UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
“UNIANDES”
FACULTAD DE SISTEMAS MERCANTILES
PROGRAMA DE MAESTRÍA EN INFORMÁTICA EMPRESARIAL
PROYECTO DE INVESTIGACIÓN PREVIA LA OBTENCIÓN DEL GRADO ACADÉMICO DE MAGISTER EN INFORMÁTICA EMPRESARIAL
TEMA:
“PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001 PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE
PASTAZA”
AUTOR: AGUILAR CARRIÓN MANUEL RODRIGO
ASESORES:
ING. FERNÁNDEZ VILLACRÉS GUSTAVO EDUARDO, MSC.ING. MARTÍNEZ CAMPAÑA CARLOS EDUARDO, MSC
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quienes suscriben, legalmente CERTIFICAN QUE: El presente trabajo de titulación realizado por el Señor Manuel Rodrigo Aguilar Carrión, estudiante del programa de Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, con el tema “PLAN DE SEGURIDAD INFORMÁTICA BASADO EN ESTÁNDAR ISO-IEC 27001 PARA PROTEGER LA INFORMACIÓN Y ACTIVOS DEL GAD CANTONAL DE PASTAZA” ha sido prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa pertinente de la Universidad Regional Autónoma de los Andes – UNIANDES, por lo que aprueba su presentación.
Ambato, Junio de 2017
Ing. Gustavo Eduardo Fernández V., Msc. TUTOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Manuel Rodrigo Aguilar Carrión, estudiante del programa de Maestría en Informática Empresarial, Facultad de Sistemas Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de investigación, previo a la obtención del grado académico de MAGISTER EN INFORMÁTICA EMPRESARIAL, son absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de mi exclusiva responsabilidad.
Ambato, marzo de 2017
Ing. Manuel Rodrigo Aguilar Carrión CI: 1600148991
DERECHOS DE AUTOR
Yo, AGUILAR CARRIÓN MANUEL RODRIGO, declaro que conozco y acepto la disposición constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la UNIANDES, está constituido por: La propiedad intelectual sobre la Investigaciones, trabajos científicos o técnicos, proyectos profesionales y consultoría que se realice en la Universidad o por cuenta de ella.
Ambato, Junio del 2017
Ing. Manuel Rodrigo Aguilar Carrión CI: 1600148991
DEDICATORIA
A Dios, por darme la oportunidad de vivir y por estar conmigo en cada paso que doy, por fortalecer mi corazón e iluminar mi mente y por haber puesto en mi camino a aquellas personas que han sido mi soporte y compañía durante todo el periodo de estudio.
A mi esposa Amparito, a mi hija Daniela Lizeth por darme aliento y soportarme largos días fuera de casa, y demostrarme que siempre han creído en mí, porque siempre me apoyaron para continuar en esta nueva tarea.
A todos aquellos familiares y amigos que siempre estuvieron a mí lado durante estos dos años de estudio
RESUMEN
La información que forma parte de un gobierno seccional, se la considera el activo más valioso para su correcto desempeño dentro de la política pública y su relación con los conciudadanos en este nuevo siglo, porque ésta será elemento fundamental en el cumplimiento de sus objetivos, es por ello que, resguardar todo tipo de Información de cualquier posibilidad de alteración, mal uso, pérdida, entre otros muchos eventos, puede significar un respaldo para el normal desarrollo de sus actividades.
Sin embargo, pese a la falta de conocimiento sobre cómo protegerla adecuadamente, o debido a la complejidad de las normas internacionales que indican los procedimientos para lograr un adecuado nivel de protección, muchas organizaciones, en especial el sector de los Gobiernos Locales, no logra alcanzar este objetivo. Por lo tanto, este estudio propone una forma de aplicar la seguridad de la información para la gestión de riesgo informático aplicable al entorno de pequeñas y medianas empresas como a los gobiernos seccionales del Ecuador. Para el efecto, se utilizó la herramienta proporcionada por Microsoft denominada Herramienta de Evaluación de Seguridad de Microsoft (MSAT).
Esta herramienta es internacionalmente utilizada en la gestión del riesgo de la información, concomitante a los parámetros de referencia de la norma: ISO 27001, 27002 y 27005, con los informes resultantes de esta herramienta, se generó el Plan de Seguridad de la Información, que deberá ser aplicado para mejorar los controles internos del Gobierno Seccional en lo relacionado a seguridad informática.
ABSTRACT
Information which takes part in sectional governments has been considered as an essential asset on due diligence from public politics since it has got a close relationship with citizen actions of this new century due to the fact that the mentioned information can be safeguarded. Unfortunately, data misusage, data alteration, and information loss cause problems when gathering data.
Despite, the lack of knowledge on protecting information as well as applying international regulations in terms of achieving proper levels of accomplishment, many organizations such as public institutions (Gobiernos Locales) have not reached their objectives. Therefore, the objective of this research is to apply information safeguard on computing risk management at small and medium-sized enterprises (Gobiernos Seccionales del Ecuador). It is important to mention that Microsoft safety assessment (MSAT) was used as a tool in the current research.
In Addition, this tool is used on information risk management processes; it has also a relationship with ISO 27001, 27002 and 27005. Consequently, an Information Safeguard Plan was created in order to improve internal environments at Gobiernos Seccionales.
ÍNDICE GENERAL
PORTADA
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN DECLARACIÓN DE AUTENTICIDAD
DERECHOS DE AUTOR DEDICATORIA
RESUMEN ABSTRACT
ÍNDICE GENERAL ÍNDICE DE TABLAS. ÍNDICE DE FIGURAS. Antecedentes
Introducción ... 1
Antecedentes de la Investigación ... 1
Situación Problémica ... 1
Problema científico ... 3
Delimitación del problema. ... 3
Objeto de investigación. ... 3
Campo de acción. ... 3
Identificación de la Línea de Investigación. ... 3
Objetivo ... 3
General ... 3
Específicos ... 4
Idea a Defender ... 4
Justificación del tema ... 4
CAPITULO I. ... 6
MARCO TEÓRICO ... 6
1.1.1. Importancia de la Seguridad Informática ... 7
1.1.2. Los Principios de la Seguridad Informática ... 7
1.1.2.1. Confidencialidad ... 8
1.1.2.2. Autenticación ... 8
1.1.2.3. Integridad ... 8
1.1.2.4. Disponibilidad ... 8
1.1.3. Áreas que se debe proteger. ... 9
1.1.4. Política De Seguridad Informática ... 10
1.1.4.1. Elementos de una Política de Seguridad Informática ... 10
1.1.5. Plan de Seguridad Informática ... 12
1.1.6. Amenaza a la seguridad de la Información. ... 12
1.1.6.1. Tipos de Amenazas. ... 12
1.1.7. Sistema de Gestión de la Seguridad de la Información. ... 13
1.1.8. Estándares de la Gestión de la Seguridad de la Información. ... 14
1.1.8.1. Normas ISO ... 14
1.1.8.2. Organización ISO ... 14
1.1.8.3. Serie ISO 27000 ... 14
1.1.8.4. Evolución de la norma ISO 27000 ... 15
1.1.8.5. Estándar de Seguridad ISO 27001 ... 17
1.1.9. Seguridad de la información ... 17
1.1.9.1. Necesita seguridad de la información ... 18
1.1.10. Políticas de seguridad. ... 18
1.1.11. Seguridad de la información. ... 19
1.1.11.1. Amenazas a la Información ... 20
1.1.12. Activos. ... 21
1.1.13. Utilización adecuada de los activos ... 22
1.1.14. Seguridad de los activos. ... 23
1.1.15.1. Amenazas Físicas. ... 24
1.1.15.2. Amenazas Lógicas: ... 24
1.1.15.3. Amenazas provocadas por las personas. ... 25
1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad Informática. ... 26
1.1.16.1 Plan... 27
1.1.16.2 Desarrollar ... 27
1.1.16.3 Check/Evaluación ... 27
1.1.16.4 El Apalancamiento/Set/Ley ... 27
1.1.17 La norma ISO EIC 27005. ... 28
1.1.18 Objeto Y Campo De Aplicación ... 28
1.1.19 Términos Y Definiciones ... 28
1.1.20 Estructura De Esta Norma ... 30
1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática. ... 32
1.3 Valoración crítica. ... 32
1.4 Conclusiones parciales del capítulo. ... 33
CAPITULO II ... 34
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA ... 34
2.1 Caracterización del sector. ... 34
2.1.1 GAD Cantonal de Pastaza. ... 34
2.1.1.1 Organigrama Estructural ... 34
2.1.1.2 Políticas Generales de Acción... 35
2.1.1.3 Objetivos Estratégicos ... 36
2.1.1.4 MISIÓN ... 37
2.1.1.5 VISIÓN ... 37
2.2 Descripción del Procedimiento Metodológico. ... 38
2.2.1 Modalidad de Investigación ... 38
2.2.1.2 Cuantitativa. ... 38
2.2.2 Tipos de Investigación. ... 39
2.2.2.1 Investigación Bibliográfica ... 39
2.2.2.2 Investigación de Campo ... 39
2.2.3 Métodos de Investigación ... 39
2.2.3.1 Método Inductivo/Deductivo ... 39
2.2.4 Técnicas de Investigación ... 39
2.2.4.1 La Entrevista. ... 39
2.2.4.2 La Encuesta ... 39
2.2.4.3 Observación ... 40
2.2.5 Instrumentos de Investigación. ... 40
2.2.6 Población y Muestra. ... 40
2.2.6.1 Población. ... 40
2.2.6.2 Muestra. ... 41
2.2.7 Análisis e Interpretación de Resultados. ... 42
2.2.8 Análisis de la entrevista al Ing. Adrián Pacheco Director del departamento de TIC´s………… ... 52
2.3 Propuesta del investigador ... 53
2.4 Conclusiones parciales del capítulo. ... 53
CAPITULO III. ... 54
MARCO PROPOSITIVO ... 54
3.1 Tema ... 54
3.1.1 Objetivos de la Propuesta. ... 54
3.1.1.1 Objetivo General. ... 54
3.1.1.2 Objetivos Específicos. ... 54
3.1.1.3 Descripción de la Propuesta ... 54
3.2 Dominios de la norma ISO 27001. ... 55
3.3.1 Análisis FODA de la Institución. ... 56
3.3.2 Evaluación de la Situación Actual... 58
3.3.3 Evaluación general ... 59
3.3.4 Perfil de riesgos para la empresa vs Índice de defensa en profundidad Informe resumido ... 59
3.3.4.1 Madurez de la seguridad ... 59
3.3.5 Iniciativas de seguridad ... 62
3.4 PDCA Ciclo Miding ... 63
3.4.1 Alcance del SGSI: ... 63
3.4.2 Políticas Generales ... 64
3.4.3 Metodología para evaluación de riesgos ... 65
3.4.4 Identificación y evaluación de activos. ... 65
3.4.4.1 Identificación de activos informáticos ... 65
3.4.5 Identificación de amenazas a los activos de información. ... 76
3.4.6 Ponderación del Impacto de materializarse la amenaza. ... 78
3.4.6.1 Tasación de la probabilidad de que la amenaza explote la vulnerabilidad. ... 81
3.4.7 Análisis y Evaluación del Riesgo ... 81
3.4.7.1 Opciones para el tratamiento del riesgo ... 85
3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza ... 100
3.5 Conclusiones parciales del capítulo. ... 112
CONCLUSIONES GENERALES... 113
RECOMENDACIONES ... 113
ÍNDICE DE TABLAS.
Tabla 1 Población de la Investigación. ... 40
Tabla 2 Encuesta a Empleados. ... 42
Tabla 3 Encuesta a Empleados. ... 43
Tabla 4 Encuesta a Empleados. ... 44
Tabla 5 Encuesta a Empleados. ... 45
Tabla 6 Encuesta a Empleados. ... 46
Tabla 7 Encuesta a Empleados. ... 47
Tabla 8 Encuesta a Empleados. ... 48
Tabla 9 Encuesta a Empleados. ... 49
Tabla 10 Encuesta a Empleados. ... 50
Tabla 11 Encuesta a Empleados. ... 51
Tabla 12 Matriz del análisis FODA ... 57
Tabla 13 Iniciativas de seguridad ... 62
Tabla 14 Servidor Administrativo. ... 66
Tabla 15 Servidor de Sistema de Información Geográfica. ... 67
Tabla 16 Servidor web... 68
Tabla 17 Detalle servidor de archivos. ... 69
Tabla 18 Equipos en las Diferentes Oficinas y Departamentos ... 70
Tabla 19 Tiempo de vida de los equipos ... 71
Tabla 20 Equipos Conectados y fuera de Red. ... 72
Tabla 21 Caracteristica de Procesadores ... 73
Tabla 22 Equipos en res y fuera de red ... 74
Tabla 23. Ponderación para valorar los activos ... 75
Tabla 24. Tasación de activos ... 75
Tabla 25 Amenazas de los activos ... 77
Tabla 26 Ponderación del impacto en caso de materializarse la amenaza ... 78
ÍNDICE DE FIGURAS.
Figura 1 Familia de la serie 27000 ... 15
Figura 2 Objetivos de la Norma ISO 27001 ... 17
Figura 3 Ciclo de vida de los documentos. ... 19
Figura 4 Ataques contra la seguridad de la información ... 20
Figura 5 Modelo PHVA aplicado a los procesos del SGSI ... 26
Figura 6 Proceso de gestión del riesgo en la seguridad de la información ... 31
Figura 7 Orgánico Estructural ... 34
Figura 8 Encuesta a empleados ... 42
Figura 9 Encuesta a empleados ... 43
Figura 10 Encuesta a empleados. ... 44
Figura 11 Encuesta a empleados ... 45
Figura 12 Encuesta a empleados. ... 46
Figura 13 Encuesta a empleados. ... 47
Figura 14 Encuesta a empleados ... 48
Figura 15 Encuesta a empleados ... 49
Figura 16 Encuesta a empleados ... 50
Figura 17 Encuesta a empleados ... 51
Figura 18 Distribución de defensa de riesgos ... 59
Figura 19 Tarjeta de puntuación de la evaluación de riesgos herramienta MSAT .. 61
Figura 20 PDCA Proceso Miding. ... 63
Figura 21 Tiempo de vida de los equipos. ... 71
Figura 22 Equipos en res y fuera de red ... 72
Figura 23 Equipos en res y fuera de red ... 73
1 Introducción
Antecedentes
de la InvestigaciónEn una investigación preliminar, llevada a cabo en el repositorio de Uniandes se ha encontrado el trabajo de titulación a nivel de grado del Sr. Rigoberto Gonzalo Ñauta Benavides presentada en el año 2015 en Uniandes Ibarra con el tema “Plan de seguridad Informática para mejorar la gestión de la Información en la Sociedad financiera VISIONFUND-FODEMI de la ciudad de Ibarra” en la cual se hace énfasis en la importancia de la seguridad para prevenir cualquier daño accidental o intencionado, como también estar preparados para una auditoría informática, considerando el estándar ISO-IEC 27002 como norma establecida para implementar un plan de seguridad informática.
Investigando en los repositorios digitales de varias universidades del país, se ha encontrado la tesis de la Sta. Verónica Chamorro Alvarado, presentada en enero del 2013, en la Escuela Politécnica Nacional con el tema “Plan de seguridad de la información basada en el estándar ISO 13335 aplicada a un caso de estudio”, este plan está orientado a brindar seguridad a la información de una empresa mediana de desarrollo de software.
Revisando la información de repositorios de universidades de otros países se ha encontrado la tesis para obtener el grado de Magister de la Sta. Ing. Arelys Altagracia López M. presentada en junio del 2011 en la UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO” de Barquisimeto, Venezuela con el tema “Diseño de un Plan de Gestión de Seguridad de la Información, caso: Dirección de Informática de la Alcaldía del Municipio Jiménez del Estado Lara”, en el cual se puntualiza la importancia de diseñar un Plan de Gestión de Seguridad de la Información dentro del marco de la norma ISO/IEC 27000, conllevando a la confidencialidad, accesibilidad y seguridad de la información.
Situación Problémica
2
todo cliente la rapidez en la atención es un sinónimo de buen servicio. Para lo cual, las empresas e instituciones públicas deben contar con instrumentos que mejoran la gestión dentro de la institución, permitiendo dar solución inmediata a una situación emergente presentada.
El cantón Pastaza se halla ubicado en la zona central de la región oriental del país, en la cual se encuentra el Gobierno Autónomo Descentralizado Cantonal de Pastaza que ofrece servicios públicos a la ciudadanía de la cabecera cantonal y parroquias aledañas, el cual tienen la predisposición de mejorar el nivel de vida de los conciudadanos según lo estipula el Suma Kausay.
En varias de las visitas realizadas a la Institución, se han podido apreciar algunas dificultades relacionadas con el área Informática como, por ejemplo:
• La conectividad a los diferentes dispositivos Wireless se saturan con prontitud debido a la cantidad de conexiones que utilizan los usuarios internos con los diferentes dispositivos.
• La Institución ha aplicado limitadas normas inherentes a la seguridad informática, esto nos determina que poco se hace por implementar políticas que permitan proteger los datos y la información.
• Los equipos informáticos de la institución están siendo utilizados por los diferentes departamentos sin el debido control de los funcionarios de las TIC´s.
• No cuenta con planes de contingencia para eventuales problemas surgidos de las situaciones climatológicas, las cuales afectan directamente a los equipos tecnológicos.
• En diferentes ocasiones se ha suspendidos los servicios de atención al público debido al corte de energía eléctrica.
• Las políticas de seguridad implementadas por el departamento de TIC´s no se rigen a ningún estándar.
3
De todo lo mencionado anteriormente se puede deducir que, la institución tiene un problema relacionado con el área tecnológica en lo que tiene que ver con la seguridad de la información y activos que se utilizan y almacenan en la institución, la cual incide directamente en el servicio brindado a la ciudadanía y en el aprovechamiento adecuado de estos recursos.
Problema científico
¿Cómo proteger los activos y la información del GAD cantonal de Pastaza?
Delimitación del problema.
El presente trabajo de investigación se lo realizó en Puyo provincia de Pastaza, en el GAD cantonal de Pastaza con la información obtenida del año 2016-2017.
Objeto de investigación.
Procesos Informáticos.
Campo de acción.
Seguridad Informática
Identificación de la Línea de Investigación.
Tecnologías de Información y Comunicaciones.
Objetivo
General
4 Específicos
• Fundamentar científicamente el plan de seguridad informática, sus herramientas y la protección de activos e información.
• Diagnosticar la situación actual del área informática del GAD Cantonal de Pastaza para conocer sus fortalezas y debilidades.
• Delinear un plan de seguridad que permitan mejorar la seguridad de activos e información del GAD cantonal de Pastaza.
Idea a Defender
Con el diseño de un plan de seguridad informática se incentivará al mejoramiento de la seguridad de activos e información del GAD cantonal de Pastaza.
Justificación del tema
La seguridad informática ha tomado gran importancia a nivel mundial, su impulso se debe a la necesidad de proteger la información y los activos de las empresas instaurando políticas precisas y claras para establecer los requisitos de seguridad que se deben mantener, desplegando un conjunto de normas que sinteticen como se gestionara la protección del negocio.
El continuo adelanto y desarrollo de las tecnologías de información y comunicación, que han venido a la par con los ataques cibernéticos en las organizaciones, ponen de manifiesto la necesidad de adoptar políticas que permitan resguardas a las empresas e instituciones ante las amenazas a los activos informáticos y especialmente a su información.
5
Tomando en consideración estos elementos, se hace imprescindible diseñar un sistema de seguridad Informática que permita salvaguardar los recursos informáticos del GAD Cantonal de Pastaza, ayudando de esta manera a la organización a cumplir sus objetivos y garantizar la confidencialidad, integridad y disponibilidad de la información.
6 CAPITULO I.
MARCO TEÓRICO
1.1 Origen y evolución de la Seguridad Informática.
La seguridad informática toma vigencia desde el aparecimiento de las redes de comunicaciones, en principio como una forma de tener confidencialidad e integridad de la información que se transmite en las redes. En el año 1972 comienza a aparecer de repente en las pantallas de las computadoras IBM 360 un mensaje: “I’m a creeper… catch me if you can” (Soy una enredadera. ¡Atrápame si puedes!), al principio dejo desconcertadas a las personas que trabajaban y se lo llego a considerar como el primer programa introducido ilegalmente en los equipos, este hecho se le atribuye a Robert Thomas Morris y posteriormente se lo conoció como virus informático; este mítico virus dio origen lógicamente al primer programa antivirus llamado “Reaper” (segadora) (Maldonado, 2006) , con el cual se logró erradicar el código de los equipos informáticos.
En las últimas décadas, con el avance vertiginoso de las tecnologías de la información y la comunicación, ha aumentado considerablemente la inseguridad de la información, donde las empresas públicas y privadas invierten grandes cantidades de dinero en investigaciones de seguridad para proteger la razón de ser, que es su información.
“Todas las empresas grandes y pequeñas realizan una inversión en seguridad. Según la última encuesta del CSI/FBI realizada en EE.UU. sobre seguridad y crimen informático correspondiente al año 2003, el 99% de las empresas utilizan antivirus y el 98% también cortafuegos. Por tanto, todas son conscientes de amenazas frente a las que hay que protegerse” (Alvares & Perez, 2004).
“El objetivo de la seguridad informática será mantener la Integridad, Disponibilidad, Privacidad (sus aspectos fundamentales), Control y Autenticidad de la información manejada por computadora” (Aldegani, 2004).
7
contenida en los sistemas. La seguridad informática también ha pasado de utilizarse para preservar los datos clasificados del gobierno en cuestiones militares a tener una aplicación de dimensiones inimaginables y crecientes que incluyen transacciones financieras, acuerdos contractuales, información personal, archivos médicos, negocios por internet y más. (Areito, 2008)
1.1.1. Importancia de la Seguridad Informática
“La Seguridad Informática es un concepto de Seguridad que nació en la época en la que no existían las redes de banda ancha, los teléfonos móviles o los servicios de internet como las redes sociales o las tiendas virtuales. Es por ello que la Seguridad Informática suele hacer un especial énfasis en proteger los sistemas, es decir, los ordenadores, las redes y el resto de infraestructuras de nuestra organización. La Seguridad Informática es un concepto fundamentalmente técnico” (Nando, Seguridad en Sistemas de Seguridad, 2010).
Según la Norma UNE-ISO/IEC 27001, “Un Sistema de Gestión de Seguridad de la Información (SGSI), es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore”.
Si a la seguridad Informática la miramos desde esta óptica, comprenderemos la gran importancia que tiene dentro de cualquier empresa, sea esta pública o privada, porque a través de ella podemos resguardar lo más preciado y vulnerable que es su información.
1.1.2. Los Principios de la Seguridad Informática
8
Para poder alcanzar las actividades descritas en el apartado anterior, dentro del proceso de gestión de la seguridad informática es necesario contemplar una serie de servicios o funciones de seguridad de la información:
1.1.2.1. Confidencialidad
Se trata de la cualidad que debe poseer un documento o archivo para que este sólo se entienda de manera comprensible o sea leído por la persona o sistema que esté autorizado.
De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y sólo si puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de un mensaje esto evita que exista una intercepción de éste y que pueda ser leído por una persona no autorizada (Costas Santos, 2014)
1.1.2.2. Autenticación
La autenticación es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice. Aplicado a la verificación de la identidad de un usuario, la autenticación se produce cuando el usuario puede aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado. La autenticación en los sistemas informáticos habitualmente se realiza mediante un usuario o login y una contraseña o pasword (Costas Santos, 2014).
1.1.2.3. Integridad
La Integridad de la Información es la característica que hace posible garantizar su exactitud y confiabilidad, velando por que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, de modo autorizado y mediante procesos autorizados. A su vez, es de suma importancia que esta modificación sea registrada para posteriores controles o auditorias (Nando, 2010).
1.1.2.4. Disponibilidad
9
Pensemos, por ejemplo, en la importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a distancia. Constantemente está recibiendo consultas, descargas a su sitio web, etc., por lo que siempre deberá estar disponible para sus usuarios (Ruano, Saiz Herrero, Fernández Álvarez, & Fernández Aranda, 2010).
1.1.3. Áreas que se debe proteger.
Las principales áreas que se deben proteger según las necesidades son las siguientes:
• Política de Seguridad de la Información.
• Organización de la Seguridad de la Información.
• Gestión de Activos de Información.
• Seguridad de los Recursos Humanos.
• Seguridad Física y Ambiental.
• Gestión de las Comunicaciones y Operaciones.
• Control de Accesos.
• Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
• Gestión de Incidentes en la Seguridad de la Información.
• Gestión de Continuidad del Negocio.
10 1.1.4. Política De Seguridad Informática
Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación, en relación con los recursos y servicios informáticos de la organización. Estas a su vez establecen las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes datos, sin importar el origen de estos (Arrieta, 2011).
1.1.4.1. Elementos de una Política de Seguridad Informática
Entre los elementos de las políticas de seguridad se puede enumerar los siguientes:
a. Alcance y ámbito de la Política de Seguridad: En este punto se debe detallar si la política es global, para toda la empresa, o si está delimitada para determinados departamentos o personas.
b. Responsabilidades y Organización de la Seguridad de la Información: Se establecerá una estructura de responsables para la toma de decisiones respecto a inversiones, seguimiento y aseguramiento del cumplimiento de lo recogido en las políticas. Así mismo, puede establecerse la composición de un Comité para la toma de decisiones conjuntas en materia de seguridad.
c. Control de la información: Se indicarán las pautas para asegurar el buen uso de la información. Una buena práctica puede ser establecer una guía de clasificación de la información en función de su contenido y/o grado de confidencialidad. A cada nivel (por ejemplo: información de uso interno, confidencial, reservada), se le dotarán de diferentes medidas de seguridad en cada una de sus fases de tratamiento (creación, distribución, eliminación…)
11
cedidos al empleado para su desarrollo de actividades en la empresa y la eliminación de autorizaciones de acceso.
e. Seguridad física: Hablar de seguridad informática no es solo hablar de un hacker o de un PC que ha perdido los datos, debemos de tomar medidas para asegurar que, físicamente, nuestros equipos de procesamiento de datos están protegidos contra fuego, inundación o robo.
f. Seguridad en las comunicaciones: Se trata de un apartado meramente técnico y orientado al equipamiento informático, en el deberá recogerse los mecanismos para el control de código malicioso (por ejemplo, los PCs deberán contar con un antivirus actualizado), la estrategia a seguir para la gestión de copias de seguridad o el uso que los empleados pueden hacer de Internet o del correo electrónico corporativo.
g. Control de los accesos a los sistemas de información: Este punto debiera especificar cómo debe ser la política de asignación de privilegios y gestión de usuarios orientado a evitar el acceso no autorizado a los sistemas y activos de información. No todos los empleados deben tener acceso a toda la información y, este es el punto, en el que debe especificarse cuál es el principio en el que se basará la asignación de privilegios. Un ejemplo es establecer los mismos en base al principio de “necesidad de conocer”, es decir, nadie debe tener acceso a aquello que no deba conocer para ejecutar su actividad.
h. Mantenimiento de las aplicaciones: Deberá recoger cómo será la estrategia para mantener las aplicaciones, como se asegurará que los PCs son actualizados, con qué periodicidad, entre otros.
12 1.1.5. Plan de Seguridad Informática
Para el autor (García, 2011), es el manual elemental que determina los principios organizativos y funcionales de la actividad de Seguridad Informática en una organización y captara abiertamente las políticas de seguridad y las responsabilidades de cada uno de los involucrados en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo, al ser una política de seguridad esta debe guiar en las decisiones que se toman en relación con la seguridad informática, también se necesita la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera relevante.
1.1.6. Amenaza a la seguridad de la Información.
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información. Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas de ingeniería social, la falta de capacitación y concientización a los usuarios en el uso de la tecnología, y sobre todo la creciente rentabilidad de los ataques, han provocado en los últimos años el aumento de amenazas intencionales (Universidad Nacional de Luján, s/f).
1.1.6.1. Tipos de Amenazas.
Las amenazas a un sistema informático pueden provenir desde un hacker remoto que entra en nuestro sistema con un troyano, pasando por un programa descargado gratuito que nos ayuda a gestionar nuestras fotos, pero que supone una puerta trasera a nuestro sistema permitiendo la entrada a espías, hasta la entrada no deseada al sistema mediante una contraseña de bajo nivel de seguridad. Se pueden clasificar por tanto en amenazas provocadas por:
13
• Amenazas lógicas.
• Amenazas físicas (Costas Santos, 2014).
Personas. No podernos engañarnos: la mayoría de ataques a nuestro sistema van a provenir en última instancia de personas que, intencionada o inintencionadamente, pueden causarnos enormes pérdidas. Generalmente se tratará de piratas que intentan conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) de los riesgos lógicos de los que hablaremos a continuación, especialmente agujeros del software
Amenazas lógicas. Bajo la etiqueta de “amenazas lógicas” encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello (softwaremalicioso, también conocido como malware) o simplemente por error (bugso agujeros).
Amenazas físicas. Algunas de las amenazas físicas que pueden afectar a la seguridad y por tanto al funcionamiento de los sistemas son: Robos, sabotajes, destrucción de sistemas. Cortes, subidas y bajadas bruscas de suministro eléctrico. Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas que afecten al comportamiento normal de los componentes informáticos.
Las catástrofes (naturales o artificiales). Son la amenaza menos probable contra los entornos habituales: simplemente por su ubicación geográfica. Un subgrupo de las catástrofes es el denominado de riesgos poco probables. Como ejemplos de catástrofes hablaremos de terremotos, inundaciones, incendios, humo o atentados de baja magnitud (más comunes de lo que podamos pensar); obviamente los riesgos poco probables los trataremos como algo anecdótico. (Costas Santos, 2014)
1.1.7. Sistema de Gestión de la Seguridad de la Información.
14
1.1.8. Estándares de la Gestión de la Seguridad de la Información.
1.1.8.1. Normas ISO
Las normas ISO surgen para armonizar la gran cantidad de normas sobre gestión de calidad y seguridad que estaban apareciendo en distintos países y organizaciones del mundo.
Los organismos de normalización de cada país producen normas que resultan del consenso entre representantes del estado y de la industria. De la misma manera las normas ISO surgen del consenso entre representantes de los distintos países integrados a la I.S.O.
Existen grandes familias de normas ISO: Las de la familia 9000, las de la familia 14000 y las de la familia 27000 además de otras complementarias (ISO 8402; ISO 10011).
1.1.8.2. Organización ISO
Existe la organización ISO, que significa International Organization for Standardization (Organización Internacional para la Estandarización), constituye una organización no gubernamental organizada como una Federación Mundial de Organismos Nacionales de Normalización, creada en 1947, con sede en Ginebra (Suiza). Reúne las entidades máximas de normalización de cada país.
1.1.8.3. Serie ISO 27000
La ISO 27000 es realmente una serie de estándares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001. Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
15
un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
1.1.8.4. Evolución de la norma ISO 27000
Según el grafico siguiente, se puede definir cada una de las normas según el objetivo que enfoca de la siguiente manera:
Figura 1 Familia de la serie 27000 Fuente: (Ocampo & Gaviria, 2014)
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. La ISO 27001:2005 proporciona un modelo sólido para implementar los principios y lineamientos de un SGSI.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a Seguridad de la Información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
16
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de Sistemas de Gestión de Seguridad de la Información. Es decir, ayuda a interpretar los criterios de acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no es una norma de acreditación por sí misma.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para Telecomunicaciones.
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.
ISO 27034: Consiste en una guía de seguridad en aplicaciones.
17 1.1.8.5. Estándar de Seguridad ISO 27001
La norma ISO 27001 le brinda a la Organización los objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio establecidos (Descalzo, 2014)
Figura 2 Objetivos de la Norma ISO 27001 Fuente: (Descalzo, 2014)
1.1.9. Seguridad de la información
La información es un activo vital que, como otros activos comerciales importantes, es esencial para el negocio de una organización y en consecuencia necesita ser protegido adecuadamente. En el curso de los años la globalización ha originado que la información fluya más rápido de tal manera que para ello debe haber interconectividad entre las organizaciones a grandes distancias.
18 1.1.9.1. Necesita seguridad de la información
Definir, lograr, mantener y mejorar la seguridad de la información puede ser esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de daño como código malicioso, pirateo computarizado o negación de ataques de servicio se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas.
La seguridad de la información es importante tanto para negocios del sector público como privado, y para proteger las infraestructuras críticas. En ambos sectores, la seguridad de la información funcionará como un facilitador; para evitar o reducir los riesgos relevantes.
Existen tres fuentes principales de requerimientos de seguridad:
• Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.
• Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que tienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores de servicio; y su ambiente socio-cultural.
• Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información que una organización ha desarrollado para sostener sus operaciones.
(Universidad de EL Salvador, 2009) 1.1.10. Políticas de seguridad.
Su principal objetivo es recoger las directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la organización y a la legislación vigente. Además, debe establecer las pautas de actuación en el caso de incidentes y definir las responsabilidades.
19
explicar qué es lo que está permitido y qué no; determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan; e identificar los riesgos a los que está sometida la organización. (INTECO, s/f)
1.1.11. Seguridad de la información.
En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su perdida y modificación no autorizado. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo, existen más requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución o persona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño material o inmaterial (Erb, 2009).
“La información es la sangre de todas las organizaciones y puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo electrónico, mostrada en películas o hablada en una conversación. En el ambiente de negocio competitivo de hoy, tal información está constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas, externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al almacenar, transmitir y recuperar la información, hemos abierto un gran número y tipo creciente de amenazas” (Nando, 2010)
20 1.1.11.1. Amenazas a la Información.
La disciplina de la seguridad informática no dista mucho de la seguridad tradicional. De igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo digital también existen: alguien puede substraer dinero de cuentas de Internet, se puede robar documentación importante a través de la red o se puede tirar abajo un servidor Web de comercio electrónico. En suma, existen múltiples delitos dentro del mundo digital, todos ellos ligados a la información que se aloja en sistemas o que se transmite por las redes de comunicaciones.
Las amenazas a la información en una red pueden caracterizarse modelando el sistema como un flujo de información desde una fuente, como por ejemplo un archivo o una región de la memoria principal, a un destino, como por ejemplo otro archivo o un usuario. (Alvares & Perez, 2004)
Figura 4 Ataques contra la seguridad de la información Fuente: (Alvares & Perez, 2004)
La definición de cada uno de los ataques se los determina como:
a Flujo normal: La información sigue el curso sin ninguna dificultad.
21
elemento hardware, como un disco duro, el corte de una línea de comunicación o la caída del servidor Web de comercio electrónico.
c Intercepción de información: Los sistemas informáticos albergan a menudo información sensible, que sólo debería ser accedida por un grupo autorizado de personas. Si alguien ajeno a este grupo accede a dichos datos se estará incurriendo en un ataque contra la confidencialidad de la información. Como ejemplos se pueden citar el pinchar una línea para hacerse con datos que circulen por la red, la copia ilícita de ficheros o programas secretos o privados o incluso la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en una comunicación observada ilegalmente.
d Modificación de información: La alteración de información dentro de los sistemas o mientras viaja por redes de comunicaciones representa un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, manipular un programa para que funcione de forma diferente o modificar el contenido de mensajes que están siendo transferidos por la red.
e Creación de información: Si se inyecta información nueva que antes no existía dentro de un sistema se está atentando contra la seguridad del mismo. Por ejemplo, la creación de una cuenta inexistente en un banco de Internet o la adición de registros a una base de datos.
(Alvares & Perez, 2004) 1.1.12. Activos.
Los activos dentro de la seguridad informática son todos los bienes que tiene o posee una institución o empresa y se los puede agrupar de acuerdo a su grupo o característica común.
Sabemos que existen un gran número de activos dentro del área de seguridad informática, entre los que podemos incluir:
22
• Activos de software: software de aplicación, software del sistema, herramientas y programas de desarrollo, etc.
• Activos físicos: equipo de cálculo, equipo de comunicación, etc.
• Servicios: servicios de cálculo y comunicaciones, generales, etc.
• Personas
• Activos intangibles: reputación, imagen de la organización, etc. (ISOTools Excellence, 2015)
1.1.13. Utilización adecuada de los activos
Para la utilización adecuada de los activos se debe tomar en cuenta lo que manifiesta (ISOTools Excellence, 2015)
Se debe identificar una regla general, que sea aceptable, para que los activos asociados a las instalaciones del procesamiento de la información sean identificados, documentados e implantados.
Todos los trabajadores, internos o externos, y las terceras personas implicadas tienen que seguir ciertas reglas para utilizar de forma aceptable la información y los activos que se encuentran asociados a las instalaciones del procesamiento de información, en las que se incluyen:
• Las reglas mediante correo electrónico y la utilización de internet.
• Guías de uso de aparatos móviles, especialmente fuera de las instalaciones de la organización.
23
Aunque la responsabilidad debe mantenerse en el propietario asignado al activo de información, el o las personas encargadas de monitorear los activos son los corresponsables en vigilar dichos activos.
1.1.14. Seguridad de los activos.
Los Elementos de información son todos los componentes que contienen, mantienen o guardan información. Dependiendo de la literatura, también son llamados Activos o Recursos.
Son estos los Activos de una institución que tenemos que proteger, para evitar su perdida, modificación o el uso inadecuado de su contenido, para impedir daños para nuestra institución y las personas presentes en la información.
Generalmente se distingue y dividen en tres grupos.
• Datos e Información: son los datos e informaciones en sí mismo
• Sistemas e Infraestructura: son los componentes donde se mantienen o guardan los datos e informaciones
• Personal: son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles. (Erb, 2009).
1.1.15. Clasificación de seguridad
Se pueden hacer diversas clasificaciones de la seguridad informática en función de distintos criterios.
Según el activo a proteger, es decir, todos los recursos del sistema de información necesarios para el correcto funcionamiento de la actividad de la empresa, distinguiremos entre seguridad física y lógica; en dependencia del momento preciso de actuación, entre seguridad pasiva y activa, según se actúe antes de producirse el percance, de tal manera que se eviten los daños en el sistema, o después del percance, minimizando los efectos ocasionados por el mismo (Ruano, Saiz Herrero, Fernández Álvarez, & Fernández Aranda, 2010).
24
amenazas pueden afectar a qué activos. Una vez estudiado, estimar cuán vulnerable es el activo a la materialización de la amenaza indicando cuán perjudicado resultaría el valor del activo, así como la frecuencia estimada de la misma, cuán probable o improbable es que se materialice la amenaza.
1.1.15.1. Amenazas Físicas.
Las amenazas físicas y ambientales afectan a las instalaciones y/o el hardware contenido en ellas, y suponen el primer nivel de seguridad a proteger para garantizar la disponibilidad de los sistemas y estos pueden ser:
• Robos, sabotajes, destrucción de sistemas. Cortes, subidas y bajadas bruscas de suministro eléctrico.
• Condiciones atmosféricas adversas. Humedad relativa excesiva o temperaturas extremas.
• Catástrofes (naturales o artificiales) terremotos, inundaciones, incendios, humo o atentados de baja magnitud, entre otros.
1.1.15.2. Amenazas Lógicas:
Una amenaza lógica es software o código que de una forma u otra pueden afectar o dañar a nuestro sistema, creados de forma intencionada para ello, o simplemente por error (bugs o agujeros). Entre otros encontramos:
Herramientas de seguridad: existen herramientas para detectar y solucionar fallos en los sistemas, pero se pueden utilizar para detectar esos mismos fallos y aprovecharlos para atacarlos. Rogueware o falsos programas de seguridad: también denominados Rogue, FakeAVs, Badware, Scareware, son falsos antivirus o antiespías.
Puertas traseras o backdoors: los programadores insertan “atajos” de acceso o administración, en ocasiones con poco nivel de seguridad.
25
Gusano o Worm: programa capaz de ejecutarse y propagarse por sí mismo a través de redes, normalmente mediante correo electrónico basura o spam.
Troyanos o Caballos de Troya: aplicaciones con instrucciones escondidas de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario.
Programas conejo o bacterias: programas que no hacen nada útil, simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco...), produciendo una negación de servicio.
Canales cubiertos: canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema; un proceso transmite información a otros que no están autorizados a leer dicha información. (Costas Santos, 2014).
1.1.15.3. Amenazas provocadas por las personas.
La mayoría de ataques a nuestro sistema provienen de personas que, intencionadamente o no, pueden causarnos enormes pérdidas. Generalmente se tratará de piratas informáticos, ciberdelincuentes, hackers o crackers, que intentan conseguir el máximo nivel de privilegio posible aprovechando algunas vulnerabilidades del software. Se dividen en dos grandes grupos:
Los atacantes pasivos que fisgonean el sistema, pero no lo modifican o destruyen, y los activos que dañan el objetivo atacado, o lo modifican en su favor.
Atacantes internos: el propio personal puede producir un ataque intencionado, nadie mejor conoce los sistemas y sus debilidades, o un accidente causados por un error o por desconocimiento de las normas básicas de seguridad. Por otro lado ex-empleados o personas descontentas con la organización pueden aprovechar debilidades que conocen o incluso realizar chantajes.
26
apasionan el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. Suele distinguirse entre aquellos cuyas acciones son de carácter constructivo, informativo o solo intrusivo, o que además lo son de tipo destructivo, catalogados respectivamente de hackers y crackers, o white hat y black hat. Recientemente ha aparecido el término, más neutro, grey hat (sombrero gris) que ocasionalmente traspasan los límites entre ambas categorías. Otros términos y categorías son:
Pirata informático, ciberdelincuente o delincuente informático: dedicadas a realizar actos delictivos y perseguidos legalmente: como la copia y distribución de software, música o películas de forma ilegal, fraudes bancarios o estafas económicas.
Newbie: Hacker novato. Wannaber: Les interesa el tema de hacking pero que por estar empezando no son reconocidos por la élite.
Lammer o Script-Kiddies: Pretenden hacer hacking sin tener conocimientos de informática. Sólo se dedican a buscar y descargar programas de hacking para luego ejecutarlos.
Luser (looser + user): Es un término utilizado por hackers para referirse a los usuarios comunes, de manera despectiva y como burla.
1.1.16. Procesos metodológicos de un Sistema de Gestión de la Seguridad Informática.
La metodología PDCA, Planificación – Ejecución – Evaluación – Actuación (en inglés, PDCA, de Plan-Do-Check-Act) es una secuencia cíclica de actuaciones que se hacen a lo largo del ciclo de vida de un servicio o producto para planificar su calidad, en particular en la mejora continua (Métodoss, s/f).
27
Al PDCA se lo puede describir de la siguiente manera:
1.1.16.1 Plan
Establecer los objetivos y procesosnecesarios para conseguir resultados de acuerdo con los proyectados (objetivos o metas). Para determinar el resultado de la confianza, la integridad y exactitud de la especificación es también una parte de la mejora almacenada cuando puede comenzar a pequeña escala para probar los posibles efectos.
1.1.16.2 Desarrollar
Implementar el plan, ejecutar el proceso, hacer el producto. Recopilar datos para el mapeo y análisis de los próximos pasos “salida” y “set”. Por lo que este paso genera mucho cuidado porque no puede ser la causa raíz.
1.1.16.3 Check/Evaluación
Los resultados del estudio (medidos y recopilados en el paso anterior “Reproducir”) y compararlo con los resultados esperados (objetivos establecidos en el “plan” paso) para determinar cualquier diferencia.
Búsqueda de desviaciones sobre todo en la aplicación del plan y también mira la adecuación y el alcance del plan permite la ejecución de la etapa siguiente, es decir, “ACT”.
Gráficos de datos pueden hacer esto mucho más fácil ver tendencias a lo largo de varios ciclos PDCA y así convertir los datos recogidos en información. La información es lo que necesita para el siguiente paso “Ajuste”.
1.1.16.4 El Apalancamiento/Set/Ley
28
Cuando un pase a través de estos cuatro pasos no da lugar a la necesidad de alguna mejora, el método al que se aplica PDCA puede ser refinado con mayor detalle en la siguiente iteración del ciclo, o la atención debe ser colocado en una forma diferente en cualquier etapa del proceso. (Métodoss, s/f)
1.1.17 La norma ISO EIC 27005.
Esta norma proporciona directrices para la gestión del riesgo en la seguridad de la información en una organización, dando soporte particular a los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Sin embargo, esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información. Corresponde a la organización definir su enfoque para la gestión del riesgo, dependiendo por ejemplo del alcance de su SGSI, del contexto de la gestión del riesgo o del sector industrial. Se puede utilizar una variedad de metodologías existentes bajo la estructura descrita en esta norma para implementar los requisitos de un sistema de gestión de seguridad de la información.
1.1.18 Objeto Y Campo De Aplicación
Esta norma brinda soporte a los conceptos generales que se especifican en la norma ISO/IEC 27001 y está diseñada para facilitar la implementación satisfactoria de la seguridad de la información con base en el enfoque de gestión del riesgo.
El conocimiento de los conceptos, modelos, procesos y terminologías que se describen en la norma ISO/IEC 27001 y en ISO/IEC 27002 es importante para la total comprensión de esta norma.
Esta norma se aplica a todos los tipos de organizaciones (por ejemplo empresas comerciales, agencias del gobierno, organizaciones sin ánimo de lucro) que pretenden gestionar los riesgos que podrían comprometer la seguridad de la información de la organización.
(Osorio, 2013)
1.1.19 Términos Y Definiciones
29
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación.
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación.
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo.
Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia de un riesgo.
30 1.1.20 Estructura De Esta Norma
Esta norma contiene la descripción de los procesos para la gestión del riesgo en la seguridad de la información y sus actividades.
La gestión del riesgo en la seguridad de la información debería ser un proceso continuo. Tal proceso debería establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones. La gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo que se debería hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable.
La gestión del riesgo en la seguridad de la información debería contribuir a:
• la identificación de los riesgos;
• La evaluación de los riesgos en términos de sus consecuencias para el negocio y la probabilidad de su ocurrencia;
• La comunicación y entendimiento de la probabilidad y las consecuencias de estos riesgos;
• El establecimiento del orden de prioridad para el tratamiento de los riesgos;
• La priorización de las acciones para reducir la ocurrencia de los riesgos;
• La participación de los interesados cuando se toman las decisiones sobre gestión del riesgo y mantenerlos informados sobre el estado de la gestión del riesgo;
• La eficacia del monitoreo del tratamiento del riesgo;
• El monitoreo y revisión con regularidad del riesgo y los procesos de gestión de riesgos;
• La captura de información para mejorar el enfoque de la gestión de riesgos;
31
Figura 6 Proceso de gestión del riesgo en la seguridad de la información Fuente: Proyecto de norma técnica colombiana.
Como se observa en el gráfico N° 6 el proceso de gestión del riesgo en la seguridad de la información puede ser iterativo para las actividades de valoración del riesgo y/o de tratamiento del riesgo. Un enfoque iterativo para realizar la valoración del riesgo puede incrementar la profundidad y el detalle de la valoración en cada iteración. El enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos altos se valoren de manera correcta.
32
1.2 Análisis de las distintas posiciones teóricas de la Seguridad Informática.
La seguridad informática es el área de las tecnologías de Información y comunicación
que se encarga de la protección de la infraestructura y equipos tecnológicos y
fundamentalmente la información como el activo más importante de las empresas o
instituciones públicas o privadas. Para ello existen una serie de estándares, normas,
métodos, reglas, herramientas con el afán de contrarrestar o minimizar los posibles
riesgos a la infraestructura tecnológica o a la información.
La seguridad informática es la disciplina que se encarga de analizar y diseñar las
normas, procedimientos, métodos y técnicas encaminadas a lograr que los activos e
información se mantengan seguros y confiables.
En importante determinar que la seguridad informática no es un producto, es un proceso que se va desarrollando de acuerdo a las necesidades y características de las empresas o instituciones en las que se van implementando, teniendo como objetivo principal precautelar lo más importante que tiene una institución o empresa que es su información.
1.3 Valoración crítica.
Una vez realizada la investigación bibliográfica correspondiente del Marco Teórico, en lo referente a seguridad informática, las amenazas, las vulnerabilidades, los tipos de ataques y a lo que se comprometen diariamente los activos informáticos de cualquier organización, es imprescindible la implementación de un Sistema de Gestión de Seguridad Informática (SGSI), teniendo en cuenta para ello los lineamientos establecidos en los estándares y normativas internacionales cuya valides está sustentada rigurosamente por los organismos y organizaciones creadas para el efecto.
33 1.4 Conclusiones parciales del capítulo.
• A través del marco teórico como elemento fundamental de ampliar los conocimientos de las temáticas que tiene el objeto de investigación, permite tener una perspectiva más extensa y poder enfocarse de mejor manera para dar una solución más adecuada a los impases suscitados.
• El proceso de la seguridad informática debe ser considerado como imprescindible en la gestión de las empresas, ya que de este depende la confidencialidad, integridad y disponibilidad de los datos.
• Es importante considerar tanto la seguridad lógica como física para prever a través de gestión de riesgos y vulnerabilidad de los activos la recuperación inmediata mitigando los daños que se puedan producir en los mismos.
34 CAPITULO II
MARCO METODOLÓGICO Y PLANTEAMIENTO DE LA PROPUESTA.
2.1 Caracterización del sector.
2.1.1 GAD Cantonal de Pastaza.
El presente trabajo de investigación se realizó en la Provincia de Pastaza, Cantón Pastaza, Parroquia Puyo, en el Gobierno Autónomo descentralizado del Cantón Pastaza (GAD-CP), haciendo de este estudio el punto de partida donde se determina la necesidad de diseñar un plan de Seguridad Informática basado en la Norma IEC-ISO 27001 para mitigar y contrarrestar cualquier acto en contra de la información y los activos de la institución, sea este realizado intencionalmente o no en forma interna o externa.
2.1.1.1 Organigrama Estructural
El GAD Cantonal de Pastaza cuenta con el siguiente Organigrama Estructural.
35 2.1.1.2 Políticas Generales de Acción
El GAD Cantonal de Pastaza desarrollará las siguientes políticas de acción durante el presente ejercicio financiero 2017:
• Actualización y expedición de los catastros de contribuyentes de los tributos y rentas municipales que determina la ley.
• Alcanzar el mayor rendimiento de las fuentes de financiamiento, procurar a la vez el ordenamiento racional y lógico del costo municipal.
• Procurar el ordenamiento urbanístico del cantón, mejorar e incrementar los servicios públicos de la comunidad, a la vez que mantener en buen estado los existentes.
• Revisar y actualizar lo que corresponde a la Legislación Tributaria Municipal.
• Continuar en forma permanente y vigilada la actualización computarizada de los diferentes sistemas, especialmente en lo que se refiere al predial urbano a base de las inscripciones y los permisos de demolición y/o construcción de edificaciones.
• Propender a mejorar el sistema económico - administrativo del Cabildo para fortificar las finanzas y alcanzar una eficiente racionalización administrativa.
• Organización actualizada de los registros tributarios que estará bajo la supervisión y responsabilidad de la Sección de Rentas.
• Puesta en marcha de los procesos de recuperación de cartera vencida efectivizar el cobro de los títulos pendientes, actividades que se desarrollarán con la supervisión del director Financiero y bajo la responsabilidad de la Tesorería Municipal.
