Política de Seguridad Informática para Apostar S.A

Política de Seguridad Informática para Apostar S.A.

1


Carolina Henao Acosta

Juan Pablo Ortiz Villegas

Asesor

Ing. Julio César Cano Ramírez

Universidad Católica Popular del Risaralda

Facultad de Ciencias Básicas e Ingeniería

Programa de Ingeniería de Sistemas y Telecomunicaciones

Pereira

2010


2

Agradecimientos

Agradecemos en primera instancia a Dios, por acompañar nuestro camino e iluminarlo en

los momentos de lucidez y dificultad.

A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su

ejemplo el valor del esfuerzo.

A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza.

A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr

llegar a la meta que nos hemos propuesto.

A la empresa Apostar S.A. por su apoyo incondicional, profesional y personal en la

realización de este proyecto.


3

Contenido

Introducción 10

1. Descripción del Problema 12

1.1 Planteamiento del Problema 12

1.2 Formulación del Problema 12

2. Justificación 14

3. Objetivos 15

3.1 Objetivo General 15

3.2 Objetivos Específicos 15

4. Delimitación 16

4.1 Espacial 16

4.2 Temporal 16

5. Planteamiento de la Hipótesis 17

6. Identificación de variables 18

6.1 Variable Independiente 18

6.2 Variable Dependiente 18

7. Marco de Referencia 19

7.1 Marco Contextual 19

7.2 Marco Teórico 20

7.2.1 Concepto de seguridad. 24

7.2.2 Seguridad informática. 25

7.2.3 Generalidades de la seguridad de la información para empresas y particulares. 26

7.2.4 Anonimato y privacidad.

7.2.5 Confidencialidad, integridad, disponibilidad. 29

7.2.6 Seguridad en las redes.. 30

7.2.7 Protección a los equipos. 31

7.2.8 Auditoría, detección de intrusiones y análisis forense. 31

7.2.9 Política de seguridad. 31

7.2.10 Planificación del proceso de seguridad informática. 38

7.2.11 Marcos para la definición de políticas. 40


4

7.2.12 La seguridad informática en este entorno. 50

7.2.13 Interpretación del gráfico perfil de riesgo vs índice de defensa. 51

8. Evaluaciones Realizadas 54

8.1 A Nivel Nacional 54

8.2 Empresas Locales 55

8.3 Empresa objeto de estudio 58

9. Modelo Teórico 60

10. Concreción del Modelo 63

11. Presupuesto 64

11.1 Materiales e Insumos 64

11.2 Viáticos 64

11.3 Papelería 65

11.4 Presupuesto Global 65

12. Cronograma de Actividades 66

Conclusiones y Recomendaciones 67

Referencias 69

Anexos 74


5

Lista de Cuadros

Cuadro 1. Identificación de variable independiente 18

Cuadro 2. Identificación de variable dependiente 18

Cuadro 3. Perfil de riesgos para empresa vs índice de defensa en profundidad informe

resumido 55

Cuadro 4. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe

resumido 56


resumido 57


resumido 59

Cuadro 7. Materiales e Insumos 64

Cuadro 8. Viáticos 64

Cuadro 9. Papelería 65

Cuadro 10. Presupuesto Global 65

Cuadro 11. Cronograma de Actividades 66


6

Lista de Figuras

Figura 1. Confidencialidad, integridad, disponibilidad 30

Figura 2. Relación entre políticas, normas o estándares y guía o directriz. 34

Figura 3. Ciclo de vida de la política de seguridad 36

Figura 4. Guía para la Elaboración de Políticas de Seguridad 38

Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información

(ITIL) 44

Figura 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe

resumido 54


resumido 55


resumido 57


resumido 58


7

Lista de Anexos

Anexo A. Diagnóstico de Seguridad Informática Apostar S.A.pdf

Anexo B. Evaluación en Seguridad Informática Apostar S.A.pdf

Anexo C. Evaluación en Seguridad Informática Apuestas Ochoa.pdf

Anexo D. Evaluación en Seguridad Informática Asmed Salud.pdf

Anexo E. Evaluación en Seguridad Informática Oncologos de Occidente.pdf

Anexo F. Política de Seguridad Apostar S.A..pdf

Diagnóstico%20de%20Seguridad%20Informática%20Apostar%20S.A.pdf

Evaluación%20en%20Seguridad%20Informática%20Apostar%20S.A.pdf

Evaluación%20en%20Seguridad%20Informática%20Apuestas%20Ochoa.pdf

Evaluación%20en%20Seguridad%20Informática%20Asmed%20Salud.pdf

Evaluación%20en%20Seguridad%20Informática%20Oncologos%20de%20Occidente.pdf

Política%20de%20Seguridad%20Apostar%20S.A..pdf


8

Resumen

El diseño de la política de seguridad informática para Apostar S.A., se realiza buscando un

objetivo principal y único que se centra en crear conciencia organizacional, en lo referente

a la protección de la información y de los datos.

La etapa inicial del proyecto se centra en la búsqueda de fuentes que permitan darle la

importancia y la relevancia a este importante tema, partiendo de la base de un diagnóstico

en seguridad que mostró varios puntos neurálgicos de urgente intervención en la empresa

impactada.

Aplicando herramientas software para evaluar el estado actual de la seguridad en

algunas empresas nacionales, regionales y locales, se establece y se confirma la falta de

prácticas seguras en el área informática y la falta de preocupación por parte de la alta

gerencia de las organizaciones para adoptar medidas al respecto.

Finalmente, se diseña una propuesta que, puesta en marcha, le ayudará a Apostar S.A.

a mejorar su protección frente a riesgos inherentes a su actividad económica y marcará la

ruta para iniciar un proyecto estructurado y que abarque todos los niveles de seguridad en la

organización.

Palabras Clave: Política, conciencia, protección, datos, seguridad, diseño, objetivo,

información, herramientas.


9

Abstract

The design of the security policy for Apostar S.A., seeks a single primary objective, which

focuses on organizational awareness, regarding the protection of information and data.

The initial stage of the project focuses on the search for sources that allow to give the

importance and relevance to this important matter, on the basis of a security diagnosis

showed several hot spots of urgent intervention impacted the company.

Using software tools to assess the current state of security in some national, regional

and local authorities, establishing and confirming the lack of safe practices in the area of

information and lack of concern by top management of organizations to adopt an action.

Finally, we designed a proposal; its implementation will help Apostar S.A. to improve

their protection against risks inherent in their business and lead a way to start a structured

plan and cover all security levels in the organization.

Keywords: Policy, awareness, protection, data security, design, objective information

and tools.


10

Introducción

“El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un

bloque de hormigón y sellado en una habitación recubierta de plomo con guardias

armados… y aun así tengo mis dudas” (Spafford, 1989, p.110).

La seguridad en cualquier ámbito es sinónimo de confianza, certeza, convicción y es

manejada por todas las organizaciones como uno de sus procesos principales. Se asegura el

cuidado de los activos, de las instalaciones físicas, de las personas y del dinero, servicios

que son prestados generalmente, por personas o empresas externas. Pero, de manera

irónica, en el caso del software y la administración de redes, no ocurre lo mismo. No hay

políticas de seguridad claras que permitan preservar uno de los elementos más valiosos de

la organización: la información.

Se tiene la falsa sensación de dar por sentado que si nada ha fallado es porque todo está

bien; sólo cuando se presenta el inconveniente, se toman medidas. No hay una planeación

previa, no se analizan los riesgos con anticipación, no se piensa en las soluciones al

momento de afrontar un problema; en general, se tiene una seguridad ficticia en lo poco o

mucho que tenga la organización en la parte informática. De igual manera, se piensa que el

problema de seguridad es de las personas y no de las máquinas, de allí el concepto de

sensibilizar al usuario frente a las consecuencias de sus malas prácticas para proteger la

información que tienen a su cargo.

La seguridad informática, por su parte, es una práctica obligada en las organizaciones,

cuyo objetivo principal es preservar la información e impedir que sea mal utilizada. En


11

Apostar S.A., monopolio de apuestas del departamento de Risaralda, no existe actualmente

ninguna política a seguir para cumplir con este objetivo.

Este proyecto, apoyado en un diagnóstico inicial, realizado como Proyecto de

Intervención en la Práctica Profesional, se enfocará en diseñar la política de seguridad de

esta empresa. A través de las diferentes partes del trabajo, se evidenciará la necesidad

urgente, no solo de diseñar la política, sino de implementarla con el compromiso del

personal de la organización.


12

1. Descripción del Problema

1.1 Planteamiento del Problema

La constante necesidad de tener disponibles los mejores recursos humanos, técnicos o

tecnológicos en las organizaciones, con el fin de competir con servicio y una buena

infraestructura, ha incrementado también la utilización de aplicaciones, la adecuación de

nuevas estaciones de trabajo, así como de la vinculación del personal que las administra.

En el afán de entregar los resultados esperados, las empresas dejan de lado el análisis

de las implicaciones que puede traer consigo, una mala implantación de los procesos, al no

tener en cuenta o no aplicar la política de seguridad en la organización, que en muchos

casos, como el de Apostar S.A., ni siquiera existe.

Es común ver como varias personas que laboran en la organización manejan con

idéntica contraseña una aplicación de uso frecuente y confidencial, que tienen acceso a todo

sin excepción y que no dimensionan la delicadeza de sus contenidos. Además, no hay

respaldo de la información de cada estación de trabajo, teniendo un alto riesgo de perderse

por la misma inseguridad que se maneja en la red. Hasta el momento, no se ha cuantificado

el daño económico o de impacto organizacional que podría acarrear un manejo inadecuado

de los recursos tecnológicos y de la información en sí misma.

Actualmente en Apostar S.A, no existe un esquema de seguridad informática que

permita tener un punto de referencia ante posibles ataques informáticos o evitarlos de

alguna manera, constituyéndose cada vez en un punto neurálgico de la organización.

1.2 Formulación del Problema

¿Cómo debe diseñarse la política de seguridad informática en Apostar S.A.?


13

¿Cómo favorece a la empresa Apostar S.A. contar con una serie de estrategias y/o

reglamentos para el acceso y protección de su información?

¿Cuáles son los puntos principales que deben ser incluidos en la política de seguridad de

Apostar S.A?

¿Existe alguna relación entre las personas involucradas, en el manejo de la información

de la empresa Apostar S.A y los incidentes informáticos que ocurren?


14

2. Justificación

Actualmente, tanto el sector público como el privado, dependen parcialmente de sus

sistemas informáticos. Esto hace necesario que cada vez se preste mayor atención a la

disponibilidad, confidencialidad e integridad de los mismos, garantizando la continua

prestación de sus servicios, así como la certeza de tener su información segura y sus

sistemas protegidos.

Con base en lo anterior se hace necesario contar con estrategias y medidas de

seguridad de la información, para garantizar el funcionamiento adecuado de todos los

sistemas, y para que en un momento dado, se puedan aplicar los correctivos necesarios en

caso de un eventual ataque o desastre, que impliquen la pérdida de la información y los

sistemas informáticos.

Como ya ha sido citado, la empresa Apostar S.A, no cuenta con políticas claramente

definidas para el manejo de la información y de los datos, así como de sus sistemas de

información y el respaldo necesario de éstos. Es actualmente imposible afrontar los retos a

los que se ven desafiadas las organizaciones hoy por hoy, en el estado actual en el que se

encuentra esta empresa.

Este proyecto realizará un aporte valioso, al facilitar las herramientas necesarias para

proteger la información y preservarla. Pretende crear conciencia organizacional en lo que

se refiere a la seguridad de los datos y las implicaciones que conllevaría la no aplicación de

las medidas diseñadas para tal fin.


15

3. Objetivos

3.1 Objetivo General

Diseñar la política de seguridad informática para la empresa Apostar S.A.

3.2 Objetivos Específicos

Identificar los puntos neurálgicos en la seguridad de la información, al interior de la

organización.

Determinar el estado actual de la seguridad informática al interior de Apostar S.A, con

el fin de aplicar las medidas necesarias.

Realizar un diagnóstico de la seguridad informática en Apostar S.A con el fin de

determinar los puntos críticos.

Analizar las diferentes herramientas de apoyo para formular la política de seguridad

para Apostar S.A.


16

4. Delimitación

4.1 Espacial

El proyecto se realizará en la empresa Apostar S.A., en el Departamento de Risaralda y la

implementación quedará a su cargo. Se entregarán las recomendaciones para la puesta en

marcha y el mantenimiento de la política de seguridad.

4.2 Temporal

El proyecto se desarrollará en el año 2010.


17

5. Planteamiento de la Hipótesis

El diseño de la política de seguridad informática logrará la protección adecuada de la

información requiriendo para ello, su implementación en la empresa Apostar, lo cual será

un compromiso de la alta gerencia.


18

6. Identificación de variables

6.1 Variable Independiente

Cuadro 1. Identificación de variable independiente.

VARIABLE

TIPO DE

VARIABLE

OPERACIO

NALIZACIÓN CATEGORÍAS DEFINICIÓN

Política de

Seguridad Cualitativa

La presencia o

ausencia de la

política de

seguridad causa un

impacto en la

organización

Integridad

Confidencialidad

Disponibilidad

La implementación

correcta de la política

de seguridad, da

garantías de calidad

sobre la protección de

los datos

Fuente: (LÓPEZ, 2008)

6.2 Variable Dependiente

Cuadro 2. Identificación de variable dependiente.

VARIABLE

TIPO DE

VARIABLE

OPERACIO

NALIZACIÓN

CATEGORÍA

S DEFINICIÓN

Protección de la

Información Cualitativa

Con prácticas

confiables, se

garantiza la

integridad,

confidencialidad y

disponibilidad de la

información

Ataque

Vulnerabilidad

La protección de la

información debe ser un

prioridad para la

organización y por

ende, debe adoptar

medidas que garanticen

la seguridad de los

datos

Fuente:(LÓPEZ, 2008)


19

7. Marco de Referencia

7.1 Marco Contextual

La organización que se verá impactada con este proyecto, es Apostar S.A. Es una empresa

reconocida a nivel departamental por la explotación del mercado de apuestas y juegos de

azar. Tiene una trayectoria de 20 años y en promedio tiene vinculadas a 800 personas de

manera directa, quienes son las encargadas de impulsar comercialmente los productos que

ofrece.

Con la evolución en las comunicaciones y en las tecnologías de la información, han

avanzado de igual manera las organizaciones. Las empresas de apuestas permanentes, no

son la excepción y han ido adquiriendo activos importantes en cuanto a tecnología para la

operación de sus servicios, dando un paso a la transformación de sus modelos de negocio;

ofrecen distintos servicios al público, tales como: recargas a celular, pago de servicios

públicos, recargas para el sistema integrado de transporte, giros nacionales y apuestas

permanentes, entre otros.

De esta manera al entrar en esta era tecnológica y utilizarla como un pilar fundamental

para la correcta prestación de sus servicios, se hace necesario realizar la evaluación

objetiva, en lo que se refiere al cumplimiento de lo estipulado en la trilogía básica de la

Seguridad Informática, como lo es la integridad, disponibilidad y confidencialidad de su

información y dispositivos.


20

7.2 Marco Teórico

Es relativamente reciente la aparición de los conceptos de seguridad informática, la cual

comenzó a tomar forma en la última década, desde principios del siglo XX, en los años

cincuenta, cuando se extendió el uso de líneas telefónicas.

Estos sistemas albergaban fallos que eran explotados por intrusos que accedían

a los sistemas pudiendo desviar llamadas a su antojo, escuchar conversaciones,

etc. Los primeros denominados hackers reconocidos datan de los años sesenta.

Este término era utilizado para describir a personas obsesionadas por aprender

todo lo posible sobre los sistemas electrónicos.

En los años sesenta surge la subcultura hacker y se extiende el uso del término

phreaker, persona que vulnera la seguridad de los elementos de

comunicaciones. Llamadas gratuitas, escuchas ilegales, etc., están al alcance

de los intrusos. Los sistemas manuales para encaminar llamadas telefónicas

operados por personas han sido sustituidos por sistemas automáticos operados

por ordenadores. Dichos sistemas, basados en su mayoría en tonos

multifrecuencia, permiten nuevos ataques: el canal utilizado para comunicarse

es el mismo que se utiliza para señalizar, por lo que los intrusos, una vez

conocidas las frecuencias de señalización, emiten tonos especiales para evitar

la tarificación de llamadas, realizar desvíos, etc. En esta década se iniciaron los

primeros estudios en seguridad informática, ya centrada en el ámbito

universitario y militar, que buscaba protección a la información, así como se le

daba a la infraestructura física del organismo (Álvarez y Pérez, 2004, p.20).


21

Los años ochenta, destacados por la aparición de Internet y la masificación de los

ordenadores personales, también fueron importantes por los desarrollos realizados en

materia de seguridad. Aparecieron los primeros programas detectores de intrusos y de

protección de la información, manejados principalmente en empresas grandes,

universidades y en la parte militar. Estas entidades se preocupaban porque sus programas

realizaran las actividades para las que fueron diseñados pero siendo vulnerables, no

dimensionaban las consecuencias que podrían traer las intrusiones o los virus, por ejemplo.

A raíz de esta preocupación general, se inició la aprobación de leyes que castigaran de

cualquier modo la intrusión a cualquier ordenador o información.

En 1987 se confirma el primer virus informático creado por Robert Morris, el cual

causó daños importantes en la red ARPANET (Advanced Research Projects Agency

Network), precursora de Internet.

En la década de los noventa ya el término hacker pasó a ser sinónimo de delincuente y

ocurrieron varios ataques informáticos importantes, entre ellos el del señor Kevin Mitnick,

quien logró robar más de 20.000 números de tarjetas de crédito, burlar la seguridad del FBI

y controlar varios centros de conmutación telefónica en los Estados Unidos, entre otras

cosas, cuando finalmente fue capturado en el año 1995.

En las empresas se empieza a manejar un departamento dedicado exclusivamente a la

Seguridad de la Información para Empresas y Particulares; aparecen los primeros firewall1

y es la puerta para iniciar el desarrollo de todas las técnicas antivirus, anti-troyanos, etc.,

conocidos hasta hoy.

1 Es un sistema diseñado para evitar accesos no autorizados desde o hacia una red privada.


22

“En su estudio más reciente sobre este tema, el CERT (Computer Emergency

Response Team), entidad encargada de la investigación de vulnerabilidades

de seguridad en Internet y de redes interconectadas, informa que en el año

2003 se han producido más de 100.000 incidentes de seguridad y que se ha

informado de más de 3.000 vulnerabilidades. Si se comparan estos datos con

los primeros publicados en 1988, que recogían 6 incidentes y 171

vulnerabilidades, uno se puede dar cuenta de lo mucho que ha evolucionado

la seguridad informática, o inseguridad, según se mire, en los últimos 15

años.

Por su parte, el estudio sobre seguridad y crimen informático del Computer

Security Institute (CSI), arroja datos en los que se estiman las pérdidas de los

sistemas analizados en más de 141 millones de dólares por problemas de

seguridad. Esta cantidad impulsa la teoría de que en seguridad informática el

dinero siempre se gasta: o bien antes, en proteger o bien posteriormente, en

recuperar.

En el año 2003, mientras que tecnologías como cortafuegos y antivirus tiene

un despliegue cercano al 100%, la biometría, los sistemas de prevención de

intrusiones (IPS) y las infraestructuras de clave pública (PK1) están todavía

por debajo del 50%. Los sistemas para el cifrado de datos en tránsito, los

sistemas de detección de intrusiones (IDS) y las listas ACL para control de

accesos al sistema de archivos están rondando un despliegue en torno al 75%.

Estos datos facilitados por el CSI vislumbran un futuro prometedor para la


23

seguridad informática y un largo camino por recorrer” (Álvarez y Pérez,

2004, p.21).

Como ya ha sido evidenciado, la evolución de los problemas informáticos ha sido

realmente progresiva y las organizaciones han empezado a tomar medidas al respecto.

Expertos en el tema, sugieren dividir en secciones este proceso para facilitar su

comprensión y posterior intervención, teniendo en cuenta que, de acuerdo a la historia, el

problema se fortaleció con la aparición y consolidación de Internet.

En la última década se han estado realizando diferentes estudios e investigaciones,

concernientes al ámbito de la seguridad de la información, debido a la vertiginosa

evolución tecnológica que ha tenido lugar alrededor del mundo. Es así como se han ido

desarrollando proyectos e investigaciones enfocados en varios aspectos relacionados con

esta disciplina. Sánchez y Segura (2006), en su tesis denominada “El Retorno de la

Inversión en la Seguridad Informática”, establecieron guías, modelos, estándares o

metodologías que permiten calcular los beneficios que una organización puede percibir al

realizar una inversión en el campo de la seguridad informática, pero su principal aporte es

la propuesta de un guía metodológica abierta, es decir, disponible libremente para quien

desee calcular el retorno de la inversión en este campo, al ser implementada. Para Castillo

y Romero (2008) en su proyecto “Informática Forense Orientada a Dispositivos Móviles”,

entregaron una propuesta metodológica para el análisis forense, orientado a incidentes en

dispositivos móviles; allí se evidencia como el crecimiento tecnológico, aumenta también

el riesgo y la vulnerabilidad propios de estos dispositivos.


24

Wood (2002), define de diferentes maneras el concepto de política de seguridad,

además de entregar procedimientos claros para su elaboración y justifica infaliblemente su

importancia a nivel organizacional.

Internacionalmente, los estudios realizados en esta área se han caracterizado por el

rigor en las investigaciones y el aporte que éstos han suministrado a la disciplina en

general, aumentando cada día más el interés por parte de las organizaciones, en respaldar,

proteger e inmortalizar su valiosa información.

Este es el caso de la Norma ISO 27002, que define claramente el término seguridad de

la información, el análisis de riesgo, la revisión de requisitos y la estructura en general de

una política de seguridad, contribuyendo a la formación y a la puesta en práctica de

métodos y procedimientos que garanticen la protección de la información.

De acuerdo con lo anterior y para darle una profundidad mayor al objeto de estudio, se

hace necesario definir algunos términos relevantes:

7.2.1 Concepto de seguridad. Referirse a seguridad en cualquier ámbito sugiere un proceso

organizado para garantizar la integridad de la entidad custodiada. Es, en general,

susceptible a riesgos constantes y debe permanecer en supervisada para contrarrestarlos

antes de que se genere un perjuicio.

En otras palabras, “la seguridad es el resultado de operaciones realizadas por personas

y soportadas por la tecnología” (Canal, 2006, p.26). Siempre el ser humano debe apoyarse

en herramientas sencillas, complejas, costosas o no, para proteger sus bienes, productos o

servicios.


25

7.2.2 Seguridad informática. Se define como la disciplina encargada de diseñar las

normas, procedimientos, métodos y técnicas, orientadas a proveer condiciones seguras y

confiables para el procesamiento de datos en sistemas informáticos.

Según Canal (2006), la definición de seguridad informática se resume en cinco

aspectos que se deben garantizar. Estos son:

Confidencialidad: Consiste en dar acceso a la información sólo a los usuarios autorizados.

Control de Accesos: Consiste en controlar el acceso a recursos de usuario autorizados.

Disponibilidad: Consiste en la posibilidad de acceder a la información o a utilizar un

servicio siempre que se necesite.

No Repudio: consiste en la imposibilidad de negar la autoría de un mensaje o información

del que alguien es autor.

Integridad: consiste en garantizar que una información o mensaje no han sido

manipulados.

Es importante tener en cuenta que seguridad no significa restricción total. Tener

contraseñas para todo o negar accesos a diestra y siniestra no garantizarán la seguridad; por

el contrario van a afectar la productividad de la organización, ya que los usuarios tendrán

que reportar fallas de acceso a sus propios programas o aplicaciones.

Implantar estos cinco aspectos genera una inversión de tiempo y dinero considerable,

por lo cual se debe evaluar inicialmente el tamaño de la organización y los recursos

disponibles. “Existe una relación estrecha entre seguridad y calidad. Cuando nuestras

expectativas se cumplen, consideramos que hay calidad” (Álvarez y Pérez, 2004, p.16). Si

la información es el activo intangible más importante de la organización y como tal se


26

protege y se logra que no haya intrusión alguna, se puede hablar de calidad. (Álvarez y

Pérez, 2004) divide en seis partes esta disciplina.

7.2.3 Generalidades de la seguridad de la información para empresas y particulares. “La

Seguridad de la Información para Empresas y Particulares es una disciplina que se ocupa de

gestionar el riesgo dentro de los sistemas informáticos” (Álvarez y Pérez, 2004, p.2). La

palabra Riesgo es definida, según la Real Academia de la Lengua, como la posibilidad de

que algo falle. “Es una medida cuantitativa de la importancia de un incidente que es mayor

cuanto mayor es su impacto y probabilidad” (Canal, 2006, p.21).

Los riesgos no se pueden eliminar en su totalidad, pero si pueden controlarse. Para esto

es importante iniciar la planeación de un proceso completo de seguridad, desde el

diagnóstico de los riesgos y lo que implica, económicamente hablando, cada uno de ellos

para la organización, teniendo en cuenta que no es suficiente con tener instalado el mejor

antivirus o sistema de cifrado, se debe proteger el software, el hardware y la red en general,

contemplando también los riesgos que pueden surgir por parte del factor humano. Este es

un proceso que no termina y que debe estar en constante evaluación y evolución.

Todo usuario o empresa tiene la expectativa de que todo lo que haga esté correcto, que

haya garantía en cuanto a almacenamiento y a la integridad de la información que

manipula; pero ésta a su vez, puede ser blanco de fraude, ya sea por personas externas o por

los mismos usuarios de la organización.

La información puede ser manipulada de muchas maneras y todas ellas son definidas

como ataques informáticos. Puede hablarse de inserción, modificación, intercepción e

interrupción de la información, complementados con una falla provocada de hardware o

software y en todas ellas, el común denominador es beneficiar los intereses de un tercero.


27

Las herramientas de seguridad han sido diseñadas por expertos pensando siempre en

prevenir, detectar y recuperar y es tarea del administrador de sistemas seleccionar la mejor

de cada una de ellas para garantizarla. Debe contarse con las tres a la vez, dado que no tiene

sentido solo prevenir o solo detectar o solo dedicarse a recuperar lo que se pierde.

Cada medida de seguridad que se tome debe estar totalmente contextualizada, con el

fin de evitar implantar soluciones que no satisfagan esas expectativas que se desean

cumplir. Es importante y clave también, evaluar su facilidad de adquisición y manejo,

costo, mantenimiento y operación. Analizar si es necesario que vaya combinada con un

software o hardware para garantizar los resultados esperados.

Para determinar un riesgo se puede utilizar la relación amenaza + vulnerabilidad.

Amenaza: reúne todos los componentes que pueden atacar un sistema. “Cualquier

circunstancia potencial que pueda afectar los procesos o expectativas de la organización”

(Canal, 2006, p.24).

Vulnerabilidad: punto en el que un recurso es susceptible de ataque. Al realizar esta

relación, se puede cuantificar el daño que se causaría si la amenaza cumpliera su objetivo y

obviamente sería directamente proporcional al grado de vulnerabilidad del sistema (Canal,

2006, p.24).

Malware: todo software dañino para los sistemas, englobándose dentro del término a

virus, gusanos y troyanos (Canal, 2006, p.24).

Virus: son programas normalmente dañinos que se añaden a ficheros ejecutables y

tiene la propiedad de ir replicándose por los sistemas y/o ficheros adyacentes. Los virus

informáticos pueden causar “muertes” de sistemas (Canal, 2006, p.24).


28

Gusanos: son piezas de código que se replican por la red de forma automática, para lo

que se valen de vulnerabilidades de sistemas o del desconocimiento de los usuarios. Como

resultado del proceso de copia masivo, los gusanos pueden saturar el ancho de banda de la

red o utilizar todo el espacio de disco de un sistema, por lo que los costes de

indisponibilidad que provocan son considerables (Canal, 2006, p.24).

Troyano: son programas que poseen puertas traseras y son invocados por los intrusos”

(Canal, 2006, p.24).

7.2.4 Anonimato y privacidad. Esta parte del estudio de la Seguridad de la Información,

sugiere que el anonimato y la privacidad son términos de manejo relativo, sobre todo si se

está en entorno web. Todos piensan que al navegar por Internet se está totalmente libres de

que alguien se entere de nuestras visitas, rutinas o trámites. Se interpreta mal el término

anonimato y se piensa que se goza de privacidad.

Cualquier navegador permite guardar el rastro de todo lo que se hace en la web;

incluso a través de la dirección IP se puede rastrear una persona, a través de las cookies se

puede encontrar información personal o de contraseñas y ni hablar del historial que permite

hacer seguimiento de las páginas visitadas.

Entonces surge la pregunta: ¿Qué tan privado y tan anónimo es lo que hace cada persona?

Existen muchas maneras de contrarrestar esta amenaza constante que de manera

silenciosa se tiene en los computadores personales. Estas consisten en el manejo de proxies

para la navegación web, la protección contra cookies, el manejo del spyware2 y del correo

electrónico.

2 Es un software que recopila información de un ordenador y después transmite esta información a una entidad

externa sin el conocimiento o el consentimiento del propietario del ordenador.


29

7.2.5 Confidencialidad, integridad, disponibilidad. Como ya fue evidenciado, varios

autores confirman que estos tres pilares son vitales en el tema de seguridad informática. Si

todos están completamente alineados y controlados, se puede decir que los datos están bien

custodiados.

Es aquí donde se introduce el término cifrado, que corresponde a aplicar algoritmos de

clave secreta que permiten guardar los datos de muchas aplicaciones accedidas por una

contraseña distinta, en una sola contraseña robusta. Los datos no podrán ser accedidos sin

ella, así tenga el atacante, acceso al disco. El manejo de contraseñas debe ser totalmente

controlado, estable y bien diseñado para que el éxito en la confidencialidad se asegure.

En cuanto a la integridad, es importante garantizar que los datos que se manipulan o

consultan estén siempre correctos y sin alteraciones. Es impedir a toda costa que personas

no autorizadas accedan a información que no les compete. Las copias de seguridad de los

datos juegan un papel vital en este punto, dado que el hecho de perder información atenta

contra la estabilidad de la organización. Existen técnicas muy bien respaldadas para tal fin.

La disponibilidad proporciona una garantía de que la información siempre será

accesible, sin interrupciones ni fallos, a cualquier hora. Es una tarea sumamente ardua,

dado que el administrador debe estar pendiente de todo lo concerniente a fallos de

hardware, suministro de energía, accidentes naturales o artificiales, de ventilación, etc., así

como de diseñar planes de contingencia ante posibles inconvenientes. En este ítem, de igual

manera, las copias de seguridad son importantes al momento de tener la necesidad de

restaurar una de ellas, por presentarse un episodio de no acceso a un recurso o programa.

En la Figura 1 puede entenderse de una mejor manera, la importancia de estos tres

pilares o fundamentos en seguridad:


30

Figura 1. Confidencialidad, integridad, disponibilidad.

Fuente: (Guel, Michele D; SANS Institute, 2007)

7.2.6 Seguridad en las redes. Reduce toda la teoría al término firewall. Es un mecanismo

que protege a la red de intrusiones por parte de entes o personas externas a ella. El éxito de

esta práctica, se centra en la administración correcta y controlada de todos sus

componentes.

La protección no sólo debe hacerse de manera lógica, sino también física, ya que los

dispositivos que permiten la comunicación también son susceptibles de ataques.


31

7.2.7 Protección a los equipos. Este elemento centra su atención especial hacia el

fortalecimiento en la seguridad del sistema operativo, buscando soluciones que permitan

minimizar las vulnerabilidades de cada estación de trabajo. Este proceso va muy ligado a la

política de seguridad de la organización, ya que el correcto funcionamiento y acatamiento

de ella, facilita la administración del sistema operativo y por ende de sus herramientas de

seguridad.

7.2.8 Auditoría, detección de intrusiones y análisis forense. Es el complemento perfecto

para llevar a cabo un proceso global de seguridad de la información. Es a la vez complejo,

costoso y muy pocas personas tienen acceso a él. Permite realizar una revisión mecánica,

no crítica, del manejo, administración y mantenimiento de la política de seguridad y sus

implicaciones. Se especializa en detectar intrusiones con herramientas avanzadas y analizar

desde el punto de vista forense, los ataques que se lleven a cabo, con el fin de determinar

causas, lugares y autores, con un enfoque netamente investigativo, para hallar culpables y

aplicar leyes, si existen.

Las fuentes consultadas fueron de gran utilidad para el desarrollo del proyecto, por ser

las más actualizadas y detalladas con respecto al tema. No manejan el tema de manera

global sino que dividen muy bien cada uno de los temas para facilitar el aprendizaje.

7.2.9 Política de seguridad. Una vez asimilados estos seis frentes de la seguridad

informática, según el autor, es necesario revisar distintas definiciones del término Política

de Seguridad.

La definición general de Política, según SANS3 (SysAdmin, Audit, Network Security)

es: instrucción formal, breve y de alto nivel, o plan que abarca una organización en general

3 Entidad dedicada a la certificación, entrenamiento e investigación en Seguridad.


32

con respecto a sus creencias, metas y objetivos y un procedimiento aceptable para un área

específica. Los atributos de la política deben incluir:

La exigencia de su cumplimiento.

Su incumplimiento debe dar lugar a una acción disciplinaria.

Debe centrarse en los resultados deseados, no sobre los medios de ejecución.

Debe ser definida por las normas y directrices de la organización.

La Real Academia de la Lengua Española, entrega dos definiciones más, que

complementan el concepto de política:

Estándar o norma: Acción de obligatorio cumplimiento o regla destinada a apoyar y

ajustarse a una política. Un estándar debe hacer una política más significativa y eficaz, debe

incluir una o más especificaciones aceptadas para el hardware, software o el

comportamiento. Las normas o estándares son generalmente escritas para describir algunos

requisitos a cumplir, y pretenden explicar una acción o regla obligatoria y está escrita en

relación con una política.

Guía o directriz: Declaraciones generales, recomendaciones o instrucciones

administrativas designadas para hacer cumplir los objetivos de la política, proporcionan un

marco para dar cumplimiento a los procedimientos.

Esta guía puede cambiar frecuentemente basada en el ambiente, y debe ser revisada

con más frecuencia que las normas y políticas. Una guía no es obligatoria, más bien una

sugerencia de las mejores prácticas, por lo tanto directrices y mejores prácticas son

intercambiables.


33

Con base en lo anterior, se puede decir que la política define el porqué, la norma o

estándar el qué y finalmente la guía o directriz el cómo (Guel, Michele D; SANS Institute,

2007).

En la Figura 2 se aprecia la relación entre políticas, normas o estándares y guía o

directriz, la guía describe las mejores prácticas en cómo hacer algo, las normas lo que son

los requisitos básicos a cumplir y las políticas describen las acciones que se requieren

tomar y porqué.

Procedimiento. Se define como una serie de medidas adoptadas para lograr un

objetivo final. Los Procedimientos definen "cómo" proteger los recursos y son los

mecanismos para hacer cumplir las políticas. Los procedimientos ayudan a eliminar los

problemas en un punto de fallo específico, por ejemplo la renuncia de un empleado o que

no esté disponible en un momento de crisis.

Los procedimientos son tan importantes como las políticas, las políticas definen que va

a ser protegido y las reglas de juego, los procedimientos describen cómo van a ser

protegidos los recursos o cómo llevar a cabo las políticas.

En lo que a impacto de las políticas se refiere, está permite evaluar los cambios

introducidos y cómo afectarán la empresa o las acciones que debe tomar la gente para estar

compatible a la política, además proporciona una razón o justificación de la actualización

de la política, o la nueva política como tal. En algunos casos esta evaluación solo es

revisada por los administradores de la seguridad en la organización.


34

Figura 2. Relación entre políticas, normas o estándares y guía o directriz.

Fuente:(Guel, Michele D; SANS Institute, 2007)

Continuando con las diferentes definiciones de política de seguridad, se tiene de

acuerdo a Wood (2002), las políticas son definidas como:

Instrucciones gerenciales que trazan una dirección predeterminada o describen la manera

de manejar un problema o situación.

Planteamientos de alto nivel que transmiten a los trabajadores la orientación que

necesitan para tomar decisiones presentes y futuras.

Requisitos generalizados que deben ser escritos en papel y comunicados a ciertos grupos

de personas dentro, y en algunos casos fuera, de la organización.

Son obligatorias y pueden considerarse el equivalente de una ley propia de la

organización.

Por su parte, Álvarez y Pérez (2004), aseguran que “las políticas de seguridad definen

las reglas que la organización espera sean seguidas por sus miembros y las consecuencias

derivadas de no cumplirlas. Constituyen la piedra angular para la implantación de la

seguridad”.


35

"Aunque nos encantaría que fuese de otra manera, las políticas simplemente no pueden

sacarse de un estante, redactarse, aprobarse mediante un fácil proceso burocrático y

emitirse, sino que deben adaptarse a las necesidades específicas de cada organización"

(Wood, 2002).

"Una política de seguridad de la información completa y sólida suele comprender tres

tipos de políticas de seguridad:

Política de Seguridad de la Información a nivel empresarial (Enterprise

Information Security Policy o EISP): cubre aspectos de interés para toda la

empresa. Es la primera en crearse. A partir de ella se van elaborando las

demás centradas en resolver problemas específicos. La política no debe

experimentar cambios frecuentes, pues perdería credibilidad, debe ser

firmada por la alta dirección y estar en consonancia con la estrategia

general de la organización.

Políticas de seguridad de asuntos específicos (Issue-Specific Security

Policy o ISSP): se ocupa de asuntos específicos, como un determinado

servicio de red, departamento o función, que no atañe a la organización en

su conjunto. Normalmente constituyen una guía detallada para instruir a

todo el personal en el uso de sistemas basados en la tecnología. Su

propósito no es perseguir las acciones de los usuarios sino sentar las bases

de lo que considera un uso adecuado e inadecuado de la tecnología.

Pueden cubrir temas como uso del correo electrónico, uso de la navegación

web, uso de fotocopiadoras e impresoras, uso del teléfono, uso de recursos

de la empresa en el hogar, etc.


36

Políticas de Seguridad de sistemas específicos (System-SpecificPolicy o

SysSP): se concentran en sistemas individuales o tipos de sistemas y

prescriben el hardware y software aprobados, delinean métodos para

fortalecer un sistema o especifican los tipos de cortafuegos u otras medidas

de control. Normalmente funcionan como estándares o procedimientos a la

hora de configurar o mantener sistemas." (Álvarez y Pérez, 2004, p.39)

El Instituto norteamericano SANS (SysAdmin, Audit, Network Security) la define

como una instrucción formal, breve y de alto nivel o plan que abarca a una organización en

general, con respecto a sus creencias, metas, objetivos; como un procedimiento aceptable

para un área específica. Además, sugiere un ciclo de vida de la política de seguridad, el

cual se visualiza y se explica en la Figura 3.

Figura 3. Ciclo de vida de la política de seguridad.

Fuente: (Guel, Michele D; SANS Institute, 2007)


37

Se comienza en la esquina superior izquierda con la revisión de la política si ya existe,

con el fin de actualizarla o crear una nueva.

Para ambos casos, el documento pasa a ser revisado por expertos en la materia como

se muestra en la Figura 3 (SME "Subject Matter Experts" Review). En el proceso de

revisión de la política muchas veces se ven involucradas diferentes partes de la

organización como recursos humanos y legales, además del equipo de seguridad de la

empresa.

Una vez que la política ha sido revisada por los diferentes departamentos, debe ser

aprobada por un comité directivo para posteriormente ser publicada en el sitio web interno

de la organización y comunicarla a la comunidad de usuarios. En el caso de organizaciones

globales, se hace necesario traducirla a diferentes idiomas, además de transmitirla a

proveedores y socios. En este punto se inicia el proceso de implantación, donde juega un

papel muy importante la planificación.

"Es importante resaltar que una política de seguridad tiene un ciclo de vida completo

mientras está vigente. Este ciclo de vida incluye un esfuerzo de investigación, la labor de

escribirla, lograr que las directivas de la organización la acepten, conseguir que sea

aprobada, lograr que sea diseminada a través de la empresa, concienciar a los usuarios de la

importancia de la política, conseguir que la acaten, hacerle seguimiento, garantizar que esté

actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta

este ciclo de vida se corre el riesgo de desarrollar políticas que sean poco tenidas en cuenta,

incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, superfluas o

irrelevantes" (Universidad Nacional de Colombia, 2003).


38

De acuerdo con lo anterior, la Guía para la Elaboración de Políticas de Seguridad,

emitida por la Universidad Nacional de Colombia en el año 2003, sugiere un conjunto de

etapas necesarias y básicas para iniciar el desarrollo de la política de seguridad informática:

Como puede evidenciarse, la elaboración de una política de seguridad no puede ser un

proceso acelerado, sin seguimiento, sin control. Debe ser una práctica organizada y

secuencial que garantice la calidad de su contenido y de la ejecución de sus distintas etapas.

Es en este punto, donde el término planificación debe ser aplicado.

Figura 4. Guía para la Elaboración de Políticas de Seguridad.

Fuente: Universidad Nacional de Colombia. Guía para la Elaboración de Políticas de

Seguridad, 2003.

7.2.10 Planificación del proceso de seguridad informática. "Cuando se improvisa sobre la

marcha, se va reaccionando a las amenazas según éstas se presentan" (Álvarez y Pérez,

2004).

El hecho de tomar medidas seguras solo cuando ocurre un evento desafortunado,

muestra la falta de compromiso, de planeación y de desorden. Si bien se van corrigiendo

falencias, difícilmente se llegará a proteger de manera integral la información.


39

Es por esto que un componente clave para la buena marcha del negocio es la

planificación. Para un adecuado diseño y planificación de una política de seguridad

informática, es importante contar con una metodología a seguir, que de acuerdo a las

posibilidades y al tipo de organización a impactar, sea adecuada y vaya acorde con los

objetivos de la misma.

Partiendo de esta premisa, (Álvarez y Pérez, 2004), destacan algunos conceptos

fundamentales de este importante proceso:

La planificación estratégica: Se realiza en los niveles directivos más altos y se ocupa

de los objetivos a largo plazo de la organización, normalmente cinco o más años y se centra

en objetivos específicos de seguridad de la información.

La planificación táctica: Se deriva de la planificación estratégica y se centraliza en

unos objetivos más concretos y en el corto plazo, con fechas fijadas para su consecución.

Ejemplo: "Todo el personal de la empresa debe recibir formación y concienciación en

seguridad".

La planificación operativa: Se deriva de los planes tácticos y se encarga de organizar

las tareas del día a día; incluye objetivos como la selección, configuración y despliegue de

herramientas para la seguridad como un ejemplo. De esta manera, se va dando forma

concreta a los objetivos tácticos (Álvarez y Pérez, 2004).

Para una correcta planificación, es importante adoptar una metodología a seguir; es

importante evaluar una serie de propuestas internacionales en el contexto de la seguridad de

la información, que permita detectar la más adecuada para ser aplicada a la organización.

Al seguir un marco internacional que defina las mejores prácticas relacionadas con la

seguridad de la información y el gobierno de TI, se garantiza una calidad y confiabilidad en


40

los estándares adoptados, pero esté debe ser consistente con el marco de control y la gestión

de riesgos de la empresa, apropiada para ella e integrada con otras metodologías y prácticas

que estén siendo utilizadas.

De acuerdo con él (ITGI (IT Governance Institute), 2007), "Los estándares y las

mejores prácticas no son una panacea; su efectividad depende de cómo se implementan y

mantienen. Estas son mucho más útiles cuando son aplicadas como un bloque de principios

y como un punto de partida para adaptar procedimientos específicos. Para evitar prácticas

que nunca se pongan en ejecución („shelfware‟), la dirección y el staff deben entender lo

que hay que hacer, cómo hacerlo y porqué es importante hacerlo."

Además teniendo en cuenta la estrategia de las empresas hoy por hoy, el uso de las

tecnologías de información se ha convertido en un factor crítico para el negocio.

"El uso de las Tecnologías de la Información (TI) tiene el potencial para ser el mayor

impulsor de riqueza económica en el siglo 21. Además de que TI ya es crítica para el éxito

empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece

medios para incrementar la productividad, e incluso hará aún más en el futuro.

TI también implica riesgos. Es evidente que en estos días de negocios globales, la caída

de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas

industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja

competitiva, mientras que en otras, no sólo determina la prosperidad sino la supervivencia".

ITGI, “Board Briefing on IT Governance”, 2nd Edition, USA, 2003 (Citado por ITGI y

OGC, 2008)

7.2.11 Marcos para la definición de políticas. En este proyecto se presentan algunos

marcos para la definición de políticas, entre ellos están: COBIT e ITIL, ISO27000, SSE-


41

CMM; se identifican los recursos requeridos y criterios propuestos en cada uno de ellos,

para determinar al final, cuál es el más apropiado para su formulación y posterior diseño al

interior de Apostar S.A.

COBIT. Cobit (Control Objectives for Information Systems and related Technology),

“Objetivos de Control para los Sistemas de Información y la Tecnología Relacionada”

Es un modelo para el gobierno de la TI desarrollado por la ISACA (Information

Systems Audit and Control Association) y el IT Governance Institute (ITGI). Este modelo,

representa el esfuerzo de cientos de expertos voluntarios alrededor del mundo, tiene 34

objetivos de alto nivel y objetivos secundarios clasificados en cuatro dominios.

Las organizaciones actuales dependen en gran parte de las TI para cumplir sus

objetivos misionales, así como las necesidades del negocio. Para que esto ocurra de una

manera eficiente y controlada, la empresa debe asegurar que sus procesos y servicios:

Satisfacen la necesidad de la empresa y sus usuarios

Cumple con la legislación

Se asignan y entregan de manera eficaz y eficiente

Se revisan y mejoran de manera continua

La misión de COBIT es investigar, desarrollar, hacer público y promover un marco de

control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la

adopción por parte de las empresas y el uso diario por parte de gerentes de negocio,

profesionales de TI y profesionales de aseguramiento. (Consultado el 10 de Octubre, 2010.

En: www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf)

COBIT permite de acuerdo a normas técnicas internacionales, un conjunto de mejores

prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI, necesarias para

http://www.isaca.org/Knowledge-Center/cobit/Documents/cobiT4.1spanish.pdf


42

alinear el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir

el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la

organización.

"Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas

internacionalmente, su implementación es una señal de buena gestión en una organización.

Se pueden esperar resultados como los siguientes al adoptar COBIT:

Los gerentes y el staff4 de TI entenderán totalmente como es que el negocio y TI pueden

trabajar en forma conjunta para la entrega exitosa de las iniciativas de TI.

TI entregará proyectos de mejor calidad y más exitosos.

Los requisitos de seguridad y privacidad serán más claros y la implementación será

monitoreada con mayor facilidad.

Los riesgos de TI serán gestionados con mayor eficacia.

Las auditorías serán más eficientes y exitosas.

El cumplimiento de TI con los requisitos regulatorios serán una práctica normal de

gestión" (Consultado el 10 de Octubre, 2010. En:

(http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-

ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf, p.13)

Este marco permite a cualquier empresa que lo adopte, ajustar sus objetivos misionales

y dirigir de una manera óptima el uso de TI, permite además la definición de un plan

estratégico para definición de arquitectura, adquisición de hardware y software necesario

para asegurar la continuidad del negocio.

4 Conjunto de personas que, en torno y bajo el mando del director de una empresa o institución, coordina su

actividad o le asesora en la dirección

http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf



43

Cobit abarca un área amplia en la estrategia del negocio, pasando por todos los

departamentos de la organización e involucrando a todos y cada uno de ellos, como

consecuencia de ello se identifican los puntos neurálgicos en la organización y se gestionan

los riesgos y las vulnerabilidades de una manera más eficiente.

ISACA es el proveedor líder mundial de conocimiento, certificaciones, comunidad,

apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno

empresarial de TI y riesgos y cumplimiento relacionados con la TI. (Consultado Octubre

10, 2010 En: http://www.isaca.org/spanish/Pages/default1.aspx).

El IT Governance Institute (Instituto de Gobierno de TI) (ITGI) es un organismo

independiente de investigación, sin fines de lucro, que provee guía para la comunidad

global de negocios en asuntos relacionados con el gobierno de los activos de TI. El ITGI

fue establecido por la asociación sin fines de lucro ISACA en 1998. (Consultado Octubre

10, 2010. En: http://www.isaca.org/spanish/Pages/default1.aspx)

ITIL

"Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la

Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de

Servicios Informáticos" (Consultado Octubre 10, 2010. En:

(http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que

_es_ITIL/que_es_ITIL.php)

ITIL es un marco de trabajo público que describe las mejores prácticas en la

administración de servicios de TI, provee un marco de trabajo para el gobierno de TI y se

enfoca en la continua medición y el continuo mejoramiento de la calidad de los servicios

entregados (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS).

http://www.isaca.org/spanish/Pages/default1.aspx


http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php


44

Fue desarrollada ya que las organizaciones dependen cada vez más de la informática

para alcanzar sus objetivos corporativos.

"ITIL intenta respaldar mas no fijar los procesos de negocio de una organización".

(Consultado Octubre 10, 2010. En: http://www.isaca.org/Knowledge-

Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO-27002-en-beneficio-de-

la-empresa-v2,7.pdf)

Con base en lo anterior, ITIL brinda una orientación a nivel organizacional bajo, y

resume un extenso conjunto de procedimientos de gestión con el fin de ayudar a las

organizaciones a lograr la calidad y eficiencia en todo tipo de operaciones alrededor de TI.

En la Figura 5 se aprecia la evolución que ha tenido ITIL con el paso del tiempo, para

una correcta estructuración de su estrategia:

Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información

(ITIL).

Fuente: (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007)





45

En su última versión, ITIL ha pasado de ser un marco de trabajo basado en procesos, a

una estructura integral que refleja el ciclo de vida de los servicios de TI.

Soporte ITIL a la seguridad de la información

“ITIL busca alinear los objetivos de seguridad de TI, con los objetivos de seguridad del

negocio, para poder asegurar la denominada trilogía de la seguridad, además de la

autenticidad y fiabilidad de la información, para así garantizar la continuidad y protección

de la información y contribuir a minimizar el daño al servicio por fallas de seguridad”

(Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007)

Permite administrar la continuidad y disponibilidad del negocio, permitiendo así

reducir costo y tiempo en caso de sufrir una catástrofe. También brinda soporte a la

administración de acceso por parte de los usuarios, verificando la autenticidad y los

derechos de los mismos.

ITIL es un marco válido para aquellas empresas que requieran alinear todos los

procesos y el ciclo de vida del negocio, permitiendo direccionar los objetivos hacia la

optimización de la estructura organizacional, y como tal se debe tener en cuenta el tiempo

necesario para su correcta implantación ya que se deben revisar todos los procesos que se

ven involucrados en dicha propuesta. (Office of Government Commerce.ITIL Refresh

Statement. Consultado Octubre 10, 2010. En: http://www.itil.co.uk/refresh.htm).

ISO 27000

"El marco IT Security Code of Practice, desarrollado inicialmente con la ayuda de la

industria, se convirtió en BS 7799 y luego en ISO/IEC 17799, y ahora, en ISO/IEC 27002,

el primer estándar internacional de gestión de seguridad" ( ITGI y OGC, 2008).

http://www.itil.co.uk/refresh.htm


46

En sus primeras versiones, desarrolladas por la British StandardsInstitution (BSI), la

BS 7799-1:1999 abarcaba un código de buenas prácticas para la gestión de la seguridad de

la Información así como una serie de especificaciones con guías para su uso.

Así pues, fue publicada la primera versión en el año 2000, con posterior actualización

en 2005, posteriormente se utilizó el término ISO/IEC 27002 para describir lo que en la

actualidad son dos documentos diferentes:

ISO/IEC 17799 (ahora renombrada como ISO 27002, (Consultada Octubre 10, 2010. En:

www.iso.org/ISO/iso_catalogue/catalogue_tc/catalogue_detail. Htm?csnumber = 50297).

Un conjunto de controles de seguridad (un código de práctica).

ISO/IEC 27001 (Consultada Octubre 10, 2010. En:

www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103,

anteriormente, BS7799‐2). Una especificación estándar para un sistema de gestión de

seguridad de información (SGSI). (ITGI y OGC, 2008).

El objetivo principal de la norma ISO/IEC 27002:2005 es brindar información a los

responsables de la implementación de seguridad de la información de una organización. Se

constituye como una de las mejores prácticas actuales en materia de normas de seguridad y

prácticas de gestión en una organización.

En este marco se definen las estrategias de 133 controles de seguridad organizados

bajo 11 dominios, en el que se destaca la gestión del riesgo, aclarando que no es

completamente necesario aplicar cada parte, sino aquellas que se consideren relevantes. La

norma posee una serie de requisitos rectores de los que se debe partir para la

implementación de la seguridad de la información y las mejores prácticas generalmente

aceptadas, entre ellas se encuentran:

http://www.iso.org/ISO/iso_catalogue/catalogue_tc/

http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103


47

Requisitos Legales

La protección y la no divulgación de datos personales.

Protección de la información interna.

Protección de los derechos de propiedad intelectual.

Mejores Prácticas

La política de seguridad de la información.

Asignación de la responsabilidad de seguridad de la información.

Escalamiento de problemas.

Gestión de la continuidad del negocio.

Cuando se implementa un sistema de gestión de seguridad de la información, se deben

considerar varios factores críticos de éxito:

La política de seguridad, sus objetivos y actividades deberían reflejar los objetivos de

negocio.

La implementación debería considerar los aspectos culturales de la organización.

Se requiere un abierto apoyo y el compromiso de la alta dirección.

Se requiere un conocimiento exhaustivo de los requisitos de seguridad, evaluación del

riesgo y gestión del riesgo.

El marketing efectivo de la seguridad debe dirigirse a todo el personal, incluidos los

miembros de la dirección.

La política de seguridad y las medidas de seguridad deben ser comunicadas a terceros

contratados.

Los usuarios deben ser capacitados en forma adecuada.


48

Se debería disponer de un sistema integral y balanceado para la medición del

desempeño, que apoye la mejora continua de suministro de información. (ITGI y

OGC, 2008)

Teniendo en cuenta lo anterior, se puede apreciar el énfasis de la norma en las políticas

de seguridad de la organización como uno de los principales factores a tener en cuenta, así

como la gestión del riesgo y los planes de continuidad del negocio.

SSE-CMM

El SSE-CMM (Systems Security Engineering Capability Maturity Model) o (Modelo

de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas), es un modelo de

referencia de procesos que se centra en los requisitos para la implementación de la

seguridad en un sistema. Ha sido desarrollado por la "International Systems Security

Engineering Association (ISSEA)", organización sin ánimo de lucro patrocinada por un

buen número de compañías dedicadas a la seguridad de sistemas.

Su intención, es que la organización haciendo uso del modelo SSE-CMM debe utilizar

sus procesos existentes, para que basados en ellos se orienten hacia la ITS (Information

Technology Security) o (Seguridad de las tecnologías de la información), el ámbito de

aplicación abarca:

El sistema de actividades de ingeniería de seguridad, de un producto seguro o de un

sistema de confianza, abordando el ciclo de vida completo: definición del concepto,

análisis de requerimientos, diseño, desarrollo, integración, instalación, operación,

mantenimiento y puesta a punto final.


49

Requisitos para los desarrolladores de producto, desarrolladores e integradores de

sistemas seguros, organizaciones que prestan servicios de seguridad informática y la

ingeniería de seguridad informática.

Se aplica a todo tipo y tamaño de organizaciones de ingeniería en seguridad comercial

del gobierno y de la academia (Model Description Document Version 3.0, 2003)

El documento general consta de 7 capítulos: Introducción, conceptos de CMM,

Arquitectura del modelo, usando SSE-CMM, prácticas generales, prácticas de seguridad de

base, proyecto y prácticas de la organización de base, además de un apéndice de referencia

rápida.

Este es un modelo enfocado a evaluar la capacidad de seguridad en ingeniería, pero

esto no implica que se aplique de forma aislada de otras disciplinas, al contrario SSE-CMM

promueve la integración teniendo como base que la seguridad es un fenómeno generalizado

a todas las áreas o disciplinas por ejemplo: sistemas, software, hardware, su característica

principal es "Coordinar las prácticas de Seguridad" e integrarlas con todas las disciplinas y

grupos que participan en un proyecto o una organización.

En el contexto de la Ingeniería de Seguridad, se debe tener en cuenta que esta

disciplina ha cobrado mayor importancia ya que con la creciente dependencia de la

sociedad de la información, la protección de dicha información es cada vez más importante.

El enfoque de la ingeniería de seguridad se ha ampliado para la salvaguarda de procesos tan

importantes como: Datos clasificados del gobierno, transacciones financieras, acuerdos

contractuales entre otras, tendencias que han elevado la importancia de la ingeniería de

seguridad.


50

De acuerdo al SSE-CMM, este modelo es aplicable a una gran variedad de

organizaciones que quieran practicar la ingeniería de seguridad en su equipo de desarrollo

ya sea para programas como software de sistemas operativos, administración de seguridad

y cumplimiento de funciones. Y algunas de estas organizaciones se ocupan en cuestiones

de alto nivel (por ejemplo considerar el uso de la arquitectura del S.O) mientras que otras se

centran en los temas de bajo nivel (por ejemplo un mecanismo de selección de diseño), es

decir las organizaciones se pueden especializar en un determinado tipo de tecnología, o en

un contexto especial (ejemplo: el mar).

El SSE-CMM está diseñado para este tipo de organizaciones, la organización debe

analizar las diferentes relaciones entre las diferentes prácticas dentro del modelo para poder

así determinar su aplicabilidad.

7.2.12 La seguridad informática en este entorno. Con el apoyo de una herramienta de

evaluación en el área de seguridad informática creada por Microsoft, llamada Microsoft

AssesmenteTool (MSAT), en su versión de prueba, se realizó un diagnóstico en dos

empresas de apuestas de Colombia, en cuatro empresas ubicadas en la ciudad de Pereira y

por supuesto, en la empresa objeto de estudio: Apostar S.A., con el fin de contextualizar el

problema de la seguridad informática, a nivel empresarial.

El aplicativo en mención clasifica y centra la seguridad informática en 4 niveles dentro

de la organización, como son:

Infraestructura: Estado de la organización en su infraestructura de red y hardware en

general. Evalúa la defensa del perímetro, la autenticación y la gestión, el control y el

mantenimiento.


51

Aplicaciones: Estado de la organización con respecto al manejo de las aplicaciones y a

su disponibilidad. Evalúa la implementación y su uso, la seguridad en el diseño de

aplicaciones y el almacenamiento y comunicación entre los datos.

Operaciones: Valora las prácticas de funcionamiento y las normas que sigue la

organización para aumentar las estrategias de defensa en profundidad. Evalúa la directiva

de seguridad, la gestión de actualizaciones y revisiones, además de las políticas para copias

de seguridad y su posterior recuperación.

Personal: Valora las prácticas organizacionales encaminadas a socializar las prácticas

de seguridad informática con sus empleados, así como evaluar el grado de conocimiento y

de formación de cada uno de ellos.

Aproximadamente en 40 minutos puede obtenerse un informe completo sobre el estado

actual de la organización, conocer los riesgos más representativos, obtener

recomendaciones y determinar así su plan a seguir para contrarrestar las amenazas

encontradas. Está dirigido a los responsables de TI para dar visión de los niveles de

seguridad globales de la empresa.

Valora dos aspectos importantes que son visualizados gráficamente en el informe, como

son:

BRP = Medición del riesgo (RIESGO)

DIDI = Medición de las defensas de seguridad (DEFENSA)

7.2.13 Interpretación del gráfico perfil de riesgo vs índice de defensa. Se tiene en cuenta lo

siguiente:

La puntuación del BRP va de 0 a 100. Una puntuación más alta significa un riesgo

posible aumentado al que está expuesta su empresa en esta área de análisis. Es


52

importante tener en cuenta que una puntuación de 0 no es posible; dedicarse a una

actividad comercial siempre implica un nivel de riesgo. También es importante

comprender que hay riesgos comerciales que no se pueden mitigar directamente.

DIDI también tiene una puntuación de 0 a 100. Una puntuación más alta significa un

entorno donde han tomado más medidas para implementar estrategias de DiD en el área

de análisis específica. La puntuación DIDI no indica la eficacia general de la seguridad

ni siquiera la cantidad de recursos para la misma, sino que cuantifica la estrategia global

que se utiliza para defender el entorno.

En principio, una puntuación baja del BRP y alta del DIDI parecería un buen resultado,

pero no siempre es así. Está fuera del ámbito de la presente autoevaluación tener en

cuenta todos los factores. Una disparidad significativa entre la puntuación del BRP y la

del DIDI para un área de análisis específica significa que se recomienda una revisión del

área. Cuando analice sus resultados, es importante tener en cuenta las puntuaciones

individuales, tanto de BRP como de DIDI, y cómo se relacionan entre sí. Un entorno

estable probablemente tendría como resultado puntuaciones iguales en todas las áreas.

Disparidades entre las puntuaciones DIDI son un indicio de una estrategia general de

seguridad concentrada en una sola técnica de mitigación. Si la estrategia de seguridad no

abarca el personal, los procesos ni la tecnología, el entorno estará expuesto a un mayor

riesgo de ataque.

Por lo general, es mejor contar con una calificación de DIDI del mismo nivel que otra de

BRP para la misma categoría. Un desequilibrio, ya sea dentro de una categoría o entre

categorías, en cualquier dirección, puede indicar la necesidad de volver a alinear sus

inversiones de TI.


53

Finalmente, MSAT permite realizar nuevamente la encuesta, con el fin de comparar en

un lapso de tiempo, seleccionado por el profesional de TI, su estado con respecto al informe

anterior y evaluar si fue eficiente al contrarrestar los riesgos encontrados.


54

8. Evaluaciones Realizadas

8.1 A Nivel Nacional

APUESTAS OCHOA S.A.

Empresa de apuestas permanentes del departamento de Quindío


resumido.

Fuente: Microsoft Assesment Tool

En esta empresa, a nivel de aplicaciones, existe el nivel ideal, riesgo vs protección, que

es en últimas el resultado que debería darse en todos los frentes. Se evidencia una

protección mayor con respecto al riesgo en la parte de Infraestructura y de Operaciones y

una protección mínima frente a un gran riesgo en la parte del personal.

Sin embargo, a nivel general, las prácticas utilizadas en el área de seguridad en esta

empresa, están bien orientadas. Debe revisarse la parte de recomendaciones del informe

completo para ajustar las políticas y obtener la eficiencia en este importante proceso.


55


resumido.

Fuente: Fuente: Microsoft Assesment Tool

Confirmando lo expuesto anteriormente, se evidencia la necesidad de intervenir en el

área de personal, de manera prioritaria y en general, la madurez de la seguridad debe

mejorarse hasta llegar a la estabilidad de la misma.

8.2 Empresas Locales

ASMET SALUD EPS

Entidad de Salud del Régimen Subsidiado, ubicada en la ciudad de Pereira, con cobertura

nacional.


resumido.



56

Como es evidente, en esta empresa, la defensa contra los riesgos probables es alta, lo

cual puede sugerir que hay demasiadas restricciones en el área de seguridad y que el nivel

de riesgo no amerita un programa tan riguroso de seguridad. Se ve por ejemplo como el

riesgo en el personal está en un 22% aproximadamente y la defensa está a un 63%

aproximadamente.


resumido.


En el Cuadro 4 la interpretación se realiza simulando un semáforo. Donde lo que se

encuentra en rojo, requiere intervención urgente; el amarillo indica que debe revisarse por

precaución y el verde indica que se encuentra en un nivel adecuado. Como ya se explicó en

el Cuadro 4, en el área de Operaciones y de Personal, la defensa vs riesgo es demasiado

alta.

ONCÓLOGOS DEL OCCIDENTE

Empresa del sector de la salud, ubicada en el Departamento de Risaralda.


57


resumido.


La Figura 8 evidencia el riesgo mínimo que tiene la empresa en sus cuatro frentes y

como se protege de manera excesiva. Se ve por ejemplo que el riesgo en la parte de

infraestructura está en un 11% aproximadamente y la protección sobre ella está a un 80%,

lo cual es exagerado y tiende a restringir más de la cuenta el acceso a este frente.


resumido.


El Cuadro 5 confirma la información general del diagnóstico dado por la herramienta.

La defensa ante los riesgos debe revisarse por estar sobre elaborada y en verde se ve la


58

madurez en seguridad. Debe existir un equilibrio entre ambas (riesgo y defensa) para que el

plan de seguridad sea exitoso.

8.3 Empresa objeto de estudio

APOSTAR S.A.

Empresa de apuestas permanentes del departamento de Risaralda.


resumido.


Como se visualiza en la Figura 9, en Apostar S.A. la defensa contra los riesgos

probables es mínima en términos generales. La parte de infraestructura está protegida con

respecto a los riesgos, aunque no se nota un equilibrio entre la protección y el riesgo. Es

por esta razón que se debe prestar especial atención al área de Aplicaciones, Operaciones y

el Personal.

En conjunto, representan los puntos neurálgicos que se definieron y es donde debe

centrarse el diseño de la política de seguridad informática, que sin lugar a dudas, debe

contar con la total participación del personal de la organización.


59


resumido.


El Cuadro 6 confirma los resultados del diagnóstico y del análisis del riesgo contra su

defensa.

En conclusión, con respecto a empresas que explotan la misma actividad económica, es

la que requiere intervención urgente previendo posibles ataques premeditados o

accidentales que puedan ir en detrimento de los objetivos organizacionales.


60

9. Modelo Teórico

El diagnóstico en el área de seguridad informática, realizado en Apostar S.A., como punto

de partida y aporte vital al proyecto, muestra como resultado una marcada amenaza contra

los tres pilares fundamentales de la seguridad: confidencialidad, integridad y

disponibilidad.

Se detectaron cuatro puntos neurálgicos que requieren intervención inmediata,

enfocados sobre todo a la seguridad lógica, más que a la física y con urgencia en la parte

administrativa de la organización. Estos son:

Manejo de Contraseñas.

Manejo de Perfiles de Usuario.

Estandarización de procesos para la administración de hardware y software

Manejo de Backups.

Se realizaron las recomendaciones respectivas, entre las cuales estaba la de diseñar la

política de seguridad, la cual debe ser de carácter particular y que le dé cobertura a los

puntos más críticos.

Fue así como se decidió tomar como referente bibliográfico la norma ISO 27000 y el

libro “Políticas de Seguridad Informática-Mejores Prácticas Internacionales, escrito por

Charles Cresson Wood en su versión 9.0, con el fin de delimitar el objeto de estudio y

encontrar un modelo teórico que se ajustara a las necesidades de la organización.

De acuerdo a las propuestas mundiales ya estudiadas, se destaca la importancia de

Norma ISO 27000, porque permite tener en cuenta aspectos como la gestión del riesgo, las

políticas de continuidad del negocio, así como las mejores prácticas reconocidas


61

internacionalmente en materia de gestión de la seguridad de la información. Textualmente,

su alcance se cita a continuación con su correspondiente traducción:

“This International Standard establishes guidelines and general principles for initiating,

implementing, maintaining, and improving information security management in an

organization. The objectives outlined in this International Standard provide general

guidance on the commonly accepted goals of information security management.

The control objectives and controls of this International Standard are intended to be

implemented to meet the requirements identified by a risk assessment. This International

Standard may serve as a practical guideline for developing organizational security

standards and effective security management practices and to help build confidence in

inter-organizational activities”. (Norma ISO 27002, p. 16).

“Este Estándar Internacional establece los lineamientos y principios generales para

iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en

una organización. Los objetivos delineados en este Estándar Internacional proporcionan un

lineamiento general sobre los objetivos de gestión de seguridad de la información

generalmente aceptados.

Los objetivos de control y los controles de este Estándar Internacional son diseñados

para ser implementados y satisfacer los requerimientos identificados por una evaluación del

riesgo. Este Estándar Internacional puede servir como un lineamiento práctico para

desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad

efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales”.

(Norma ISO 27002, p.16)


62

Este alcance y la estructura de la norma en su totalidad, aunque amplia, son

compatibles con los objetivos del presente proyecto, concluyendo así que es la metodología

más apropiada para desarrollar la política de seguridad de Apostar S.A.

Por su parte, las recomendaciones puntuales y modelos a seguir en el Libro “Políticas

de Seguridad Informática-Mejores Prácticas Internacionales, escrito por Charles Cresson

Wood, facilitarán el cumplimiento del objetivo general del proyecto, al dividir claramente

los aspectos primordiales a tener en cuenta al diseñar una política de seguridad y cómo cada

uno de ellos juega un papel importante en la seguridad de la información.

El aporte práctico de los autores para el proyecto se centra en facilitar las herramientas

teóricas necesarias para proteger la información y preservarla, así como de sensibilizar a la

alta gerencia para estimular su implementación y contribuir así con el inicio de un proceso

vital para cualquier organización, como lo es la seguridad informática. Se pretende crear

conciencia organizacional en lo que se refiere a la seguridad de los datos y las

implicaciones que conllevaría la no aplicación de las medidas diseñadas para tal fin.

La política será entregada a la Gerencia General de Apostar S.A. con todas las

recomendaciones del caso, y será quien en últimas tomará la decisión de modificarla,

ajustarla, darla a conocer e implementarla.


63

10. Concreción del Modelo

A continuación se da a conocer la Política de Seguridad diseñada para Apostar S.A., como

producto final y objetivo del presente proyecto.

Los objetivos fueron cumplidos en su totalidad y se logró probar la hipótesis, al

obtener una respuesta positiva por parte de la Gerencia de la organización. Ver Anexos.


64

11. Presupuesto

11.1 Materiales e Insumos

Cuadro 7. Materiales e Insumos

DESCRIPCIÓN CANTIDAD UNIDAD VALOR

UNIDAD

VALOR

TOTAL

Fotocopias 1 Hojas $50 $50,000.00

Internet 100 Horas $1.00 $150,000.00

TOTAL $150,000.00

11.2 Viáticos

Cuadro 8. Viáticos

LUGAR Nº DE PERSONAS VALOR

PASAJES

# DE

VIAJES TOTAL

Armenia 2 $ 10.000 1 $20,000.00

Área Metropolitana 2 $ 50.000 50 $50,000.00

TOTAL $100,000.00


65

11.3 Papelería

Cuadro 9. Papelería

DESCRIPCIÓN VALOR

Libro Metodología de la Investigación $85,000.00

Fotocopias varias $60,000.00

TOTAL $145,000.00

11.4 Presupuesto Global

Cuadro 10. Presupuesto Global.

CONCEPTO TOTAL

Materiales e insumos $150,000.00

Viajes $100,000.00

Bibliografía $145,000.00

TOTAL $395,000.00


66

12. Cronograma de Actividades

Cuadro 11. Cronograma de Actividades.

Fuente: Microsoft Project


67

Conclusiones y Recomendaciones

En general y con base en la exploración realizada, es posible determinar que a nivel

nacional y/o regional muchas organizaciones no consideran necesario tener una política de

seguridad informática definida formalmente; si bien se considera importante y se ejecutan

algunas prácticas tendientes a garantizar la seguridad de la información, la falta de

procedimientos formales hace que no se tomen medidas definidas en momentos que así lo

requieran.

El diseño y formulación de un plan de políticas y seguridad de la información lleva en

muchas ocasiones al surgimiento de nuevas ideas y estrategias para la organización que la

desarrolle.

La falta de consideración de estas políticas lleva a que las organizaciones incurran en

costos que no estaban definidos en materia de seguridad tanto lógica como físicamente,

llevando muchas veces a invertir en elementos innecesarios y/o adquiridos en momentos

inadecuados.

Al finalizar la etapa de diseño y formulación de la política de seguridad de Apostar

S.A, se puede concluir que se logró establecer las prioridades que en materia de seguridad

informática requería la organización para así poderle dar viabilidad a éstas, garantizando la

continuidad en sus operaciones en caso de una pérdida generalizada de información a causa

de una de las vulnerabilidades detectadas.

Se hace entrega del diseño de la Política de Seguridad Informática de Apostar S.A, con

los resultados del análisis realizado por los autores del proyecto, como una propuesta para

su posterior implementación.


68

Proponer una política de seguridad informática requiere un alto compromiso por parte

de la organización, para que se convierta en un proceso exitoso.

El propósito de establecer estas políticas principalmente es proteger la información y

los activos de la organización, tratando de proporcionar confidencialidad, integridad y

disponibilidad de los datos, además de las responsabilidades que deben asumir todos y cada

uno de los empleados mientras permanezcan en la organización.

Considerando la recolección de información con el software “Security Assesment

Tool”, fue posible determinar que si bien existen prácticas tendientes a proporcionar cierto

de nivel de seguridad informático, las mismas no son suficientes ni se encuentran

especificadas formalmente en las organizaciones, o por el contrario, se exagera en las

medidas de seguridad adoptadas.


69

Referencias

Aguirre, J. R. (2010). Elementos de Optimización en la gestión de la seguridad de la

información orientada a la continuidad del negocio. Trabajo desarrollado para la

asignatura Técnicas Avanzadas de Ingeniería en Desarrollo de Sistemas y Servicios

Telemáticos, Universidad Politécnica de Madrid, Lenguajes,Proyectos y Sistemas

Informáticos, Madrid.

ALFA - Redi. (12 de Agosto de 1998). ALFA - Redi Derecho Informático. Recuperado el

21 de Septiembre de 2010, de ALFA - Redi Derecho Informático: http://www.alfa-

redi.org

Álvarez, G. y Pérez, P. (2004). Seguridad Informática para Empresas y Particulares.

Madrid, España: Mc Graw Hill.

Ardita, J. (2004). El estado del Arte de la Seguridad Informática. Seminario “Tendencias

de la Tecnología en Seguridad Informática”. Buenos Aires: CYBSEC Security Systems.

Ardita, J. (2009). ¿Cómo organizar el Departamento de Seguridad? Costa Rica: CYBSEC

Security Systems.

Arrevola, M. (2007). Factores en el mercado de seguridad TI en la protección de la

información y los accesos remotos. Madrid: Primer Encuentro Nacional de la Industria

de Seguridad.

Canal, A. (2006). Seguridad de la Información: Expectativas, riesgos y técnicas

de protección. D.F, México: Limusa S.A de C.V.

http://www.alfa-redi.org/

http://www.alfa-redi.org/


70

Cano, J. J. (2007). Apuntes sobre la Inversión y Gestión de la Seguridad Informática. Alfa

redi Derecho Informático.

Cano, J. (2007). Administrando la confidencialidad de la información: Algunas

consideraciones sobre el saneamiento de medios de almacenamiento. Alfa redi Derecho

Informático.

Cano, J. ( 2010). Fuga y/o Pérdida de la Información. Signos y señales de la Inseguridad

de la información. Alfa redi Derecho Informático.

Carnegie Mellon University. (1999). Systems Security Engineering Capability Maturity

Model (SSE-CMM). Propuesta Macro, Pittsburgh Pennsylvania.

Castillejo, J. (2007). Nuevas tendencias en gestión de la seguridad: Centros de Respuesta a

Incidentes de Seguridad (CERT). Primer Encuentro Nacional de la Industria de

Seguridad. Madrid.

Castillo, C. y Romero, R. (2008). Guía Metodológica para el Análisis Forense Orientado a

Incidentes en Dispositivos Móviles. Trabajo de Grado, Pontificia Universidad Javeriana,

Facultad de Ingeniería, Bogotá.

Cerini, M. y Prá, P. (2002). Plan de Seguridad Informática. Trabajo de Grado, Córdoba,

Argentina: Universidad Católica de Córdoba, Facultad de Ingeniería.

Departamento de Seguridad en Cómputo UNAM. (s.f.). Seguridad Informática.es.

Recuperado el 10 de Junio de 2010, de

http://files.uladech.edu.pe/docente/17939348/Gran%20Libro%20de%20la%20Seguridad

%20Inform%C3%A1tica%20%28I%29.pdf

http://files.uladech.edu.pe/docente/17939348/Gran%20Libro%20de%20la%20Seguridad%20Inform%C3%A1tica%20%28I%29.pdf

http://files.uladech.edu.pe/docente/17939348/Gran%20Libro%20de%20la%20Seguridad%20Inform%C3%A1tica%20%28I%29.pdf


71

Guel, M. (2007). A Short Primer for Developing Security Policies. SANS Institute. The

SANS Policy Primer.

GMV Innovating Solutions. (2007). Evolución de las Estrategias de Gestión de Seguridad:

relaciones simbióticas entre un SGSI y los procesos ITIL de Gestión de TI.

Hernández R., Fernández, C. y Baptista P. (1991). Metodología de la Investigación.

México D.F: Mc Graw Hill.

ISO/IEC. (2005). ISO/IEC 17799 27002. Estándar Internacional.

ITGI (IT Governance Institute). (2007). Cobit 4.1. Propuesta Macro. Rolling Meadows, IL.

Linares, S., & Paredes, I. (2007). IS2ME Seguridad de la Información a la Mediana

Empresa. Tecnocom, Madrid.

López, P. (2007). Análisis de Riesgos del Proceso. Medidas Prevención, Detección y

Respuesta. Primer Encuentro Nacional de la Industria de Seguridad, Madrid.

Microsoft. (2008). 9 Pasos para Implementar la Seguridad Informática en su Empresa.

Recomendaciones. Madrid.

OGC (Office of Government Commerce), ITGI (IT Governance Institute). (2008).

Alineando Cobit 4.1, ITIL V3 e ISO/IEC 27002 en beneficio del negocio. Londres:

Crown.

Ramió J. (1998). Red Temática Iberoamericana de Criptografía y Seguridad de la

Información. Recuperado el 12 de Agosto de 2010, de Red Temática Iberoamericana de

Criptografía y Seguridad de la Información: http://www.criptored.upm.es

http://www.criptored.upm.es/


72

Sánchez, N., y Segura, J. (2006). Una Guía Metodológica para el Cálculo del Retorno a la

Inversión (ROI) en Seguridad Informática. Trabajo de Grado, Pontificia Universidad

Javeriana, Facultad de Ingeniería , Bogotá

Sans Institute. (2002). Building and Implementing an Information Security Policy. SANS,

USA.

Spafford, E. (1989). Computer Recreations: Of worms, viruses and core war. Scientific

American.

The Business Continuity Institute (BCI). (2007). Good Practice Guidelines 2007: A

Management Guide to Implementing Global Good Practice in Business Continuity

Management. Madrid: ISMS Forum Spain.

Torrealba, M. (2005). Equivocaciones Comunes en la Gestión Corporativa de la Seguridad

Telemática. Caracas: Universidad Simón Bolívar.

Universidad Nacional de Colombia. (2003). Guía para elaboración de Políticas de

Seguridad. UNAL, Vicerrectoría General, Bogotá.

Universidad Politécnica de Madrid. Escuela Universitaria de Informática. (2005). Técnicas

de la criptografía clásica. En U. P., Aplicaciones Criptográficas. España: Madrid.

Wood, C. C. (2002). Políticas de Seguridad Informática Mejores Prácticas

Internacionales. Houston, TX, USA: NetIQ, Inc.

WEBGRAFIA

http://books.google.com.co/books?id=bmRfgGEh2PkC&printsec=frontcover&dq=the%20s

ecurity%20policy%20life%20cycle%3A%20Functions%20#v=onepage&q&f=false

http://segu-info.com.ar/libros/

http://www.revistasic.com/


73

http://www.sans.org/reading_room/

http://www.iso27000.es/sgsi.html

http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/

http://www.isaca.org/Knowledge-enter/cobit/Documents/cobiT4.1spanish.pdf

http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-

v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf


http://www.itgi.org


http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_

es_ITIL/que_es_ITIL.php

http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-

v3-y-ISO-27002-en-beneficio-de-la-empresa-v2,7.pdf

http://www.itil.co.uk/refresh.htm

http://www.iso.org/ISO/iso_catalogue/catalogue_tc/catalogue_detail. Htm?csnumber =

50297


74

Anexos

Anexo A. Diagnóstico de Seguridad Informática Apostar S.A.pdf

Anexo B. Evaluación en Seguridad Informática Apostar S.A.pdf

Anexo C. Evaluación en Seguridad Informática Apuestas Ochoa.pdf

Anexo D. Evaluación en Seguridad Informática Asmed Salud.pdf

Anexo E. Evaluación en Seguridad Informática Oncologos de Occidente.pdf

Anexo F. Politica de Seguridad Apostar S.A..pdf

Diagnóstico%20de%20Seguridad%20Informática%20Apostar%20S.A.pdf

Evaluación%20en%20Seguridad%20Informática%20Apostar%20S.A.pdf

Evaluación%20en%20Seguridad%20Informática%20Apuestas%20Ochoa.pdf

Evaluación%20en%20Seguridad%20Informática%20Asmed%20Salud.pdf

Evaluación%20en%20Seguridad%20Informática%20Oncologos%20de%20Occidente.pdf

Politica%20de%20Seguridad%20Apostar%20S.A..pdf