Plan de seguridad informática basado en la norma ISO 27002 y la gestión de la información para el departamento de TIC de la Uniandes extensión Babahoyo

(1)

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD SISTEMAS MERCANTILES

CARRERA SISTEMAS

PROYECTO DE INVESTIGACIÓN PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS E INFORMÁTICA.

TEMA:

PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO DE TIC DE LA UNIANDES EXTENSIÓN BABAHOYO.

AUTOR: FIGUEROA LEYTON JOSE LUIS.

TUTOR: Lsi. JORDÁN CORDONES FREDY MAXIMILIANO, MIE

Babahoyo – Ecuador

(2)

APROBACIÓN DEL TUTOR DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quien redacta, legalmente CERTIFICO QUE: El actual Proyecto de Investigación elaborado por el señor Figueroa Leyton José Luis, estudiante de la Carrera de Sistema, Facultad de Sistemas Mercantiles, titulado “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO DE TIC DE LA UNIANDES EXTENSIÓN BABAHOYO”, ha si sido analizado y desempeña con todos los requerimientos determinados en el procedimiento pertinente de la Universidad Autónoma Regional de Los Andes UNIANDES, por lo que se certifica su presentación

Babahoyo, Febrero de 2019

(3)

DECLARACIÓN DE AUTENTICIDAD

Yo, Figueroa Leyton José Luis, estudiante de la Carrera de Sistemas, Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de investigación, previo la obtención del título de INGENIERO EN SISTEMAS, son absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.

____________________________ Sr. Figueroa Leyton José Luis CI. 1205018441

(4)

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Ing. Laura Marlene Ochoa Escobar, Mg en calidad de Lector del Proyecto de Titulación.

CERTFICO:

Que el presente trabajo de titulación realizado por el estudiante Figueroa Leyton José Luis sobre el tema: “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN LA NORMA ISO 27002 Y LA GESTIÓN DE LA INFORMACIÓN PARA EL DEPARTAMENTO DE TIC DE LA UNIANDES EXTENSIÓN BABAHOYO”, ha sido cuidadosamente revisado por el suscrito, por lo que he podido constatar que cumple con todos los requisitos de fondo y forma establecidos por la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que autorizo su presentación.

(5)

DERECHOS DE AUTOR

Yo, Figueroa Leyton José Luis, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en la Universidad o por cuenta de ella.

____________________________ Sr. Figueroa Leyton José Luis CI. 1205018441

AUTOR

(6)

DEDICATORIA.

Este trabajo lo dedico a Dios por haberme brindado llegar hasta aquí obteniendo sabiduría y amor por lo que voy a ejercer sobre todo lleno de salud en cada instante para poder lograr todos mis objetivos puestos como persona y como profesional.

A mis padres y hermanos quienes me apoyaron desde un principio de mi vida en mi crecimiento como persona los mismos quienes me han guiado lograr una etapa más en mi vida lo cual estoy muy contento por ello.

A mis profesores por haberme aportado de sus conocimientos adquiridos quienes compartieron una etapa universitaria.

(7)

AGRADECIMIENTO.

En primer lugar, agradezco a Dios por haberme brindado herramientas necesarias para poder lograr el desarrollo de la tesis lo cual estoy muy satisfecho por alcanzar un meta más lo cual es el principio de muchas.

En segundo lugar, agradezco a mis padres y hermanos quienes estuvieron siempre formándome como persona obteniendo su apoyo incondicional y a las demás personas como profesores y amigos por ser parte de esta etapa universitaria en la cual aportaron mucho en este proceso

(8)

RESUMEN EJECUTIVO.

(9)

ABSTRACT

(10)

ÍNDICE GENERAL

CARATULA

APROBACION DEL TUTOR

DECLARACIÓN DE AUTENTICIDAD

CERTIFICACION DEL LECTOR

DERECHOS DE AUTOR

DEDICATORIA

AGRADECIMIENTO

RESUMEN EJECUTIVO

ABSTRACT

INTRODUCCIÓN

Actualidad e Importancia ... 1

Problema de Investigación ... 1

Objetivo General... 3

Objetivos Especificos ... 3

CAPITULO I. FUNDAMENTACIÓN TEÓRICA. Antecedentes de la Investigación ... 4

Actualidad del objeto de estudio de la Investigación ... 5

Software…... 5

Hardware…. ... 6

¿Qué es Dato? ... 6

Que es Información ... 7

Importancia de la Información... 8

Gestión de la Información………...………....8

Seguridad…. ... 9

(11)

Amenazas………..……….……10

Confidencialidad………....10

Disponibilidad. ... 10

Incidentes de Seguridad ... 11

Riesgos ... 11

Análisis de Riesgos………...…….12

Seguridad de la Información………...………..……...12

Norma ISO 27002………..……….………..….13

Plan de Seguridad Informática ………..………....15

Los diferentes tipos de Disponibilidad………..….…..16

Gestión de Seguridad………..………...…..17

CAPITULO II. DISEÑO METODOLOGICO Y DIAGNOSTICO Tipo de investigación ... 19

Procedimiento para la búsqueda y procesamiento de los datos. ... 20

Resultados del diagnóstico de la situación actual. ... 21

Resumen de las principales insuficiencias…. ... 31

CAPITULO III. PROPUESTA DE SOLUCIÓN AL PROBLEMA Nombre de la propuesta. ... 32

Objetivos de la propuesta. ... 32

Elementos que conforman la propuesta. ... 32

Explicación de cómo la propuesta contribuye a solucionar las insuficiencias identificadas en el diagnóstico……….……36

Aplicación práctica total de la propuesta……….……...………71

Acuerdo Confidencial ... 71

(12)

Detalle de la Auditoria.………..……….………75

CONCLUSIONES ... 84

RECOMENDACIONES ... 85

BIBLIOGRAFÍA

(13)

ÍNDICE DE TABLAS.

Tabla 1. Población y Muestra………... 20

Tabla 2. Resultados encuesta pregunta 1………. 21

Tabla 3. Resultados encuesta pregunta 2. ………... 22

Tabla 11. Resultado encuesta pregunta 10. ………... 30

Tabla 12. Identificación de Activos. ………... 34

Tabla 13. Valoración de Activos. ………... 35

Tabla 14. Identificación de Amenazas, vulnerabilidades………... 36

Tabla 15. Identificación de Amenazas, vulnerabilidades………... 40

Tabla 16. Probabilidad que ocurra la amenaza……….. 44

Tabla 17. Amenazas y vulnerabilidades y probabilidad de ocurrencia……… 45

Tabla 18. Tabla de evaluación de Riesgo……… 50

Tabla 19. Tratamiento del Riesgo………. 51

Tabla 20.

Tabla 21.

Calcular Riesgo……….. Preparación de la declaración de aplicabilidad……….

52

(14)

ÍNDICE DE GRÁFICOS.

Figura 1. Gráfico estadístico Pregunta 1……….. 21

Figura 2. Gráfico estadístico Pregunta 2. ……….. 22

(15)

1

INTRODUCCIÓN.

Actualidad e Importancia.

Hoy en día la información es un recurso vital para todas las empresas, la buena

administración de esta significa la diferencia entre el éxito o fracaso para todos

los proyectos que se inicien dentro de una empresa que busca el crecimiento y

el éxito, en este sentido las instituciones deben optar por el empleo de

herramientas tecnológicas que gestionen la información.

En la actualidad la ciudad de Babahoyo capital de la provincia de Los Ríos se ha

transformado al desarrollo tanto económico como social, es por ello que gran

cantidad de instituciones públicas y privadas se han asentado es esta ciudad, las

funciones y operaciones de la mayoría de estas instituciones se encuentran

respaldadas en sistemas informáticos, de ahí surge la necesidad imperiosa de

implementar planes de seguridad informática en las empresas para prevenir y

controlar accesos indebidos y perdida de información.

Por todos estos aspectos expuestos nace la importancia de que toda institución

posea un plan de seguridad informático para asegurar una buena gestión de la

información, UNIANDES extensión Babahoyo asumiendo su responsabilidad de

preservar toda la información de sus estudiantes actualiza su infraestructura

tecnológica y por ende la necesidad de establecer lineamientos y normativas

para el correcto uso de estos.

Problema de Investigación.

Las Tecnologías de la Información y Comunicación avanzan rápidamente en el

mundo actual, constituyéndose en un recurso primordial para las instituciones en

el procesamiento de los datos referentes a las áreas administrativas y

financieras, por ende, se debe tomar las medidas de seguridad oportunas para

proteger la integridad física y lógica de estos.

El 98,5% de los riesgos bancarios en América Latina son informáticos, la falta de

(16)

2

problemas en el control, gestión y administración de la información dentro de las

instituciones.

Según diario el Telégrafo, en el Ecuador un alto porcentaje de los delitos

informáticos ocurre por descuido de los usuarios, la mayoría corresponde a

apropiación fraudulenta de información por medios electrónicos. Un estudio

elaborado por la Policía Nacional, Interpol, el centro de respuesta a Incidentes

Informáticos de Ecuador (Ecucert), con el soporte de organismos similares de

América Latina, indica que el 85% de los ataques a los sistemas informáticos son

causados por errores de los consumidores, quienes no toman precauciones al

acceder a las redes sociales, utilizar el correo electrónico, y en el uso de usuario

y contraseña.

La Universidad Regional Autónoma de Los Andes “UNIANDES” extensión

Babahoyo, cuenta con una infraestructura tecnológica que satisface las

demandas de las diferentes Unidades con que cuenta esta institución, pero

carece de vigilancia en determinados servicios como, por ejemplo no existe un

monitoreo de control que dé cumplimiento a las especificaciones técnicas en

cuanto se refiere al acceso a internet y datos, no posee un control de acceso del

personal administrativo a los deferentes equipos informáticos de la institución, el

acceso a los laboratorios de computo carece de seguridad en las puertas de

acceso, no se dispone de un inventario de software, falta de reportes o informes

técnicos de la infraestructura de red.

La institución no cuenta con licencias en la mayoría del software antivirus, lo que

provoca que persistentemente haya infecciones por virus en los equipos

informáticos y en la red de comunicación entre ellos, la institución no cuenta con

un plan de respaldo (backup) de información a pesar de que existen servidores

de datos que trabajan los 360 días del año.

Todo esto conlleva a concluir que Uniandes extensión Babahoyo no cuenta con

un plan de seguridad informática acorde con las debilidades descritas

anteriormente, provocando diversos problemas en el acceso indebido a la

(17)

3

autorizados, robo de hardware y materiales, los empleados no conocen las

políticas de seguridad informática con que debería contar la institución, la perdida

de información es inmutable en las diferentes unidades de la institución por no

existir un plan de backup, no existe un control de acceso de los diferentes

recursos de la red de la institución, no existe un control de acceso a los recursos

compartidos de la red esto aprueba que cualquier usuario acceda y modifique

cualquier recurso a su capricho.

Objetivo General.

Desarrollar un plan de seguridad informática basado en la norma ISO 27002 para

mejorar la gestión de información en el departamento de TIC de la Uniandes

extensión Babahoyo.

Objetivos Específicos:

• Fundamentar teóricamente los aspectos referentes a la gestión de la

información y plan de seguridad informática en base a referencias de

autores nacionales e internacionales.

• Diagnosticar el estado actual de la gestión de información en el

departamento de TIC de la Uniandes Babahoyo.

• Elaborar un plan de seguridad informática basada en la norma ISO 27002.

(18)

4

CAPITULO I. Fundamentación Teórica.

Antecedentes de la Investigación.

En una investigación preliminar en el repositorio institucional de la Universidad Autónoma de Los Andes “Uniandes” se ha encontrado algunos trabajos de grado

a nivel de pregrado y postgrado, relacionados al área del conocimiento del

presente trabajo investigativo, así tenemos:

La tesis de grado del Magister Mejía Viteri, José, (2015). “Plan de seguridad

informática del departamento de Tecnologías de la Información y Comunicación

de la Universidad Técnica de Babahoyo para mejorar la gestión en la confidencialidad e integridad de la información”, en este trabajo se hace énfasis

en la importancia de la seguridad informática hoy en día en las empresas tanto

públicas como privadas.

La tesis de grado del Magister Santacruz Fernández, Ángel. (2013). “Plan de

seguridad informática y los riesgos operativos en el municipio descentralizado de Quevedo provincia de Los Ríos”, el autor afirma que: La seguridad informática

se va convirtiendo en una necesidad cada vez más latente en las instituciones.

Es sabido que la tecnología optimiza los procesos y acelera los servicios, pero

también ha dado paso a la manifestación de nuevas formas de delito, con la

finalidad de obtener información o desvíos financieros en forma electrónica.

En el mismo repositorio se encontró el trabajo del señor Rigoberto Gonzalo Ñauta Benavides, (2015). “Plan de seguridad Informática para mejorar la gestión

de la Información en la Sociedad financiera VISIONFUND-FODEMI de la ciudad de Ibarra”, el objetivo del presente trabajo es realizar una auditoría informática,

basada el estándar ISO-IEC 27002 como norma establecida para implementar

un plan de seguridad informática.

Investigación en varios repositorios digitales de instituciones de educación

superior del país, se localizaron algunos trabajos que aportaran como

(19)

5

El trabajo de investigación del ingeniero Quirumbay Yagual Daniel, (2015). “Desarrollo del esquema de seguridad, plan de recuperación ante desastres

informáticos y solución para el nivel de exposición de amenazas y

vulnerabilidades aplicada a los servidores y equipos de comunicación del centro de datos de la municipalidad de la ciudad de Guayaquil”, de la Escuela Superior

politécnica del Litoral. El autor manifiesta que: El Implementar Seguridad

Informática a las infraestructuras tecnológicas concretamente para el Centro de

Procesamiento de Datos se ha convertido en necesarias debido a que si se logra

estimar la frecuencia con la cual se materializan los riesgos o vulnerabilidades,

así como determinar la magnitud de sus posibles consecuencias

considerando las debidas precauciones, 35 podemos de modo preventivo

tomar medidas para reducir su impacto y evitar la paralización de las

organizaciones o empresas.

Actualidad del objeto de estudio de la investigación.

Software

“El Software son los programas de aplicación y los sistemas operativos que

permiten que la computadora pueda desempeñar tareas inteligentes, dirigiendo

a los componentes físicos o hardware con instrucciones y datos a través de diferentes tipos de programas.” (Milenium, 2019)

Según Enciclopedia de conceptos (2018) “el software está compuesto por un

conjunto de programas que son diseñados para cumplir una determinada función

dentro de un sistema, ya sean estos realizados por parte de los usuarios o por las mismas corporaciones dedicadas a la informática.” (Enciclopedia de

Conceptos, 2018)

Tipos de software

• Software de Sistema

• Software de Programación

(20)

6

Hardware

“Se define al hardware como el conjunto de los componentes que conforman

la parte material (física) de una computadora, a diferencia del software que refiere a los componentes lógicos (intangibles).” (Julian Perez Porto y Maria

Merino, 2008)

Según (Julian Perez Porto y Maria Merino, 2008) argumenta que:

En el caso de la informática y de las computadoras personales, el

hardware permite definir no sólo a los componentes físicos

internos (disco duro, placa madre, microprocesador, circuitos,

cables, etc.), sino también a los periféricos (escáner, impresoras).

El hardware suele distinguirse entre básico (los dispositivos

necesarios para iniciar el funcionamiento de un ordenador)

y complementario (realizan ciertas funciones específicas).

En cuanto a los tipos de hardware, pueden mencionarse a

los periféricos de entrada (permiten ingresar información al

sistema, como el teclado y el mouse), los periféricos de

salida (muestran al usuario el resultado de distintas operaciones

realizadas en la computadora.

¿Qué es Dato?

Según (Patricia Dip, 2009) argumenta que:

Los datos son números, letras o símbolos que describen objetos,

condiciones o situaciones. Son el conjunto básico de hechos

referentes a una persona, cosa o transacción de interés para

distintos objetivos, entre los cuales se encuentra la toma de

decisiones. Desde el punto de vista de la computación, los datos

se representan como pulsaciones o pulsos electrónicos a través de

la combinación de circuitos (denominados señal digital). Pueden

ser:

• Datos Alfabéticos (las letras desde A a la Z).

(21)

7

• Datos Simbólicos o de Caracteres Especiales (por ejemplo %,

$, @, #, etc.).

Según (Enciclopedia de Conceptos, 2018) argumenta que:

Un dato es la representación de una variable que puede ser

cuantitativa o cualitativa, indican un valor que se le asigna a las

cosas. Los datos son información. Los datos describen en

su conjunto nos hablan de hechos empíricos. Un dato por sí solo

no puede demostrar demasiado, siempre se evalúa el conjunto

para poder examinar los resultados. Para examinarlos, primero hay

que organizarlos o tabularlos.

En informática, en programación, un dato es la expresión general

que va a describir aquellas características de la entidad sobre la

que opera. En la estructura de datos, un dato es la más mínima

parte de la información.

Dentro de los archivos también encontramos datos. Estos datos

consisten generalmente en paquetes más pequeños de otros

datos, que son llamados registros. Estos datos están reunidos por

características iguales o similares.

¿Qué es Información?

Según Idalberto Chiavenato, información "es un conjunto de datos con

un significado, o sea, que reduce la incertidumbre o que aumenta el conocimiento

de algo. En verdad, la información es un mensaje con significado en un

determinado contexto, disponible para uso inmediato y que proporciona

orientación a las acciones por el hecho de reducir el margen de incertidumbre

con respecto a nuestras decisiones" (Idalberto, 2006, pág. 110).

Para Ferrell y Hirt, la información "comprende los datos y conocimientos que se

(22)

8

Ambos autores ven a la información como un grupo de datos que tienen un

significado dentro de un contexto, facilitando la toma de decisiones.

Importancia de la Información.

La relación indisoluble que se establece entre la información, el conocimiento, el

pensamiento y el lenguaje se explica a partir de comprender que la información

es la forma de liberar el conocimiento que genera el pensamiento humano. Dicha

liberación se produce mediante el lenguaje oral, escrito, gesticular, etc. Un

sistema de señales y símbolos que se comunican de alguna manera. (Alonso,

1997, pág. 109).

La información "consiste en datos seleccionados y ordenados con un propósito

específico. (Czinkota & Kotabe , 2001, pág. 115)

En todas las épocas la información ha sido considerada como algo vital en la

actividad del hombre. Así como el uso y la generación de la misma siendo uno

de los activos más importantes de cualquier empresa.

Gestión de la información.

“Gestión de Información incluye el planeamiento de la política informativa de toda

la organización, el desarrollo y mantenimiento de sistemas y servicios

integrados, la optimización de los flujos de información y el fortalecimiento de las tecnologías para satisfacer los requerimientos funcionales de los usuarios”

(Ponjuán Dante, 2011)

La gestión de la información “se puede identificar como la disciplina que se

encargaría de todo lo relacionado con la obtención de la información adecuada,

en la forma correcta, para la persona indicada, al coste adecuado, en el momento

oportuno, en el lugar apropiado y articulando todas estas operaciones para el desarrollo de una acción correcta” (Pérez-Montoro, 2009).

Ambos autores mencionan que la gestión de la información trata de recopilar e

identificar los datos necesarios para de esta forma poder cumplir y llegar a

(23)

9

Seguridad

David A. Baldwin, aborda la conceptualización de la seguridad desde una

perspectiva realista, aplicada al actual contexto de la seguridad internacional,

que requiere resolver los problemas que afectan a los diversos países que

integran la Comunidad Mundial, los que necesariamente requieren comprender

los fundamentos que debiesen sustentar las acciones que cada Estado necesita

adoptar para llegar a soluciones viables y sustentables. (BALDWIN A. , 1997,

pág. 5).

Según Jesús rodea (1994). Seguridad un estado de cualquier sistema

(informático o no) que nos indica que ese sistema está libre de peligro, daño o

riesgo.

Seguridad significa mantener de forma íntegra cualquier información o dato ya

sea usando sistemas de seguridad informática que ayudaran a mantener segura

la información.

Vulnerabilidades.

Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un

sistema de información que pone en riesgo la seguridad de la información

pudiendo permitir que un atacante pueda comprometer la integridad,

disponibilidad o confidencialidad de la misma. (Instituto Nacional de

Ciberseguridad, 2017).

Todos los puntos débiles o frágiles que se considera que tiene un programa

determinado y que pueden hacer que aquel sea atacado por virus de diversa

tipología. (Perez Porto & Merino, 2010)

Las vulnerabilidades son estados, características de los sistemas que hacen

(24)

10

Amenazas.

Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar

contra la seguridad de un sistema de información. (Instituto Nacional de

Ciberseguridad, 2017)

Se puede definir como amenaza a todo elemento o acción capaz de atentar

contra la seguridad de la información. (Luan, s.f.)

En cuanto a amenazas se menciona como un acto de aprovecharse de las

vulnerabilidades de cualquier sistema, pudiendo ser este sujeto a fallos debido a

las debilidades que se pudieren presentar.

Confidencialidad.

La información debe estar disponible solamente para aquellos usuarios

autorizados a usarla. (Gehrkea, Pfitzmann, & Kai, 1992).

El término 'confidencial' hace referencia a "Que se hace o se dice en confianza

o con seguridad recíproca entre dos o más personas." (Mifsud, 2012)

Confidencialidad se refiere a la forma en la que el usuario puede ingresar a cierta

información, pasando por un filtro de seguridad la cual asegure que la

información que será mostrada al usuario mediante previa autorización y de una

forma controlada.

Disponibilidad.

En general, el término 'disponibilidad' hace referencia a una cualidad de

'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que

está lista para usarse o utilizarse." (Mifsud, 2012)

En términos de seguridad de la información, la disponibilidad hace referencia a

que la información del sistema debe permanecer accesible a elementos

(25)

11

La disponibilidad no es más que tener la información de primera mano y al

momento deseado, garantizando también de esta forma el acceso íntegro y

seguro.

Incidentes de seguridad.

Un incidente de seguridad de la información se define como un acceso, intento

de acceso, uso, divulgación, modificación o destrucción no autorizada de

información; un impedimento en la operación normal de las redes, sistemas o

recursos informáticos; o una violación a la Política de Seguridad de la

Información. (Universidad Nacional de Lujan, 2008).

Según la norma ISO 27035, un Incidente de Seguridad de la Información es

indicado por un único o una serie de eventos seguridad de la información

indeseada o inesperada, que tienen una probabilidad significativa de

comprometer las operaciones de negocio y de amenazar la seguridad de la

información. (Organización Internacional de Normalización, ISO., 2011).

Los incidentes a la seguridad no es más que un intento de acceder, modificar,

utilizar de forma no autorizada la información.

Riesgo.

Riesgo se refieren a la probabilidad de ocurrencia de un evento dado. (SURA,

2011).

El riesgo es la probabilidad de que se produzca un incidente de seguridad,

materializándose una amenaza y causando pérdidas o daños. (Instituto Nacional

de Ciberseguridad, 2017)

Se dice que un riesgo es básicamente cuando ocurre cierto evento, cuando

alguna vulnerabilidad fue explotada y sucede un evento el mismo que producirá

algún tipo de daño o impacto.

(26)

12

Análisis del Riesgo.

El análisis de riesgos es la herramienta a través de la cual se puede obtener una

visión clara y priorizada de los riesgos a los que se enfrenta una entidad: tiene

como propósito identificar los principales riesgos a los que una entidad está

expuesta, ya sean desastres naturales, fallos en infraestructura o riesgos

introducidos por el propio personal. (Huerta, 2012)

El análisis de los riesgos determinará cuáles son los factores de riesgo que

potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto,

deben ser gestionados por el emprendedor con especial atención. (Madrid ORG,

s.f.)

El análisis de riesgo es tener en cuenta el alcance del proyecto, así como

también los activos de información, seguidamente identificar las amenazas que

pueden afectar a esos activos y de esta forma mejorar la seguridad y las medidas

para salvaguardar la información.

Seguridad de la información.

La Seguridad de la Información, según ISO27001, se refiere a la

confidencialidad, la integridad y la disponibilidad de la información y los datos

importantes para la organización, independientemente del formato que tengan,

estos pueden ser: Electrónicos, en papel, audio y vídeo, etc. (ISOTools

Excellence, 2015).

La Seguridad de la Información consiste en asegurar que los recursos del

Sistema de Información de una empresa se utilicen de la forma que ha sido

decidido y el acceso de información se encuentra contenida, así como controlar

que la modificación solo sea posible por parte de las personas autorizadas para

tal fin y por supuesto, siempre dentro de los límites de la autorización. (ISO Tools,

(27)

13

La seguridad de la información tiene como fin resguardar los activos de

información, de esta forma no se permite violaciones de seguridad permitiendo

mantener a los datos íntegros, seguros y confiables.

Norma ISO 27002

La ISO 27002 es una norma internacional enfocada a todo tipo de empresas,

la cual permite el aseguramiento, la confidencialidad e integridad, tanto de los

datos como de los procesos que se manejan.

Según (ISOTools, 2017) argumenta que:

La norma ISO 27002 (anteriormente denominada ISO 17799) es

un estándar para la seguridad de la información que ha publicado

la organización internacional de normalización y la comisión

electrotécnica internacional. La versión más reciente de la norma

ISO 27002:2013.

La norma ISO 27002 proporciona diferentes recomendaciones de

las mejores prácticas en la gestión de la seguridad de la

información a todos los interesados y responsables para iniciar,

implementar o mantener sistemas de gestión de la seguridad de la

información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad, integridad y

disponibilidad. Para saber más sobre los demás dominios puede

leer La norma ISO 27002 complemento para la ISO 27001.

La norma ISO 27002 se encuentra enfocada a todo tipo de

empresas, independientemente del tamaño, tipo o naturaleza.

La norma ISO 27002 se encuentra organizado en base a los 14

dominios, 35 objetivos de control y 114 controles.

El contenido de las políticas se basa en el contexto en el que opera

una empresa y suele ser considerado en su redacción todos los

fines y objetivos de la empresa, las estrategias adoptadas

para conseguir sus objetivos, la estructura y los

(28)

14

La política de alto nivel se encuentra relacionada con un Sistema

de Gestión de Seguridad de la Información que suele estar

apoyada por políticas de bajo nivel, específicas para aspectos

concretos en temáticas como el control de accesos, la clasificación

de la información, la seguridad física y ambiental, utilizar activos,

dispositivos móviles y protección contra los malware.

Según (Gupta, 2005) determina los siguientes controles de seguridad:

• Seguridad Física y ambiental

• Seguridad en las Operativas

• Seguridad en las Telecomunicaciones

• Control de accesos

• Gestión de activos

• Cifrados

• Políticas de seguridad

• Aspectos organizativos

• Seguridad ligada a los recursos humanos

• Relaciones con los Suministradores

• Gestión de Incidentes

• Gestión de la Continuidad de Negocio

• Cumplimiento

• Adquisición, desarrollo y mantenimiento de los sistemas de información

Según (Fernández & Álvarez, 2012) El objetivo principal es:

Servir de guía para el desarrollo de pautas de seguridad internas y

prácticas efectivas de gestión de la seguridad. Por ello, la elección

de los controles permanece sujeta a lo detectado en un análisis de

riesgos previo, y el grado de implementación de cada uno de los

controles se llevará a cabo de acuerdo a los requisitos de seguridad

identificados y a los recursos disponibles de la organización para

(29)

15

Plan de Seguridad Informática.

Según Kimball (2011): “Un plan de seguridad es de naturaleza estratégica y es

la base del programa de seguridad, y proporciona un marco para el cumplimiento constante y futuro de puntos de respuesta de seguridad pública” (Kimball, 2011).

Según Valencia (2018): “Un plan de seguridad informática te permite entender

donde puedes tener vulnerabilidades en tus sistemas informáticos, para una vez detectadas, tomar las medidas necesarias para prevenir esos problemas”

(Valencia, 2018).

Pasos para elaborar un plan de seguridad informática:

• Identificación

• Evaluación de riesgos

• Prioriza Protección

• Tomar las preocupaciones adecuadas

(Martagmx, 2015) Argumenta que: “La seguridad informática tiene técnicas o

herramientas llamados mecanismos que se utilizan para fortalecer la

confidencialidad, la integridad y/o la disponibilidad de un sistema informático”.

Lo que se describe en un plan de seguridad informática es como de definen las

políticas, que medidas y que procedimientos se implementan para garantizar que

tanto la estructura física como la información estén seguras. Es por ello, que los

especialistas de seguridad de las empresas, definen que es muy importante

definir el alcance de seguridad informática, estableciendo prioridades y que

acciones se deben tomar según los recursos informáticos con la que cuente la

organización. Si lugar a dudas tanto la seguridad física y lógica constituyen dos

importantes aspectos del plan de seguridad informática, siendo necesarios para

brindar seguridad a la empresa.

Según (TBS, 2008) argumenta que:

Un programa de seguridad nunca se “termina”, siempre está

en el proceso de iterar a través del ciclo de vida del programa

para todas las áreas que define. Evalúa riesgos, hace planes

(30)

16

asegurarse de que funcionan como se espera y utiliza esa

información como información para su próxima fase de

evaluación. Del mismo modo, el documento del programa de

seguridad tiene incorporado este ciclo de vida, ya que

especifica con qué frecuencia volverá a evaluar los riesgos

que enfrenta y actualizará el programa en consecuencia.

Los diferentes tipos de disponibilidad.

La disponibilidad de la información va mucho más allá de que esta esté ahí

cuando se necesite. La disponibilidad conlleva en poner en marcha mecanismos

de seguridad que garanticen que las personas autorizadas puedan acceder a

esa información de manera rápida y sencilla en cualquier momento y en cualquier

lugar.

Para entender el amplio concepto de la disponibilidad, se tiene que abordar

ciertos conceptos, para tener claro este concepto de vital importancia para la

seguridad de la información.

La accesibilidad, va de la mano con la disponibilidad, porque garantiza que solo

usuarios autorizados a los procesos, servicios o procesos con los que se

disponen en la organización sin riesgo de que este pueda ser alterada.

La prevención, se refiere a desarrollar diferentes mecanismos que eviten un

ataque de negación de servicios, que provoca que terceras personas hagan que

el sistema de accesibilidad puesto en marcha falle. Es por ello que en la

prevención se diseñan diversos protocolos que impidan este tipo de ataques y

además dar solución en caso de que ocurran.

La seguridad, establece que sólo personas autorizadas por la organización

pueden tener acceso a la información, donde se deben utilizar protocolos de

seguridad determinados que depende de las necesidades de la empresa, y que

(31)

17

La disponibilidad informática forma parte en cada proceso que se realiza en la

empresa, es por eso que se deben establecer estrategias para que se garantice

la seguridad de la información para que esta sea de calidad, proceso que debe

ser crucial para cualquier empresa.

En pocas palabras, se puede decir que la disponibilidad de la información trabaja

en que se garantice que solo personas que estén autorizadas puedan acceder a

ella, donde se implementan procesos de seguridad necesarios para evitar un

ataque, puesto que la información es un recurso que muchas empresas deben

empezar a valorar primordialmente.

En general, la disponibilidad de los datos se logra a través de la redundancia

que implica dónde se almacenan los datos y cómo se puede alcanzar. Algunos

proveedores describen la necesidad de tener un centro de datos y

un almacenamiento centrado en lugar de una filosofía y un entorno centrados en

el servidor.

Existen dos tipos de disponibilidad: “la ideal o predecida y la ajustada u

operacional.” (Rouse, Data Availability, s.f.)

Gestión de la seguridad.

El autor Álvaro Gómez, en su obra Enciclopedia de la Seguridad Informática,

define el Sistema de Gestión de la Seguridad de la Información

(SGSI) como: “aquella parte del sistema general de gestión que comprende la

política, la estructura organizativa, los recursos necesarios, los procedimientos y

los procesos necesarios para implantar la gestión de la seguridad de la información en una organización.” (Gomez, 2011)

Según la ISO, gestión de la seguridad es: garantizar que los riesgos de la

seguridad de la información sean conocidos, asumidos, gestionados y

minimizados por la organización de una forma documentada, sistemática,

estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en

(32)

18

Hay que destacar que en la práctica no se garantiza una seguridad al cien por

ciento en la información, ya que resulta muy complejo eliminar todos los riesgos

que existan. Lo que sí se puede hacer es gestionarlos, de esta forma los riesgos

son reducidos al mínimo poniendo en marcha tareas, procedimientos, programas

y políticas que permitan asegurar la información en una organización. (ISO

(33)

19

Capitulo II. Diseño metodológico y Diagnóstico.

Para el desarrollo del presente trabajo investigativo, se empleará los siguientes

tipos de investigación:

• Bibliográfica: Este tipo de investigación nos permitirá recopilar la información existente en libros, revistas e internet, con ello se desarrolla

el marco teórico donde se fundamentará científicamente las siguientes

variables: Plan de seguridad informática y la gestión de información.

• De campo: Esta investigación se lleva a cabo en el departamento de TIC de la Uniandes Babahoyo en donde se recopila los síntomas de la

problemática. Este proceso investigativo se lo desarrollo llevando a cabo

encuestas y una entrevista a los involucrados en la problemática.

• Aplicada: Este tipo de investigación nos permite fusionar el aspecto teórico con lo práctico del trabajo de grado.

La investigación de campo sé llevara a cabo utilizando los siguientes métodos:

• Histórico – Lógico: La historicidad de la gestión de información del

departamento de TIC de la Uniandes Babahoyo es muy importante para

el diagnóstico de la problemática.

• Analítico – Sintético:Este par dialectico será útil, el momento de elaborar

el fundamento científico que sustenta la solución del problema.

• Inductivo – Deductivo:En el desarrollo del trabajo investigativo se induce

una solución particular para deducir una solución general a la

problemática.

Población y Muestra.

Se les considera como población a todos los sujetos inmersos en la gestión de

la información en el departamento de TIC de la Uniandes extensión Babahoyo,

(34)

20

Tabla 1: Población y muestra.

Fuente: Autor del proyecto de investigación.

En nuestro caso la población es pequeña por lo que se trabajara con toda ella.

El plan de recolección de la información para el presente trabajo será el

siguiente: En lo que se refiere a las técnicas que se aplicaran en este proceso

investigativo son: las encuestas que se llevó a cabo al personal administrativo y

directivos.

Los instrumentos investigativos asociados a las técnicas son: los

cuestionarios que se utilizarán para las encuestas orientado a los administrativos

y directivos.

Procesamiento y Análisis de la información recabada mediante las encuestas

aplicadas al personal administrativo y directivos de la Uniandes extensión

Babahoyo es la siguiente:

FUNCIÓN NÚMERO

Administrativos. 20

Directivos. 5

(35)

21

Pregunta No. 1.

¿Considera usted que en el departamento donde labora existen medidas de

seguridad para el manejo de la información?

RESPUESTA FRECUENCIA PORCENTAJE

Si 4 61%

No 21 39%

Total 25 100%

Tabla 2. Pregunta No 1

Fuente: Autor del Proyecto de Investigación

Figura 1. Gráfico Estadístico Pregunta No 1

Análisis e Interpretación.

En esta pregunta podemos observar que el 84% de los encuestados indica que

no existe medidas de seguridad en el departamento que labora y el 16% indica

que sí. Podemos concluir que los encuestados no tienen conocimiento sobre

medidas de seguridad informativa para el manejo de la información en la

institución.

16%

84%

Pregunta No. 1

(36)

22

Pregunta No. 2.

¿Usted tienen conocimiento de la existencia de alguna normativa que determine

el tiempo en que se debe respaldar la información que usted maneja en la

institución?

Si 0 00%

No 25 100%

Total 25 100%

En esta pregunta podemos observar que el 100% de los encuestados

manifiestan que no existe una normativa que indique cada que tiempo se debe

respaldar la información. Podemos concluir que la institución no posee políticas

de seguridad para la gestión de la información.

100%

Pregunta No. 2

(37)

23

Pregunta No. 3.

¿En el departamento que usted labora, el personal que accede a la información

es debidamente autorizado?

Si 5 20%

No 20 80%

Total 25 100%

En esta pregunta podemos observar que el 80% de los encuestados manifiestan

que el acceso a la información no es restringido y el 20% dice que sí. Podemos

concluir que no existe mecanismos que restringa el acceso a la información por

parte del personal que labora en los diferentes departamentos de la institución.

20%

80%

Pregunta No. 3

(38)

24

Pregunta No. 4.

¿Usted algún momento ha proporcionado su clave y contraseña a otra persona

para que acceda algún servicio o información dentro o fuera de la institución?

Si 15 60%

No 10 40%

Total 25 100%

Podemos observar en esta pregunta que el 60% de los encuestados han

facilitado su credencial para que otras personas aun sin pertenecer a la

institución accedan a servicios o a la información, el 40% restante manifiesta que

nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir

que la mayoría del personal no tiene preceptos sobre la seguridad que ellos

deben tener sobre la gestión de la información.

60% 40%

Pregunta No. 4

(39)

25

Pregunta No. 5.

¿Usted tiene conocimiento que su contraseña de acceso debe ser cambiada o

modificada en determinados periodos de tiempo por seguridad?

Si 3 12%

No 22 88%

Total 25 100%

Podemos observar en esta pregunta que el 60% de los encuestados han

facilitado su credencial para que otras personas aun sin pertenecer a la

institución accedan a servicios o a la información, el 40% restante manifiesta que

nunca ha facilitado su clave y contraseña a otras personas. Podemos concluir

que la mayoría del personal no tiene preceptos sobre la seguridad que ellos

deben tener sobre la gestión de la información.

12%

88%

Pregunta No. 5

(40)

26

Pregunta No. 6.

¿En el departamento que usted labora, ejecutan algún procedimiento que

permita detectar y eliminar virus de los diferentes dispositivos de

almacenamiento externos, antes de la utilización en los computadores de la

institución?

Si 7 28%

No 18 72%

Total 25 100%

En esta pregunta podemos observar que el 72% de los encuestados no realizan

un análisis y eliminación de virus a los dispositivos externos antes de su

utilización en las computadoras de la institución, el 28% restante manifiesta que

si ejecutan este procedimiento. Podemos concluir que la mayoría del personal

no tiene el conocimiento sobre medidas a tomar para asegurar la gestión de la

información.

28%

72%

Pregunta No. 6

(41)

27

Pregunta No. 7.

¿Cuál de los siguientes servicios informáticos son los más utilizados en su

departamento para la gestión de la información?

Internet. 11 44%

Correo Electrónico. 6 24%

Redes Sociales. 3 12%

Páginas Web. 4 16%

Aplicaciones

Contables.

1 4%

Total 25 100%

En esta pregunta podemos observar que los servicios más utilizados por el

personal encuestado para el desarrollo de sus actividades cotidianas es el

Internet con el 44% y el correo electrónico con un 24%.

44%

24% 12%

16% 4%

Pregunta No. 7

Internet. Correo Electrónico. Redes Sociales.

(42)

28

Pregunta No. 8.

¿En el departamento que usted labora, existe alguna restricción en la navegación

por internet?

Si 1 4%

No 24 96%

Total 25 100%

En esta pregunta podemos observar que el 96% de los encuestados manifiestan

que no existe un control en la navegación por internet dentro de los

departamentos de la institución, el 4% restante manifiesta que alguna vez le

mencionaron que no se debe acceder a algunas páginas web. Podemos concluir

que la navegación en internet es utilizada por todo el personal y no existe alguna

medida de seguridad que restringa el acceso a páginas o direcciones peligrosas.

4%

96%

Pregunta No. 8

(43)

29

Pregunta No. 9.

¿Recuerda usted si algún momento en la ejecución de sus actividades cotidianas

dentro de la institución, ha sufrido de perdida de información o contagio de virus

informáticos?

Si 23 92%

No 2 8%

Total 25 100%

En esta pregunta podemos observar que el 92% de los encuestados han

experimentado alguna vez robo de información o contagio con virus informáticos

en el desarrollo de sus actividades dentro de la institución, el 8% restante

manifiesta que no. Podemos concluir que se debe implementar políticas de

seguridad para el manejo de la tecnología informática.

92% 8%

Pregunta No. 9

(44)

30

Pregunta No. 10.

¿Usted está de acuerdo que se debe incorporar un plan de seguridad informático

el cual establezca políticas para el manejo de la Tecnología Informática en los

de gestión de la información?

Si 25 100%

No 0 0%

Total 25 100%

En esta pregunta podemos observar que la totalidad de los encuestados están

de acuerdo que se incorpore un plan de seguridad informático para regularizar

el uso de la tecnología informática y mejorar la gestión de la información en la

institución.

100%

Pregunta No. 10

(45)

31

Resumen de las principales insuficiencias detectadas con la aplicación de los

métodos investigativos.

Figura 11. Resumen Principales Insuficiencias

Fuente: Autor del Proyecto de Investigación Gestión de

información en el departamento de TIC de la

Uniandes extensión Babahoyo

No posee un control de acceso del personal a los deferentes equipos

informáticos.

No existe un monitoreo que permita controlar

el acceso a internet y datos.

No cuenta con licencias en la

mayoría del software antivirus. No cuenta con

un plan de respaldo (backup) de información . No existe un reglamento para el uso de claves y

(46)

32

Capitulo III. Propuesta de solución al problema.

Desarrollo de un Plan de seguridad de la información para el departamento de

TIC de la Uniandes Extensión Babahoyo a través de implementación de

controles de la Norma ISO 27002.

Objetivos:

Objetivo General.

Desarrollar un Plan de Seguridad de la Información con la aplicación de controles

de la Norma ISO 27002.

Objetivos Específicos:

• Determinar el Hardware y software que se utiliza para la gestión de la

información del departamento de TIC de la Unidades Extensión

Babahoyo.

• Realizar el análisis de riesgo de la información basado en la Norma ISO

27002

• Desarrollar el plan de seguridad aplicando los dominios, objetivo y

controles de la Norma ISO 27002.

Elementos que la conforman la propuesta.

Situación previa de la seguridad informática en el caso de estudio.

El departamento de tecnologías de la información y comunicación de la extensión

Babahoyo se encuentran varios dispositivos y software que provee de servicios

a sus empleados, docentes y estudiantes, por eso es indispensable implementar

medidas de seguridad, pero de una forma organizada para asegurar la

información, porque como se demuestra en el diagnostico existe riesgo de

afectar los tres pilares de la seguridad (confidencialidad, integridad y

disponibilidad).

Análisis de Riesgo.

Consiste en realizar los siguientes procedimientos:

(47)

33

• Identificación de requerimientos legales y comerciales

• Valoración de Activos

• Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia

• Análisis de riesgo y su evaluación.

El riesgo se obtiene a través de la Norma 27002 que establece de forma

detallada el procedimiento para poder realizar este análisis al hardware y

software de la infraestructura, demás brinda un listado detallado de amenazas y

vulnerabilidades que través de la observación puede ser aplicada a la

infraestructura.

Criterio de evaluación del riesgo.

Para evaluar el riesgo está determinado por documentación donde existirá la

siguiente información:

• Los criterios con que se evaluara el riesgo.

• Realizar la valoración del riesgo y establecer un plan de tratamiento del

riesgo.

• Identificación de los niveles de riesgo aceptados por las autoridades.

• Definir e implementar las políticas y los procedimientos que incluyan la

implementación de los controles seleccionados. (ISO 27002,2009).

Enfoque para el cálculo del Riesgo

Esta dado por los requisitos de la organización, previamente se define el alcance,

este se debe definir para limitar el plan de seguridad, en caso contrario

podríamos abordar aspectos innecesarios y exceso detalles que complican la

implementación. Porque la disponibilidad, la confidencialidad e integridad deben

estar en equilibrio, esto quiere decir por ejemplo si la información de un equipo

está protegida por muchas contraseñas difíciles de recordar se pierde la

disponibilidad en caso contrario que esta información no posea una clave y sea

accesible por cualquier persona se pierde la confidencialidad. (Mejía José,2014).

Proceso para el cálculo del riesgo.

(48)

34

Identificación de los activos.

Según la norma ISO 27002 tenemos:

Activos Primarios.

Son aquellos que implican procesos del negocio.

Información.

Activos de Soporte. Estos dependen los elementos primarios del alcance, de

todos los tipos: Hardware, software, redes, personal, sitio, estructura de la

organización.

Identificación de los Activos.

En este proceso se realiza un levantamiento de todo el hardware, software y

documentación de la infraestructura seleccionada y se le asigna el área

responsable de su gestión y mantenimiento.

ACTIVOS DE SOPORTE AREA RESPONSABLE DEL BIEN

SWICH REDES Y TELECOMUNICACIONES

TRANSEIVER REDES Y TELECOMUNICACIONES

FIBRA OPTICA REDES Y TELECOMUNICACIONES

ROUTER INALAMBRICO REDES Y TELECOMUNICACIONES

ROUTERS REDES Y TELECOMUNICACIONES

ARMARIO RACKEABLE REDES Y TELECOMUNICACIONES

ORGANIZADORES DE CABLE REDES Y TELECOMUNICACIONES

CABLEADO ESTRUCTURADO REDES Y TELECOMUNICACIONES

SERVIDOR MANTENIMIENTO Y SOPORTE

EQUIPOS DE ESCRITORIO MANTENIMIENTO Y SOPORTE

INSTALACION ELECTRICA MANTENIMIENTO Y SOPORTE

CENTRAL DE AIRE MANTENIMIENTO Y SOPORTE

(49)

35

UPS MANTENIMIENTO Y SOPORTE

SISTEMA OPERATIVO WINDOWS SERVER 2008(R2)

MANTENIMIENTO Y SOPORTE

ANTIVIRUS MANTENIMIENTO Y SOPORTE

CORREO ELECTRONICO DESARROLLO

MOODLE DESARROLLO

WEB SITE DESARROLLO

SEGUIMIENTO GRADUADOS DESARROLLO

ADMINISTRADOR DE RED REDES Y TELECOMUNICACIONES

TECNICO DE SOPORTE MANTENIMIENTO Y SOPORTE

Tabla 12. Identificación Activos

Valoración de los activos.

En esta etapa se toma en cuenta la funcionalidad de cada hardware y software,

es decir cómo afectaría a la totalidad de mi infraestructura si llegase a ocurrir una

amenaza.

La norma ISO 27002 establece varios criterios para la valoración de activos, pero

el seleccionado es el que se detalla a continuación.

PARAMETROS

VALORACION

DEPENDENCIA FUNCIONALIDAD

INTEGRIDAD, CONFIDENCIALIDAD

Y DISPONIBILIDAD

1 MUY BAJO

Este activo es independiente de otro, no afecta la infraestructura o servicios.

Este activo tiene funcionalidades muy limitadas.

La difusión, alteración y no disponibilidad de su configuración afecta

de forma

insignificante a los servicios.

2 BAJO

Existen activos que dependen de este, pero no afecta en gran medida.

Este activo tiene funcionalidades limitadas.

(50)

36

Tabla 13. Valoración de Activos.

Fuente: ISO 27002

Para la valoración de los activos que es el primer proceso para iniciar el análisis

de riesgo se procederá a valorarlo debido a la perdida de uno o varios de los tres

factores que determinan la seguridad de la información como resultado de un

incidente la calificación en este caso será cuantitativa.

Explicación de cómo la propuesta contribuye a solucionar las

insuficiencias identificadas en el diagnóstico.

A través de la identificación de las amenazas y vulnerabilidades que afectan a

la infraestructura tecnología podremos realizar una valoración de riesgo y luego

implementar controles para mitigar ese riesgo.

Identificación de amenazas, vulnerabilidades y probabilidad de ocurrencia.

En este proceso es muy importante la participación de todo el personal de TIC

porque se encuentran en contacto diario con la infraestructura, además se debe

realizar inspección física y revisión de documentos como por ejemplo las

licencias de los equipos.

de forma en parte la entrega de servicios.

3 MEDIO

Una mínima cantidad de servicios y demás activo dependen de él.

Este activo tiene funcionalidades avanzadas.

La difusión, alteración y no disponibilidad de su configuración afecta significativamente la entrega de servicios.

4 ALTO

Una gran cantidad de servicios y otros activos

se ven

afectados por

su mala

funcionalidad.

Este activo tiene funcionalidades muy avanzadas.

La difusión, alteración y no disponibilidad de su configuración afecta de forma grave la entrega de servicios.

5 CRITICO

Todos los servicios e infraestructura dependen de este activo.

Este activo tiene funcionalidades de última generación.

(51)

37

ACTIVOS DE SOPORTE FUNCIONES CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD PROMEDIO

SWICH

controla conectividades hacia los equipos de los empleados y laboratorios si existe una falla se puede cambiar, pero se pierde el servicio.

3 3 3 3

TRANSEIVER

realiza funciones de recepción de una comunicación, que permite un procesamiento para también realizar la Transmisión de esta información.

2 2 5 3

FIBRA OPTICA

provee la conexión de servicios de internet de los proveedores y hacia las diferentes dependencias de la Universidad.

2 2 5 3

ROUTER INALAMBRICO provee de servicios de internet al

campus universitario 3 5 5 5

ROUTERS

poseen configuradas las redes de las diferentes dependencias y unidades de la Uniandes

4 5 5 5

ARMARIO RACKEABLE

mantiene organizado y estable toda la parte física de la infraestructura tecnológica

3 3 3 3

ORGANIZADORES DE CABLE

mantiene organizados los cables identificados a quienes les provee conectividad

1 1 1 1

CABLEADO ESTRUCTURADO

provee de conectividad a las estaciones de trabajo y dispositivos

(52)

38 SERVIDOR

contiene la configuración de los software y servicios de la Universidad y tienen alojada base de datos

4 4 5 4

EQUIPOS DE ESCRITORIO permite acceder a los servicios y

acceso a las redes 5 5 4 5

INSTALACION ELECTRICA da energía a todos los equipos

de la universidad 2 2 3 3

CENTRAL DE AIRE

mantiene en clima apropiado a los dispositivos de la data center para evitar daños por calentamiento

2 4 3 3

DISCOS DUROS DE SERVIDORES

mantiene la información de la configuración e información de los softwares de la universidad

3 4 5 4

UPS

mantiene energía de reserva hasta por seis horas en caso de fallas eléctricas

2 2 5 3

SISTEMA OPERATIVO WINDOWS SERVER

permite ejecutar las aplicaciones y accesos a los equipos de escritorio a estos servicios

5 5 5 5

ANTIVIRUS

permite mantener alertas y limpieza de amenazas en los equipos de escritorio

1 3 2 2

CORREO ELECTRONICO permite enviar y recibir correo

electrónico 2 2 2 2

WEB SITE

espacio de información a la comunidad universitaria hacia el público en general

4 5 4 4

ADMINISTRADOR DE RED

persona que este cargo y tiene conocimiento sobre la gestión y configuración de la red

(53)

39 TECNICO DE SOPORTE

persona que se encarga de dar mantenimiento y soporte a las fallas de la infraestructura tecnológica

5 4 3 4

ACTIVOS DE INFORMACIÓN

LICENCIA DE MICROSOFT WINDOWS SERVER 2008 R2

documento que otorga el serial para la activación del software del equipo

5 4 4 4

GARANTIAS DE SERVIDORES

documento que establece criterios y tiempo de garantía de los equipos

5 4 4 4

GARANTIAS DE ROUTER Y SWICH CISCO

5 4 4 4

GARANTIAS DE SWICH HP

5 4 4 4

Tabla 14. Identificación de Amenazas, vulnerabilidades.

(54)

40

Luego de Realizar la valoración del activo se procede a seleccionar de la lista que proporciona ISO 27002 las amenazas y vulnerabilidades que podrían afectar su correcto funcionamiento, a continuación, se detalla el listado.

Tipos Ejemplos de

vulnerabilidades Ejemplos de amenazas

Hardware

Mantenimiento

insuficiente/instalación fallida

de los medios de

almacenamiento.

Incumplimiento en el mantenimiento del sistema de información

Falta de esquemas de

reemplazo periódico.

Susceptibilidad a la humedad, el polvo y la suciedad

Destrucción del equipo o los medios. Polvo, corrosión, congelamiento