UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS
ANDES
“UNIANDES”
MAESTRIA EN INFORMATICA EMPRESARIAL
TESIS PREVIA A LA OBTENCION DEL GRADO ACADEMICO DE
MAGISTER EN INFORMATICA EMPRESARIAL
TEMA:
MODELO DE GESTIÓN DE LA SEGURIDAD INFORMÁTICA PARA GARANTIZAR LA CONTINUIDAD DEL NEGOCIO EN LA CACPE PASTAZA
AUTOR:
DIANA PATRICIA MACANCELA MACERO ASESOR:
ING. FREDDY PATRICIO BAÑO M.Sc
CERTIFICACIÓN DEL TUTOR
El suscrito Ing. Freddy Baño asesor del Trabajo de Tesis cuyo tema es “MODELO DE
GESTIÓN DE LA SEGURIDAD INFORMÁTICA PARA GARANTIZAR LA CONTINUIDAD DEL NEGOCIO EN LA CACPE PASTAZA”, realizado por DIANA PATRICIA MACANCELA MACERO, certifico que he revisado el trabajo y que cumple con los requisitos estipulados en el Reglamento Interno de la Universidad, y por tanto considero
aprobado y autorizo la presentación del mismo para el trámite respectivo.
DECLARACIÓN DE AUTORÍA
Yo, Diana Patricia Macancela Macero, declaro bajo juramento que el trabajo aquí descrito es de
mi autoría; que no ha sido previamente para ningún grado o calificación profesional; y, que he
consultado las referencias bibliográficas que se incluyen en este documento.
A través de la presente declaración cedo mis derechos de propiedad intelectual correspondientes
a este trabajo, a la Universidad Regional Autónoma de los Andes, según lo establecido por la
Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente.
DEDICATORIA
Dedico este trabajo de tesis a las personas que estuvieron en cada momento apoyándome y
motivándome para el desarrollo de la misma, a mi esposo, padres y hermanas, quienes fueron el
pilar fundamental para finalizar con éxito esta meta propuesta.
AGRADECIMIENTO
Mi agradecimiento total primeramente a Dios por iluminar mi mente durante todo el proceso de
desarrollo de la tesis, al Ing. Freddy Baño por su excelente guía en el avance de este trabajo, a
la CACPE Pastaza por dar apertura a esta investigación y colaborar en la ejecución de la misma
y a todas las personas que de una u otra forma fueron un apoyo fundamental para culminar este
trabajo.
ÍNDICE GENERAL
CERTIFICACIÓN DEL TUTOR
DECLARACIÓN DE AUTORIA
DEDICATORIA
AGRADECIMIENTO
ÍNDICE GENERAL
ÍNDICE DE CUADROS
ÍNDICE DE GRÁFICOS
RESUMEN EJECUTIVO
EXECUTIVE SUMMARY
INTRODUCCIÓN ... 1
ANTECEDENTES DE LA INVESTIGACIÓN... 1
PROBLEMA CIENTÍFICO ... 3
DELIMITACIÓN DEL PROBLEMA ... 3
ESPACIO – TIEMPO ... 4
OBJETO DE INVESTIGACIÓN Y CAMPO DE ACCIÓN ... 4
IDENTIFICACIÓN DE LA LÍNEA DE INVESTIGACIÓN. ... 4
OBJETIVO GENERAL ... 4
OBJETIVOS ESPECÍFICOS ... 4
IDEA A DEFENDER ... 5
JUSTIFICACIÓN DEL TEMA ... 5
METODOLOGÍA ... 6
RESUMEN DE LA ESTRUCTURA DE LA TESIS ... 6
APORTE TEÓRICO, SIGNIFICACIÓN PRÁCTICA Y NOVEDAD CIENTÍFICA ... 7
CAPÍTULO I ... 9
1. MARCO TEÓRICO ... 9
1.1. GESTIÓN ... 9
1.1.2. Funciones de la Gestión ... 9
1.1.3. Tipos de Gestión ... 10
1.1.4. Elementos de Gestión ... 11
1.2. MODELO DE GESTIÓN ... 12
1.2.1. Definición ... 12
1.2.2. Modelo de Gestión y Paradigma Administrativo ... 13
1.2.3. Tipos de Modelo de Gestión ... 14
1.2.3.1. Modelo de Gestión Normativa ... 14
1.2.3.2. Modelo de Gestión Prospectivo ... 14
1.2.3.3. Modelo de Gestión de la Calidad... 15
1.2.3.4. Modelo de Gestión de Reingeniería ... 16
1.2.3.5. Modelo de Gestión Comunicacional ... 17
1.2.3.6. Modelo de Gestión Estratégico ... 18
1.2.4. Prácticas principales de un Modelo de Gestión ... 18
1.3. SEGURIDAD INFORMÁTICA ... 19
1.3.1. Definición de Seguridad Informática... 19
1.3.2. Objetivos de la Seguridad Informática ... 20
1.3.3. Tipos de seguridad ... 22
1.3.4. Mecanismos de Seguridad ... 23
1.3.5. Sistema de Información ... 24
1.3.5.1. Activos ... 25
1.3.5.2. Amenazas ... 27
1.3.5.3. Riesgos ... 28
1.3.5.4. Vulnerabilidades ... 28
1.3.5.5. Ataques ... 28
1.3.5.6. Impactos ... 29
1.3.6. Seguridad física ... 29
1.3.6.1. Protección del hardware ... 30
1.3.7. Seguridad lógica ... 33
1.3.8. Estándares de Seguridad Informática ... 38
1.3.8.1. ISO/IEC ... 39
1.3.8.2. COBIT ... 41
1.3.8.3. ISACA/ITGI ... 41
1.3.8.4. ITIL ... 42
1.3.8.5. NIST ... 42
1.3.8.6. UIT ... 43
1.3.9. Políticas de Seguridad ... 43
1.3.9.1. Definición ... 43
1.3.9.2. Elementos asociados a las políticas de seguridad ... 44
1.3.9.4. Porque pueden fallar las políticas de seguridad ... 45
1.3.9.5. Cómo se debe realizar y que debe contener una política de seguridad ... 45
1.3.9.6. Ciclo de vida de las políticas de seguridad ... 47
1.4. ADMINISTRACIÓN DE RIESGOS ... 47
1.4.1. Definición de Riesgo ... 47
1.4.2. Definición de Administración de Riesgos ... 48
1.5. ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO ... 50
1.5.1. Definición ... 50
1.5.2. Importancia de la Continuidad del Negocio en las empresas ... 50
1.5.3. Aspectos de la Administración de la Continuidad del Negocio ... 51
1.6. CONCLUSIONES PARCIALES DEL CAPÍTULO ... 51
CAPITULO II ... 53
2. MARCO METODOLÓGICO ... 53
2.1. CATEGORIZACIÓN DEL SECTOR ... 53
2.2. DESCRIPCIÓN DEL PROCEDIMIENTO METODOLÓGICO ... 54
2.2.1. Método ... 54
2.2.2. Modalidad ... 54
2.2.3. Tipo de investigación ... 55
2.2.4. Técnicas e instrumentos ... 56
2.2.5. Población y muestra ... 56
2.2.6. Análisis e interpretación de resultados ... 57
2.3. PROPUESTA DE INVESTIGACIÓN ... 73
2.4. CONCLUSIONES PARCIALES DEL CAPITULO ... 74
CAPITULO III ... 75
3. MARCO PROPOSITIVO ... 75
3.1. TEMA ... 75
3.2. OBJETIVOS ... 75
3.3. DESARROLLO DE LA PROPUESTA ... 76
3.3.1. Descripción de la Propuesta... 76
3.3.2. Estructura del Modelo de Gestión de Seguridad Informática ... 76
3.3.3. Identificación de Factores Críticos de la Cooperativa ... 78
3.3.3.1. Procesos críticos del negocio ... 78
3.3.3.2. Servicios y Recursos Informáticos de la Institución ... 80
3.3.3.3. Soporte de los Recursos y Servicios Informáticos en los Procesos Críticos ... 83
3.3.4. Analisis de Riesgos ... 85
3.3.4.2. Valoración Probabilidad ... 90
3.3.4.3. Valoración Impacto ... 90
3.3.4.4. Efectividad del Control ... 92
3.3.4.5. Determinación del Riesgo Inherente ... 93
3.3.4.6. Determinación del Riesgo Residual... 93
3.3.4.7. Nivel de Exposición de los Riesgos de Seguridad Informática identificados ... 94
3.3.4.8. Tratamiento del Riesgo ... 99
3.3.4.9. Planes de Acción como estrategia para la Continuidad del Negocio ... 100
CONCLUSIONES ... 105
RECOMENDACIONES ... 106
ÍNDICE DE CUADROS
Cuadro 1: Personal CACPE Pastaza ... 56
Cuadro 2: Tabulación Pregunta 1 ... 57
Cuadro 3: Tabulación Pregunta 2 ... 58
Cuadro 4: Tabulación Pregunta 3 ... 59
Cuadro 5: Tabulación Pregunta 4 ... 60
Cuadro 6: Tabulación Pregunta 5 ... 61
Cuadro 7: Tabulación Pregunta 6 ... 62
Cuadro 8: Tabulación Pregunta 7 ... 63
Cuadro 9: Tabulación Pregunta 8 ... 64
Cuadro 10: Tabulación Pregunta 9 ... 65
Cuadro 11: Tabulación Pregunta 10 ... 66
Cuadro 12: Tabulación Pregunta 11 ... 67
Cuadro 13: Tabulación Pregunta 12 ... 68
Cuadro 14: Procesos Críticos Operativos ... 79
Cuadro 15: Procesos Críticos de Apoyo ... 79
Cuadro 16: Servicios y Recursos Informáticos... 82
Cuadro 17: Servicios y Recursos Informáticos utilizados para soportar los Procesos Críticos ... 84
Cuadro 18: Riesgos de SI en los Procesos y su implicancia en la Continuidad del Negocio ... 87
Cuadro 19: Riesgos de SI en el Personal y su implicancia en la Continuidad del Negocio ... 87
Cuadro 20: Riesgos de SI en la Tecnología y su implicancia en la Continuidad del Negocio ... 89
Cuadro 21: Riesgos de SI en los Eventos Externos y su implicancia en la Continuidad del Negocio ... 89
Cuadro 22: Valoración de la Probabilidad... 90
Cuadro 23: Valoración del Impacto ... 90
Cuadro 24: Impacto en los Factores Críticos ... 91
Cuadro 25: Impacto Estratégico u Operacional ... 92
Cuadro 26: Impacto Financiero ... 92
Cuadro 27: Efectividad del Control ... 93
Cuadro 28: Nivel de Exposición al Riesgo ... 94
Cuadro 29: Valoración de los Eventos de Riesgos de SI. Parte 1 ... 95
Cuadro 30: Valoración de los Eventos de Riesgos de SI. Parte 2 ... 96
Cuadro 31: Valoración de los Eventos de Riesgos de SI. Parte 3 ... 97
Cuadro 32: Valoración de los Eventos de Riesgos de SI. Parte 4 ... 98
Cuadro 33: Plan de acción- Respaldos de información crítica de la Cooperativa. ... 100
Cuadro 34: Plan de acción- Pruebas al Plan de Contingencia... 101
Cuadro 35: Plan de acción- Control de claves de Usuario ... 101
Cuadro 36: Plan de acción- Seguridad de la información crítica de la Cooperativa. ... 102
Cuadro 37: Plan de acción- Mantenimiento preventivo del hardware de la Cooperativa... 102
Cuadro 39: Plan de acción- Funcionamiento Continuo ... 103
ÍNDICE DE GRÁFICOS
Gráfico 1:Modelo de Gestión Prospectivo ... 15
Gráfico 2: Modelo de Gestión de la Calidad ... 16
Gráfico 3: Modelo de Gestión Comunicacional ... 18
Gráfico 4: Seguridad de la Información como proceso y no como producto ... 20
Gráfico 5: Mecanismos de Seguridad ... 24
Gráfico 6: Sistema de Información... 25
Gráfico 7: Enfoque de los controles de la norma ISO 27001 ... 40
Gráfico 8: Ciclo de vida de las políticas de Seguridad ... 47
Gráfico 9: Proceso de Gestión de Riesgos ... 49
Gráfico 10: Ciclo de la Gestión de Riesgos ... 49
Gráfico 11: Representación Pregunta 1 ... 58
Gráfico 12: Representación Pregunta 2 ... 59
Gráfico 13: Representación Pregunta 3 ... 60
Gráfico 14: Representación Pregunta 4 ... 61
Gráfico 15: Representación Pregunta 5 ... 62
Gráfico 16: Representación Pregunta 6 ... 63
Gráfico 17: Representación Pregunta 7 ... 64
Gráfico 18: Representación Pregunta 8 ... 65
Gráfico 19: Representación Pregunta 9 ... 66
Gráfico 20: Representación Pregunta 10 ... 67
Gráfico 21: Representación Pregunta 11 ... 68
Gráfico 22: Representación Pregunta 12 ... 69
Gráfico 23: Estructura del Modelo de Seguridad Informática ... 77
RESUMEN EJECUTIVO
Las empresas consideran que poseen sistemas de seguridad informática eficientes y eficaces
para proteger y asegurar la información; establecen mecanismos de control, pero los aplican
solo cuando aparecen los incidentes de seguridad; actuando de forma reactiva, sin tener un
enfoque claro y bien estructurado de un modelo para gestionar la seguridad informática. Por ello
se requiere diseñar un modelo de gestión que permita asegurar la información y la continuidad
de las operaciones de manera proactiva y estar preparados ante posibles eventos de seguridad
que puedan ocasionar la interrupción del negocio.
La metodología de investigación utilizada para el desarrollo de esta tesis fue la investigación de
campo y exploratoria, así también se aplicaron encuestas y entrevistas a los diferentes actores
durante el despliegue de la investigación, lo cual permitió recoger la información necesaria para
diseñar como solución un Modelo de Gestión de la Seguridad Informática en la CACPE Pastaza
para garantizar la continuidad del negocio.
La línea de investigación en la que se enmarca el presente proyecto de tesis es la Tecnología de
la Información y Comunicación, específicamente en lo que a Seguridad Informática se refiere.
Una vez concluida esta investigación, se logró elaborar un Modelo de Gestión de Seguridad
Informática, que está basado en el análisis de riesgos, y el cual permitirá la continuidad del
EXECUTIVE SUMMARY
The companies considered than they have systems of informatic security efficient and effective
to protect and secure information; establish control mechanisms, but they apply only when
security incidents occur; acting reactively, without having a clear focus and well structured of a
model to manage information security. Thus is required designing a management model than
allows secure information and the continuity of operations proactively and be prepared before
possible security events that could cause business interruption.
The research methodology used for the development of this thesis it was field research and
exploration, so too were applied surveys and interviews to the different actors during
deployment of the investigation, which allowed collect the necessary information to design as
solution a Management model of the Informatic security in the CACPE Pastaza for to guarantee
the business continuity.
The line of research that is part of this thesis project is the Information Technology and Communication specifically as to Informatic security refers.
Once this research, it managed to develop a management model of Informatic Security, which
it is based on risk analysis, and which will allow business continuity based on action plans
1
INTRODUCCIÓN
Antecedentes de la Investigación
Según (Adrián Palma, 2013), las organizaciones han entendido que su activo más valioso
después del recurso humano es la información, la cual está destinada a entender los mercados
en los que compiten, conocer a sus consumidores, socios de negocio y así prever las tendencias
de la industria o analizar las posibilidades de invertir en nuevos mercados o sectores, y es ahí
en donde surge la necesidad de enfocar sus esfuerzos de protección en el análisis y monitoreo
en tiempo real de las amenazas a la Confidencialidad, Integridad y Disponibilidad de la
información, para buscar riesgos más allá de los límites de su infraestructura tecnológica.
Según el portal Bureau Veritas, en su artículo Seguridad de la Información y Continuidad del
Negocio, menciona lo siguiente, “la dependencia de la sociedad actual con las tecnologías de la
información y las comunicaciones (TIC) es indiscutible. Las transacciones comerciales, los
procesos de producción, la prestación de servicios y el bienestar de los ciudadanos exigen
infraestructuras, procesos y productos tecnológicos fiables, predecibles y eficientes. La
consolidación del sector TIC como uno de los motores fundamentales para el desarrollo
económico global es indiscutible, teniendo como principios básicos la innovación constante, la
búsqueda de la eficiencia y la aplicación de modelos de gestión de la seguridad informática que
permitan analizar los riesgos del entorno y mejorar de forma continua los procesos
operacionales más críticos, asegurando la continuidad del negocio.”
(Marianella Villegas, 2009), en su trabajo de tesis de la Universidad Simón Bolívar, titulado
“Modelo de Madurez de la Gestión de la Seguridad Informática en el Contexto de las
Organizaciones Inteligentes”, presenta una propuesta de un Modelo de Madurez de la Gestión
de la Seguridad Informática (MMAGSI) en el contexto de las cinco disciplinas de las
organizaciones inteligentes de Peter Senge: el dominio personal, los modelos mentales, la
visión compartida, el aprendizaje en equipo y el pensamiento sistémico. Menciona que esto
2
información en las organizaciones, además de facilitar el proceso de diagnosticar, bajo un
enfoque sistémico, cómo se encuentra hoy una organización, y abarcar todos los aspectos
involucrados en el problema.
(Raúl José Gil Fernández, 2010), en su trabajo de investigación titulado “Sistematización de la
Gestión de Riesgos de Seguridad Informática en la Red de la Universidad Centroccidental
“Lisandro Alvarado”, hace uso de la norma ISO/IEC 27001:2005 para determinar una
herramienta que le permita conocer los riesgos en su plataforma tecnológica y de esta forma
aplicar controles de seguridad, mediante un diagnóstico del proceso actual de la gestión de
riesgos de seguridad informática en la REDUCLA, también hace una identificación de los
componentes necesarios para diseñar el proceso para la sistematización de la gestión de riesgos
y finalmente la presentación del prototipo.
La seguridad informática y la continuidad del negocio son dos componentes críticos de la
estrategia futura de muchas instituciones a nivel nacional e internacional. La CACPE Pastaza
institución financiera, líder en la Amazonía, a través de la inversión en tecnología, busca obtener
mayor competitividad en el mercado, sin embargo este hecho le ha impulsado a implementar
sistemas de seguridad para salvaguardar la información en términos de confidencialidad,
integridad y disponibilidad. Los riesgos en los sistemas de seguridad de la información siempre
estarán presentes, lo que realmente reduce el impacto de estos es la correcta gestión de los
mismos, pues toda institución que desea mantener la fidelidad de sus clientes, intenta convertirse
en una institución confiable y garantizar la continuidad de su negocio ante posibles escenarios
de amenazas que pudieran presentarse.
Las instituciones financieras, por el fin que persiguen, están cada vez más expuestas a sufrir
cualquier tipo de amenazas informáticas hacia sus activos, tanto interna como externa. En
muchas ocasiones se vulnera los controles de seguridad informática implantados en las
instituciones, y es ahí cuando nos damos cuenta de la poca eficiencia en la administración de la
seguridad informática. Estos hechos en ocasiones no han sido analizados con anterioridad para
prevenir e implementar controles que garanticen que ante la presencia de un incidente, el
3
La CACPE Pastaza, como la mayoría de las empresas, se ha vuelto cada vez más dependiente
de la tecnología de la Información para manejar sus actividades de forma ágil y correcta, una de
las razones de ésta dependencia es por las exigencias de los organismos de control. La
disponibilidad de los controles en lo que respecta a seguridad informática dentro de la
cooperativa, se ha vuelto un aspecto crucial, sin embargo a pesar de la existencia de estos
controles, se han generado eventos de riesgo en la seguridad de la información, que han
vulnerado los controles existentes o en realidad no han existido controles que respondan frente
a las amenazas, causando daño, ya sea, en la integridad, confidencialidad o disponibilidad de la
información financiera, demostrando de ésta forma la deficiencia de los mecanismos de
seguridad implantados dentro de la institución.
Estos riesgos de seguridad de la información representan una amenaza considerable para la
cooperativa debido a la posibilidad de pérdida financiera o daños, la pérdida de los servicios de
red esenciales, o la pérdida de reputación y confianza de los clientes. La ausencia de la
identificación de los requerimientos de seguridad de la información no permite determinar si los
controles actualmente implantados son eficientes y garantizan que los riesgos no se materialicen
o en caso de materializarse su impacto no afecte de manera significativa la continuidad de las
operaciones del negocio.
Problema Científico
¿Las vulnerabilidades que presentan los sistemas de seguridad de información, así como los
eventos de riegos en la seguridad informática en la CACPE Pastaza pueden afectar la
continuidad del negocio?
Delimitación del Problema
Geográfica
La presente investigación se realiza en la CACPE Pastaza, institución financiera ubicada en la
4
problemas relacionados con la Seguridad Informática, los mismos que puedan afectar la
continuidad de las operaciones del negocio.
Espacio – Tiempo
La presente investigación se la realizará en un periodo de seis meses.
Objeto de Investigación y Campo de Acción
Objeto de estudio
Modelo de Gestión
Campo de acción
Seguridad Informática
Identificación de la línea de investigación.
Tecnologías de la Información y la Comunicación
Objetivo General
Proponer un Modelo de Gestión de Seguridad Informática para garantizar la continuidad del
negocio en la CACPE Pastaza.
Objetivos Específicos
Fundamentar científicamente modelos de gestión y los factores de seguridad informática
5
Realizar una investigación de campo sobre los controles de seguridad informática y la
gestión realizada sobre los mismos, en la CACPE Pastaza.
Diseñar un modelo de gestión de la seguridad informática basado en el análisis de riesgos
para garantizar la continuidad de negocio de la CACPE Pastaza.
Validar la propuesta en base a criterio de expertos.
Idea a Defender
Con la implementación de un Modelo de Gestión de la Seguridad Informática en la CACPE
Pastaza se establecerán controles de seguridad informática, que reduzcan los incidentes de
seguridad y las vulnerabilidades de los sistemas en base a un análisis de riesgos, garantizando
la continuidad del negocio.
Justificación del Tema
Las instituciones financieras hoy en día hacen uso de la Tecnología Informática. La información
y los procesos que la apoyan, los sistemas y las redes, son bienes importantes de éstas entidades,
por lo que requieren ser protegidos convenientemente frente a amenazas que pongan en peligro
la disponibilidad, la integridad, la confidencialidad de la información, la estabilidad de los
procesos, los niveles de competitividad, la imagen corporativa, la rentabilidad y la legalidad,
aspectos necesarios para alcanzar los objetivos de la organización.
La información financiera de la CACPE Pastaza generalmente es procesada, intercambiada y
conservada en redes de datos, equipos informáticos y soportes de almacenamiento, que son parte
de lo que se conoce como sistemas informáticos. Los sistemas informáticos están sometidos a
potenciales amenazas de seguridad de diversa índole, originadas tanto desde dentro de la propia
organización, como desde fuera, procedentes de una amplia variedad de fuentes, a los riesgos
físicos, entre ellos, accesos no autorizados a la información, catástrofes naturales, sabotajes,
incendios, y accidentes; hay que sumarle los riesgos lógicos como contaminación con
programas malignos, ataques de denegación de servicio y otros. Fuentes de daños como códigos
6
comunes, ambiciosas y sofisticadas. Es posible disminuir el nivel de riesgo de forma
significativa y con ello la materialización de las amenazas y la reducción del impacto sin
necesidad de realizar elevadas inversiones ni contar con una gran estructura de personal.
Para ello se hace necesario conocer y gestionar de manera ordenada los riesgos a los que está
sometido el sistema informático, considerar procedimientos adecuados y planificar e implantar
los controles de seguridad que correspondan. La elevación de los niveles de seguridad
informática se consigue implantando un conjunto de controles, que incluyan políticas, procesos,
procedimientos, estructuras organizativas y funciones de hardware y software, los que deben
ser establecidos, implementados, supervisados y mejorados cuando sea necesario para cumplir
los objetivos específicos de seguridad de la organización. De esta forma se garantiza la
continuidad de las operaciones, pudiendo dar una respuesta planificada ante cualquier fallo de
seguridad, lo que repercutirá positivamente en el cuidado de su imagen y reputación como
empresa, además de mitigar el impacto financiero y de pérdida de información crítica durante
estos incidentes.
Metodología
La presente investigación estará regida bajo la metodología cualitativa, en donde, a través del
análisis de los controles existentes se determinará el nivel del riesgo y definirán estrategias de
mejora.
Mediante la aplicación de las listas de verificación, se realizará una evaluación cuantitativa, la
misma que permitirá determinar el cumplimiento de los controles necesarios para garantizar la
continuidad del negocio.
Resumen de la Estructura de la Tesis
Capítulo I.- Marco Teórico: En éste capítulo, mediante la búsqueda, selección, análisis y sistematización de información, se realizó el marco teórico en el que se fundamenta
7
la continuidad del negocio. Además se considera el análisis de riesgos y la continuidad del
negocio dentro de la estructura de la Seguridad Informática.
Capítulo II.- Marco Metodológico: En éste capítulo se describió el marco metodológico, en donde se contempla la categorización del sector, el método utilizado, la modalidad, tipo de
investigación, los instrumentos de investigación. Además se determina la población y la muestra
sobre la cual se va a realizar la investigación y el análisis e interpretación de los resultados.
Capítulo III.- Marco Propositivo: En éste capítulo se propone la solución al problema de investigación planteado, Dicha solución es un modelo de gestión de seguridad informática que
permite minimizar el impacto que pueda generar un incidente de seguridad, este modelo
contempla el análisis de riesgos de seguridad informática que puedan afectar los procesos
críticos de la cooperativa, así como los servicios y recursos informáticos críticos que han sido
identificados. En base a los resultados obtenidos del análisis de riesgos se establece planes de
acción, como estrategia, para garantizar la continuidad de las operaciones en la CACPE Pastaza.
Aporte Teórico, Significación Práctica y Novedad Científica
Aporte teórico
La presente investigación servirá como referente para determinar un modelo de gestión de
la seguridad informática, en base a un análisis de riesgos en los sistemas de seguridad
informática y evaluar el impacto que causan en la continuidad de las operaciones del
negocio.
Significación práctica
La actual investigación sobre un Modelo de Gestión de la Seguridad Informática, podrá ser
aplicada en el área de sistemas de las instituciones financieras, pues a través de dicho modelo
se permitirá llevar una mejor administración de los controles implementados, de las políticas
8
las cooperativas, quienes podrán determinar estrategias para mitigar los riesgos de
seguridad, de manera que no afecten la continuidad del negocio.
Novedad
La novedad sería que a través de esta investigación se podrá generar un modelo de gestión
de la Seguridad Informática que garantice la continuidad del negocio, todo ello en base a
unos análisis previos de riesgos, de los controles implementados y de las políticas de
9
CAPÍTULO I
1. MARCO TEÓRICO
1.1. Gestión
1.1.1. Definición
La gestión está caracterizada por una visión más amplia de las posibilidades reales de una
organización para resolver determinada situación o arribar a un fin determinado. Puede
asumirse, como la disposición y organización de los recursos de un individuo, o grupo, para
obtener los resultados esperados. Pudiera generalizarse, también, como una forma de alinear los
esfuerzos y recursos para alcanzar un fin determinado (Barroso Héctor, 2009)
1.1.2. Funciones de la Gestión
La gestión cumple con cuatro funciones fundamentales las cuales son: (Bertha Oto, 2011)
Planificar: La primera de esas funciones es la planificación, que se utiliza para combinar los recursos con el fin de planear nuevos proyectos que puedan resultar redituables para la empresa,
en términos más específicos nos referimos a la planificación como la visualización global de
toda la empresa y su entorno correspondiente, realizando la toma de decisiones concretas que
pueden determinar el camino más directo hacia los objetivos planificados.
Organizar: La segunda función que le corresponde cumplir al concepto de gestión es la organización en donde se agruparan todos los recursos con los que la empresa cuenta, haciendo
que trabajen en conjunto, para así obtener un mayor aprovechamiento de los mismos y tener
más posibilidades de obtener resultados.
10
partir de tener el objetivo de crear un ambiente adecuado de trabajo y así aumentar la eficacia
del trabajo de los empleados aumentando las rentabilidades de la empresa.
Controlar.- El control es la función final que debe cumplir el concepto de gestión aplicado a la administración, ya que de este modo se podrá cuantificar el progreso que ha demostrado el
personal empleado en cuanto a los objetivos que les habían sido marcados desde un principio.
1.1.3. Tipos de Gestión
La gestión como tal se divide en diferentes tipos de conformidad con la actividad y el objetivo
que persigan cada una de ellas, es por ello que a continuación se citan los tipos de gestión más
importantes: (Tovar Johanna, 2008)
Gestión Tecnológica.- Es el proceso de adopción y ejecución de decisiones sobre las políticas, estrategias, planes y acciones relacionadas con la creación, difusión y uso de la tecnología.
Gestión Social.- Es un proceso completo de acciones y toma de decisiones, que incluye desde el abordaje, estudio y comprensión de un problema, hasta el diseño y la puesta en práctica de
propuestas.
Gestión de Proyecto.- Es la disciplina que se encarga de organizar y de administrar los recursos de tal manera que se pueda concretar todo el trabajo requerido por un proyecto dentro del tiempo
y del presupuesto definido.
Gestión de Conocimiento.- Se trata de un concepto aplicado en las organizaciones, que se refiere a la transferencia del conocimiento y de la experiencia existente entre sus miembros.
Gestión Ambiente.- Es el conjunto de diligencias dedicadas al manejo del sistema ambiental en base al desarrollo sostenible. La gestión ambiental es la estrategia a través de la cual se
11
Gestión Administrativo.- Es uno de los temas más importantes a la hora de tener un negocio ya que de ella va depender el éxito o fracaso de la empresa.
Gestión Gerencial.- Es el conjunto de actividades orientadas a la producción de bienes (productos) o la prestación de servicios (actividades especializadas), dentro de organizaciones.
Gestión Financiera.- Se enfoca en la obtención y uso eficiente de los recursos financieros.
Gestión Pública.- No más que modalidad menos eficiente de la gestión empresarial.
Gestión Estratégica.- “La gestión estratégica es la encargada de conducir a la empresa a un futuro deseado, lo que implica que la misma debe influir directamente en el cumplimiento de
los objetivos establecidos, y esta dirección que tomará la gestión estratégica debe contar con
toda la información necesaria para que las decisiones correspondientes puedan ser tomadas
precisamente con respecto a la actitud y postura que la gestión estratégica asumirá ante cualquier
situación.”
1.1.4. Elementos de Gestión
Las entidades requieren de planificación estratégica y de parámetros e indicadores de gestión
cuyo diseño e implantación son de responsabilidad de los administradores de las entidades en
razón de su responsabilidad social de rendición de cuentas y de demostrar su gestión y sus
resultados, y la del auditor evaluar la gestión, en cuanto a las cinco “E”, las cuales son: (Bertha
Oto, 2011)
Economía: Uso oportuno de los recursos idóneos en cantidad y calidad correctas en el momento previsto, en el lugar indicado, y al precio convenido; es decir, adquisición o producción al menor
costo posible, con relación a los programas de la organización y a las condiciones y opciones
12
Eficiencia: Es la relación entre los recursos consumidos y la producción de bienes y servicios, se expresa como porcentaje comparando la relación insumo-producción con un estándar
aceptable o norma; la eficiencia aumenta en la medida en que un mayor número de unidades se
producen utilizando una cantidad de insumo.
Eficacia: Es la relación entre los servicios o productos generados y los objetivos y metas programados; es decir, entre los resultados esperados y los resultados reales de los proyectos,
programas u otras actividades; por lo que la eficacia es el grado en que una actividad o programa
alcanza sus objetivos, metas u otros efectos que se había propuesto.
Ecología: Son las condiciones, operaciones y prácticas relativas a los requisitos ambientales y su impacto, que deben ser reconocidos y evaluados en una gestión institucional, de un proyecto,
programa o actividad.
Ética: Es un elemento básico de la gestión institucional, expresada en la moral y conducta individual y grupal, de los funcionarios y empleados de una entidad, basada en sus deberes, en
su código de ética , en la leyes, en las normas constitucionales, legales y consuetudinarias
vigentes en una sociedad.
1.2. Modelo de Gestión
1.2.1. Definición
Un modelo de gestión es un modelo de toma de decisiones dentro de la organización. Es decir,
la secuencia ordenada y racional en la cual deben ser planteadas y resueltas sus decisiones.
(Federico Tobar, 2002)
Toda organización posee un modelo de gestión. Este puede ser más o menos explícito, más o
menos racional, sus prioridades pueden o no ser transparentes, pero siempre existen. Una
13
El concepto de modelo de gestión adquiere relevancia en los años ochenta. Se ha demostrado
que el éxito empresarial no respondía exclusivamente a una cuestión de liderazgo y que otras
variables pueden tener un gran peso como determinantes del éxito, entre ellas adquieren
importancia los componentes culturales de cada institución.
1.2.2. Modelo de Gestión y Paradigma Administrativo
La noción de modelo de gestión corresponde al equivalente del paradigma científico dentro de
la empresa. La noción de paradigma adopta dos sentidos diferentes: (Thomas Kuhn, 1970)
Como constelación de creencias, valores y técnicas que comparten los miembros de una
comunidad dada y un compromiso compartido de dichas creencias.
Como soluciones concretas de problemas que empleados como modelos pueden reemplazar
reglas explícitas, como base de solución de los recientes problemas de la “ciencia normal”.
La idea de paradigma incluye generalizaciones simbólicas o modelos, compromisos
compartidos con creencias, valores o predicciones y teorías sencillas, coherentes, probables y
compatibles. Se trata de una asociación de conceptos fundamentales capaces de guiar toda una
concepción sobre la vida.
La teoría de las organizaciones aún no alcanzó la fase de aquello que Kuhn llamó “Ciencia
Normal”, por lo tanto, ni siquiera para la administración en general se puede aún hablar de
paradigmas. Tal vez es por ese motivo que los administradores inventaron esa palabra de alcance
intermedio que es el “modelo de gestión”.
Así llegamos a una nueva definición de Modelo de Gestión
Se trata de la unidad mínima (irreducible) que contiene los elementos de la identidad de la
organización.
14
Expresa jerarquías
Incluye Razón e Intuición, lo formal y lo informal.
En la medida en que el modelo de gestión se consolida y se formaliza, la intuición va dejando
lugar a la razón. Las ideas se pueden operacionalizar y enunciar en la forma de hipótesis
verificables.
1.2.3. Tipos de Modelo de Gestión
Los modelos de gestión pueden ser aplicados tanto en las empresas y negocios privados como
en la administración pública. La diferencia entre la una y la otra está en que la primera hace
referencia a ganancias de la empresa por la buena aplicación del modelo y la segunda a la buena
marcha de la institución pública y al servicio que presta a la comunidad.
1.2.3.1. Modelo de Gestión Normativa
La gestión normativa se centra en la administración, no da mucha importancia al aspecto
pedagógico, determina un énfasis en la rutina que los empleados deben cumplir, los trabajos son
fragmentados y aislados porque cada quien hace las cosas por sí sólo, las estructuras
organizacionales no admiten innovaciones, las normas son las que deben cumplirse a cabalidad,
la autoridad tienen una posición, impersonal y fiscalizadora. (Ramírez Victor, 2012)
La visión normativa se constituyó como un esfuerzo mayor de introducción de la racionalidad
en el ejercicio de gobierno en sus intentos de alcanzar el futuro desde las acciones del presente.
Ella se construye a partir de técnicas de proyección de tendencias a mediano plazo y su
consecuente programación.
1.2.3.2. Modelo de Gestión Prospectivo
La visión prospectiva aparece a inicios de los 60, se establece que el futuro no se explica
15
imprimen en el presente y que, en consecuencia, lo orientan. De esta manera, el futuro es
previsible a través de la construcción de escenarios. Pero, al mismo tiempo que se conciben
múltiples escenarios del futuro, se está diciendo que el futuro es también múltiple, y por ende
incierto. Observemos que se ha pasado de un futuro único y cierto, hacia un futuro múltiple e
incierto.
Determinan que se privilegia la gestión prospectiva porque ataca las causas de los desastres o
problemas que se pueden suscitar en el futuro, y es el modo más eficiente para reducir los daños
que se podrían generar. A pesar de ello, hasta ahora la mayor parte de políticas estatales en todo
el mundo han dado más énfasis a la respuesta ante emergencias. (Ospital C y Hobert M, 2007)
El inconveniente de persistir en una política sesgada a ésta fase de la gestión de riesgos es que
favorece el asistencialismo más no el desarrollo y además sólo logra un alivio temporal.
Gráfico 1: Modelo de Gestión Prospectivo
Fuente: Ramírez, V, 2012
1.2.3.3. Modelo de Gestión de la Calidad
Un sistema de gestión de la calidad es el conjunto de normas interrelacionadas de una
organización por los cuales se administra de forma ordenada la calidad de la misma, en la
16
Esta concepción de la calidad total determina que la implementación de un excelente sistema de
calidad ayudará a la organización a cumplir con los requisitos de sus clientes en cuanto al
producto y a la prestación del servicio que ofrece a sus clientes y generar en ellos satisfacción.
Los principios del pensamiento acerca de la calidad se refieren a la planificación, control y la
mejora continua, las que permiten introducir “estratégicamente” la visión de la calidad al interior
de la organización.
Sus componentes centrales son por una parte, la identificación de los usuarios y de sus
necesidades, el diseño de normas y estándares de calidad, el diseño de procesos que conduzcan
hacia la calidad, la mejora continua de las distintas partes del proceso y la reducción de los
márgenes de error que hacen más caros los procesos. Por otra parte, se tiene la preocupación de
generar los compromisos de calidad.
Gráfico 2: Modelo de Gestión de la Calidad
Fuente: Ramírez, V, 2012
1.2.3.4. Modelo de Gestión de Reingeniería
“Reingeniería es la revisión fundamental y el rediseño radical de procesos para alcanzar mejoras
espectaculares en medidas críticas y contemporáneas de rendimiento, tales como costos, calidad,
17
para poder llegar a una definición válida de Reingeniería de Procesos debemos partir de una
situación previa en la cual hay que hacer una pregunta, ¿cómo sería la nueva empresa o
institución?
La perspectiva del modelo de la reingeniería se sitúa en el reconocimiento de contextos
cambiantes dentro de un marco de competencia global. En esta perspectiva se pueden distinguir
tres aspectos de cambio. En primer lugar, se estima que las mejoras no bastan. Para responder
de manera más adecuada a las cambiantes necesidades de los usuarios, no sólo se trata de
mejorar lo que existe, sino que se requiere un cambio cualitativo.
En esta visión de reingeniería se estima que la Calidad Total implica mejorar lo que hay,
buscando disminuir los desperdicios y mejorar los procesos existentes, en una visión de conjunto
de la organización. Reingeniería entonces es, la revisión de esos procesos, a fin de hacerlos
mucho más efectivos.
1.2.3.5. Modelo de Gestión Comunicacional
Este modelo es tomado como la comunicación organizacional que se conoce en diversas
latitudes con denominaciones diferentes: comunicación organizacional, empresarial,
institucional, organizativa, o corporativa, todas referidas al mismo fenómeno, aparece para la
segunda mitad de los años 90. Los pensadores que se encuentran en la base de esta perspectiva
son los filósofos lingüistas como L Agustín y J Searle; También están presentes otros autores
que sitúan el lenguaje en la dimensión del pensar, del poder político, social y de las emociones,
tales como Niezsche, Heidegger y Foucault.
“La comunicación organizacional o gestión comunicacional como: “Un conjunto de técnicas y
actividades encaminadas a facilitar y agilizar el flujo de mensajes que se dan entre los miembros
de la organización, entre la organización y su medio; o bien, influir en las opiniones, aptitudes
y conductas de los públicos internos y externos de la organización, todo ello con el fin de que
18
Gráfico 3: Modelo de Gestión Comunicacional
Fuente: Ramírez, V, 2012
1.2.3.6. Modelo de Gestión Estratégico
La gestión estratégica es un concepto, una filosofía, una ventaja competitiva, un modelo para
hacer negocios y que está enfocada a dar satisfacción al cliente. No sólo se refiere al producto
o servicio en sí, sino que es la mejora permanente del aspecto organizacional, gerencial;
tomando una empresa como una maquinaria, donde todos los colaboradores están
comprometidos con los objetivos.
Son las estrategias y las actitudes de la gente, más que la estructura, los organigramas y los
sistemas, la base fundamental del proceso. Son los talentos de la gente que trabaja allí, sus
aptitudes, las estrategias que utilizan para realizar el trabajo, la actitud que asumen frente a los
procesos y las habilidades que ha desarrollado la organización para resolverlos, los que dan
sentido a la gestión como Gestión Estratégica.
Los Modelos de Gestión Estratégica deben ser capaces de inducir procesos de cambio
constantemente en función de que la organización sea capaz de garantizar una posición
competitiva en su entorno. Este modelo de planificación de carácter estratégico emerge sólo
recientemente. Sus representantes son: Ackoff, Porter, Steiner.
1.2.4. Prácticas principales de un Modelo de Gestión
19
Estrategia: Es clave que la empresa se mantenga concentrada en sus estrategias de negocio y que busque un modo de propiciar un constante crecimiento del modelo central.
Ejecución: Cumplir con los objetivos establecidos y si es posible excederlos, con el fin de que sus operaciones sean ejecutadas con excelencia.
Cultura: Hay que crear una cultura que esté ampliamente inspirada en el desempeño. Las compañías y organizaciones exitosas poseen una cultura que favorece el buen desempeño sobre
cualquier otra opción y tienen el coraje de enfrentarse a quienes no se desempeñan con
excelencia.
Estructura: Hay que propiciar una estructura horizontal que le permita ser rápido y flexible. Las compañías y organizaciones exitosas son rápidas porque asumen con rapidez los cambios
necesarios para reducir la burocracia y simplificar el trabajo y establecen objetivos en marcha
para volverse más rápidas y sencillas en todo lo que hacen.
1.3. Seguridad Informática
1.3.1. Definición de Seguridad Informática
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos,
métodos, y técnicas destinados a conseguir un sistema de información seguro y confiable.
(Purificación Aguilera, 2010)
La seguridad informática es el área de la informática que se enfoca en la protección de la
infraestructura computacional y todo lo relacionado con esta, incluyendo la información. Para
ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La
seguridad de la información es una subárea de la seguridad informática que se enfoca
exclusivamente a la protección de la información, lo que comprende software, bases de datos,
20
ésta llega a manos de otras personas. Este tipo de información se conoce como información
privilegiada o confidencial. (Jenny Rezabala, Luis Solórzano, 2011)
La seguridad informática en una organización debe ser un proceso basado en un ciclo iterativo,
en el que incluyen actividades como valoración del riesgo, prevención, detección, y respuesta
ante incidentes de seguridad.
Gráfico 4: Seguridad de la Información como proceso y no como producto
Fuente: Mantilla A, 2009
1.3.2. Objetivos de la Seguridad Informática
Proteger la infraestructura computacional
El objetivo del proceso de seguridad informática es obtener un nivel aceptable de seguridad,
entendiéndose por aceptable un nivel de protección suficiente para que la mayoría de potenciales
intrusos interesados en los equipos de nuestra organización fracasen en cualquier intento de
ataque contra los mismos. Asimismo se encarga de establecer los mecanismos para registrar
cualquier evento fuera del comportamiento normal y tomar las medidas necesarias para
21
Proteger la información
La seguridad debe ser aplicada según los criterios establecidos por los administradores o
supervisores. Evitar el acceso de usuarios no permitidos. Otra función es asegurar el acceso
oportuno a la información, incluyendo respaldos de la misma en caso de que esta sufra daños o
pérdidas por accidentes, atentados o desastres. Se recomienda establecer normas que minimicen
los riesgos de pérdida de información y daños en infraestructura, ocasionados por los propios
usuarios. (Universidad de Tula, 2012)
Estas normas incluyen: horarios, restricciones, denegaciones, perfiles de usuario, contraseñas,
planes de emergencia y todo lo necesario que permita un buen nivel de:
a. Integridad
Este principio garantiza la autenticidad y precisión de la información sin importar el
momento en que esta se solicita, o dicho de otra manera, una garantía de que los datos no
han sido alterados ni destruidos de modo no autorizado.
Para evitar este tipo de riesgos se debe dotar al sistema de mecanismos que prevengan y
detecten cuando se produce un fallo de integridad y que puedan tratar y resolver los errores
que se han descubierto. (Aguilera Purificación, 2010)
b. Confidencialidad
La OCDE (Organización para la Cooperación y el Desarrollo Económico), en sus directrices
para la Seguridad de los Sistemas de Información define la confidencialidad como “el hecho
de que los datos o informaciones estén únicamente al alcance del conocimiento de las
personas, entidades o mecanismos autorizados, en los momentos autorizados y de una
22
Para prevenir errores de confidencialidad debe diseñarse un control de accesos al sistema:
quién puede acceder, a qué parte del sistema, en qué momento y para realizar qué tipo de
operaciones.
c. Disponibilidad
La información ha de estar disponible para los usuarios autorizados cuando la necesiten.
El programa MAGERIT define la disponibilidad como “grado en el que un dato esta un
lugar, momento y forma en que es requerido por el usuario autorizado. Situación que se
produce cuando se puede acceder a un sistema de información en un periodo de tiempo
considerado aceptable. La disponibilidad está asociada a la fiabilidad técnica de los
componentes del sistema de información”
Se deben aplicar medidas que protejan la información, así como crear copias de seguridad y
mecanismos para restaurar los datos que accidental o intencionadamente se hubiesen dañado
o destruido.
1.3.3. Tipos de seguridad
Activa
Comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que
amenazan el sistema.
Algunos de estos son: impedir el acceso a la información a usuarios no autorizados mediante
introducción de nombres de usuarios y contraseñas, evitar la entrada de virus instalando un
23
Pasiva
Está formada por las medidas que se implantan para, una vez producido el incidente de
seguridad, minimizar su recuperación y facilitar la recuperación del sistema; algunos casos de
estos es teniendo siempre al día copias de seguridad de los datos.
1.3.4. Mecanismos de Seguridad
Según la función que desempeñen los mecanismos de seguridad pueden clasificarse en:
(Purificación Aguilera, 2010)
Preventivos: Actúan antes de que se produzca un ataque. Su misión es evitarlo
Detectores: Actúan cuando el ataque se ha producido y antes de que cause daños en el sistema.
Correctores: Actúan después de que haya habido un ataque y se hayan producido daños. Su misión es la de corregir las consecuencias del daño.
La elección del mecanismo de seguridad depende de cada sistema de información, de su función,
de las posibilidades económicas de la organización y de cuantos sean los riesgos a los que este
24
Gráfico 5: Mecanismos de Seguridad
Fuente: Purificación A, 2010
1.3.5. Sistema de Información
Un sistema de Información es un elemento cada vez más importante en la medida que la empresa
expresa su dependencia de ello. Está compuesto por los recursos informáticos considerados
como el continente o soporte informático.
Según (Purificación Aguilera, 2010), es un conjunto de elementos organizados, relacionados y
coordinados entre sí, encargados de facilitar el funcionamiento global de una empresa o de
25
Gráfico 6: Sistema de Información
Fuente: Purificación Aguilera, 2010
Para dotar de unas medidas de seguridad a un sistema de información, hay que tener en cuenta
los siguientes elementos: activos, amenazas, riesgos, vulnerabilidades, ataques e impactos.
1.3.5.1. Activos
Son los recursos que pertenecen al propio sistema de información o que están relacionados con
este. La presencia de los activos facilita el funcionamiento de la empresa u organización y la
consecución de sus objetivos. Al hacer un estudio de los activos existentes hay que tener en
cuenta la relación que guardan entre ellos y la influencia que se ejercen: cómo afectaría en uno
de ellos un daño ocurrido a otro.
Se puede clasificarlos en los siguientes tipos:
Datos: Constituyen el núcleo de toda organización, hasta tal punto que se tiende a considerar que el resto de los activos están al servicio de la protección de los datos. Normalmente están
organizados en bases de datos y almacenados en soportes de diferente tipo. El funcionamiento
de una empresa u organización depende de sus datos, que pueden ser de todo tipo: económico,
26
Software: Constituido por los sistemas operativos y el conjunto de aplicaciones instaladas en los equipos de un sistema de información que reciben y gestionan o transforman los datos para
darles el fin que se tenga establecido.
Hardware: Se trata de los equipos (servidores y terminales) que contienen las aplicaciones y permiten su funcionamiento, a la vez que almacenan los datos del sistema de información.
Incluimos en este grupo los periféricos y elementos accesorios que sirven para asegurar el
correcto funcionamiento de los equipos o servir de vía de transmisión de los datos (modem,
router, instalación eléctrica o sistemas de alimentación ininterrumpida, destructores de soportes
informáticos)
Redes: Desde las redes locales de la propia organización hasta la metropolitanas o internet. Representan la vía de comunicación y transmisión de datos a distancia.
Soportes: Los lugares en donde la información queda registrada y almacenada durante largos periodos o de forma permanente (DVD, CD, tarjetas de memoria, discos duros externos
dedicados al almacenamiento, microfilms e incluso papel)
Instalaciones: Son los lugares que albergan los sistemas de información y de comunicaciones. Normalmente se trata de oficinas, despachos, locales o edificios, pero también pueden ser
vehículos y otros medios de desplazamiento.
Personal: El conjunto de personas que interactúan con el sistema de información: administradores, programadores, usuarios internos y externos y resto de personal de la empresa.
Los estudios calculan que se producen más fallos de seguridad por intervención del factor
humano que por fallos de la tecnología.
27
1.3.5.2. Amenazas
En sistemas de información se entiende por amenaza la presencia de uno o más factores de
diversa índole (personas, maquinas o procesos) que de tener la oportunidad atacarían al sistema,
produciéndole danos, aprovechándose de su nivel de vulnerabilidad. Hay diferentes tipos de
amenazas a las que hay que proteger al sistema, desde las físicas como cortes eléctricos, fallos
del hardware o riesgos ambientales, hasta los errores intencionados o no de los usuarios, la
entrada de software malicioso, el robo, destrucción o modificación de la información.
En función del tipo de alteración, daño o intervención que podrían producir sobre la
información, las amenazas se clasifican en cuatro grupos:
De interrupción: El objetico es deshabilitar el acceso a la información, destruyendo componentes físicos como el disco duro, bloqueando el acceso a los datos, o cortando o
saturando los canales de comunicación.
De interceptación: Programas, personas o equipos no autorizados podrían acceder a un determinado recurso del sistema y captar información confidencial de la organización, como
pueden ser datos, programas o identidad de personas.
De modificación: Personas, programas o equipos no autorizados no solamente accederían a los programas y datos de un sistema de información sino que además lo modificarían. Por ejemplo
modificar la respuesta enviada a un usuario conectado o alterar el comportamiento de una
aplicación instalada.
De fabricación: Agregarían información falsa en el conjunto de información del sistema.
Según su origen las amenazas se clasifican en:
28
Intencionadas: Son debidas siempre a la acción humana, como la introducción de software malicioso, intrusión informática, robos o hurtos. Las amenazas intencionadas pueden tener su
origen en el exterior de la organización o incluso en el personal de la misma.
1.3.5.3. Riesgos
Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una
vulnerabilidad. No constituye riego una amenaza cuando no hay vulnerabilidad ni una
vulnerabilidad cuando no existe amenaza para la misma.
Ante un determinado riesgo, una organización puede optar por tres alternativas distintas:
Asumirlo sin hacer nada: Esto solamente resulta lógico cuando el perjuicio esperado no tiene valor alguno o cuando el coste de aplicación de medidas superaría de la reparación del daño.
Aplicar: medidas para disminuirlo o anularlo
Transferirlo: puede ser contratando un seguro
1.3.5.4. Vulnerabilidades
Probabilidades que existen de que una amenaza se materialice contra un activo, no todos los
activos son vulnerables a las mismas amenazas. Tal es así que los datos son vulnerables a la
acción de los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito.
Al hacer el análisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo.
1.3.5.5. Ataques
Se dice que se ha producido un ataque accidental o deliberado contra el sistema cuando se ha
29
En función del impacto causado a los activos atacados, los ataques se clasifican en:
Activos: Si modifican, dañan, suprimen o agregan información o bien bloquean o saturan los canales de comunicación.
Pasivos: Solamente acceden sin autorización a los datos contenidos en el sistema. Son los más difíciles de detectar.
Un ataque puede ser directo o indirecto, si se produce desde el atacante al elemento victima
directamente, o a través de recursos o personas intermediarias.
1.3.5.6. Impactos
Son la consecuencia de la materialización de una o más amenazas sobre uno o varios activos
aprovechando la vulnerabilidad del sistema o, dicho de otra manera, el daño causado.
Los impactos pueden ser cuantitativos, si los perjuicios pueden cuantificarse económicamente,
o cualitativos, si suponen danos no cuantificables, como los causados contra los derechos
fundamentales de las personas.
1.3.6. Seguridad física
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos, generalmente
de prevención y detección, destinados a proteger físicamente cualquier recurso del sistema;
estos recursos son desde un simple teclado hasta una cinta de backup con toda la información
que hay en el sistema, pasando por la propia CPU de la máquina. (Guía de Seguridad
Informática, 2012)
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante
30
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos
podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su
impacto.
1.3.6.1. Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las
medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física
de cualquier organización.
Problemas a los que nos enfrentamos:
Acceso físico
Desastres naturales
Alteraciones del entorno
Acceso físico
Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de
seguridad implantadas se convierten en inútiles. De hecho, muchos ataques son entonces
triviales, como por ejemplo los de denegación de servicio; si apagamos una máquina que
proporciona un servicio es evidente que nadie podrá utilizarlo. (Areitio J, 2008))
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es
importante, generalmente si se controla el PC de un usuario autorizado de la red es mucho más
sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención (control
de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no existe
31
Para la prevención hay soluciones para todos los gustos y de todos los precios:
analizadores de retina,
tarjetas inteligentes,
videocámaras,
vigilantes jurados,
En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los
despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que
estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito
cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan
los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y
equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.
Desastres naturales
Además de los posibles problemas causados por ataques realizados por personas, es importante
tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias,
sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
Terremotos y vibraciones
Tormentas eléctricas
Inundaciones y humedad
32
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados
en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas
que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas
causados por pequeñas vibraciones:
No situar equipos en sitios altos para evitar caídas,
No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos,
Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos
lanzados desde el exterior los dañen,
Utilizar fijaciones para elementos críticos,
Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones
Otro desastre natural importante son las tormentas con aparato eléctrico, especialmente
frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda
generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos,
la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué
por fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el
ambiente es extremadamente seco hay mucha electricidad estática. No obstante, tampoco
interesa tener un nivel de humedad demasiado elevado, ya que puede producirse condensación
en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear
ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que
nos avisen cuando haya niveles anómalos.
Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers)
que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido
o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos
instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente
en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema
33
Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de
equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque
pueden dañar los equipos que apaguemos (aunque actualmente son más o menos inocuos), nos
evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos
(incluso el del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que es
recomendable mantenerlo lo más alejado posible de los equipos.
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros
sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que
pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación
eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
1.3.7. Seguridad lógica
Proteger los activos de información de la empresa para que sean siempre utilizados de forma
autorizada, y sólo por razones de negocio, y evitar acciones que puedan provocar su alteración,
borrado o divulgación no autorizados de forma intencional o accidental. (Guía de Seguridad
Informática, 2012)
El acceso de un usuario a los sistemas de información de una empresa, tiene que estar basado
en cada caso, en una vigente necesidad de uso por razones de negocio de la propia empresa.
Los usuarios tienen que estar informados de los aspectos siguientes:
Protección de los datos
Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección
de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de
