UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRIA EN SISTEMAS DE INFORMACIÓN GERENCIAL
ARTÍCULO CIENTÍFICO PREVIO A LA OBTENCIÓN DEL GRADO
ACADÉMICO DE MAGISTER EN SISTEMAS DE INFORMACIÓN
GERENCIAL
TEMA:
LA SEGURIDAD INFORMÁTICAPARA LA TOMA DE DECISIONES EN EL
DISTRITO DE EDUCACIÓN 12D03 MOCACHE-QUEVEDO
AUTORA: ING. COLOMA BAÑOS NADIA CARMINIA
TUTORES: DR. CAÑIZARES GALARZA FREDY PABLO, MSC
DR. ROMERO FERNÁNDEZ ARIEL JOSÉ, PHD
SANTO DOMINGO – ECUADOR
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
ÍNDICE GENERAL
PORTADA
APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN
DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTORA
CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN
RESUMEN.
ABSTRACT.
TITULO………. 1
LÍNEA DE INVESTIGACIÓN……… 1
INTRODUCCIÓN……… 1
MATERIALES Y MÉTODOS……….4
RESULTADOS……… 5
DISCUSIÓN………...15
RESUMEN.
Las tendencias actuales en toda empresa es salvaguardar los recursos de las
tecnologías informáticas y protegerse de los potenciales riesgos y amenazas que
afectan a la seguridad de diversa índole. Este trabajo investigativo tiene como
objetivo diseñar un plan de seguridad informática basado con la normativa
ISO/IEC 27000 para que sea aplicada en el Distrito de Educación 12D03
Mocache-Quevedo, que contribuirá al mejoramiento de la gestión de la integridad,
confidencialidad y alta disponibilidad de la información.
En la investigación, el método descriptivo fue utilizado para detallar las causas y
efectos que originan la problemática que se desarrollan desde una perspectiva
cuantitativa y cualitativa. Finalmente, y de acuerdo a los resultados del
diagnóstico aplicando la auditoría informática alineada con el estándar ISO/IEC
27001, la metodología de análisis de los riesgos y las políticas de seguridad. Se
proponen los controles de seguridad (políticas, procesos, procedimientos,
estructuras organizativas y funciones de hardware y software) para que sean
incorporadas dentro de un SGSI que cumplan a las necesidades de la seguridad
de la entidad. Este plan de seguridad informática deberá ser establecido,
implementado, supervisado y mejorado basados en las normas ISO 27001 / ISO
27002 para cumplir los objetivos de la seguridad de la organización.
Palabras claves: Normativa ISO 27000, auditoría informática, análisis de
ABSTRACT.
Current trends across enterprise is to safeguard the computer technologies
resources and protect themselves from potential risks and threats affecting the
security of diverse nature. This research work aims to design a security plan
based with the ISO/IEC 27000 standards so that it is applied in the District
Education 12D03 Mocache-Quevedo, that will contribute to the improvement of
the management of the integrity, confidentiality and high availability of the
information.
In research, the descriptive method was used to detail the causes and effects
that originate the problems that develop from a quantitative and qualitative
perspective. Finally, and according to the results of the diagnosis by applying the
information technology audit aligned with the standard ISO/IEC 27001, the risks
analysis methodology and security policies. Proposed security controls (policies,
processes, procedures, organizational structures and functions of hardware and
software) so that they are incorporated into an ISMs that meet the needs of the
security of the institution. This information security plan should be established,
implemented, monitored and improved based on the standards ISO 27001 / ISO
27002 to fulfil the objectives of the Organization's security.
Keywords: ISO 27000 regulation, computer audit, risk analysis, security policies,
1
TITULO.
La seguridad informática para la toma de decisiones en el distrito de educación
12d03 Mocache-Quevedo.
LÍNEA DE INVESTIGACIÓN.
Gerencia y sistemas de información para la toma de decisiones en el sector
empresarial.
INTRODUCCIÓN.
En la actualidad las empresas y organizaciones utilizan para la creación,
procesamiento, transmisión y almacenamiento de su información las ventajas de
las Tecnologías de la Información y las Comunicaciones. Debido a esto, el
número de amenazas se incrementa y obliga a que garantizar la disponibilidad,
confidencialidad e integridad de la información signifique un aspecto de primer
orden sobre el cual invertir para evitar la pérdida, modificación o robo de los
activos informáticos. (Miranda Cairo, Valdés Puga, Pérez Mallea, Portelles
Cobas, & Sánchez Zequeira, 2016)
Debido a lo anterior, garantizar la seguridad de la información se ha convertido
en una tarea trascendental y de primordial interés para empresas,
organizaciones e instituciones. Debido a esta razón, nace en las entidades
públicas la necesidad de implementar nuevos sistemas de seguridad de la
información, con el objeto de fortalecer las políticas y procedimientos de uso,
estando supeditadas incluso a políticas a nivel de entes de control, encargadas
de verificar que se administren y gestionen eficientemente. (Gonzalez, 2018)
Con el auge de las Tecnologías de la Información y las Comunicaciones en el
mundo actual, se establece la necesidad de lograr una seguridad razonable
sobre los recursos de las tecnologías informáticas (datos, tecnologías,
instalaciones, personal y aplicaciones), cumpliendo con los objetivos de control
y los objetivos generales del negocio, así como controlar que la información que
se procese sea oportuna y confiable. (Negrín, López, Rodriguez, & Martínez,
2
La información, como un elemento más al interior de una organización, se
considera un activo valioso, ya que de ahí se toman decisiones importantes para
el desarrollo de los objetivos corporativos y, a su vez, se le brindan al usuario
elementos de juicio para su permanencia como cliente; de ahí, la necesidad de
ser protegida. (Candelario Samper & Rodríguez Bolaño, 2014)
La seguridad informática actualmente forma parte de los grandes negocios en
materia de tecnología y seguridad en las empresas. Debido a que hoy en día se
reflejan distintos tipos de ataques y amenazas al acceso de la información de las
organizaciones, es necesario crear medidas y procesos que contrarresten estos
peligros que afectan los recursos funcionales de las entidades. Por eso, se
requiere la disposición de diferentes mecanismos de seguridad que van
relacionados con varios tipos de recursos tanto humanos como tecnológicos que
ayudan a garantizar una muy buena seguridad en las empresas. La seguridad
de la información es un tema de nunca acabar y que por tal motivo la
actualización de los distintos recursos y procesos que se identifiquen día a día
es sumamente importante para minimizar los riesgos en el ámbito de seguridad
de las organizaciones. (Suárez & Ávila, 2017)
Según Acissi (2015), la seguridad Informática en los sistemas de información,
representa el conjunto de medios y técnicas implementados para asegurar la
integridad y que no se difundan involuntariamente los datos que recorren el
sistema de información, entendiendo como tal al conjunto de datos y de recursos
(físicos, lógicos y humanos) que permiten almacenar y que circule la información
que contiene. También representa la red de actores que intervienen sobre él,
que intervienen datos, acceden a ellos y los usan.
Así como la tecnología ha ido evolucionando, los fraudes y delitos informáticos
han ido a la par, a tal punto que en la actualidad un delincuente informático puede
sustraer recursos económicos de una organización desde la comodidad de su
hogar, sin dejar rastro alguno, o estructurar grandes delitos desde el interior de
la organización; esta situación sumados a los grandes desfalcos financieros
ocurridos a nivel mundial, incluyendo delitos informáticos, han obligado al auditor
un cambio de enfoque y la necesidad de que el auditor cuente con nuevas
3
La seguridad de la información tiene por objeto proteger a los sistemas
informáticos de las amenazas a los que están expuestos. Debido a lo anterior, la
aplicación de medidas de seguridad debe realizarse de manera planificada y
racional, para evitar dirigir esfuerzos e invertir recursos en áreas que no lo
requieren. Para que las medidas y mecanismos de protección resulten eficaces,
deben integrarse dentro de un sistema más amplio de gestión de la seguridad de
la información (Gil Vera & Gil Vera, 2017)
La seguridad informática es la disciplina que con base en políticas y normas
internas y externas de la empresa, se encarga de proteger la integridad y
privacidad de la información que se encuentra almacenada en un sistema
informático, contra cualquier tipo de amenazas, minimizando los riesgos tanto
físicos como lógicos, a los que está expuesta. (Urbina, 2016)
La seguridad informática es proteger la información y resguardarse de los riesgos
potenciales, eso se logra aplicando un proceso de gestión de seguridad para
todos los entornos de software y hardware presentes en la empresa y poder
disfrutar de las últimas mejoras en materia de seguridad. (Jean, 2016)
Según Carpentier (2016), la gestión de la seguridad de la información, su objetivo
consiste en alinear la seguridad de la información con la actividad de negocio y
de asegurar que esa seguridad se gestiona eficazmente en todos los
departamentos y sus actividades de gestión.
La auditoría informática es aquella que tiene como objetivos evaluar los
controles de la función informática, analizar la eficiencia de los sistemas, verificar
el cumplimiento de las políticas y procedimientos de la empresa en este ámbito
y revisar que los recursos materiales y humanos de esta área se utilicen
eficientemente. (Guerrero Fernández, 2015)
El objetivo de la presente investigación es diseñar e implementar un plan de
seguridad informática para la toma de decisiones en el distrito de educación
12D03 Mocache-Quevedo basado en las directrices de la Norma ISO/IEC 27001
con el afán de asignar mejores prácticas en la gestión de la seguridad de la
4
Finalmente se explica la metodología para aplicar el plan de seguridad
informática tomando en cuenta lo indicado en la norma ISO/IEC 27001 desde la
fase inicial de diagnóstico(auditoría informática), la fase de identificación de las
vulnerabilidades, amenazas y riesgos de seguridad, la definición de las políticas
y los planes de contingencia para luego establecer un sistema de control acorde
a los hallazgos encontrados de acuerdo a la realidad de la empresa a la cual se
dirigió la investigación
MATERIALES Y MÉTODOS.
Según el enfoque se ha determinado que el tipo de investigación será Mixto y
consiste en la integración de los métodos cuantitativo y cualitativo, a partir de los
elementos que integran la investigación.
Según el Alcance se ha determinado que el tipo de investigación será
Descriptiva: refiere o narra características y propiedades de un objeto, sujeto o
situación específica, sin emplear juicios de valor y en procura de altos niveles de
objetividad. El investigador debe definir su análisis y los procesos que involucrará
el mismo.
Según la Finalidad se ha determinado que el tipo de investigación será aplicada
al estudio científico que busca resolver problemas prácticos. Esta se utiliza para
encontrar soluciones a problemas cotidianos, curar enfermedades y desarrollar
tecnologías innovadoras.
El universo está constituido por los nueve departamentos del distrito de
educación 12D03 Mocache-Quevedo por lo tanto no es necesario determinar la
muestra, por lo que se considerará a toda la población de la entidad pública.
POBLACIÓN. La población del Distrito de Educación 12D03 Mocache-Quevedo
a tomar en cuenta para la investigación es la siguiente Tabla 1
Tabla 1. Población Distrito 12D03 Mocache-Quevedo
Administrativos Contratados 9
Administrativos Titulares 29
Total 38
5
Se utilizará la observación y la encuesta como métodos para identificar la
información que se genera en los procesos de auditoría de la seguridad de la
información.
Se entrevistará a los jefes departamentales solicitando información sobre la
seguridad informática tanto física como lógica que reciben del departamento de
unidad de TIC´S actualmente en el distrito e identificar los riesgos y amenazas
que la información está involucrada esto con la finalidad de brindar
recomendaciones, propuestas de solución y mejoramiento aplicando un proceso
de gestión de seguridad para todos los entornos de software y hardware de los
departamentos del distrito.
Se aplicará una encuesta a los 38 empleados públicos para recopilar datos sobre
la seguridad aplicada a la información a los Analistas de cada departamento que
acuña actualmente la entidad pública mediante un cuestionario previamente
diseñado a toda la población que comprende el Distrito 12D03
Mocache-Quevedo.
Los estudiantes y los docentes no son tomados en la encuesta, porque el plan
de seguridad informática es aplicado al departamento de Tecnologías de la
Información y Comunicación del Distrito 12D03 Mocache-Quevedo, por esta
razón no son considerados los equipos que están desplegados en las diversas
instituciones educativas.
RESULTADOS.
Después de tabular los resultados de la investigación de campo tanto de las
encuestas como las entrevistas se obtuvieron los siguientes resultados, los
cuales fueron tabulados acorde a los controles de norma ISO 27000.
En base a la información recopilada se pudo determinar los siguiente:
Los funcionarios de la entidad no tienen conocimiento de la existencia de un
manual de políticas de seguridad o de un plan de seguridad de informática por
parte del departamento distrital de las Tecnologías de la Información, para lo cual
sugieren que deben poner en práctica las normativas de este documento o
elaborar uno si no existiere para guiar en los inconvenientes presentados a los
6 información de los servicios informáticos.
Falta de procedimientos en caso de ocurrir problemas con sus equipos de
cómputo, en cuanto a respaldos de la información y la regularidad que deberían
realizarse para salvaguardar la información de los diferentes departamentos de
la entidad.
Se encontró la novedad que los funcionarios entregan sus credenciales de
acceso a sus plataformas institucionales de los servicios utilizados a otros
funcionarios por diversos motivos, además no existen ningún procedimiento que
haga referencia a su uso, modificación y un 60% de ellos lo realizan por iniciativa
propia.
No existe ninguna medida de seguridad en cuanto al control de la conexión de
las unidades extraíbles de sus equipos de cómputo, acceso a las carpetas
compartidas por departamento.
Después de realizar un diagnóstico de los resultados obtenidos de la
investigación se propone el desarrollo de un plan de seguridad informática para
la toma de decisiones en el Distrito de Educación 12D03 Mocache-Quevedo que
contribuya al mejoramiento de la gestión de la integridad, confidencialidad y alta
disponibilidad en referencia al Acuerdo Ministerial No. 166, publicado en el
Registro Oficial No. 88 del 25 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública en el Artículo 1 menciona “Disponer a las entidades
de la Administración Pública Central, Institucional y que dependen de la Función
Ejecutiva el uso obligatorio de las normas Técnicas ecuatorianas NTE
INEN-ISO/IEC 27000 para la Gestión de la Seguridad de la Información, el cual ha
desarrollado un esquema gubernamental de Seguridad de la Información(EGSI),
en el cual se establece 126 hitos o controles, basadas en la norma técnica ecuatoriana INEN ISO/IEC 27002 “Código de Práctica para la Gestión de la Seguridad de la Información”
Se recomienda que previo a la implementación del EGSI se proceda a dar cumplimiento al Art. 7 del Acuerdo 166: “Las entidades realizarán una evaluación
7
institucionales identificados en el estudio de gestión de Riesgos, permitirán
determinar los controles necesarios a ser implementados. El aporte de este
trabajo de investigación está considerado en los siguientes puntos de la
propuesta:
Se propone el desarrollo de un plan de seguridad informática para mejorar la
gestión de la confidencialidad, integridad y disponibilidad de la información para
la toma de decisiones en el distrito de Educación 12D03 Mocache-Quevedo, se
utilizará la metodología PDCA (Planificar, Hacer, Verificar y Actuar), ya que este
permitió diseñar un plan que se ajuste a las necesidades de la entidad , que
contemple las directrices para proteger la información con el uso de las
normativas ISO/IEC 27000.
ISO/IEC 27001 adopta el modelo PDCA(o de Demming),”PDCA son las siglas de Plan-Do-Check-Act” y el modelo se aplica para estructurar todos los procesos
del SGSI, así como en muchos otros entornos y marcos generales de buenas
prácticas como ITIL (Castro Gil , Díaz Orueta, Alzórriz Armendariz , &
SanCristóbal Ruiz, 2014)
Las actividades principales Tabla2, asociadas al modelo PDCA aplicadas a SGSI
son:
Tabla 2. Modelo PDCA aplicadas a SGSI
Planificar
(Establecer el SGSI)
Establecer: políticas, objetivos, procesos y procedimientos de seguridad destacados para gestionar el riesgo y mejorar la seguridad informática, con la finalidad de entregar resultados acordes con las políticas y objetivos de la organización.
Hacer
(Implementar y operar el SGSI)
Implementación de los controles seleccionados y la correcta aplicación de los mismos (política, controles, procesos y procedimientos)
Verificar
(Revisar y dar seguimiento al SGSI)
Medir el rendimiento de los procesos contra los controles del SGSI(la política, los objetivos de seguridad y la experiencia práctica) y reportar los resultados a la dirección, para su revisión.
Actuar
(Mantener y mejorar el SGSI)
Emprender acciones correctivas y preventivas basadas en los resultados de la verificación y la revisión por la dirección, para lograr la mejora continua del SGSI.
8
Es la parte más importante de la propuesta, ya que hacen uso de las normas
ISO/IEC 27000, la cual es un conjunto de estándares desarrollados -o en fase
de desarrollo por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña. (ISO, 2012). Estas normas
permiten a las organizaciones conocer los riesgos con el trato de seguridad hacia
la información pudiendo minimizar los riesgos y gestionando de la mejor manera
para garantizar que los productos y/o servicios ofrecidos por dichas
organizaciones cumplen con los requisitos de calidad del cliente y con los
objetivos previstos.
ISO hace mucho énfasis a la seguridad tanto que existen normas para las
diferentes etapas de la gestión de la seguridad de la información. A continuación,
se detalla las normas ISO más importantes sobre la gestión de la seguridad de
la información de este proyecto:
ISO/IEC 27000: Es un vocabulario estándar para el SGSI; ISO/IEC 27001: Es la
certificación para las organizaciones. Especifica los requisitos para la
implantación del SGSI detallada en la Figura1. La más importante de la familia.
Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los
procesos; ISO/IEC 27002: Es un código de buenas prácticas para la gestión de
seguridad de la información; ISO/IEC 27003: Son directrices para la
implementación de un SGSI; ISO/IEC 27004: Son métricas para la gestión de
seguridad de la información; ISO/IEC 27005: Trata la gestión de riesgos en
9
Figura 1. Sistema de Gestión dela Seguridad Informática
Fuente: https://www.normas-iso.com/iso-27001/
Definir las Políticas
La seguridad de la información ha evolucionado desde la seguridad física
orientada a la protección de ordenadores a concentrarse en políticas,
procedimientos y controles basados en las personas. (Cárdenas Solano ,
Martínez Ardila, & Becerra Ardila, 2016)
“Las entidades de la Administración pública Central, Dependiente e Institucional
que generan, utilizan, procesan, comparten y almacenan información en medio
10
reservada, deberá aplicar el esquema gubernamental de seguridad de la
información para definir los procesos, procedimientos y tecnologías a fin de
garantizar la confidencialidad, integridad y disponibilidad de esa información, en los medios y el tiempo que su legitimidad lo requiera”.
Para dar ejecución a esta fase necesario realizar un estudio de las políticas de
seguridad que actualmente se encuentran utilizando y enfocándonos en el
departamento de tecnologías de la información para realizar esto se procedió a
realizar las respectivas entrevistas y encuestas a la directora distrital, analistas y
al personal del área de tics.
Alcance del plan de seguridad informatica
Plan de seguridad informática es el documento básico en el que se describe los
principios organizativos de una entidad y recoge claramente las políticas,
medidas y los procedimientos de seguridad de la información, es decir, los controles
del SGSI para alcanzar los objetivos de la organización y las responsabilidades de
cada uno de los participantes en el proceso informático.
El plan de seguridad informático debe garantizar:
La Disponibilidad, la trazabilidad y la recuperación de los sistemas de información
La Autenticidad, integridad, confidencialidad, el acceso y la conservación de la
información.
El presente Plan de Seguridad Informática es aplicable en su totalidad en los
departamentos del distrito de Educación que se encuentra ubicado en la
Parroquia San Camilo, calle Honduras y Uruguay. Las políticas citadas en este
plan son de obligatorio cumplimiento para todo el personal de la entidad,
incluyendo las 157 instituciones educativas fiscales que se encuentran a su
cargo.
Análisis de Riesgo.
La norma ISO/IEC 27005 proporciona una guía para realizar el análisis de
riesgos de la seguridad de la información contienediferentes recomendaciones
y directrices en la cual específica los parámetros que se deben cumplir en las
diferentes fases del proceso (identificación de los activos, identificación de
11
amenazas, vulnerabilidades y probabilidad de ocurrencia y análisis de riesgo y
su evaluación)
Activo para lo cual se identifican los activos de la entidad detallados en la
Tabla2.
Tabla 2. Identificación de los activos
EQUIPOS CANTIDAD
SWICH 9
FIBRA OPTICA 1
ROUTERS 4
ARMARIO RACKEABLE 1
ORGANIZADORES DE CABLE 1
CABLEADO ESTRUCTURADO 1
SERVIDOR 1
PORTATIL 30
EQUIPOS DE ESCRITORIO 38
INSTALACION ELECTRICA 1
CENTRAL DE AIRE 1
DISCOS DUROS EXTERNOS 4
DISCOS DUROS DE SERVIDORES 4
UPS 15
IMPRESORAS 20
Fuente: Elaboración propia
El término Amenaza puede entenderse como algún hecho que puede producir
algún daño provocado por algún evento natural o antrópico, es decir originado
por alguna actividad humana. Viéndolo desde un entorno informático, se puede
considerar como cualquier elemento que comprometa al sistema. (Espinoza
Zallas & Rodríguez Pérez, 2017).
Según Aguilera López(2010), las amenazas se clasifican en cuatro grupos:
De interrupción: El objetivo de la amenaza es deshabilitar el acceso a la
12
De intercepción: Personas, programas o equipos no autorizados podrían acceder
a un determinado recurso del sistema y captar información confidencial de la
organización.
De modificación: Personas, programas o equipos no autorizados no solamente
accederían a los programas y datos de un sistema de información, sino que
además los modificarían.
De fabricación: Agregarían información falsa en el conjunto de información del
sistema
Las vulnerabilidades son los fallos del sistema de seguridad o en los propios en
que el usuario utiliza para desarrollar las actividades que permitirían que una
amenaza tuviese éxito a la hora de generar un problema. (Romero Castro, y
otros, 2018)
De acuerdo a una de las clasificaciones, los tipos de vulnerabilidades que
pueden presentarse a nivel informático son: Vulnerabilidad física, Vulnerabilidad
natural, Vulnerabilidades del hardware, Vulnerabilidades del software,
Vulnerabilidad de medios o dispositivos, Vulnerabilidad de las comunicaciones,
Vulnerabilidad Humana (Solarte Solarte, Enriquez Rosero, & Benavides Ruano,
2015)
Gestión de Riesgo
El proceso de gestión de riesgos identifica y prioriza los peligros inherentes al
desarrollo de un producto, sistema u organización. La gestión del riesgo es una
parte importante de la gestión de la seguridad y se define como el proceso que
se encarga de identificar y cuantificar la probabilidad de que se produzcan
amenazas y de establecer un nivel aceptable de riesgo para la organización,
considerando el impacto potencial de un incidente no deseado. (Areitio Bertolín,
2008)
Selección de los Controles a implementar
Se realizó una auditoría informática, en la fase de su ejecución se seleccionó los
controles a través de un checklist in-situ en compañía del analista distrital de
13
Una auditoría de seguridad informática es un concepto que es relevante para la seguridad de la información, el cual según el autor (Chicano, 2014): “La auditoría
de seguridad informática analiza todos los procesos referentes a la seguridad informática, tanto física como lógica”
A continuación, se detalla en la tabla 3 la valoración de los dominios y la tabla 4
sobre el Cumplimiento por dominios de la norma ISO/IEC 27002.
Tabla 3 Valoración de controles ISO 27002.
Valor Efectividad Significado Descripción
L0 0% Inexistente Carencia completa de cualquier proceso conocido
L1 10% Inicial / Ad-hoc
Procedimientos inexistentes o localizados en áreas concretas. El éxito de las tareas se debe a esfuerzos personales.
L2 50% Reproducible,
pero intuitivo
Existe un método de trabajo basado en la experiencia, aunque sin
comunicación formal. Dependencia del conocimiento individual.
L3 90% Proceso
definido
La organización en su conjunto participa en el proceso. Los procesos están implantados, documentados y comunicados.
L4 95% Gestionado y
medible
Se puede seguir la evolución de los procesos mediante indicadores numéricos y estadísticos. Hay
herramientas para mejorar la calidad y la eficiencia.
L5 100% Optimizado
Los procesos están bajo constante mejora. En base a criterios
cuantitativos se determinan las desviaciones más comunes y se optimizan los procesos.
L6 N/A No aplica
14
Tabla 4. Cumplimiento por dominios de la norma ISO/IEC 27002
Dominios % de
Efectividad
Número Control
Número
Control Control OK
Mayores Menores
5.- Política de Seguridad 0% 2 0 0
6.- Aspectos Organizativos
de la SI 31% 7 4 0
7.- Gestión de activos 23% 4 0 1
8.- Seguridad ligada a
Recursos Humanos 89% 0 3 4
9.- Seguridad física y del
entorno 68% 3 5 4
10.- Comunicación y
Operaciones 65% 8 9 13
11.- Control de Acceso 31% 20 2 3
12.-Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información
50% 7 4 3
13.- Gestión de Incidentes de Seguridad de la
Información
92% 0 5 0
14.- Continuidad Del
negocio 10% 5 0 0
15.- Cumplimiento 20% 6 4 0
Fuente: Elaboración propia
Preparación de la declaración de aplicabilidad.
La declaración de aplicabilidad es el documento central que define cómo
implementará una gran parte de la seguridad de su información debe incluir los
objetivos de control y controles que serán aplicados y los que serán excluidos. Es
el nexo principal entre la evaluación y el tratamiento del riesgo y la implementación
del sistema de seguridad de la información. El objetivo de este documento es
definir cuáles de los 133 controles (medidas de seguridad) sugeridos en la
norma ISO 27001 que se implementará y, para los controles que correspondan,
15
Revisión del Sistema
El control interno está orientado a cumplir con el ordenamiento jurídico, técnico
y administrativo, promover eficiencia y eficacia de las operaciones de la entidad
y garantizar la confiabilidad y oportunidad de la información, y la adopción de
medidas oportunas para corregir las deficiencias de control. (Contraloria General
del Estado, 2009)
DISCUSIÓN.
Los resultados obtenidos en la evaluación del análisis de Seguridad de la
Información y Seguridad Informática, aportarán en la implementación de buenas
prácticas que mermarán las vulnerabilidades y amenazas que han sido halladas.
Dentro de los resultados generales más importantes de la aplicación de la
metodología de análisis y evaluación de amenazas, vulnerabilidades, riesgos, y
los instrumentos diseñados están: Algunos de los problemas de seguridad en las
organización evaluada están relacionada esencialmente con: el desconocimiento
sobre aplicación y uso de las normas de seguridad de la información y las
limitaciones en la administración de seguridad informática y de la información
que comprometen seriamente la imagen Institucional. Las probables causas que
originan las falencias encontradas son: poco conocimiento en el tema de
seguridad de información, la falta de organización en el área de TICS , no
existencia o falta de cumplimiento de controles( políticas, procedimientos y
procesos)para la seguridad de la información, no se ha establecido criterio sobre
esta revisión ya que cuando sucede un requerimiento relacionado con la
seguridad es informado al analista distrital de tecnologías para recién realizar las
modificaciones del evento, existe responsabilidades no cumplidas al 100% sobre
la seguridad de la información, la información debería ser clasificada según su
valor, en general el limitado personal imperante administrativo para proteger los
activos informáticos y de información frente a las amenazas y riesgos a que se
ven enfrentadas.
Los resultados del diagnóstico se basaron en un análisis de los dominios
aplicados en la norma ISO/IEC 27001 en porcentaje (%) de cumplimiento al
16
asociados a la escala de madurez e interpretados de acuerdo al porcentaje de
cumplimiento. El resultado muestra que es imperativo el apoyo y compromiso
real de la alta gerencia o administración para el proceso de diseño,
implementación e implantación de un SGSI de acuerdo a los resultados de la
auditoria; además se deben concretar los controles( procesos y procedimientos)
que así lo requieran y documentarlos, por lo cual se deben definir los procesos y
procedimientos faltantes; también se deben establecer mecanismos de control
de seguridad informática que permitan la medición permanente orientadas hacia
la mejora de la seguridad de la información y al diseño, implementación e
implantación de un SGSI en cada una de las organizaciones de acuerdo a sus
necesidades.
CONCLUSIONES.
En la actualidad existen varios sucesos de ataques a empresa; los riesgos y
vulnerabilidades de seguridad de la información representan una amenaza
considerable para las organizaciones debido a la posibilidad de pérdida o daño
de activos tales como; financieros, de servicios esenciales de red, o de la
reputación y confianza de los clientes. Con el fin de preservar la información se
ha demostrado que con la implantación de controles y procedimientos de
seguridad realizados bajo las normativas ISO 27000 toda la información esencial
se puede proteger.
Del proceso diagnóstico llevado a cabo, se puede concluir que no existe una
cultura de seguridad de la información dentro de entidad pública, tampoco existe
sistemas de control de seguridad informática y de información, y mucho menos,
procesos y procedimientos documentados para protección de la información.
La implementación del Plan de seguridad informática contribuyó permitiendo
elevar en un grado muy significativo la seguridad en los 11 dominios de la norma
ISO 27002 para lo cual es esencial que el equipo de trabajo y la alta gerencia se
comprometa con la implementación de las políticas, ya que son el cimiento para
obtener un avance significativo en la integridad, confidencialidad y disponibilidad
de la información y los servicios otorgados a la comunidad distrital y estén con el
REFERENCIAS BIBLIOGRAFICAS.
Acissi. (2015). Seguridad Informática Hacking ÉTICO. Barcelona: ENI.
Aguilera López, P. (2010). Seguridad Informática. Editex.
Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid, España:
Paraninfo.
Candelario Samper, J. J., & Rodríguez Bolaño, M. (2014). Seguridad Informática
en el Siglo xxi: Una Perspectiva Jurídica Tecnológica Enfocada Hacia las
Organizaciones. Revista Especializada en Ingeniería.
Cárdenas Solano , L. J., Martínez Ardila, H., & Becerra Ardila, L. E. (noviembre
de 2016). Gestión de seguridad de la información. El profesional de la
información, 25(6).
Carpentier, J.-F. (2016). La seguridad informática en la PYME: Situación actual
y mejores prácticas. Barcelona: ENI.
Castro Gil , M. A., Díaz Orueta, G., Alzórriz Armendariz , I., & SanCristóbal Ruiz,
E. (2014). PROCESOS Y HERRAMIENTAS PARA LA SEGURIDAD DE REDES.
UNED.
Chicano Tejada, E. (2015). Auditoría de seguridad informática. IC Editorial.
Chicano, E. (2014). Auditoria de Seguridad Informática. Málaga: IC.
Contraloria General del Estado. (2009). Obtenido de
http://www.contraloria.gob.ec/
Espinoza Zallas, E. A., & Rodríguez Pérez, R. (junio de 2017). Seguridad
informática una problemática de las organizaciones en el sur de sonora. Revista
de InvestigaciónAcadémica sin Frontera, 10(25). Obtenido de
http://revistainvestigacionacademicasinfrontera.com
Espinoza, W. (2016). La tecnología de la información como herramienta. Scielo,
17-35.
Gil Vera, V. D., & Gil Vera, J. C. (02 de Junio de 2017). Seguridad informática
organizacional. Scientia Et Technica, 22, 193-197. Obtenido de
Gonzalez, D. (Febrero de 2018). Diseño de un plan estratégico de seguridad de
la información, mediante la aplicación de análisis de riesgos con la norma
ISO/IEC 27005. Caso de estudio INAMHI. INNOVA Research Journal, Vol.
3(No.2.1), 84-91. doi:https://doi.org/10.33890/innova.v3.n2.1.2018.672
Guerrero Fernández, M. J. (2015). Sistemas de almacenamiento (5 ed.). España:
Elearning.
ISO. (2012). El portal de ISO 27002 en Español. Obtenido de El portal de ISO
27002 en Español: http://www.iso27000.es/iso27002.html
Jean, C. (2016). La Seguridad Informática en la Pyme. Barcelona: Edicion ENI.
Miranda Cairo, M., Valdés Puga, O., Pérez Mallea, I., Portelles Cobas, R., &
Sánchez Zequeira, R. (abril de 2016). Metodología para la Implementación de la
Gestión Automatizada de Controles de Seguridad Informática. SciELO, vol.10(2).
Obtenido de
http://scielo.sld.cu/scielo.php?pid=S2227-18992016000200002&script=sci_arttext&tlng=en
Negrín, E., López, L., Rodriguez, K., & Martínez, D. (Diciembre de 2017).
Propuesta de un programa de Auditoría a los Sistemas de Información. ECA
Sinergia, 8(2), 13.
Piattini, M. G., & Navarro, E. (2001). Auditoría Informática. Madrid, España:
RA-MA.
Quinn, W. E. (2016). La tecnología de la información como herramienta. scielo,
17-35.
Romero Castro, M., Figueroa Morán, F. L., Vera Navarrete, D. S., Álava Cruzatty,
J. E., Parrales Anzúles, G. R., Álava Mero, C. J., . . . Castillo Merino, A. (2018).
Introducción a la seguridad informática y el análisis de vulnerabilidades. Alicante:
Alzamora. doi:http://dx.doi.org/10.17993/IngyTec.2018.46
Solarte Solarte, F. N., Enriquez Rosero, E. R., & Benavides Ruano, M. D. (
Diciembre de 2015). Metodología de análisis y evaluación de riesgos aplicados
a la seguridad informática y de información bajo la norma ISO/IEC 27001.
Revista Tecnológica ESPOL, 28(5), 492-507.
Suárez, D., & Ávila, A. (2017). Una forma de interpretar la seguridad informática.
Urbina, G. B. (2016). Introducción a la seguridad informática. México: Grupo
