectiva supervisión como requerimiento parcial

para la obtención del título de Ingeniero en Sistemas Administrativos Computarizados.

Se informa que el trabajo de titulación: “Modelo escalonado para gestión de incidentes de

seguridad de la información para ITGACIC S.A. basado en la norma ISO/IEC 27035”,

ha sido orientado durante todo el periodo de ejecución en el programa antiplagio URKUND

quedando el 0% de coincidencia.

https://secure.urkund.com/view/46307992-786519-

529482#q1bKLVayio7VUSrOTM/LTMtMTsxLTlWyMqgFAA==

Msc. David X. Cárdenas Giler

C.I. 0915249668

https://secure.urkund.com/view/46307992-786519-529482#q1bKLVayio7VUSrOTM/LTMtMTsxLTlWyMqgFAA==

https://secure.urkund.com/view/46307992-786519-529482#q1bKLVayio7VUSrOTM/LTMtMTsxLTlWyMqgFAA==




COMPUTARIZADOS


iv

Guayaquil, 31 de Enero 2019

CERTIFICACIÓN DEL TUTOR / REVISOR

Habiendo sido nombrado Msc. Alexandra Wilches Medina, tutor del trabajo de titulación

Modelo escalonado para gestión de incidentes de seguridad de la información para

ITGACIC S.A. basado en la norma ISO/IEC 27035 certifico que el presente trabajo de

titulación, elaborado por Steven Xavier Rodríguez Cepeda, con C.I. No. 0950315630, con

mi respectiva supervisión como requerimiento parcial para la obtención del título de

Ingeniero en Sistemas Administrativos Computarizados, en la Ingeniería en Sistemas

Administrativos Computarizados facultad Ciencias administrativas, ha sido REVISADO Y

APROBADO en todas sus partes, encontrándose apto para su sustentación.

_________________________ _______________________________

Msc. David X. Cárdenas Giler Msc. Alexandra Wilches Medina




COMPUTARIZADOS


v

LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL

USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS

Yo, Steven Xavier Rodríguez Cepeda con C.I. No. 0950315630, certifico que los

contenidos desarrollados en este trabajo de titulación, cuyo título es “Modelo escalonado para

gestión de incidentes de seguridad de la información para ITGACIC S.A. basado en la norma

ISO/IEC 27035” son de mi absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114 del

CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS,

CREATIVIDAD E INNOVACIÓN*, autorizo el uso de una licencia gratuita intransferible y no

exclusiva para el uso no comercial de la presente obra con fines no académicos, en favor de la

Universidad de Guayaquil, para que haga uso del mismo, como fuera pertinente.

__________________________________________

Steven Xavier Rodríguez Cepeda

C.I. No. 0950305630

*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita,

intransferible y no exclusiva para el uso no comercial de la obra con fines académicos.




COMPUTARIZADOS


vi

DEDICATORIA

A Jehová Dios porque sin Él nada somos y con el todo lo podemos.

A mis padres porque a lo largo de estos 24 años se han esforzado para darme lo mejor,

porque es por ellos todo lo bueno que hay en ser, este triunfo, este título es gracias al esfuerzo y el

apoyo que me han dado, como hijo nunca podré devolverles todo lo que han hecho por mí, pero

esto es una forma de agradecerles por su amor, compresión y apoyo incondicional.





COMPUTARIZADOS


vii

AGRADECIMIENTO

Agradezco a Dios por cuidarme y guiarme día a día en mi camino, por la bendición de vivir

este momento, a mi familia por ser un pilar fundamental en mi vida porque ellos son mi

roca de apoyo, porque son el motor que me impulsa a seguir mejorando día a día.

A mi tutor, Ing. David Cárdenas Giler por toda la ayuda que me ha brindado en este

proyecto tan importante, por mostrar que esforzándonos y siendo disciplinado se puede conseguir

lo que muchas veces creemos imposible.





COMPUTARIZADOS


viii

“MODELO ESCALONADO PARA GESTIÓN DE INCIDENTES DE SEGURIDAD DE

LA INFORMACIÓN PARA ITGACIC S.A. BASADO EN LA NORMA ISO/IEC 27035”

Autor: Steven Xavier Rodríguez

Cepeda

Tutor: Msc. David Xavier Cárdenas

Giler

RESUMEN

Con el arribo de la tecnológica y el cambio asociado a esta misma en todos los aspectos de la

sociedad humana, las empresas independientemente de su tamaño, actividad, ámbito de actuación

o forma jurídica, perciben la transformación digital (adopción de tecnologías digitales para

automatizar los procesos) como hecho ineludible.

El presente trabajo está orientado a contribuir a la empresa ITGACIC S.A. que tiene como

principal actividad económica enseñanzas de educación superior, siendo de conocimiento que la

información es el activo más importante y vital para la operatividad de la organización, este activo

está constantemente expuesto a un número creciente de amenazas siendo estas cada vez más

sofisticadas, se han presentado incidencias que la mesa de ayuda de ITGACIC siendo responsable

de precautelar la seguridad de la información, presenta insuficiencia o incapacidad.

Encontrándose ITGACIC en la necesidad de gestionar de manera eficaz y confiable las incidencias

de seguridad de la información, se propone como la solución más viable la realización de un

modelo escalonado de gestión de incidentes de seguridad de la información basado en la norma

ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las eventualidades que se presenten,

precautelando la ejecución de las operaciones y por ende el cumplimiento de los objetivos,

adicional genera el cumplimiento de las leyes impuestas a las organizaciones de esta índole.

Palabras Claves: Incidencias de seguridad de la información, vulnerabilidades, amenazas,

riesgos, Seguridad de la información.




COMPUTARIZADOS


ix

“STANDARDIZED MODEL FOR MANAGING INFORMATION SECURITY

INCIDENTS FOR ITGACIC S.A. BASED ON ISO / IEC 27035 STANDARD”

Author: Steven Xavier Rodríguez

Cepeda

Advisor: Msc. David Xavier

Cárdenas Giler

ABSTRACT

With the arrival of technology and the change associated with this same society in all aspects of human society, companies, activity, the field of legal activity and digital printing. processes) as an inescapable fact. The present work is oriented to contribute to the ITGACIC SA company whose main economic activity is higher education, being the knowledge the information is the most important and vital asset for the operation of the organization. is more and more sophisticated, the incidences of the ITGACIC help desk have been presented, being responsible for the security of the information, the presentation of the disability. I found ITGACIC in the need to effectively and reliably manage information security incidents, proposing the implementation of a stepped model of information security incident management based on ISO 27035 as the most viable solution. Which is the objective of preventing, detecting and dealing with the eventualities that arise, precaution in the execution of the operations and in the fulfillment of the objectives, in addition to the rules of compliance with the laws imposed on the organizations of this nature. Keywords: Incidents of information security, vulnerabilities, threats, risks, Information security.

1

ÍNDICE

Repositorio nacional en ciencia y tecnología ................................................................................... i

Certificado porcentaje de similitud ................................................................................................ iii

Certificación del tutor / revisor ...................................................................................................... iv

Licencia gratuita intransferible y no exclusiva para el uso no comercial de la obra con fines no

académicos ...................................................................................................................................... v

Dedicatoria ..................................................................................................................................... vi

Agradecimiento ............................................................................................................................. vii

Resumen ....................................................................................................................................... viii

Abstract .......................................................................................................................................... ix

Índice............................................................................................................................................... 1

Índice de Figuras ............................................................................................................................. 3

Índice de tablas ............................................................................................................................... 4

CAPÍTULO 1 .................................................................................................................................. 5 1.1. Introducción ...................................................................................................................................................................... 5 1.2. Antecedentes ................................................................................................................................................................... 10 1.3. El problema...................................................................................................................................................................... 13 1.4. Objetivos ........................................................................................................................................................................... 17 1.4.1. Objetivo General ........................................................................................................................................................ 17 1.4.2. Objetivos Específicos ............................................................................................................................................... 17 1.5. Justificación ..................................................................................................................................................................... 17 1.6. Contexto y marco teórico ........................................................................................................................................... 18 1.6.1 Relevancia social ......................................................................................................................................................... 18 1.6.2. El propósito del estudio. ......................................................................................................................................... 19 1.6.3. El significado del estudio. ....................................................................................................................................... 19 1.7. Definición de términos ................................................................................................................................................ 19

CAPÍTULO 2 DISEÑO TEÓRICO .............................................................................................. 21 2.1. Fuentes .............................................................................................................................................................................. 21 2.2. Introducción .................................................................................................................................................................... 21 2.3. Norma ISO 27035 .......................................................................................................................................................... 22 2.3.1. Historia de la norma ISO 27035 .......................................................................................................................... 22 2.3.2. Estructura de la norma ISO 27035 ..................................................................................................................... 23 2.3.3. Alcance de la norma ISO 27035 ........................................................................................................................... 24 2.4. Conceptos y principios ................................................................................................................................................ 25 2.4.1. Glosario del trabajo .................................................................................................................................................. 25 2.5. IRT ....................................................................................................................................................................................... 26 2.5.1. Tipos de IRT ................................................................................................................................................................. 27 2.5.2. Funciones del IRT ...................................................................................................................................................... 28 2.5.3. Tareas de la IRT .......................................................................................................................................................... 28 2.6. Relación de los objetos en un incidente de seguridad de información ................................................... 29

2

2.7. PHVA ................................................................................................................................................................................... 29 2.8. Gestión de incidentes de seguridad de la información .................................................................................. 30 2.8.1. Beneficios de un enfoque estructurado ............................................................................................................ 31 2.8.2. Relación de la gestión de incidentes con el SGSI .......................................................................................... 32 2.9. Fases de la gestión de incidentes de seguridad de la información ........................................................... 34 2.9.1. Planificar y preparar ................................................................................................................................................ 35 2.9.2. Detección y reporte .................................................................................................................................................. 36 2.9.3. Evaluación y decisión ............................................................................................................................................... 38 2.9.4. Respuestas a incidentes .......................................................................................................................................... 42 2.9.5. Lecciones aprendidas .............................................................................................................................................. 43

CAPÍTULO 3 ................................................................................................................................ 46 3.1. METODOLOGÍA DE LA INVESTIGACIÓN ............................................................................................................. 46 3.1.1. Investigación de campo .......................................................................................................................................... 47 3.1.2. La investigación exploratoria ............................................................................................................................... 47 3.1.3. Investigación descriptiva ....................................................................................................................................... 48 3.2. Población y muestra ..................................................................................................................................................... 48 3.3. Técnicas e instrumentos de investigación .......................................................................................................... 49 3.3.1. Observación ................................................................................................................................................................. 49 3.3.2. Análisis de los resultados ....................................................................................................................................... 49 3.4. Metodología de la investigación aplicada ........................................................................................................... 50

CAPÍTULO 4 ................................................................................................................................ 53 4.1. LA PROPUESTA .............................................................................................................................................................. 53 4.2. Justificación de la propuesta .................................................................................................................................... 54 4.3. Descripción de la propuesta ..................................................................................................................................... 55 4.3.1. Implementación del diseño del modelo escalonado de gestión de incidentes de seguridad de la información en los marcos de ISO 27035 .................................................................................................................... 55 4.4. Fase 1: Planificar y preparar políticas de seguridad ...................................................................................... 57 4.5. Fase 2: Gestión de riesgos .......................................................................................................................................... 57 4.6. Fase 3: Definición de controles................................................................................................................................ 63 4.7. Fase 4: Mejora continua.............................................................................................................................................. 67 4.7.1. Desarrollo de los indicadores ............................................................................................................................... 67 4.7.2. Análisis de los resultados de los indicadores................................................................................................. 67 4.7.3. Medidas preventivas y correctivas..................................................................................................................... 68 4.7.4. Propuesta ...................................................................................................................................................................... 69

CAPÍTULO 5 ................................................................................................................................ 76 5.1. Conclusiones ................................................................................................................................................................... 76 5.2. Aportaciones y reflexiones ........................................................................................................................................ 78 5.2.1. Aportaciones................................................................................................................................................................ 78 5.2.2. Reflexiones ................................................................................................................................................................... 78 5.3. Oportunidad de futura investigación y desarrollo .......................................................................................... 78 BIBLIOGRAFÍA ........................................................................................................................................................................ 80

ANEXOS ...................................................................................................................................... 82

3

Índice de Figuras

Figura 1.1: Tipos de amenazas de seguridad de la información ................................................ 6 Figura 1.2: Alcance de daños en la seguridad de la información causados por vulnerabilidades

explotadas ............................................................................................................................ 7 Figura 1.3: Controles implementados por las organizaciones el Latinoamérica ....................... 8 Figura 1.4: Estructura organizacional ITGACIC S.A., 2018 ................................................... 10

Figura 1.5: Árbol de problema de ITGACIC ........................................................................... 15

Figura 2.1: Procesos del Reporte técnico TR 18044:2004……………………………….......23

Figura 2.2: Estructura de la norma ISO 27035…………………………….......………….….24

Figura 2.3: Aspectos que las organizaciones deben considerar en la aplicación de la norma

ISO27035………………………………………………………….……………………….…25

Figura 2.4: Tipos de IRT……………………………………………………………………..27

Figura 2.5: Relación de los objetos en un incidente de seguridad de información…………..29

Figura 2.6: PHVA alineado a ISO 27035…………………………………………………….30

Figura 2.7: Gestión de la información aplicando el uso de un enfoque estructurado……......32

Figura 2.8: Relación de la gestión de incidentes con el SGSI………………………………..34

Figura 2.9: Fases de la Gestión de incidentes de seguridad de la información………………35

Figura 2.10: Medios y fuentes de detección de eventos……………………………………...37

Figura 2.11: Interacción del IRT respecto al reporte de un evento………………….……….38

Figura 2.12: Diagrama de Flujo de eventos e incidente a través de las fases de gestión de

incidentes……………………………………………………………………………………..45

Figura 3.1: Investigación del trabajo…………………………………....……………………47

Figura 3.2: Metodología de la investigación utilizada………………………………….…....51

Figura 4.1: Modelo escalonado de gestión de incidentes de seguridad de la información. ..... 56

Figura 4.2: Composición del riesgo según las amenazas ......................................................... 59 Figura 4.3: Fases de ejecución del plan de tratamiento de riesgo ............................................ 62

Figura 4.4: Controles implementados por el modelo ............................................................... 64 Figura 4.5: Análisis comparativo de las ejecuciones del modelo ............................................ 74

4

Índice de tablas

Tabla 1.1: Incidentes reportados .............................................................................................. 13 Tabla 2.1: Conceptos de relevancia para el entendimiento del trabajo .................................... 26 Tabla 2.2: Funciones de la IRT ................................................................................................ 28

Tabla 2.3: Tareas de la IRT...................................................................................................... 28 Tabla 2.4: Objetivos de la gestión de incidencias de seguridad de la información ................. 31 Tabla 2.5: Gestión de incidentes fase Planificar y preparar ..................................................... 35 Tabla 2.6: Gestión de incidentes fase Detección y reporte ...................................................... 36

Tabla 2.7: Gestión de incidentes fase Evaluación y decisión .................................................. 38 Tabla 2.8: Ejemplo de criterios fundamentales de incidentes.................................................. 39

Tabla 2.9: Ejemplos de impacto de acuerdo con los incidentes .............................................. 39 Tabla 2.10: Ejemplo de clasificación por escala de daño del incidente ................................... 40 Tabla 2.11: Ejemplo de clasificación de Información / Sistemas de importancia ................... 41

Tabla 2.12: Ejemplos de clasificación de nivel de alarma de incidentes ................................. 41 Tabla 2.13: Gestión de incidentes fase Respuestas .................................................................. 42

Tabla 2.14: Tipos de respuestas ............................................................................................... 43 Tabla 2.15: Gestión de incidentes fase Lecciones aprendidas ................................................. 43 Tabla 2.16: Gestión de incidentes actividades repetitivas en las fases .................................... 44

Tabla 3.1: Resultados de la técnica observación ..................................................................... 50 Tabla 4.1: Tasación de los activos ........................................................................................... 58

Tabla 4.2: Plan de tratamiento de riesgos ................................................................................ 60 Tabla 4.3: Análisis tiempo y costo del plan de tratamiento de riesgo ..................................... 62

Tabla 4.4: Declaración de aplicabilidad……………………………………………………...66

Tabla 4.5: Efectividad de los controles implementados .......................................................... 67

Tabla 4.6: Medidas correctivas ................................................................................................ 69

Tabla 4.7: Medidas correctivas…………………………………………....…………….……69

Tabla 4.8: Detección de incidentes o eventos de seguridad de la información………………70

Tabla 4.9: Plan de mejora continúa.......................................................................................... 71

Tabla 4.10: Detección de incidentes o eventos de seguridad de la información……………..72

Tabla 4.11: Plan de mejora continúa…………………………………………………………73

Tabla 4.12: Beneficios del modelo implementado…………………………………………...74

Tabla 5.1: Conclusiones de la investigación……………………………………………….…76

5

CAPÍTULO 1

1.1. Introducción

En el ámbito empresarial la tecnología se ha vuelto fundamental para las actividades diarias

mejorando procesos, implementando nuevas herramientas y hasta incrementando ingresos. La

tecnología permite recopilar información para poder almacenar, estudiar, actualizar, recuperar,

transmitir y manipular datos proporcionando sentido o significado a las cosas, convirtiendo a la

información unido a los procesos y sistemas que la utilizan en activos muy importantes de toda

organización (ISO 27000, 2012).

Para el instituto de educación superior ITGACIC dichos activos de tal relevancia resultan

ser constantemente expuestos a un número creciente de amenazas siendo conscientes de la

existencia de riesgos a los cuales está obligado a enfrentarse. En cuanto a sofisticación las

amenazas se multiplican y aumentan, la organización deben estar consciente de este hecho, es

importante que mantenga las tendencias de seguridad considerando que no se puede asegurar la

totalidad de la protección de la información incluso disponiendo de un presupuesto ilimitado

(Reporte de seguridad cibernética de las Américas, 2015).

Un reporte realizado en el 2015 por la Organización de Estados Americanos OEA muestra

algunos de los distintos tipos de incidentes de seguridad a los que se han enfrentado y que aún

tienen que enfrentar las organizaciones (Reporte de seguridad cibernética de las Américas, 2015).

6

Figura 1.1: Tipos de amenazas de seguridad de la información

Elaborado por el autor a partir de Reporte de seguridad cibernética de las Américas, 2015.

Causando distintos tipos de incidentes que derivan en graves consecuencias y dejando

descubiertas las brechas, las amenazas aprovechan cualquier vulnerabilidad existente para

violentar a los sistemas implicados en el tratamiento de la confidencialidad, integridad y

disponibilidad de la información siendo estos tres términos los que constituyen la base en la cual

se edifica la seguridad de la información, según el reporte realizado por la OEA en el 2015 respecto

a las vulnerabilidades un 60 por ciento podrían afectar a la confidencialidad, mientras que un 30

por ciento amenaza a la integridad, en tanto al 10 por ciento restante afectaría la disponibilidad de

la información y servicios (Reporte de seguridad cibernética de las Américas, 2015).

28%

20%

16%

13%

8%

8%7%

Phishing Vulnerabilidades

DDos Inyección de SQL

Cross site scripting Ataques originados por Hacktivistas

ATPs

7

Figura 1.2: Alcance de daños en la seguridad de la información causados por

vulnerabilidades explotadas

Elaborado por el autor a partir de Reporte de seguridad cibernética de las Américas, 2015.

(Forbes, 2018) Señala que el sector educativo se encuentra en el tercer puesto a nivel

mundial cuando se habla de vulnerabilidad solo por debajo del sector financiero y gubernamental,

que ocupan el primer y segundo puesto respectivamente.

Considerando a las universidades como punto vulnerable perfecto debido a que no solo

registra atacantes externos, también cuenta con una gran cantidad de atacantes internos, siendo

mayormente los estudiantes quienes al querer aplicar conocimientos adquiridos intentan vulnerar

las redes de las universidades (Forbes, 2018).

Kaspersky Lab incita a los académicos a tener un mayor cuidado respecto a la navegación

en línea, debido a que una investigación realizada por parte de esta compañía concluyó como

resultado la detección de múltiples ataques cibernéticos realizados en 131 universidades en 16

60%

30%

10%

Confidencialidad Integridad Disponibilidad

8

países, todos estos intentos de robo de información privilegiada o confidencial se los han realizado

tan solo desde Septiembre del 2017 (Kaspersky LAB, 2018).

Una encuesta anual de seguridad de la información realizada por Building a better working

world muestra que a nivel de Latinoamérica evidencia la preocupación de las organizaciones, que

realizan la ejecución de controles para mitigar los riesgos a los que están expuesto sus activos de

gran importancia, teniendo presente que no se puede garantizar un nivel de protección total pero

si minimizar los riesgos nuevos o que van en aumento, evitando en muchas ocasiones cuantiosos

gastos por información comprometida (Global Information Security Survey, 2015).

Figura 1.3: Controles implementados por las organizaciones el Latinoamérica

Elaborado por el autor a partir de Global Information Security Survey, 2015.

Esta encuesta revela los controles más relevantes, y destaca los ajustes de políticas dentro

de las organizaciones como una de las medidas de mayor impacto para la seguridad de la

64%

47%

34%

31%

39%

34%

29%

17%

8%

24%

0% 20% 40% 60% 80%

Ajustes de políticas

Más actividades de concienciación de laseguridad

Técnicas de encriptación

Controles mas sólidos de administración deidentidad y acceso

Más habilidades de auditoria

Cambios arquitectónicos

Procesos ajustados de manejo de incidentes

Porceso más sólidos de administración decontratos

Mayor due diligence de proveedores deservicios

Nuevos procesos disciplinarios

9

información. La mejor manera de implementar políticas de seguridad para la obtención de los

mejores resultados es seguir los lineamientos internacionales de las buenas prácticas a las que se

acogen las organizaciones en todo el orbe.

La ISO (Organización de Estándares Internacionales) expone la serie ISO 27035 que nos

da pautas para realizar una gestión adecuada de los incidentes que afectan a la seguridad de la

información, dando espacio a la identificación de los riesgos a los que está expuesta la información,

tomando medidas, realizando cambios según la necesidad permitiendo conocer, asumir, minimizar

y gestionar estos riesgos, documentando todos los hechos acontecidos, puesto que es virtualmente

imposible garantizar un nivel total de protección, pero la gestión documentada ayudará y servirá

como material de apoyo ante posteriores conflictos e inconvenientes (ISO 27000, 2016).

Un modelo escalonado para la gestión de incidentes de Seguridad de la información dará

espacio a que la empresa ITGACIC S.A. conozca, asuma, minimice y gestione los riesgos a los

que está expuesta de la seguridad de la información, manteniendo un bajo nivel de riesgos para

beneficio de la organización llegando a preservar los niveles de competitividad, rentabilidad y

conformidad logrando los objetivos de la organización, evitando que los activos críticos de

información se encuentren sometidos a fraude, espionaje, sabotaje o vandalismo entre otros

ejemplos de vulnerabilidades que pueden afectar como el hacking, virus o denegación de servicios,

también considerando incidentes de seguridad causados siendo o no cometidos de forma

deliberada o pertenezcan a aquellos provocados por catástrofes naturales o fallos técnicos (ISO

27000, 2012).

10

1.2. Antecedentes

ITGACIC es una empresa dedica a la educación superior formando profesionales

especializados a nivel tecnológico en artes y ciencias digitales, con una trayectoria de 20 años en

el Ecuador. Fundada por el Doctor Efraín Paredes que desde sus orígenes ha contado con las

autorizaciones necesarias que la facultan para su correcto funcionamiento.

En la ciudad de Guayaquil la empresa ITGACIC S.A. con actividad económica de

enseñanza superior, diariamente esta institución genera, manipula, corrige y actualiza información

de las clasificaciones confidencial, pública, restringida y de uso interno.

ITGACIC cuenta con un personal altamente calificado para el cumplimiento de sus

funciones en las ocupaciones asignadas dentro de cada departamento de la institución, en la

siguiente ilustración se muestra la estructura organizacional de la institución ITGACIC.

Figura 1.4: Estructura organizacional ITGACIC S.A., 2018

11

Elaborado por el autor

Debido a la naturaleza de la empresa la información que esta emita a los organismos

reguladores correspondientes debe ser de calidad, pertinente y actualizada, de esta manera la

seguridad de la información se vuelve en un punto de gran importancia para las organizaciones de

esta índole, así lo exige la Ley Orgánica de Educación Superior en vista de que el cumplimiento

de estas propiedades sobre la información presentada a los entes reguladores propicia la

acreditación de las instituciones para su correcto funcionamiento (Servicio Ecuatoriano de

Normalización, 2016).

Con el objetivo de gestionar de forma eficiente y eficaz la seguridad de la información, la

Secretaría Nacional de Administración Pública del Ecuador emitió en el acuerdo ministerial No

166 un documento nombrado Esquema Gubernamental de la Seguridad de la Información que

expone el uso de las buenas prácticas de seguridad basado en la Norma Técnica Ecuatoriana NTE

INEN ISO/ICE 27000, siendo esta norma ecuatoriana la adaptación de la norma internacional

ISO/IEC 27000 (Esquema Gubernamental de la Seguridad de la Información, 2013).

La alta gerencia de la institución reconoce la importancia de la información junto a los

procesos y sistemas que hacen uso de ella, es por esto que en busca de precautelar la seguridad de

estos activos ha realizado una serie de inversiones en medios técnicos.

Como medida técnica para resguardar estos activos de vital relevancia para sus actividades

diarias implementó un software antivirus con la finalidad de detección de virus u otros programas

que puedan ser perjudiciales.

12

Otra medida que la alta gerencia realizó fue la implementación de un sistema integrado

llamado SGA el cual posee el historial académico completo de cada estudiante y que cumple

distintas funciones como ingreso, visualización y edición de calificaciones, registro de asistencias,

registros de pagos, planificación académica, registro de perfil académico de cada alumno, entre

otras funciones que han agilizado los procesos pudiendo automatizar muchos de estos facilitando

en gran proporción la administración de la información.

Es importante mencionar que a pesar de contar con este sistema que es de gran ayuda, la

institución como medida de preventiva está obligada a llevar respaldos físicos de toda la

información almacenada en el sistema.

Para comodidad de los usuarios el ingreso al sistema es mediante su website, los usuarios

tienen clasificaciones que permiten otorgar o quitar permisos debidamente, los perfiles de usuarios

tienen acceso a la visualización de datos como calificaciones, asistencias, pagos e historial

académico, dependiendo de los privilegios del usuario podrá realizar la edición de estos.

No obstante las medidas técnicas efectuadas por parte de la organización no suprimen todas

las vulnerabilidades a la que se encuentra expuesta la información y no la dejan exenta de

incidentes que afecten a la seguridad de la información.

13

1.3. El problema

Actualmente el problema que enfrenta la mesa de ayuda de ITGACIC que es responsable

de precautelar la seguridad de la información es la insuficiencia o incapacidad de desarrollar e

implementar una correcta gestión de incidentes de seguridad de la información.

Dentro de la institución se han originado una serie de eventualidades que han afectado la

seguridad de la información, que pueden incidir en graves consecuencias citando algunos ejemplos

como, pérdida de la información, manchando la imagen de la institución, pérdida de confiabilidad.

Tabla 1.1: Incidentes reportados

Fecha Eventualidad Causa Efecto

MARZO, 2016 Pérdida de la

información. Corto

eléctrico, trascendió en

daño total de disco duro.

Inexistencia de plan de

contingencia y backups.

Pérdida parcial y

alteración de la

disponibilidad de la

información en el

departamento Secretaría.

FEBRERO, 2018 Intento de phishing. Ausencia de control de

riesgos y aparente

escasez de capacitación a

usuarios.

Alteración de la

Confidencialidad e

Integridad de la

información en el

sistema de calificaciones.

Elaborado por el autor.

Estas eventualidades dejan constancia de que los medios técnicos proporcionan un nivel

limitado e insuficiente de seguridad, aun contando con las mejores implementaciones o un

presupuesto ilimitado para realizar más implementaciones de medios técnicos, la correcta gestión

de la seguridad de la información se la debe realizar a través de un proceso sistemático,

documentado y conocido por toda la organización.

14

Debido a que los medios técnicos implementados por la institución no son suficientes para

la identificación, evaluación y clasificación por criticidad de los incidentes de seguridad de la

información, que puedan ofrecer una respuesta eficiente y eficaz para la eliminación o mitigación

de los riesgos.

Se propicia el desarrollo e implementación de controles y política para la gestión de

incidentes de seguridad de la información, que permita a la mesa de ayuda la detección temprana

de eventos que puedan trascender en incidentes, reportando a tiempo debido, otorgando valores de

criticidad para la correcta toma de decisiones respondiendo así de la forma adecuada ante las

eventualidades, y poniendo en práctica las lecciones aprendidas del tratamiento y mitigación de

los mismos en eventualidades anteriores.

En la siguiente ilustración se muestra el problema evidenciando las causas del mismo y los

efectos que causan en la organización.

15

Figura 1.5: Árbol de problema de ITGACIC

Inexistencia o falta de Controles y Políticas de seguridad de la información en ITGACIC

Perdida de la confidencialidad,

integridad y disponibilidad de la

información

Denegación de servicios

Suplantación de identidad

Alteración de la información

Incurrir en gastos

Tiempo de operatividad

Inversiones para poder retomar las operaciones

Actos maliciosos

Robo de información

Sabotaje

Ataques a los sistemas de información

Fallo del factor humano

Errores en la información

Accidentes que causen pérdida

de la información

Personal no apto para el desarrollo e implementación de

controles y políticas.

Personal no capacitado para el

desarrollo

Personal sin disponibilidad de

tiempo por sobrecargo de obligaciones

No existe valoración por parte de la alta gerencia respecto al desarrollo e

implementación de controles y políticas

Desconocimiento de la relevancia de controles

y políticas

Estimación elevada del valor del desarrollo e

implementación

Resistencia al cambio

organizacional

Comodidad del personal en la

desorganización


16

El análisis de causa y efecto a través de la herramienta árbol de problemas deja en evidencia

el problema principal, los riesgos a que está expuesta la institución debido a esta problemática y

los hechos causantes que derivan en estos riesgos.

De esta manera demuestra la urgencia de la institución por desarrollar controles y políticas

para la gestión de incidentes de la seguridad, que permita confrontar los riesgos en el contexto de

seguridad de la información de la mejor manera posible, mitigando el impacto de los mismos

sobre la operatividad de la institución, causando un ambiente de confiabilidad y seguridad en toda

la institución, contribuyendo al cumplimiento de objetivos de la organización.

Las eventualidades que afectaron la seguridad de la información son originadas por la

inexistencia de un sistema de gestión de seguridades de la información una herramienta de gran

utilidad y que tiene gran relevancia en la asistencia para la gestión de la organización que permita

percibir los riesgos y que otorgue la posibilidad de asumirlos, controlarlos y minimizarlos a través

de políticas, controles y constantes mediciones de los resultados, brindando confiabilidad a la

protección de los activos y objetivos de negocio manteniendo niveles de riesgos bajos con la

propiedad de escalabilidad, asegurando el máximo beneficio o hasta dando apertura al

aprovechamiento de nuevas oportunidades de negocio, en esto radica la problemática que denota

la empresa ITGACIC S.A..

17

1.4. Objetivos

1.4.1. Objetivo General

Diseñar un modelo escalonado para la gestión de incidentes de la seguridad de la

información basado en la norma ISO/ICE 27035 para la empresa ITGACIC S.A..

1.4.2. Objetivos Específicos

Evaluar e identificar los activos y procesos en riesgos fijando niveles de criticidad de

los incidentes por el impacto y alcance de las amenazas sobre estos.

Definir política de seguridad que consideren requerimientos legales o contractuales, que

incluya el objetivo y el marco general de la seguridad de la información alineada al

contexto estratégico de gestión de riesgos de la institución.

Desarrollar los controles para el tratamiento de incidentes de seguridad de la

información.

Construir un listado de indicadores que permita extraer resultados reproducibles y

comparables que faciliten la medición de los controles.

1.5. Justificación

En las organizaciones es fundamental poseer una correcta gestión de incidentes de la

seguridad de la información para poder percibir los riesgos a los que está expuesta, a su vez dando

las medidas que ayudaran a mitigar y gestionar de forma documentada, protegiendo

18

adecuadamente los objetivos de negocio asegurando el mayor beneficio y al mismo tiempo poder

explotar recientes oportunidades de negocio. Puesto que es esencial la integridad, confidencialidad

y disponibilidad de la información sensible, para obtener niveles altos de competitividad,

rendimiento y logrando una imagen empresarial necesaria para cumplir con los objetivos de la

organización y garantizar beneficios económicos.

Dado estos aspectos surge la propuesta acorde a las necesidades de la empresa de

proporcionar un modelo para la implementación de un modelo escalonado para la gestión de

incidentes de la seguridad de la información, imitando las buenas prácticas de la norma ISO/ICE

27035 que a nivel global son reconocidas por los especialistas, estableciendo, implementando,

controlando, revisando, manteniendo y mejorando la seguridad de la información para poder

resolver este gran inconveniente que se presente en la mesa de ayuda de ITGACIC.

1.6. Contexto y marco teórico

1.6.1 Relevancia social

El proyecto tiene el objetivo de implementar un sistema que permita confrontar los riesgos

en el contexto de seguridad de la información de la mejor manera posible, mitigando el impacto

de los mismos sobre la operatividad de la institución, causando un ambiente de confiabilidad y

seguridad en toda la institución, contribuyendo al cumplimiento de objetivos de la organización.

19

1.6.2. El propósito del estudio.

Se propicia una mejora en niveles de confiabilidad, integridad y disponibilidad de la

información como propósito de este estudio, basando los resultados en la implementación de un

modelo escalonado de gestión de incidentes de la seguridad de la información.

1.6.3. El significado del estudio.

El estudio en efecto puede ser tomado de ejemplo para instituciones de similar índole

proporcionando una correcta cultura de seguridad de la información, existiendo proyectos basados

en los mismos lineamientos pero que no corresponden a la misma naturaleza.

1.7. Definición de términos

Los siguientes términos fueron elaborados a partir de la norma ISO 27001, 2016.

Seguridad de la información: Garantizar la confidencialidad, integridad y disponibilidad

de la información propia de la institución ITGACIC S.A..

Confidencialidad: Mantener la información bajo restricciones de uso, dando acceso solo

al personal autorizado de ITGACIC.

Integridad: La información proporcionada mantiene su veracidad, brindando confianza en

la institución.

Disponibilidad: Que los usuarios que tengan permisos de acceso a la cierta información,

lo hagan de manera rápida y en tiempo real.

Riesgos: Cualquier tipo de evento, amenaza o vulnerabilidad que atente contra la seguridad

de la información.

Políticas: Protocolo a seguir para salvaguardar la seguridad de la información.

20

Controles: Comprobación del funcionamiento, cumplimiento y efectividad de las

políticas.

Indicadores: Conjunto de medidas cualitativas y cuantitativas que muestra un resultado en

forma de valor, magnitud o criterio respecto a la eficacia de los controles de gestión de

incidentes de seguridad de la información.

Amenaza: Potencial causa de incidentes repercute en daños en la organización.

Vulnerabilidad: Brecha situada dentro de un control o activo que puede ser explotada por

amenazas.

21

CAPÍTULO 2

DISEÑO TEÓRICO

2.1. Fuentes

El marco teórico gravita en los estándares internacionales de la serie ISO 27000

específicamente en la norma ISO/IEC 27035 para un modelo de gobernanza que mantengan una

relación acertada respecto a la gestión correcta de incidentes sobre la seguridad de la información.

2.2. Introducción

Los incidentes que atentan contra la seguridad de la información son muy diversos y su

número constantemente crece, esto produce una creciente preocupación cada año más alta para las

empresas (Norma ISO/IEC 27035, 2016).

La implementación de políticas o controles de seguridad de la información por si solos no

son garantía de la protección completa de la información, hay probabilidades de la existencia de

vulnerabilidades residuales y que a través de estas se susciten ocurrencias de incidentes de

seguridad de la información que afecten la operatividad de la organización.

En consecuencia, con el fin de garantizar un nivel óptimo de protección de la información

manteniendo niveles bajos de riesgos la norma ISO 27035 proporcionan orientación respecto a la

gestión adecuada de incidentes de la información, mostrando la forma de asumir, corregir,

controlar, minimizar, gestionar y documentar dichos incidentes (Norma ISO/IEC 27035, 2016).

No obstante no es fácil realizar la gestión adecuada para preservar la seguridad de la

información y los sistemas implícitos, surgen muchas dudas e incógnitas respecto a la

22

implementación adecuada ya que cada empresa varía en función de su tamaño o naturaleza del

negocio. Debido a estas interrogantes surge ISO 27035 un estándar de buenas prácticas para la

gestión de incidentes de seguridad de la información gozando de adaptabilidad, un gran alcance y

que permite lograr la gestión de incidentes de seguridad de la información (Norma ISO/IEC 27035,

2016).

2.3. Norma ISO 27035

2.3.1. Historia de la norma ISO 27035

La norma técnica ISO 27035, en sus orígenes empezó como un Reporte técnico TR

18044:2004 como guía para la gestión de incidentes publicado en el año 2004 el 12 de Octubre,

que tenía como finalidad guiar a los administradores de sistema y seguridad sobre la adecuada

gestión de incidentes de seguridad de la información (Bryant, 2008).

En este reporte técnico consistía en dividir a la gestión de incidentes de seguridad de la

información en 4 procesos como se puede observar en la figura 2.1.

23

Figura 2.1: Procesos del Reporte técnico TR 18044:2004

Elaborado por el autor a partir de Government CSIRTs and ISO/IEC, 2008.

Debido a su gran aporte a la preservación de la seguridad de la información ISO en el año

2011 integra a la familia ISO 27000 el reporte técnico TR 18044:2004 cambiando su naturaleza a

norma internacional siendo definida como ISO/IEC 27035 Gestión de incidentes de seguridad de

la información.

En el año 2016 ISO actualiza la norma ISO 27035 convirtiendo a esta en una norma

multipartes siendo estructurada por tres partes.

2.3.2. Estructura de la norma ISO 27035

Esta norma proporciona directrices para la gestión eficaz de incidentes de seguridad de la

información, mostrando la forma de operar y las respuestas prácticas a tomar como medidas contra

la evolución o surgimiento de los incidentes (Norma ISO/IEC 27035, 2016).

Planear y preparar las

respuestas para

materialización de

incidentes.

Implementación del plan

permite reportar, analizar,

clasificar y comunicar los

resultados.

Revisión de lecciones

aprendidas para

implementar mejores

mecanismos en detección.

Mejora constante en sus

controles e implementación.

24

Esta norma se compone en tres partes para una mejor apreciación se expone la figura 2.2.

Figura 2.2: Estructura de la norma ISO 27035

Elaborado por el autor a partir de ISO 27035

2.3.3. Alcance de la norma ISO 27035

El alcance de la norma comprende la administración de eventos de seguridad de la

información, vulnerabilidades e incidentes de seguridad de la información.

No obstante cabe recalcar que la adopción completa de la norma ISO 27035 es extensa y

que podría requerir recursos para operar y administrar, la aplicación de la norma debe ser en

perspectiva y en proporción a los siguientes aspectos siguiente:

Tanto la estructura, como el tamaño y naturaleza del negocio de la organización, se

debe incluir los procesos, así como activos críticos y junto a los datos que serán

protegidos.

El alcance del SGSI y la gestión que este implemente para los incidentes.

Riesgos potenciales derivados de los incidentes.

Objetivos de la organización.

25

Figura 2.3: Aspectos que las organizaciones deben considerar en la aplicación de la

norma ISO 27035

Elaborado por el autor a partir de ISO 27035.

Las organizaciones que adopten la norma ISO 27035 deben acoger las directrices de esta

que sean relevantes para la escala y características del negocio (Norma ISO/IEC 27035, 2016).

2.4. Conceptos y principios

Para el correcto entendimiento a continuación se han definido términos para la

identificación de los mismos basado en ISO 27000 e ISO 27035 siendo de las versiones actuales

de cada norma.

2.4.1. Glosario del trabajo

La tabla 2.1 muestra un glosario de términos relevantes para el completo entendimiento del

lector.

Tamaño, estructura y

naturaleza del negocio

Riesgos potenciales

derivados de las incidencias

Alcance del SGSI en

relación a los incidentes

Objetivos de la empresa

26

Tabla 2.1: Conceptos de relevancia para el entendimiento del trabajo Evento de seguridad de

la información

Se trata de una o varias ocurrencias detectadas que atentan contra la seguridad

de la información y los sistemas implícitos, pone en evidencia brechas dentro de

las políticas, controles o situaciones no consideradas que pueden comprometer

las operaciones del negocio.

Incidentes de seguridad

de la información

Es uno o varios eventos de seguridad de la información presentados de manera

inesperada o no deseada, que amenazan la seguridad de la información

comprometiendo las operaciones del negocio.

Pueden ser por ejemplo de forma deliberada incumplimiento de políticas o por

accidente error humano involuntario o catástrofes naturales, los cuales pueden

derivar en divulgación de la información si autorización, destrucción de la

misma, perdida en la disponibilidad, daño o robo de activos, entre otros.

Punto de contacto (PoC) Coordinador o centro de coordinación de la información relativo a la gestión de

incidentes.

Vulnerabilidad Brecha situada dentro de un control o activo que puede ser explotada por

amenazas.

IRT Se define como IRT (Equipo responsable de incidentes) a una función

organizativa, equipo apto y de confianza de la organización responsable de

atender los incidentes de seguridad de la información.

La eficacia del IRT es crítica para la gestión de incidentes evitando la

propagación de daños en toda la organización, para el cumplimiento del objetivo

de la misma, las funciones y responsabilidades de los miembros deben estar

previamente definidas, siendo aptos para una respuesta rápida con la decisión

correcta.

Amenaza Potencial causa de incidentes repercute en daños en la organización.

Gestión de incidentes de

seguridad de la

información

Acciones de detección, comunicación, evaluación además de cómo se responde

y se obtiene aprendizaje de las experiencias ante los incidentes de seguridad de

la información.

PHVA Se lo conoce también como clico de Deming o PDCA (otorgado sus siglas en

ingles Plan Do Check Act) y PHVA (dado a las siglas en español de Planear

Hacer Verificar Actuar), se trata de una estrategia para la mejora continua de la

calidad que ISO adoptó debido a su eficacia comprobada para la aplicación de

la misma en sus normas, integrada por 4 fases que hacen referencia a sus siglas.


2.5. IRT

Equipo responsable de incidentes por su par en ingles Incident Response Team (IRT).

27

2.5.1. Tipos de IRT

Para establecer un equipo adecuado para la respuesta de incidentes, las organizaciones

deben considerar el tamaño de la organización, la importancia de la información y la

interoperabilidad de la misma. La figura 2.4 se muestra los tres tipos de IRT.

Figura 2.4: Tipos de IRT


Individual: Un solo IRT gestiona las incidencias, respuestas y operaciones de una

sola organización.

Jerárquico: Varios IRTs están encargados de gestión de incidentes de seguridad de

la información de una o varias organizaciones brindando mayor fiabilidad.

Remoto: Externalización de gestión de incidentes de seguridad de la información

de las organizaciones a otras organizaciones dedicadas a la atención de la misma,

IRTs que prestan servicios de gestión y no pertenecen a la organización.

28

2.5.2. Funciones del IRT

Los IRTs tienen como objetivo dar respuestas rápidas a las amenazas mediante políticas,

procedimientos y actividades de operación. Como funciones principales las que se muestran en la

tabla 2.2.

Tabla 2.2: Funciones de la IRT Función Descripción

Gestión de los sistemas de

seguridad integrados

Gestión de los agentes instalados en sistemas heterogéneos,

control y seguridad de la información.

Implementación de política

coherente

Reducción de riesgos mediante política.

Respuestas con prontitud Se refuerzan actividades de prevención de incidencias.

Optima utilización de la

estructura de seguridad

Plan eficaz de utilización de las propiedades de la seguridad de

la información.


2.5.3. Tareas de la IRT

Se resumen las tareas que tiene la IRT, en la tabla 2.3.

Tabla 2.3: Tareas de la IRT Tarea Descripción

Gestión integrada y seguimiento Supervisión proactiva, respuestas ante las incidencias y registro debido

de la gestión realizada.

Gestión de informes Periódicamente presentación de informes de seguridad, gestión de

parches de seguridad.

Manejo técnico Gestión de seguridad en red, sistemas, aplicativos y servicios.

Funcionamiento de sistemas y la

gestión

Gestión de configuración de entorno y sistemas.


29

2.6. Relación de los objetos en un incidente de seguridad de información

La figura 2.5 corresponde a la relación de los objetos en un incidente de seguridad de

información y muestra como las amenazas explotan las vulnerabilidades causan efectos adversos

directos o indirectos sobre la información y provocando incidentes a los activos de información,

por lo tanto también afectan a las operaciones del negocio.

Figura 2.5: Relación de los objetos en un incidente de seguridad de información


2.7. PHVA

Para la incorporación del PHVA (Planificar Hacer Verificar Actuar) o plan de mejora

continua, se debe analizar la alineación del ciclo con la norma ISO 27035, las 4 etapas del ciclo de

mejora continua para la gestión de incidentes están integradas por las fases de la gestión de

incidentes de seguridad de la información, para un mejor entendimiento se presenta la figura 2.6.

30

Figura 2.6: PHVA alineado a ISO 27035


En el literal 2.9 se profundizan los conceptos de las fases de gestión de incidentes de

seguridad de la información.

2.8. Gestión de incidentes de seguridad de la información

La gestión de incidentes basado en la norma ISO 27035 tiene como objetivo general

planificar con un enfoque estructurado la gestión de incidentes de seguridad de la información,

evitando o conteniendo el impacto de los incidentes de seguridad de la información, por medio de

la gestión se proporcionan las directrices para detectar, evaluar, controlar y tratar incidentes de

seguridad de la información, documentado las experiencias para su análisis y que este ayude a la

prevención de futuros incidentes, minimizando los daños que estos puedan causar directa o

indirectamente a las operaciones del negocio, para una mejor apreciación de los objetivos se

muestra la tabla 2.4.

• Verificar• Actuar

• Hacer• Planificar

Planeación y preparación de

políticas de gestion de incidentes

Detección y reporte de eventos de seguridad

evaluación y desición

Respuestas ante los incidentes

Lecciones aprendidas

posterior a las incidencias

31

Tabla 2.4: Objetivos de la gestión de incidencias de seguridad de la información

Objetivo general Objetivos específicos Conclusiones de los objetivos

Planificar con un enfoque

estructurado para la gestión

de incidentes de seguridad

de la información

Detección y tratamiento de

incidentes

Mediante monitorización se detectan

los incidentes, clasificándolos para su

posterior tratamiento.

Evaluar incidentes El IRT mediante un proceso evalúa la

situación actual del incidente

obteniendo toda la información

respecto al mismo.

Controlar efectos del incidente El IRT se encargará de minimizar los

efectos adversos generados por los

incidentes sobre la organización y sus

operaciones.

Enlazar la gestión del negocio Mediante un proceso escalonado se

establece un enlace con la gestión de la

continuidad del negocio.

Evaluar y tratar las vulnerabilidades El IRT para prevenir y reducir daños

realizará evaluaciones y tratamiento a

las vulnerabilidades.

Aprender de las lecciones Se crea un mecanismo de

retroalimentación que pretende

prevenir futuros incidentes, mejorando

la aplicación y uso de controles.


2.8.1. Beneficios de un enfoque estructurado

La gestión de incidentes de seguridad de la información con la utilización de un enfoque

estructurado deriva en beneficios significativos, mejorando la seguridad general de la información,

ayudando a identificar apresuradamente e implementando las soluciones eficaces a través de un

proceso estructurado el cual detecte, notifique, evalúe y permita la toma de decisiones relacionadas

con los eventos de seguridad de la información (Norma ISO/IEC 27035, 2016).

32

A través de la figura 2.7 se muestran los beneficios que otorga la gestión de incidentes de

seguridad de la información con el uso de un enfoque estructurado.

Figura 2.7: Gestión de la información aplicando el uso de un enfoque estructurado


2.8.2. Relación de la gestión de incidentes con el SGSI

Uno de los aspectos que destaca dentro de un SGSI basado en la norma ISO/IEC 27001 es

la gestión de incidentes de seguridad de la información, que mediante un manejo correcto y

oportuno busca prevenir que la información de las organizaciones se vea comprometida por

eventos, incidentes o amenazas.

No obstante los controles o políticas no son suficientes para garantizar la seguridad de la

información, ISO/IEC 27035 con la finalidad de complementar adecuadamente proporciona

orientación mucho más profunda y eficaz sobre los aspectos de la gestión de incidentes de

Mejora general de seguridad de la

información

Mejora en las políticas de

seguridad de la información

Mejoramiento de las prioridades

Concienciación sobre la seguridad de la información

Fortalecimiento en la prevención de

incidentes

Reducción de impacto

comerciales adversos

Justificación de presupuesto y

recursos

Recolección de pruebas y evidencias

Mejora continua

33

seguridad de la información debido a que es inevitable que surjan nuevas amenazas y que para

cualquier organización la insuficiente aptitud frente a eventos, incidentes o amenazas transcenderá

en la desestabilización de la seguridad de la información impactando negativamente sobre el

negocio (Norma ISO/IEC 27035, 2016).

El estudio del comportamiento de estos incidentes permitirá percibir las probabilidades de

que estos ocurran y medir los impactos que causan en la organización, suministrando datos reales

y confiables de gran utilidad para poder realizar una correcta gestión de riesgos de seguridad de la

información, ya que este estándar se basa en un modelo gestión de riesgos (Norma ISO/IEC 27035,

2016).

La norma ISO/IEC 27035 también tiene como objetivo proporcionar la orientación

adecuada para el cumplimiento del Sistema de Gestión de la seguridad de la Información a las

organizaciones que se han basado en la norma ISO 27001, debido a que esta norma está relacionada

con la gestión de incidentes de seguridad de la información.

En la figura 2.8 se muestra la relación de la gestión de incidentes con el SGSI y los controles

aplicados.

34

Figura 2.8: Relación de la gestión de incidentes con el SGSI


Es importante considerar el intercambio de información y coordinación con ITRs externos,

esto debido a que existen posibilidades de que los incidentes traspasen los límites de la

organización y un solo ITR no podría dar soluciones fácilmente. Este tipo de socialización de ITRs

otorga muy buenos resultados, ya que pueden compartir lecciones aprendidas proporcionando

experiencias entre estos y así mejorando en la capacidad de responder y resolver incidencias

(Norma ISO/IEC 27035, 2016).

2.9. Fases de la gestión de incidentes de seguridad de la información

La gestión de incidentes de seguridad de la información que expone ISO 27035 está

comprendida por 5 fases.

35

Figura 2.9: Fases de la Gestión de incidentes de seguridad de la información

Elaborado por el autor a partir de ISO 27035

2.9.1. Planificar y preparar

Se trata de la creación de un plan eficaz y adecuado de gestión de incidentes de seguridad

de la información para posterior a su desarrollo sea puesto en funcionamiento, previo a esto una

organización tiene que realizar una serie de actividades preparatorias.

Una organización debe realizar actividades principales que se muestran en la tabla 2.5.

Tabla 2.5: Gestión de incidentes fase Planificar y preparar Planificar y preparar

La evaluación e identificación de activos y procesos en riesgos.

Elaborar una política de gestión de seguridad de la información y comprometiendo a la alta gerencia

con la política.

Actualización de políticas actuales de seguridad de la información, incluyendo las de gestión de

riesgos todo esto a nivel corporativo y de sistemas implícitos.

36

Definir y documentar un plan detallado de seguridad de la información de gestión de incidencias.

Establecer un IRT capacitado para los propósitos del plan de gestión de incidencias de seguridad de

la información.

Fortalecer y establecer de ser necesario relaciones con organizaciones internas y externas que se

encuentren involucradas en los eventos de seguridad de la información.

Implementar y establecer mecanismos técnicos, organizativos y operativos para apoyar el trabajo del

IRT y el funcionamiento del plan de gestión de incidencias de seguridad de la información.

Concienciación a toda la organización respecto a la seguridad de la información.

Prueba del plan, verificando los procesos y procedimiento.


2.9.2. Detección y reporte

Esta segunda fase implica la detección de eventos y vulnerabilidades de seguridad de la

información con la respectiva colección de información detallada asociada a estas, para su

notificación en relación a los lineamientos de las políticas de seguridad y su posterior análisis.

Para esta fase una organización debe realizar las actividades principales que se detallan en

la tabla 2.6.

Tabla 2.6: Gestión de incidentes fase Detección y reporte Detección y reporte

Monitorización de los sistemas y la red implícita.

Detección y notificación de forma manual, personal o automática respecto a la existencia de algún

evento o vulnerabilidad de seguridad de la información.

Recopilación de información detallada sobre eventos o vulnerabilidades de seguridad de la

información.

Precautelar la documentación de todas las actividades respecto a la seguridad de la información para

su posterior análisis.

Precautelar el respaldo de pruebas digitales como evidencia que pueda ser utilizada en casos legales

o medidas disciplinarias.

Asegurarse de la monitorización y notificación de eventos o vulnerabilidades de seguridad de la

información.

37


Detección de eventos

Los eventos de seguridad de la información pueden ser detectados por medios automáticos

que a través de personas posterior a su detección son reportados siendo así varias las fuentes

posibles, a continuación se detallan en la figura 2.10.

Figura 2.10: Medios y fuentes de detección de eventos


Reporte de eventos

Cualquiera que fuese la fuente de detección de eventos de seguridad de la información es

responsable de iniciar el proceso de detección y presentación de informes con las características

de narrativa completa del evento e informe debidamente completo, siguiendo los protocolos para

la atención de la incidencia, por consiguiente es necesaria la concienciación de todos los miembros

de la organización.

La figura 2.11 detalla la manera de interactuar del IRT respecto al reporte del evento.

38

Figura 2.11: Interacción del IRT respecto al reporte de un evento


2.9.3. Evaluación y decisión

Asociada a la toma de decisiones sobre los incidentes previa a una evaluación del mismo

para su clasificación según el impacto o gravedad. Una vez detectado y reportado el evento de

seguridad de la información las actividades a realizar son las que se pueden apreciar en la tabla

2.7.

Tabla 2.7: Gestión de incidentes fase Evaluación y decisión Evaluación y decisión

Asignación de responsabilidades tanto al personal de seguridad como a usuarios.

Establecer procedimientos para la toma de decisiones dependiendo del tipo y gravedad de incidente.

Documentación exhaustiva de los acontecimientos y acciones a realizar posterior a la incidencia de


Mediciones y otros datos de seguridad de la información.

Evaluación del administrador de incidentes para determinar la veracidad de la notificación.


Esta fase es crucial debido a que la clasificación de incidente, deriva en la certera solución

del mismo, la clasificación de los incidentes se la realiza contemplando varios parámetros como

la magnitud del impacto que causen en las operaciones, la escala del daño que el mismo provoque,

39

las afecciones que tengas los sistemas implícitos. Para una mejor apreciación de la clasificación

de los incidentes se muestra un ejemplo en la tabla 2.8.

Tabla 2.8: Ejemplo de criterios fundamentales de incidentes Categoría Descripción

Importancia de la información “Moderado”, “Importante”, “Muy importante”

Impacto del tipo de incidente “Moderado” o más allá

Escala de daños de intrusión “Moderado” o más allá

Definición de usuario Evento de seguridad es detectado por el usuario –

conjunto de reglas definidas


A continuación se muestra en la tabla 2.9 un ejemplo de la clasificación por impacto de

cada incidente.

Tabla 2.9: Ejemplos de impacto de acuerdo con los incidentes Impacto

Tipos de incidentes Bajo Moderado Importante Muy importante

Recopilación de la información X

Ensayos de intrusión simples X

Violación de políticas de

seguridad X X

Causando red de tráfico X

Ensayos de ataques X X

Incidentes en sitios web X

falsificación de página web X

Virus o gusanos X X

DOS X X

Recursos dañados X X

Información expuesta X X

40

Destrucción del sistema X X

Falla de red X X


Los incidentes también pueden ser clasificados por escalas, debido al daño que estos causen

directa o indirectamente a la seguridad de la información y los sistemas implícitos. A continuación

se muestra un ejemplo de clasificación por escala de daño causados por los incidentes en la tabla

2.10.

Tabla 2.10: Ejemplo de clasificación por escala de daño del incidente Escala Descripción

Bajo Impacto a los servicios básicos es potencialmente

posible.

Medio El impacto parcial a los servicios básicos.

Fuga de información en menor medida.

Perdida financiera es menor.

Alto Los servicios centrales se han atascado.

Gran cantidad de información expuesta.

Considerable pérdida financiera.

Crítico Se detiene los servicios centrales.

Pérdida financiera fatal.

Reduce rentabilidad de la entidad.


La información también debe ser clasificada, de esta manera se da prioridad según la

criticidad. La clasificación se realiza acorde a los sistemas implícitos y el tipo de información que

estos manejen, como referencia se muestra en la siguiente tabla clasificación de la información.

41

Tabla 2.11: Ejemplo de clasificación de Información / Sistemas de importancia Escala Descripción

Bajo Tarea no núcleo que se procesa a través de los

sistemas de información (los incidentes no tienen

mucho impacto).

Medio Tareas básicas poca cantidad que son procesadas en

los sistemas de información (impacto bajo en caso de

incidentes).

Alto Tareas centrales se procesan parcialmente a través de

los sistemas de información (tareas básicas se atascan

parcialmente en caso de incidentes)

Crítica Operar la mayoría de las tareas básicas y centrales en

los sistemas de información (funciones principales en

caso de incidentes)


Las alarmas de incidentes y su clasificación ayudan a la correcta gestión de los incidentes,

evitando propagación por toda la organización o hasta todo el país, en la tabla 2.12 se muestra una

clasificación ejemplo.

Tabla 2.12: Ejemplos de clasificación de nivel de alarma de incidentes Escala Descripción

Tratable (Azul) Posibilidad de incremento de daño por virus

o ataques de hackers.

Sistemas afectados motivo de preocupación

por posible propagación.

Se verifica causas de vulnerabilidades y

surgimiento de nuevas.

Cautelosa (Amarilla) Se verifica que el incidente puede afectar la red de la

organización, del sistema y/o aumento de

vulnerabilidades.

Alerta (Naranja) Se verifica que el incidente puede afectar numerosas

organizaciones con fallos de red, sistemas y/o

propagación a otras organizaciones.

Crítica (Rojo) Los incidentes se propagan por todo el país.


42

2.9.4. Respuestas a incidentes

Acciones implementadas para la mitigación y resolución de incidentes de seguridad de la

información. En esta fase se realizaran las acciones predeterminadas en la fase de evaluación y

decisión, dichas acciones se las puede realizar de manera inmediata, en manera real o casi en

tiempo real, otras requerirán de una investigación de seguridad de la información.

Para esta fase una organización debe realizar las actividades principales expuestas en la

tabla 2.13.

Tabla 2.13: Gestión de incidentes fase Respuestas Respuestas

Clasificación del incidente en la escala de seguridad de la información.

El IRT debe realizar una evaluación determinando que el incidente este bajo control, en caso de que

no lo esté, realizar plan de contingencia.

Asignación de recursos internos y externos para responder a los incidentes.

Documentación detallada de la incidencia y acciones realizadas.

Comunicación de incidencias y respuestas con otros IRTs.

Distribuir responsabilidades de la gestión de la información jerárquicamente para la toma de

decisiones y acciones.

Establecer procedimientos formales al personal involucrado siendo estos la revisión, modificación,

re-evaluación de daños y notificación al personal correspondiente. Las acciones. Las acciones

individuales dependerán del tipo y gravedad de incidente.

Actividad posterior al incidente

Mayor investigación si es requerida.


Hay varios tipos de respuestas considerando el tipo de incidente y tiempo de consecución

de la misma en la tabla 2.14 se expone las características de cada una.

43

Tabla 2.14: Tipos de respuestas Tipo Descripción

Respuesta inicial Después de la verificación debida del incidente, el

equipo de monitorización determina la criticidad del

incidente dependiendo de la misma se dará la solución

inmediata o la alerta de gravedad.

Pre-respuesta Una vez presentada la eventualidad o anormalidad, los

medios técnicos o equipos aíslan los sistemas

identificados antes de que estos se vean afectados.

Respuesta definitiva Implementación de tácticas contra los incidentes de

cualquier clasificación, para la obtención de los

resultados previstos, erradicando o minimizando

daños, manteniendo el control.


2.9.5. Lecciones aprendidas

Esta fase se produce cuando han sido resueltos los incidentes, consiste en lecciones de

aprendizajes de cómo se han manejado los incidentes y vulnerabilidades.

Para esta fase las organizaciones deben realizas las actividades principales expuestas en la

tabla 2.15.

Tabla 2.15: Gestión de incidentes fase Lecciones aprendidas Lecciones aprendidas

Identificar las lecciones aprendidas de los incidentes y vulnerabilidades de seguridad de la

información.

Revisar, identificar y mejorar la aplicación de controles y evaluaciones de incidentes, así como

también de la política de seguridad de la información.

Revisión de eficacia de procesos, procedimientos y estructura de la organización respecto a

respuestas y recuperación de los incidentes de seguridad de la información.

Evaluación exhaustiva sobre el rendimiento y eficacia del IRT periódicamente.


44

En el proceso de gestión de incidentes existe la posibilidad de que algunas actividades

ocurran en múltiples fases o ya sea en todo el proceso, respecto a estas actividades incluyen lo

siguiente:

Tabla 2.16: Gestión de incidentes actividades repetitivas en las fases Actividades principales que se repiten en múltiples fases

Documentación del seguimiento del proceso de manejo de incidentes, todo lo que correspondiente a

los eventos e incidencias que conforman la evidencia e información clave.

Entre las partes implicadas la coordinación y comunicación existente.

Notificación a la gestión y partes de interés respecto a los incidentes significativos.

Formando una cultura de seguridad se forja la necesidad de compartir información respecto a los

incidentes con colaboradores internos y externos citando a proveedores y otros IRTs.


Para una mejor apreciación de la gestión de eventos e incidentes de seguridad de la

información y cómo actúan sus fases se expone la figura 2.12.

45

Figura 2.12: Diagrama de Flujo de eventos e incidente a través de las fases de gestión

de incidentes


46

CAPÍTULO 3

3.1. METODOLOGÍA DE LA INVESTIGACIÓN

Para esta investigación se utilizaron los siguientes métodos de investigación, justificando

el uso de las metodologías dado los motivos:

La investigación de campo es debido a que el investigador está situado en la

organización e interactúa con los actores directos de la problemática.

Con la investigación exploratoria será necesario indagar las teorías impartidas por

ISO/IEC 27035 puntualmente obteniendo para la proyección del modelo de Gestión

de incidentes de seguridad de la información lo que sea necesario.

Con el método descriptivo identificaremos los aspectos de seguridad del marco de

referencia ISO/IEC 27035 y la aplicabilidad a la organización, con el objetivo de

adecuar el diseño del modelo escalonado de Gestión de incidentes de seguridad de

la información.

47

Figura 3.1: Investigación del trabajo


3.1.1. Investigación de campo

Se le llama investigación de campo debido a que el investigador se encuentra en sitio de

los hechos e interactúa de forma directa en el diario convivir de los sujetos sometidos a

investigación.

Método cualitativo que a través de la compresión, observación e interacción con los sujetos

sometidos a investigación en su entorno natural recopila datos. En otras palabras la recolección de

nuevos datos proporcionados de fuentes primarias para un propósito específico (Question Pro,

2018).

3.1.2. La investigación exploratoria

El estudio exploratorio considerado el primer nivel de conocimiento científico de un

problema de investigación, su objetivo es la formulación de un tema o problemática con pocos

Investigación de campo

• El investigador se encuentra inmerso en las operaciones de la organización.

• El investigador interactua directamente con los empleados de ITGACIC.

Investigación explorativa

• Estudio de la norma ISO 27035.• Estudio de la problemática de la organización.

Investigación descriptiva

• Descripción detallada de los aspectos de seguridad de la norma y la forma de aplicabilidad a la organización.

48

antecedentes de su estudio, es la construcción del marco de referencia teórico y práctico

entrelazando métricas logrando establecer indicadores de establecimiento, complementándose con

el nivel descriptivo (Velasquez Hidalgo , 2005).

3.1.3. Investigación descriptiva

La investigación descriptiva permite analizar las propiedades, atributos y detalles

importantes de un fenómeno, dando como resultado conocimiento de mayor profundidad con el

propósito de delimitar hechos que componen el tema o la problemática de la investigación, a través

de métricas de los conceptos o variables su entorno (Velasquez Hidalgo , 2005).

3.2. Población y muestra

Siendo el personal de ITGACIC la población para el presente trabajo, la investigación se

desarrolló con el estudio de los actores principales.

El departamento Secretaria de ITGACIC maneja información crítica para la operatividad

de la organización, debido a que este departamento se encarga de administrar información de gran

relevancia como el historial académico de cada estudiante, el cual debe ser revisado de manera

exhaustiva por el personal del departamento antes de su correcta documentación.

Dado que a las organizaciones de esta índole periódicamente son sometidas a auditorias

por parte de los entes reguladores, siendo la consistencia y veracidad de información como la

antes mencionada uno de los puntos fundamentales de la auditoria y vital para la acreditación con

49

la cual la organización puede desarrollar sus actividades con normalidad contando con los

permisos necesarios.

Debido a la relevancia de la información que maneja el departamento Secretaria,

convierten a sus procesos en susceptibles a la presencia de incidentes de seguridad de la

información.

3.3. Técnicas e instrumentos de investigación

La técnica de captura de datos empleada para la investigación fue la observación.

3.3.1. Observación

Esta técnica permitió situar al investigador en la problemática y poder recopilar la

información mediante observación de las acciones del personal del departamento Secretaria,

adquiriendo más información sobre las incidencias de seguridad de la información, dando

constancia de cómo actúa el personal del departamento ante la presencia de un incidente,

identificando las falencias del sistema de atención actual e identificando los aspectos frágiles de la


3.3.2. Análisis de los resultados

Una vez culminada la observación de las actividades del departamento Secretaria se

procedió al análisis la información recopilada sobre los incidentes de seguridad de la información

y los aspectos que enmarcan a los mismos, según estos datos se realizó la tabla 3.1 para exponer

de mejor forma las conclusiones obtenidas a partir de la observación del personal del departamento

Secretaria que consta de 5 usuarios incluido el jefe del departamento.

50

Tabla 3.1: Resultados de la técnica observación Aspectos de relevancia Conclusión

Existen incidentes de malware en que los usuarios

inconscientemente son la puerta de entrada a través

de dispositivos de almacenamiento de uso no

laboral.

Provocado por la inexistencia de políticas gestión de

incidentes, donde se estipula que hacer, como actuar,

a quien acudir en caso de que se suscite un evento de


Cuando se presenta un incidente los usuarios no

saben a dónde acudir para buscar la solución.

No hay automatización del manejo de reporte de

incidentes.

Falta de organización de responsabilidades sobre

activos en el departamento Secretaria como

computadores, impresoras y dispositivos de

almacenamientos externo, provocando la

propagación o causando desorden al momento en

que se coincida en el uso de un activo que deriva en

la generación de un mal ambiente.

Provocado por la falta de controles sobre los activos

y procesos críticos gestión de información.

El personal tiene libre acceso para navegar por la

web sin restricciones de sitios inseguros y sin

restricciones de los recursos compartidos en la red

como base de datos.


3.4. Metodología de la investigación aplicada

Evaluar o medir la actualmente aplicada gestión de incidentes de seguridad de la

información fue la finalidad del estudio, en el que se puede constar la presencia de falencias como

la falta de políticas de gestión de incidentes de seguridad de la información y la inexistencia de

controles sobre los activos y procesos de gestión de información.

Basado en el resultado de aplicar la metodología exploratoria, promueve al estudio de la

norma ISO 27035 y se analiza el planteamiento del modelo escalonado de gestión de incidentes

de seguridad de la información, el cual busca dar solución a la problemática actual de la

organización, para mejorar la compresión se elaboró la figura 3.2.

51

Figura 3.2: Metodología de la investigación utilizada

Paso 1Recopilar de información

Paso 2Análisis de la información

Paso 3Sensibilización y

análisis comparativo

Paso 4Diseño del modelo

Paso 5Redacción de

documentos de tesis

Revisión del tutor

Correcciones y ajustes

Paso 6Ejecución del

modelo

Paso 7Presentación de

tesis


Con la metodología descriptiva se detallará en el capítulo 4 en la propuesta los aspectos de

seguridad de la información aplicables a la organización. Para poder evaluar la efectividad del

modelo se desarrollan indicadores basados en los controles implementados los cuales nos

permitirán monitorear y controlar el modelo constantemente dando la aprobación del

cumplimiento de los controles obteniendo la aprobación de la alta gerencia.

52

Finalizamos con las conclusiones respecto al modelo basado en la norma ISO 27035 de su

amplia teoría y aplicación.

53

CAPÍTULO 4

4.1. LA PROPUESTA

Como objetivo la propuesta plantea realizar una planificación con enfoque estructurado de

un modelo escalonado de gestión de incidentes de seguridad de la información, con la finalidad

de precautelar la seguridad de la información contra incidentes y amenazas que se puedan suscitar

en la institución de educación superior ITGACIC, pudiendo este modelo ser implementado o

tomado a manera de ejemplo para otras organizaciones de la misma o similar naturaleza.

El modelo desarrollado conjunto a la dirección de la organización a partir de la

investigación y las necesidades de la misma, se resume en 5 fases, en las cuales se desarrollaron

políticas de seguridad, controles, indicadores de los controles y plan de mejora continua.

Las políticas de seguridad buscan comprometer a la dirección y todo el personal

involucrados en las actividades de la organización, a una cultura de seguridad que genere un

ambiente más confiable para el cumplimiento de los objetivos del a organización.

Los controles escogidos tienen como objetivo mejorar los aspectos vulnerables actualmente

detectados por la investigación realizada en la organización, que pueden ser explotados por las

amenazas, para poder implementar los controles adecuados se realiza la evaluación de activos

detectando las vulnerabilidades que tiene cada uno de ellos, y al mismo tiempo desarrollando las

mejoras que ayudaran a disminuir las vulnerabilidades por consiguiente se controla el riesgo.

54

Para poder demostrar la aplicabilidad del modelo se procedió al desarrollo de indicadores

de los controles implementados, la medición de los controles mostrara la efectividad del modelo,

su eficiencia y eficacia.

La última fase del modelo consiste en la mejora continua del mismo, la retroalimentación

que tenga a partir de los resultados de los indicadores colabora en la mejora de las operaciones,

reducción de costos y ejecución de los procesos.

Para lograr el objetivo se han tomado las directrices del estándar internacional norma ISO

27035 ya que este imparte la manera correcta de cómo realizar la gestión de incidentes de seguridad

de la información, dando las pautas de cómo implementar la política y controles adecuados.

4.2. Justificación de la propuesta

Dado que la organización ITGACIC presenta eventualidades que afectan a las operaciones

y que son originadas por la insuficiencia o incapacidad de la gestión actual de incidentes de

seguridad de la información la mesa de ayuda de TI, se realizó una investigación respecto a las

necesidades de ITGACIC y las diferentes maneras de gestionar los incidentes de seguridad de la

información a nivel mundial.

Basado en los resultados de la investigación se propone como la solución más viable la

realización de un modelo escalonado de gestión de incidentes de seguridad de la información

basado en la norma ISO 27035, el cual permita prevenir, detectar y tratar a tiempo las

eventualidades que se presenten, precautelando la ejecución de las operaciones y por ende el

55

cumplimiento de los objetivos, adicional genera el cumplimiento de las leyes impuestas a las

organizaciones de esta índole.

4.3. Descripción de la propuesta

Actualmente la gestión de incidentes de seguridad de la información de ITGACIC se la

realiza de manera informal sin protocolos o políticas a seguir, el estudio del problema mostró que

la ausencia de políticas y controles de seguridad de la información deriva en varios efectos

negativos sobre la organización.

Actualmente los activos más relevantes del departamento de estudio Secretaria denotan

varias vulnerabilidades, afortunadamente estas vulnerabilidades no han sido explotadas por las

amenazas, por lo que se propicia la implementación de política de seguridad, un plan de

tratamiento de riesgos, nuevos controles y plan de mejora continúa.

La propuesta de un diseño de un modelo escalonado de gestión de incidentes de la

información basada en la norma ISO 27035, busca demostrar que se detectan, controlan y mitigan

los incidentes de seguridad de la información que afecten a la organización.

4.3.1. Implementación del diseño del modelo escalonado de gestión de incidentes de seguridad

de la información en los marcos de ISO 27035

La figura 4.1 muestra el modelo desarrollado a partir de la investigación que tiene como

finalidad dar solución a las necesidades de la gestión de incidentes de seguridad de la información


56

Declaración de aplicabilidad Declaración de aplicabilidad

4.-Mejora continúa

Desarrollo de indicadores.

Análisis de los resultados de los

indicadores.

Medidas preventivas y correctivas.

Propuesta.

3.-Definición de controles

Elección de controles.Implementación de

controles.Declaración de aplicabilidad.

2.-Análisis de riesgos

Identificación de los activos críticos.

Identificación y análisis de riesgos.

Tratamiento de Riesgos.

1.-Desarrollo de las políticas de seguridad de la organización

Desarrollo

•Definir alcance y los límites.•Definir políticas de gestión de incidentes

de seguridad de la información.•Definir enfoque de evaluación de riesgos.

•Objetivos de los controles.•Identificación de riesgos.•Análisis y evaluación de riesgos.

•Tratamiento de riesgos.•Riesgos residual.•Aplicabilidad.

Ejecución

•Formulación e implementación del plan de riesgos.•Implementación de métricas.•Medir la efectividad de los

controles.•Registrar las acciones y eventos

Figura 4.1: Modelo escalonado de gestión de incidentes de seguridad de la información.

57


4.4. Fase 1: Planificar y preparar políticas de seguridad

La creación de una política de gestión de incidentes de la información tiene por objetivo

establecer lineamientos los cuales permitan prevenir y mitigar el impacto de posibles incidentes

de seguridad de la información, y su alcance va desde los empleados de planta de ITGACIC

hasta aquellos empleados de contratos mediante terceros. Para mejor apreciación el anexo A,

se encuentra la política desarrollada con lo antes mencionado.

La política de seguridad de la información se acordó y definió en conjunto a la dirección

de la organización y el departamento de TI en la fecha martes 20 de noviembre del 2018, que

puede ser consultado en el anexo A.

4.5. Fase 2: Gestión de riesgos

En este apartado se define todos los activos más importantes del departamento Secretaria

en el cual se analizan el nivel de criticidad cuando el riesgo se hace presente, se establece un

plan de tratamiento de riesgo, se define políticas de salvaguarda y por último se hace un análisis

de tiempo y costo.

Identificación de activos

Mediante la tasación de activos se identificó a los activos críticos para las operaciones

del departamento de Secretaría, en la tabla 4.1 se muestran los activos y su respectivo nivel de

criticidad, ver anexo C para el detalle de la tasación de los activos.

58

Tabla 4.1: Tasación de los activos Activo Confidencialidad Integridad Disponibilidad Criticidad

[S] Servicios 5 4 6 5

[D] Datos 9 8 7 8

[SW] Software 5 5 5 5

[HW] Hardware 5 8 8 7

[P] Personal 7 6 5 6


Análisis de los riesgos

Una vez identificados los activos se realiza el análisis correspondiente de las amenazas

y vulnerabilidades a los que estén expuestos determinando el nivel de riesgo que tienen los

activos del departamento de Secretaria. En la ilustración 4.2 mostramos el riesgo al que afrontan

los activos del Departamento Secretaria, en donde se puede observar que la amenaza más alta

es el daño de hardware debido a que las bases de datos con toda la información que genera el

departamento Secretaria están alojadas en una estación de trabajo y no en los servidores, sumado

a que no se realizan respaldos de esta información, consultar el anexo C en donde se muestra de

manera extendida el análisis del riesgo.

59

Figura 4.2: Composición del riesgo según las amenazas


Tratamiento de riesgos

Basado en el análisis de los riesgos se toman las medidas de mejora para la mitigación

de los riesgos a un nivel aceptable, como se demuestra la tabla 4.2.

Partiendo desde la perspectiva que a los riesgos se los puede mitigar, aceptar, evitar o

transferir. Se eligió el tratamiento de mitigar los riesgos acorde a su nivel de impacto y el

atributo de alcance que posee, siendo este tratamiento respaldado por la directiva de la

organización.

9%

12%

39%

33%

7% [E.19] Fuga de información

[A.11] Acceso no autorizado

[I.5] Avería de origen físico ológico

[A.15] Modificación deliberada dela información

[A.30] Ingeniería social

60

Tabla 4.2: Plan de tratamiento de riesgos

Amenazas /

Actividades de

mejora

Acciones Tiempo de

implementación

Costes Impacto Frecuencia Nuevo

riesgo

[E.19] Fuga de

información

Mitigar 7.47 0.02 0.1494

Implementación

sistema de video

vigilancia

0.5 meses $ 450,00

Implementación y

concienciación de

políticas de control

de acceso físico

1.5 meses $ 600,00

[A.11] Acceso no

autorizado

Mitigar 9.98 0.02 0.1996

Mejoramiento de la

configuración de

control de acceso

de usuarios en los

sistemas y bases de

datos

3 meses $ 700,00

[I.5] Avería de

origen físico o

lógico

Mitigar 4.20 0.10 0.42

Mantenimiento

preventivo 2 veces

al año

0.5 meses $ 150,00

Adquisiciones de

UPS

0.5 meses $425,00

Implementación de

guías y

concienciación de

uso debido del

1 mes $250,00

61

hardware para el

personal

[A.15]

Modificación

deliberada de la

información

Mitigar 9.25 0.02 0.37

Implementación de

Firewall físico

4 mes $ 360,00

Implementación del

servicio de cloud

Backup por 12

meses

6 meses $1.500,00

Adquisición de

software licencia

antivirus para 5

equipos por 12

meses

0.5 meses $ 435,00

[A.30] Ingeniería

social

Mitigar 5.65 0.02 0.113

Capacitaciones para

los usuarios por 12

meses

0.125 meses $ 600,00


El plan de tratamiento de riesgo se lo ejecuta por fases determinando su efectividad, que

se van ejecutando de manera secuencial, es decir al finalizar una fase se da inicio a la siguiente.

62

Figura 4.3: Fases de ejecución del plan de tratamiento de riesgo


En la tabla 4.3 se detalla el análisis del costo y tiempo de las actividades de mejora en el

departamento Secretaria.

Tabla 4.3: Análisis tiempo y costo del plan de tratamiento de riesgo Fase / Mejora Tiempo de implementación Valor anual

Fase 1

Adquisición de software

antivirus por 12 meses para los 5

equipos del departamento

Secretaria

0.5 meses $435,00

Implementación y concienciación

de políticas de control de acceso

físico.

1.5 meses $600,00

Mejoramiento de la

configuración de control de

acceso de usuarios

3 meses $700,00

Fase 1

•Adquisición de software antivirus para los equipos del departamento Secretaria.

• Implementación y concienciación de políticas de control de acceso físico.

•Mejoramiento de la configuración de control de acceso de usuarios en los sistemas y bases de datos.

•Mantenimiento preventivo semestral.

Fase 2

•Adquisición de Plan cloud Backup.

• Implementación de guías y concienciación de uso debido del hardware para el personal.

• Implementación sistema de video vigilancia.

Fase 3

•Capacitaciones para los usuarios..

•Adquisiciones de UPS.

• Implementación de Firewall físico.

Tiempo: 3 meses

Valor: $1.885,00

Tiempo: 6 meses

Valor: $2.200,00

Tiempo: 4 meses

Valor: $1.385,00

63

Mantenimiento preventivo 2

veces al año

0.5 meses $150,00

Total Fase 1 3 meses $1.885,00

Fase 2

Adquisición del servicio cloud

Backup

6 meses $1500,00

Implementación de guías y

concienciación de uso debido del

hardware para el personal

1 mes $250,00

Implementación sistema de video

vigilancia

0.5 meses $450,00

Total Fase 2 6 meses $2.200,00

Fase 3

Capacitaciones para los usuarios

por 12 meses

0.125 meses $600,00

Adquisiciones de UPS 0.5 meses $425,00

Implementación de Firewall

físico

4 meses $360,00

Total Fase 3 4 meses $1385,00

Valor total 13 meses $5.470,00


Una vez implementadas tan solo la fase 1 y sus mejoras del plan de tratamiento de

riesgos ya se pueden observar resultados, se proyectan mayor reducción del riesgo con las

ejecuciones de las siguientes fases del plan de tratamiento de riesgo, consultar anexo C para

revisión del análisis comparativo del riesgo una vez implementadas las mejoras.

4.6. Fase 3: Definición de controles

Este apartado muestra la integración de los controles en este modelo basado en las

necesidades de la empresa ITGACIC.

64

Elección de controles

Los controles han sido debidamente estudiados y revisados por el departamento de TI

en conjunto a la directiva de ITGACIC, se reducen en 5 controles de gestión y 1 Control de

cumplimiento para la seguridad de la información.

Figura 4.4: Controles implementados por el modelo


Implementación de los controles

Se destinó a un equipo en el que incluye personal de TI y de la directiva de ITGACIC,

para la gestión de la implementación de los controles elegidos, para el detalle de los controles

implementados consultar anexo D.

La implementación de los controles se la realiza a partir de la ejecución del plan de

tratamiento de riesgo, es importante recalcar que el control contra código malicioso y copias de

respaldo de la información fueron integrados en la segunda ejecución del modelo basado en los

Control contra Código

malicioso

Copias de seguridad de la

información

Cumplimiento de las políticas

y normas de seguridad

Uso de activos

Control de Red

Restricción del acceso a la

información

65

resultados de la primera ejecución, debido a que anteriormente no se los había contemplado y

con la ejecución de la mejoras de la fase uno fueron detectados la necesidad de estos controles

e integrados.

Declaración de aplicabilidad SoA

La declaración de aplicabilidad por su par en inglés (SoA Statement of Applicability), es un

documento utilizado por las organizaciones para mantener un registro y control en el cual se enlistan

aquellos controles de seguridad que son aplicados como medida de seguridad, el estándar ISO 27001

establece controles referenciales para comprobar que no se dejen de lado medidas de seguridad.

Este documento es la constancia formal de la decisión de ITGACIC, relacionado al tratamiento

de riesgo, luego del análisis de los mismos y el diagnóstico resultante de conformidad con la norma ISO

27001:2013, realizado en el modelo escalonado de gestión de incidentes de seguridad de la información.

66

Tabla 4.4: Declaración de aplicabilidad Dominio Control Cómo Justificación Amenaza a la que va

dirigida

A.9 Control de acceso A.9.4.1 Restricción del

acceso a la información

Se establecen los permisos para cada

usuario en los sistemas de información,

según corresponda a su perfil,

definiendo los niveles de estos.

Evitar uso indebido o mal intencionado

de la información.

Acceso no autorizado,

Modificación no

intencionada de la

información.

A.13 Seguridad en las

telecomunicaciones

A.13.1.1 Control de red Se establecen políticas para el control a

los servicios de red, se realiza

segregación de funciones.

La navegación sin restricción en la red o

en la web, permite la efectuación de

incidentes como propagación de virus,

infiltración de atacantes externos, fuga de

información, entre otros.

Fuga de información,

atacantes externos,

vulneración de los

sistemas de información.

A.8 Gestión de activos A.8.1.3 Uso de activos Se realizan manuales para uso debido de

los activos, se compromete a los

usuarios para realizar el buen uso de los

activos.

Los activos son críticos para las

operaciones diarias, el fallo de los

mismos causaría atrasos en las

operaciones.

Avería de origen físico o

lógico.

A.18 Cumplimiento A.18.2.2 Cumplimiento de

las políticas y normas de

seguridad

La alta dirección de ITGACIC aprobó la

política de seguridad de la información

y se ha comprometido a la campaña de

concienciación a todas las partes que

conforman el personal de ITGACIC.

Las políticas son directrices para

establecer un buen ambiente laboral,

para colaborar con el cumplimiento de los

objetivos del negocio.

Acceso no autorizado,

modificación deliberada

de la información, Fuga de

información, Avería de

origen físico o lógico,

ingeniería social.

A.12 Seguridad en la

operatividad

A.12.2.1 Control contra

código malicioso

Se establece el uso de herramienta

antivirus, para su instalación en todos

los equipos del departamento Secretaria

y servidor gestionado de forma

centralizado.

Prevenir las infecciones y propagaciones

de virus, si hay infecciones existentes

para poder tratarlas.

Código malicioso.

A.12 Seguridad en la

operatividad

A.12.3.1 Copias de

seguridad de la información

Se creó un procedimiento de respaldo de

información, con los lineamientos que

muestran la forma en que se realizan las

copias de respaldo, que se almacenan en

el servidor y para mayor redundancia se

realizan respaldos en la nube.

Mantener respaldos de información

óptimos.

Perdida de la información,

Avería de origen físico o

lógico.


67

4.7. Fase 4: Mejora continua

4.7.1. Desarrollo de los indicadores

En este apartado se muestra el desarrollo de los indicadores para los controles, estos

indicadores son elaborados a partir del repositorio de trabajos relacionados a la norma ISO 27035

y los ejemplos que estos muestran, el desarrollo y ejecución de los indicadores de los controles

aplicados puede ser consultado en el anexo E.

4.7.2. Análisis de los resultados de los indicadores

Para el análisis de los resultados de los indicadores elaboramos la tabla 4.4 en la cual se

integran todos los resultados, para poder apreciar la efectividad de los controles implementados,

para la elaboración de esta tabla se toman los últimos resultados de efectividad de cada indicador

de control, consultar el anexo E para el detalle del cálculo de efectividad de los controles.

Tabla 4.5: Efectividad de los controles implementados Control Efectividad Nivel de efectividad

Restricción del acceso a la información 75% Mínimo

Control de red

90.9% Satisfactorio

Cumplimiento de las políticas y normas

de seguridad de la información

100% Sobresaliente

Uso de activos 87.5% Satisfactorio

Control contra código malicioso 80% Mínimo

Copias de seguridad de la información

87.5% Satisfactorio


68

Los indicadores muestran un promedio satisfactorio de los controles implementados, se

espera una proyección de mejores niveles de efectividad de los controles debido a que este

resultado proviene de la finalización de la primera fase del plan de tratamiento de riesgo. Es

importante recalcar que la medición de estos controles se los realiza mensualmente.

4.7.3. Medidas preventivas y correctivas

Medidas preventivas

El objetivo de las medidas correctivas es colaborar a la mejora de los controles propuestos

en el plan de tratamiento de riesgos, cerrando las brechas de las amenazas internas como de las

externas. Como medidas preventivas contra los incidentes de seguridad de la información, fueron

estudiadas y definidas por el departamento de TI, en la tabla 4.5 se muestras las medidas tomadas.

Tabla 4.6: Medidas preventivas Medidas tomadas Objetivo

Filtrar los usuarios que necesitas acceso a la navegación

web.

Optimizar el uso del servicio de internet.

Reducir los sitios de acceso para la navegación web. Ofrecer navegación segura a los usuarios.

Limitar servicios de instalación de software a los

usuarios excluyendo a los usuarios administradores.

Evitar la infección y propagación de virus.

Realizar 3 respaldos diarios de las bases de datos del

departamento de Secretaria.

Contar con soporte en caso de incidentes

críticos.

Realizar campañas de concienciación al personal del


Crear cultura de seguridad de la información.

Realizar mantenimientos a las estaciones de trabajo y

servidores.

Prevenir avería de origen físico o lógico.

Crear políticas de contraseñas donde se estipule el

cambio de las mismas cada 3 meses.

Prevenir la vulneración de los sistemas de

información.

Cifrar la información almacenada en los servidores. Proteger la información.

Mantener las bases de datos en los servidores, y a su vez

mantener los servidores en sitios seguros.

Prevenir perdida de información en caso de la

presencia de incidentes críticos.

69

Controlar el acceso físico a los servidores y equipos. Prevenir el uso indebido de los equipos.


Medidas Correctivas

Las medidas correctivas se las elaboró a partir de la detección de eventos de seguridad de

la información en el departamento de Secretaria, debido a la presencia de estos eventos el

departamento de TI realizó la toma de las medidas que se muestran en la tabla 4.6.

Tabla 4.7: Medidas correctivas Medidas tomadas Objetivo

Limpieza de equipos de cómputo del departamento

Secretaria mediante el uso de antivirus.

Detectar software malicioso o de dudosa

procedencia.

Formatear y reinstalar equipo. Devolver operatividad del equipo.

Restaurar información respaldada. Restaurar la información de equipo reinstalado.

Realizar de restauraciones de respaldos. Comprobar operatividad de los respaldos.

Integrar Políticas de uso de correo electrónico. Corregir el uso indebido del correo electrónico

institucional.

Integrar Políticas de uso de activos Corregir el uso indebido de los activos del

departamento de secretaria.


4.7.4. Propuesta

La mejora continua del modelo es el resultante de las ejecuciones del modelo, en donde se

sugieren nuevas medidas para su integración al modelo actual, que se requieran para el tratamiento

de riesgo de las eventualidades no previstas, para el detalle del proceso consultar anexo F.

Primera ejecución del modelo

En el primer análisis por tratarse del génesis de la aplicación del modelo en el departamento

de Secretaria, es evidente de que los resultados respecto a los incidentes detectados por el modelo

es alto siendo 41 las incidencias detectadas y que el número de medidas a implementar es alto,

70

esto permitió la elaboración del plan de tratamiento para los mismos, se crean medidas para el

tratamiento de riesgo de las cuales se definió que su ejecución se la elabore en 3 fases. Los

resultados de la primera ejecución del modelo son presentados en la siguiente tabla.

Tabla 4.8: Detección de incidentes o eventos de seguridad de la información Cantidad Incidente /

evento de

seguridad de la

información

Causa Consecuencia Frecuencia

anual

Usuarios /

departamentos

afectados

13 Detección de

software

malicioso

malware.

No existía

antivirus para la

detección de

software

malicioso

2 equipos

afectados.

25 2 usuarios

Uso indebido del

correo

electrónico.

3 Avería de

hardware.

No se realizaban

mantenimientos

preventivos.

3 equipos

afectados.

5 3 usuarios

2 Modificación de

la información.

Error de usuario. 1 base de datos

afectada.

3 1 Departamento

(Secretaria).

Acceso sin

restricción a la

información.

10 Robo de

contraseña.

Usuarios víctima

de phishing.

1 sistema de

datos afectado.

5 1 Departamento.

(Secretaria)

13 Intentos de

intrusión en el

sistema de

calificaciones.

Atacantes

externos y

usuarios no

autorizados.

0. 30. 0.


A continuación se muestra la propuesta de mejora continua que surgió con la primera

ejecución del modelo.

71

Tabla 4.9: Plan de mejora continúa Incidente / evento de

seguridad de la

información

Actividad de Mejora Política Control

Detección de

software malicioso

malware.

Adquisición e

implementación de

software antivirus.

Política de instalación

de software.

Control de instalación

de software.

Política de uso de

dispositivos extraíbles.

Control de uso de

dispositivos extraíbles.

Política de uso de correo

electrónico.

Control de uso de correo

electrónico.

Avería de hardware Implementación de

programa de

mantenimiento

preventivo.

Política de

mantenimiento

preventivo del hardware

Control de

mantenimiento

preventivo.

Política de uso de

activos.

Control de uso de

activos.

Modificación de la

información.

Implementación de

servicio cloud backup.

Política de copias de

seguridad de la

información.

Control de la realización

de copias de seguridad

de la información.

Adquisición e

implementación de

Firewall.

Política de acceso a la

información.

Control de Restricción

del acceso a la

información.

Control de uso debido

de la información.

Robo de contraseña Implementación de

campaña de

concienciación.

Política de contraseñas

de los sistemas de

información.

Control de actividades

en los sistemas de

información.

Políticas de ingreso a

los sistemas de

información.

Control de cambio de

contraseñas.

Control del nivel de

seguridad de las

contraseñas.

Intentos de intrusión

en el sistema de

calificaciones

Implementación de

sistemas de detección de

intrusos.

Políticas de acceso a la

información.

Control de Restricción

de acceso a la

información.

72


Segunda ejecución del modelo

En la segunda ejecución del modelo ya se integran las actividades de mejora, las políticas

y controles, que surgieron a partir de la ejecución anterior del modelo, también se realiza el

seguimiento del tratamiento que se les da a las incidencias de seguridad de la información, con

estas mejoras ya es posible notar la reducción de incidencias y la disminución del riesgo. A

continuación se muestran los resultados de la segunda ejecución del modelo.

Tabla 4.10: Detección de incidentes o eventos de seguridad de la información Cantidad Incidente /

evento de

seguridad de la

información

Causa Consecuencia Frecuencia

anual

Usuarios /

departamentos

afectados

5 Detección de

software

malicioso

malware.

Usuario

desactivo el

antivirus e

introdujo

dispositivo

extraíble

infectado.

1 equipos

afectados.

12 1 usuarios

1 Perdida de

información.

Copia de

seguridad

reestablecidas

fallidas.

1 base de datos

desactualizada.

1 5 usuarios

5 Intento de

intrusión en el

sistema de

calificaciones.

Atacantes

externos.

0 30 0


A continuación se muestra la propuesta de mejora continua que surgió con la segunda

ejecución del modelo.

73

Tabla 4.11: Plan de mejora continúa Incidente / evento de

seguridad de la

información

Actividad de Mejora Política Control

Detección de

software malicioso

malware.

Concienciación del

peligro de los virus.

Política de

administración del

software antivirus.

Control de operatividad

de software antivirus.

Control de

cumplimiento de

políticas de seguridad.

Perdida de la

información por

respaldos no

operativos.

Asignar responsabilidad

de copias de seguridad de

la información.

Política de copias de

seguridad de la

información.

Control de operatividad

de las copias de

seguridad de la

información.

Intento de intrusión

en el sistema de

calificaciones.

Asignar a miembros del

IRT responsabilidad de

seguimiento de

intrusiones o intentos de

intrusiones.

Política de seguimiento

de incidentes de

seguridad de la

información.

Control de Seguimiento

de incidentes de

seguridad de la

información.


Para un análisis de la efectividad del modelo se realiza comparaciones de las ejecuciones

del modelo y los respectivos resultados, dando constancia de cómo ha mejorado la gestión de los

incidentes de seguridad de la información, y como la presencia de los incidentes ha disminuido

con las medidas ejecutadas por el modelo.

74

Figura 4.5: Análisis comparativo de las ejecuciones del modelo


En la tabla se enlistan beneficios con los que ahora la organización cuenta desde la

adopción del modelo escalonado de gestión de incidentes de seguridad de la información.

Tabla 4.12: Beneficios del modelo implementado Beneficios

Se cumple con las entidades de control (CES, CEAACES, Secretaria de educación Superior, Ciencia y

Tecnología) respecto a la gestión de la información y la calidad de la información entregada.

Se obtuvo un documento de valor legal que compromete al personal y todos los que conforman la

organización, al cumplimiento de las directrices implantadas para forjar la seguridad de la información y

ayudar a conseguir los objetivos de la organización.

Se está creando una cultura de seguridad de la información.

Se crea conciencia a la directiva y el personal de la organización de la importancia de las TI.

Hay un número menor interrupciones en los procesos operativos de la organización.

Se obtuvo inventarios de los activos de la información.

Controles de gestión y cumplimiento para la seguridad de la información.

Sistemas de respaldos de la información.

13

3

2

10

13

0

5

0 0 0

5

1

0

2

4

6

8

10

12

14

Detección desoftwaremalicioso

Avería dehardware

Modificacionesde la

información

Robo decontraseña

Intentos deintrusión

Respaldos nooperativos

Primera ejecución Segunda ejecución

75

Programa de prevención contra de código malicioso.


76

CAPÍTULO 5

5.1. Conclusiones

Tabla 5.1: Conclusiones de la investigación Objetivo Question research Conclusiones Consultar

Diseñar un modelo escalonado para la

gestión de incidentes de la seguridad

de la información basado en la norma

ISO/ICE 27035 para la empresa

ITGACIC S.A..

¿Qué relevancia tiene regirse al

estándar ISO 27035 para el desarrollo

de un modelo de gestión de incidentes

seguridad de la información?

Un modelo escalonado de gestión de incidentes

de seguridad de la información basado en la

norma ISO 27035 otorga un enfoque

estructurado para la gestión de incidentes de

seguridad de la información, la gestión efectiva

de incidentes involucra controles preventivos y

correctivos diseñados para reconocer y

responder a eventos e incidentes, minimizar

impactos adversos, reunir evidencia forense

(cuando corresponda), y, a su debido tiempo,

´aprender las lecciones´ en términos de impulsar

las mejoras del modelo de gestión de incidentes

de seguridad de la información, generalmente

mejorando los controles preventivos u otro

tratamiento de riesgo.

Capítulo 2, # 2.3

Evaluar e identificar los activos y

procesos en riesgos fijando niveles de

criticidad de los incidentes por el

impacto y alcance de las amenazas

sobre estos.

¿Cómo se efectúa la evaluación e

identificación de activos y procesos en

riesgos?

¿Cómo se clasifican los incidentes de


La evaluación e identificación de activos y

procesos en riesgos y la clasificación de los

incidentes que puedan afectar a estos, permitió

crear planes de respuestas en conformidad al

nivel de criticidad de los incidentes.

Capítulo 2, # 2.9

Capítulo 4, # 4.4

Anexo C

77

Definir política de seguridad que

consideren requerimientos legales o

contractuales, que incluya el objetivo

y el marco general de la seguridad de

la información alineada al contexto

estratégico de gestión de riesgos de la

institución.

¿Por qué es importante la creación de

políticas de seguridad de la

información?

¿Qué tipo de políticas se deben

desarrollar?

Las políticas de seguridad de la información son

de gran relevancia para la gestión adecuada de la

seguridad de la información, debido a que

otorgan los lineamientos que imparte la

organización para precautelar la seguridad de su

información, estas políticas deben de gozar de

validez legal de reservando para la organización

el derecho de aplicar sanciones por su

incumplimiento.

Capítulo 4, # 4.3

Anexo A

Desarrollar los controles para el

tratamiento de incidentes de


¿Cuál es el objetivo de los controles

para el tratamiento de incidentes de


¿Qué beneficios otorgan los

controles?

Los controles buscan evaluar y corregir el

desempeño de las medidas implementadas, se

procura con estos fomentar cultura de seguridad

de la información, los controles ayudaron al

compromiso del personal y la organización para

la realización correcta de las tareas y funciones,

derivando en el cumplimiento de los objetivos

del negocio.

Capítulo 4, # 4.5

Anexo D

Construir un listado de indicadores

que permita extraer resultados

reproducibles y comparables que

faciliten la medición de los controles.

¿Qué objetivo tiene los indicadores del

modelo escalonado de gestión de

incidentes de seguridad de la

información?

Los indicadores tienen como finalidad obtener

métricas de la eficacia de los controles del

modelo escalonado de gestión de incidentes de

seguridad de la información, a través de su

análisis se realizan ajustes en los controles y se

apoya a la creación del plan de mejora continua.

Capítulo 4, # 4.6.1, # 4.6.2

Anexo E


78

5.2. Aportaciones y reflexiones

5.2.1. Aportaciones

Proporciona un marco de trabajo que describe los procesos para administrar eventos

de seguridad de la información, incidentes y vulnerabilidades de manera que no se

vea afectada la operatividad de las empresas, contribuyendo al cumplimiento de los

objetivos de negocio.

Permite ir afinando procesos de seguridad mediante los pasos definidos, iniciando

con la implementación de políticas para la seguridad de la información,

comprometiendo a toda la organización a su cumplimiento, seguido se realiza la

gestión de riesgo minimizando el riesgo hasta un nivel aceptable.

Proporciona controles e indicadores que otorgan resultados reales y a partir de estos

se crea un plan de mejora continua que suma en los niveles de eficacia y

confiabilidad de la gestión de incidentes de seguridad de la información.

5.2.2. Reflexiones

El respaldo de la directiva de las organizaciones es fundamental para crear una

cultura de seguridad de la información, esta deriva en el óptimo desempeño de la

operatividad de los procesos de la organización, así como en un ambiente laboral

mucho más confortable, repercutiendo en el cumplimiento de los objetivos del

negocio.

5.3. Oportunidad de futura investigación y desarrollo

Diseño completo del modelo de gestión de incidentes de seguridad de la información,

expandiendo la investigación a los departamentos restantes que componen la

organización.

79

Desarrollo de un modelo de gestión de riesgos de seguridad de la información basado

en el estándar ISO 27005 el cual trabaje en conjunto al modelo de gestión de


Diseño e implementación de un SGSI para la organización expandiendo la gestión

seguridad de la información de forma holística.

80

BIBLIOGRAFÍA

(2012). Obtenido de ISO 27000: www.iso27000.es

(2013). Obtenido de Esquema Gubernamental de la Seguridad de la Información:

https://www.politica.gob.ec/wp-content/uploads/2017/04/EGSI.pdf

(2014). Obtenido de Historia de la ISO: http://blogdecalidadiso.es/historia-de-la-iso/

(2015). Obtenido de Reporte de seguridad cibernética de las Américas:

https://www.sites.oas.org/cyber/Certs_Web/OEA-

Trend%20Micro%20Reporte%20Seguridad%20Cibernetica%20y%20Porteccion%20de%20la%

20Inf%20Critica.pdf

(2016). Obtenido de Servicio Ecuatoriano de Normalización:

http://www.normalizacion.gob.ec/

(2016). Obtenido de ISO 27000: http://www.iso27000.es/iso27000.html

Bryant, I. (2008). Obtenido de https://www.terena.org/activities/tf-csirt/meeting25/bryant-

iso27035.pdf

El universo. (Marzo de 2013). Obtenido de

https://www.eluniverso.com/2013/03/07/1/1528/investigan-hackeo-sistema-uees.html

ESET Security Solutions. (2018). Obtenido de https://www.welivesecurity.com/la-

es/2018/03/01/impacto-ransomware-latinoamerica-2017/

Forbes. (2018). Obtenido de https://www.forbes.com.mx/las-universidades-tercer-destino-

de-ciberataques-en-rd/

81

Gestión de incidentes de seguridad de la información. (2016). Norma ISO/IEC 27035.

Global Information Security Survey. (2015). Obtenido de

https://www.ey.com/gl/en/services/advisory/ey-cybersecurity

Henry, J. (2018). IBM Security Intelligence. Obtenido de

https://securityintelligence.com/these-5-types-of-insider-threats-could-lead-to-costly-data-

breaches/?mhq=causes%20cyberattacks&mhsrc=ibmsearch_a

IBM Intelligence Security Platform. (2018). Obtenido de www-01.ibm.com

ISO 27000. (2012). Obtenido de http://www.iso27000.es/download/doc_sgsi_all.pdf

Kaspersky LAB. (2018). Obtenido de https://latam.kaspersky.com/about/press-

releases/2018_pr-scholars-phishing

Velasquez Hidalgo , I. (18 de 12 de 2005). www.gestiopolis.com. Obtenido de

https://www.gestiopolis.com/tipos-estudio-metodos-investigacion/

82

ANEXOS

83

Índice de Anexos

ANEXO A.- POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN .......................................................................................................................... 87 I. Introducción............................................................................................................................................................. 87 II. Información del Documento.............................................................................................................................. 87 III. Validación del documento ............................................................................................................................ 88 IV. Objetivos .............................................................................................................................................................. 88 V. Alcance ....................................................................................................................................................................... 89 VI. Responsabilidades ........................................................................................................................................... 89 VII. Adopción y reconocimiento ......................................................................................................................... 90 VIII. Identificación, valoración y clasificación de activos de información .......................................... 90 IX. Seguridad de la información custodiada por el recurso humano ................................................. 90 X. Seguridad física de equipos y del entorno ................................................................................................... 91 XI. Reporte y seguimiento de incidentes de seguridad de la información ...................................... 92 XII. Protección contra hacking y software malicioso ................................................................................. 92 XIII. Respecto a las copias de seguridad ........................................................................................................... 93 XIV. Configuración y administración de la red .............................................................................................. 93 XV. Información de intercambio con organizaciones externas ............................................................. 94 XVI. Acceso a internet y uso de correo electrónico ...................................................................................... 94 XVII. Instalación de software .................................................................................................................................. 95 XVIII. Categorías de acceso .................................................................................................................................. 95 XIX. Control de claves ............................................................................................................................................... 95 XX. Auditoria y seguimiento ............................................................................................................................... 96 XXI. Acceso remoto ................................................................................................................................................... 96 XXII. Seguridad de software .................................................................................................................................... 96 XXIII. Cumplimiento ............................................................................................................................................... 96 XXIV. Incumplimiento ............................................................................................................................................ 96 XXV. Formato de las Políticas de seguridad de la información ................................................................ 97

ANEXO B.- EQUIPO DE RESPUESTAS CONTRA INCIDENCIAS (IRT) ............................. 99 I. Establecimiento del IRT ...................................................................................................................................... 99 II. Funciones que debe cumplir el IRT ................................................................................................................ 99 III. Tareas que debe cumplir el IRT ............................................................................................................... 100 IV. Tabla B.2: Tareas del IRT ITGACIC ......................................................................................................... 100

ANEXO C.- ANÁLISIS DE RIESGOS ..................................................................................... 102 I. Identificación de activos .................................................................................................................................. 102 II. Análisis de los riesgos ....................................................................................................................................... 105 III. Del plan de tratamiento de los riesgos del departamento Secretaria...................................... 108

ANEXO D.- DEFINICIÓN DE CONTROLES PARA LA SEGURIDAD DE LA

INFORMACIÓN ........................................................................................................................ 110 I. Implementación de los controles ................................................................................................................. 110 II. Restricción del acceso a la información .................................................................................................... 110 III. Control de red ................................................................................................................................................. 111 IV. Control de Uso de activos ........................................................................................................................... 112

84

V. Control de cumplimiento de políticas de seguridad de la información........................................ 113 VI. Control contra código malicioso.............................................................................................................. 114 VII. Control de Copias de seguridad de la información .......................................................................... 115

ANEXO E.- DESARROLLO DE LOS INDICACODRES ........................................................ 117 I. Indicador de Restricción del acceso a la información ......................................................................... 117 II. Indicador de Control de red ........................................................................................................................... 118 III. Indicador de Cumplimiento de políticas y normas de seguridad .............................................. 120 IV. Indicador de desempeño de Control de Uso de activos ................................................................. 121 V. Indicador de Control contra software malicioso ................................................................................... 123 VI. Indicador de Copias de seguridad de la información ..................................................................... 125

ANEXO F.- PROCESO MEJORA CONTINUA ....................................................................... 128

85

Índice de Figuras de anexos

Figura C.1: Análisis comparativo del riesgo………………………………..………………109

Figura D.1: Implementación de Restricción del acceso a la información……………..…….111 Figura D.2: Implementación de control de red………………………………………………...………112 Figura D.3: Implementación de Control de Uso de activos………………………………...113

Figura D.4: Control de cumplimiento de políticas de seguridad de la información………..114

Figura D.5: Implementación de control contra código malicioso…………………………..115

Figura D.6: Implementación de control Copias de seguridad de la información……..……116

Figura E.1: Indicador de Restricción del acceso a la información………………………….118

Figura E.2: Indicador de navegación web…………………………………………………..119

Figura E.3: Indicador de Cumplimiento de políticas y normas de seguridad………………120

Figura E.4: Indicador de Control de Uso de activos………………………………………..122

Figura E.5: Indicador de Control contra software malicioso……………………………….124

Figura E.6: Indicador Copias de seguridad de la información……………………………..126

Figura F.1: Procesos de mejora continúa…………………………………………………...128

86

Índice de tablas de anexos

Tabla B.1: Funciones de la IRT de ITGACIC…………………………………………...…....99 Tabla B.2: Tareas del IRT ITGACIC………………………………………………………...100

Tabla C.1: Nivel de importancia de los activos……………………………………………....102

Tabla C.2: Términos y conceptos para la tabla de identificación de activos………………....103

Tabla C.3: Matriz identificación de activos del departamento Secretaria …………………...103

Tabla C.4: Matriz impacto de las amenazas…………………………………………………..105

Tabla C.5: Estimación de ocurrencias de los riesgos…………………………………………107

Tabla C.6: Conceptos de los términos usados en la tabla de análisis de impacto de los

riesgos……………………………..………………………………………………………….107

Tabla C.7: Análisis de riesgos del departamento Secretaria………………………………….107

Tabla C.8: Comparación de riesgo…………………………………………………………...108

Tabla E.1: Resultado del indicador de Restricción del acceso a la información………….....118

Tabla E.2: Resultado del indicador de control de red……………………………………..…119

Tabla E.3: Resultado del indicador de Cumplimiento de políticas y normas de seguridad….121

Tabla E.4: Resultado del indicador de desempeño de Control de Uso de activos………..….123

Tabla E.5: Resultado del indicador de Control contra software malicioso…………………..125

Tabla E.6: Resultado del indicador de Copias de seguridad de la información……………...128

87

ANEXO A.- POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA

INFORMACIÓN

I. Introducción

ITGACIC reconoce a la información como activo crítico para la operatividad diaria, así

como de los sistemas de información que ayudan a los procesos para llevar a cabo el cumplimiento

de las metas de la organización, se requiere obtener estrategias de categoría alta que permita

controlar y administrar la efectividad de la información.

La presente política de seguridad de la información se compromete al Instituto de Artes

Gráficos Digitales ITGACIC con la gestión responsable de la información con el objetivo de

preservar los atributos de confidencialidad, integridad y disponibilidad de este activo crítico.

II. Información del Documento

DATOS HISTÓRICOS DEL DOCUMENTO Nombre del documento Políticas de seguridad de la información

Preparado por: Steven Rodríguez Cepeda Responsable del documento

Steven Rodríguez Fecha de creación

20 de noviembre 2018

Aprobado por Departamento de TI y directiva de ITGACIC

Fecha de aprobación

3 de diciembre 2018

CONTROL DE VERSIONES

Versión Fecha de creación

Preparada por Descripción

1.0 20/11/ 2018 Steven Rodríguez Creación de la primera versión del documento.

1.1 06/12/2018 Steven Rodríguez Integración de las políticas instalación de software, dispositivos extraíbles, uso de correo

88

electrónico, mantenimiento preventivo de hardware, Uso de activos.

1.2 17/12/2018 Steven Rodríguez, Marlon Alarcón

Integración de las políticas copias de seguridad de la información, acceso a la información, contraseñas de los sistemas de información, ingreso a los sistemas de información.

*La presente versión sustituye a las versiones precedentes, dando la validación a este documento de entre todas las versiones.

III. Validación del documento

Mediante el presente Carta de compromiso, tiene por objetivo la validación del documento

Políticas de seguridad de la información por unas parte la empresa ITGACIC, representada

legalmente por Efraín Paredes Álava en calidad de gerente general y por otra parte Steven

Rodríguez Cepeda quien en calidad de Jefe de Sistemas, se ratifica por los comparecientes en todos

y cada uno de las declaraciones y considerando contenidos en el presente instrumento, la

aceptación de su contenido, teniendo este documento valor legal, se celebra en la ciudad de

Guayaquil con los señores

Por el departamento de Sistemas

Por la Gerencia Por el vicerrectorado de ITGACIC

Steven Rodríguez Cepeda Jefe de Sistemas

Efraín paredes Álava Gerente General ITGACIC

Katty Paredes Álava Vicerrectora ITGACIC

IV. Objetivos

89

Establecer lineamientos para la prevención y limitación de incidentes de seguridad

de la información mediante acciones con la finalidad de garantizar la preservación

de la información, considerando las expectativas de la dirección de ITGACIC

respecto a la seguridad de la información de la organización contemplando los

requisitos tecnológicos, legales y de seguridad.

Establecer una cultura de seguridad de la información la cual promueva la

comprensión de las responsabilidades a todo el personal de ITGACIC quienes

puedan utilizar la política como herramienta en la toma de decisiones apropiada

para situaciones que correspondan al ámbito de seguridad de la información.

V. Alcance

La aplicación de esta política se la realiza al conjunto de dependencias que conforman la

organización incluido aquellas que realizan sus labores a través de contratos mediante terceros, así

como también a los recursos y procesos vinculados a la organización sean estos de internos o

externos cuya relación sea mediante acuerdos o contratos.

VI. Responsabilidades

La dirección de ITGACIC es responsable por:

Aprobación y autorización de modificaciones de esta política.

Facilitar la asignación de recursos al IRT para la adecuada de seguridad de la información.

Aprobar y promulgar la campaña de concienciación a todo el personal de la organización sin

excepción alguna.

Encargado de seguridad de TI:

Llevar a cabo la campaña de concienciación de seguridad de la información.

Realizar actualizaciones y modificaciones necesarias a la política de seguridad de la información.

Aplicar y hacer cumplir la política de seguridad de información establecida.

90

Monitorear, aplicar, mantener o crear controles de seguridad de la información que contribuyan a

garantizar la seguridad de la información.

El personal de ITGACIC es responsable de:

El cumplimiento de la presente política.

Él o los usuarios que hagan uso y almacenamiento de la información serán

automáticamente responsables de la misma sin restricciones por su ámbito.

Realizar el reporte de los eventos de seguridad de información de los que se hayan

percatado, siguiendo el procedimiento previamente establecido.

Para un completo entendimiento de que es el IRT consultar anexoB.

VII. Adopción y reconocimiento

Se reconoce por parte de la dirección de ITGACIC la importancia de la implementación de

la política. La política de gestión de incidentes de seguridad de la información es adoptada al

reglamento general de ITGACIC, siendo la misma previamente difundida.

VIII. Identificación, valoración y clasificación de activos de información

El departamento de TI a través del IRT es responsable de realizar, actualizar, corregir

si así lo amerite el inventario de activos de información periódicamente de forma

bimestral, clasificando y valorizando estos activos.

El departamento de TI a través del IRT presentará bimestralmente el inventario de

los activos de información a la dirección de ITGACIC.

IX. Seguridad de la información custodiada por el recurso humano

ITGACIC define a la información física o digital como un activo crítico y vital para

sus operaciones, por ende establece que el uso y procesamiento de la información

sea únicamente para propósito laboral, cualquier otro uso de la información será

sancionado como la directiva de ITGACIC lo establezca.

91

Todo el personal de ITGACIC sin excepción debe tener asociado un perfil de

conocimientos de uso de los recursos de información, tanto hardware como

software, el departamento de TI será el encargado de definir, mantener y actualizar

los perfiles según correspondan.

El departamento de TI a través del IRT impartirá al personal manuales de

responsabilidades del personal para la seguridad de la información.

El personal de ITGACIC es reconocido como custodio tanto de los activos de

información de los que este haga uso así como de la información generada en sus

funciones.

ITGACIC bajo seguimiento de actividades protegerá su información de amenazas

que sean originadas por usuarios, practicantes, contratistas o sus funcionarios.

En caso de finalización de la relación contractual o cambio de cargo ITGACIC

responsabiliza al custodio para que la información utilizada, mantenida o producida

sea entregada de integra, en caso de no cumplir con lo establecido ITGACIC se

reserva el derecho de aplicar sanciones.

X. Seguridad física de equipos y del entorno

Se debe mantener el acceso controlado en cada departamento, los integrantes de cada

departamento son los encargados de mantener el acceso.

ITGACIC se compromete a otorgar los accesos y recursos al personal según sus

funciones, así mismo si la situación lo amerite revocará el acceso a los mismos.

El acceso físico a los equipos debe ser controlado por sus custodios.

92

Los servidores y contenedores de información institucional de ITGACIC deben

encontrarse bajo un ambiente seguro y con un plan de protección que contenga la

prevención contra catástrofes como incendios, inundaciones o descargas eléctricas.

Los equipos claves deben estar protegidos de forma eléctrica por UPS, IRT

establecerá los equipos claves.

Trimestralmente se deben realizar por parte del departamento de TI en coordinación

con los usuarios mantenimientos de hardware asegurando la preservación de la

infraestructura tecnológica.

XI. Reporte y seguimiento de incidentes de seguridad de la información

El departamento de TI a través del IRT debe definir, mantener y difundir las guías

para el reporte de incidentes de seguridad de la información.

Todo el personal de ITGACIC es responsable de reportar con prontitud y

responsablemente incidentes o eventos de seguridad de la información al

departamento de TI.

El IRT es responsable de realizar el seguimiento debido a los incidentes o eventos

reportados a través de los distintos mecanismos para su pronta solución.

XII. Protección contra hacking y software malicioso

Con un enfoque estructurado se debe proteger la información y todos los recursos

que hacen uso de esta, este enfoque debe involucrar control de usuarios, control

físico y controles técnicos. El departamento de TI deberá elaborar, actualizar y

mantener políticas, estándares, procedimientos y guías que permitan garantizar la

mitigación de riesgos relacionados a hacking y software malicioso.

93

Como control mínimo de las estaciones de trabajo de ITGACIC, estas deberán estar

bajo la protección de software antivirus, cuyas actualizaciones tendrán el privilegio

de ser realizadas de forma automática.

Los usuarios de las estaciones de trabajo de ITGACIC tiene prohibido desactivar la

protección del software antivirus.

El IRT debe elaborar, actualizar y mantener una base de datos de incidentes y

eventualidades de seguridad de la información presentadas.

XIII. Respecto a las copias de seguridad

La información de interés para los procesos de operativos de ITGACIC y toda

aquella que pertenezca a la matriz de activos de información deberá ser alojada en

los servidores, que mediante un procedimiento de copias de seguridad deben ser

respaldadas.

Las copias de seguridad deben ser almacenadas en sitios seguros, y aquellas que se

encuentren alojadas por más de 3 meses deberán ser dabas de baja, para reutilizar

el espacio de almacenamiento que estás usan.

Las copias de seguridad se las debe realizar de forma periódica bimensualmente.

El procedimiento de copias de seguridad se lo realiza automáticamente bajo software

para backups.

Para mayor redundancia de los respaldos se realiza la contratación de un espacio en

la nube para el almacenamiento de los backups.

XIV. Configuración y administración de la red

94

El departamento de TI es el encargado de elaborar, actualizar y mantener el diseño

topológico de la red.

El departamento de TI es responsable de la configuración de Routers, switchs,

firewalls y otros dispositivos de red, acorde a las necesidades de ITGACIC.

El departamento de TI debe crear, actualizar y mantener una matriz que contenga

los equipos de la red debidamente registrados.

Se debe crear perfiles para invitados que tengan autorización para conexión a la red

local de ITGACIC.

XV. Información de intercambio con organizaciones externas

Aquella información que sea requerida por entes externos su acceso deberá ser

autorizado por la dirección de ITGACIC.

En casos de externalización de la información será realizada únicamente con

documentos firmados que integren los términos y condiciones que acuerden y que

comprometan a las partes.

Los entes externos que requieran información de ITGACIC para el manejo de la

misma deberá regirse bajo la política de seguridad de la información de ITGACIC.

XVI. Acceso a internet y uso de correo electrónico

El departamento de TI se encargará de la elaborar, actualizar y mantener la

configuración de acceso a internet, así como de las normas del uso de internet que

serán difundidas por toda la organización ITGACIC.

El uso de correo electrónico institucional será exclusivamente de uso laboral para

todo el personal de ITGACIC, el uso indebido será sancionado.

95

ITGACIC se compromete a salvaguardar la información generada o procesada en

sus funciones o aquella que fue entregada para custodio por motivos de realización

de trámites.

XVII. Instalación de software

El departamento de TI es el responsable de la instalación de software que faciliten

las operaciones y ayuden al cumplimiento de las metas de ITGACIC, toda

instalación debe ser notificada a la dirección de ITGACIC.

El departamento de TI es responsable de elaborar, actualizar y mantener una matriz

que contenga el detalle del software de cada estación de trabajo de ITGACIC.

XVIII. Categorías de acceso

Los perfiles de acceso de los usuarios sean al sistema, a las bases de datos, o las

estaciones de trabajo, deben ser creados, definidos y actualizados por el

departamento de TI.

XIX. Control de claves

Se recomienda que para la autenticación de usuarios se lo realice bajo sistemas que

automaticen y controlen este proceso.

Todo el personal de ITGACIC está comprometido a no otorgar a ningún otro

colaborador o ajeno a la organización sus claves de acceso.

Por motivos de seguridad las claves serán cambiadas por el departamento de TI, este

mismo otorgara a los usuarios sus nuevas claves.

En caso de finalizar la relación laboral de algún empleado serán invalidado tanto su

usuario como claves.

96

XX. Auditoria y seguimiento

ITGACIC con el fin de precautelar la seguridad de la información, el uso de los

activos y el cumplimiento de la política vigente se reserva el derecho de realizar

auditorías de control sin previo aviso.

XXI. Acceso remoto

Mediante acuerdos con la directiva de ITGACIC el departamento de TI establece,

define, actualiza y mantiene el acceso remoto a la red de la organización.

XXII. Seguridad de software

Todo software requerido para apoyar los procesos operativos de ITGACIC, debe ser

previamente aprobado por el departamento de TI.

En caso de requerir el desarrollo de un software el departamento de TI es el

encargado de gestionar el proyecto bajo la aprobación de la dirección del ITGACIC.

XXIII. Cumplimiento

La dirección de ITGACIC debe comprometer a su personal al cumplimiento de la

política de seguridad, encargando al departamento de TI la responsabilidad de

verificar su cumplimiento.

ITGACIC se compromete a definir, crear, implementar y mejorar de manera

periódica el modelo de gestión de incidentes de seguridad de la información que

tiene por objetivo preservar la seguridad de la información estableciendo

lineamientos que estén asociados a la misión y objetivos de la organización.

XXIV. Incumplimiento

97

El personal de ITGACIC deberá cumplir con la política de gestión de incidentes de

seguridad de la información, el no cumplir con la política será motivo de sanción dependiendo de

la situación, podría ser clasificado como evento delictivo, ITGACIC se reserva el derecho al tomar

las respectivas sanciones.

XXV. Formato de las Políticas de seguridad de la información

Toda política de seguridad de la información de ITGACIC de contener:

Introducción

Objetivos

Alcance

Responsabilidades

Adopción y reconocimiento

Identificación, valoración y clasificación de activos de información

Seguridad de la información custodiada por el recurso humano

Seguridad física de equipos y del entorno

Reporte y seguimiento de incidentes de seguridad de la información

Protección contra hacking y software malicioso

Respecto a las copias de seguridad

Configuración y administración de la red

Información de intercambio con organizaciones externas

Acceso a internet y uso de correo electrónico

Instalación de software

Categorías de acceso

98

Control de claves

Auditoria y seguimiento

Acceso remoto

Seguridad de software

Cumplimiento

Incumplimiento

99

ANEXO B.- EQUIPO DE RESPUESTAS CONTRA INCIDENCIAS (IRT)

La elaboración del equipo de respuestas para los incidentes de seguridad de la información

tiene gran relevancia, debido a que asignando la responsabilidad de lis incidentes a un equipo

especializado se otorga respuestas con prontitud y lo más acertadas posibles ante eventos o


I. Establecimiento del IRT

Basado en los tipos de IRTs , debido a la naturaleza y estructura de la organización se eligió

el tipo de IRT singular, el equipo de respuestas debe ser debidamente calificados y de confianza

de la organización. Monitorear el cumplimiento de la política o mejora de la misma se le otorga

esta responsabilidad al IRT, no obstante el IRT tiene otras funciones y tareas que se extienden a

continuación.

II. Funciones que debe cumplir el IRT

El IRT debe estar comprometido a realizar las funciones que se muestran en la tabla B.1

para procurar dar respuestas rápidas ante la presencia de amenazas.

Tabla B.1: Funciones de la IRT de ITGACIC. Función Descripción

Gestión de los sistemas de seguridad

integrados

Monitorización y gestión del sistema de

calificaciones de ITGACIC.

Gestión y monitorización de la configuración

de red de ITGACIC.

Control y monitorización de las aplicaciones en

los equipos de ITGACIC.

Control y monitorización de datos que usan las

aplicaciones.

100

Implementación de política coherente Desarrollo y constante mejora de la política de

gestión de incidentes de seguridad de la

información.

Respuestas con prontitud Desarrollar estrategias de respuestas ante los

incidentes que se susciten en ITGACIC.

Delegar responsabilidades a los miembros del

IRT para la resolución de los distintos tipos de

incidentes.

Optima utilización de la estructura de

seguridad

Procurar la óptima utilización de recursos de

seguridad de la información, tanto recursos

técnicos, como del personal.


III. Tareas que debe cumplir el IRT

La tabla B.2 muestra las tareas que debe realizar el equipo de respuestas de incidentes en

relación al departamento secretaria de ITGACIC.

IV. Tabla B.2: Tareas del IRT ITGACIC

Tarea Descripción

Gestión integrada y seguimiento Supervisión proactiva de las actividades que

realicen los sistemas implícitos del


Planificar y preparar respuestas contra las

posibles incidencias.

Documentar toda actividad que de indicios de

la presencia de incidentes.

Gestión de informes Bimensualmente presentar informes de

seguridad del departamento Secretaria.

Análisis de los informes para la elaboración de

parches de seguridad.

Documentar los informes y resultado de

análisis.

101

Manejo técnico Gestión de seguridad de recursos compartidos

en red del departamento Secretaria.

Control y respaldo de los datos en los sistemas

de calificaciones.

Funcionamiento de sistemas y la gestión Gestión de entorno de los equipos y estructura.

Capacitación de los usuarios respecto al uso o

cambio de los sistemas.


102

ANEXO C.- ANÁLISIS DE RIESGOS

Con el análisis de los activos logramos determinar la criticidad e importancia que tienen

estos para la operatividad de la organización, al mismo tiempo podemos visualizar los riesgos a

los que están expuestos, el departamento de TI en conjunto a la directiva de la organización deben

tomar medidas para el tratamiento de los riesgos, precautelando así la seguridad de los activos, de

esta forma colaborando para que los el cumplimiento de los objetivos de la organización.

I. Identificación de activos

Por medio del análisis de la problemática se realizó la identificación y clasificación de los

activos más sensibles y vulnerables a los riesgos que puedan generar gran impacto en el

departamento Secretaria lo podemos apreciar en la tabla C.1, a cada activo se le asigna un nivel

según su importancia, para determinar estos niveles se tomó la guía del Framework MAGERIT.

Tabla C.1: Nivel de importancia de los activos Valor Activo

5 [S] Servicios

8 [D] Datos

7 [HW] Equipos informáticos

5 [SW] Software

6 [P] Personal


Una vez identificados los activos y el nivel de importancia para el departamento Secretaria

se calcula el nivel de criticidad de los activos sobre la seguridad de la información como se muestra

en la tabla C.3.

103

Para el completo entendimiento de los parámetros bajo la cual se desarrolló la matriz C.3,

se presenta la siguiente tabla.

Tabla C.2: Términos y conceptos para la tabla de identificación de activos Términos Conceptos

Tipo de activo Específica el tipo de activo identificado del


Descripción del activo Describe la función que cumple el activo para

el departamento.

Descripción del riesgo Específica el riesgo al que está expuesto el

activo.

Vulnerabilidades Específica la causa por la cual se generan las

amenazas.

Amenazas Describe las amenazas que pueden afectar a los

activos.

Nivel de afección de criterio

Específica el nivel en que ha impactado el

riesgo, siendo C de confidencialidad, I de

integridad y D de disponibilidad.


En la tabla C.3 se muestran los activos identificados del departamento Secretaria y el nivel

de criticidad que tienen sobre la seguridad de la información.

Tabla C.3: Matriz identificación de activos del departamento Secretaria

Nivel de afección de

los criterios de

seguridad

Tipo de

activo

Descripción del

activo

Descripción

del riesgo

Vulnerabilidade

s

Amenazas C

%

I

%

D

%

Valo

r %

[S] Servicios /

Servicio de

internet

Permite

conexión con la

WAN

otorgando mejor

comunicación y

transporte de

datos.

Puerta de

entrada para

atacantes

externos.

Falta de políticas

de seguridad de

la información.

Controles sobre

la navegación de

usuarios.

Fuga de

información

70 3

0

0 33.33

Acceso no

autorizado

20 2

0

0 13.33

Modificació

n deliberada

50 5

0

0 33.33

104

de la

información.

Ingeniería

social

50 5

0

0 33.33

[D] Datos /

Base de datos

física y digital

Almacenamient

o de record

académico de

los estudiantes,

contratos,

manuales,

procedimientos

de soporte.

Ataques

internos.

Perdida de

disponibilidad.

Alteración de

la integridad.

Mala segregación

de funciones.

Falta de control

de acceso.

Modificació

n deliberada

de la

información.

50 6

0

0 36.67

Avería de

origen físico

o lógico

0 2

0

5

0

23.33

Acceso no

autorizado

40 6

0

0 33.33

Fuga de

información

70 5

0

0 40

[HW] Equipos

informáticos /

Computadores

, routers,

servidores,

firewall

Automatización

de procesos del

departamento y

comunicación

del mismo.

Cese de

operaciones de

usuario.

Perdida de

disponibilidad.

Tecnología

obsoleta.

Catástrofes

naturales.

Mal control de

acceso a los

equipos.

Mala

configuración de

los equipos.

Avería de

origen físico

o lógico

0 3

0

7

0

33.33

Acceso no

autorizado

10 4

0

3

0

26.67

[SW]

Software /

Sistemas

operativos,

ofimáticos,

utilitarios

Permiten la

interacción

hombre-

máquina.

Errores de

funcionamiento

.

Bloqueo de

servicios.

Propagación de

amenazas.

Bajo control de

aplicaciones en

los

computadores.

Mal uso de las

aplicaciones.

Uso de software

pirata.

Modificació

n deliberada

de la

información

30 7

0

0 33.33

Ingeniería

social

40 2

0

0 20

Acceso no

autorizado

50 7

0

0 40

[P] Personal /

Servicios y

capacidades

Ejecutor de

procesos.

Vandalismo.

Sabotaje.

Deficiente

control de acceso

físico al

departamento.

Modificació

n deliberada

de la

información

50 7

0

0 56.67

105

Carencia de

asignación de

responsabilidades

.

Ingeniería

social

10

0

5

0

0 50

Acceso no

autorizado

70 7

0

0 46.67

Fuga de

información

10

0

3

0

0 43.33


II. Análisis de los riesgos

Luego de ser identificados los activos a continuación se muestra el cálculo del impacto que

pueden causar las amenazas en caso de hacerse presente sobre la seguridad de la información del


Tabla C.4: Matriz impacto de las amenazas

Amenaza / activo Valor Promedio Impacto (VxP)

[E.19] Fuga de información 7.47

[S] Servicios 5 33.33 1.67

[D] Datos 8 40 3.20

[P] Personal 6 43.33 2.60

[A.11] Acceso no autorizado 9.98

[S] Servicios 5 13.33 0.67

[D] Datos 8 33.33 2.64

[HW] Equipos informáticos 7 26.77 1.87

[SW] Software 5 40 2

106

[P] Personal 6 46.67 2.80

[I.5] Avería de origen físico o lógico 4.2

[D] Datos 8 23.33 1.87

[HW] Equipos informáticos 7 33.33 2.33

[A.15] Modificación deliberada de la

información

9.25

[S] Servicios 5 33.33 1.66

[D] Datos 8 36.67 2.93

[SW] Software 5 33.33 1.66

[P] Personal 6 40 3.

[A.30] Ingeniería social 5.65

[S] Servicios 5 33.33 1.65

[SW] Software 5 20 1

[P] Personal 6 50 3


Luego de ser identificados los activos se realiza el análisis del riesgo, tomando en cuenta

estimaciones respecto a los periodos de concepción de las amenazas y el impacto que causen en la

seguridad de la información, en la tabla C.7 mostramos el análisis del riesgo a los que se enfrentan

los activos del departamento Secretaria. Para el entendimiento del análisis de riesgos se establece

la tabla de estimación en que pueden ocurrir los riesgos en el departamento Secretaria.

107

Tabla C.5: Estimación de ocurrencias de los riesgos Valor Descripción

0-0.25 Anualmente

0.25-0.50 Semestralmente

0.51-0.75 Mensualmente

0.76-1.00 Semanalmente


A continuación describimos los campos y conceptos de la tabla C.7 de análisis del impacto

de los riesgos del departamento Secretaria.

Tabla C.6: Conceptos de los términos usados en la tabla de análisis de impacto de los

riesgos. Términos Conceptos

Amenaza Especifica el tipo de riesgo identificado que se

puede del departamento de Secretaria.

Métricas para el análisis

Especifica el nivel en que ha impactado el

riesgo, siendo O de nivel de ocurrencia de los

riesgos e I el nivel de impacto de los riesgos

sobre los activos de la organización,


Tabla C.7: Análisis de riesgos del departamento Secretaria Métricas para el análisis

Amenaza O I Total

[E.19] Fuga de información 0.05 7.47 0.37

[A.11] Acceso no autorizado 0.05 9.98 0.49

[I.5] Avería de origen físico o lógico 0.40 4.20 1.68

[A.15] Modificación deliberada de la información 0.15 9.25 1.39

[A.30] Ingeniería social 0.05 5.65 0.28


108

III. Del plan de tratamiento de los riesgos del departamento Secretaria

Una vez implementados las mejoras de la Fase 1 se realizó nuevamente el cálculo para

demostrar la disminución sobre las amenazas, dando como resultado un nuevo riesgo, que como

se puede apreciar en la tabla C.8, la diferencia es considerable una vez implementadas las medidas

para que las posibilidades de que estas ocurran sean menores.

Tabla C.8: Comparación de riesgo Amenaza Riesgo anterior Nuevo Riesgo

[E.19] Fuga de información 0.37 0.216

[A.11] Acceso no autorizado 0.49 0.1996

[I.5] Avería de origen físico o

lógico

1.68 1.26

[A.15] Modificación

deliberada de la información

1.39 0.98


A continuación en la ilustración C.1 se aprecia cómo disminuye el riesgo al implementar

las medidas de mejora que se obtuvieron como resultado al ejecutar el modelo.

109

Figura C.1: Análisis comparativo del riesgo


0.37

0.49

1.68

1.39

0.216

0.1996

1.26

0.98

0 0.2 0.4 0.6 0.8 1 1.2 1.4 1.6 1.8

[E.19] Fuga de información

[A.11] Acceso no autorizado

[I.5] Avería de origen físico o lógico

[A.15] Modificación deliberada de lainformación

Nuevo riesgo Riesgo anterior

110

ANEXO D.- DEFINICIÓN DE CONTROLES PARA LA SEGURIDAD DE LA

INFORMACIÓN

Los controles buscan evaluar y corregir el desempeño de las medidas implementadas, se

procura con estos fomentar cultura de seguridad de la información, los controles ayudaran al

compromiso del personal y la organización para la realización correcta de las tareas y funciones.

I. Implementación de los controles

Se muestra los controles que son relevantes para el modelo escalonado de gestión de

incidentes de seguridad de la información con relación a las necesidades de ITGACIC. Se realiza

la implementación de los controles seleccionados, a continuación se muestra los controles

implementados en el departamento Secretaria.

II. Restricción del acceso a la información

Parte de las falencias de la administración antes del modelo fue el Restricción del acceso a

la información a los sistemas de información, no existía restricciones de uso para los usuarios

dejando la brecha abierta para confección de incidentes de seguridad de la información.

111

Figura D.1: Implementación de Restricción del acceso a la información

A.9.4.1 Restricción del acceso a la información

ISO 27035

Dominio: A.9. Control de acceso.

Objetivos:

Definir los lineamientos que establezca el control y monitorización del acceso de

usuarios en los sistemas de información.

Justificaciones

Justificación desde el negocio:Es necesario el control de acceso a los sistemas de información de ITGACIC , para evitar uso indebido o mal intencionado de la información.

Prácticas: Elaborar perfiles de usuarios con la ayuda de la segregación de funciones , para permitir y

denegar el acceso según corresponda su función. Monitorear el acceso a los sistemas de información con la finalidad de detectar posibles

intrusos.

MÉTRICAS

Número de detección de intrusos. Número de intrusiones con éxito. Número de incidencias ocasionadas por el uso indebido.

SALVAGUARDAS

[D] Protección de la información. [D.A] Copias de seguridad de los datos (Backup). [D.C] Cifrado de la información.


III. Control de red

En el departamento de Secretaria la navegación web no se encontraba limitada, y los

usuarios no tienen los conocimientos para determinar si se encuentran en un sitio seguro, causando

la descarga de virus afectando a las estaciones de trabajo y su operatividad, por este motivo se creó

el control de red.

112

Figura D.2: Implementación de control de red

A.13.1.1 Control de red

ISO 27035

Dominio: A.13 Seguridad en las telecomunicaciones

Objetivos:

Definir los lineamientos estableciendo la navegación segura de los usuarios con acceso

a la web, para la red utilizada por el departamento Secretaria.

Justificaciones

Justificación desde el negocio:Es necesario el control de navegación web, y el control de tráfico en la red, debido a que los usuarios no se percatan de la navegación insegura y estos son la puerta para confección de los incidentes de seguridad de la información.

Prácticas: Elaborar configuraciones de navegación web en los servidores que facilitan el servicio . Realizar configuraciones de los puertos en los enrutadores bloqueando puertos para evitar

la posible intrusión de atacantes externos. Monitorear las actividades de navegación web. Precautelar la continuidad del servicio de navegación web.

MÉTRICAS

Número de intrusiones en los sistemas informáticos de ITGACIC a través de la web . Tráfico de salida a la web no identificado. Visitas a sitios peligrosos durante la navegación web.

SALVAGUARDAS

[S.www] Protección de servicios y aplicaciones web. [S.A] Aseguramiento de la disponibilidad. [S.dir] Protección del directorio.


IV. Control de Uso de activos

Se estable controles de uso de los activos de información, así se pretende mantener la

seguridad de la información, comprometiendo a los usuarios a estos controles en donde el

departamento de TI deberá realizarlo periódicamente auditorias de control, comprobando los

inventarios, verificando el uso de los activos e informando en caso de existir cualquier anomalía.

113

Figura D.3: Implementación de Control de Uso de activos

A.8.1.3 Uso de activos

ISO 27035

Dominio: A.8 Gestión de activos.

Objetivos:

Definir los lineamientos para la prevención de daños o afecciones a los activos de

ITGACIC contra amenazas de forma óptima, garantizando la seguridad de los activos .

Justificaciones

Justificación desde el negocio:Se identifica los activos como parte vital para la operatividad diaria de ITGACIC.

Prácticas: Realizar inventario con la señalización de propietarios dentro de ITGACIC. Realización de directrices respecto al uso de los activos para salvaguardar su seguridad Revisión y documentación de Inventarios.

MÉTRICAS

Incremento de ciclo de vida útil de los activos. Reducción de daños a partir la concienciación al personal. Reducción de costes por daños irreversibles en los activos.

SALVAGUARDAS

[HW] Protección de los equipos informáticos. [HW.SC] Se aplica perfiles de seguridad. [HW.CM] Cambios (actualizaciones y mantenimientos).


V. Control de cumplimiento de políticas de seguridad de la información

El cumplimiento de políticas de seguridad de la información ayuda a mantener al personal

comprometido y apoya al cumplimiento debido de procesos para el que se efectúen los objetivos


114

Figura D.4: Control de cumplimiento de políticas de seguridad de la información

A.18.2.2 Cumplimiento de las políticas y normas de seguridad

ISO 27035

Dominio: A.18 Cumplimiento

Objetivos:

Definir los lineamientos para la prevención de incidentes de seguridad de la

información que se puedan suscitar en ITGACIC, la política debe ser previamente

aprobada por la dirección de la organización .

Justificaciones

Justificación desde el negocio:Basado en la implementación de un Modelo escalonado de gestión de incidentes de seguridad de la información para ITGACIC, que cubra las necesidades de la organización.

Prácticas: Documentos firmados por la dirección de la organización que den afirmación de la

aprobación de las Políticas de seguridad de la información. Actas que den constancia de revisión periódicas y actualización de políticas . Concienciación de costos por recuperación tras incidencias.

MÉTRICAS

Minimización de Incidentes de seguridad de la información desde la concienciación de las políticas de gestión de incidentes de seguridad de la información .

Incremento porcentual respecto a las respuestas frente a incidencias . Minimización de gastos de TI, a causa de concienciación de costos por recuperación tras

incidencias.

SALVAGUARDAS

[H.IR] Gestión de incidencias. [H.VM] Gestión de vulnerabilidades. [H.AU] Registro y auditoria.


VI. Control contra código malicioso

A partir de la segunda ejecución del modelo se determinó mediante las mejoras

implementadas en el plan de tratamiento de riesgo, específicamente de la implementación de

software antivirus el cual detectó software malicioso o de dudosa procedencia, surgiendo la

necesidad de controlar este tipo de incidencias. Es necesario mantener control del software que se

encuentre en las estaciones de trabajo, la realización de un inventario ayudará a percibir cualquier

115

anomalía relacionada con cualquier software no identificado o de dudosa procedencia, además de

que los privilegios para poder realizar las instalaciones de software serán exclusivas del

departamento de TI.

Figura D.5: Implementación de control contra código malicioso

A.12.2.1 Control contra código malicioso

ISO 27035

Dominio: A.12 Seguridad en la operatividad

Objetivos:

Definir los lineamientos estableciendo monitorización contra software malicioso o de

procedencia desconocida.

Justificaciones

Justificación desde el negocio:Es necesario el control de software para prevenir la implantación de software malicioso que afecte la operatividad de las estaciones de trabajo y dificulte los objetivos de empresa.

Prácticas: Elaborar inventario de todo el software que se encuentren en las estaciones de trabajo ,

mantener actualizado el inventario. Depurar las estaciones de trabajo del software malicioso. Bloquear el privilegio de instalación de software según los perfiles de los usuarios . Realizar monitorizaciones periódicamente.

MÉTRICAS

Número de software malicioso detectado. Número de inconsistencias en el inventario.

SALVAGUARDAS

[SW] Protección de las aplicaciones. [SW.A] Copias de seguridad. [SW.CS] Se aplican perfiles de seguridad. [SW.CM] Cambios (Actualizaciones y mantenimiento)


VII. Control de Copias de seguridad de la información

Otro aspecto no contemplado es el respaldo de la información, el cual era efectuada

escasamente, con el control se pretende efectuar de manera ordenada, periódicamente y

documentada el proceso de respaldos de la información de ITGACIC, además de realizar la

116

comprobación del funcionamiento de los mismos. Este control se lo implementó en la segunda

ejecución del modelo debido a que fue detectado en la primera ejecución, a través de las mejoras

del plan de tratamiento de riesgos, en el que al detectar software malicioso se contempló la

posibilidad realizar la reinstalación del equipo y restaurar las copias de seguridad de la

información, pero se identificó la como vulnerabilidad que no se frecuentan las copias de seguridad

dando apertura a tomar medidas ante esta vulnerabilidad.

Figura D.6: Implementación de control Copias de seguridad de la información

A.12.3.1 Copias de seguridad de la infomración

ISO 27035

Dominio: A.12 Seguridad en la operatividad

Objetivos:

Definir los lineamientos para uso correcto de las cintas de respaldos, su

almacenamiento y eliminación.

Justificaciones

Justificación desde el negocio:Los backups que se realizan en ITGACIC no son llevados a pruebas para verificar su óptimo funcionamiento.

Prácticas: Realizar inventario periódicamente de backups. Seguir la política de respaldos establecida. Realizar pruebas de control a los respaldos verificando su funcionamiento .

MÉTRICAS

Número de backups comprobados que funcionaron correctamente. Número de backups que se encuentre existente fuera de su ciclo de vida útil . Numero de inconsistencias de backups documentados.

SALVAGUARDAS

[H] Protecciones generales. [H.AU] Registro y auditoria.


117

ANEXO E.- DESARROLLO DE LOS INDICACODRES

Se realizó la elaboración de indicadores para los controles implementados con la finalidad

de obtener métricas de su eficacia, a continuación se muestran los indicadores que a través de las

métricas permitirán comprender si los controles implementados son efectivos, para un análisis

comparativo se realiza la ejecución del modelo escalonado por segunda vez una vez concluida la

Fase 1 del tratamiento de riesgo.

I. Indicador de Restricción del acceso a la información

Este indicador mostrará las métricas del desempeño que tuvo el control de Restricción del

acceso a la información en el departamento Secretaria durante la primera fase del plan de

tratamiento de riesgo.

118

Figura E.1: Indicador de Restricción del acceso a la información

Desempeño del control Restricción del acceso a la información

Definición

A través de indicador se busca medir la eficiencia del control de accesoa los


Objetivo

Realiza seguimiento de las los intentos de intrusiones e intrusiones en los


Tipo de indicador

Indicador de Gestión.

Descripción de la variable

VGSI-08: Número de intrusiones

tratadas o bloqueadas.

VGSI-09: Número de intrusiones

detectadas.

Formula

(VGSI-08/VGSI-09)*100

Metas

Mínima 75-80% Satisfactoria 81-90% Sobresaliente 91-100%

Si el porcentaje es menor al mínimo se debe efectuar una revisión del control

para detectar si existen falencias o aplicar otro control como apoyo.


A continuación se presentan los resultados del Restricción del acceso a la información

siendo esta la segunda ejecución del control.

Tabla E.1: Resultado del indicador de Restricción del acceso a la información

Ejecución del control Intrusiones tratadas

Intrusiones detectadas

Resultado

Primera ejecución 7 10 70%

Segunda ejecución 3 4 75%


II. Indicador de Control de red

119

Diseñado para verificar el desempeño del control de red, mostrando que tan eficientes

fueron las medidas realizadas respecto a la navegación de usuarios del departamento Secretaria.

Figura E.2: Indicador de navegación web

Desempeño del control de red

Definición

A través de indicador se busca medir la eficiencia del control de navegación en

la web del personal de la organización.

Objetivo

Realiza seguimiento de la navegación web una vez aplicada la configuración

para la navegación segura.

Tipo de indicador

Indicador de gestión


VGSI-10: Número de páginas sin

certificados bloqueadas.

VGSI-11: Número intento de visitas de

páginas sin certificados.

Formula

(VGSI-10/VGSI-11)*100

Metas





A continuación se presentan los resultados del control de red siendo esta la segunda

ejecución del control.

Tabla E.2: Resultado del indicador de control de red

Ejecución del control Páginas bloqueadas

Intento de visitas Resultado

Primera ejecución 39 45 86.67%

Segunda ejecución 20 22 90.90%


120

III. Indicador de Cumplimiento de políticas y normas de seguridad

Es importante reconocer si el personal se encuentra en conocimiento de la existencia de las

políticas de seguridad de la información, para ello se desarrolló este indicador que busca demostrar

que tanto del personal del departamento de Secretaria se encuentra informado de la existencia de

las políticas y si este personal se rige bajo estas, debido a que seguir estos lineamientos colaborará

a crear un óptimo rendimiento y un ambiente confiable, ayudando a cumplir los objetivos de la

organización.

Figura E.3: Indicador de Cumplimiento de políticas y normas de seguridad

Cumplimiento de políticas y normas de seguridad

Definición

A través de indicador se busca medir la aplicación de los lineamientos de

gestión de incidentes de seguridad de la información sensibilizados por medio

de campañas de concienciación.

Objetivo

Establece efectividad de la campaña de concienciación y capacitación para el

personal de ITGACIC sobre la relevancia de las directrices de la gestión de la


Tipo de indicador

Indicador de cumplimiento.


¿La entidad ha definido organizaciones

internas y responsabilidades con la

finalidad de cumplir las políticas de

incidentes de seguridad de la información?

VGSI-06: Número de personas que

respondieron que se cumple.

VGSI-07: Total de personas consultadas.

Formula

(VGIS-06/VGIS-07)*100

Metas




121


A continuación se presentan los resultados del control de cumplimiento de políticas y

normas de seguridad de la información siendo esta la segunda ejecución del control.

Tabla E.3: Resultado del indicador de Cumplimiento de políticas y normas de

seguridad

Ejecución del control Personas que incumplieron o

fallaron

Total de personas capacitadas

Resultado


Segunda ejecución 0 5 0%


IV. Indicador de desempeño de Control de Uso de activos

Para el correcto uso de los activos de información se desarrolló un control, para medir el

desempeño de este control se realizó este indicador a partir de la primera ejecución del modelo

escalonado, a través de las métricas resultantes podremos tomar acciones correctivas, creando una

propuesta para la mejora continua del modelo.

122

Figura E.4: Indicador de Control de Uso de activos

Desempeño del control Uso de activos

Definición

A través de indicador se busca medir la eficiencia del cubrimiento de las

directrices de control de activos y la seguridad de los mismos.

Objetivo

Realiza seguimiento de los activos críticos de información y el control al que

estén sometidos, bajo los parámetros de seguridad.

Tipo de indicador

Indicador de gestión.


VGSI-02: Número de activos críticos de

información, que se encuentre dentro del

alcance del modelo de gestión de incidentes de

seguridad de la información y en zona de

riesgos que no requieran adquisición de

hardware o software.

VGSI-03: Número de activos críticos de

información, que se encuentren bajo el alcance

del modelo de gestión de incidentes de


Formula

(VGSI-02/VGSI-03)*100

Metas





A continuación se presentan los resultados desempeño de control de Uso de activos siendo

esta la segunda ejecución del control.

123

Tabla E.4: Resultado del indicador de desempeño de Control de Uso de activos

Ejecución del control Activos que no requieren nueva

adquisición

Activos identificados Resultado


Segunda ejecución 7 8 87.50%


V. Indicador de Control contra software malicioso

Este indicador al igual que su control fue desarrollado a partir de la segunda ejecución del

modelo, debido que fue parte del segundo plan de mejora continua, ya que se detectaron estas

incidencias con software malicioso detectado, con el resultado de este indicador se muestra que

tan efectivo fue el control de software.

124

Figura E.5: Indicador de Control contra software malicioso

Desempeño del Control contra software malicioso

Definición

A través de indicador se busca medir la eficiencia del control de software que se

ejecuta para el reconocer software malicioso o de dudosa procedencia.

Objetivo

Realiza seguimiento del software que se encuentra en las estaciones de trabajo

manteniendo un ambiente controlado y que genere confianza.

Tipo de indicador

Indicador de Gestión.


VGSI-12: Número de software

malicioso o de dudosa procedencia

tratado o eliminado.

VGSI-13: Número de software

malicioso o de dudosa identificado.

Formula

(VGSI-12/VGSI-13)*100

Metas





A continuación se presentan los resultados desempeño de Control contra software

malicioso siendo este integrado en la segunda ejecución del control.

125

Tabla E.5: Resultado del indicador de Control contra software malicioso

Ejecución del control Número de software

malicioso tratado

Número total de software malicioso

Resultado

Detección a través del plan de tratamiento de riesgo

10 13 76.92%



VI. Indicador de Copias de seguridad de la información

Con este indicador se muestra la efectividad del control de copias de seguridad de la

información, se muestra la efectividad de este control al simular la restauraciones de las copias de

seguridad efectuadas, obteniendo resultados de que porcentaje fue de estas copias de seguridad se

las realizó de manera adecuada.

126

Figura E.6: Indicador Copias de seguridad de la información

Desempeño del Copias de seguridad de la información

Definición

A través de indicador se busca medir la eficiencia del control de las copias de

seguridad de la información, buscando revelar si se realiza el correcto

seguimiento del funcionamiento de los backups.

Objetivo

Realiza seguimiento de backups a través de simulaciones en las que se ponga a

prueba el funcionamiento las cintas de respaldos realizados.

Tipo de indicador

Indicador de gestión.


VGSI-14: Número de simulaciones de

restauración con éxito.

VGSI-15: Número de simulaciones de

restauración realizadas.

Formula

(VGSI-14/VGSI-15)*100

Metas





A continuación se presentan los resultados desempeño de Copias de seguridad de la

información siendo este integrado en la segunda ejecución del control.

127

Tabla E.6: Resultado del indicador de Copias de seguridad de la información

Ejecución del control Restauraciones con éxito

Total de restauraciones

Resultado

Detección a través del plan de tratamiento de riesgo

0 0 0%

Primera ejecución 7 8 87.50%


128

ANEXO F.- PROCESO MEJORA CONTINUA

Para el proceso de mejora continua se tomará toda la documentación de las experiencias

adquiridas tras ejecución del modelo, esto permitirá la elaboración de nuevas medidas de mejora

que contenga acciones contra situaciones anteriormente no previstas, estas acciones se las

integraran al modelo ya existente.

Figura F.1: Procesos de mejora continúa

Evaluación de procesos del

modelo

Análisis de los resultados de la

ejecución del modelo

Actualización y ejecución del modelo

Elaboración de nuevas

medidas a partir de los

resultados para integrar a

modelo


Documents

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS ...repositorio.ug.edu.ec/bitstream/redug/38810/1/Tesis...contenidos desarrollados en este trabajo de titulación, cuyo título es “Modelo