Upload
buithu
View
216
Download
0
Embed Size (px)
Citation preview
-i-
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA INSTITUCIONES MILITARES
TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GESTIÓN
DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN
JOSEPH ALEXANDER GUAMÁN SEIS
DIRECTOR: ING. DIANA CECILIA YACCHIREMA VARGAS
Quito, Abril del 2015
http://bibdigital.epn.edu.ec/handle/15000/9310
-ii-
DECLARACIÓN
Yo, Joseph Alexander Guamán Seis, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.
A través de la presente declaración cedo mi derecho de propiedad intelectual
correspondiente a éste trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normativa institucional vigente.
Joseph Alexander Guamán Seis
-iii-
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Joseph Alexander Guamán
Seis, bajo mi supervisión.
Ing. Diana Yacchirema
DIRECTOR
-iv-
AGRADECIMIENTO
Agradezco a Dios por bendecirme cada día de mi vida y permitirme cumplir este
objetivo.
A la Escuela Politécnica Nacional, a sus autoridades, profesores y facilitadores
que compartieron su conocimiento y experiencias que fue de gran utilidad en la
carrera, un agradecimiento muy especial a la Ingeniera Diana Yacchirema y al
Doctor Enrique Mafla por sus lineamientos, predisposición, paciencia y guía para
la elaboración de este proyecto.
A la Armada del Ecuador, en especial a la Dirección de Tecnologías de la
Información y Comunicaciones por el apoyo brindado en la consecución de este
trabajo.
A mi familia por la paciencia e impulso en la culminación de este sueño.
-v-
DEDICATORIA
El presente trabajo lo dedico a mi Madre quien descansa en la paz del Señor
desde el año 1976 junto a mis abuelitas Margarita y Petrona. A mi padre
Rosendo, mis tíos, mis hermanas, mis sobrinos, mis primos y todos mis seres
queridos que los llevo en mi corazón. A mi adorada hija Dafna Jordana quien me
prestó el tiempo que le pertenecía y me motivó siempre con sus notitas “no te
rindas”, “tu puedes” ¡Gracias mi muñeca de oro!, a Aníbal Sebastián y Franz
Alexander que son mi inspiración y a todas aquellas personas que de una u otra
forma colaboraron en la realización de este gran sueño hecho realidad.
Joseph
-vi-
CONTENIDO
CAPÍTULO 1. EL PROBLEMA .............................................................................. 1
1.1. DEFINICIÓN DEL PROBLEMA................................................................... 2
1.2. OBJETIVO DE LA INVESTIGACIÓN ........................................................... 3
1.2.1. OBJETIVO GENERAL ........................................................................... 3
1.2.2. OBJETIVOS ESPECÍFICOS .................................................................. 3
1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 4
1.4. ALCANCE Y LIMITACIONES...................................................................... 5
CAPITULO 2. MARCO TEÓRICO ......................................................................... 7
2.1. ANTECEDENTES DE LA INVESTIGACIÓN ............................................... 7
2.2. BASES TEÓRICAS ..................................................................................... 8
2.2.1. SEGURIDAD INFORMÁTICA ............................................................... 8
2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS ......................... 10
2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA ....................... 11
2.2.4. OBJETIVOS DE LA SEGURIDAD ...................................................... 12
2.2.5. TÉRMINOS DE RIESGO .................................................................... 14
2.2.6. FACTORES DE RIESGO ................................................................... 14
2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN ................................... 17
2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ......... 19
2.3.1. ISO/IEC 27001:2005 ............................................................................ 19
2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO ......................... 23
2.4. BASES LEGALES ..................................................................................... 26
2.4.1. ESTÁNDARES INTERNACIONALES .................................................. 26
2.4.2. LEYES NACIONALES ........................................................................ 27
2.4.3 NORMATIVA INTERNA ....................................................................... 27
2.5. SISTEMA DE VARIABLES........................................................................ 27
-vii-
2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ............................................................................................. 30
CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA INSTITUCIONES MILITARES ......................................... 33
3.1. ALCANCE DEL DISEÑO DEL SGSI ......................................................... 33
3.2. DISEÑO DE LA INVESTIGACIÓN ............................................................ 34
3.2.1. FASE I DIAGNÓSTICO ......................................................................... 35
3.2.2. POBLACIÓN Y MUESTRA .................................................................... 35
3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........ 37
3.2.4. VALIDEZ DEL INSTRUMENTO ............................................................. 39
3.2.5. CONFIABILIDAD DEL INSTRUMENTO ................................................ 40
3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS .......................................... 42
3.2.7. RESULTADOS ....................................................................................... 42
3.2.8 OBSERVACIÓN DIRECTA ..................................................................... 72
3.2.9 CONCLUSIONES DEL DIAGNÓSTICO ................................................. 76
3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO ....................................... 78
3.3 FASE II FACTIBILIDAD ............................................................................. 79
3.3.1 FACTIBILIDAD OPERATIVA ............................................................... 80
3.3.2 FACTIBILIDAD TÉCNICA .................................................................... 81
3.3.3 FACTIBILIDAD ECONÓMICA ............................................................. 82
3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI .......................... 83
3.4.1 DISEÑO DEL SGSI .............................................................................. 83
CAPÍTULO 4. APLICACIÓN DEL DISEÑO DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES. ...... 86
4.1 DESCRIPCIÓN DE LA PROPUESTA ........................................................ 86
4.3 ALCANCE DEL DISEÑO DEL SGSI. ......................................................... 87
4.3 POLÍTICA DE UN SGSI ............................................................................. 91
-viii-
4.4 ENFOQUE DE EVALUACIÓN DE RIESGO .............................................. 93
4.5 IDENTIFICACIÓN DEL RIESGO ............................................................... 94
4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS ................................................. 94
4.5.2 IDENTIFICACIÓN DE AMENAZAS ..................................................... 97
4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES.................................... 110
4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES ....................... 118
4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN ................... 136
4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO
DEL RIESGO .................................................................................................. 148
4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y CONTROLES PARA
EL TRATAMIENTO DEL RIESGO .................................................................. 149
4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA DIRECCIÓN, DE LOS
RIESGOS RESIDUALES PROPUESTOS. ..................................................... 152
4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA
IMPLEMENTAR Y OPERAR EL SGSI. ........................................................... 154
4.11 DECLARACIÓN DE APLICABILIDAD .................................................... 156
4.12 FACTIBILIDAD ....................................................................................... 161
4.12.1 FACTIBILIDAD OPERATIVA ........................................................... 161
4.12.2 FACTIBILIDAD TÉCNICA ................................................................ 164
4.12.3 FACTIBILIDAD ECONÓMICA ......................................................... 170
CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES.............................. 184
5.1 CONCLUSIONES .................................................................................... 184
5.2 RECOMENDACIONES ............................................................................ 186
REFERENCIAS BIBLIOGRAFÍCAS ................................................................... 188
ANEXOS ............................................................................................................ 192
-ix-
ANEXO A. ESTRUCTURA ORGANIZACIONAL DE LA DIRTIC
ANEXO B. ESTRUCTURA ORGANIZACIONAL DEL CETEIN
ANEXO C. INSTRUMENTO DE RECOLECCIÓN DE DATOS
ANEXO D. FORMATO PARA LA REVISIÓN Y VALIDACIÓN DEL
INSTRUMENTO DE RECOLECCIÓN DE DATOS
ANEXO E. CÁLCULO DE LA CONFIABILIDAD. MÉTODO ALPHA DE
CROMBACH
ANEXO F. TABLA A1.1 OBJETIVOS DE CONTROL Y CONTROLES DE LA
NORMA ISO/IEC 27001:2005
ANEXO G. LOCALIZACIÓN DE LA DIRTIC Y CETEIN
ANEXO H. POLITÍCA DE SEGURIDAD DE LA INFORMACIÓN DE LA DIRTIC
ANEXO I. VERIFICACIÓN DE LAS VULNERABILIDADES
ANEXO J. PROCEDIMIENTOS CORRESPONDIENTES A LOS CONTROLES
6.3.1, A9.3.1 y A.9.5.4
ANEXO K. CRONOGRAMA DE IMPLEMENTACIÓN DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
-x-
ÍNDICE DE FIGURAS
Figura 1. Historia de ISO 27001. .......................................................................... 20
Figura 2. Familia de estándares de la ISO 27000. ............................................... 21
Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC
27001:2005. ......................................................................................................... 22
Figura 4: Enfoque a procesos del ISO 27001:2005 .............................................. 23
Figura 5. Metodología de las elipses de Dirección de Tecnologías de la
Información y Comunicaciones. ........................................................................... 90
Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la
Información y Comunicaciones. ........................................................................... 91
-xi-
ÍNDICE DE GRÁFICOS
Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de
Seguridad. ............................................................................................................ 44
Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre
Organización de la Seguridad de la Información. ................................................. 47
Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Activos. ................................................................................................................. 49
Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad
de Recursos Humanos. ........................................................................................ 52
Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad
Física y Ambiental. ............................................................................................... 55
Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Comunicaciones y Operaciones. .......................................................................... 59
Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de
Accesos. ............................................................................................................... 62
Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición,
Desarrollo y Mantenimiento de Sistemas de Información. ................................... 65
Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Incidente de Seguridad de la Información. ........................................................... 67
Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Continuidad del Negocio. ..................................................................................... 69
Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre
Cumplimiento. ...................................................................................................... 71
-xii-
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de las Variables....................................................... 28
Tabla 2. Descripción de la Población de la DIRTIC. ............................................ 36
Tabla 3. Criterios de Confiabilidad. ..................................................................... 42
Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Políticas de Seguridad. ........................................................................................ 44
Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión
de la Organización de la Seguridad de la Información. ........................................ 46
Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Activos. .............................................................................................. 49
Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Seguridad de Recursos Humanos. ....................................................................... 51
Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Seguridad Física y Ambiental. .............................................................................. 54
Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Comunicaciones y Operaciones......................................................... 58
Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Control de Accesos. ............................................................................................. 62
Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. ............... 65
Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Incidente de Seguridad de la Información. ......................................... 67
Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Continuidad del Negocio. ................................................................... 69
Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Cumplimiento. ...................................................................................................... 70
Tabla 15. Observación directa. ............................................................................ 73
Tabla 16. Activos Primarios clasificados. ............................................................. 95
Tabla 17. Amenazas definidas. ............................................................................ 97
-xiii-
Tabla 18. Cruce de las amenazas Vs. Activos. ................................................. 105
Tabla 19. Vulnerabilidades clasificadas. ........................................................... 110
Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la
Información y Comunicaciones. ......................................................................... 118
Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores
(Activo 2.32). ...................................................................................................... 119
Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores
(Activo 2.32). ...................................................................................................... 120
Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores
(Activo 2.32). ...................................................................................................... 121
Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y
Aplicaciones. (Activo 7.1) ................................................................................... 122
Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y
Aplicaciones. (Activo 7.1) ................................................................................... 122
Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones.
(Activo 7.1) ......................................................................................................... 124
Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1
(Activo 4.3). ........................................................................................................ 125
Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). 126
Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1
(Activo 4.3). ........................................................................................................ 127
Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4
(Activo 4.3). ........................................................................................................ 129
Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3).. 130
Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4
(Activo 4.3). ........................................................................................................ 131
Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3). 133
Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). ..................... 133
Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3). ..... 135
Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. ....... 139
Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 .... 140
Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones.
Activo 7.1............................................................................................................ 141
-xiv-
Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3)
........................................................................................................................... 142
Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3).
........................................................................................................................... 143
Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3).
........................................................................................................................... 144
Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3).
........................................................................................................................... 146
Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). .............. 146
Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3). ................. 148
Tabla 47. Plan de tratamiento del riesgo. .......................................................... 150
Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la
Información. ........................................................................................................ 156
Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática
de la DIRTIC. ...................................................................................................... 164
Tabla 50. Equipamiento necesario de la DIRTIC. ............................................. 167
Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
........................................................................................................................... 171
Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática
de la DIRTIC. ...................................................................................................... 172
Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad
Telemática de la DIRTIC. ................................................................................. 172
Tabla 54. Consumo de energía de los quipos informáticos del Dpto.
Normalización y Seguridad Telemática de la DIRTIC. ..................................... 174
Tabla 55. Costo Total del Diseño. ..................................................................... 174
Tabla 56. Tasa de Descuento. .......................................................................... 179
Tabla 57. Depreciación anual de Equipos Informáticos. ................................... 179
Tabla 58. Ingresos anuales durante los 3 años. ................................................ 181
Tabla 59. Flujo de Caja del Proyecto. ............................................................... 182
Tabla 60. Resultados de los Índices de Evaluación. ......................................... 183
-xv-
RESUMEN
El presente trabajo de tesis tiene como objetivo principal Diseñar un Sistema de
Gestión de Seguridad de la Información para Instituciones Militares, que incorpore
estándares internacionales ajustados al campo militar y nuevas tecnologías de la
información y comunicaciones con el fin de contribuir a la modernización de las
Instituciones Militares, tomando como caso de estudio en la Armada del Ecuador
a la Dirección de Tecnologías de la Información y Comunicaciones.
Se desarrolló bajo la modalidad de estudios de proyecto apoyado tanto en una
investigación de campo como en la investigación monográfica documental que
permitió la elaboración y desarrollo de una propuesta de un modelo operativo
viable para solventar los problemas de seguridad de la información de las
Instituciones Militares y de la Dirección de Tecnologías de la Información y
Comunicaciones.
La metodología utilizada se sustentó en tres fases fundamentales, la primera el
estudio diagnóstico, la segunda la factibilidad; y la tercera el diseño de un Sistema
de Gestión de Seguridad de la Información para Instituciones Militares, tomando
como referencia la Norma ISO 27001:2005 y usando una combinación de
metodologías para la evaluación de los riesgos que ayude a la toma de decisión
sobre las opciones de tratamiento de riesgo adecuado.
Este estudio consta de cinco capítulos en los cuales se desarrolla cada tema que
permite obtener, aplicar y conocer los resultados de la propuesta del diseño: el
Capítulo 1, conformado por el problema, en el cual se desarrolló el planteamiento
del problema, objetivos de la investigación, justificación e importancia, alcance y
-xvi-
limitaciones del objeto de estudio. Capítulo 2, denominado Marco Teórico, que
contiene los antecedentes de investigación, bases teóricas, bases legales y
sistema de variables. Capítulo 3, Diseño de Un Sistema de Gestión de Seguridad
de la Información para Instituciones Militares, contiene la naturaleza y diseño de la
investigación con la descripción de las fases del proyecto. Capítulo 4, Aplicación
de un Diseño de Un Sistema de Gestión de Seguridad de la Información para
Instituciones Militares, el cual muestra la justificación, objetivos y descripción de la
propuesta. Capítulo 5, se exponen las conclusiones y recomendaciones de la
investigación. Finalmente, se presentan las referencias bibliográficas y los anexos
correspondientes.
-1-
CAPÍTULO 1. EL PROBLEMA
El uso inadecuado de los recursos tecnológicos en Instituciones Militares, hace
que tengan serios problemas de seguridad, esto deriva del aumento desmesurado
de los índices de delitos informáticos. (Interfutura, 2012).
Alexander Cuenca, especialista de seguridad informática y protección de datos,
expresa que las denuncias presentadas por delitos informáticos la mayoría de
tipos penales se concentra en el hurto, usurpación de claves, estafa y falsificación
electrónica, además existen bandas especializadas en estos ilícitos y le sacan
provecho, sobre todo, monetario, en el país operarían piratas informáticos del
Perú y Colombia y en Pichincha hay más denuncias, comparando con Guayas: en
2012, en la primera hubo 1.150, y en la segunda provincia 693.
En la actualidad, uno de los temas de mayor importancia y trascendencia de toda
la sociedad, es la seguridad y resguardo de la información, más aun las
Instituciones Militares que tienen información secreta y clasificada.
En un caso puntual y real, el grupo de activistas informáticos Anonymus atacó en
el 2011, las bases de datos de la Policía Nacional, según datos proporcionados
por seguridadydefensa.com.ec, esta agrupación publicó la información personal
de más de 45000 policías en la operación denominada Cóndor Libre.(Infobae,
2011).
-2-
Se ha demostrado en la actualidad, que la filtración de documentos e información
confidencial de Instituciones Militares ha provocado problemas muy serios, un
ejemplo de esto son los casos Snowden y Assange. Se ve la necesidad urgente
de un sistema de seguridad para precautelar información tan sensible como es la
de las Instituciones Militares (El Comercio, 2013), (AFP/ Ben Stansall, 2013).
1.1. DEFINICIÓN DEL PROBLEMA
Las Instituciones Militares conformadas por la Fuerza Terrestre, Armada del
Ecuador y Fuerza Aérea, manejan información calificada que se utiliza a través
del Sistema de Comunicaciones, la cual necesita ser protegida.
La Armada del Ecuador posee el Sistema de Comunicaciones Navales (SCN)1,
que es una infraestructura informática que interconecta a los repartos navales y
militares de las Fuerzas Armadas, que se utilizada para trasmitir información
(voz, datos y video), servicios automatizados y sistemas corporativos. (D.G.P.
COGMAR-INF-002-2010-O, 2010).
La utilización de los servicios y sistemas corporativos a través del Sistema de
Comunicaciones Navales y el acceso indebido a la información en determinadas
redes locales, requieren la implementación de seguridades para el uso de estos
servicios por los usuarios de los repartos navales.
Se ha detectado accesos indebidos a las redes administrativas debido a los
diferentes puntos de internet que existen en las instituciones Militares, también se
1 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Es una infraestructura de intranet que utiliza las Fuerzas Armadas.
-3-
ha detectado la falta de implementación de políticas de seguridad así como el
limitado personal especializado existente para implementar tales políticas.
Es necesario realizar el Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, que minimicen los riesgos físicos y
lógicos de la información que se transmite, procesa, almacena y distribuye a
través del Sistema de Comunicaciones, para la utilización de los servicios y
sistemas por los usuarios de los repartos militares y navales.
Para el diseño se utilizará las normas ISO/IEC 27001:2005, que permita aplicar
controles, con la finalidad de garantizar la confidencialidad, integridad y
disponibilidad de la información. (INEN, 2009)
1.2. OBJETIVO DE LA INVESTIGACIÓN
1.2.1. OBJETIVO GENERAL
Diseñar un Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, que incorpore estándares internacionales ajustados al campo militar y
nuevas tecnologías de la información y comunicaciones con el fin de contribuir a
la modernización de las Instituciones Militares.
1.2.2. OBJETIVOS ESPECÍFICOS
· Evaluar los riesgos de seguridad de la información en las Instituciones
Militares
· Analizar los requerimientos de seguridad de la información.
-4-
· Diseñar un Sistema de Gestión de Seguridad de Información para
Instituciones Militares.
1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
El crecimiento acelerado de la tecnología, ha generado graves problemas de
vulnerabilidad en las organizaciones, con riesgos e inseguridad así como fraudes
informáticos, espionaje, sabotaje, virus informático y ataques de intrusión o
negación de servicios.
Este tipo de vulnerabilidades ha provocado que en las instituciones militares, se
tomen medidas preventivas de seguridad para evitar que la información sea
robada o alteradas por terceros con la finalidad de minimizar las amenazas y
tratar de mantener la confidencialidad, integridad y disponibilidad de la
información.
Las Instituciones Militares necesitan el Diseño de un Sistema de Gestión de
Seguridad de la Información, que afirme la obtención, procesamiento,
almacenamiento y difusión de la información segura a través del Sistema de
Comunicaciones y contribuya a su empleo eficaz y eficiente en el cumplimiento de
los Objetivos Estratégicos Institucionales.(PDETIC, 2012)
En la Armada del Ecuador existe la D.G.P. COGMAR-INF-002-2010-O; 12-JUL-
2010. Directiva de Seguridad de la Información, en la cual establece las Políticas
de Seguridad de la Información para la Armada, como las normas básicas de
Seguridad de la Información que deben ser acatadas por los repartos Navales.
-5-
El Diseño del Sistema de Seguridad del Información establecerá nuevas políticas
de seguridad, reglas, planes y acciones para asegurar la información y mejorar la
gestión de la seguridad, socializando en los miembros de la Institución la
importancia y sensibilidad de la información y la seguridad.
1.4. ALCANCE Y LIMITACIONES
El presente proyecto, permitirá efectuar el Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, basado en la norma
ISO/IEC 27001:2005 para los sistemas de información, se realizará en la Armada
del Ecuador, tomando como caso de estudio la Dirección de Tecnologías de la
Información y Comunicaciones.
Se realizará la evaluación de los riesgos de seguridad de la información en las
instituciones militares, para determinar la necesidad de realizar el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
mediante el análisis general de la situación actual de la seguridad de la
información para los sistemas de información en la Dirección de Tecnologías de
la Información y Comunicaciones.
Se analizarán los requerimientos de seguridad de la información mediante la
verificación de la factibilidad operativa, técnica y económica para el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
determinando la viabilidad del proyecto y una inversión adecuada para la
institución.
Finalmente se realizará el Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, como un caso de estudio la Dirección de
Tecnologías de la Información y Comunicaciones.
-6-
Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares permitirá que los riesgos de la seguridad de la
información sean asumidos, gestionados y minimizados por la Institución de una
forma evaluada, documentada y estructurada.
Debido a la estructura organizacional de las Fuerzas Armadas, el ámbito de
aplicación del presente trabajo, alcanza a repartos militares donde existe una
relación jerárquica militar o de subordinación, la metodología que en él se
propone se centra en la Dirección de Tecnologías de la Información y
Comunicaciones, subordinada a la Armada del Ecuador, en la que aportará
aspectos metodológicos, lineamientos y políticas de seguridad de la información
para la institución.
En cuanto a las limitaciones es importante tomar en cuenta que los aspectos que
conforman la confidencialidad de la información en las Instituciones Militares, son
un factor importante en el desarrollo de la investigación y es por eso que la
información mostrada de la Armada del Ecuador y de la Dirección de Tecnologías
de la Información y Comunicaciones es referencial y solo para efectos
académicos respectivos, en vista que la información militar2 es secreta y
confidencial.
Para la implementación, operación, revisión, mantenimiento y mejora del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares sólo se
especificará los lineamientos generales.
2 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.
-7-
CAPITULO 2. MARCO TEÓRICO
2.1. ANTECEDENTES DE LA INVESTIGACIÓN
La seguridad de la información es un factor de gran importancia para las
instituciones militares ya que les proporciona integridad, confiabilidad y
disponibilidad de los datos e información que se transmite por medio del Sistema
de Comunicaciones. (D.G.P. COGMAR-INF-002-2010-O, 2010).
El presente trabajo de investigación aportará a la Dirección de Tecnologías de la
Información y Comunicaciones así como a las Instituciones Militares una guía
metodológica para la gestión de riesgos en seguridad de información, con la
posibilidad de mejorar sus esfuerzos en la administración de TI mediante la
inclusión de controles de seguridad.
Esta guía una serie de lineamientos básicos para la evaluación de seguridad en
un sistema, con el objeto de articular diversos conceptos y técnicas para la
identificación y valoración de riesgos. (Santos, 2001).
La guía metodológica permitirá determinar que las Instituciones Militares cuenten
con registros acerca de los incidentes de seguridad, lo que facilita la labor de
determinar el impacto de los riesgos en términos económicos, necesitando
considerarse en la mayoría de los casos una serie matrices de impacto de los
riesgos en términos cualitativos.
-8-
Es fundamental que las Instituciones militares registren los incidentes de
seguridad con el fin de dar mayor confiabilidad y mejorar los resultados en el ciclo
de vida del análisis de riesgos.
2.2. BASES TEÓRICAS
El presente trabajo tiene como objeto establecer el Diseño de un Sistema de
Gestión de Seguridad de la Información para las Instituciones Militares, basado en
el estándar (ISO/IEC 27001:2005, 2005).
Se trabajará en base a los conceptos establecidos que son: Seguridad
Informática, Seguridad en los Sistemas Informáticos, Propiedades de la Seguridad
Informática, Objetivos de la Seguridad, Términos de Riesgos, Factores de
Riesgos, Análisis del Riesgo y su Evaluación, Medidas de Seguridad,
Estandarización y Seguridad de las Tecnología de Información, Sistema de
Gestión de Seguridad de la Información, y Herramientas para el Análisis de
Riesgo.
2.2.1. SEGURIDAD INFORMÁTICA
(Alexander, 2007), Define a la seguridad como aquellas reglas técnicas y
actividades destinadas a prevenir, proteger y resguardar lo que es considerado
como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial, por esta razón la información es el elemento principal a proteger,
resguardar y recuperar en las Instituciones Militares.
Es necesario considerar otras definiciones importantes al momento de hablar de
seguridad informática, estas son:
-9-
Activo: Recurso del sistema de información o relacionado con éste, necesario
para que la organización funcione correctamente y alcance los objetivos
propuestos. Cualquier cosa que tenga valor para la organización.
Amenaza: Es un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
activos.
Impacto: Consecuencia de la materialización de una amenaza.
Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en
un dominio o en toda la organización.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza
sobre un activo.
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información
y procesamiento de la misma a través de computadoras necesarias para la
normal operación de un negocio.
Un riesgo y una vulnerabilidad se podrían englobar en un mismo concepto, una
definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo
que la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto.
-10-
En el área de informática, existen varios riesgos tales como: ataque de virus,
códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la
adopción de Internet como instrumento de comunicación y colaboración, los
riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de
negación de servicio y amenazas combinadas; es decir, la integración de
herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y
capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos
o aplicaciones para dañar los recursos informáticos.
Para los ataques de negación de servicio, el equipo de cómputo ya no es un
blanco, es el medio a través del cual es posible afectar todo el entorno de red; es
decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web
Site de la institución. Los riesgos están en la red y en menor grado en la
computadora.
En las Instituciones Militares se protegerá la información que se trasmite a través
del Sistema de Comunicaciones para la utilización de los Sistemas Informáticos
por parte de los usuarios de los Repartos Militares.
2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS
La alta informatización de la sociedad actual ha conllevado el aumento de los
denominados delitos informáticos, por lo cual (Hernández E. , 2003)3, señalan que
un sistema informático es seguro si se puede confiar en él y si se comporta de
acuerdo a lo esperado.
3 Hernández, Enrique 2003. Seguridad y Privacidad en los Sistemas Informáticos
-11-
La seguridad en los sistemas informáticos es un conjunto de soluciones técnicas,
métodos y planes con el objetivo de que la información que trata los sistemas
informáticos sea protegida así como establecer un plan de seguridad en el cual
se definan las necesidades y objetivos en cuestiones de seguridad.
Es primordial indicar que la seguridad genera un costo y que la seguridad
absoluta es imposible, por tal motivo se debe definir cuáles son los objetivos y a
qué nivel de seguridad se quiere llegar, por lo tanto la seguridad en los sistemas
informáticos de las instituciones militares se tiene que planificar haciendo un
análisis del costo-beneficio.
2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA
Se tomará en cuenta las definiciones hechas por (Alexander, 2007), sobre los
atributos o propiedades principales que debe brindar un sistema de seguridad:
· Confidencialidad: controlar quién puede leer la información (acceso) e
impedir que información confidencial sea entregada a receptores no
autorizados. Propiedad de que la información no está disponible o
divulgada a individuos, entidades o procesos no autorizados.
· Disponibilidad: asegurar que los sistemas trabajen prontamente con un
buen desempeño y garantizar protección y recuperación del sistema en
caso de ataque o desastre. Propiedad de estar accesible y utilizable bajo
demanda de una entidad autorizada.
-12-
· Integridad: asegurar que la información recibida sea exactamente igual a
la información enviada, es decir que no ha sido dañada por errores de
transmisión o alterada intencionalmente en su contenido o en su
secuencia. Propiedad de salvaguardar la exactitud y la totalidad de los
activos.
· Autenticidad: garantizar que la información no es una réplica de
información vieja la cual se quiere hacer pasar por información fresca, y
que efectivamente proviene de una fuente genuina.
· Identificación y control de acceso: Verificar la identidad de las personas.
Autorizar y controlar quién y cómo se accede a los datos y los recursos de
un sistema.
La confidencialidad y el control de acceso trabajan conjuntamente para proteger la
información contra personas no autorizadas, mientras que permiten que los
usuarios autorizados tengan acceso utilizando técnicas de identificación,
usualmente por medio del nombre de usuario (username) más su contraseña
(password). La integridad se garantiza por medio de bits de chequeo (checksums)
que se añaden a la información y la autenticidad por medio de extractos (hash) y
otros mecanismos.
2.2.4. OBJETIVOS DE LA SEGURIDAD
La labor principal en seguridad informática es el aislamiento de los actos no
deseables, y la prevención de aquellos que no se hayan considerado, de forma
-13-
que si se producen hagan el menor daño posible. Al respecto, (D.G.P. COGMAR-
INF-002-2010-O, 2010)4, señala los objetivos que se deben llevar a cabo:
· Identificación de los usuarios: Existen varias técnicas, entre las que se
encuentran las contraseñas (passwords), o sistemas más sofisticados
como reconocimientos del habla, huella dactilar o la retina del ojo.
· Detección de intrusos en la red: Se debe detectar y actuar sobre
cualquier acceso no autorizado a un sistema. El objetivo es la detección de
intrusos en tiempo real, antes de que el sistema haya sido dañado
seriamente.
· Análisis de riesgo: Intenta cuantificar los beneficios obtenidos con la
protección contra amenazas de seguridad. El riesgo es función de la
frecuencia con la que se producen dichas amenazas, vulnerabilidad de la
protección contra las mismas y las pérdidas potenciales que se produjesen
en el caso de que se diese una.
· Clasificación apropiada de los datos: En la gestión de seguridad llegan
gran cantidad de datos provenientes de los últimos programas de control
generados a partir de las actuaciones que llevan a cabo los usuarios en el
sistema. Es importante para una buena supervisión de la seguridad, el
clasificar los datos convenientemente, de tal forma que se ahorre tiempo en
su análisis.
· Control de las nuevas aplicaciones: Cuando se instala una nueva
aplicación se debe comprobar que no introduzca nuevas brechas de
seguridad especialmente si se ejecuta con permisos de root.
4 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Anexo “A”. Términos y definiciones
-14-
· Análisis de los accesos de los usuarios: Es necesario tener un control
para poder detectar intentos de acceso no autorizados.
2.2.5. TÉRMINOS DE RIESGO
La problemática en la seguridad de la información ha sido enfrentada con criterios
tomados de otras disciplinas. Estos enfoques han dado lugar al uso de términos
diferentes con significados no muy claros. (De Freitas, 2009), señala los
siguientes casos:
a) Valorización del riesgo: analizar las amenazas a un sistema de información, las
vulnerabilidades del mismo y el impacto potencial si se concretan dichas
amenazas.
b) Evaluación del riesgo: evaluación del riesgo respecto algún criterio de
seguridad, por ejemplo una norma.
c) Análisis de riesgo: Identificación y valuación de los niveles de riesgo de activos,
amenazas y vulnerabilidades.
d) Gestión de riesgo: Determinación de la estrategia efectiva en costo, del
tratamiento y procedimientos a aplicar a partir de los resultados de la valuación,
por ejemplo: 1) Aceptarlos, 2) Minimizarlos, identificando, seleccionando e
implementando contramedidas (salvaguardas) para su reducción a niveles
aceptables, y 3) Transferirlos.
2.2.6. FACTORES DE RIESGO
El riesgo es la combinación de una amenaza que aprovecha alguna vulnerabilidad
de un activo para impactarlo y causarle daño. (Alexander, 2007), señalas los
siguientes factores de riesgos:
-15-
Activos: cualquier bien que necesite protección, frente a posibles situaciones de
pérdida de condiciones como son la Confidencialidad, Integridad o Disponibilidad.
La confidencialidad es la propiedad de que la información no está disponible o
divulgada a individuos, entidades o procesos no autorizados, la integridad es la
propiedad de salvaguardar la exactitud y la totalidad de los activos y la
disponibilidad es la propiedad de estar accesible y utilizable bajo demanda de una
entidad autorizada.
Un activo de información es algo a lo que una institución le asigna un valor y, por
lo tanto, la organización debe proteger. Asimismo, los clasifica en las siguientes
categorías:
a) Activos de información (Datos, manuales de usuarios)
b) Documentos de papel (contratos)
c) Activos de software (aplicación, software de sistemas)
d) Activos físicos (computadoras, medios magnéticos)
e) Personal (Clientes, personal)
f) Imagen de la institución y reputación
g) servicios (comunicaciones)
Como se observa, los activos de información son muy amplios es por eso que
(Alexander, 2007), señala que se debe realizar un correcto análisis y una
evaluación del riesgo y establecer adecuadamente el modelo ISO 27001:2005.
-16-
En las Instituciones Militares, el proceso de identificación y de tasación de activos
debe realizarlo un grupo multidisciplinario compuesto por personas involucradas
en los procesos y subprocesos que abarca el alcance del modelo.
Los activos se consideran y categorizar por su criticidad en cuanto a lo que
significan para las operaciones. El análisis tiende a establecer una cantidad de
niveles que generalmente no baja de cinco y que en algunos casos puede llegar a
diez.
Vulnerabilidades: son los puntos débiles relacionados con los activos
organizacionales, operacionales, físicos y de sistemas TI en las Instituciones.
Los niveles de vulnerabilidad se pueden estimar en función de: severidad, dado
por los recursos necesarios para aprovechar la vulnerabilidad y el efecto en el
activo, y el grado de exposición, extensión del efecto básico, facilitando la
explotación de otras vulnerabilidades del mismo activo y/o se extiende a otros
activos.
Las amenazas son acciones que pueden causar daño en un activo de las
Instituciones Militares. Se las puede clasificar por fuerza mayor, deficiencias
organizacionales, fallas humanas, fallas técnicas y actos deliberados.
Los niveles de vulnerabilidad pueden estimarse de acuerdo a la capacidad y
motivación del agente provocador, la concreción de una amenaza provoca un
impacto en un activo, dicho impacto y la probabilidad de ocurrencia a lo largo del
tiempo pueden usarse como medida del efecto de una amenaza.
-17-
2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN
El análisis del riesgo es la utilización sistemática de la información para identificar
las fuentes y estimar el riesgo (NTE INEN, ISO/IEC 27002:2009, 2009)5. El
objetivo del análisis del riesgo es identificar y calcular los riesgos basados en la
identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades.
Los riesgos se calculan de la combinación de los valores de los activos, que
expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y
del cálculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se
junten y causen un incidente.
En las Instituciones Militares una vez efectuado el cálculo del riesgo por cada
activo, en relación de su amenaza, se debe determinar cuáles son aquellas
amenazas cuyos riesgos son los más significativos, este proceso se denomina
evaluación del riesgo.
Luego de analizar el riesgo, se debe iniciar un proceso de toma de decisiones
con respecto a cómo se tratará el riesgo, la decisión está influenciada por dos
factores:
1) El posible impacto si el riesgo se pone de manifiesto.
2) Qué tan frecuente puede suceder, estos factores dan una idea de la pérdida
esperada si el riesgo ocurriera, si nada se hiciera para mitigar este riesgo.
5 NTE INEN - ISO/IEC 27002:2009. Tecnologías de la Información - Técnicas de Seguridad - Código de Práctica para la Gestión de la Seguridad de la Información
-18-
Se debe seguir las siguientes estrategias para el tratamiento del riesgo:
a) Reducción del riesgo: Para todos aquellos riesgos donde la opción de
reducirlos se ha tomado, se deben implementar controles apropiados para poder
reducirlos al nivel que se haya definido como aceptable.
Estos controles pueden reducir el riesgo estimado en dos maneras: reduciendo la
posibilidad de que la vulnerabilidad sea explotada por la amenaza y reduciendo el
posible impacto si el riesgo ocurriese.
b) Aceptar el riesgo: Muchas veces se presenta la situación en la cual la
organización no encuentra controles para mitigar el riesgo, o en la cual la
implantación de controles tiene un costo mayor que las consecuencias del riesgo.
c) Transferencia del riesgo: la transferencia del riesgo es una opción cuando es
difícil reducir o controlar el riesgo a un nivel aceptable, la alternativa de
transferencia a una tercera parte es más económica ante estas circunstancias.
Existen mecanismos para transferir los riesgos a otra organización; por ejemplo,
utilizar una aseguradora o la utilización de terceros para manejar activos o
procesos críticos, en la medida en que tengan capacidad de hacerlo.
d) Evitar el riesgo: se entiende cualquier acción orientada a cambiar las
actividades, o la manera de desempeñar una actividad comercial en particular,
para así evitar la presencia del riesgo. El riesgo puede evitarse por medio de: no
desarrollar ciertas actividades comerciales (por ejemplo: la no utilización de
-19-
Internet), mover los activos de un área de riesgo y decidir no procesar información
particularmente sensitiva.
2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
El modelo ISO 27001:20056 define a un SGSI como “la parte del sistema de
gestión global, basada en una orientación a riesgo de negocio, para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información”.
El modelo ISO 27001:2005 define a un Sistema de Gestión de Seguridad de la
Información como “la parte del sistema de gestión global, basada en una
orientación a riesgo de negocio, para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la información”.
ISO 27001:2005 define la seguridad de la información como la “preservación de la
confidencialidad, integridad, no repudio y confiabilidad”. A continuación se hace
referencia a la Norma ISO 27001:2005, la nueva familia 27000.
2.3.1. ISO/IEC 27001:2005
El origen es británico y en el año 2005, la Organización Internacional para la
Normalización (ISO) la oficializó como norma. La Figura 1, muestra la historia de
la ISO 27001 a lo largo del tiempo.
6 ISO/IEC 27001:2005. Estándar Internacional. Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de Seguridad de la Información - Requerimientos.
-20-
Figura 1. Historia de ISO 27001.
Fuente: http://www.iso27000.es
En Marzo de 2006, posteriormente a la publicación de la ISO 27001:2005, BSI
publicó la BS 7799-3:2006, la cual está centrada en la gestión del riesgo de los
sistemas de información y servirá como base a la ISO 27005.
A semejanza de otras normas ISO, la 27000 es realmente una serie de
estándares, la cual se encuentra estructurada como se muestra en la Figura 2.
ISO 27005: En fase de desarrollo publicada en el año 2008. Consiste en una guía
para la gestión del riesgo de la seguridad de información y sirve de apoyo a la ISO
27001 y a la implantación de un SGSI. Se basa en la BS 7799-3:2006.
-21-
ISO 27000 SGSI
“Fundamentos y vocabularios”
ISO/IEC 27001:2006
Requerimientos
ISO/IEC 27002:2007
(ISO 17799: 2005)
ISO/IEC 27003
“Lineamientos para la Implementación”
ISO/IEC 27004
Lineamientos “Métrica y Mediciones”
ISO/IEC 27005 SGSI
Lineamientos “Gestión del riesgo”
Figura 2. Familia de estándares de la ISO 27000.
Fuente: http://www.iso27000.es
ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la
acreditación de entidades de auditoria y certificación de los SGSI. Esta norma
adopta un enfoque basado en procesos para establecer, implementar, operar,
realizar seguimiento, revisar, mantener y mejorar el SGSI de una organización.
Esta norma adopta el modelo “Planificar – Hacer – Verificar – Actuar” (PHVA), el
cual es aplicado para estructurar todos los procesos del SGSI, la Figura 3, ilustra
cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de
la información.
(Alexander, 2007), señala que el modelo ISO 27001:2005 está diseñado bajo una
óptica de enfoque a procesos. El SGSI está conceptualizado para funcionar en
cualquier tipo de organización, operando bajo el enfoque de procesos.
-22-
Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC 27001:2005.
Fuente: Alberto, A. (2007).
En la Figura 4, se ilustra la presentación de los distintos componentes del modelo
ISO 27001:2005, bajo la perspectiva de procesos, el modelo está concebido para
que opere con base en insumos provenientes de clientes, proveedores, usuarios,
accionistas, socios y otras partes interesadas.
El modelo ISO 27001:2005, en su óptica de procesos, también permite que cada
organización influencie el desempeño del modelo a través de consideraciones
estratégicas, tales como objetivos y políticas.
-23-
Figura 4: Enfoque a procesos del ISO 27001:2005
Fuente: Alberto, A. (2007).
2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO
En el mercado existen varias herramientas propietarias y de libre acceso para
realizar el análisis de riesgos como CRAMM, COBRA, RA2 Art of Risk,
MAGERIT, OCTAVE, Threat and Risk Assesment Working Guide (Canadá),
Guideline del NSW de Australia y El IT Baseline Protección Model del BSI
Alemán.
Herramientas propietarias.
CRAMM: Producto de Insight Consulting, que puede usarse con ISO 27001 para
el manejo de riesgo de negocios, para el análisis de riesgo se recolectan datos en
reuniones y entrevistas con cuestionarios estructurados (ESPE, 2005). Tiene tres
partes:
1) Valorización de activos, en escala de 1 a 10.
-24-
2) Evaluación de amenazas y vulnerabilidades. Niveles de 1 a 5 para las
amenazas, y de 1 a 3 para las vulnerabilidades.
3) Cálculo del riesgo, de 1 a 7 según una matriz. Más de 3000 contramedidas
estructuradas en la base de datos y que pueden priorizarse.
COBRA: (Análisis de Riesgo Objetivo y Bifuncional), desarrollada por C & A
Systems en cooperación con instituciones financieras. Especialmente prevista
para verificar el cumplimiento de las normas ISO 17799/27001, provee un
completo análisis de riesgo, compatible con la mayoría de las metodologías
conocidas cualitativas y cuantitativas.
Lo forman varios programas: Risk Consultant, el principal, incluyen las bases de
conocimiento que se personalizan y modifican con el Module Manager.
RA2 Art of Risk: Producto de Aexis y Xisec trabaja con análisis cualitativo de
riesgo basado en modelado estadístico. Desarrollado conforme la ISO 17799 y la
ISO 27001, usa también los principios contenidos en la MICTS2.
Permite seleccionar los controles ISO 17799 y producir evidencia a los auditores
que se han llevado a cabo los pasos de la ISO 27001 para certificación. Produce
directamente el SoA adecuado para la certificación ISO 27001.
MAGERIT: Del Ministerio de las Administraciones Públicas (MAP) de España. La
aplicación se puede ver en cuatro etapas: planificación, análisis de riesgos,
gestión de riesgos y selección de salvaguardas. En la versión 2.0, la
documentación consta de tres partes:
1) Método. Análisis y gestión de riesgos, proyectos.
2) Catálogo de Elementos. Amenazas y salvaguardas.
3) Guía de Técnicas. Tipo de análisis, diagramas, planificación de proyectos.
-25-
Herramientas de libre acceso.
OCTAVE: Evaluación de factores operacionalmente críticos: amenazas, activos
de sistemas y personal, y vulnerabilidades. Hay dos versiones: Octave y Octave-S
(Small, pequeñas empresas); éste último para equipos pequeños de personal de
seguridad. El Octave-S define una técnica de valuación basada en riesgos,
desarrollada en 10 volúmenes. El proceso incluye tres fases:
1) Construcción de perfiles de amenazas en base a los activos
2) Identificación de la infraestructura de las vulnerabilidades.
3) Desarrollo de la estrategia y planes de seguridad.
Threat and Risk Assesment Working Guide (Canadá): Considera
vulnerabilidades de sistemas, personal, objetos y externas, con cinco niveles
como resultado de tres niveles de severidad y tres de exposición. Trabaja con
cinco niveles de amenazas, caracterizando los agentes de amenazas en tres
niveles de capacidad y otros tres de motivación- incorpora los escenarios de
amenazas, donde estipula analizar el impacto en función de la sensibilidad de los
activos y tasa de vulnerabilidad, así como de la frecuencia de ocurrencia. No
define bien los riesgos finales.
Guideline del NSW de Australia: Tiene tres partes principales.
1) Revisión del proceso de gestión de riesgo, ejemplo de amenazas y
vulnerabilidades y una guía para la selección de los controles de seguridad
2) Incluye una tabla que relaciona cada control de la norma ISO 17799:2000 con
diferentes tipos de control: protección, prevención, detección, respuesta y
recuperación
3) Tabla que relaciona cada control con los parámetros CIA: Confidencialidad,
Integridad y Disponibilidad, así como también con la Autenticación,
Responsabilidad y Confiabilidad.
-26-
El IT Baseline Protección Model del BSI Alemán: Permite establecer los
riesgos en base a los activos, amenazas y contramedidas. No trabaja
directamente con vulnerabilidades. Esta herramientas clasifica los activos en 35
tipos en 7 categorías; las amenazas en un total de 200 con cinco tipos: Fuerza
mayor, Deficiencias organizacionales, Fallas humanas, Fallas técnicas y Actos
deliberados; y, Contramedidas: Unos 600 de diferentes tipos. Además incluye una
tabla de contramedidas vs. Amenazas.
En relación a lo antes expuesto y para efecto de esta investigación en la cual se
realizará el análisis de riesgo en las Instituciones Militares, utilizaremos las
herramientas CRAMM y BSI Alemán.
2.4. BASES LEGALES
Los planteamientos legales se basaron en los lineamientos, normas,
procedimientos y estándares que establecen los artículos que tienen
correspondencia con esta investigación.
2.4.1. ESTÁNDARES INTERNACIONALES
ISO/IEC 27001:2005 – Tecnología de la Información – Técnicas de seguridad –
Sistemas de Gestión de Seguridad de la Información.
ISO/IEC 17799:2005 – Tecnología de la Información – Técnicas de seguridad –
Código para la práctica de la gestión de la seguridad de la información
Organización Internacional de Estándares (ISO).
-27-
2.4.2. LEYES NACIONALES
NTE INEN - ISO/IEC 27002:2009 – Tecnologías de la Información– Técnicas de
Seguridad – Código de Práctica para la Gestión de la Seguridad de la
Información.
2.4.3 NORMATIVA INTERNA
D.G.P. COGMAR-INF-002-2010-O – 12 de Julio del 2010 – Directiva General
Permanente Seguridad de la Información.
DIRTIC. 25 de Noviembre del 2010 – Dirección de Tecnologías de la Información
y Comunicaciones – Estatuto Orgánico por Procesos.
2.5. SISTEMA DE VARIABLES
(Hernández R. , 2003, pág. 143)7, Señala que variable “es una propiedad que
puede variar y cuya variación es susceptible de medirse u observarse”, por tal
razón las variables deben ser definidas de dos formas conceptual y
operacionalmente.
Una definición conceptual trata la variable con otros términos, para lo cual se
deben definir las variables que se utilizan y puedan ser comprobadas o
contextualizadas.
7 Hernández, Roberto. 2003. Metodología de la Investigación
-28-
Una definición operacional constituye el conjunto de procedimientos que describe
las actividades que un observador debe realizar para recibir las impresiones
sensoriales, las cuales indican la existencia de un concepto teórico en mayor o
menor grado.
En el presente trabajo la variable a definir es Sistema de Gestión de Seguridad de
la Información, las mismas que se describe en la Tabla 1 operacionalmente
basado en los objetivos de control de las normas ISO/IEC 27001:2005.
Tabla 1. Operacionalización de las Variables.
Fuente: Autor
Variable Dimensión Indicadores Ítems Instrumento
Sistema de Gestión de
seguridad de la Información
Políticas de Seguridad
Documento de la política de seguridad de la información
1
CU
ES
TIO
NA
RIO
Y O
BS
ER
VA
CIÓ
N D
IRE
CT
A
Revisión de la política de Seguridad de la Información
2 y 3
Organización de la Seguridad de la
Información
Compromiso de la dirección para la seguridad de la información
4 y 5
Asignación de responsabilidades sobre seguridad de la información
6
Proceso de autorización para los recursos de procesamiento de la información
7
Acuerdos de confidencialidad 8
Identificación de riesgos relacionados a partes externas.
9 y 10
Sistema de Gestión de
seguridad de la Información
Gestión de activos Inventario de equipos 11 y 12
Propiedad de los activos 13
Directrices de clasificación 14
Seguridad de recursos humanos
Selección 15
Proceso disciplinario 16
Toma de conciencia, educación y formación en la seguridad de la información
17
-29-
Devolución de los activos 18 y 19
Seguridad física y ambiental
Perímetro de seguridad 20
Controles físicos de entrada 21 - 25
Protección contra las amenazas externas y ambientales
26 y 27
Trabajo en áreas seguras 28
Ubicación y protección del equipo 29
Servicio de apoyo 30
Seguridad del cableado 31
Mantenimiento de equipos 32
Seguridad en la reutilización o eliminación de equipos
33
Retiro de la propiedad 34
Gestión de comunicaciones y
operaciones
Documentación de procedimientos operativos
35
Gestión de cambio 36
Gestión de la capacidad 37
Controles contra código malicioso 38 y 39
Copia de seguridad de la información 40 -41- 42
Control de red 43
Disposición de medios 44 y 45
Registro de auditoria 46
Registro de fallas 47
Sincronización de relojes 48
Control de accesos Política de control de acceso 49
Registro de usuarios 50
Gestión de contraseñas de usuario 51
Uso de contraseñas 52
Sesión inactiva 53
Restricción de acceso a la información 54
Sistema de Gestión de
seguridad de la Información
Adquisición, desarrollo y
mantenimiento de sistemas de información
Análisis y especificación de los requisitos de seguridad
55
CU
ES
TIO
NA
RIO
Y
OB
SE
RV
AC
IÓN
DIR
EC
TA
Validación de datos de entrada 56
Control de procesamiento interno 57
Validación de los datos de salida 58
Política sobre la utilización de controles criptográficos
59
-30-
Gestión de incidente de seguridad de la
información
Reporte de los eventos de seguridad de información
60
Reporte de debilidades de seguridad 61
Responsabilidades y procedimientos 62
Aprendizaje de los incidentes de seguridad de la información
63
Gestión de continuidad del
negocio
Continuidad del negocio y evaluación de riesgo
64
Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información
65
Cumplimiento Identificación de la legislación aplicable 66
Derechos de propiedad intelectual (DPI) 67
Protección de los registros de la organización
68
Controles de las herramientas de auditoria de los sistemas de información
69
2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
A la presente fecha las Instituciones Militares cuentan con una Directiva de
Seguridad de la Información(D.G.P. COGMAR-INF-002-2010-O, 2010), la cual ha
sido difundida a nivel nacional y que se encuentra en un proceso lento de
adopción.
Existe una gran cantidad de problemas e incidentes relacionados al servicio, con
la seguridad de la información en las Instituciones Militares se reducirá los riesgos
de: fuga de información, acceso y modificación de información no autorizada de
portales web, soporte técnico externo, presupuesto, garantías entre otros.
-31-
Es necesario definir un mapa de riesgos de los activos de información con el fin
de tener un conocimiento real de los riesgos a los que están sometidos los
activos de información para identificar las amenazas y vulnerabilidades y
minimizar estas amenazas y vulnerabilidades garantizando la confidencialidad,
disponibilidad e integridad de la información.
Para conseguir un ambiente de Seguridad de la Información integral en estas
instituciones, es fundamental trabajar en conjunto desde el Alto Mando hasta el
menor componente operativo adoptando marcos de referencia que garanticen la
correcta ejecución y control de los procesos relacionados a la gestión de
tecnologías.
Un correcto nivel de Seguridad de la Información en su contexto es el resultado
del correcto uso y gestión de recursos relacionados con Infraestructura
Tecnológica, Gestión de Personal, Telecomunicaciones, Seguridad Física, entre
otros.
Para implementar las Mejores Prácticas y Estándares Internacionales de Gestión
de TI, Seguridad de la Información y Gestión de Riesgos, es necesario contar con
un marco de referencia de gestión eficaz que proporcione un enfoque general
consistente y que sea probable asegurar resultados exitosos al utilizar TI para
apoyar la estrategia de las Instituciones Militares.
En un clima de creciente regulación y preocupación sobre los riesgos
relacionados a TI, las mejores prácticas ayudarán a minimizar los aspectos de
cumplimiento y la preocupación de los auditores.
-32-
Se definirá las necesidades relacionadas a todo el proceso de gestión y control de
TI. Esto permitirá garantizar la integración de los diferentes componentes de TI los
cuales trabajando en conjunto se logrará mejorar el nivel de seguridad hacia los
activos de información.
-33-
CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN PARA
INSTITUCIONES MILITARES
3.1. ALCANCE DEL DISEÑO DEL SGSI
El diseño de un Sistema de Gestión de Seguridad de la Información para
Instituciones Militares permitirá realizar la aplicación de controles adecuados para
reducir los riesgos de seguridad de la información e incorporar estándares
internacionales ajustados al campo militar y nuevas tecnologías de la información
y comunicaciones con el fin de contribuir a la modernización de las Instituciones
Militares.
Establecerá las reglas, planes y acciones para asegurar la información y mejorar
la gestión actual con la cual se ejecuta la seguridad de la información en las
Instituciones Militares, socializando en los miembros de la Institución Militar la
importancia y sensibilidad de la información que se transmite a través del uso de
los servicios del Sistema de Comunicaciones.
Mejorará el control en los siguientes factores: revisión de privacidad y recolección
de documentos, seguridad de los procesos físicos (personas confiables),
verificación de posibles vulnerabilidades, identificación de sistemas y puertos,
implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de
políticas de seguridad, testeo de módems, seguridad inalámbrica.
-34-
Definirá los procesos y normativas Institucionales que garanticen la
confidencialidad, disponibilidad e integridad de la información en todo su proceso,
desde la generación, procesamiento y obtención de información, ligados a una
política general de Gobierno de TI.
Principales requerimientos funcionales a ser obtenidos
a. Manejo integral de los activos de información basado en normativas
internacionales.
b. Conocimiento real de los riesgos a los que están sometidos los activos de
información basados en un Sistema de Gestión de Riesgos de Activos de
Información, Mapa de Gestión de Riesgos.
c. Gestión y uso de los recursos de información basados en procesos ligados
a garantizar la disponibilidad, confidencialidad e integridad de la
información.
d. Integración de todos los proyectos institucionales de tecnología en un
marco que garantice la seguridad de la información.
e. Conocimiento real del estado situacional en relación a las políticas
relacionadas a la Gestión y Gobierno de TI.
3.2. DISEÑO DE LA INVESTIGACIÓN
Para realizar el Diseño del Sistema de Gestión de Seguridad de la Información
para las Instituciones Militares, se describen a continuación las tres primeras
-35-
fases. La Fase I Diagnóstico, la Fase II de Factibilidad y la Fase III Diseño del
proyecto que se refiere a cada uno de los aspectos que contiene la propuesta.
3.2.1. FASE I DIAGNÓSTICO
En esta fase se realizará el análisis general de la situación actual de la seguridad
de la información en las instituciones militares.
Se desarrollaron las primeras etapas de la metodología de análisis de
información, a través de la aplicación de una investigación de campo al personal
que labora en la Dirección de Tecnologías de la Información y Comunicaciones.
La dirección de Tecnologías de la Información y Comunicaciones se encuentra
conformada por los siguientes Departamentos: Dirección, Subdirección,
Departamento Administrativo Financiero, Departamento de Desarrollo y Gestión
de Proyectos, Departamento de Comunicaciones, Departamento de Criptografía y
Seguridad Telemática, Departamento de Control de Centros y el Centro de
Tecnología de la Información y Comunicaciones.
3.2.2. POBLACIÓN Y MUESTRA
(Hernández R. , 2003), define a una población o universo “puede estar referido a
cualquier conjunto de elementos de los cuales pretenden indagar y conocer sus
características, o una de ellas, y para el cual serán válidas las conclusiones
obtenidas en la investigación”, y a la muestra como “un subconjunto de elementos
que pertenecen al conjunto definido como población”. Para seleccionar la
-36-
población, es necesario considerar cuál será la unidad de análisis, lo que permitirá
definir con qué elementos (personas) se va a trabajar.
En el caso de la presente investigación la población que determinó la necesidad
de realizar diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, se encuentra constituido por cincuenta y uno (51)
empleados que laboran en la Dirección de Tecnologías de la Información y
Comunicaciones, de acuerdo a lo que se ilustra en el Tabla 2.
(Ary, 1996, pág. 54), señala que “…si la población posee pequeñas dimensiones,
deben ser seleccionados en su totalidad, para así reducir el error en la
muestra…”. Tomando como fundamento ésta definición, podemos determinar que
la muestra es aquella representada por la totalidad de los individuos que permiten
obtener información sobre el tema a investigar.
Tabla 2. Descripción de la Población de la DIRTIC.
Fuente: DIRTIC
Departamento u Oficina Cantidad Personas
DIRTIC
Dirección 2
Subdirección 6
Departamento Administrativo Financiero 4
Departamento de Desarrollo y Gestión de Proyectos Informáticos 5
Departamento de Comunicaciones 5
Departamento de Criptografía y Seguridad Telemática 6
Departamento de Control de Centros 2
CETEIG
Centro de Tecnología de la Información y Comunicaciones 21
Total 51
-37-
De acuerdo a lo que se describe en la Tabla 2, se deduce que los sujetos de
estudio de la presente investigación se encuentran conformado por cincuenta y
uno (51) personas que laboran en la Dirección de Tecnologías de la Información y
Comunicaciones y el Centro de Tecnología de la Información y Comunicaciones.
3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE
DATOS
La técnica utilizada para obtener la información fue la encuesta, la misma permitió
la recolección de información en forma directa a fin de diagnosticar como se
encuentra la seguridad de la información en la Dirección de Tecnologías de la
Información y Comunicaciones y el Centro de Tecnología de la Información y
Comunicaciones.(Hernández R. , 2003, pág. 285), determina que una técnica es
un procedimiento estandarizado que se ha utilizado con éxito en el ámbito de la
ciencia.
El instrumento de recolección de datos es un dispositivo de sustrato material que
sirve para registrar los datos obtenidos a través de las diferentes fuentes. Así
como un cuestionario consiste en “Un conjunto de preguntas respecto a una o
más variables a medir relacionadas con los indicadores que se obtienen de la
operacionalización de los objetivos específicos.”
Para obtener la información se elaboró el instrumento en función de los objetivos
definidos en el presente trabajo, con el propósito de interrogar a los sujetos de
estudio, a través de un cuestionario estructurado con preguntas cerradas.
-38-
El cuestionario consta de sesenta y nueve (69) ítems de acuerdo a como se indica
en el Anexo “C”, con opciones de respuestas en un formato de escala tipo Likert;
Siempre (S), Casi Siempre (CS) Algunas veces (AV), Casi Nunca (CN) y Nunca
(N), con el fin de diagnosticar cómo se encuentra la Seguridad de la Información
en la Dirección de Tecnologías de la Información y Comunicaciones.
Las preguntas cubren todos los aspectos de riesgos y amenazas a la
confiabilidad, integridad y la disponibilidad de la información y están basadas en
los requerimientos de la institución, pero para realizar un ordenamiento se tomó
en cuenta los objetivos de control de la ISO 27001:2005:
a) Políticas de seguridad
b) Organización de la Seguridad de la Información
c) Gestión de activos
d) Seguridad de recursos humanos
e) Seguridad física y Ambiental
f) Gestión de comunicaciones y operaciones
g) Control de Accesos
h) Adquisición, desarrollo y mantenimiento de sistemas de información
i) Gestión de incidente de seguridad de la información
j) Gestión de continuidad del negocio y
k) Cumplimiento.
Por la naturaleza del estudio y en función de los datos que se requieren, se utilizó
la técnica de observación directa, no participante y sistemática en la realidad,
(Hernández R. , 2003), indica que “la observación consiste en el registro
sistemático, válido y confiable de comportamiento”.
-39-
Cuando se habla de observación no participativa se refiere a que “el investigador
asumirá un papel de espectador de los hechos, del conjunto de actividades y
relaciones laborales que se producen cotidianamente”.
Cuando se refiere al término sistemático, se refiere a que “se observa todo lo
relativo a los antecedentes, forma, duración y frecuencia en que se originan los
mismos”.
3.2.4. VALIDEZ DEL INSTRUMENTO
(L Hurdado y Toro G.J., 2001), Define que “la validez es el grado en que la
medición representa al concepto medido”, es un concepto del cual pueden
tenerse diferentes tipos de evidencias relacionadas con el contenido, criterio y con
el constructo”. La validez de contenido se refiere al grado en que un instrumento
refleja un dominio específico de contenido de lo que se mide.
La validez de criterio establece la validez de un instrumento de medición
comparándola con algún criterio externo, que es un estándar con el que se juzga
la validez del instrumento, considerándose que entre más se relacionen los
resultados del instrumento de medición con el criterio, la validez del criterio será
mayor.
De igual manera, la validez de constructo se refiere al grado en que una medición
se relaciona consistentemente con otras, de acuerdo con hipótesis derivadas
teóricamente sobre esa variable, siendo un constructo una variable medida dentro
de una teoría o esquema teórico.
-40-
Para determinar la validez del instrumento se utilizó la técnica de juicio de
expertos, donde se eligieron cuatro especialistas, Ingenieros en Sistemas con
títulos de Magíster, versados en el tema, quienes a través de un formato de
validación como se ilustra en el Anexo D.
Se realizó con la finalidad de modificar la redacción de los ítems, y determinar la
existencia o no de ambigüedad en la redacción de los mismos, buscando la mayor
claridad, congruencia y pertinencia posible.
Finalmente luego de las correcciones y recomendaciones del caso se procedió a
la elaboración del instrumento definitivo a ser aplicado a los sujetos de la muestra.
3.2.5. CONFIABILIDAD DEL INSTRUMENTO
(Hernández R. , 2003, pág. 123), consideran que la confiabilidad de un
instrumento de medición, es la “capacidad que tiene de registrar los mismos
resultados en repetidas ocasiones, con una misma muestra y bajo las mismas
condiciones”.
La confiabilidad del instrumento se determinó previa aplicación de una prueba
piloto a un grupo de diez (10) personas, tomados al azar perteneciente a la
Dirección de Tecnologías de la Información y Comunicaciones y a los diferentes
Departamentos.
Los resultados obtenidos se procesaron estadísticamente mediante el método
Alpha de Cronbach, determina que es el método que más se adapta en los casos
de la medición de constructos a través de escalas, allí no existen respuestas
-41-
correctas ni incorrectas, el sujeto marca el valor de la escala que considera
representa mejor su punto de vista.
El coeficiente Alpha de Cronbach indica la capacidad que tiene el instrumento
para arrojar resultados similares en repetidas ocasiones.
Para determinar el resultado del coeficiente Alpha de Cronbach se emplea la
siguiente fórmula:
FÓRMULA
Dónde:
Es la sumatoria de la varianza por ítems,
Es la varianza total y
Es el número de preguntas o ítems.
El índice de confiabilidad debe ser menor o igual a uno (1) para que el valor
indicativo del instrumento posea un alto grado de consistencia interna, lo que
indica la exactitud y objetividad en los resultados. (Hernández R. , 2003),
Especifica que los criterios establecidos para el análisis del coeficiente de Alpha
de Cronbach son los siguientes:
-42-
Tabla 3. Criterios de Confiabilidad. Fuente: Metodología de la Investigación, Hernández (2003).
Valores de Alpha Criterios
De –1 a 0 No es confiable
De 0.01 a 0.49 Baja confiabilidad
De 0.50 a 0. 75 Moderada confiabilidad
De 0.76 a 0.89 Fuerte confiabilidad
De 0.90 a 1.00 Alta confiabilidad
Luego de aplicar el método Alpha de Cronbach como se indica en el Anexo E, se
obtuvo una confiabilidad de 0,96 lo cual indica que es altamente confiable.
3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS
Una vez que se ha obtenidos los resultados, producto de la aplicación del
instrumento se procedió a su ordenación para analizarlos mediante la estadística
descriptiva. (Hernández R. , 2003), señala como “el uso de bases estadísticas de
frecuencias y porcentajes; complementados con cuadros y gráficos estadísticos
con sus respectivos análisis”
3.2.7. RESULTADOS
Se presenta los resultados de la aplicación del cuestionario dirigido al personal
técnico de la Dirección de Tecnologías de la Información y Comunicaciones, fue
tabulada manualmente, según las categorías de respuestas: S = Siempre, CS =
Casi Siempre, AV = Algunas Veces, CN = Casi Nunca y N = Nunca, según lo
establecido por escalamiento líkert el valor uno (1) es asignado a N (Nunca) y el
máximo valor de cinco (5) a S (Siempre).
-43-
Para presentar los resultados se usaron los recursos de la estadística descriptiva
que permitió el diseñó de los cuadros, donde se organizaron los datos recabados
en distribuciones por frecuencias absolutas y luego a porcentajes, se representó
gráficamente mediante diagramas de barras cada una de las preguntas del
instrumento de recolección de datos.
Con el objeto de visualizar en forma rápida los resultados se agruparon con
relación a las dimensiones señaladas en la definición operacional de los aspectos
a investigar y representados gráficamente de acuerdo a las alternativas
seleccionadas.
Posteriormente, se completó este proceso con un análisis e interpretación de los
datos en función de la norma ISO/IEC 27001:2005 y las bases teóricas que
sustentaron la investigación.
Dimensión: Política de Seguridad.
Esta dimensión contiene tres (3) ítems que permiten obtener información si en la
Dirección de Tecnologías de la Información y Comunicaciones dan soporte a la
gestión de la seguridad de la información de acuerdo a los requisitos de la
institución militar, las leyes y reglamentos existentes.
-44-
Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión Políticas de Seguridad. Fuente: Autor
Ítems S % CS % AV % CN % N %
1 8 15,69 7 13,73 7 13,73 11 21,57 18 35,29
2 9 17,65 10 19,61 11 21,57 16 31,37 5 9,80
3 8 15,69 9 17,65 16 31,37 12 23,53 6 11,76
Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de Seguridad.
Fuente: Autor
De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e
interpretación de las mismas, se puede visualizar en el Tabla 4 y Gráfico 1
referido a la dimensión: Políticas de Seguridad, en el ítem 1: (¿Existe una
preocupación dentro de la DIRTIC por la elaboración de un documento de
políticas de seguridad de información con los procedimientos a seguir para cada
uno de los riesgos más graves que tiene la información?) la mayor tendencia
-45-
porcentual se presentó en la alternativa nunca con un 35,29%, lo cual indica que
no existe una preocupación por elaborar un documento de política de seguridad
de la información.
En el ítem 2, (¿Se toman acciones rápidas y correctivas cuando la información
está en peligro?), un 31, 37% piensa que Casi Nunca lo hacen, esto refleja que no
se tiene una consciencia de la importancia de tomar medidas para proteger la
información. Igualmente, en el Ítem 3, (¿Se revisan periódicamente las medidas y
procedimientos de seguridad para determinar si son efectivos?), la mayor
tendencia con un 31,37% se presentó para las alternativas Algunas Veces, es
evidente que no existe una política clara en referencia a la seguridad de la
información.
En conclusión, para poder dirigir y dar soporte a la gestión de la seguridad de la
información de acuerdo con los requisitos de las instituciones Militares, se deben
realizar dos documentos para considerar la seguridad de la información: el
primero será un manual de política de seguridad de la información que
representará el nivel político o estratégico de las Instituciones Militares, deberá
ser elaborado por la Dirección de Tecnologías de la Información y
Comunicaciones y aprobado por el mando, lo cual, definirá las grandes líneas a
seguir y el nivel de compromiso de las instituciones Militares.
El segundo documento será el plan de seguridad, como nivel de planeamiento
táctico, el cual definirá el “Cómo”. Es decir, baja a un nivel más de detalle, para
dar inicio al conjunto de acciones que se deberán cumplir. Es de destacar que una
“Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran
mayoría de los aspectos que hacen falta para el Sistema de Gestión de Seguridad
de la Información (SGSI).
-46-
Dimensión: Organización de la Seguridad de la Información
Esta dimensión contiene siete (7) ítems que permiten obtener información sobre la
forma de accesar, procesar, comunicar o gestionar la seguridad de la información
tanto dentro de la Dirección de Tecnologías de la Información y Comunicaciones
así como en los repartos de las instituciones militares.
Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión de la Organización de la Seguridad de la Información.
Fuente: Autor
Ítems S % CS % AV % CN % N %
4 11 21,57 16 31,37 5 9,80 10 19,61 9 17,65
5 5 9,80 19 37,25 15 29,41 9 17,65 3 5,88
6 5 9,80 2 3,92 14 27,45 22 43,14 8 15,69
7 22 43,14 13 25,49 4 7,84 6 11,76 6 11,76
8 6 11,76 10 19,61 18 35,29 7 13,73 10 19,61
9 4 7,84 16 31,37 16 31,37 7 13,73 8 15,69
10 20 39,22 10 19,61 7 13,73 6 11,76 8 15,69
En el Tabla 5 y Gráfico 2, se observan los resultados obtenidos en cuanto a la
dimensión organización de la seguridad de la información, en el item 4 (¿El
CETEIG y los jefes de los diferentes departamentos de la DIRTIC entienden,
apoyan y llevan a cabo eficazmente políticas de seguridad de la información
dentro la Institución?), el 31,37% respondió Casi Siempre y un 17,65 Nunca.
En los ítem 5 (¿La DIRTIC se preocupa de que el personal tome conciencia sobre
la importancia de la seguridad de la información y sus responsabilidades
individuales para alcanzarla?) e ítem 6 (¿Se definen claramente todas las
responsabilidades en torno a la seguridad de la información?) los resultados
presentaron la mayor tendencia hacia Casi Siempre y Casi Nunca, lo que permite
determinar que existe un compromiso demostrado, por parte de las autoridades
militares y los diferentes jefes de departamentos, así como no existe el
reconocimiento de las responsabilidades de seguridad de la información.
-47-
Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre Organización de la Seguridad de la Información.
Fuente: Autor
En el ítem 7, (¿Se define e implementa un proceso de autorización para los
recursos de procesamiento de la información?), el 43,14% opinó Siempre y un
25,49% Casi Siempre, lo que permite establecer que se tiene claramente
definidos los proceso de autorización para cada nuevo recurso de procesamiento
de la información. Seguidamente, el ítem 8 permite indagar sobre los acuerdos de
confidencialidad o no divulgación de la información y el mayor porcentaje lo
presentó la alternativa Algunas Veces con un 35,29%, es evidente que se deben
identificar los requisitos para los acuerdos de no divulgación de la información
para proteger la información de carácter institucional.
-48-
En el ítem 9 (¿Se tienen previstos mecanismos de seguridad para preservar la
información de intervenciones externas?), el 31,37% manifestó que Casi Siempre
y Algunas Veces, se puede determinar que están identificados los riesgos a la
información de la Dirección de Tecnologías de la Información y Comunicaciones y
las instituciones militares y en consecuencia están implementados los controles
apropiados antes de otorgar el acceso a partes externas.
En el ítem 10 (¿Se consideran todos los requisitos de seguridad identificados
antes de dar el acceso al cliente o usuario a la información o posesiones de la
DIRTIC?), el 39,22 % respondió que Siempre, mientras que el 19.61% piensa que
Casi Siempre se tratan todos los requisitos de seguridad antes de dar el acceso al
cliente o usuario de la información.
En conclusión, existe una alta tendencia en todos los ítems hacia la alternativa
Casi Siempre, los sujetos de estudios señalan que la Dirección de Tecnologías de
la Información y Comunicaciones se llevan las políticas de seguridad de la
información y están definidas claramente todas las responsabilidades individuales
para alcanzarla. Igualmente, están definidos los requisitos para los acuerdos de
confidencialidad de la información, y se consideran todos los requisitos de
seguridad antes de dar acceso al cliente o usuario de la información externa a la
Dirección de Tecnologías.
Dimensión: Gestión de Activos.
Este indicador contiene cuatro (4) ítems que permitieron obtener información
referente si se mantiene la protección apropiada de los activos de la Dirección de
Tecnologías de la Información y Comunicaciones y las instituciones militares.
-49-
Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Activos.
Fuente: Autor
Ítems S % CS % AV % CN % N %
11 21 41,18 7 13,73 10 19,61 10 19,61 3 5,88
12 19 37,25 11 21,57 5 9,80 7 13,73 9 17,65
13 5 9,80 24 47,06 8 15,69 8 15,69 6 11,76
14 10 19,61 19 37,25 10 19,61 9 17,65 3 5,88
Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Activos.
Fuente: Autor
Los resultados obtenidos en la dimensión gestión de activos se expresados en el
Tabla 6 y el Gráfico 3, en el ítem 11 (¿Se identifican los equipos de computación,
tales como: laptops, computadoras de escritorio y otros, con el nombre de la
DIRTIC, nombre del departamento u oficina, teléfono, serial del equipo, serial de
-50-
bienes institucionales, entre otross?), el 41.18% opinó Siempre y un 19,61%
señaló Algunas Veces, esto refleja que todos los activos están identificados lo que
ocasiona que los inventarios están actualizados.
En el ítem 12 (¿Se realizan inventarios en cada oficina o unidad administrativa de
los equipos informáticos y de comunicaciones, con el serial del equipo, software
instalados, usuario asignado, ubicación, entre otros?), el 37,25% opino que Casi
Siempre se realizan los inventarios.
Igualmente, el ítem 13 (¿Se identifican todos los activos de información para
conocer su contenido y a qué departamento pertenecen?), el 47,06% señaló que
Casi Siempre. Es de destacar, que existen inventarios de equipos informáticos y
los activos están identificados, en los diferentes departamentos y unidades
administrativas de la Dirección de Tecnologías de la Información y
Comunicaciones y las instituciones militares.
El ítem 14 (¿Se dan directrices para clasificar la información de acuerdo con su
valor, requisitos legales, sensibilidad y criticidad para la DIRTIC?), el 37,25%
opinó que Casi Siempre se dan directrices, lo que refleja que la información está
inventariada y clasificada y existe un procedimiento con un esquema de
clasificación establecido para etiquetar los activos de información.
En conclusión: La Dirección de Tecnologías de la Información y Comunicaciones
y las instituciones militares cuenta con un departamento de activos fijos el cual es
el encargado de realizar el inventario de todos los activos importantes, y que
posee activos que están inventariados. Existe una metodología para realizar esta
actividad donde cada activo de información está asociado con el lugar donde se
procesa la información y que a su vez es el responsable por el mismo.
-51-
Dimensión: Seguridad de Recursos Humanos.
Esta dimensión contiene cinco (5) ítems que permitieron obtener información si
los empleados, contratistas y usuarios la Dirección de Tecnologías de la
Información y Comunicaciones y las instituciones militares, están conscientes de
las amenazas de la seguridad de la información a fin de reducir el riesgo del robo,
fraude o mal uso de los recursos la Dirección de Tecnologías de la Información y
Comunicaciones y las instituciones militares. Igualmente, al terminar o cambiar de
lugar de trabajo se retiran o cambian de una manera ordenada.
Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad de Recursos Humanos.
Fuente: Autor
Ítems S % CS % AV % CN % N %
15 19 37,25 3 5,882 8 15,69 9 17,65 12 23,53
16 14 27,45 11 21,57 7 13,73 14 27,45 5 9,804
17 16 31,37 13 25,49 4 7,843 10 19,61 8 15,69
18 10 19,61 18 35,29 14 27,45 6 11,76 3 5,882
19 22 43,14 8 15,69 3 5,882 9 17,65 9 17,65
En la Tabla 7 y Gráfico 4, se visualizan los resultados de la dimensión seguridad
de recursos humanos. Al respecto, el ítem 15 (¿Se realiza una verificación de los
antecedentes de los candidatos para ocupar cargos administrativos, contratistas y
usuarios externos de acuerdo con las leyes, reglamentaciones y ética pertinentes
a los requisitos de la DIRTIC, clasificación de información a ser ingresado y los
riesgos percibidos? ), la mayor incidencia de respuesta la presentó la alternativa
Siempre con un 37,25%, lo que permite inferir que se realiza una verificación de
los documentos suministrados por el aspirante y sus antecedentes para poder
optar al cargo de acuerdo con las responsabilidades que desempeñará.
-52-
Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad de Recursos Humanos.
Fuente: Autor
En el ítem 16 (¿La DIRTIC aplica procesos disciplinarios a los usuarios que
cometan un incumplimiento de seguridad?) y el ítem 17 (¿Se vigilan la moral y el
comportamiento del personal que maneja los sistemas de información con el fin
de mantener una buena imagen y evitar un posible fraude?), presentaron su
mayores incidencia en la alternativa Siempre con un 27,45% y 31,37%
respectivamente, lo que evidencia que existe un proceso disciplinario formal para
los funcionarios que incurran en faltas que atente a la seguridad de la información,
igualmente se realizan supervisiones al personal para evitar posibles fraudes.
En referencia a la devolución de los activos, el ítem 18 (¿Se retiran los derechos
de acceso a todos los empleados, contratistas y usuarios a la información y al
recurso para el procesamiento de la información una vez terminado su empleo,
contrato o acuerdo, o una vez realizado el cambio a otra dependencia?).
-53-
El ítem 19 (¿La DIRTIC se asegura de que los empleados, contratista y usuarios
devuelvan todos los activos de la DIRTIC que posean una vez terminado su
empleo, contrato o acuerdo?) coincidieron que la alternativa que más se ajustó
fue Casi Siempre presentando un 35,29% y Siempre con 43,14%
respectivamente, lo que demuestra que se encuentra establecido un
procedimiento para la devolución de todos los activos la Dirección de Tecnologías
de la Información y Comunicaciones y las instituciones militares y toman las
debidas previsiones para retirar todos los derechos de accesos a la información.
Dimensión: Seguridad Física y Ambiental.
Esta dimensión contiene quince (15) ítems que permiten obtener información en
relación al área de seguridad: Seguridad física y perimetral, control físico de
entradas, seguridad de las oficinas, edificios y recursos, protección contra
amenazas externas y del entorno, así como también a la seguridad de los
equipos: ubicación y protección de equipos, elementos de soporte a los equipos,
seguridad en el cableado, mantenimiento de equipos, seguridad en el
equipamiento fuera de la organización, seguridad en la redistribución o
reutilización de equipamiento, borrado de información y/o software.
En la Tabla 8 y Gráfico 5, muestra los resultados aportados por los sujetos de
estudios en relación a la seguridad física y ambiental. En este sentido, los ítems
20 (¿En la DIRTIC se establecen adecuadamente los perímetros de seguridad
(barreras tales cómo paredes, puertas de entradas controladas por tarjetas o
puesto de recepción manual) a las áreas que contienen la información y las
instalaciones de procesamiento de la información?).
-54-
Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad Física y Ambiental.
Fuente: Autor
Ítems S % CS % AV % CN % N %
20 13 25,49 17 33,33 8 15,69 6 11,76 7 13,73
21 16 31,37 9 17,65 9 17,65 10 19,61 7 13,73
22 24 47,06 6 11,76 9 17,65 9 17,65 3 5,88
23 18 35,29 4 7,84 12 23,53 9 17,65 8 15,69
24 16 31,37 13 25,49 6 11,76 10 19,61 6 11,76
25 20 39,22 5 9,80 9 17,65 9 17,65 8 15,69
26 25 49,02 6 11,76 6 11,76 11 21,57 3 5,88
27 2 3,92 19 37,25 21 41,18 4 7,84 5 9,80
28 33 64,71 5 9,80 4 7,84 7 13,73 2 3,92
29 5 9,80 25 49,02 10 19,61 8 15,69 3 5,88
30 27 52,94 6 11,76 13 25,49 3 5,88 2 3,92
31 1 1,96 28 54,90 15 29,41 1 1,96 6 11,76
32 26 50,98 9 17,65 4 7,84 9 17,65 3 5,88
33 0 0,00 25 49,02 19 37,25 5 9,80 2 3,92
34 1 1,96 22 43,14 16 31,37 9 17,65 3 5,88
En el ítem 21 (¿Se diseñan y aplican controles de entradas apropiados a las
áreas de seguridad a fin de asegurar el permiso de acceso sólo al personal
autorizado?, ítem 22 (¿Existe un procedimiento o control de admisión al edificio
administrativo para aquellas personas que no posean carnet institucional, tal
como los visitantes?) e ítem 23 (¿Se controla el ingreso a las oficinas después del
horario normal de trabajo?), presentan una alta tendencia a la alternativa Siempre,
lo que permite inferir que se encuentran establecidos los perímetros de seguridad
para las áreas que contienen información crítica de la Dirección de Tecnologías y
de las Instituciones Militares.
En lo que respecta a los controles físicos de entrada, el ítem 24 (¿Se cierran con
llave las puertas de los sitios neurálgicos en el edificio administrativo?) e ítem 25
(¿Se cierran con llaves las entradas de cada piso, así como las entradas externas
al edificio administrativo?), las alternativas con mayor porcentajes se observan en
Siempre con 31,37% y 39,22% respectivamente, lo que refleja que si se cumple y
-55-
se mantiene las puertas de entradas cerradas para impedir el paso de personal no
autorizado sobre todo fuera del horario de oficina.
Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad Física y Ambiental.
Fuente: Autor
-56-
En relación a la protección contra las amenazas externas y ambientales, se
formularon las siguientes preguntas, ítem 26. ¿Se diseñan y aplican protección
física a las oficinas contra el daño por fuego, inundación, sismo, explosión,
disturbios, y las otras formas de desastre natural o hecho por el hombre? e ítem
27. ¿Se diseñan y aplican protección física a la información contra el daño por
fuego, inundación, sismo, explosión, disturbios, y las otras formas de desastre
natural o hecho por el hombre?, las respuestas estuvieron orientadas con un
49,02% y un 41,18% respectivamente a la alternativa Siempre y Algunas Veces,
reflejando que la Dirección de Tecnologías de la Información y Comunicaciones y
las instituciones militares ha considerado la protección física tanto a las oficinas
como a la información contra los desastres naturales o provocados por el hombre.
Para indagar sobre la ubicación y protección de los equipos, el ítem 28. ¿La
DIRTIC toma medidas concretas para evitar el robo de equipos tales como
laptops y otros componentes? y el ítem 29. ¿ Se toman previsiones de ubicar o
proteger los equipos para reducir los riesgos de amenazas y peligros ambientales,
y oportunidades para el acceso no autorizado?, los resultados indican una
tendencia negativa hacia las alternativas Casi Siempre, esto demuestra que existe
preocupación manifestadas la Dirección de Tecnologías de la Información y
Comunicaciones y las instituciones militares por prevenir pérdidas, daños o robo
de los activos de información.
El ítem 30 (¿Se protegen los equipos contra fallas de energía y otras
interrupciones eléctricas causadas por problemas en los servicios de apoyo?), la
alternativa Siempre presentó un 52,94%, lo que permite inferir que conocen sobre
las medidas que se deben considerar para proteger los equipos contra las fallas
de energía u otras interrupciones eléctricas.
El ítem 31 (¿Se protegen debidamente el cableado de energía eléctrica y de
comunicaciones que transporta datos contra la interceptación o daños?), el
-57-
54,90% respondió que Casi Siempre evidenciando la seguridad del cableado. El
ítem 32 (¿Se realizan mantenimientos preventivos a los equipos a fin de asegurar
su continua disponibilidad e integridad?), el 50,98% responde que Siempre se
realizan mantenimientos a los equipos.
El ítem 33 (¿Se toman las previsiones para que todos los dispositivos de
almacenamiento de datos (Pendrive, CD, Disco duros, entre otros), sean
eliminados o formateado completamente antes de su utilización?), el 49,02% se
inclinó por la alternativa Casi Siempre evidenciando mejoras en la seguridad de la
información cuando se reutilizan o eliminan equipos sin tomar las previsiones de
remover toda la información existentes en el mismo.
El ítem 34 (¿La DIRTIC da instrucciones claras y firmes a los usuarios para que
prohíban el traslado o retiro de equipo, información o software sin autorización?),
el 43,14 opinó que Casi Siempre evidenciando que existe una política de
seguridad que controle el retiro de los activos de información de la DIRTIC.
En conclusión, los resultados mostrados anteriormente demuestran que existen
mejoras en la Dirección de Tecnologías de la Información y Comunicaciones y las
instituciones militares garantizando la seguridad física tanto a las instalaciones
como a los equipos.
Dimensión: Gestión de Comunicaciones y Operaciones.
Esta dimensión contiene catorce (14) ítems que permitieron obtener información
sobre la forma de operación de los recursos de información.
-58-
Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Comunicaciones y Operaciones.
Fuente: Autor
Ítems S % CS % AV % CN % N %
35 1 1,96 6 11,76 37 72,55 4 7,84 3 5,88
36 0 0,00 10 19,61 22 43,14 14 27,45 5 9,80
37 0 0,00 5 9,80 16 31,37 24 47,06 6 11,76
38 0 0,00 9 17,65 25 49,02 13 25,49 4 7,84
39 0 0,00 9 17,65 22 43,14 14 27,45 6 11,76
40 0 0,00 0 0,00 12 23,53 31 60,78 8 15,69
41 5 9,80 2 3,92 0 0,00 13 25,49 31 60,78
42 0 0,00 0 0,00 39 76,47 12 23,53 0 0,00
43 27 52,94 15 29,41 6 11,76 1 1,96 2 3,92
44 1 1,96 2 3,92 10 19,61 28 54,90 10 19,61
45 2 3,92 1 1,96 31 60,78 14 27,45 3 5,88
46 4 7,84 1 1,96 9 17,65 16 31,37 21 41,18
47 1 1,96 13 25,49 25 49,02 9 17,65 3 5,88
48 26 50,98 8 15,69 4 7,84 9 17,65 4 7,84
En la Tabla 9 y Gráfico 6, se observan los resultados obtenidos para la dimensión
gestión de comunicaciones y operaciones. Para indagar sobre los procedimientos
y responsabilidades de operación de la información, se emplearon los ítems 35
(¿Los procedimientos operativos son documentados, mantenidos y están
disponibles a todos los usuarios que lo necesitan?) y 36 (¿Se controlan los
cambios de los recursos y sistemas de procesamiento de la información?), los
resultados encontrados son un 72,55% y 43,14% en la alternativa Algunas Veces
respectivamente, lo que indica que no se realizan mayores esfuerzo por
documentar los procedimientos, lo cual es negativo, ya que la documentación de
los procedimientos permite el manteniendo de los mismos y si estos se
encuentran disponibles a todos los usuarios que los necesiten, y se segregan
adecuadamente los servicios y las responsabilidades se logra evitar el uso
inadecuado de los mismos.
-59-
Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Comunicaciones y Operaciones.
Fuente: Autor
En relación con la planificación y aceptación de los sistemas, el ítem 37, (¿Se
realizan seguimientos, ajustes y proyecciones de los requisitos de la capacidad
futura de la utilización de los recursos, para garantizar el desempeño del sistema
requerido?), el 47.06% de los sujetos de estudios opinaron que Casi Nunca se
realizan.
Para obtener información sobre la protección contra el código malicioso y movible,
se utilizaron los ítem 38 (¿Se implementan controles de detección, prevención y
recuperación de la información, para la protección contra código malicioso o
-60-
virus?) y el ítem 39 (¿Se realizan procedimientos adecuados de toma de
conciencia de los usuarios para la detección, prevención y recuperación para la
protección contra código malicioso?), las respuestas permitieron concluir que los
usuarios tiene poco conocimiento para detectar los códigos maliciosos y no
existen procedimientos formales para adiestrarlos para que puedan evitarlos y así
proteger la información.
El ítem 40 (¿Se establecen procedimientos para controlar el intercambio de
información a través de la utilización de toda clase de recursos de comunicación,
por ejemplo el uso de teléfonos celulares y laptops por parte de personas ajenas a
la DIRTIC?), el 60,78% opino que Casi Nunca, lo que indican que existe políticas
y procedimientos de intercambio de información.
En relación a las copias de seguridad, el ítem 41 (¿Se controla el acceso a las
fotocopiadoras para evitar que se puedan hacer copias de cualquier documento?),
el 60,78% opinó que Nunca se controla y el ítem 42 (¿Se realizan copias de
seguridad de la información y software de acuerdo con la política de copia de
seguridad emitida?), el 76,47% opinó que Algunas Veces, lo que permite inferir
que no se realizan backups de la información y de los sistemas de información.
El ítem 43 (¿Se gestionan y controlan adecuadamente la red de datos a fin de
protegerla de las amenazas y mantener la seguridad para los sistemas y
aplicaciones que utiliza la red, incluyendo la información en tránsito?), el 52,94%
opinó que Siempre, lo que se deduce que se lleva una buena administración y
control de la red, es decir, se implementan todas las medidas posibles para evitar
amenazas y mantener la seguridad de los sistemas y aplicaciones que circula por
ella.
-61-
En relación de manejo de medios de información, se utilizaron dos (02) ítem para
recabar información, el ítem 44 (¿Se tiene el cuidado de no arrojar información
confidencial o vital en las papeleras sin ser destruida previamente? y el ítem 45
(¿Se establecen procedimientos para el manejo y almacenamiento de la
información a fin de protegerla contra su uso inadecuado o divulgación no
autorizada?), donde la alternativa Casi Nunca con 54,90% y Algunas Veces con
60,78%, estos resultados señalan que no se toman todas las previsiones para la
difusión, modificación, eliminación o destrucción de cualquier elemento capaz de
almacenar información (dispositivo USB, CD, discos, cintas, papeles, entre otros
tanto fijos como removibles).
El ítem 46 (¿Se producen y mantienen los registros de auditorías cuando se
detectan actividades de procesamiento de la información no autorizada, a fin de
ayudar a futuras investigaciones y seguimiento de control de accesos?) y el ítem
47 (¿Se registran, analizan y se toman acciones apropiadas cuando se detectan
fallas en las actividades y procesamiento de la información no autorizada?),
presentaron una alta incidencia en la alternativa Nunca con un 41,18% y Algunas
Veces 61,54% respectivamente, estos resultados confirman que no se llevan
registros de auditorías de los eventos de seguridad que ocurren en los sistemas
de información.
El ítem 48 (¿Se sincronizan los relojes de todos los sistemas de procesamiento de
la información pertinentes dentro de la DIRTIC con una fuente de tiempo exacta
acordada?), el 50,98% opinó que Siempre se tiene una sincronización de toda la
infraestructura de servidores.
Dimensión: Control de Accesos.
-62-
Esta dimensión contiene seis (06) ítems que permitieron obtener información si se
controlan que los usuarios autorizados, acceden únicamente a los recursos sobre
los cuales tienen derecho y a ningún otro.
Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión Control
de Accesos. Fuente: Autor
Ítems S % CS % AV % CN % N %
49 22 43,14 13 25,49 6 11,76 6 11,76 4 7,84
50 1 1,96 10 19,61 31 60,78 5 9,80 4 7,84
51 28 54,90 10 19,61 1 1,96 8 15,69 4 7,84
52 20 39,22 16 31,37 5 9,80 4 7,84 6 11,76
53 1 1,96 1 1,96 16 31,37 28 54,90 5 9,80
54 21 41,18 17 33,33 5 9,80 4 7,84 4 7,84
Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de Accesos.
Fuente: Autor
-63-
De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e
interpretación de las mismas, se puede visualizar en el Tabla 10 y Gráfico 7
referido a la dimensión control de accesos, en el ítem 49 (¿Se establecen,
documentan y revisan las políticas de control de accesos a la información?), el
43,14% respondió que Siempre, lo cual nos permite inferir que existe una política
de control de accesos.
En relación a la gestión de acceso de usuarios, se emplearon dos preguntas para
obtener información, el ítem 50 (¿Se realizan procedimientos formales de
registros de usuarios para conceder y revocar el acceso a los sistemas y servicios
de información?) y el ítem 51. ¿Se controla a través de un proceso de gestión
formal la asignación de contraseñas de usuarios para prevenir el acceso no
autorizado a los sistemas de información?), ambas respuestas muestran un alta
incidencia por la alternativa Algunas Veces con un 60,78% y Siempre con un
54,90% respectivamente, lo que nos indica que existe un procedimiento formal de
registro y revocación de usuarios y una adecuada administración de los privilegios
y de las contraseñas de cada uno de los usuarios.
En relación al indicador uso de contraseñas el ítem 52 (¿Se les motiva a los
usuarios seguir buenas prácticas de seguridad para la selección y uso de sus
contraseñas?), el 39,22% opino que Siempre, esto refleja que los usuarios tienen
claro el uso de contraseñas, así como también evidencia que existen
procedimientos formales para la selección y uso de contraseñas.
El indicador sesión inactiva, el ítem 53 (¿Se activa automáticamente un protector
de pantalla protegido con contraseña, cuando el usuario deja de utilizar un tiempo
prudencial el computador?), el 54,90% opinó que Casi Nunca, lo que refleja una
falla en la seguridad de la información en el momento que un empleado se levante
de su puesto y transcurrido un periodo de tiempo prudencial no se apague la
-64-
sesión da oportunidad a que cualquier persona que no está autorizado trabaje en
el computador, pueda obtener información, cambiarla y hasta borrarla.
El ítem 54 (¿Se restringe de acuerdo con las políticas de control el acceso a la
información y a las funciones del sistema de aplicación?) referido al indicador
restricción de acceso a la información, el 33,33% respondió que Casi Nunca se
hace, esto evidencia que se tiene una política de control de acceso definida.
En conclusión, los resultados obtenidos muestran una inclinación hacia la
alternativa Siempre. Es de destacar, que el control de acceso es una de las
actividades más importantes de la arquitectura de seguridad de un sistema y para
lograrlo debe existir una política de control de accesos documentada,
periódicamente revisada y basada en los niveles de seguridad que determine el
nivel de riesgo de cada activo. Igualmente, se exige llevar un procedimiento de
registro y revocación de usuarios, una adecuada administración de los privilegios
y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a
intervalos regulares, empleando para todo ello procedimientos formalizados
dentro de la Dirección de Tecnologías de la Información y Comunicaciones y las
Instituciones Militares.
Dimensión: Adquisición, Desarrollo y Mantenimiento de Sistema de Información.
Esta dimensión contiene cinco (05) ítems que permiten averiguar si la seguridad
es una parte integral de los sistemas de información y si se previenen los errores,
pérdida, modificación no autorizada o mal uso de la información en las
aplicaciones.
-65-
Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
Fuente: Autor
Ítems S S CS CS AV AV CN CN N N
55 12 23,53 19 37,25 3 5,88 13 25,49 4 7,84
56 24 47,06 10 19,61 5 9,80 8 15,69 4 7,84
57 23 45,10 13 25,49 7 13,73 3 5,88 5 9,80
58 14 27,45 13 25,49 7 13,73 12 23,53 5 9,80
59 16 31,37 18 35,29 6 11,76 8 15,69 3 5,88
Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
Fuente: Autor
En la Tabla 11 y Grafico 8, muestra los resultados aportados por los sujetos de
estudios en relación a la adquisición, desarrollo y mantenimiento de sistemas de
información. En este sentido, el ítem 55 (¿Se realizan análisis y especificaciones
de seguridad para los nuevos sistemas de información o para las mejoras de los
sistemas existentes?), el 37,25% opino que Casi Siempre se especifican los
requisitos de control de seguridad para los nuevos sistemas de información.
-66-
En relación al procesamiento correcto en las aplicaciones, se emplearon tres ítem
para obtener información al respecto, el ítem 56 (¿Se realizan validaciones de los
datos de entrada a las aplicaciones para asegurarse de que éstos sean correctos
y apropiados?), ítem 57 (¿Se incorporan a las aplicaciones las comprobaciones
de validación para detectar cualquier corrupción de la información a través de
errores de procesamiento o actos deliberados?) y el ítem 58 (¿Se realizan
validaciones a los datos de salida de una aplicación para asegurarse que el
procedimiento de la información almacenada es correcto y apropiado a las
circunstancias?), los resultados tienen una tendencia positiva Siempre, esto nos
permite inferir que se realiza un correcto tratamiento de la información en las
aplicaciones de la Dirección de Tecnologías de la Información y Comunicaciones
así como de las instituciones militares, se adoptan las medidas para la validación
en los datos de entrada, se tienen controles internos en el procesamiento de la
información para verificar o detectar cualquier corrupción de la información a
través de los procesos, tanto por error como intencionalmente. Y por último, existe
una validación en la salida de datos, para asegurar que los datos procesados, y
su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de
la aplicación.
En el ítem 59 (¿Se desarrollan e implementan políticas sobre la utilización de
controles para la protección de confidencialidad, autenticidad o integridad de la
información?), el 35,29% opinó que Casi Siempre se protegen la confidencialidad,
autenticidad o integridad de la información.
En conclusión, los resultados anteriores demuestran fortalecimiento de seguridad
en la adquisición, desarrollo y mantenimiento de los sistemas de información.
Dimensión: Gestión de Incidente de Seguridad de la Información
-67-
Esta dimensión contiene cuatro (04) ítems que permitieron obtener información.
Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Incidente de Seguridad de la Información.
Fuente: Autor
Ítems S % CS % AV % CN % N %
60 20 39,22 11 21,57 9 17,65 4 7,843 7 13,73
61 1 1,96 25 49,02 15 29,41 7 13,73 3 5,882
62 4 7,84 0 0 29 56,86 16 31,37 2 3,922
63 3 5,88 3 5,88 20 39,22 17 33,33 8 15,69
Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Incidente de Seguridad de la Información.
Fuente: Autor
Los resultados obtenidos en la dimensión gestión de incidentes de seguridad de la
información se muestran en la Tabla 12 y Gráfico 9, para obtener información
acerca de los reportes de eventos y debilidades de seguridad de la información se
emplearon dos preguntas, el ítem 60 (¿Se reportan los eventos de seguridad de la
-68-
información a través de los canales de gestión apropiados tan rápidamente como
sea posible?) y el ítem 61 (¿Se les solicita a todos los usuarios de los sistemas y
servicios de información reportar cualquier debilidad en la seguridad de los
sistemas o servicios, que haya sido observada o sospechada?), los mayores
porcentajes de respuestas un 39,22% fueron para las alternativas Siempre y
49,02% Casi Siempre, esto refleja que existen procedimientos para los incidentes
de seguridad.
En relación a la gestión de los incidentes y mejoras de seguridad de la
información, los ítem 62 (¿Se establecen las responsabilidades y procedimiento
de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de información?) y 63 (¿Se establecen mecanismos que permitan
cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los
incidentes de seguridad de información?), los resultados señalan un 56,86% opinó
que Algunas Veces se establecen responsabilidades y un 39,22% respondió que
Algunas Veces se establecen mecanismos para cuantificar los incidentes de
seguridad.
En conclusión, existe una alta tendencia positiva en los resultados, los que
demuestra que se están realizando una administración de los incidentes de
seguridad de la información.
Dimensión: Gestión de Continuidad del Negocio
Esta dimensión contiene dos (02) ítems que tiene como objetivo contemplar todas
las medidas tendientes a que los sistemas de información no hagan sufrir
interrupciones sobre la actividad que realiza la DIRTIC.
-69-
Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Continuidad del Negocio.
Fuente: Autor
Ítems S % CS % AV % CN % N %
64 5 9,804 0 0 16 31,37 22 43,14 8 15,69
65 0 0 4 7,843 20 39,22 21 41,18 6 11,76
Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Continuidad del Negocio.
Fuente: Autor Las respuestas visualizadas en la Tabla 13, Gráfico 10, permitieron evaluar en
relación a la dimensión gestión de continuidad del negocio. En este sentido, el
ítem 64 (¿Se identifican los eventos que pueden causar las interrupciones a los
procesos de la DIRTIC, al mismo tiempo que la probabilidad e impacto de tales
interrupciones y sus consecuencias para la seguridad de la información?), se
observa una tendencia negativa siendo la alternativa Casi Nunca la que presenta
-70-
mayor puntuación con un 43,14%, esto refleja que no están identificados aquellos
eventos que pueden causar interrupción del servicio.
El ítem 65 (¿Se desarrollan e implementan planes para mantener y recuperar las
operaciones y asegurar la disponibilidad de la información al nivel requerido y en
los plazos requeridos, tras la interrupción o la falla de los procesos críticos de la
DIRTIC?), el 41,18% opinó que Casi Nunca.
Estos resultados evidencian que se tienen poco conocimiento para proteger los
procesos de seguridad de la Dirección de Tecnologías de la Información y
Comunicaciones así como de las instituciones militares, de los efectos de fallas
significativas de los sistemas de información y asegurar su reanudación oportuna.
Dimensión: Cumplimiento
Esta dimensión contiene cuatro (04) ítems que permitieron obtener información si
se evitan incumplimientos de cualquier ley, estatuto, obligación reglamentaria o
contractual, así como también de cualquier requisito de seguridad.
Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión Cumplimiento. Fuente: Autor
Ítems S % CS % AV % CN % N %
66 8 15,69 1 1,96 17 33,33 17 33,33 8 15,69
67 2 3,92 1 1,96 17 33,33 27 52,94 4 7,84
68 5 9,80 2 3,92 13 25,49 19 37,25 12 23,53
69 4 7,84 2 3,92 17 33,33 23 45,10 5 9,80
-71-
Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre Cumplimiento.
Fuente: Autor
En la Tabla 14 y el Gráfico 11, reflejan las respuestas emitas por los sujetos de
estudio. En el ítem 66 (¿Se definen, documentan y se actualizan todos los
requisitos legales, reglamentarios y contractuales para cada sistema de
información de la DIRTIC?) y el ítem el 67 (¿Se implementa procedimientos
apropiados para asegurarse del cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso del material protegido por derechos
de propiedad intelectual, y sobre el uso de productos de software reservados?),
las respuestas dadas son negativas, con un 33,33% y un 52,94% respectivamente
para la alternativa Casi Nunca.
Estas respuestas permite inferir que no se consideran o no se identifica la
legislación aplicable a los sistemas de información que tiene la Dirección de
Tecnologías de la Información y Comunicaciones así como de las instituciones
militares, lo que hace suponer que no está definido explícitamente y
-72-
documentando todo lo que guarde relación con los requisitos legales, derecho de
la propiedad intelectual, el uso de productos de software reservados.
En el ítem 68 (¿Se protegen los registros importantes contra pérdida, destrucción
y falsificación, de acuerdo con los requisitos legales, estatutarios, reglamentarios
y contractuales de la DIRTIC?), el 37,25% opinó que Casi Nunca y en el ítem 69
(¿Se planifican actividades de auditorías que involucren comprobaciones en los
sistemas operativos y sistemas de información a fin de minimizar el riesgo de
interrupción de los procesos de la DIRTIC?), el 45,10% señaló que Casi Nunca.
Estos resultados evidencian, la poca importancia que se le presta a la protección
de la información clasificada.
3.2.8 OBSERVACIÓN DIRECTA
En lo que respecta a la observación directa, no participante y sistemática de la
realidad objeto de estudio y tomando como guía la norma (ISO/IEC 27001:2005,
2005), en el Anexo F, se encuentra los objetivos de control y controles listados en
la Tabla A.1.
En este sentido, la norma señala que “están directamente derivados y alineados
con aquellos listados en los capítulos 5 al 15 de la Norma (ISO /IEC 17779:2005,
2005), Las listas en la Tabla A.1 no son exhaustivas y una organización puede
considerar que son necesarios objetivos de control y controles adicionales”.
A continuación en la Tabla 15 se detallan las observaciones realizadas en relación
a cada uno de los objetivos de control.
-73-
Tabla 15. Observación directa.
Fuente: Autor
Cláusulas Objetivo de control Controles Observación directa
A.5. Política de Seguridad
A.5.1. Política de Seguridad de la Información
A.5.1.1. Documento de la política de seguridad de la Información
No existe un documento de política de seguridad de información
A.6. Organización de la Seguridad de la información
A.6.1. Organización Interna
A.6.1.1. Compromiso de la dirección para la seguridad de la información
Existe un reglamento y los lineamientos de Tecnología aprobados por la DIRTIC
A.6.1.3. Asignación de responsabilidades sobre la seguridad de la información
No están definidas claramente todas las responsabilidades de seguridad de la información
A.6.2. Partes externas A.6.2.1. Identificación de riesgos relacionaos a partes externas
No están identificados los riesgos a la información y recursos de procesamiento de la información
A.7. Gestión de activos
A.7.1. Responsabilidad por los activos
A.7.1.1. Inventario de activos
Se tiene una mediana documentación de lo que debería ser un inventario de servicios de información y de hardware
A.7.1.3. Utilización aceptable de los activos
No están implementadas las reglas para la utilización aceptable de la información y los activos asociados con las instalaciones.
A.7.2. Clasificación de la información
A.7.2.1 Directrices de clasificación
No está clasificada la información de acuerdo con su valor, sensibilidad y criticidad para la DIRTIC.
A.7.2.2 Etiquetado y manejo de la información
No se han desarrollados procedimientos para etiquetar la información
A.8. Seguridad de recurso humanos
A.8.1. Antes del empleo A.8.1.1 Roles y responsabilidades
No están documentadas las responsabilidades de seguridad de los empleados, contratistas y usuarios.
A.8.1.3. Términos y condiciones de empleo
Los empleados, contratistas y usuarios no firman acuerdos donde se establezcan responsabilidades por la seguridad de la información en la DIRTIC.
A.8.2. Durante el empleo A.8.2.3 Proceso disciplinario
No existe proceso disciplinario formal para los empleados que cometan un incumplimiento de seguridad
A.8.3. Terminación o cambio de empleo
A.8.3.1. Responsabilidades de la terminación
No están definidas claramente las responsabilidades para llevar a cabo la terminación o cambio de empleo
-74-
A.8.3.2 Devolución de los activos
No se cumple en su totalidad la devolución de todos los activos de la DIRTIC una vez terminado la relación laboral.
A.8.3.3. Retiro de los derechos de acceso
Se mantienen lazos de amistad y se observa que empleados que han sido cambiados de oficinas mantienen acceso a la información y recursos para el procesamiento de la información
A.9 Seguridad física y ambiental
A.9.1 Áreas seguras A.9.1.1 Perímetros de seguridad
El cuarto de cableado principal y de servidores si presenta seguridad, la puerta principal es de aluminio y vidrio, las paredes son de cemento y el techo no está desprotegido
A.9.2. Seguridad de los equipos
A.9.2.2. Seguridad del cableado
Se observa que el cableado de energía eléctrica y de comunicaciones que transporta datos se encuentra protegido, no se violentan todas las normas del cableado estructurado, no está certificado.
A.10 Gestión de comunicaciones y operaciones
A.10.1 Procedimientos y responsabilidades de operación
A.10.1.1. Documentación de procedimientos operativos
Se está realizando la documentación de los servidores y servicios que tienen en la DIRTIC, el personal desconoce de esta documentación, debe realizar adiestramiento.
A.10.3 Planificación y aceptación del sistema.
A.10.3.1. Gestión de la capacidad
Se realiza los seguimientos de los requisitos de los nuevos sistemas.
A.10.4. Protección contra código malicioso y movible
A.10.4.1. Controles contra código malicioso.
Existen antivirus en las estaciones de trabajo, pero los usuarios no tienen conciencia y bajan información no autorizada lo cual ponen en riesgo a los sistemas de información.
A.10.5. Copia de Seguridad
A.10.5.1 Copia de seguridad de la información.
Tienen respaldo y copias de seguridad de la información y software falta procedimientos.
A.10.6 Gestión de seguridad de la red.
A.10.6.1 Control de la red La DIRTIC, cuenta con un Administrador de red y una división de redes y comunicaciones, lo cual permite mejorar la administración y la seguridad de las redes.
A.10.7 Manejo de medios removibles.
A.10.7.2 Disposición de medios
No existen procedimientos formales para eliminar cualquier elemento que contiene información.
-75-
A.10.7.3 Procedimiento de manejo de la información
No existen procedimiento para el manejo y almacenamiento de la información.
A.10.10 Seguimiento A.10.10.1 Registro de auditoria
No se auditan las logs que registran actividad y eventos de seguridad. Se monitorea levemente el uso de los sistemas.
A.10.10.5 Registro de fallas
No existen
A.10.10.6 Sincronización de relojes
Se sincronizan toda la plataforma de servidores
A.11 Control de accesos
A.11.1 Requisitos del negocio para el control de accesos.
A.11.1.1. Requisitos del negocio para el control de accesos.
Existe una política de control de acceso.
A.11.2 Gestión de accesos de usuarios
A.11.2.1 Registro de usuarios
Existe un procedimiento formal.
A.11.2.3 Gestión de contraseñas de usuario
Se lleva una administración formal de asignación de contraseñas.
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.12.1 Requisitos de seguridad de los sistemas de información.
A.12.1.1 Análisis y especificación de los requisitos de seguridad
Se especifican los requisitos de control de seguridad en los sistemas de información
A.12.2 Procesamiento correcto en las aplicaciones
A.12.2.1 Validación de datos de entrada
Existen procedimientos de validación de datos de entrada elementales, pero no garantizan que los datos sean correctos.
A.12.2.2 Control de procesamiento interno
Existen comprobaciones de validación en los sistemas
A.12.2.4 Validación de los datos de salida
La información procesada por los sistemas de información es revisada continuamente.
A.13 Gestión de los incidentes de seguridad de la información
A.13.1 Reportar los eventos y debilidades de seguridad de la información
A.13.1.1 Reporte de los eventos de seguridad de información
Existen registros de los incidentes de seguridad.
A.13.1.2 Reporte de debilidades de seguridad
Existe reporte de debilidades sospechadas a los sistemas.
A.14 Gestión de continuidad del negocio.
A.14.1 Aspectos de seguridad de la información de la gestión de continuidad del negocio
A.14.1.2 Continuidad del negocio y evaluación de riesgo
No están identificados los eventos de seguridad que causan interrupciones al servicio en la DIRTIC.
A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información.
No existen planes de contingencias para mantener y recuperar las operaciones en el menor tiempo posible.
A.15 Cumplimiento A.15.1 Cumplimiento de requisitos legales
A.15.1.1 Identificación de la legislación aplicable.
Falta documentación de los sistemas de información
A.15.1.2 Derechos de propiedad intelectual (DPI)
LA DIRTIC si presenta documentación técnica y tiene licencias de Software
-76-
A.15.1.3 Protección de los registros de la organización.
Los archivos de información de cada una de las oficinas presentan buena protección.
A.15.3 Consideraciones de auditoria de los sistemas de información
A.15.3.1 Controles de auditoria de los sistemas de información
No se planifican actividades de auditoria que involucren comprobaciones en los sistemas operativos.
3.2.9 CONCLUSIONES DEL DIAGNÓSTICO
Tomando en consideración los objetivos de la investigación y el análisis e
interpretación de las respuestas dadas por los sujetos de estudio en el
instrumento aplicado y las observaciones hechas directamente en relación a los
requerimientos de la institución y utilizando el numeral 4.2.1 de la norma, las
conclusiones del estudio son las siguientes:
a. Existe un documento de política de seguridad de la información pero no se
encuentra aprobado por la Dirección, incumpliendo con el numeral 5) del
literal 4.2.1 b) de la norma, el cual establece “Definir una política del SGSI
acorde con las características de la actividad empresarial, la organización,
su ubicación, sus activos y tecnología, que: sea aprobada por la Dirección”
b. En referencia a la organización de la seguridad de la información no se
llevan eficazmente las políticas de seguridad de la información y no están
definidas claramente todas las responsabilidades individuales para
alcanzarla, incumpliendo con el numeral 1) del literal 4.2.1 a) de la norma,
el cual establece “incluya un marco para la fijación de objetivos y
establezca una orientación general sobre las directrices y principios de
actuación en relación con la seguridad de la información”
c. No se encuentran establecidos los requisitos para los acuerdos de
confidencialidad de la información, se consideran todos los requisitos de
seguridad antes de dar acceso al cliente o usuario de la información
externo a la DIRTIC e instituciones militares, incumpliendo con el numeral
-77-
4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de
estimación riesgos”.
d. No están establecidos los perímetros de seguridad para las áreas que
contienen información crítica de la DIRTIC, cumpliendo con el numeral 4)
del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de
estimación riesgos”.
e. No se cumplen los procedimientos para permitir el acceso sólo al personal
autorizado, incumpliendo con el numeral 5) del literal 4.2.1 b) de la norma,
el cual establece “Definir una política del SGSI acorde con las
características de la actividad empresarial, la organización, su ubicación,
sus activos y tecnología, que: sea aprobada por la Dirección”.
f. Se tiene poco conocimiento para proteger los procesos administrativos
críticos de la DIRTIC de los efectos de fallas significativas de los sistemas
de información y asegurar su reanudación oportuna, incumpliendo con el
numeral 2) del literal 4.2.1 b) de la norma, el cual establece “tenga en
cuenta los requisitos de la actividad empresarial, los requisitos legales o
reglamentarios y las obligaciones de seguridad contractuales”.
g. Se lleva una correcta administración y control de la red, es decir, se
implementan todas las medidas posibles para evitar amenazas y mantener
la seguridad de los sistemas y aplicaciones que circulan por ella,
cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual
establece “establezca criterios de estimación riesgos”.
h. Se realizan copias de seguridad de la información y software que dispone
la DIRTIC y se prueba periódicamente, cumpliendo con el numeral 4) del
literal 4.2.1 b) de la norma, el cual establece “establezca criterios de
estimación riesgos”.
i. Existen políticas de control de acceso a la información de la DIRTIC, pero
debe ser revisado y documentado, cumpliendo con el numeral 4) del literal
4.2.1 b) de la norma, el cual establece “establezca criterios de estimación
riesgos”.
-78-
j. No se encuentran identificados los eventos que pueden causar
interrupciones, sus efectos y consecuencias para la seguridad de la
información de la DIRTIC, incumpliendo con el numeral 3) del literal 4.2.1
b) de la norma, el cual establece “esté alineada con el contexto de la
estrategia de gestión de riesgos de la organización contexto en el que
tendrá lugar la creación y el mantenimiento del SGSI”.
3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO
Los resultados de la investigación fueron analizados utilizando la norma ISO/IEC
27001:2005, de allí se presentan las siguientes recomendaciones:
a. Completar y aprobar por la Dirección el documento de política de
seguridad de la información y realizar el documento del plan de seguridad,
como nivel de planeamiento.
b. Publicar el documento de política de seguridad de la información e informar
a toda la DIRTIC y las instituciones militares, de acuerdo a lo que se
describe en la Tabla A.1 Objetivo de control y controles, literal A.5.1.1 de la
norma.
c. Determinar y revisar periódicamente la necesidad de establecer acuerdos
de confidencialidad por las autoridades militares de la DIRTIC y las
instituciones militares para que apoyen activamente la seguridad de la
información y confidencialidad de la información, a través de un
compromiso demostrado, con la asignación explícita de las
responsabilidades de seguridad de la información, de acuerdo a lo que se
describe en la Tabla A.1 literal A.6.1.5 de la norma.
d. Utilizar perímetros de seguridad para proteger las áreas que contienen la
información crítica de la DIRTIC de acuerdo a lo que se describe en la
Tabla A.1 literal A.9.1.1 de la norma.
-79-
e. Definir políticas y procedimientos de funciones y responsabilidades para el
control de accesos y seguridad del personal, de acuerdo a lo que se
describe en la Tabla A.1 literal A.8.1.1 de la norma.
f. Documentar y mantener los procedimientos de operación para asegurar la
reanudación oportuna de los servicios, de acuerdo a lo que se describe en
la Tabla A.1 literal A.10.1.1 de la norma.
g. Asegurar la protección de la información en las redes frente a posibles
amenazas y para mantener la seguridad de los sistemas y aplicaciones de
la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.6.1
de la norma.
h. Mantener la integridad y seguridad de la información de la DIRTIC,
realizando las copias de seguridad de la información y software, de
acuerdo a lo que se describe en la Tabla A.1 literal A.10.5.1 de la norma.
i. Establecer, documentar y revisar una política de control de acceso a la
información que dispone la DIRTIC, de acuerdo a lo que se describe en la
Tabla A.1 literal A.11.1.1 de la norma.
j. Identificar los eventos que pueden causar interrupciones en los procesos
de negocios, así como sus efectos y consecuencias para la seguridad de la
información que dispone la DIRTIC, de acuerdo a lo que se describe en la
Tabla A.1 literal A.14.1.2 de la norma.
3.3 FASE II FACTIBILIDAD
El estudio de factibilidad para determinar la viabilidad del Diseño de un Sistema
de Gestión de Seguridad de la Información para las Instituciones Militares, abarca
la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o
metas señalados, la factibilidad se apoya en 3 aspectos básicos: operativa,
técnica y económica.
-80-
3.3.1 FACTIBILIDAD OPERATIVA
La factibilidad operativa, se refiere a todos aquellos recursos donde interviene
algún tipo de actividad o procesos, depende de los recursos humanos que
participen durante la operación del proyecto, durante esta etapa se identifican
todas aquellas actividades que son necesarias para lograr el objetivo y se evalúa
y determina todo lo necesario para llevarla a cabo, siguiendo los siguientes pasos:
a. Establecer el compromiso y el reconocimiento de la Dirección sobre las
responsabilidades de seguridad de la información.
b. Verificar si existe el presupuesto necesario para capacitación del personal
involucrado en el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares.
c. Establecer el compromiso necesario de la Dirección para el establecimiento
del Diseño de un SGSI para las Instituciones Militares.
d. Realizar la capacitación sobre las normas básicas de Seguridad de
Información, Políticas de Seguridad Cibernética del Ministerio de Defensa
Nacional publicada en el MIDENA8.
Una vez realizado las actividades anteriores se determinará la factibilidad
operativa, si los usuarios están en la mejor disposición y compromiso para el
desarrollo del Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares.
8 Política de Seguridad Cibernética del Ministerio de Defensa Nacional (MIDENA), con el propósito de establecer una cultura institucional de Seguridad Tecnológica.
-81-
3.3.2 FACTIBILIDAD TÉCNICA
La factibilidad técnica es un análisis de la tecnología requerida para conseguir la
funcionalidad y el rendimiento del proyecto propuesto, cuál es el riesgo de
desarrollo y cómo afectan éstos elementos en el costo del proyecto. Además, se
debe definir si el problema se puede resolver con los medios actualmente
existentes y el grado de adaptación de la solución a la tecnología con la que
cuenta la organización, para lo cual se seguirá los siguientes pasos:
a. Realizar una evaluación de las capacidades técnicas requeridas para las
alternativas del diseño.
b. Verificar si el personal la experiencia técnica para establecer el Diseño de un
Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares.
c. Verificar que el personal con experiencia suficiente en el área de seguridad de
la información que será la encargada de supervisar el Diseño de un Sistema
de Gestión de Seguridad de la Información para las Instituciones Militares.
d. Evaluar la Infraestructura Tecnológica que posee la institución y las requeridas
para el Diseño.
e. Analizar el grado de aceptación que genera el Diseño de un Sistema de
Gestión de Seguridad de la Información para las Instituciones Militares.
-82-
Una vez realizado las actividades anteriores se determinará la factibilidad técnica,
si el personal que labora en la Institución posee experiencia técnica requerida
para el Diseño y la Infraestructura Tecnológica que posee son las adecuadas
para el proyecto.
3.3.3 FACTIBILIDAD ECONÓMICA
La factibilidad económica es un análisis que se realizará para determinar el costo-
beneficio del Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares.
(Seen, 1987), señala que “en el desarrollo de un sistema los beneficios
financieros deben igualar o exceder los costos de inversión para la empresa, para
poderse considerar factible económicamente”, por lo cual permite la utilización de
los servicios y sistemas que se dispone de manera eficaz y eficiente, rendir
cuentas en los lapsos previsto, minimizar los tiempos de respuestas a las
peticiones realizadas por los usuarios, tener información actualizada y
consolidada así como control y auditoría de los servicios, sistemas, debido a que
la seguridad de la información juega un papel preponderante y cualquier monto de
inversión para establecer el Diseño de SGSI para las Instituciones Militares, es
considerado ínfimo respecto a los beneficios que se obtienen.
Al analizar la factibilidad operativa, técnica y económica se determinará si el
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, basado en las normas (ISO/IEC 27001:2005, 2005) es
viable.
-83-
3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI
Una vez identificada la necesidad en la fase de diagnóstico y estudiada la
Factibilidad de establecer el Diseño del Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, se procedió al establecimiento del
Diseño del SGSI, cláusula 4.2 del ISO 27001:2005.
3.4.1 DISEÑO DEL SGSI
a. Definir el alcance y los límites del Diseño del Sistema de Gestión de Seguridad
de la Información para las Instituciones Militares en términos de las
características de la DIRTIC, localización, activos y tecnología.
b. Definir una política del Diseño del Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares en término de las características de
la DIRTIC, su ubicación, activos y tecnología.
c. Definir el enfoque de evaluación del riesgo de la organización.
1. Identificar una metodología de evaluación del riesgo que sea adecuada al
Diseño del SGSI, a la seguridad de la información y a los requisitos legales
y reglamentarios.
2. Desarrollar criterios para la aceptación de los riesgos e identificar los
niveles aceptables de riesgo.
-84-
d. Identificación los riesgos.
1. Identificar los activos dentro del alcance del SGSI y los dueños de esos
activos.
2. Identificar las amenazas a esos activos.
3. Identificar las vulnerabilidades que podrían ser aprovechadas por las
amenazas.
4. Identificar los impactos que las pérdidas de confidencialidad, integridad y
disponibilidad puedan tener sobre los activos.
e. Analizar y evaluar los riesgos
1. Evaluar los impactos que puedan resultar en fallas de seguridad, tomando
en cuenta las consecuencias de una pérdida de la confidencialidad,
integridad o disponibilidad de los activos.
2. Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo
en cuenta las amenazas predominantes y vulnerabilidades, e impactos
asociados con estos activos, y los controles implementados actualmente.
3. Estimar los niveles de riesgos.
4. Determinar si los riesgos son aceptables o si requieren tratamiento
utilizando los criterios para la aceptación de los riesgos establecidos en
4.2.1 c) 2).
f. Identificar y evaluar las opciones para el tratamiento de los riesgos.
g. Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos
-85-
h. Obtener la aprobación de los riesgos residuales propuestos por la dirección.
i. Obtener la autorización de la dirección para implementar y operar el SGSI.
j. Preparar una declaración de Aplicabilidad.
-86-
CAPÍTULO 4. APLICACIÓN DEL DISEÑO DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA INSTITUCIONES MILITARES.
4.1 DESCRIPCIÓN DE LA PROPUESTA
Para realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, se utilizará la norma ISO/IEC 27001:2005, el cual
adopta el enfoque de procesos basado en el ciclo Deming “Planificar – Hacer –
Verificar – Actuar” (PHVA).
En el Diseño de un Sistema de Gestión de la Información para Instituciones
Militares, se tomará como referencia a la Dirección de Tecnologías de la
Información y Comunicaciones (DIRTIC), al flujo de la información militar a través
del Sistema de Comunicaciones Navales9, al utilizar los servicios y sistemas
informáticos por los usuarios de los repartos navales y militares.
La DIRTIC tiene como función básica Planificar, gestionar, estandarizar,
controlar, integrar, e implementar proyectos, sistemas y servicios telemáticos;
manteniendo su disponibilidad y operatividad, de tal forma que el flujo de
información sea seguro, confiable y oportuno, para facilitar el cumplimiento de las
tareas operativas y administrativas en las Instituciones Militares10.
9 D.G.P. COGMAR-INF-002-2010-O. Directiva General Permanente. Seguridad de la Información. 10 DIRTIC. Estatuto Orgánico por Procesos. Función Básica.
-87-
El SGSI propuesto dentro de esta tesis exige que se siga una serie de requisitos
para que se establezca a través de la fase denominada “Planificar” una vez
establecido el modelo se implementa siguiendo los lineamientos de la fase
“Hacer”.
Cuando el modelo se ha implantado y está funcionando, se debe “monitorear y
revisar” durante la fase “verificar” y por último, con base en lo observado, se
procede a “Actuar” y tomar correctivos necesarios.
Este modelo permite proceder metodológicamente para efectuar una identificación
de activos de información dado un alcance determinado, distinguir entre el análisis
y evaluación del riesgo y visualizar la relación causa - efecto entre los elementos
del riesgo.
4.3 ALCANCE DEL DISEÑO DEL SGSI.
El alcance del Diseño del Sistema Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada, se encuentra contemplado de
acuerdo a los requerimientos de la Institución y basados en la norma ISO/IEC
27001:2005, en el numeral 4.2.1 literales a) a la j), se realizará en la Armada del
Ecuador, tomando como caso de estudio a la Dirección de Tecnologías de la
Información y Comunicaciones (DIRTIC) y al Centro de Tecnología de la
Información (CETEIN), ubicado en el Edificio de la Dirección General del Material,
segundo piso, de acuerdo a como se ilustra en el Anexo G y Anexo H.
-88-
Se determinará el alcance del diseño del SGSI, política del SGSI, enfoque de
evaluación de riesgo, identificación del riesgo, análisis de riesgo y su evaluación,
plan de tratamiento del riesgo y el proceso de toma de decisión gerencia y la
revisión de los riesgos y la reevaluación.
Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, tomando como caso de estudio a la Dirección de
Tecnologías de la Información y Comunicaciones (DIRTIC) y al Centro de
Tecnología de la Información (CETEIN) permitirá que los riesgos de la seguridad
de la información sean asumidos, gestionados y minimizados por la Institución de
una forma evaluada, documentada y estructurada.
Es importante aclarar que los aspectos que conforman la confidencialidad de la
información en las Instituciones Militares, son un factor importante en el desarrollo
de la investigación y es por eso que la información mostrada de la Armada del
Ecuador y de la Dirección de Tecnologías de la Información y Comunicaciones es
referencial y solo para efectos académicos respectivos, en vista que la
información militar11 es secreta y confidencial.
Para la implementación, operación, revisión, mantenimiento y mejora del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares sólo se
especificará los lineamientos generales.
Para identificar con precisión las interfaces y dependencias del SGSI con otras
entidades de la DIRTIC, CETEIN y entidades civiles y militares externas, se optó
por utilizar la metodología propuesta por (Alexander, 2007, pág. 42), el método de
las elipses, definida como “…método que permite, dado un determinado alcance
de un SGSI, identificar sus interfaces, interdependencias con áreas y procesos,
11 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.
-89-
así como averiguar el tipo de memorando de entendimiento que existe o debiera
de elaborarse, así como los contratos existentes y los grados de acuerdo
necesarios”.
Se realizaron los siguientes pasos:
a) Se determina en la elipse concéntrica los distintos procesos y subprocesos que
se realizan la DIRTIC.
b) Se identificó en la elipse intermedia las distintas interacciones que los procesos
de la elipse concéntrica tiene con otros procesos de la DIRTIC y las Instituciones
Militares
c) Se identificaron aquellas organizaciones extrínsecas a la DIRTIC que tienen
cierto tipo de interacción con los procesos y subprocesos identificados en la elipse
concéntrica
d) Se unió con flechas los tipos de interacción y la direccionalidad que tiene el
flujo de información, la Figura 5 muestra este método aplicado a la DIRTIC,
CETEIN y a los servicios que dispone esta Dirección.
-90-
Figura 5. Metodología de las elipses de Dirección de Tecnologías de la Información y Comunicaciones.
Fuente: Autor.
La interconexión física de todos los equipos que permiten la comunicación de los
sistemas que disponen la Dirección de Tecnologías de la Información y
Comunicaciones (DIRTIC) y el Centro de Tecnología de la Información (CETEIN),
se ilustra en la Figura 6 los cuales son los activos que se utilizarán para el Diseño
del Sistema de Gestión de Seguridad de la Información para Instituciones
Militares.
-91-
Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la Información y Comunicaciones.
Fuente: Autor.
4.3 POLÍTICA DE UN SGSI
Una vez determinado el alcance del Diseño del Sistema de Gestión de Seguridad
de la Información para Instituciones Militares, la DIRTIC debe establecer una clara
política de seguridad para apoyar al Diseño del Sistema de Seguridad de
Información para Instituciones Militares, la (ISO /IEC 17779:2005, 2005), plantea
que el objetivo de la política es: “… proveer a la gerencia dirección y apoyo para
la seguridad de la información”.
DIAGRAMA FÍSICO DE RED
TELCONET
SW CORE
SWSERVIDORES
REDMODE
SW PUBLICO
FW-P FW-STBY
SWBACKBONE
ESDESU1 2 3
CLUBNADIMARE
TALLERESNIVEL-III
SERVIDORESDIGREH
FORTINET
PROXY
SERVIDORESDIRTIC
NÚCLEO
DISTRIBUCIÓN
ACCESO
-92-
Las políticas deben ser realizadas por el Departamento de Normalización y
Seguridad Telemática y aprobadas por la Dirección de Tecnologías de la
Información y Comunicaciones y se deben dar a conocer a todas repartos de las
Instituciones Militares.
En el Anexo H, se observan las políticas de seguridad de la información para la
Dirección de Tecnologías de la Información y Comunicaciones, las mismas que
contienen:
· Alcance de la política
· Definiciones
· Descripción de las políticas
o Acceso a la información
o Administración de cambios
o Seguridad de la información
o Seguridad para los servicios informáticos
o Seguridad en los recursos informáticos
o Seguridad en comunicaciones
o Seguridad para los usuarios externos
o Software utilizado
o Actualización de hardware
o Almacenamiento y respaldo
o Contingencia
o Auditoría
o Seguridad física
-93-
o Estaciones de trabajo
o Administración de la seguridad
4.4 ENFOQUE DE EVALUACIÓN DE RIESGO
El enfoque y la filosofía para el riesgo en una organización están determinados de
manera muy precisa por el ISO/IEC 27001:2005. En el Capítulo 2, se determina
que la, la metodología de evaluación de riesgo empleada es herramienta
CRAMM, y el IT Baseline Protection Model del BSI Alemán.
La herramienta CRAMM puede usarse con ISO 27001 así como para el manejo
de riesgo de negocios. (ESPE, 2005) Esta herramienta utiliza una escala de 1 a
10 para la valorización de los activos, de 1 a 5 niveles para las amenazas y de 1 a
3 para las vulnerabilidades y el cálculo del riesgo de 1 a 7 según una matriz.
El IT Baseline Protection Model del BSI Alemán, permite establecer los riesgos en
base a los activos, amenazas y contramedidas. Presenta una tabla de 200
amenazas clasificadas en cinco tipos: fuerza mayor, deficiencias
organizacionales, fallas humanas, fallas técnicas y actos deliberados, tiene la
desventaja de no trabajar directamente con vulnerabilidades.
Por lo anterior descrito, para la evaluación de riesgo de este proyecto no es
recomendable trabajar con una sola metodología, es importante conocer las
bondades de cada una y aprovecharlas para adaptarla en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares.
-94-
4.5 IDENTIFICACIÓN DEL RIESGO
El cálculo de los riesgos de seguridad de información incluye normalmente el
análisis y la evaluación del riesgo. El análisis del riesgo contemplará:
1) Identificar los activos dentro del alcance del SGSI y los dueños de esos activos
2) Identificar las amenazas a esos activos
3) Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas
4) Identificar los impactos que las pérdidas de confidencialidad, integridad y
disponibilidad puedan tener sobre los activos.
4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS
Se realizó el levantamiento de información y posteriormente la situación actual de
los activos de información de la Dirección de Tecnologías de la Información y
Comunicaciones, Centro de Tecnología de la Información y la sala de servidores,
clasificando en 7 clases de activos primarios considerando de acuerdo a los
activos que posee las instituciones militares, mirando los criterios de
confidencialidad, integridad y disponibilidad (ESPE, 2005).
Se identificaron los activos considerados vitales por el nivel de impacto que
representa a la misma en el caso de si fallara o faltara, por tal motivo se generó
un listado de los mismos, en el cual se asignó y clasificó a cada uno de los activos
por su nivel de importancia (escala 1 – 10), siendo el valor de 10 como el activo
de mayor importancia, como se detalla en la Tabla 16.
-95-
Tabla 16. Activos Primarios clasificados. Fuente: Autor.
ACTIVOS PRIMARIOS CLASIFICADOS
Clase 1 - Componentes de Protección Genérica
Clase 2 - Infraestructura
Clase 3 - Sistemas clientes y Computadoras aisladas
Clase 4 - Servidores y redes
Clase 5 - Sistemas de Transmisión de Datos
Clase 6 - Telecomunicaciones
Clase 7 - Otros componentes TI
CLASE 1 - COMPONENTES DE PROTECCION GENERICA
Nro. Nombre Activo Primario
Nivel Descripción general
1.1 Reparto 8 Conjunto de medidas generales y genéricas en el campo organizacional para una protección mínima en la DIRTIC y en TI tales como administración de medios de datos, procedimientos en el uso de contraseñas, entre otros.
1.2 Personal 5 Totalidad de cuestiones relacionadas con el personal en su influencia en la DIRTIC, desde su contratación, ausencias, entrenamiento, retiro, cambio de oficina, despido o jubilación.
1.3 Políticas de back up 9 Sistema de procedimientos sistemáticos y prevención de fallas técnicas, borrado o manipulación inadecuada para evitar que los datos se vuelvan inservibles o se pierdan.
1.4 Protección de virus 9 Prevención o detección de virus tan pronto como sea posible y minimización de posibles daños.
1.5 Información 9 Información clasificada
1.6 Gestión de hardware y software
7 Procedimientos de seguridad referidos al ciclo de vida de componentes de hardware y software.
CLASE 2 - INFRAESTRUCTURA
Nro. Nombre Activo Primario
Nivel Descripción general
2.1 Edificios 2 Construcción donde se realizan operaciones de procesamiento de datos de la DIRTIC.
2.2 Cableado 5 Diseño y disposición de líneas de comunicaciones y servicios adicionales.
2.31 Oficinas 2 Lugar donde funciona la DIRTIC.
2.32 Sala de Servidores 9 Lugar donde se encuentran los servidores y componentes complementarios incluyendo los servicios de funcionamiento y prevención general.
2.33 Archivos de medios de datos
6 Lugar específico dentro de un ambiente donde se guardan medios de datos, típicamente de backup.
2.34 Cuarto de Cableado Secundario
2 Centros de conectividad, y las facilidades para su funcionamiento.
2.4 Gabinetes de protección
3 Armario para guardar medios de datos o hardware.
CLASE 3 - SISTEMAS CLIENTES Y COMPUTADORAS AISLADAS
Nro. Nombre Activo Primario
Nivel Descripción general
3.1 Laptops 4 Computadoras portátiles en general.
-96-
3.2 PCs bajo Windows 3 PCs conectadas en red como clientes de un servidor.
CLASE 4 - SERVIDORES Y REDES
Nro. Nombre Activo Primario
Nivel Descripción general
4.1 Red soportada por servidor
8 Computador que provee servicios a una red independientemente del sistema operativo que funcione.
4.2 Servidor Linux 8 a 10
Computador bajo sistema operativo Unix/Linux que provee servicios en una red.
4.3 Servidor Windows 8 a 10
Computador bajo sistema operativo Windows que provee servicios en una red.
4.4 Componentes activos de red
9 Routers, switches y demás dispositivos activos de conectividad; topología, configuración, selección y protocolos de comunicaciones.
4.5 Gestión de redes y sistemas
6 Operaciones centralizadas de chequeo y monitoreo centralizado de una red, y administración de usuarios, distribución de software y manejo de aplicaciones.
CLASE 5 - SISTEMAS DE TRANSMISION DE DATOS
Nro. Nombre Activo Primario
Nivel Descripción general
5.1 Intercambio de medios de datos
4 Manejo de medios de datos en tránsito no electrónico; almacenamiento físico en origen y destino.
5.2 Modem 5 Dispositivo de comunicación de banda ancha
5.3 Firewall 10 Dispositivo de protección entre dos redes, típicamente en el acceso a Internet.
CLASE 6 - TELECOMUNICACIONES
Nro. Nombre Activo Primario
Nivel Descripción general
6.1 Máquina de fax 2 Dispositivo de envío manual de imágenes de documentos vía telefónica.
CLASE 7 - OTROS COMPONENTES IT
Nro. Nombre Activo Primario
Nivel Descripción general
7.1 Software y aplicaciones
7 Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que dispone la DIRTIC: requerimientos, selección, pruebas, aprobación, instalación, desinstalación.
7.2 Bases de datos 10 Selección, instalación, configuración y operación de un sistema de bases de datos por medio de un DBMS.
Una vez determinado los activos de acuerdo con el alcance del Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
se procede a identificar las amenazas y vulnerabilidades del mismo.
-97-
4.5.2 IDENTIFICACIÓN DE AMENAZAS
Los activos de información están sujetos a distintas formas de amenazas, una
amenaza puede causar un incidente no deseado que puede generar daño a la
organización y a sus activos, es decir es una situación en la cual una persona
puede hacer algo indeseable o una ocurrencia natural.
Las amenazas pueden ser de distintos tipos con base en su origen, en la Tabla 17
se muestra una clasificación de 5 tipos de amenazas y 5 niveles de amenazas
que afectan a los activos de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 17. Amenazas definidas. Fuente: Autor.
AMENAZAS DEFINIDAS
Tipo
Niveles de Amenazas
Fuerza Mayor Muy Baja 1
Deficiencias organizacionales Baja 2
Fallas humanas Media 3
Fallas técnicas Alta 4
Actos deliberados Muy alta 5
TIPO 1 - FUERZA MAYOR
Nro. Nivel Descripción Detalle
1.1 3 Pérdida de personal Por enfermedad, accidentes, muerte, huelgas que conduzcan a que tareas TI cruciales no se puedan efectuar.
1.2 4 Fallas de los sistemas TI De un único componente que puede afectar toda la operación TI. Fallas del ISP.
1.3 2 Rayos Que causen alto voltaje o el disparo de extinguidores automáticos de incendio paralizando las operaciones.
1.4 4 Incendio Además del daño directo el causado por el agua con que se ataca el incendio. Descuido en el manejo de material combustible, uso impropio de dispositivos eléctricos, fallas en el equipamiento eléctrico.
1.5 3 Inundación Por lluvia, inundaciones, agua usada en un incendio, bloqueo de drenajes.
1.6 2 Cables quemados Corte de conexiones, formación de gases agresivos, material aislante no resistente al fuego, fuego humeante sin llama en cables empaquetados.
-98-
1.7 2 Polvo y suciedad Por trabajos realizados en paredes, pisos, actualizaciones de hardware, materiales de empaquetado.
1.8 2 Efectos de catástrofes en el ambiente
En los alrededores de la DIRTIC. Desde accidentes técnicos y daños por colisiones.
1.9 2 Problemas causados por grandes eventos públicos
Interrupción de operaciones, violencias, cortes de líneas de transmisión.
1.10 2 Tormentas Desprendimiento de instalaciones en azoteas (por ejemplo aire acondicionado), paredes débiles que caen y cortan cables.
TIPO 2 - DEFICIENCIAS ORGANIZACIONALES
2.1 4 Falta o insuficiencia de reglas de seguridad en general
Organización: asignación responsabilidades, gestión de recursos
2.2 5 Conocimiento insuficiente de documentos sobre reglas y procedimientos
Falta información procedimientos manejo de dispositivos de almacenamiento y e-mails.
2.3 2 Recursos incompatibles o inadecuados
Memoria principal o espacio en disco insuficiente.
2.4 3 Monitoreo insuficiente de las medidas de seguridad IT
No se imprimen las entradas de consola para su análisis. Los servidores que se usan para comunicaciones externas deben chequearse semanalmente en cuanto a integridad.
2.5 2 Mantenimiento faltante o inadecuado
Baterías de UPS. Presión extinguidores.
2.6 1 Uso no autorizado de derechos
Derechos de admisión a hardware o software asignados a personas equivocadas, o un derecho abusado.
2.7 1 Uso no controlado de recursos
Los medios privados que pueden entrar virus en las PCs. Productos de limpieza no adecuados.
2.8 2 Ajuste deficiente a los cambios en el uso de IT
Cambios de derechos en personal por vacaciones. No se imprimen los cambios de procedimientos.
2.9 3 Medio de datos no disponible cuando se lo requiere
Falta de rotulación adecuada o almacenamiento en lugares no previstos.
2.10 3 Dimensionamiento insuficiente de redes y centro de cómputo
Sala de servidores, centros de cómputo. Capacidad red y computadores, extendida en línea por volumen de datos o nuevos servicios. Cableado. Nuevas normas.
2.11 2 Documentación insuficiente del cableado
Consecuencias por desconocimiento cableado interno y externo. Trabajos de terceros.
2.12 1 Protección inadecuada de dispositivos de distribución de energía
Si son accesibles en corredores y cajas de escaleras, cualquier persona podría manipularlos y causar una caída de energía.
2.13 2 Cambios no regulados de usuarios en laptops
Ante cambios de usuarios en móviles puede quedar información sensible o virus. Y si no se controlan esos cambios no se sabe quién los usó y cuándo.
2.14 1 Etiquetado inadecuado de medios de datos
El que recibe podría no poder identificar el origen, la información almacenada, o el propósito. Podría afectar una secuencia, los errores y correcciones que no quedan claros.
2.15 1 Entrega impropia de medios de datos
Puede caer en manos impropias. Direccionamiento, empaquetado, fallas de responsabilidad en recepción.
-99-
2.16 1 Provisión inadecuada de papel para máquinas de fax
Papel, batería
2.17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger
Si no hay protección con un firewall queda mucha información expuesta a Internet y hasta el resto puede deducirse u obtenerse con mayor facilidad.
2.18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P
Funciones P2P en un mismo servidor Windows; restricción de ancho de banda, retardos.
2.19 3 Procedimientos faltantes o inadecuados para test y liberación de software
Si no se hacen pruebas antes de instalar algo nuevo, pueden volverse amenazas. Sobre todo si se lo hace sin mayores conocimientos.
2.20 3 Documentación faltante o inadecuada
Varios: descripción de productos, uso por administrador y usuario, y de sistema. Impactan la selección y toma de decisiones. Archivos temporales con información sensible, configuraciones que cambian y pueden afectar aplicaciones que estaban corriendo, cableado.
2.21 2 Violación de derechos de autor
Software pirata.
2.22 4 Prueba de software con datos de producción
Pensando que así se obtiene una valuación definitiva de las funciones y performance. Puede ser que sean copias y en un ambiente aislado pero como son datos reales están expuestos a terceros no autorizados a leer esa información. Y si se hacen directamente en operación, a la pérdida de confidencialidad se agregan la de integridad y disponibilidad.
2.23 2 Planificación inadecuada de los dominios
En redes Windows pueden ocurrir relaciones de interconfianza inadecuadas. Esto puede darse especialmente cuando los derechos de acceso se hacen muy amplios asumiendo que nadie de otro dominio accederá los recursos locales.
2.24 3 Protección inadecuada del sistema Windows
Por default hay amplios derechos de acceso al sistema de archivos y registro.
2.25 1 Restricción inapropiada del ambiente de usuarios
Algunas permitidos, prohibidos todas los demás. O la inversa: algunas prohibidas, permitidas todas las demás.
2.26 2 Mecanismos de seguridad de bases de datos faltantes o implementados inadecuadamente
El software de BD trae generalmente mecanismos de seguridad que protegen los datos de accesos no autorizados, pero estos mecanismos generalmente no son automáticos sino que se activan manualmente por parte del administrador. Sino no se podría garantizar confidencialidad e integridad, así como tampoco identificar violaciones de seguridad de registro. Podría haber pérdidas de datos y la destrucción de la BD.
2.27 2 Complejidad del DBMS Si los mecanismos de seguridad propios no son suficientes, o si las medidas que recomienda el fabricante no se tienen en cuenta. En cuanto al concepto de DB: que los datos específicos de la aplicación no se almacenen en medios separados, o el no uso de db triggers y procedimientos almacenados, o si su uso no es consistente resulta proclive a manipulaciones que pueden afectar la integridad.
2.28 3 Complejidad del acceso a las bases de datos
Que los derechos sean muy restrictivos y no se puedan realizar algunas tareas. O que sean muy laxos permitiendo manipulaciones. Si los usuarios pueden acceder directamente a la DB. Salvaguardas insuficientes para el acceso remoto a la DB. Restricciones a las consultas.
2.29 1 Organización deficiente del cambio de usuario en bases de datos
Varios usuarios compartiendo una DB en la misma estación de trabajo y que no se deslogean.
-100-
2.30 3 Deficiencias conceptuales de las redes
Usuarios trabajando en grupos teniendo presente confidencialidad e integridad. Nuevas aplicaciones con mayores exigencias de ancho de banda. Pérdida de disponibilidad con redes propietarias. Componentes que no soportan ciertos protocolos.
2.31 1 Descripción inadecuada de archivos
Varios mensajes del mismo origen sin identificación adecuada, cuando a una serie de mensajes se hacen correcciones en uno de ellos.
2.32 2 Almacenamiento inadecuado de un medio en casos de emergencias
Por falta de capacidad de almacenamiento que se haga back up solamente de los archivos log y de configuración.
2.33 1 Operación de componentes no registrados
Componentes agregados desconocidos para el administrador.
2.34 4 Manejo inapropiado de los incidentes de seguridad
Las posibilidades siempre existen y los incidentes no pueden eliminarse. Lo importante es la respuesta dada a un incidente. Casos como nuevos virus, control del material que se mantiene en un servidor Web que puede indicar un signo de ataque, nuevas vulnerabilidades que se descubren en los sistemas IT, datos corporativos que han sido manipulados. Si no hay procedimientos apropiados para manejar incidentes se puede llegar a tomar decisiones incorrectas que afecten la seguridad (componentes que se mantienen pese a conocerse serias debilidades, o viceversa, se saca algo cuyo riesgo es menor.
2.35 3 Administración inapropiada de derechos de acceso
Porque intervienen muchas personas. No hay registro sistemático de todos los usuarios; quedan cuentas abiertas, o se acumulan derechos por cambios de actividades. Cuidado especial con los grupos.
TIPO 3 - FALLAS HUMANAS
3.1 2 Pérdida de confidencialidad /integridad de datos por errores de los usuarios
Impresiones en papel que caen en manos inapropiadas. Dispositivos de almacenamiento despachados sin borrar los datos anteriores. Derechos de acceso incorrectos que pueden hacer que se modifiquen datos críticos.
3.2 2 Destrucción negligente de equipamiento o datos
Apagado computador al aparecer mensaje de error que puede producir errores de integridad. Humedad de café, etc.
3.3 4 No cumplimiento con las medidas de seguridad TI
Por negligencia o pruebas insuficientes. Podrían producirse daños que podrían haberse previsto o al menos minimizados. Depende de la persona actuante.
3.4 1 Conexión inadmisible de cables
Por documentación o etiquetado deficiente. Puede ocasionar el paso de datos adicionales o a direcciones equivocadas.
3.5 2 Daño inadvertido de cables
Por falta protección, cables colgando, en el suelo, perforaciones, agua.
3.6 2 Riesgos planteados por el personal de limpieza o externo
Manejo inapropiado de equipos, o uso indebido o hurto de componentes.
3.7 2 Uso impropio del sistema TI
Negligencia o ignorancia de medidas de seguridad. Falta de información de la operación y funcionamiento correcto del sistema TI.
3.8 3 Administración inapropiada de los sistemas TI
Negligencia o ignorancia de medidas de seguridad. Si algunos puntos de acceso se crean o no se deshabilitan por no ser necesarios para la operación regular o proclive a errores.
3.9 1 Transferencia de registros de datos incorrecta o indeseada
Datos anteriores que no debieran aparecer. Si se envían electrónicamente las listas podrían no estar actualizadas respecto de personal que no trabaja más.
-101-
3.10 3 Exportación incorrecta de sistemas de archivos bajo Linux
Los discos exportados en Linux pueden montarse por cualquier computador con el nombre definido en /etc/exports. El usuario de ese computador puede asumir cualquier UID/GID, es decir que sólo se pueden proteger los archivos pertenecientes al root. Los archivos de todos los demás usuarios están completamente desprotegidos, especialmente los que pertenecen a usuarios privilegiados como bin o daemon.
3.11 4 Configuración impropia del sendmail
Errores de configuración que permitan obtener las IDs de usuario y grupo que estén setados con las opciones u y g (normalmente daemon).
3.12 1 Administración incorrecta del sitio y derechos de acceso a los datos
Derechos de acceso incorrectos pueden permitir acceder a datos de auditoria así como ocultar las manipulaciones.
3.13 1 Cambio incorrecto de usuarios de PC
Desregistro de un usuario antes de logearse otro por negligencia o conveniencia. Fallaría la auditoria de logs.
3.14 2 Administración impropia de una DBMS
Administración negligente o impropia de la DB, así como derechos de acceso demasiado generoso, irregularidad o falta de monitoreo, backups inadecuados, UDs inválidas pero no desactivadas, pueden producir pérdida de datos, manipulación intencional o inadvertida de datos, acceso no autorizado a datos confidenciales, pérdida de integridad de la DB, caída y destrucción.
3.15 3 Configuración inadecuada de los componentes activos de las redes
Configuración incorrecta de VLAN, tablas de enrutado en subredes sea el enrutado estático o de actualización automática por medio del RIP u OSPF, componentes que filtran protocolos y direcciones de red pero que también pueden permitir las conexiones de sistemas TI externos dentro de la red protegida.
3.16 1 Deshabilitación de un servidor en operación
Servidor de gestión deshabilitado se pierde lo que estaba en memoria, aparecerán inconsistencias en los datos administrados.
3.17 3 Errores en la configuración y operación
Información que ofrece el servidor Web, o un servidor DNS, contenidos ejecutables de un e-mail, archivos bajados, programas que se abren sin ser necesarios y que pueden usarse para ataques.
3.18 4 Manejo inapropiado de contraseñas
Que no las conozcan otras personas. Token cards perdidas. Nombres comunes, etc.
3.19 3 Falta de cuidado en el manejo de la información
Contraseñas escritas a la vista, información divulgada en celulares, viajando. Reparación de una máquina por cambio y quedan los datos para otro usuario.
TIPO 4 - FALLAS TECNICAS
4.1 2 Disrupciones en la fuente de energía
Cortes breves (UPS), UPS en condiciones para switch back.
4.2 2 Fallas de las redes internas de alimentación
Electricidad, teléfono, aire acondicionado. También por temperatura, agua, etc.
4.3 2 Medios de datos defectuosos
Discos con caída de la cabeza, CD por ralladuras superficiales.
4.4 5 Reconocimiento de vulnerabilidades en el software
Errores no intencionales del programa no conocidos por usuario. Se siguen encontrando debilidades. Contramedida
4.5 4 Diversidad de posibilidades de acceso a sistemas TI en red
Además del ingreso "directo" con contraseña, por sendmail que puede introducir textos, ftp anónimo sin contraseña, telnet registro completo. Windows más seguro.
-102-
4.6 1 Errores de transmisión de fax
Los errores en la ruta de transmisión o en los dispositivos de conexión pueden producir pérdidas o que la información se vuelva ilegible.
4.7 1 Defectos técnicos de las máquinas de fax
Disponibilidad e integridad pueden verse afectadas.
4.8 1 Pérdida de datos debido al agotamiento del medio de almacenamiento
No se puede almacenar más datos, email entrante se rechaza, no se pueden mantener auditorias.
4.9 4 Fallas de una base de datos
Por errores, o acto de sabotaje puede tener amplias consecuencias dependiendo de las funciones y significado de la DB. Consecuencias pérdidas financieras, interrupción parcial o total de las operaciones.
4.10 2 Pérdida de datos en una base de datos
Por manipulación inadvertida, caídas de la DB e intrusiones deliberadas. Podría impedirse la ejecución, perderse la correlación de datos. Puede ocurrir cuando se cambia el modelo de la DB.
4.11 3 Pérdida de integridad/consistencia de una base de datos
Corrupción parcial o datos no inteligibles por manipulación de datos no intencionales, chequeos inadecuados de la sincronización de transacciones, e intrusiones deliberadas.
4.12 5 Falla o mal funcionamiento de un componente de red
Puede afectar a toda la red o secciones de la misma. Podría ser un switch que afecta toda su área, o componentes activos en el camino de las comunicaciones (y no hay caminos redundantes), o para redundancia o balanceo de carga (con las consiguientes restricciones de ancho de banda).
4.13 4 Autenticación faltante o de pobre calidad
Pueden hacer que personas no autorizadas logren acceder al sistema, que no se puedan identificar las causas de problemas, o no se pueda determinar el origen de los datos. Esto ocurre por contraseñas débiles, o no se los cambia con regularidad, o hay fallas de seguridad frente a los que no se reacciona.
4.14 2 Falla de componentes de un sistema de gestión de red o de sistemas
Pueden fallar los componentes administrados, o los de monitoreo mismo, la estación central de gestión, o algún elementos de conmutación durante la transmisión correspondiente.
4.15 4 Vulnerabilidades o errores de software
Tanto standard como los demás. Quizás encripción de standard no es suficiente. Funciones sin documentar. Errores de seguridad en la programación, desborde de buffers.
4.16 1 Reconocimiento automático del DVD-ROM
Si el reconocimiento de DVD-ROM está activado en Windows puede ejecutarse algún programa peligroso en el momento del arranque.
TIPO 5 -ACTOS DELIBERADOS
5.1 2 Manipulación/destrucción de equipamiento o accesorios de TI
Equipos, accesorios y documentación. Inspección indebida de datos sensibles. Destrucción de medios de datos.
5.2 3 Manipulación de datos o software
Adquisición errónea de datos, cambios derechos de acceso, modificación de datos contables o de mail. Depende de los derechos de acceso de la persona.
5.3 3 Ingreso no autorizado a un edificio
Robo o alteración al poder entrar especialmente en la noche.
5.4 3 Robo Equipamiento TI, accesorios, software, datos, con información confidencial.
5.5 5 Vandalismo Es como un ataque, interno y externo, pero no determinado por empleados frustrados, clima de trabajo propicio.
5.6 4 Ataques Sobre los operadores TI.
-103-
5.7 3 Intercepción de líneas Existencia de programas debug de archivos que se pueden usar para otras causas.
5.8 3 Uso no autorizado de sistemas TI
Sin identificación y autenticación no se puede controlar el uso no autorizado. Elección de contraseñas. Uso de diccionarios para romperlas.
5.9 1 Intercepción de llamadas telefónicas y transmisiones de datos
Por conferencia oculta o intercepción de línea.
5.10 1 Escuchas furtivas de salas Terminales con micrófonos o uso del handsfree.
5.11 2 Mal uso de los derechos del administrador
Cuando se usan los privilegios del root de Unix para dañar el sistema o los usuarios. Puede ser con archivos con root como propietario y el bit seteado, o por medio del comando su.
5.12 3 Caballos de Troya Funciones escondidas sin documentar. Cualquier programa más archivos batch, secuencias de control que sean interpretados por sistemas operativos o aplicaciones.
5.13 4 Virus de computador Puede destruir datos. De buteo, de archivos y macro virus.
5.14 1 Copia no autorizada de medios de datos
Puede ocurrir cuando se lo reemplaza o transporta que se han copias.
5.15 1 Uso no autorizado de máquinas de fax
Que usen papel con membrete de la empresa para cualquier uso particular o dañino para la empresa.
5.16 1 Visualización no autorizada de mensajes de fax entrantes
Si están en lugar abierto, cualquiera podría leer un mensaje que entra.
5.17 3 Ingeniería social Generalmente mediante llamadas telefónicas haciéndose pasar por otros empleados o secretarias de jefes, o administradores para solucionar posibles errores. Hasta se puede usar para saber si una persona no estará por unos días y así intentar usar su cuenta.
5.18 3 Macro virus Vienen con archivos de Word o Excel. Se ejecutan al cargar el archivo.
5.19 4 Falsificación de dirección IP
Usado para ataques indirectos por medio de intermediarios con la dirección de origen falsificada como si proviniera de otro usuario de modo que las respuestas múltiples irán a la dirección de la víctima.
5.20 3 Abuso del protocolo ICMP Por ser el ICMP un protocolo para información de errores y diagnóstico puede ser manipulado indebidamente por un hacker.
5.21 4 Mal uso de los derechos de administrador en sistemas Windows
Puede asumir propiedad de cualquier archivo. Podrían que quede registrado hace back up en complicidad con los encargados del BU. Alteración de hora o seguimiento detallado de la actividad de usuario.
5.22 3 Manipulación de datos o software en sistemas de bases de datos
Provoca que los datos sean alterados o no puedan usarse por acción directa sobre los mismos o eliminación o modificación de archivos.
5.23 3 Conexión no autorizada de dispositivos de computación a una red.
Puede ocurrir conectándose al cableado de la red o directamente a las interfaces de dispositivos de interconexión.
5.24 2 Ejecución no autorizada de funciones de gestión de red.
Por medio del acceso a puertos administrativos de dispositivos de interconexión en forma local o remota.
5.25 1 Acceso no autorizado a componentes activos de red
Estos dispositivos tienen puerto serial RS 232 o USB lo que permite su administración. Así podría leerse su configuración y lo que puede deducirse de la misma.
-104-
5.26 3 Pérdida de confiabilidad en la información clasificada
Referida tanto a datos confidenciales tanto de la empresa como personales, así como también a la referida a contraseñas y certificados digitales.
5.27 4 Falsificación de DNS Ataque que consiste en alterar las tablas de equivalencia de nombres de sitios o máquinas con sus respectivas direcciones IP.
5.28 3 Pérdida de integridad de información que debiera estar protegida.
Imposibilidad de lectura, o alteración de datos accidental o maliciosamente.
5.29 3 Adquisición no autorizada de derechos de administrador con Windows
Esta cuenta no puede eliminarse ni deshabilitarse por lo que no reacciona frente a sucesivos intentos de registro. Una administración remota pasará la contraseña lo que facilita su escaneado. También están en el registro y en archivos conocidos, así como en dispositivos de almacenamiento y cintas de backups. También se podría lograr agregar una cuenta al grupo administrador.
5.30 1 Sabotaje Manipulación o daño de objetos. Robo de UPS.
Utilizando las amenazas clasificadas, se procederá a realizar un cruce de las
amenazas y los activos como se describe en la Tabla 18. Para que una
amenaza cause daño a algún activo de información tendría que explotar una o
más vulnerabilidades del sistema, aplicaciones o servicios usados por la
organización a efectos de poder ser exitosa en la intención de hacer daño.
-10
5-
Tab
la 1
8.
Cru
ce d
e la
s a
men
azas
Vs.
Ac
tiv
os.
Fuen
te: A
uto
r.
Am
en
aza
s A
ctiv
os
Prim
ari
os
1.1
1
.2
1.3
1
.4
1.5
1
.6
2.1
2
.2
2.3
1 2
.32
2.3
3 2
.34
2.4
3
.1
3.2
4
.1
4.2
4
.3
4.4
4
.5
5.1
5
.2
5.3
6
.1
7.1
7
.2
1.1
X
X
X
X
X
X
X
X
1.2
X
X
X
X
X
X
X
X
X
X
1.3
X
X
X
X
X
X
X
X
X
1.4
X
X
X
X
X
X
X
X
X
X
X
X
X
1.5
X
X
X
X
X
X
X
X
X
X
X
X
1
.6
X
X
X
X
X
X
X
X
X
1
.7
X
X
X
X
X
X
X
X
X
X
1.8
X
X
X
X
X
X
X
X
X
X
X
X
X
1.9
X
X
X
X
X
X
X
X
X
X
X
X
X
X
1
.10
X
X
X
X
X
X
X
X
X
X
X
X
X
2
.1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2
.2
X
X
X
X
X
2.3
X
X
2.4
X
X
X
X
X
X
X
2.5
X
X
X
X
X
X
2.6
X
X
X
X
X
X
X
X
2.7
X
X
X
X
2.8
X
X
2
.9
X
X
2.1
0
X
X
X
X
X
2.1
1
X
X
X
X
2
.12
X
X
X
X
X
X
X
X
X
2.1
3
X
X
-10
6-
2.1
4
X
X
2
.15
X
X
2.1
6
X
X
X
2.1
7
X
X
X
2.1
8
X
X
X
2.1
9
X
X
X
X
X
2.2
0
X
X
X
2.2
1
X
X
X
X
X
2.2
2
X
X
X
2.2
3
X
X
X
X
2
.24
X
X
X
X
X
2.2
5
X
2.2
6
X
2.2
7
X
2.2
8
X
2.2
9
X
X
X
X
2.3
0
X
X
X
2.3
1
X
X
X
2.3
2
X
X
X
2.3
3
X
X
X
X
X
X
X
2.3
4
X
X
X
2.3
5
X
3.1
X
X
X
X
3.2
X
X
X
X
X
3.3
X
X
X
X
X
X
X
X
X
3.4
X
3.5
X
X
X
X
X
-10
7-
3.6
X
X
X
X
X
3.7
X
X
X
X
X
X
X
X
3.8
X
X
3.9
X
X
3.1
0
X
X
3
.11
X
3
.12
X
X
X
3.1
3
X
X
X
3.1
4
X
3.1
5
X
X
X
3.1
6
X
X
3.1
7
X
X
X
X
X
3.1
8
X
X
X
X
X
X
X
X
3.1
9
X
X
X
X
4.1
X
X
X
X
X
X
X
X
X
X
X
4.2
X
X
X
X
X
X
X
4.3
X
4.4
X
X
4.5
X
X
X
4.6
X
4.7
X
X
4
.8
X
X
4.9
X
4.1
0
X
X
4.1
1
X
X
4.1
2
X
X
X
X
X
4.1
3
X
X
X
-10
8-
4.1
4
X
4.1
5
4
.16
X
5
.1
X
X
X
X
X
X
X
X
X
5.2
X
X
X
5.3
X
X
X
X
X
X
X
X
5.4
X
X
X
X
X
X
X
X
X
5.5
X
X
X
X
X
X
X
X
X
X
X
X
X
5.6
X
X
X
X
X
X
X
X
5.7
X
X
X
X
X
5.8
X
X
X
X
5.9
X
X
X
5.1
0
X
5.1
1 X
X
X
X
X
X
X
X
5.1
2
X
X
X
X
X
X
X
5.1
3
X
X
X
X
X
X
X
X
5
.14
X
X
X
X
5.1
5 X
5.1
6
X
5.1
7
X
X
X
5.1
8
X
X
X
X
X
X
X
X
X
5.1
9
X
X
X
X
5.2
0
X
X
X
5.2
1
X
5.2
2
X
5.2
3
X
X
5.2
4
X
X
X
-10
9-
5.2
5
X
X
5
.26
X
X
5.2
7
X
5.2
8
X
X
X
5.2
9 X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
5.3
0
-110-
4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
información de una organización. Al respecto,(Alexander, 2007), define la
vulnerabilidad como una debilidad en el sistema, aplicación o infraestructura,
control o diseño de flujo que puede ser explotada para violar la integridad del
sistema.
Las vulnerabilidades no causan daño, simplemente son condiciones que
pueden hacer que una amenaza afecte un activo.
En la Tabla 19, se presenta las vulnerabilidades clasificadas en tipo 1: física,
organizacionales y operacionales, tipo 2: técnica para plataforma Linux, tipo 3:
técnica para plataforma Windows y tipo 4: técnica de otros dispositivos.
Tabla 19. Vulnerabilidades clasificadas.
Fuente: Autor.
VULNERABILIDADES CLASIFICADAS
TIPO 1 - FÍSICAS, ORGANIZACIONALES Y OPERACIONALES
Nro. Nivel Descripción
1,1 SEGURIDAD LÓGICA
1.1.1 Identificación
1.1.1.1 1 Datos del perfil de usuarios dados de alta
1.1.1.2 2 Gestión de bajas de usuarios
1.1.1.3 2 Mantenimiento de cuentas
1.1.1.4 2 Manejo de los permisos para los accesos
1.1.1.6 1 Identificación única o grupal
1.1.1.7 1 Gestión de grupos
1.1.1.8 2 Súper usuario
1.1.1.9 1 Visualización del logeo en pantalla
1.1.2 Autenticación
1.1.2.1 2 Manejo de los datos de autenticación
1.1.2.2 1 Manejo de intentos de logeo
-111-
1.1.3 Contraseñas
1.1.3.1 2 Generación de contraseñas
1.1.3.2 1 Gestión de cambio de contraseñas
1.1.4 Control de acceso lógico
1.1.4.1 1 Modelo y aplicación
1.1.4.2 2 Criterios de acceso
1.1.4.3 3 Mecanismos de control de acceso interno
1.1.4.4 3 Control de acceso externo
1,2 SEGURIDAD EN LAS COMUNICACIONES
1.2.1 Configuración de la red
1.2.1.1 3 Comunicaciones vía modem
1.2.1.2 2 Recursos compartidos de discos de PC
1.2.1.3 1 Estado de puertos de servicios no necesarios
1.2.2 Virus y Antivirus
1.2.2.1 3 No está habilitado para envío y recepción de mail
1.2.2.2 2 Actualizaciones no adecuadamente frecuentes
1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4 1 No se generan discos de restauración en las PCs bajo Windows
1.2.3 Documentación, normas
1.2.3.1 1 Grado y detalle de la información documentada de la red
1.2.3.2 2 Gestión y procesos de parches
1.2.3.3 1 Documentación de la configuración de las PCs
1.2.4 Ataques a la red
1.2.4.1 1 Antecedentes de ataques ocurridos a la red
1.2.5 Firewall
1.2.5.1 3 Tipo, configuración y nivel de control de firewall
1.2.5.2 1 Pruebas de configuración de firewall
1.2.5 Máquinas de Fax
1.2.5.1 2 Control de envíos por fax
1.2.5.2 1 Distribución de faxes recibidos
1,3 SEGURIDAD EN LAS APLICACIONES
1.3.1 Sistema Operativo
1.3.1.1 1 Requisitos de seguridad considerados al elegir el sistema operativo
1.3.2 Control de datos de aplicaciones
1.3.2.1 1 Existencia de control de cambios para archivos de sistema o bases de datos
1.3.2.2 3 Confidencialidad de datos de laptops y notebooks
1.3.2.3 2 Logs de transacciones y sus detalles
1.3.3 Control de datos en el desarrollo
1.3.3.1 1 Existencia de control de cambios para el desarrollo
1.3.3.2 1 Control del contenido de archivos de entrada
1.3.3.3 2 Control de validez de datos ingresados manualmente
1.3.3.4 1 Control de consistencia de datos de salida
1.3.4 Seguridad de bases de datos
1.3.4.1 2 Control de acceso propio de las bases de datos
1.3.4.2 1 Control de instancias de uso
-112-
1.3.4.3 1 Chequeo regulares de seguridad
1.3.4.4 1 Marcado o borrado de archivos eliminados
1.3.5 Control de aplicaciones
1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches
1.3.5.2 1 Documentación de la instalación o actualización de software
1.3.5.3 2 Control de aplicaciones en máquinas de usuarios
1.3.5.4 1 Control de información que bajan los usuarios de la Web
1.3.6 Mantenimiento de aplicaciones
1.3.6.1 1 Documentación de cambios de emergencia
1.3.6.2 1 Control regular de programas y servicios innecesarios
1.3.6.3 1 Gestión de cambios complejos en archivos de configuración
1.3.6.4 2 Registro de cambios en las configuraciones
1.3.7 Ciclo de vida
1.3.7.1 1 Metodología usada para el desarrollo
1.3.7.2 2 Manejo del código fuente y documentación con desarrollos por terceros
1.3.7.3 1 Uso métricas en el desarrollo
1.3.7.4 1 Registros históricos de las modificaciones
1.3.7.5 2 Existencia de requisitos de seguridad
1.3.7.6 1 Medidas de seguridad durante las implementaciones
1.3.7.7 1 Forma y documentación de pruebas
1.3.7.8 1 Metodología usada para el mantenimiento
1.3.7.9 1 Detalles de la documentación generada en el desarrollo
1,4 SEGURIDAD FISICA
1.4.1 Control de acceso al centro de cómputos
1.4.1.1 2 Restricción de acceso a personas ajenas al área
1.4.1.2 1 Control personal de limpieza en locales con servidores
1.4.2 Control de acceso a los equipos de los usuarios
1.4.2.1 2 Habilitación del NetBIOS
1.4.2.2 1 Habilitación y control de dispositivos externos
1.4.2.3 3 Control de virus
1.4.2.4 2 Existencia de grabadoras de CD y DVD
1.4.2.5 1 Agregado no autorizado de dispositivos externos
1.4.2.6 2 Control y revisión de dispositivos instalados en las PCs
1.4.2.7 1 Apagado o no de los servidores
1.4.3 Utilidades de soporte
1.4.3.1 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
1.4.4 Estructura del edificio
1.4.4.1 1 Tipo, condiciones e instalación del cableado de red
1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo
1.4.4.3 1 Actividades que pueden afectar las operaciones
1.4.4.4 1 Actividades externas que pueden afectar las operaciones
1.4.4.5 2 Protecciones antirrayos
1.4.5 Clasificación de datos y hardware
1.4.5.1 1 Forma de rotular computadoras y periféricos
1.4.5.2 1 Inventario de recursos de hardware y software
-113-
1.4.6 Backup
1.4.6.1 2 Frecuencia de backups
1.4.6.2 2 Datos que se backapean
1.4.6.3 2 Tipos de backup que se realizan
1.4.6.4 2 Medios de almacenamiento de backups
1.4.6.5 1 Rotación de medios
1.4.6.6 1 Herramientas de backup
1.4.6.7 2 Responsables del backup
1.4.6.8 1 Procedimientos de backup
1.4.6.9 2 Pruebas periódicas de recuperación
1.4.6.10 2 Lugar de almacenamiento y controles de acceso
1.4.6.11 1 Rotulación y documentación de backups
1,5 ADMINISTRACION DEL CENTRO DE COMPUTOS
1.5.1 Contramedidas
1.5.1.1 1 Tipo y regularidad de chequeos
1.5.1.2 2 Planificación y documentación de actividades del área
1.5.1.3 1 Documentación detallada del equipamiento
1.5.1.4 2 Documentación y manuales de procedimientos y seguridad
1.5.2 Responsabilidad del equipo de seguridad
1.5.2.1 3 Administración de emergencias
1,6 REGISTROS Y AUDITORIAS
1.6.1 Auditorias generales
1.6.1.1 2 Realización y objetos auditados
1.6.1.2 1 Monitoreo y herramientas
1.6.1.3 2 Gestión de logs
1.6.1.4 1 Utilidad auditoría para rastreo de acciones
1.6.1.5 1 Históricos generados
1.6.2 Logs
1.6.2.1 3 Control de acceso
1.6.2.2 2 Identificación y almacenamiento
1.6.2.3 2 Información contenida en los logs
1.6.2.4 1 Análisis que se realiza
1.6.3 Auditoría de servidores
1.6.3.1 1 Trabajos de mayor uso CPU y memoria
1.6.3.2 1 Datos de mayor tráfico, CPU y memoria
1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria
1.6.4 Auditoría de control de acceso
1.6.4.1 2 Existencia de logs
1.6.4.2 2 Almacenamiento y acceso
1.6.4.3 1 Duración y tratamiento posterior al vencimiento
1.6.4.4 2 Contenido de los logs
1.6.5 Auditoría de redes
1.6.5.1 1 Monitoreo de red
1.6.5.2 1 Periodicidad de chequeos
1.6.5.3 1 Datos revisados y estadísticas
-114-
1,7 PLAN DE CONTINGENCIAS
1.7.1 Plan de contingencias
1.7.1.1 2 Existencia, justificaciones
1.7.1.2 1 Alcance del plan
1.7.1.3 2 Responsabilidades y entrenamiento
1.7.1.4 2 Documentación
1.7.2 Plan de recuperación de desastres
1.7.2.1 3 Responsabilidades
1.7.2.2 2 Identificación de funciones críticas
1.7.2.3 2 Grupo y responsable
1.7.2.4 2 Inventario de equipamiento
1.7.3 Administradores de aplicaciones y sistemas
1.7.3.1 1 Personal de desarrollo
1.7.3.2 2 Técnicos
1.7.3.3 2 Administradores de Redes
1.7.4 Gerencia en seguridad
1.7.4.1 3 Visón y compromiso general y medio en la seguridad
1.7.4.2 3 Reglas de seguridad
1.7.4.3 1 Personal en general - procedimientos
1.7.4.4 2 Personal de desarrollo - procedimientos
1.7.4.5 3 Técnicos - procedimientos
1.7.4.6 3 Administradores de redes - procedimientos
TIPO 2 - TECNICAS DE PLATAFORMAS LINUX
2,1 SERVICIOS ACTIVOS INNECESARIOS
2.1.1 2 Hay habilitados servicios innecesarios
2,2 Bind/DNS
2.2.1 2 Instalación/ISC, versión y parches
2.2.2 2 Actualización dinámica del DNS
2.2.3 2 Demonio named habilitado en servidores no DNS
2,3 RPC
2.3.1 3 RPC Habilitado
2.3.3 2 Servicios RPC que se pueden explotar
2,4 SNMP
2.4.1 2 Versión y puertos habilitados
2.4.2 3 Nombres comunidad por default
2.4.3 2 Chequeo registros MIB
2,5 Shell seguro
2.5.1 1 Instalación y versión
2,6 Servicios NIS/NFS
2.6 .1 3 Versión NIS
2.6 .2 3 Ubicación password del root con NIS
2.6 .3 2 Versión NFS
2.6 .4 3 Configuración archivo export y montaje de sistema de archivos NFS
2,7 Open SSL
-115-
2.7.1 1 Versión
2,8 FTP
2.8.1 3 Habilitación y funcionalidad anónima
2.8.2 3 Sin uso de password en el modo de subida
2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios
2.8.4 3 No se usan restricciones propias del servidor ftp
2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers
2.8.6 3 No hay diferenciación archivos contraseñas con los del OS
2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo
2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin
2.8.9 2 Permisos y propietarios directorio home ~ftp/
2.8.10 3 Existencia de archivos .rhosts y .forward
2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos
2,9 Otras de contraseñas
2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd
2.9.2 3 tftp habilitado
2.9.3 3 tftp necesario pero sin precauciones de acceso restringido
2.9.4 2 No se usa un programa para mejorar la elección de contraseñas
2,10 Otros Servicios de red
2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red
2.10.2 2 Cron acepta usuarios ordinarios
2.10.3 3 Se puede registrar como root en la consola en forma remota
2.10.4 3 Terminales no adecuados en el archivo de terminal seguro
2,11 Seguridad sistema de archivos
2.11.1 2 Archivos .exrc no justificados
2.11.2 2 Archivos .forward en directorios home de usuarios
2.11.3 2 Umask inadecuado de algunos programas
2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc
2.11.5 3 Escritura indebida de los archivos log
2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas
2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix
2.11.8 3 Archivos que no debieran ser propiedad sino de root, y si /tmp no tiene el sticky-bit
2.11.9 3 Archivos o directorios no esperados que son escribibles por cualquiera
2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID
2.11.11 2 Umask inadecuado de algunos usuarios
2.11.12 2 Archivos ordinarios en el directorio /dev
2.11.13 2 Archivos especiales fuera de /dev
2.11.14 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera
2.11.15 2 Archivos sin propietarios
2,12 Monitoreo del sistema
2.12.1 3 No se han definido los archivos log adecuados para seguridad
2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log
2.12.3 3 Ausencia de registro de las actividades de los administradores
2.12.4 2 Falta de control de las modificaciones de archivos de sistema
2,13 Servicios de archivos
-116-
2.13.1 2 Inadecuados permisos y propiedad del archivo /etc/export
2,14 Linux
2.14.1 3 Parches y actualizaciones
Tipo 3 - TECNICAS DE PLATAFORMAS WINDOWS
3,1 IIS
3.1.1 3 Versión y parches del IIS
3.1.2 2 Versiones actuales del IIS; ACL y directorios
3.1.3 2 Habilitación del log del IIS
3.1.4 3 WebDav ntdll.dll en IIS
3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3,2 SQL Server
3.2.1 3 Versión y parches del SQL Server
3.2.2 2 Log autenticación servidor SQL
3.2.3 2 Cuenta SA, contraseña
3,3 Autenticación
3.3.1 3 Autenticación, algoritmo usado
3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red
3,4 Internet Explorer
3.4.1 3 Versión y parches del Internet Explorer
3.4.2 2 Nivel seguridad del IE
3,5 RAS
3.5.1 3 Uso SMB, conectividad NetBios
3.5.2 2 Sesión nula, registro anónimo
3.5.3 3 Acceso remoto al registry
3.5.4 3 rpc y parches
3,6 MDAC/RDS
3.6.1 3 Versión y parches del MDAC
3.6.2 2 Archivo msadcs.dll con Windows
3.6.3 1 Versión y SP del Jet Engine
3,7 Windows Scripting Host
3.7.1 3 Habilitación del Windows Scripting Host
3.7.2 1 Forma de ejecución de scripts
3,8 Outlook Express
3.8.1 2 Ventana de vista previa del Outlook/Outlook Express
3.8.2 1 Restricción zona de seguridad del Outlook Express
3,9 Compartición P2P
3.9.1. 3 Puertos de aplicaciones P2P
3.9.2 2 Existencia en disco de archivos propios de P2P
3,1 SNMP
3.10.1 2 Versión y puertos habilitados del SNMP
3.10.2 3 Nombres comunidad por default del SNMP
3.10.3 2 Chequeo registros MIB del SNMP
3,11 Acceso remoto al registry
3.11.1 3 Registros bajo SecurePipeServers
-117-
3,12 Otros seteados del registry
3.12.1 3 Registro Winlogon
3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3 2 Registro Subsystems, OS/2 y Posix
3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema
3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas
3,14 Otras cuestiones de contraseñas
3.14.1 2 Uso del passfilt.dll
3.14.2 1 Uso del syskey.exe
3,15 Sistema de archivos
3.15.1 3 Se usa FAT
3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados
3,16 Logs de auditoria
3.16.1 2 Logs en Event Viewer
3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSer\\Control\Lsa
3,17 Utilitarios de cuidado
3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2 1 Ubicación de los archivos ejecutables de cuidado
3.17.3 2 Existencia del programa rollback.exe
3,18 Subsistemas de cuidado
3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2 2 Archivos del os2 y posix en c:\windows\system32
3.18.3 1 Registros os2 subsystem for windows
Tipo 4 - TECNICAS DE OTROS DISPOSITIVOS
4,1 2 Grupos de PCs
4,2 3 Grupos de laptops y notebooks
4,3 3 Routers
4,4 3 Switches
4,5 2 Otros dispositivos
Con las vulnerabilidades clasificadas en la Dirección de Tecnologías de la
información y Comunicaciones se procederá a verificar cada una de ellas con
los activos del Sistema de Gestión de Seguridad de la Información SGSI, de
acuerdo a como se indica en el Anexo I, a continuación en la Tabla 20 se
presentan el resumen de las vulnerabilidades.
-118-
Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la Información y Comunicaciones.
Fuente: Autor.
Vulnerabilidades Físicas,
Organizacionales y Operacionales
Plataforma Linux Firewall
Plataforma Windows
Se
rvid
or1
Se
rvid
or2
Se
rvid
or3
DNS, DHCP, Active
Directory
Total de vulnerabilidades potenciales
129 55 43 43 43 43
Vulnerabilidades no presente
10 9 3 11 7 6
Vulnerabilidades de nivel 1 56 2 5 4 5 7
Vulnerabilidades de nivel 2 51 23 20 17 20 19
Vulnerabilidades de nivel 3 12 21 15 11 11 11
Nivel Relativo de Vulnerabilidad Total
162 83 67 57 61 61
Servidores más vulnerables *** ***
Servidores más vulnerable en el Nivel 3
*** ***
4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES
Una vez identificadas las amenazas y vulnerabilidades, es necesario calcular la
posibilidad de que puedan juntarse y causar un riesgo (De Freitas, 2009),
define el riesgo como la probabilidad de que una amenaza pueda explotar una
vulnerabilidad en particular.
En la Tabla 21 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Sala de
Servidores.
-119-
Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores (Activo 2.32).
Fuente: Autor.
No. Div. Amenaza
Descripción Vulnerabilidades
1.2 4 Fallas de los sistemas TI 1.7.1.1 1.7.1.2 1.7.1.3 1.7.1.4 1.7.2.1 1.7.2.2 1.7.2.3 1.7.2.4
1.3 2 Rayos 1.4.4.5
1.4 4 Incendio 1.4.3.1
1.5 3 Inundación 1.4.4.2
1.6 2 Cables quemados 1.4.3.1
1.7 2 Polvo y suciedad 1.4.4.3
1.8 2 Efectos de catástrofes en el ambiente
1.4.4.4
1.9 2 Problemas causados por grandes eventos públicos
1.4.4.4
1.10 2 Tormentas 1.4.4.4
2.1 4 Falta o insuficiencia de reglas de seguridad en general
1.2.3.1 1.2.4.1 1.5.1.4
2.2 5
Conocimiento insuficiente de documentos sobre reglas y procedimientos
1.5.2.1
2.4 3 Monitoreo insuficiente de las medidas de seguridad IT
1.6.1.1 1.6.1.2 1.6.1.3 1.6.1.4 1.6.1.5
2.10 3 Dimensionamiento insuficiente de redes y centro de cómputo
1.5.1.1
2.11 2 Documentación insuficiente del cableado
1.4.4.1
5.4 3 Robo 1.4.1.1
5.5 5 Vandalismo 1.4.4.3 1.4.4.4
5.29 1 Sabotaje 1.4.1.1 1.4.1.2 1.4.4.3 1.4.4.4
En la Tabla 22 se describe las vulnerabilidades potenciales que pueden afectar
a la Sala de Servidores de la Dirección de Tecnologías de la Información y
Comunicaciones.
-120-
Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores (Activo 2.32).
Fuente: Autor.
Nro. Nivel Vulnerabilidades Potenciales
1.2.3.1 1 Grado y detalle de la información documentada de la red
1.2.4.1 1 Antecedentes de ataques ocurridos a la red
1.4.1.1 2 Restricción de acceso a personas ajenas al área
1.4.1.2 1 Control personal de limpieza en locales con servidores
1.4.3.1 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
1.4.4.1 1 Tipo, condiciones e instalación del cableado de red
1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo
1.4.4.3 1 Actividades que pueden afectar las operaciones
1.4.4.4 1 Actividades externas que pueden afectar las operaciones
1.4.4.5 2 Protecciones antirrayos
1.5.1.1 1 Tipo y regularidad de chequeos
1.5.1.4 2 Documentación y manuales de procedimientos y seguridad
1.5.2.1 3 Administración de emergencias
1.6.1.1 2 Realización y objetos auditados
1.6.1.2 1 Monitoreo y herramientas
1.6.1.3 2 Gestión de logs
1.6.1.4 1 Utilidad auditoria para rastreo de acciones
1.6.1.5 1 Históricos generados
1.7.1.1 2 Existencia, justificaciones
1.7.1.2 1 Alcance del plan
1.7.1.3 2 Responsabilidades y entrenamiento
1.7.1.4 2 Documentación
1.7.2.1 3 Responsabilidades
1.7.2.2 2 Identificación de funciones críticas
1.7.2.3 2 Grupo y responsable
1.7.2.4 2 Inventario de equipamiento
En la Tabla 23 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Sala de Servidores.
-121-
Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores (Activo 2.32).
Fuente: Autor.
Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29
Vulner. Nivel 4 2 4 3 2 2 2 2 2 4 5 3 3 2 3 5 1
1.2.3.1 1 X
1.2.4.1 1 X
1.4.1.1 2 X X
1.4.1.2 1 X
1.4.3.1 2 X X
1.4.4.1 1 X
1.4.4.2 1 X
1.4.4.3 1 X X X
1.4.4.4 1 X X X X X
1.4.4.5 2 X
1.5.1.1 1 X
1.5.1.4 2 X
1.5.2.1 3 X
1.6.1.1 2 X
1.6.1.2 1 X
1.6.1.3 2 X
1.6.1.4 1 X
1.6.1.5 1 X
1.7.1.1 2 X
1.7.1.2 1 X
1.7.1.3 2 X
1.7.1.4 2 X
1.7.2.1 3 X
1.7.2.2 2 X
1.7.2.3 2 X
1.7.2.4 2 X
En la Tabla 24 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Software y
Aplicaciones.
-122-
Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y Aplicaciones. (Activo 7.1)
Fuente: Autor.
AMENAZAS Vulnerabilidades
Nro. Div. Descripción
2.1 4 Falta o insuficiencia de reglas de seguridad en general
1.7.4.2
2.3 2 Recursos incompatibles o inadecuados 1.6.3.1 1.6.3.2 1.6.3.3 2.18 3 Procedimientos faltantes o inadecuados
para test y liberación de software 1.3.5.1 1.3.5.2 1.3.6.1 1.3.6.3 1.3.7.3 1.3.7.6
2.19 3 Documentación faltante o inadecuada 1.4.5.2
2.20 2 Violación de derechos de autor 1.2.3.3 1.3.5.4
2.21 4 Prueba de software con datos de producción
1.3.7.7
3.3 4 No cumplimiento con las medidas de seguridad TI
1.1.1.2 1.1.1.3 1.3.5.4 1.7.4.2 1.7.4.3 1.7.4.4 1.7.4.5 1.7.4.6
3.15 3 Errores en la configuración y operación 1.2.3.3 1.2.5.1 1.3.6.3 1.7.3.1 1.7.3.2 1.7.3.3 4.4 5 Reconocimiento de vulnerabilidades en
el software 1.3.7.8
4.14 4 Vulnerabilidades o errores de software 1.3.2.1 1.3.2.2 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.4.1 1.3.4.3
1.3.4.4 1.3.5.1 1.3.5.2 1.3.5.3 5.12 3 Caballos de Troya 1.2.2.3
5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4 5.18 3 Macro virus 1.2.2.1
En la Tabla 25 se describe las vulnerabilidades potenciales que pueden afectar
al Software y Aplicaciones de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y Aplicaciones. (Activo 7.1)
Fuente: Autor.
Nro. Nivel Descripción
1.1.1.2 2 Gestión de bajas de usuarios
1.1.1.3 2 Mantenimiento de cuentas
1.2.2.1 3 No está habilitado para envío y recepción de mail
1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4 1 No se generan discos de recuperación en las PCs bajo Windows
-123-
1.2.3.1 1 Grado y detalle de la información documentada de la red
1.2.3.3 1 Documentación de la configuración de las PCs
1.2.5.1 3 Tipo, configuración y nivel de control de firewall
1.3.2.1 1 Existencia de control de cambios para archivos de sistema o bases de datos
1.3.2.2 3 Confidencialidad de datos de laptops y notebooks
1.3.2.3 2 Logs de transacciones y sus detalles
1.3.3.1 1 Existencia de control de cambios para el desarrollo
1.3.3.2 1 Control del contenido de archivos de entrada
1.3.3.3 2 Control de validez de datos ingresados manualmente
1.3.3.4 1 Control de consistencia de datos de salida
1.3.4.1 2 Control de acceso propio de las bases de datos
1.3.4.2 1 Control de instancias de uso
1.3.4.3 1 Chequeo regulares de seguridad
1.3.4.4 1 Marcado o borrado de archivos eliminados
1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches
1.3.5.2 1 Documentación de la instalación o actualización de software
1.3.5.3 2 Control de aplicaciones en máquinas de usuarios
1.3.5.4 1 Control de información que bajan los usuarios de la Web
1.3.6.1 1 Documentación de cambios de emergencia
1.3.6.3 1 Gestión de cambios complejos en archivos de configuración
1.3.6.4 2 Registro de cambios en las configuraciones
1.3.7.3 1 Uso métricas en el desarrollo
1.3.7.6 1 Medidas de seguridad durante las implementaciones
1.3.7.7 1 Forma y documentación de pruebas
1.3.7.8 1 Metodología usada para el mantenimiento
1.4.5.2 1 Inventario de recursos de hardware y software
1.5.1.3 1 Documentación detallada del equipamiento
1.6.3.1 1 Trabajos de mayor uso CPU y memoria
1.6.3.2 1 Datos de mayor tráfico, CPU y memoria
1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria
1.7.3.1 1 Personal de desarrollo
1.7.3.2 2 Técnicos
1.7.3.3 2 Administradores de redes
1.7.4.1 3 Visión y compromiso gerencial superior y medio en la seguridad.
1.7.4.2 3 Reglas de seguridad
1.7.4.3 1 Personal en general - procedimientos
1.7.4.4 2 Personal de desarrollo - procedimientos
1.7.4.5 3 Técnicos - procedimientos
1.7.4.6 3 Administradores de redes - procedimientos
-124-
En la Tabla 26 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Software y Aplicaciones.
Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones. (Activo
7.1) Fuente: Autor.
Amen. 2.1 2.3 2.18 2.19 2.20 2.21 3.3 3.15 4.4 4.14 5.12 5.13 5.18 Vulner. Nivel 4 2 3 3 2 4 4 3 5 4 3 4 3 1.1.1.2 2 X 1.1.1.3 2 X 1.2.2.1 3 X X
1.2.2.3 2 X X 1.2.2.4 1 X 1.2.3.1 1 1.2.3.3 1 X X 1.2.5.1 3 X 1.3.2.1 1 X 1.3.2.2 3 X 1.3.2.3 2 1.3.3.1 1 X 1.3.3.2 1 X 1.3.3.3 2 X 1.3.3.4 1 X 1.3.4.1 2 X 1.3.4.2 1 1.3.4.3 1 X 1.3.4.4 1 X 1.3.5.1 2 X X 1.3.5.2 1 X X 1.3.5.3 2 X 1.3.5.4 1 X X 1.3.6.1 1 X 1.3.6.3 1 X X 1.3.6.4 2 1.3.7.3 1 X 1.3.7.6 1 X 1.3.7.7 1 X 1.3.7.8 1 X 1.4.5.2 1 X 1.5.1.3 1 1.6.3.1 1 X 1.6.3.2 1 X
-125-
1.6.3.3 1 X 1.7.3.1 1 X 1.7.3.2 2 X 1.7.3.3 2 X 1.7.4.1 3 1.7.4.2 3 X X 1.7.4.3 1 X 1.7.4.4 2 X 1.7.4.5 3 X 1.7.4.6 3 X
En la Tabla 27 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Servidor Windows
S1.
Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1 (Activo 4.3).
Fuente: Autor.
No. Div. Amenaza Descripción Vulnerabilidades
2.18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P
1.3.5.4
2.23 2 Planificación inadecuada de los dominios 1.1.4.3
3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2.1
3.2.2 3.2.3 3.3.1 3.3.2 3.4.1 3.4.2
3.5.1 3.5.2 3.5.3 3.5.4 3.6.1 3.6.2
2.24 3 Protección inadecuada del sistema Windows
3.6.3 3.7.1 3.7.2 3.8.1 3.8.2 3.9.1
3.9.2 3.10.1 3.10.2 3.10.3 3.11.1 3.12.1
3.12.2 3.12.3 3.12.4 3.12.5 3.14.1 3.14.2
3.15.1 3.15.2 3.16.1 3.16.2 3.17.1 3.17.2
3.17.3 3.18.1 3.18.2 3.18.3
4.5 4 Diversidad de posibilidades de acceso a sistemas TI en red
1.6.2.1
4.16 1 Reconocimiento automático del DVD-ROM 3.12.1
5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4
5.18 3 Macro virus 1.2.2.1 1.2.2.3
5.21 4 Mal uso de los derechos de administrador en sistemas Windows
1.6.1.4 1.6.1.5
5.29 3 Adquisición no autorizada de derechos de administrador con Windows
3.3.1 3.17.1
-126-
En la Tabla 28 se describe las vulnerabilidades potenciales que pueden afectar
al Servidor Windows S1 de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). Fuente: Autor.
Nro. Nivel Descripción
1.1.4.3 3 Mecanismos de control de acceso interno
1.2.2.1 3 No está habilitado para envío y recepción de mail
1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4 1 No se generan discos de recuperación
1.3.5.4 1 Control de información que bajan los usuarios de la Web
1.6.1.4 1 Utilidad auditoria para rastreo de acciones
1.6.1.5 1 Históricos generados
1.6.2.1 3 Control de acceso
3.1.1 3 Versión y parches del IIS
3.1.2 2 Versiones actuales del IIS; ACL y directorios
3.1.3 2 Habilitación del log del IIS
3.1.4 3 WebDav ntdll.dll en IIS
3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3.2.1 3 Versión y parches del SQL Server
3.2.2 2 Log autenticación servidor SQL
3.2.3 2 Cuenta SA, contraseña
3.3.1 3 Autenticación, algoritmo usado
3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red
3.4.1 3 Versión y parches del Internet Explorer
3.4.2 2 Nivel seguridad del IE
3.5.1 3 Uso SMB, conectividad NetBios
3.5.2 2 Sesión nula, registro anónimo
3.5.3 3 Acceso remoto al registry
3.5.4 3 rpc y parches
3.6.1 3 Versión y parches del MDAC
3.6.2 2 Archivo msadcs.dll con windows e IIS
3.6.3 1 Versión y SP del Jet Engine
3.7.1 3 Habilitación del Windows Scripting Host
3.7.2 1 Forma de ejecución de scripts
3.8.1 2 Ventana de vista previa del Outlook/Outlook Express
3.8.2 1 Restricción zona de seguridad del Outlook Express
3.9.1. 3 Puertos de aplicaciones P2P
-127-
3.9.2 2 Existencia en disco de archivos propios de P2P
3.10.1 2 Versión y puertos habilitados del SNMP
3.10.2 3 Nombres comunidad por default del SNMP
3.10.3 2 Chequeo registros MIB del SNMP
3.11.1 3 Registros bajo SecurePipeServers
3.12.1 3 Registro Winlogon
3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3 2 Registro Subsystems, OS/2 y Posix
3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema
3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas
3.14.1 2 Uso del passfilt.dll
3.14.2 1 Uso del syskey.exe
3.15.1 3 Se usa FAT
3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados
3.16.1 2 Logs en Event Viewer
3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa
3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2 1 Ubicación de los archivos ejecutables de cuidado
3.17.3 2 Existencia del programa rollback.exe
3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2 2 Archivos del os2 y posix en c:\windows\system32
3.18.3 1 Registros os2 subsystem for windows
En la Tabla 29 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Servidor Windows S1.
Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1 (Activo 4.3). Fuente: Autor.
Amen. 2.18 2.23 2.24 4.5 4.16 5.13 5.18 5.21 5.29
Vulner. Nivel 2 2 3 4 1 4 3 4 3
1.1.4.3 3 X 1.2.2.1 3 X X 1.2.2.3 2 X X 1.2.2.4 1 X 1.3.5.4 1 X 1.6.1.4 1 X
-128-
1.6.1.5 1 X 1.6.2.1 3 X 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 X 3.2.2 2 X 3.2.3 2 X 3.3.1 3 X X
3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 X 3.5.2 2 X 3.5.3 3 X 3.5.4 3 X 3.6.1 3 X 3.6.2 2 X 3.6.3 1 X 3.7.1 3 X 3.7.2 1 X 3.8.1 2 X 3.8.2 1 X 3.9.1. 3 X 3.9.2 2 X 3.10.1 2 X 3.10.2 3 X 3.10.3 2 X 3.11.1 3 X 3.12.1 3 X X 3.12.2 2 X 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 X 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 X X
3.17.2 1 X 3.17.3 2 X
-129-
3.18.1 2 X 3.18.2 2 X 3.18.3 1 X
En la Tabla 30 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Servidor Windows
S4.
Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4 (Activo 4.3).
Fuente: Autor.
No. Div. Amenaza
Descripción Vulnerabilidades
2.18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P
1.3.5.4
2.23 2 Planificación inadecuada de los dominios
3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.3.1
3.3.2 3.4.1 3.4.2 3.6.1 3.6.2 3.7.1
2.24 3 Protección inadecuada del sistema Windows
3.7.2 3.8.2 3.10.1 3.10.2 3.12.1 3.12.3
3.12.4 3.12.5 3.14.1 3.14.2 3.15.2 3.16.1
3.16.2 3.18.1 3.18.2 3.18.3
4.5 4 Diversidad de posibilidades de acceso a sistemas TI en red
4.16 1 Reconocimiento automático del DVD-ROM
3.12.1
5.13 4 Virus de computador 1.2.2.1 5.18 3 Macrovirus 1.2.2.1 5.21 4 Mal uso de los derechos de
administrador en sistemas Windows 1.6.1.4 1.6.1.5
5.29 3 Adquisición no autorizada de derechos de administrador con Windows
3.3.1
En la Tabla 31 se describe las vulnerabilidades potenciales que pueden afectar
al Servidor Windows S4 de la Dirección de Tecnologías de la Información y
Comunicaciones.
-130-
Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3). Fuente: Autor.
Nro. Nivel Descripción
1.1.4.3 3 Mecanismos de control de acceso interno
1.2.2.1 3 No está habilitado para envío y recepción de mail
1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4 1 No se generan discos de recuperación
1.3.5.4 1 Control de información que bajan los usuarios de la Web
1.6.1.4 1 Utilidad auditoría para rastreo de acciones
1.6.1.5 1 Históricos generados
1.6.2.1 3 Control de acceso
3.1.1 3 Versión y parches del IIS
3.1.2 2 Versiones del IIS; ACL y directorios
3.1.3 2 Habilitación del log del IIS
3.1.4 3 WebDav ntdll.dll en IIS
3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3.2.1 3 Versión y parches del SQL Server
3.2.2 2 Log autenticación servidor SQL
3.2.3 2 Cuenta SA, contraseña
3.3.1 3 Autenticación, algoritmo usado
3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red
3.4.1 3 Versión y parches del Internet Explorer
3.4.2 2 Nivel seguridad del Internet Explore
3.5.1 3 Uso SMB, conectividad NetBios
3.5.2 2 Sesión nula, registro anónimo
3.5.3 3 Acceso remoto al registry
3.5.4 3 rpc y parches
3.6.1 3 Versión y parches del MDAC
3.6.2 2 Archivo msadcs.dll con windows e IIS
3.6.3 1 Versión y SP del Jet Engine
3.7.1 3 Habilitación del Windows Scripting Host
3.7.2 1 Forma de ejecución de scripts
3.8.1 2 Ventana de vista previa del Outlook/Outlook Express
3.8.2 1 Restricción zona de seguridad del Outlook Express
3.9.1 3 Puertos de aplicaciones P2P
3.9.2 2 Existencia en disco de archivos propios de P2P
3.10.1 2 Versión y puertos habilitados del SNMP
3.10.2 3 Nombres comunidad por default del SNMP
3.10.3 2 Chequeo registros MIB del SNMP
3.11.1 3 Registros bajo SecurePipeServers
3.12.1 3 Registro Winlogon
3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3 2 Registro Subsystems, OS/2 y Posix
-131-
3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema
3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas
3.14.1 2 Uso del passfilt.dll
3.14.2 1 Uso del syskey.exe
3.15.1 3 Se usa FAT
3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados
3.16.1 2 Logs en Event Viewer
3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa
3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2 1 Ubicación de los archivos ejecutables de cuidado
3.17.3 2 Existencia del programa rollback.exe
3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2 2 Archivos del os2 y posix en c:\windows\system32
3.18.3 1 Registros os2 subsystem for windows
En la Tabla 32 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Servidor Windows S4.
Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4 (Activo 4.3). Fuente: Autor.
Amen. 2.18 2.24 4.16 5.13 5.18 5.21 5.29
Vulner. Nivel 2 3 1 4 3 4 3
1.1.4.3 3 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 X X 1.3.5.4 1 X 1.6.1.4 1 X 1.6.1.5 1 X 1.6.2.1 3 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 3.2.2 2 3.2.3 2
-132-
3.3.1 3 X X
3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3 3.6.1 3 3.6.2 2 X 3.6.3 1 3.7.1 3 X 3.7.2 1 X 3.8.1 2 3.8.2 1 X 3.9.1 3 3.9.2 2 3.10.1 2 X 3.10.2 3 X 3.10.3 2 3.11.1 3 3.12.1 3 X X 3.12.2 2 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 X 3.18.2 2 X 3.18.3 1 X
En la Tabla 33 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Firewall.
-133-
Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3).
Fuente: Autor.
AMENAZAS Vulnerabilidades
Nro. Div. Descripción
2.17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger
2.1.1 2.2.2 2.2.3 2.3.3 2.5.1 2.6.1
2.6.2 2.6.3 2.8.2 2.8.3 2.8.5 2.8.6
2.8.9 2.8.10 2.9.1 2.9.3 2.9.4 2.10.1
2.10.4 2.11.2 2.11.3 2.11.4 2.11.6 2.11.7
2.11.8 2.11.9 2.11.11 2.11.12 2.11.14 2.11.15
2.12.1 2.12.2 2.14.1 3.10 4 Exportación incorrecta de
sistemas de archivos bajo Linux
2.1.1 2.4.2 2.6.4 2.13.1
3.11 4 Configuración impropia del sendmail
1.4.3.1 2.7.1 2.8.11 2.11.5
4.1 2 Interrupciones en la fuente de energía
1.4.3.1 2.4.1 2.8.7 2.11.10
4.13 4 Autenticación faltante o de pobre calidad
2.2.1 2.4.3 2.8.8
5.30 1 Sabotaje 1.4.3.1 2.9.4
En la Tabla 34 se describe las vulnerabilidades potenciales que pueden afectar
al Firewall de la Dirección de Tecnologías de la Información y Comunicaciones.
Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). Fuente: Autor.
Nro. Nivel Descripción
1.4.3.1 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
2.1.1 2 Servicios habilitados innecesarios
2.2.1 2 Instalación/ISC, versión y parches Bind
2.2.2 2 Actualización dinámica del DNS
2.2.3 2 Demonio named habilitado en servidores no DNS
2.3.1 3 RPC habilitado
2.3.3 2 Servicios RPC que se pueden explotar
2.4.1 2 Versión SNMP y puertos habilitados
2.4.2 3 Nombres comunidad SNMP por default
2.4.3 2 Chequeo registros MIB del SNMP
2.5.1 1 Instalación y versión ssh
2.6.1 3 Versión NIS
2.6.2 3 Ubicación password del root con NIS
-134-
2.6.3 2 Versión NFS
2.6.4 3 Configuración archivo export y montaje de sistema de archivos NFS
2.7.1 1 Versión Open SSL
2.8.1 3 Habilitación y funcionalidad anónima ftp
2.8.2 3 Sin uso de password en el modo de subida ftp
2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios en ftp
2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers
2.8.6 3 No hay diferenciación archivos contraseñas ftp con los del Sistema Operativo
2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo
2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin
2.8.9 2 Permisos y propietarios directorio home ~ftp/
2.8.10 3 Existencia de archivos .rhosts y .forward
2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos
2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd
2.9.2 3 tftp habilitado
2.9.3 3 tftp necesario pero sin precauciones de acceso restringido
2.9.4 2 No se usa un programa para mejorar la elección de contraseñas
2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red
2.10.2 2 Cron acepta usuarios ordinarios
2.10.3 3 Se puede registrar como root en la consola en forma remota
2.10.4 3 Terminales no adecuados en el archivo de terminal seguro
2.11.1 2 Archivos .exrc no justificados
2.11.2 2 Archivos .forward en directorios home de usuarios
2.11.3 2 Umask inadecuado de algunos programas
2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc
2.11.5 3 Escritura indebida de los archivos log
2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas
2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix
2.11.8 3 Archivos que no debieran ser propiedad sino de root, y /tmp que no tiene el sticky-bit
2.11.9 3 Archivos o directorios no esperados que son escribibles por cualquiera
2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID
2.11.11 2 Umask inadecuado de algunos usuarios
2.11.12 2 Archivos ordinarios en el directorio /dev
2.11.13 2 Archivos especiales fuera de /dev
2.11.14 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera
2.11.15 2 Archivos sin propietarios
2.12.1 3 No se han definido los archivos log adecuados para seguridad
2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log
2.13.1 2 Inadecuados permisos y propiedad del archivo /etc/export
2.14.1 3 Parches y actualizaciones Linux
-135-
En la Tabla 35 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Firewall.
Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3).
Fuente: Autor.
Amen. 2.17 3.10 3.11 4.1 4.13 5.30
Vulner. Nivel 4 4 4 2 4 1
1.4.3.1 2 X X X
2.1.1 2 X X
2.2.1 2 X
2.2.2 2 X
2.2.3 2 X
2.3.1 3
2.3.3 2 X
2.4.1 2 X
2.4.2 3 X
2.4.3 2 X
2.5.1 1 X
2.6.1 3 X
2.6.2 3 X
2.6.3 2 X
2.6.4 3 X
2.7.1 1 X
2.8.1 3
2.8.2 3 X
2.8.3 3 X
2.8.5 3 X
2.8.6 3 X
2.8.7 2 X
2.8.8 2 X
2.8.9 2 X
2.8.10 3 X
2.8.11 3 X
2.9.1 2 X
2.9.2 3
2.9.3 3 X
2.9.4 2 X X
2.10.1 2 X
2.10.2 2 X
2.10.3 3 X
2.10.4 3 X
2.11.1 2
-136-
2.11.2 2 X
2.11.3 2 X
2.11.4 2 X
2.11.5 3 X
2.11.6 2 X
2.11.7 2 X
2.11.8 3 X
2.11.9 3 X
2.11.10 2 X
2.11.11 2 X
2.11.12 2 X
2.11.13 2
2.11.14 2 X
2.11.15 2 X
2.12.1 3 X
2.12.2 2 X
2.13.1 2 X
2.14.1 3 X
4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN
El análisis del riesgo tiene como objetivo identificar y calcular los riesgos
basados en la identificación de los activos, y en el cálculo de las amenazas y
vulnerabilidades.
(Alexander, 2007, pág. 53), señala que “…los riesgos se calculan de la
combinación de los valores de los activos, que expresan el impacto de pérdidas
por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad
de que las amenazas y vulnerabilidades relacionadas se junten y causen un
incidente”.
Para realizar el cálculo del riesgo se utilizará la matriz de riesgo de la
metodología de Cramm que se describe en la Tabla 36.
-137-
Tabla 36. Matriz de Riesgo.
Fuente: (ESPE, 2005)
Amenaza Muy Baja Baja Media Alta Muy Alta
Vulnerabilidad
Ba
ja
Me
dia
Alta
Ba
ja
Me
dia
Alta
Ba
ja
Me
dia
Alta
Ba
ja
Me
dia
Alta
Ba
ja
Me
dia
Alta
Activo
1 1 1 1 1 1 1 1 1 2 1 2 2 2 2 3
2 1 1 2 1 2 2 2 2 3 2 3 3 3 3 4
3 1 2 2 2 2 2 2 3 3 3 3 4 3 4 4
4 2 2 3 2 3 3 3 3 4 3 4 4 4 4 5
5 2 3 3 3 3 4 3 4 4 4 4 5 4 5 5
6 3 3 4 3 4 4 4 4 5 4 5 5 5 5 6
7 3 4 4 4 4 5 4 5 5 5 5 6 5 6 6
8 4 4 5 4 5 5 5 5 6 5 6 6 6 6 7
9 4 5 5 5 5 6 5 6 6 6 6 7 7 7 7
10 5 5 6 5 6 6 6 6 6 6 7 7 7 7 7
Para el cálculo de riesgo de un activo utilizando la matriz de la Tabla 36, se
requiere los valores de la Tabla 16 Activos Primarios Clasificados definidos en
7 clases y 10 niveles (1 -10); los valores de las amenazas definidas en la Tabla
17 clasificadas en 5 tipos y 5 niveles de amenazas (1 - 5); y, los valores de las
vulnerabilidades definidas en la Tabla 19 clasificadas en 4 tipos y 3 niveles de
vulnerabilidades (1 - 3). Con esta información reemplazaremos en la matriz y
determinamos el nivel del riesgo para este activo el mismo que tendrá un valor
de (1 – 7).
Riesgos
Amenazas
Vulnerabilidades
Nivel Valor
Nivel Valor
Nivel Valor
Muy Bajo 1 Muy Baja 1
Baja 1
Bajo 2 Baja 2
Media 2
Medio bajo 3 Media 3
Alta 3
Medio 4
Alta 4
Medio alto 5
Muy Alta 5
Alto 6
Muy Alto 7
-138-
Utilizando la matriz de riesgo en la Tabla 37 se presenta el cálculo del riesgo
para los activos: Sala de Servidores.
Tabla 37. Niveles particulares de riesgo para la Sala de Servidores. Activo 2.32 Fuente: Autor.
Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29
Vulner. Nivel 4 2 4 3 2 2 2 2 2 4 5 3 3 2 3 5 1
1.2.3.1 1 6 1.2.4.1 1 6 1.4.1.1 2 6 5
1.4.1.2 1 4
1.4.3.1 2 6 5 1.4.4.1 1 5 1.4.4.2 1 5 1.4.4.3 1 5 7 4
1.4.4.4 1 5 5 5 7 4
1.4.4.5 2 5 1.5.1.1 1 5 1.5.1.4 2 6 1.5.2.1 3 7 1.6.1.1 2 6 1.6.1.2 1 5 1.6.1.3 2 6 1.6.1.4 1 5 1.6.1.5 1 5 1.7.1.1 2 6 1.7.1.2 1 6 1.7.1.3 2 6 1.7.1.4 2 6 1.7.2.1 3 7 1.7.2.2 2 6 1.7.2.3 2 6 1.7.2.4 2 6
-139-
En la Tabla 38 se presenta el resumen de las amenazas para el activo sala de
servidores.
Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. Fuente: Autor.
Nro. Nivel Descripción Cantidad Vulnerab. Potenc.
Máximo riesgo
1,2 4 Fallas de los sistemas TI 8 7
1,3 2 Rayos 1 5
1,4 4 Incendio 1 6
1,5 3 Inundación 1 5
1,6 2 Cables quemados 1 5
1,7 2 Polvo y suciedad 1 5
1,8 2 Efectos de catástrofes en el ambiente 1 5
1,9 2 Problemas causados por grandes eventos públicos 1 5
1,1 2 Tormentas 1 5
2,1 4 Falta o insuficiencia de reglas de seguridad en general 3 6
2,2 5 Conocimiento insuficiente de documentos sobre reglas y procedimientos
1 7
2,4 3 Monitoreo insuficiente de las medidas de seguridad TI 5 6
2,1 3 Dimensionamiento insuficiente de redes y centro de cómputo 1 5
2,11 2 Documentación insuficiente del cableado 1 5
5,4 3 Robo 1 6
5,5 5 Vandalismo 2 7
5,29 1 Sabotaje 4 5
En conclusión, la sala de servidores tiene un nivel de riesgo promedio de 5,58
sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue
de 34 y los niveles de protección son: para la confidencialidad es medio, para la
integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 39 se presenta el cálculo del riesgo
para los activos: Software y Aplicaciones.
-140-
Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 Fuente: Autor.
Amen. 2,1 2,3 2,18 2,19 2,2 2,21 3,3 3,15 4,4 4,14 5,12 5,13 5,18
Vulner. Nivel 4 2 3 3 2 4 4 3 5 4 3 4 3
1.1.1.2 2 5 1.1.1.3 2 5 1.2.2.1 3 6 5
1.2.2.3 2 5 5 1.2.2.4 1 5
1.2.3.1 1 1.2.3.3 1 4 4 1.2.5.1 3 5 1.3.2.1 1 5 1.3.2.2 3 6 1.3.2.3 2 1.3.3.1 1 5 1.3.3.2 1 5 1.3.3.3 2 5 1.3.3.4 1 5 1.3.4.1 2 5 1.3.4.2 1 1.3.4.3 1 5 1.3.4.4 1 5 1.3.5.1 2 5 5 1.3.5.2 1 4 5 1.3.5.3 2 5 1.3.5.4 1 4 5 1.3.6.1 1 4 1.3.6.3 1 4 4 1.3.6.4 2 1.3.7.3 1 4 1.3.7.6 1 4 1.3.7.7 1 5 1.3.7.8 1 5 1.4.5.2 1 4 1.5.1.3 1 1.6.3.1 1 4 1.6.3.2 1 4 1.6.3.3 1 4 1.7.3.1 1 4 1.7.3.2 2 5
-141-
1.7.3.3 2 5 1.7.4.1 3 1.7.4.2 3 6 6 1.7.4.3 1 5 1.7.4.4 2 5 1.7.4.5 3 6 1.7.4.6 3 6
En la Tabla 40 se presenta el resumen de las amenazas para el activo
Software de Aplicaciones.
Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones. Activo 7.1 Fuente: Autor.
Nro. Nivel Descripción Cantidad Vulnerab. Potenc.
Máximo riesgo
2,1 4 Falta o insuficiencia de reglas de seguridad en general 1 6
2,3 2 Recursos incompatibles o inadecuados 3 4
2,18 3 Procedimientos faltantes o inadecuados para test y liberación de software
6 5
2,19 3 Documentación faltante o inadecuada 1 4
2,2 2 Violación de derechos de autor 2 4
2,21 4 Prueba de software con datos de producción 1 5
3,3 4 No cumplimiento con las medidas de seguridad TI. 8 6
3,15 3 Errores en la configuración y operación 6 5
4,4 5 Reconocimiento de vulnerabilidades en el software 1 5
4,14 4 Vulnerabilidades o errores de software 12 6
5,12 3 Caballos de Troya 1 5
5,13 4 Virus de computador 3 6
5,18 3 Macrovirus 1 5
En conclusión, el activo 7.1 Software y Aplicaciones tiene un nivel de riesgo
promedio de 4,69 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 46 y los niveles de protección son: para la
confidencialidad es medio, para la integridad medio y la disponibilidad es alta.
-142-
En la Tabla 41 utilizando la matriz de riesgo se presenta el cálculo del riesgo
para los activos: Servidor Windows.
Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3) Fuente: Autor.
Amen. 2,18 2,23 2,24 4,5 4,16 5,13 5,18 5,21 5,29
Vulner. Nivel 2 2 3 4 1 4 3 4 3
1.1.4.3 3 6 1.2.2.1 3 7 6 1.2.2.3 2 7 6 1.2.2.4 1 6 1.3.5.4 1 5 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 7 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.1 3 6 3.2.2 2 6 3.2.3 2 6 3.3.1 3 6 6
3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 6 3.5.2 2 6 3.5.3 3 6 3.5.4 3 6 3.6.1 3 6 3.6.2 2 6 3.6.3 1 6 3.7.1 3 6 3.7.2 1 6 3.8.1 2 6 3.8.2 1 6 3.9.1 3 6 3.9.2 2 6 3.10.1 2 6
-143-
3.10.2 3 6 3.10.3 2 6 3.11.1 3 6 3.12.1 3 6 6 3.12.2 2 6 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 6 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 6 6 3.17.2 1 6 3.17.3 2 6 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6
En la Tabla 42 se presenta el resumen de las amenazas para el activo
Servidor Windows.
Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3).
Fuente: Autor.
Nro. Nivel Descripción Cantidad Vulnerab. Potenc.
Máximo riesgo
2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P
1 5
2,23 2 Planificación inadecuada de los dominios 1 6
2,24 3 Protección inadecuada del sistema Windows 46 6
4,5 4 Diversidad de posibilidades de acceso a sistemas TI en red 1 7
4,16 1 Reconocimiento automático del DVD-ROM 1 6
5,13 4 Virus de computador 3 7
5,18 3 Macrovirus 2 6
5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6
5,29 3 Adquisición no autorizada de derechos de administrador con Windows
2 6
-144-
En conclusión, el activo 4.3, servidor Windows S1 tiene un nivel de riesgo
promedio de 6,11 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 59 y los niveles de protección son: para la
confidencialidad es alto, para la integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 43 se presenta el cálculo del riesgo
para los activos: Servidor Windows S4.
Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3). Fuente: Autor.
Amenaza 2,2 2,2 4,2 5,1 5,2 5,2 5,3
Vulnerabilidad Nivel 2 3 1 4 3 4 3
1.1.4.3 3 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 6 6 1.3.5.4 1 5 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.2 2 3.2.3 2 3.3.1 3 6 6
3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3
-145-
3.6.1 3 3.6.2 2 6 3.6.3 1 3.7.1 3 6 3.7.2 1 6 3.8.1 2 3.8.2 1 6 3.9.1 3 3.9.2 2 3.10.1 2 6 3.10.2 3 6 3.10.3 2 3.11.1 3 3.12.1 3 6 6 3.12.2 2 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6
En la Tabla 44 se presenta el resumen de las amenazas para el activo
Servidor Windows S4.
-146-
Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3). Fuente: Autor.
Nro. Nivel Descripción Cantidad Vulnerab. Potenc.
Máximo riesgo
2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P
1 5
2,24 3 Protección inadecuada del sistema Windows 27 6
4,16 1 Reconocimiento automático del DVD-ROM 1 6
5,13 4 Virus de computador 1 6
5,18 3 Macrovirus 1 6
5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6
5,29 3 Adquisición no autorizada de derechos de administrador con Windows
1 6
En conclusión, el activo 4.3, servidor Windows S4 tiene un nivel de riesgo
promedio de 6,83 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 34 y los niveles de protección son: para la
confidencialidad es alto, para la integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 45 se presenta el cálculo del riesgo
para los activos: Firewall.
Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). Fuente: Autor.
Amen. 2,17 3,1 3,11 4,1 4,13 5,3
Vulner. Nivel 4 4 4 2 4 1
1.4.3.1 2 7 6 5
2.1.1 2 7
2.2.1 2 7
2.2.2 2 7
2.2.3 2 7
2.3.1 3
2.3.3 2 7
2.4.1 2 6
2.4.2 3 7
-147-
2.4.3 2 7
2.5.1 1 6
2.6.1 3 7
2.6.2 3 7
2.6.3 2 7
2.6.4 3 7
2.7.1 1 6
2.8.1 3
2.8.2 3 7 2.8.3 3 7 2.8.5 3 7 2.8.6 3 7 2.8.7 2 6 2.8.8 2 7 2.8.9 2 7 2.8.10 3 7 2.8.11 3 7 2.9.1 2 7 2.9.2 3 2.9.3 3 7 2.9.4 2 7 5
2.10.1 2 7 2.10.2 2 7 2.10.3 3 7 2.10.4 3 7 2.11.1 2 2.11.2 2 7 2.11.3 2 7 2.11.4 2 7 2.11.5 3 7 2.11.6 2 7 2.11.7 2 7 2.11.8 3 7 2.11.9 3 7 2.11.10 2 6 2.11.11 2 7 2.11.12 2 7 2.11.13 2 2.11.14 2 7 2.11.15 2 7 2.12.1 3 7 2.12.2 2 7 2.13.1 2 7 2.14.1 3 7
-148-
En la Tabla 46 se presenta el resumen de las amenazas para el activo
Servidor Windows S4.
Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3).
Fuente: Autor.
Nro. Nivel Descripción Cantidad Vulnerab. Potenc.
Máximo riesgo
2,17 4 Pérdida de confidencialidad de datos sensibles de la red a proteger
34 7
3,1 4 Exportación incorrecta de sistemas de archivos bajo Linux 4 7
3,11 4 Configuración impropia del sendmail 4 7
4,1 2 Disrupciones en la fuente de energía 4 6
4,13 4 Autenticación faltante o de pobre calidad 3 7
5,3 1 Sabotaje 2 5
En conclusión, el activo 5.3, Firewall tiene un nivel de riesgo promedio de 6,50
sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue
de 51 y los niveles de protección son: para la confidencialidad es medio, para la
integridad medio y la disponibilidad es alta.
4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL
TRATAMIENTO DEL RIESGO
Una vez efectuados el análisis y la evaluación del riesgo, se debe decidir
cuáles acciones se deben tomar con esos activos que están sujetos a riesgos y
estas decisiones deberán ejecutarse, identificando y planificando las
actividades con claridad y distribuir las responsabilidades a los encargados de
los activos, estimar los requerimientos de los recursos, el conjunto de
entregables, fechas críticas y la supervisión del progreso.
-149-
Según la Norma ISO/IEC 27002:2005 la opciones posibles para el tratamiento
de riesgos son: (a) Aplicar controles apropiados. (b) Aceptar riesgos
consistente y objetivamente. (c) Evitar los riesgos. (d) Transferir los riesgos. De
las opciones propuestas por la norma se decidió tomar las 2 primeras, por lo
que en este caso de estudio los riesgos serán controlados o asumidos.
En el Anexo J se presentan los procedimientos correspondientes al control
A.6.3.1 Reporte de incidente de seguridad, control A.9.2.3 Administración de
contraseñas de usuarios, control A.9.3.1 Uso de contraseñas y control A.9.5.4
Sistema de Administración de contraseñas.
4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y
CONTROLES PARA EL TRATAMIENTO DEL RIESGO
Los resultados del análisis y la evaluación del riesgo de la Dirección de
Tecnologías de la Información y Comunicaciones DIRTIC, requieren ser
revisados con regularidad para visualizar cualquier modificación.
Las estructuras organizacionales, las tareas que se ejecutan, la tecnología que
se utiliza y las personas en las organizaciones hacen una dinámica que afectan
los riesgos valorados en un momento determinado.
Luego del proceso de identificación de las opciones de tratamiento de riesgo y
de haber evaluado estos riesgos, la DIRTIC deberá asignar los recursos y las
acciones correspondientes para implementar las decisiones de la gestión del
riesgo que deben iniciar y decidir cuáles objetivos de control y controles
-150-
escoger para el tratamiento del riesgo y preparar la declaración de
aplicabilidad, como se ilustra en la Tabla 47, el cual es un documento muy
importante del Sistema de Gestión de Seguridad de la Información, según
(ISO/IEC 27001:2005, 2005), la cláusula 4.2.1 (j) da las exigencias que se
deben seguir para estar en conformidad.
Tabla 47. Plan de tratamiento del riesgo. Fuente: Autor.
Áreas Actividades Control Activo Fecha de
Culminación Responsable
DIRTIC
Elaborar procedimientos para el sistema de administración de contraseñas, uso de contraseñas y administración de contraseñas de usuarios.
A.9.2.3 A.9.3.1 A.9.5.4
Seguridad Informática
15/01/2016 Normalización y Seguridad Telemática
Elaborar documentos de los procedimientos operativos de la DIRTIC
A.10.1.1 Seguridad Informática
15/02/2016 Normalización y Seguridad Telemática
Realizar controles de cambios cuando ocurra alguna variación en los recursos o en los sistemas de la DIRTIC
A.10.1.2 Recursos
Informáticos
Cada vez que ocurra un cambio
CETEIN
Realizar estadísticas del crecimiento de los sistemas de la DIRTIC a fin de hacer proyecciones de los requisitos de la capacidad futura de los servidores
A.10.3.1 Control de
Centros de TI Mensual
Control de Centros de TI
Instalar antivirus y actualizarlos constantemente para mitigar el riesgo del código malicioso
A.10.4.1 Soporte de Hardware y
Software Semanalmente CETEIN
Elaborar un programa de capacitación para la detección y prevención de código malicioso.
A.10.4.1 Control de
Centros de TI 15/02/2016 CETEIN
Realizar las copias de seguridad de la información según la política de seguridad acordada.
A.10.5.1 Base de Datos y Servidores
Semanalmente
CETEIN - Normalización y Seguridad Telemática
Elaborar un procedimiento para la eliminación segura de los medios de información. (Disco duros, Pen drive, CD, DVD, entre otros)
A.10.7.2 Base de Datos y Servidores
15/02/2016
CETEIN - Normalización y Seguridad Telemática
Se debe llevar el registro de las actividades del administrador de la DIRTIC, así como de los operadores
A.10.10.4 Jefe CETEIN Regularmente CETEIN
Elaborar registro de las fallas detectada en los sistemas y en la infraestructura.
A.10.10.5 Recursos
Informáticos Regularmente CETEIN
-151-
Elaborar las políticas de control de acceso a los sistemas de la DIRTIC
A.11.1.1 Base de Datos y Servidores
15/02/2016 Normalización y Seguridad Telemática
Elaborar un procedimiento de registro y des-registro de usuarios para conceder o revocar el acceso a los sistemas de la DIRTIC.
A.11.2.1 Mesa de ayuda 15/02/2016 CETEIN
Elaborar procedimientos de selección y uso de contraseñas
A.11.3.1 Seguridad Informática
30/01/2016 Normalización y Seguridad Telemática
Elaborar un procedimiento para el sistema de gestión de contraseñas
A.11.5.3 Seguridad Informática
30/01/2016 Normalización y Seguridad Telemática
Elaborar un plan para la realización de auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones en los procesos administrativos.
A.15.3.1 Desarrollo y Gestión de
Proyectos TIC 30/06/2016 DIRTIC
Elaborar un programa detallado de capacitación para el manejo de los sistemas de la DIRTIC.
A.8.2.2 Control de
Centros de TI 30/03/2016
CETEIN - Control de
Centros de TI
Elaborar un documento de la política de seguridad de la información
A.5.1.1 Seguridad Informática
30/11/2015 Normalización y Seguridad Telemática
Elaborar las políticas de control de accesos a la información o recursos de información del personal externo e interno
A.11.1.1 Seguridad Informática
15/02/2016 Normalización y Seguridad Telemática
Elaborar una política sobre seguridad de información incluyendo papeles, responsabilidades y sanciones.
A.8.1.1 A.8.2.3
Seguridad Informática
15/02/2016 Normalización y Seguridad Telemática
Elaborar políticas para que los usuarios ejerciten buenas prácticas en la selección y uso de claves.
A.11.3.1 A.11.5.3
Seguridad Informática
15/02/2016 Normalización y Seguridad Telemática
Elaborar un programa detallado de capacitación para crear conciencia sobre la importancia de la seguridad de información y su manejo por el personal de la DIRTIC.
A.8.2.2 A.6.1.3
Control de Centros de TI
30/01/2016 CETEIN - Control de
Centros de TI
Elaborar políticas definidas para la asignación de responsabilidades en la protección de activos de información así como de seguridad de información.
A.6.1.3 Normalización y Seguridad Telemática
15/02/2016 DIRTIC
Se debe organizar y mantener actualizada la cadena de contactos (Interno o Externo) con el mayor detalle posible identificando los requisitos de seguridad antes de dar acceso a la información.
A.6.2.2 A.6.2.3
Seguridad Informática
30/01/2016 Normalización y Seguridad Telemática
-152-
4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA
DIRECCIÓN, DE LOS RIESGOS RESIDUALES PROPUESTOS.
Según la (ISO/IEC 27001:2005, 2005), el riesgo residual es: “El riesgo
remanente después del tratamiento del riesgo”. En el paso anterior Selección
de Objetivos de Control y Controles, se propusieron salvaguardas para los
riesgos detectados y clasificados como importantes.
La aplicación de estos controles persigue llevar el riesgo a niveles aceptables,
permitiendo un margen de error Riesgo Residual, el cual debe ser conocido y
aprobado por la Dirección de Tecnologías de la Información y Comunicaciones
de la Armada DIRTIC, por lo cual se hace necesario que en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, la Dirección apruebe el Riesgo Residual no
cubierto, la aprobación se puede conseguir por medio de la firma del
documento “Matriz de Gestión de Riesgo, Controles Recomendados y
Estimados” y la firma del siguiente documento:
-153-
Armada del Ecuador
Dirección de Tecnologías de la Información y Comunicaciones Guayaquil
APROBACIÓN DEL RIESGO RESIDUAL
DECLARACIÓN
A través del siguiente documento se aprueba el “Riesgo Residual” no cubierto en la implantación de los controles sugeridos como resultado de la Evaluación del Riesgo para el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como caso de referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada.
A los ___ días del mes de ________ del 2015.
Director de la DIRTIC Firma autorizada
-154-
4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA
IMPLEMENTAR Y OPERAR EL SGSI.
Es necesario garantizar la puesta en marcha de Diseño de un Sistema de
Gestión de Seguridad de la Información para Instituciones Militares, tomando
como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, con el compromiso de la Dirección de facilitar
los recursos necesarios para la implementación de los controles propuestos.
En este caso de estudio, la persona encargada de la Jefatura de Departamento
de Normalización y Seguridad Telemática, así como la Jefatura del Centro de
Tecnología de la Información no tiene la competencia para autorizar los
recursos necesarios para la implementación y operación del SGSI; sin
embargo, de considerar pertinente la adopción de los controles propuestos
como solución a los problemas detectados en la seguridad de la información
que se maneja en la DIRTIC, pudiese llevar a cabo las acciones necesarias
para lograr dicha aprobación a través de una instancia superior (Director de
Tecnologías de la Información y Comunicaciones).
La autorización para implementación del SGSI en la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada se puede lograr a través de
la firma del documento “Enunciado de Aplicabilidad” por parte del “Director de
la DIRTIC” con competencia para ello y la firma del siguiente documento:
-155-
Armada del Ecuador
Dirección de Tecnologías de la Información y Comunicaciones Guayaquil
AUTORIZACIÓN DE IMPLEMENTACIÓN Y OPERACIÓN
RESOLUCIÓN No. _____________
El _______________________________ de la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, en Sesión No. _________, Ordinaria, celebrada el día ____ de ______ del año ________, en uso de las atribuciones legales y reglamentarias que le confiere la ley AUTORIZÓ la IMPLEMENTACIÓN Y OPERACIÓN DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES, TOMANDO COMO REFERENCIA A LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA ARMADA.
Director de la DIRTIC Firma autorizada
-156-
En el Anexo K se presenta un cronograma de cuarenta y cuatro (44) semanas
para implementar el Sistema de Gestión de Seguridad de la Información para
Instituciones Militares, tomando como referencia a la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada.
4.11 DECLARACIÓN DE APLICABILIDAD
La declaración de aplicabilidad, como lo exige el ISO/IEC 27001:2005 en la
cláusula 4.2.1 (4) (j), es un excelente registro de los últimos controles
establecidos. Tiene como finalidad la observancia de todos los controles de
seguridad propuestos en la norma ISO/IEC 27001:2005, con la justificación de
su inclusión o exclusión.
El uso de la declaración de aplicabilidad es muy apropiado para mantener un
registro actualizado de los últimos controles instaurados en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, en la Tabla 48 se tiene una ilustración de la
declaración de aplicabilidad.
Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la Información. Fuente: Autor.
Objetivos de control
Controles Aplicabilidad Justificación
SI NO
A.5.1. Política de Seguridad de la
información
A.5.1.1 X
Es necesario establecer las políticas de seguridad para los sistemas de información, ya que manejan la información vital de la DIRTIC. Es necesario revisar periódicamente las políticas de seguridad para asegurar que se mantengan adecuadas. A.5.1.2 X
-157-
A.6.1 Organización interna
A.6.1.1 X
Es necesario tener controles y políticas para el manejo de la seguridad de la información dentro de la DIRTIC y CETEIN.
A.6.1.2 X
A.6.1.3 X
A.6.1.4 X
A.6.1.5 X
A.6.1.6 X
A.6.1.7 X
A.6.1.8 X
A.6.2 Partes externas
A.6.2.1 X Se necesita controles para mitigar riesgos
con instituciones externas. Es necesario establecer requerimientos de seguridad porque hay documentos con información clasificada de la DIRTIC que son trasladados por terceros.
A.6.2.2 X
A.6.2.3 X
A.7.1 Responsabilidad por los activos
A.7.1.1 X Es necesario tener controles y políticas para
mantener la protección apropiada de los activos de la DIRTIC.
A.7.1.2 X
A.7.1.3 X
A.7.2 Clasificación de la información
A.7.2.1 X
Es necesario tener políticas y controles para asegurar que la información reciba un nivel de protección apropiado. A.7.2.2 X
A.8.1 Antes del empleo
A.8.1.1 X Es necesario que los todos los usuarios
(Militares, Servidores Públicos y usuarios externos), que laboran para la DIRTIC, comprendan sus responsabilidades, y que sean apropiados para los roles considerados, para mitigar los riesgos de robo, fraude o mal uso de los recursos.
A.8.1.2 X
A.8.1.3 X
A.8.2 Durante el empleo
A.8.2.1 X Todos los usuarios (Militares, Servidores
Públicos y usuarios externos), que laboran en la DIRTIC deben estar conscientes de las amenazas que tienen los sistemas de información, sus responsabilidades y obligaciones para reducir el riesgo de error humano.
A.8.2.2 X
A.8.2.3 X
A.8.3 Terminación o cambio de empleo
A.8.3.1 X
Debe asegurarse que todos los usuarios (Militares, Servidores Públicos y usuarios externos), que laboran en la DIRTIC o que son trasladados a otras oficinas lo hagan de una manera ordenada.
A.8.3.2 X
A.8.3.3 X
A.9.1 Áreas seguras
A.9.1.1 X
Es necesario prevenir el acceso físico no autorizado, daño e interferencia a las instalaciones e información de la DIRTIC y CETEIN
A.9.1.2 X
A.9.1.3 X
A.9.1.4 X
A.9.1.5 X
A.9.1.6 X
A.9.2 Seguridad de los equipos
A.9.2.1 X Se debe prevenir las pérdidas, daño o robo
de los activos que puedan causar la interrupción de las actividades de la DIRTIC
A.9.2.2 X
A.9.2.3 X
-158-
A.9.2.4 X
A.9.2.5 X
A.9.2.6 X
A.9.2.7 X
A.10.1 Procedimiento y
responsabilidades de operación
A.10.1.1 X
Se debe asegurar la correcta operación de los recursos para el tratamiento de información.
A.10.1.2 X
A.10.1.3 X
A.10.1.4 X
A.10.2 Gestión de entrega de servicio
de tercera parte
A.10.2.1 X
Cuando se realice algún servicio externo se debe implementar controles para mantener el nivel apropiado de seguridad de la información.
A.10.2.2 X
A.10.2.3 X
A.10.3 Planificación y aceptación del
sistema
A.10.3.1 X Se debe minimizar el riesgo de fallas de los
sistemas. A.10.3.2 X
A.10.4 Protección contra código
malicioso y movible
A.10.4.1 X Se debe proteger la integridad del software y
de la información. No está autorizado el uso de código movible. A.10.4.2
X
A.10.5 Copia de seguridad
A.10.5.1 X
Se debe asegurar realizar respaldo del sistema y de las bases de datos. Igualmente se deben probar que las copias de seguridad funcionen correctamente a fin de garantizar la integridad y la disponibilidad de la información.
A.10.6 Gestión de seguridad de la red
A.10.6.1 X Se debe proteger la información en la red de
datos, así como la infraestructura de soporte. A.10.6.2 X
A.10.7 Manejo de medios de
información
A.10.7.1 X Se debe prevenir la divulgación, modificación,
eliminación o destrucción no autorizada de los activos e interrupción de las actividades administrativas de la DIRTIC.
A.10.7.2 X
A.10.7.3 X
A.10.7.4 X
A.10.8 Intercambio de información
A.10.8.1 X
Se debe asegurar el intercambio de información dentro de la DIRTIC y CETEIN con cualquier entidad externa
A.10.8.2 X
A.10.8.3 X
A.10.8.4 X
A.10.8.5 X
A.10.9 Servicio de comercio
electrónico
A.10.9.1
X No se realiza comercio electrónico en la DIRTIC y CETEIN A.10.9.2
X
A.10.9.3
X
A.10.10 Seguimiento
A.10.10.1 X
Se debe registrar las actividades de procesamiento de información no autorizada.
A.10.10.2 X
A.10.10.3 X
A.10.10.4 X
A.10.10.5 X
A.10.10.6 X
-159-
A.11.1 Requisitos del negocio para el control de accesos
A.11.1.1 X
Es necesario establecer las políticas de control de acceso.
A.11.2 Gestión de acceso de usuarios
A.11.2.1 X
Es necesario prevenir el acceso no autorizado a los sistemas de información
A.11.2.2 X
A.11.2.3 X
A.11.2.4 X
A.11.3 Responsabilidad de
usuarios
A.11.3.1 X
Es necesario crear conciencia en los usuarios de la DIRTIC y CETEIN para que sigan buenas prácticas de seguridad a fin de evitar el acceso de usuarios no autorizados y mitigar los riesgos de robo de información o de recursos de procesamiento de información.
A.11.3.2 X
A.11.3.3 X
A.11.4 Control de acceso a la red
A.11.4.1 X
Es necesario elaborar políticas de acceso para la utilización de los servicios de red.
A.11.4.2 X
A.11.4.3 X
A.11.4.4 X
A.11.4.5 X
A.11.4.6
X
A.11.4.7
X
A.11.5 Control de acceso al sistema
operativo
A.11.5.1
X
Es necesario que todos los usuarios de la DIRTIC y CETEIN dispongan de un identificador único. Deben existir sistemas para la gestión de contraseñas.
A.11.5.2 X
A.11.5.3 X
A.11.5.4 X
A.11.5.5 X
A.11.5.6 X
A.11.6 Control de acceso a las
aplicaciones e información
A.11.6.1 X Se debe prevenir el acceso no autorizado a la
información contenida en los sistemas de aplicación. A.11.6.2 X
A.11.7 Computación móvil y trabajo a distancia
A.11.7.1
X No se realiza teletrabajo ni recursos de computación móvil.
A.11.7.2
X
A.12.1 Requisitos de seguridad de los
sistemas de información
A.12.1.1 X
Se deben especificar los controles de seguridad para la DIRTIC y CETEIN.
A.12.2 Procesamiento correcto en las aplicaciones
A.12.2.1 X
Se debe prevenir los errores, pérdida, modificación no autorizada o mal uso de la información en la DIRTIC y CETEIN
A.12.2.2 X
A.12.2.3 X
A.12.2.4 X
A.12.3 Controles criptográficos
A.12.3.1
X No se utiliza encriptación de la información, ni gestión de claves. A.12.3.2
X
A.12.4 Seguridad de los archivos del
sistema
A.12.4.1 X
Se debe asegurar la seguridad de los archivos del sistema. A.12.4.2 X
A.12.4.3 X
A.12.5 Seguridad
en los procesos de desarrollo y soporte
A.12.5.1 X
Se debe mantener la seguridad del software y la información de Los sistemas que dispone la DIRTIC y CETEIN A.12.5.2
X
-160-
A.12.5.3 X
A.12.5.4 X
A.12.5.5 X
A.12.6 Gestión de vulnerabilidad
técnica A.12.6.1 X
Se deben evaluar las vulnerabilidades de los sistemas que dispone la DIRTIC para mitigar el riesgo asociado.
A.13.1 Reportar los eventos y
debilidades de seguridad de la
información
A.13.1.1 X
Se deben diseñar formatos para reportar los incidentes de seguridad asociados a los sistemas que dispone la DIRTIC para tomar acciones correctivas oportunamente.
A.13.1.2 X
A.13.2 Gestión de los incidentes y
mejoras de seguridad de la
información
A.13.2.1 X
Se deben gestionar los incidentes de seguridad de la información. A.13.2.2 X
A.13.2.3 X
A.14.1 Gestión de continuidad del
negocio
A.14.1.1 X
Se debe diseñar un plan de continuidad del negocio que garantice la reanudación del servicio oportunamente ante la ocurrencia de un evento de seguridad.
A.14.1.2 X
A.14.1.3 X
A.14.1.4 X
A.14.1.5 X
A.15.1 Cumplimiento de requisitos legales
A.15.1.1 X
Se debe evitar el incumplimiento de cualquier ley, estatuto, obligación reglamentaria y de cualquier requisito de seguridad.
A.15.1.2 X
A.15.1.3 X
A.15.1.4 X
A.15.1.5 X
A.15.1.6
X
A.15.2 Cumplimiento con
las políticas y normas de
seguridad y el cumplimiento
técnico
A.15.2.1 X
Se debe realizar y evaluar un plan de seguridad de la información de la DIRTIC
A.15.2.2 X
A.15.3 Consideraciones de
auditoria de los sistemas de información
A.15.3.1 X Elaborar un plan para la realización de
auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones de los procesos administrativos de la DIRTIC.
A.15.3.2 X
-161-
4.12 FACTIBILIDAD
(Seen, 1987), define “la factibilidad es la posibilidad de que el sistema sea
beneficioso para la organización”, un estudio de factibilidad sirve para recopilar
datos relevantes sobre el desarrollo de un proyecto y en base a ello tomar la
mejor decisión, si procede su estudio, desarrollo o implementación.
En el estudio de factibilidad para determinar la viabilidad del Diseño de un
Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones, se analizarán los tres tipos de factibilidad:
operativa, técnica y económica.
4.12.1 FACTIBILIDAD OPERATIVA
La factibilidad operativa es un análisis del recurso humano que participan en el
proyecto, su capacitación, así como la estructura orgánica funcional de la
institución, identificando todas las actividades que son necesarias para lograr
el objetivo y se evalúa y determina todo lo necesario para llevarla a cabo el
Diseño de un SGSI para Instituciones Militares, tomando como referencia la
DIRTIC.
Para establecer el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones, se procedió a
tomar la publicación (D.G.P. COGMAR-INF-002-2010-O, 2010), referente a
Seguridad de la Información.
-162-
Se realizó reuniones con el Director de Tecnologías de la Información
Comunicaciones y Subdirector de la DIRTIC y el Jefe del Departamento
Administrativo Financiero para verificar si existe el presupuesto necesario para
Capacitación al personal de la DIRTIC en “Sistema de Gestión de Seguridad de
Información ISO 27001:2005”.
Se realizó reuniones con el Director de Tecnologías de la Información
Comunicaciones y Subdirector de la DIRTIC para lograr un compromiso y el
reconocimiento de las responsabilidades de seguridad de la información.
Se realizó reuniones con el Jefe del Centro de Tecnologías de la Información,
de la Dirección de Tecnologías de las Información y Comunicaciones, para
lograr el compromiso necesario para el establecimiento del Diseño de un SGSI
para las Instituciones Militares.
Se realizaron reuniones con el personal del Departamento de Desarrollo y
Gestión de Proyectos TIC de la Dirección de Tecnologías de las Información y
Comunicaciones, Departamento de Normalización y Seguridad Telemática,
Departamento de Comunicaciones, Departamento de Control de Centros de TI
y el personal del Centro de Tecnología de la Información para ejecutar la fase
de diagnóstico.
Se realizó una capacitación de “Sistema de Gestión de Seguridad de
Información ISO 27001:2005” en la Empresa CAPLAM con un costo de USD.
400,00 por estudiante y “Análisis y Gestión de Riesgos” en la empresa
CAPLAM con un costo de USD. 500,00 por estudiante donde participaron los
Jefes de los del Departamento de Desarrollo y Gestión de Proyectos TIC de la
Dirección de Tecnologías de las Información y Comunicaciones, Departamento
-163-
de Normalización y Seguridad Telemática, Departamento de Comunicaciones,
Departamento de Control de Centros de TI y el Centro de Tecnología de la
Información y además el personal involucrado en el Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones
Se impartió capacitación al personal militar y civil de la Dirección de
Tecnologías de las Información y Comunicaciones y del Centro de Tecnologías
de la Información, sobre las normas básicas de Seguridad de Información y la
Directiva de Seguridad de la Información publicada por la Comandancia
General de Marina para todos los repartos de la armada y a la DIRTIC
encargada de su difusión.
El personal militar y civil de la Dirección de Tecnologías de la Información y
Comunicaciones y el Centro de Tecnología de la Información está consciente
de los incidentes de seguridad, por lo cual han solicitado mejorar la seguridad
física y el control de acceso a las instalaciones, de acuerdo a lo que se
describe en la Tabla 15 del capítulo 3.2.8.
La Dirección de Tecnologías de la Información y Comunicaciones y el Centro
de Tecnología de la Información poseen una estructura orgánica funcional de
acuerdo a como se ilustra en el Anexo A y Anexo B, lo que permite la toma de
decisiones de forma oportuna, brindando disponibilidad en la vinculación del
talento humano del que dispone esta institución.
Debido a la experiencia adquirida y al empoderamiento de los procesos
organizacionales que existen en la Institución, permiten la factibilidad operativa
y los usuarios están en la mejor disposición y compromiso para el desarrollo del
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada.
-164-
4.12.2 FACTIBILIDAD TÉCNICA
La factibilidad técnica es un análisis que se realizará para determinar la
infraestructura tecnológica y la capacidad técnica que implica el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada.
Para determinar la factibilidad Técnica se realizó una evaluación de las
capacidades técnicas requeridas para las alternativas del diseño. Además se
verificó si la DIRTIC posee el personal con experiencia técnica requerida para
establecer el Diseño de un Sistema de Gestión de Seguridad de la Información
para las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones.
La Dirección de Tecnologías de la Información y Comunicaciones de la Armada
poseen personal con experiencia suficiente en el área de seguridad de la
información. El Departamento de Normalización y Seguridad Telemática será la
encargada de supervisar el Diseño de un Sistema de Gestión de Seguridad de
la Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada
para lo cual en la Tabla 49, se describe los perfiles y habilidades del personal
de este Departamento.
Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Nombre del puesto Título de Tercer Nivel Experiencia en áreas Años de
experiencia
Jefe de Departamento Ingeniero en
Computación y Ciencias
de la Informática
Sistema de Gestión de Seguridad de
Información ISO 27001:2005
Análisis y Gestión de Riesgos
22 años
-165-
Administrador de
Seguridad Informática y
Comunicaciones
Ingeniero en Sistemas e
Informática
Sistema de Gestión de Seguridad de
Información ISO 27001:2005
Análisis y Gestión de Riesgos
12 años
Analista de Seguridad
Informática y
Comunicaciones
Ingeniero en Sistemas e
Informática
Sistema de Gestión de Seguridad de
Información ISO 27001:2005
10 años
Analista de Tecnologías
de la Información
Ingeniero en Informática Sistema de Gestión de Seguridad de
Información ISO 27001:2005
10 años
Analista de Tecnologías
de la Información
Licenciado en Sistemas Sistema de Gestión de Seguridad de
Información ISO 27001:2005
10 años
Analista de Tecnologías
de la Información 2
Licenciado en Sistemas Sistema de Gestión de Seguridad de
Información ISO 27001:2005
8 años
En la Dirección de Tecnologías de la Información Comunicaciones de la
Armada, el Departamento de Normalización y Seguridad Telemática se ha
preparado técnicamente, teniendo una visión hacia donde encamina las
necesidades tecnológicas y de la información de la Institución, de acuerdo al
organigrama que se describe en el Anexo A.
En Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, se evaluarán la infraestructura de red, hardware y software. Dentro de
la infraestructura de red se describe la interconexión que existe en la DIRTIC;
del hardware se encuentran los servidores y las computadoras de los cuales se
describe las especificaciones, requerimientos y características técnicas; y,
dentro del software se describe las aplicaciones, programas y plataforma que
se requieren para el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada.
INFRAESTRUCTURA DE RED
Dirección de Tecnologías de la Información Comunicaciones de la Armada,
dispone de una Infraestructura Tecnológica y las capacidades técnicas
-166-
necesarias para el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada,
de acuerdo a lo que se describe en la Figura 6.
HARDWARE
La Dirección de Tecnologías de la Información y Comunicaciones dispone del
siguiente hardware:
· Servidor de Aplicaciones y Base de Datos, Servidor Web, Servidor
Proxy, Servidor de Correo Electrónico
· Estaciones de Trabajo
· Switch
· Antivirus Corporativo Kaspersky
· Sistema de Seguridad Firewall
· Enlace dedicado
Servidores
Servidor Aplicaciones y Base de Datos, es el lugar donde se alojará la
Información del Diseño del Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada.
· Servidores blade HP
· Servidores rackeables IBM
Estaciones de Trabajo
-167-
Las estaciones de trabajo con la que cuenta la Dirección de Tecnologías de la
Información y Comunicaciones para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, son de las siguientes características:
Procesador INTEL CORE I3- cuarta Generación 3.6GHZ 3MB CACHE
Disco Duro 1TB 7200RPM SATA 6.0 CACHE 64MB
Lector de Disco DVD-RWRITER S 24X SATA
Memoria RAM DIMM 8GB PC-1600 DDR3
Lector de tarjetas 7 EN 1
Periféricos Teclado, Mouse, Parlantes
Monitor Incluido Screen Size 18.5"
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de 51 estaciones de trabajo y 04 impresora HP Láser, de las
cuales 06 estaciones de trabajo son asignadas al Departamento de
Normalización y Seguridad Telemática, el equipo necesario para el Diseño del
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, se describe en la Tabla 50.
Tabla 50. Equipamiento necesario de la DIRTIC. Fuente: DIRTIC
Áreas Involucradas Cantidad de
Computadores Impresoras
Láser
DIRTIC
Dirección 2 1
Subdirección 6
Departamento Administrativo Financiero 4
-168-
Departamento de Desarrollo y Gestión de Proyectos Informáticos
5 1
Departamento de Comunicaciones 5
Departamento de Normalización y Seguridad Telemática
6 1
Departamento de Control de Centros 2
CETEIG
Centro de Tecnología de la Información y Comunicaciones
21 1
Total 51 04
Switch
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de un Switch, para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada.
· SWITCH CISCO
Firewall
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de un Firewall, para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada.
· CISCO ASA.
SOFTWARE
-169-
Las licencias para los servidores y estaciones de trabajo con que cuenta la
Dirección de Tecnologías de la Información y Comunicaciones para el Diseño
del Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada son las siguientes:
Windows Server 2012 R2 Datacenter. Proporciona un centro de datos de clase
empresarial y soluciones de nube híbrida que son fáciles de implementar, con
derechos de virtualización ilimitados con beneficios de escala en el nivel de la
nube con costos menores y predecibles, enfocada en las aplicaciones y
centradas en los usuarios.
Red Hat Enterprise Linux Server. Distribución comercial de Linux desarrollada
por Red Hat. Es una plataforma versátil que se puede implementar en los
sistemas físicos, como invitado en los principales hipervisores, o en la nube.
Microsoft SQL Server 2012 Express. Es un sistema de administración de datos
gratuito, eficaz y confiable que ofrece un almacén de datos completo y
confiable para sitios web ligeros y aplicaciones de escritorio.
Microsoft Windows 8 Pro para estaciones de trabajo. La edición de Windows 8
Pro para las arquitecturas x86 y x64, está enfocada hacia los entusiastas de la
tecnología, de negocios y profesionales, las características adicionales incluyen
operar como un servidor de escritorio remoto, la habilidad de participar en un
dominio de Windows Server, encriptación, virtualización, gestión de PC,
políticas de grupo, además se puede utilizar la funcionalidad de Windows
Media Center.
-170-
Microsoft Office 2013. Paquete ofimático de Microsoft, posee numerosas
novedades a Word, PowerPoint, Excel, Outlook, Publisher, Access y OneNote,
permite la integración con la Nube, las aplicaciones del paquete se integran a la
perfección con SkyDrive, Skype, Bing y otros servicios web.
Todas las licencias anteriores permiten el funcionamiento del Servidor de
Aplicaciones, Base de datos y Servidor Web y estaciones de trabajo, este
sistema operativo es capaz de brindar políticas de seguridad para el acceso a
los usuarios internos para la aplicación local como de internet, acceso a la red y
permite compartir recursos y mantiene comunicación entre las estaciones de
trabajo.
La DIRTIC y la Armada del Ecuador, poseen una infraestructura Informática de
una Red Corporativa de Datos denominada Sistema de Comunicaciones
Navales, interconectada a través de todos los repartos navales, la misma que
permite el acceso a los servicios de Internet Corporativo, Sistemas
Corporativos, transporte de voz, vídeo, datos.
Una vez realizado la evaluación de las actividades anteriores se puede afirmar
que existe factibilidad técnica, el personal que labora en la Dirección de
Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de
la Información, posee experiencia técnica requerida para establecer el Diseño
de un Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones, además existe personal con experiencia en
seguridad de la información, y la infraestructura informática se encuentra
acorde a los requerimientos del Diseño.
4.12.3 FACTIBILIDAD ECONÓMICA
-171-
La factibilidad económica es un análisis que se realiza para determinar el
costo-beneficio del Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, tomando como referencia la Dirección
de Tecnologías de la Información y Comunicaciones de la Armada.
RECURSO HUMANO
En Este estudio se incluye el costo del recurso humano para dar una
aproximación más real del valor del proyecto del Diseño, la mano de obra es
más importante para la realización del Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, determinando el salario mensual del personal que labora el
Departamento de Normalización y Seguridad Telemática de la DIRTIC, el cual
se describe en la Tabla 51.
Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC
Nombre del puesto Meses Salario ($)
Jefe de Departamento 1 2600
Administrador de Seguridad Informática y Comunicaciones 1 1500
Analista de Seguridad Informática y Comunicaciones 1 1500
Analista de Tecnologías de la Información 1 1500
Analista de Tecnologías de la Información 1 1300
Analista de Tecnologías de la Información 2 1 1300
TOTAL $ 9.700,00
RECURSOS CONSUMIBLES
Los recursos consumibles que serán utilizados para la realización del Diseño
de un Sistema de Gestión de Seguridad de la Información para Instituciones
-172-
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada, se describe en la Tabla 52.
Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Nombre del consumible cantidad Precio Unitario ($) Total ($)
Caja de resmas de papel bond Tamaño A4 10 $ 4,00 $ 40,00
Caja de CD 10 $ 7,00 $ 70,00
Caja de DVD 11 $ 9,00 $ 99,00
Cartucho de tinta de color para impresora 04 $ 250,00 $ 1.000,00
Fotocopias 5000 $ 0,03 $ 150,00
Gastos varios $ 500,00
TOTAL $ 1.959,00
RECURSOS TECNOLÓGICOS
Los recursos tecnológicos que serán utilizados por el Departamento de
Normalización y Seguridad Telemática para la realización del Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, se describe en la Tabla 53.
Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Nombre del Recurso cantidad Precio Unitario ($) Total ($)
Servidores (Web y Aplicaciones) 2 $ 9.000,00 $ 18.000,00
Computadoras 6 $ 600,00 $ 3.600,00
Impresora 1 $1700,00 $ 1700,00
Swich 1 $ 4.500,00 $ 4.500,00
Firewall 1 $ 9.000,00 $ 9.000,00
Windows Server 2012 R2 Datacenter 1 $ 6.100,00 $ 6.100,00
-173-
Red Hat Enterprise Linux Server 1 $ 3.815,00 $ 3.815,00
Microsoft SQL Server 2012 Express 1 $ 1.793,00 $ 1.793,00
Microsoft Windows 8 Pro para PC 6 $ 150,00 $ 900,00
Microsoft Office 2013 6 $ 160,00 $ 960,00
TOTAL $ 50.368,00
RECURSOS DE OPERACIÓN
Energía Eléctrica. Para el cálculo de energía eléctrica se realiza tomando en
cuenta el consumo de energía utilizada por el hardware que se utiliza para el
desarrollo del proyecto, en los cuales se especifica la cantidad de energía
consumida por cada uno de los equipos que depende de las características
propias de cada uno de ellos, así como se describe en la Tabla 54.
(Empresa Eléctrica Quito, 2014), El Costo del Kilowatts por hora del servicio de
energía eléctrica utilizados por los equipos informáticos del Departamento de
Normalización y Seguridad Telemática de la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada, se toma en consideración de
acuerdo al pliego del tarifario vigente, del período de consumo de diciembre del
2014 emitido por la Empresa Eléctrica de Quito, en la cual especifica que el
rango de consumo de 701 – 1000 Kw/h tiene un valor de USD. 0,1450; de 201
– 500 Kw/h tiene un valor de USD. 0,0994; de 51 – 100 Kw/h tiene un valor de
USD. 0,0814; y, de 0 – 50 Kw/h tiene un valor de USD. 0,0784.
Tal como se muestra en la Tabla 54, los servidores son generalmente las
mayores plataformas informáticas en términos de consumo energético dentro
de la DIRTIC, debido a su mayor rendimiento en el procesamiento de datos en
comparación con una computadora u otro equipo informático, debido a que
utilizan de manera eficaz su arquitectura de procesadores con diversos núcleos
y grandes capacidades de tratamiento de la memoria al operar con un
-174-
rendimiento máximo las 24 horas al día, 7 días a la semana, los 365 días al
año, de igual manera el ruteador y el switch. Las Computadoras e impresoras
operan con un rendimiento de 8 horas al día, 5 días a la semana y 240 días al
año. (Kingston, 2015).
Tabla 54. Consumo de energía de los quipos informáticos del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Equipos Cantidad Watts Kw/h Kw/h
( al mes)
Costo
Kw/h Total ($)
Servidores 2 670 1,340 964,8 0,1450 $ 139,90
Computadoras 6 430 2,58 412,8 0,0994 $ 41,03
Impresora 1 120 0,12 19,2 0,0784 $ 1,51
Switch 1 110 0,11 79,2 0,0814 $ 6,45
Firewall 1 110 0,11 79,2 0,0814 $ 6,45
TOTAL $ 195,34
El costo total del proyecto para el Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, se detalla en la Tabla 55.
Tabla 55. Costo Total del Diseño. Fuente: DIRTIC
Nombre del Recurso meses Precio Unitario ($) Total ($)
Recurso Humano 6 $ 9.700,00 $ 58.200,00
Recursos Consumibles 6 $ 1.959,00 $ 11.754,00
Recurso Tecnológico $ 50.368,00 $ 50.368,00
Recursos de Operación 6 $ 195,34 $ 1.172,04
TOTAL $ 121.594,04
-175-
EVALACUACIÓN ECONÓMICA
(Moreno, 2011), Describe que la evaluación económica de proyectos
tecnológicos es un método de análisis, en la que permite adoptarlas
disposiciones para el cumplimiento de los objetivos de seguridad.
La evaluación económica se apoya en técnicas de evaluación como:
· Métodos de Valor Actual Neto VAN.
· Método de la Tasa Interna de Retorno TIR.
· Método de Beneficio / Costo
En la aplicación de las metodología para la evaluación de los proyectos de
inversión, casi siempre hay más posibilidades de aceptar un proyecto cuando la
evaluación se efectúa a una tasa de interés baja, que a una tasa de interés
mayor (Gómez, 2015).
La evaluación económica de los proyectos constituye la técnica matemática
financiera, a través de la cual se determina los beneficios o pérdidas en los que
se puede incurrir al realizar una inversión, con el objetivo de obtener resultados
que apoyen la toma de decisiones del proyecto.
En la planificación de todo proyecto es necesario realizar el análisis económico
para conocer la rentabilidad y factibilidad del mismo. Con este análisis se podrá
conocer los costos de inversión y mediante la relación costo beneficio
determinar qué tan rentable es el proyecto.
-176-
VALOR ACTUAL NETO (VAN)
(Moreno, 2011), define al VAN a la diferencia entre el valor actual de los
ingresos esperados de una inversión y el valor actual de los egresos que la
misma ocasione. Es la rentabilidad mínima pretendida por el inversor, por
debajo de la cual estará dispuesto a efectuar su inversión.
Al ser un método que tiene en cuenta el valor tiempo de dinero, los ingresos
futuros esperados, como también los egresos, deben ser actualizados a la
fecha del inicio del proyecto. La tasa de interés será fijada por la persona que
evalúa el proyecto de inversión conjuntamente con los inversores o dueños,
para lo cual podemos aplicar la siguiente fórmula:
Dónde: VAN = Valor Actual Neto de la Inversión.
A = Valor de la Inversión Inicial.
Qi = Valor neto de los distintos flujos de caja. Se trata del valor neto así
cuando en un mismo periodo se den flujos positivos y negativos será la
diferencia entre ambos flujos.
ki = Tasa de retorno del periodo.
Tomando los valores de Flujo de Caja del Proyecto que y reemplazando en la
fórmula tenemos como resultado un VAN de 24.469,77.
-177-
El criterio general para saber si es conveniente realizar el proyecto es el
siguiente:
VAN ≥ 0 Los proyectos de inversión son aceptados
VAN < 0 Los proyectos de inversión son rechazados
TASA INTERNA DE RETORNO (TIR)
Es la tasa que iguala a la suma de los ingresos actualizados. Con la suma de
los egresos actualizados (igualando al egreso inicial). Es la tasa de interés que
hace que el VAN del proyecto sea igual a cero (Moreno, 2011).
El TIR es el tipo de descuento que hace igual a cero el VAN, como se describe
en la siguiente fórmula:
-178-
Dónde: Ft = Es el flujo de caja en el período t.
n = Es el número de períodos.
I = Es el valor de la inversión inicial.
De acuerdo al cálculo realizado en el Flujo de Caja del Proyecto, tenemos un
TIR de 23,97%.
El criterio general para saber si es conveniente realizar el proyecto es el
siguiente:
TIR ≥ 0 Se aceptará el proyecto. La razón es que el proyecto da una
rentabilidad mayor que la rentabilidad mínima requerida (el coste de
oportunidad).
TIR < 0 Se rechazará el proyecto. La razón es que el proyecto da una
rentabilidad menor que la rentabilidad mínima.
TASA DE DESCUENTO
Para el cálculo de la Tasa de Descuento para este Proyecto, es necesario
calcular la Tasa Mínima Aceptable de Rendimiento (tmar). Para tomar la
decisión de ejecutar el proyecto, se exige una tasa mínima de ganancia sobre
la inversión que realiza, conocida como Tasa Mínima Aceptable de
rendimiento, esta tasa se espera que sea por lo menos igual al costo promedio
ponderado de la institución de crédito, según el Banco Central del Ecuador12
para el mes de enero del 2015, la inflación se ubica en 3,53%, tasa nominal
pasiva 5,22%, riesgo país 5,63%, como se describe en la Tabla 56.
TMAR = Inflación + tasa pasiva + riesgo país
12 http://www.bce.fin.ec
-179-
TMAR = 3,53 + 5,22 + 5,63
TMAR = 14,38%
Tabla 56. Tasa de Descuento. Fuente: DIRTIC
CONCEPTO VALOR
EN $
% DE PARTICIPACIÓN
1
TASA NOMINAL DE INTERÉS
2
COSTO PONDERADO DE CADA FUENTE
3 = 1 x 2
FINANCIAMIENTO DEL ESTADO
121,594 100.00% 14.38% 14.38%
TOTAL DEL FINANCIAMIENTO
121,594 100.00% 14.38% 14.38%
COSTO Y DEPRECIACIÓN DE EQUIPOS INFORMÁTICOS
Para el Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada tiene un valor
de USD. 50.468,00. y la depreciación anual de los equipos informáticos se
describe en la Tabla 57.
Tabla 57. Depreciación anual de Equipos Informáticos. Fuente: DIRTIC
Rubro Monto Dep. Anual
Servidores $18,000.00 4,860
Computadoras $3600.00 972
Impresoras $1,700.00 459
Swich $4,500.00 1,215
Firewall $9,000.00 2,430
Sistemas $7,468.00 2,016
TOTAL DEPRECIACIÓN ANUAL 11,952
-180-
COSTOS DE SUMINISTROS
Para el Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada tiene los costos
de suministros de valor de USD. 1.959,00.
INGRESOS ANUALES
(Neira, 2015), define que el Sistema de Gestión de la Seguridad de la
Información (SGSI) en las empresas ayuda a establecer las políticas,
procedimientos y controles, con objeto de mantener siempre el riesgo por
debajo del nivel asumible por la propia organización, por lo cual para este
proyecto determinaremos y estableceremos los ingresos anuales en el flujo de
caja del proyecto como los beneficios que se obtiene al diseñar el SGSI para la
DIRTIC.
Para establecer los ingresos anuales y calcular el flujo de caja se realiza
partiendo de la base de que la seguridad al 100% no existe, la adopción de un
Sistema de Gestión de la Seguridad de la Información (SGSI) es una
alternativa adecuada para establecer una metodología y una serie de medidas
que permita ordenar, sintetizar y simplificar la seguridad de la información.
(Neira, 2015), establece que además de la confidencialidad, integridad y
disponibilidad de la información se debe considerar la privacidad de la
información como un elemento clave en la empresa y en la gestión y
-181-
actividades que realiza, y se debe cambiar la relación seguridad-gasto típica a
una más interesante privacidad-beneficios, lo que permite a las empresas
potenciar sus negocios, explotar al máximo su imagen y certificación ISO
27001, adaptarán y mejoraran continuamente su nivel de protección, sin reducir
el nivel de satisfacción de los clientes o empleados.
Para cumplir con lo antes mencionado (Neira, 2015), describe en cinco grupos
principales para establecer los beneficios económicos que una empresa tiene
al implementar in SGSI, de los cuales tomaremos como referencia para el
cálculo de los ingresos económicos anuales de nuestro proyecto como se
describe en la Tabla 58.
Tabla 58. Ingresos anuales durante los 3 años. Fuente: DIRTIC
INGRESOS ANUALES
CONCEPTO PRIMER
AÑO SEGUNDO
AÑO TERCER
AÑO Reducción de riesgos en la DIRTIC 7,000.00 14,000.00 22,000.00
Ahorro económico 7,000.00 14,000.00 22,000.00
La seguridad se transforma en actividad de gestión
7,000.00 14,000.00 22,000.00
Cumplimiento legal 7,000.00 14,000.00 22,000.00
Competitividad en el mercado 7,000.00 14,000.00 22,000.00
TOTAL 35,000.00 70,000.00 110,000.00
CÁLCULO DE RENTABILIDAD
Para el cálculo de rentabilidad del Diseño de un Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, se utilizó los valores descritos en los cuadros anteriores.
-182-
La utilidad neta de nuestro proyecto se calculó tomando la diferencia entre el
ingreso realizado en un periodo y los gastos que se asocian directamente en
este ingreso, proyectado para 3 años como se describe en la Tabla 25.
Considerando en el Artículo 31, de la Ley de Régimen Tributario, se establece
que Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada tiene una vida útil
proyectada de 3 años se realiza el Flujo de Caja de acuerdo a lo que se detalla
en la Tabla 59.
Tabla 59. Flujo de Caja del Proyecto. Fuente: DIRTIC
FLUJO DE CAJA OPERATIVOS
CONCEPTO FINANCIAMIENTO PRIMER
AÑO SEGUNDO
AÑO TERCER
AÑO
INGRESOS POR SERVICIOS PRESTADOS
35,000.00 70,000.00 110,000.00
(+) DEPRECIACIONES ACTIVOS FIJOS
11,952.00 11,952.00 11,952.00
(-) GASTOS ADMINISTRATIVOS
15,000.00 15,000.00 15,000.00
(- ) VALOR RESIDUAL DE LOS ACTIVOS FIJOS
1,959.00 1,959.00 1,959.00
FLUJO DE CAJA OPERATIVO NOMINAL -121,594.04 29,993.00 64,993.00 104,993.00
TASA PERTINENTE DE DESCUENTO (EN %)
14.38% 14.38% 14.38%
FACTOR DE VALOR ACTUAL A LA TASA Kp
0.874279 0.764363 0.668267
VALOR ACTUAL DE LOS FLUJOS DE CAJA -121,594.04 26,222.24 49,678.26 70,163.31
FLUJOS ACTUAL DE CAJA ACUMULADOS
-95,371.80 -45,693.54 24,469.77
SUMA DE LOS FLUJOS DE CAJA ACTUALIZADOS
24,470
COSTO (INVERSIÓN) DEL PROYECTO
121,594
-121,594.04 29,993.00 64,993.00 104,993.00
De acuerdo a los índices de evaluación calculados en el flujo de caja, podemos
visualizar que el VAN es ≥ 0, TIR es ≥ 0; Relación B/C es ≥ 1; y, el periodo real
de recuperación es menor a 3 años, por lo cual el proyectos es rentable, de
acuerdo a lo que se describe en la Tabla 60.
-183-
Tabla 60. Resultados de los Índices de Evaluación. Fuente: DIRTIC
ÍNDICES DE EVALUACIÓN VALOR
VALOR ACTUAL NETO (VAN) 24,469.77
RELACIÓN BENEFICIO / COSTO (B/C) 1.20
TASA INTERNA DE RETORNO (TIR) (%) 23.97%
PERÍODO REAL DE RECUPERACIÓN (AÑOS) 2.92
Al analizar la factibilidad operativa, técnica y económica se determinó que el
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada, basado en las normas
(ISO/IEC 27001:2005, 2005) es viable.
-184-
CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
a. Las Instituciones Militares, actualmente no disponen de un Sistema de
Gestión de Seguridad de la Información para resguardar los activos de
información que posee la institución, lo que dificulta mantener la
información de acuerdo a las normas de la ISO 27001:2005.
b. Se realizó una encuesta para determinar cómo se encuentra la
seguridad de la información en función a los objetivos definidos
aplicando un cuestionario estructurado con preguntas cerradas que
cubren todos los aspectos de riesgos, incluso las amenazas a la
confiabilidad, integridad y la disponibilidad de los datos y están basadas
en los objetivos de control de la ISO 27001:2005, a 51 personas de la
DIRTIC y CETEIN que contiene 69 ítems relacionados a 55 indicadores
utilizando el método Alpha de Crombrach para determinar la validez del
instrumento, lo que permitió trabajar con información de alta
confiabilidad debido a que el resultado fue de 0,96.
c. Se realizó el levantamiento de información por observación directa
utilizando como guía la norma ISO/IEC 27001:2005, en la cual se
encuentran 11 cláusula, 25 objetivos de control y 41 controles en base a
los requerimientos de la institución y de acuerdo a lo que dispone en
seguridad de la información de la DIRTIC y CETEIN, lo que permitió
identificar los activos de información así como el diagnóstico de
seguridad de estos activos de acuerdo a los objetivos de control y
controles.
-185-
d. Se determinó la factibilidad operativa, técnica y económica para
establecer el Diseño de un Sistema de Gestión de Seguridad de la
Información para las instituciones Militares, lo que permitió verificar que
cumplan con las características acordes a las Instituciones Militares y
determinar que el proyecto sea puesto en marcha aprovechando todos
los beneficios para la Institución logrando que los usuarios estén en
compromiso de seguridad y el reconocimiento de las responsabilidades
de seguridad de la información.
e. Se realizó el establecimiento del Diseño de un Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares; así como la
identificación del riesgo, amenazas y vulnerabilidades; el cálculo del
riesgo amenazas y vulnerabilidades; tratamiento de riesgo; y, revisión de
los riesgos y reevaluación de los activos de información de la Dirección
de Tecnologías de la Información y Comunicaciones, lo que permitió
aplicar para el Diseño del SGSI la cláusula 4.2.1 de la norma ISO
27001:2005 literales a) a la j).
-186-
5.2 RECOMENDACIONES
a. Aplicar el presente trabajo para realizar la implementación del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares,
que permita resguardar los activos de información que posee la
institución, a fin de mantener la información de acuerdo a las normas de
la ISO 27001:2005.
b. Utilizar el método Alpha de Crombrach para determinar la validez del
instrumento para futuras actualizaciones e investigaciones referentes al
Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, la misma que permitirá medir la confiabilidad de la
información con la que se va a trabajar en este tipo de proyectos.
c. Revisar y actualizar periódicamente el Anexo F donde se encuentran los
objetivos de control y controles listados en la Tabla A.1 de la norma
ISO/IEC 27001:2005, en base a los requerimientos de la institución y de
acuerdo a lo que dispone en seguridad de la información para el
levantamiento de la información del Sistema de Gestión de Seguridad de
la Información para Instituciones Militares, la misma que permitirá
identificar los activos de información así como el diagnóstico de
seguridad de estos activos.
d. Verificar y actualizar permanentemente los compromisos de seguridad,
el reconocimientos de responsabilidades de seguridad de la información
con el fin de generar concientización sobre la protección de la
información en el Sistema de Gestión de Seguridad de la Información
-187-
para Instituciones Militares, lo que permitirá cumplir con el numeral 4.2
de la norma ISO/IEC 27001:2005.
e. Utilizar y aplicar la información que se generó en el establecimiento del
Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares; aplicando la cláusula 4.2.1 de la norma ISO
27001:2005 literales a) a la j), para realizar la implementación del
Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, lo que permitirá gestionar eficientemente la accesibilidad de la
información, asegurando la confidencialidad, integridad y disponibilidad
de los activos de información minimizando los riesgos de seguridad de la
información.
-188-
REFERENCIAS BIBLIOGRAFÍCAS
AFP/ Ben Stansall. (19 de 11 de 2013). http://sp.ria.ru/. Recuperado el 2013,
de http://sp.ria.ru/: http://sp.ria.ru/trend/assange_caso/
Alexander, A. (2007). Diseño de un Sistema de Seguridad de la Información,
óptica ISO 27001:2005. Bogotá, D.C.- Colombia: Alfaomega Colombiana
S.A.
Armada. (2013). http://www.armada.mil.ec. Recuperado el 2013, de
http://www.armada.mil.ec: http://www.armada.mil.ec
Ary, W. (1996). Metodología de la Investigación. Madrid - España: Ediciones
Roalg.
CALVO, R. F. (1994–2000). http://www.ati.es. Recuperado el 2013, de
http://www.ati.es: http://www.ati.es/novatica/2000/145
COMACO. (Diciembre de 2008). Manual de Elaboración de Documentación de
las Fuerzas Armadas. Quito, Pichincha, Ecuador: COMACO.
D.G.P. COGMAR-INF-002-2010-O. (2010). Directiva de Seguridad de la
Información. Es una infraestructura de intranet que utiliza las Fuerzas
Armadas.
D.G.P. COGMAR-INF-002-2010-O. (12 de Julio de 2010). Directiva General
Permanente. Seguridad de la Información. Quito, Pichincha, Ecuador:
Armada del Ecuador.
De Freitas, V. (2009). Análisis y Evaluación del Riesgo de la Información: Caso
de estudio Universidad Simón Bolívar. Enlace:Revista Venezolana de
Información, Tecnología y Conocimiento, 6 (1), 43-55.
DIRTIC. (25 de Noviembre de 2010). Estatuto Orgánico por Procesos.
Guayaquil, Guayas, Ecuador: Armada del Ecuador.
-189-
El Comercio. (12 de 06 de 2013). http://www.elcomercio.ec. Recuperado el
2013, de http://www.elcomercio.ec:
http://www.elcomercio.ec/mundo/Snowden-informatico-espionaje-EEUU-
USA-CIA-Obama_0_936506374.html
Empresa Eléctrica Quito. (Diciembre de 2014). Tarifario Vigente 2014. Tarifario
Vigente 2014. Quito, Pichincha, Ecuador: Empresa Eléctrica Quito.
ESPE. (2005). Tesis Manual de procedimientos para ejecutar la auditoria
informática en la Armada del Ecuador. Facultad de Ingeniería en
Sistemas e Informática. ESPE. Sede Sangolquí. Quito, Pichincha,
Ecuador: ESPE / SANGOLQUÍ.
Estado Mayor de la Armada. (2010). Programa de Desarrollo de Tecnologias
de la Información y Comunicaciones. PDETIC. Quito, Pichincha,
Ecuador: Armada del Ecuador.
FFAA. (2013). http://www.ccffaa.mil.ec/. Recuperado el 2013, de
http://www.ccffaa.mil.ec/: http://www.ccffaa.mil.ec/
Gómez, G. (2015). Evaluación de Alternativas de Inversión. Recuperado el
2015, de
http://www.gestiopolis.com/canales/financiera/articulos/22/cauetio.htm.
Hernández, E. (2003). Seguridad y Privacidad en los Sistemas Informáticos.
Recuperado el 21 de Noviembre de 2012, de
http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF
Hernández, R. (2003). Metodología de la Investigación. Mexico D.F.: McGraw-
Hill.
hoy. (26 de 06 de 2013). http://www.hoy.com.ec. Recuperado el 2013, de
http://www.hoy.com.ec: http://www.hoy.com.ec/noticias-ecuador/solo-1-
de-cada-600-delitos-informaticos-se-denuncia-584518.html
INEN. (2009). Código de Práctica para la Gestión de la Seguridad de la
Información. En INEN, Tecnologías de la Información - Técnicas de
-190-
Seguridad - Código de Práctica para la Gestión de la Seguridad de la
Información. Quito: NTE INEN.
Infobae. (09 de 08 de 2011). http://www.seguridadydefensa.com.ec.
Recuperado el 2013, de http://www.seguridadydefensa.com.ec:
http://www.seguridadydefensa.com.ec/noticias/anonymus-revelo-datos-
de-45-mil-policias-24513.html
Interfutura. (15 de 05 de 2012). http://www.interfutura.ec. Recuperado el 2013,
de http://www.interfutura.ec: http://www.interfutura.ec/blog/delitos-
informaticos-en-ecuador-lo-que-vendria-en-la-nueva-legislacion/
ISO /IEC 17779:2005. (2005). Código de Práctica para la Gestión de Seguridad
de la Información.
ISO/IEC 27001:2005. (2005). Estándar Internacional. Tecnología de la
Información - Técnicas de Seguridad - Sistemas de Gestión de
Seguridad de la Información - Requerimientos.
Kingston. (03 de 02 de 2015). Consumo Energético. Obtenido de Kingston.com:
http://www.kingston.com/es/business/server_solutions/power_benchmar
k
L Hurdado y Toro G.J. (2001). Paradigmas y Métodos de Investigación.
Valencia - España: Editorial Espíteme.
Ministerio de Defensa Nacional (MIDENA). (31 de Octubre de 2012). Políticas
de Seguridad Cibernética del M.D.N. O.G. 210. Políticas de Seguridad
Cibernética del M.D.N. O.G. 210. Quito, Pichincha, Quito: Ministerio de
Defensa Nacional.
Moreno, N. A. (2011). Gerencia de Tecnología. Gerencia de Tecnología II.
Madrid, España: Promade.
Neira, A. L. (03 de 02 de 2015). Privacidad y beneficio económico en un SGSI.
Recuperado el 11 de 03 de 2015, de SGSI:
www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf
-191-
NTE INEN, ISO/IEC 27002:2009. (2009). Tecnologías de la Información -
Técnicas de Seguridad - Código de Práctica para la Gestión de la
Seguridad de la Información. NTE INEN - ISO/IEC 27002:2009. Quito,
Pichincha, Ecuador: Ecuador.
PDETIC. (2012). Objetivos Estratégicos Institucionales. Quito: PDETIC.
Santos, L. (2001). Guía para la evaluación de Seguridad en un Sistema.
Recuperado el 12 de marzo de 2013, de Trabajo de grado para optar el
título de Mestría en Ingeniería y Sistemas y Computación, Universidad
de Pamplona. Colombia:
http://www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/pamplona.d
oc
Seen, J. (1987). Análisis y Diseño de Sistemas de Información. México, DF-
México: McGraw-Hill.
-192-
ANEXOS