Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
i
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
TRABAJO DE TITULACIÓN PRESENTADA COMO REQUISITO PARA OPTAR POR
EL TÍTULO DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS
COMPUTACIONALES
TEMA:
Diseño de un Sistema de Gestión de la Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
AUTOR(ES): Stephanía Daniela Mujica Flores
Jazmín Julieta Herrera Anchundia
TUTOR DE TESIS: Lcdo. Roddy Cabezas Padilla. , MAE.
Guayaquil, Septiembre del 2018
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
ii
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la Norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
AUTOR(ES) (apellidos/nombres): Mujica Flores Stephanía Daniela Herrera Anchundia Jazmín Julieta
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
Cabezas Padilla Roddy
INSTITUCIÓN: Universidad de Guayaquil.
UNIDAD/FACULTAD: Facultad de Ciencias Administrativas.
MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistemas Administrativos Computarizados.
GRADO OBTENIDO:
FECHA DE PUBLICACIÓN: No. DE PÁGINAS: 111
ÁREAS TEMÁTICAS: Tecnología de información para la Gestión Empresarial.
PALABRAS CLAVES/ KEYWORDS:
Información, seguridad, mejora continua, activos de información, ISO.
RESUMEN/ABSTRACT (150-250 palabras): En la actualidad la información es el activo de mayor importancia en toda empresa, es por ello que mantenerla a salvo debe ser primordial en las organizaciones, ya que sin la seguridad de la información adecuada, la continuidad de las empresas está en riesgo. La presente tesis se basa en el análisis de la situación actual en la que se encuentra el Consorcio Metro-Bastión referente a la seguridad de la información que maneja, alineado bajo la norma ISO/IEC 27001:2013 para dar a conocer cuáles son las falencias de seguridad del Consorcio Metro-Bastión y así realizar el diseño de un Sistema de Gestión de Seguridad de la Información que le permita al consorcio establecer mejores controles y políticas de seguridad a los activos que se encuentran en riesgo, por lo cual se realizado un pequeño análisis bajo un enfoque de riesgo basado en Magerit v3 para sugerir la creación de las políticas de seguridad que permiten la mejora continua de la empresa.
ADJUNTO PDF: SI NO
CONTACTO CON AUTOR/ES: Teléfono: 0996277099 0980884133
E-mail: [email protected]
CONTACTO CON LA INSTITUCIÓN:
Nombre: Universidad de Guayaquil
Teléfono:
E-mail:
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
iii
Guayaquil, 17 de Agosto del 2018.
Sr. ING. FRANCISCO MORÁN CEDEÑO, MAE. DIRECTOR DE LA CARRERA INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS FACULTAD DE CIENCIAS ADMINISTRATIVAS UNIVERSIDAD DE GUAYAQUIL Ciudad.- De mis consideraciones: Envío a Ud. el Informe correspondiente a la tutoría realizada al Trabajo de Titulación Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión de los estudiantes Stephanía Daniela Mujica Flores y Jazmín Julieta Herrera Anchundia, indicando han cumplido con todos los parámetros establecidos en la normativa vigente:
El trabajo es el resultado de una investigación.
El estudiante demuestra conocimiento profesional integral.
El trabajo presenta una propuesta en el área de conocimiento.
El nivel de argumentación es coherente con el campo de conocimiento. Adicionalmente, se adjunta el certificado de porcentaje de similitud y la valoración del trabajo de titulación con la respectiva calificación. Dando por concluida esta tutoría de trabajo de titulación, CERTIFICO, para los fines pertinentes, que los estudiantes están aptos para continuar con el proceso de revisión final. Atentamente, ______________________________________ Lcdo. Roddy Cabezas Padilla, MAE.
C.I. 0911780518
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
iv
CERTIFICADO PORCENTAJE DE SIMILITUD
Habiendo sido nombrado RODDY SALVADOR CABEZAS PADILLA, tutor del trabajo de titulación certifico que el presente trabajo de titulación ha sido elaborado por STEPHANÍA DANIELA MUJICA FLORES, C.C.: 0953293776, y JAZMÍN JULIETA HERRERA ANCHUNDIA, C.C.: 0951898246 con mi respectiva supervisión como requerimiento parcial para la obtención del título de Ingenieras en Sistemas Administrativos Computarizados.
Se informa que el trabajo de titulación: “DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ALINEADO BAJO LA NORMA ISO/IEC 27001:2013 PARA EL CONSORCIO METRO.BASTIÓN”, ha sido orientado durante todo el periodo de ejecución en el programa antiplagio URKUND quedando el 8% de coincidencia.
https://secure.urkund.com/view/39990310-740508-246254#FdBLagMxEIThu8y6COqnJF8leGFMEmYRb7w0vnv+LArU01+JQa/j93lcPm3IRpIiTSZZZMv+d2bESRCc4QxnOMMZjrUzOqMzBrWgFnwPakEtqAUmMIFJTGISk5jEJCa5OnGJKUxhClOYSnkoWlyEg6FAGNa11EPt6lSXujWHZmpymFpapuVaoZVapdXa2qbt2qXNNLXX
Vcfz/Hmc3+f99rh/HZfxwa95jCrniXpu8/
LCDO. RODDY CABEZAS, MAE.
C.I. 0911780518
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
v
LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL USO NO
COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS
Nosotras, STEPHANÍA DANIELA MUJICA FLORES con C.I. No. 0953293776, y JAZMÍN JULIETA HERRERA
ANCHUNDIA C.I. No. 0951898246 certifico que los contenidos desarrollados en este trabajo de titulación, cuyo
título es “Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC
27001:2013 para el Consorcio Metro-Bastión” son de mi absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114
del CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E
INNOVACIÓN*, autorizo el uso de una licencia gratuita intransferible y no exclusiva para el uso no comercial de la
presente obra con fines no académicos, en favor de la Universidad de Guayaquil, para que haga uso del mismo,
como fuera pertinente.
_______________________________ ___________________________________
SETPHANÍA DANIELA MUJICA FLORES JAZMÍN JULIETA HERRERA ANCHUNDIA C.I. No. 0953293776 C.I. No. 0951898246
*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita,
intransferible y no exclusiva para el uso no comercial de la obra con fines académicos.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
vi
DEDICATORIA
Quiero dedicar este trabajo principalmente a mis padres el Sr. Hugo
Mujica y la Sra. Esther Flores, ya que por medio de su apoyo, sus
grandes enseñanzas y valores, me han inculcado a cumplir con cada
uno de mis sueños y es por eso que hoy he logrado alcanzar una de
mis metas propuestas. Quiero dedicar este logro también a mis
hermanos mayores Amparo Mujica y Héctor Mujica que han sido mi
ejemplo a seguir de superación y de esfuerzo, quienes a pesar del
tiempo y la distancia que nos separa me han brindado ese apoyo
emocional y económico para estar en donde estoy, y en especial
quiero dedicar este trabajo a mi hermana melliza Dayana Mujica por
siempre ser incondicional, por ser mi ejemplo de fortaleza, de lucha y
por apoyarme en todos los aspectos de mi vida.
Stephanía Daniela Mujica Flores.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
vii
DEDICATORIA
Llegar hasta esta etapa de mi vida ha sido una de las metas más
importantes que me he planteado, es por ello que se la dedico a Dios
porque me bendijo en cada paso, A mi hija Rebeca Chancay Herrera
porque es la persona que más amo por la cual yo daría todo, porque
quiero ser un ejemplo para ella.
A mi esposo el Sr. Javier Chancay Baque quien siempre ha estado
apoyándome y alentándome para que siga adelante con mis metas,
también dedico a mis padres los Sres. Egberto Herrera y Julieta
Anchundia que fueron quienes desde pequeña me inculcaron la
importancia de prepararse para ser una persona profesional, a cada
uno de mis hermanos y a mi familia en especial.
Jazmín Juelita Herrera Anchundia.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
viii
AGRADECIMIENTO
Todo mi agradecimiento es principalmente a Dios, por brindarme la
capacidad e inteligencia para culminar mis estudios universitarios y
darme esa fortaleza para no rendirme a pesar de las circunstancias
ocurridas durante la etapa universitaria, a mis padres que me han
brindado su apoyo emocional y económico en cada etapa de mi vida, por
ser ese pilar fundamental y ayudarme a escalar cada peldaño.
Le agradezco a cada uno de los amigos que conocí en mi etapa
universitaria, ya que gracias a ellos la Universidad de Guayaquil se
convirtió en un hogar.
A toda la gente que estuvo a mi lado en los momentos de dificultad que
se presentaron y estuvieron dándome el apoyo para no rendirme.
GRACIAS DIOS.
Stephanía Daniela Mujica Flores.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
ix
AGRADECIMIENTO
Le agradezco a Dios por todo en mi vida en especial por darme la
sabiduría para llegar cada día más lejos de lo planteado, a mi esposo por
darme su apoyo incondicional para cumplir mis metas, a mi hija por su
amor. A mis padres por haber inculcado en mí el valor de la
responsabilidad pues creo que sin este no hubiera podido culminar mis
estudios universitarios.
Le agradezco a mi compañera Daniela Mujica ya que en el transcurso de
mis estudios universitarios y ahora en este proceso de titulación siempre
ha estado conmigo apoyándonos mutuamente.
Le agradezco al Lic. Roddy Cabezas por su colaboración con nosotras
en este proceso de titulación.
Y le agradezco en general a la Universidad de Guayaquil y en específico
a la escuela de Ingeniería en sistemas administrativos y computarizados
por cada uno de los conocimientos impartidos.
Jazmín Julieta Herrera Anchundia.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
x
“DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ALINEADO BAJO LA NORMA ISO/IEC 27001:2013
PARA EL CONSORCIO METRO-BASTIÓN”
Autor: Stephanía Daniela Mujica Flores.
Jazmín Julieta Herra Anchundia.
Tutor: Lcdo. Roddy Cabezas Padilla., MAE.
Resumen
En la actualidad la información es el activo de mayor importancia para toda empresa, es por ello que mantenerla a
salvo debe ser primordial en las organizaciones, ya que sin la seguridad de la información adecuada, la continuidad
de las empresas está en riesgo. La presente tesis se basa en el análisis de la situación en la que se encuentra el
Consorcio Metro-Bastión referente a la seguridad de la información que maneja, alineado bajo la Norma ISO/IEC
27001:2013 para dar a conocer cuáles son las falencias de seguridad del consorcio Metro-Bastión y así realizar el
diseño de un Sistema de Gestión de Seguridad de la Información que le permita al Consorcio Metro-Bastión
establecer mejores controles y políticas de seguridad a los activos que se encuentran en riesgo, por lo cual se ha
realizado un pequeño análisis bajo un enfoque de riesgo basado en Magerit V3 para sugerir la creación de políticas
de seguridad que permitan la mejora continua de la empresa.
Palabras Claves: Información, seguridad, mejora continua, activos de información, ISO
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xi
"DESIGN OF AN INFORMATION SECURITY MANAGEMENT SYSTEM ALIGNED
UNDER ISO / IEC 27001: 2013 STANDARD FOR THE METRO-BASTION
CONSORTIUM"
Author: Stephanía Daniela Mujica Flores.
Jazmín Julieta Herra Anchundia.
Advisor: Lcdo. Roddy Cabezas Padilla. , MAE.
Abstract
At present, information is the most important asset for any company, which is why keeping it safe must be paramount in organizations, because without the security of adequate information, the continuity of companies is at risk. This thesis is based on the analysis of the situation in which the Metro-Bastion Consortium is related to the security of the information it handles, aligned under the ISO / IEC 27001: 2013 Standard to make known the shortcomings of security of the Metro-Bastion consortium and thus carry out the design of an Information Security Management System that allows the Metro-Bastion Consortium to establish better security controls and policies for the assets that are at risk, for which reason it has been conducted a small analysis under a risk approach based on Magerit V3 to suggest the creation of security policies that allow continuous improvement of the company.
Keywords: Information, security, continuous improvement, information assets, ISO.
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xii
Guayaquil, 30 de Agosto del 2018
CERTIFICACIÓN DEL TUTOR REVISOR
Habiendo sido nombrado CESAR GABRIEL BARRIONUEVO DE LA ROSA, tutor del trabajo de
titulación “Diseño de un Sistema de Gestión de Seguridad de la Información alineado
bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión” certifico que el
presente trabajo de titulación, elaborado por Stephanía Daniela Mujica Flores, con C.I. No.
0953293776 y Jazmín Julieta Herrera Anchundia, con C.I. No. 0951898246, con mi respectiva
supervisión como requerimiento parcial para la obtención del título de Ingenieras en
Sistemas Administrativos Computarizados, en la Carrera de Ingeniería en Sistemas
Administrativos Computarizados de la Facultad de Ciencias Administrativas, ha sido
REVISADO Y APROBADO en todas sus partes, encontrándose apto para su sustentación.
_______________________________
CESAR GABRIEL BARRIONUEVO DE LA ROSA
C.I. No. 0920214731
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xiii
Tabla de contenido
Capítulo 1 ........................................................................................................................................... 1 1.1. Introducción ...................................................................................................................................................................... 1 1.2. Antecedentes ..................................................................................................................................................................... 2 1.3. El problema........................................................................................................................................................................ 4 1.4. Objetivos ............................................................................................................................................................................. 5
1.4.1. Objetivo General ..................................................................................................................................................... 5 1.4.2. Objetivos Específicos ............................................................................................................................................ 5
1.5. Justificación ....................................................................................................................................................................... 6 1.5.1. El propósito del estudio. ...................................................................................................................................... 7 1.5.2. El significado del estudio. ................................................................................................................................... 7
1.6. Definición de términos .................................................................................................................................................. 8 1.7. Supuestos del estudio .................................................................................................................................................... 9
Capítulo 2 DISEÑO TEÓRICO ....................................................................................................... 10 2.1. Géneros de literatura incluidos en la revisión ................................................................................................. 10
2.1.1. Fuentes. ................................................................................................................................................................... 10 2.2. Marco teórico ................................................................................................................................................................. 10
2.2.1. Antecedentes investigativos ........................................................................................................................... 10 2.2.2. Reseña Institucional Troncal 3 Consorcio Metro-Bastión .................................................................. 12 2.2.3. Antecedentes conceptuales ............................................................................................................................. 13
Capítulo 3 DISEÑO METODÓLOGICO ......................................................................................... 24 3.1. Tipo de Estudio: ............................................................................................................................................................ 24 3.2. Población y la Muestra. .............................................................................................................................................. 26
3.2.1. Población: ............................................................................................................................................................... 26 3.2.2. La Muestra .............................................................................................................................................................. 27 3.2.3. Técnicas de recolección de datos .................................................................................................................. 28 3.2.4. Procesamiento de Datos y Análisis de Datos ........................................................................................... 31 3.2.5. Procesamiento de Datos ................................................................................................................................... 31 3.2.6. El análisis de datos ............................................................................................................................................. 31 3.2.7. Análisis de los Resultados ................................................................................................................................ 33 3.2.8. Discusión de los resultados ............................................................................................................................. 55
Capítulo 4 PROPUESTA .................................................................................................................. 56 4.1. Título de la propuesta ................................................................................................................................................ 56 4.2. Objetivo de la propuesta ........................................................................................................................................... 56 4.3. Justificación de la propuesta ................................................................................................................................... 57 4.4. Descripción de la propuesta .................................................................................................................................... 58
4.4.1. Descripción de la Empresa .............................................................................................................................. 64 4.4.2. Análisis de riesgo ................................................................................................................................................. 66
4.5. Impactos de la propuesta .......................................................................................................................................... 87 4.6. Conclusiones .................................................................................................................................................................. 89 4.7. Recomendaciones ........................................................................................................................................................ 90
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xiv
Índice de Tablas
Tabla 1. Población ............................................................................................................................ 27 Tabla 2 Muestra de la investigación ................................................................................................. 28 Tabla 3 Recolección de la Información ............................................................................................ 29
Tabla 4 Tabulación pregunta 1 de la encuesta. ................................................................................ 33 Tabla 5 Tabulación pregunta 2 Encuesta. ........................................................................................ 34 Tabla 6 Tabulación pregunta 3 Encuesta. ........................................................................................ 35 Tabla 7 Tabulación pregunta 4 Encuesta. ........................................................................................ 36
Tabla 8 Tabulación pregunta 5 encuesta ......................................................................................... 37 Tabla 9 Tabulación pregunta 6 Encuesta. ........................................................................................ 38 Tabla 10 Tabulación pregunta 7 encuesta. ...................................................................................... 39 Tabla 11 Tabulación pregunta 8 encuesta. ...................................................................................... 40
Tabla 12 Cumplimiento del punto 4. Contexto de la Organización. ................................................ 41 Tabla 13 Cumplimiento del punto 5. Liderazgo. .............................................................................. 43
Tabla 14 Cumplimiento del punto 6 Planificación. .......................................................................... 45
Tabla 15 Cumplimiento de punto 7 Apoyo y Soporte. ...................................................................... 47
Tabla 16 Cumplimiento punto 8. Operación. ................................................................................... 49 Tabla 17 Cumplimiento punto 9. Evaluación y Desempeño. ............................................................ 51 Tabla 18 Cumplimiento punto 10. Mejora. ....................................................................................... 53
Tabla 19 Porcentaje General de cumplimiento e incumplimiento. .................................................. 54 Tabla 20 Identificación de Activos. .................................................................................................. 67
Tabla 21 Procedimientos y Dependencias ........................................................................................ 68 Tabla 22 Calificación del Valor de Activo según C.I.D. .................................................................. 70 Tabla 23 Clasificación del Activo ..................................................................................................... 70
Tabla 24 Valoración de Activos de información del Consorcio Metro-Bastión. ............................. 71
Tabla 25 Valoración de Activos Físicos del Consorcio Metro-Bastión. .......................................... 73
Tabla 26 Valoración Activos de servicio Consorcio Metro-Bastión. ............................................... 74 Tabla 27 Valoración de Activos personales. .................................................................................... 75
Tabla 28 Valoración General activos de Información ...................................................................... 76 Tabla 29 Identificación de Amenazas y Vulnerabilidades de los Activos de Información/Software.
.................................................................................................................................................... 78 Tabla 30 Identificación de Amenazas y Vulnerabilidades de los Activos de información Físicos
Hardware/ Infraestructura. ........................................................................................................ 79
Tabla 31 Identificación de Amenazas y Vulnerabilidades de los Activos de Servicio. .................... 80 Tabla 32 Identificación de Amenazas y Vulnerabilidades de los Activos Personales. ..................... 80 Tabla 33 Impacto. ............................................................................................................................. 81
Tabla 34 Probabilidad de Ocurrencia. (Frecuencia) ....................................................................... 81 Tabla 35 Impacto. ............................................................................................................................. 82
Tabla 36 Tratamiento de Riesgo. ...................................................................................................... 84
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xv
Índice de Gráficos
Gráfico 1 Pregunta 1 Encuesta. ....................................................................................................... 33
Gráfico 2 Pregunta 2 Encuesta. ....................................................................................................... 34 Gráfico 3 Pregunta 3 Encuesta. ....................................................................................................... 35 Gráfico 4 Pregunta 4 encuesta. ........................................................................................................ 36 Gráfico 5 Pregunta 5 encuesta. ........................................................................................................ 37
Gráfico 6 Pregunta 6 encuesta. ........................................................................................................ 38 Gráfico 7 Pregunta 7 encuesta. ........................................................................................................ 39 Gráfico 8 Pregunta 8 encuesta. ........................................................................................................ 40
Gráfico 9. Cumplimiento de Contexto de la Organización. ............................................................. 42 Gráfico 10. Cumplimiento de Liderazgo. ......................................................................................... 44
Gráfico 11. Cumplimiento de Planificación. .................................................................................... 46 Gráfico 12. Cumplimiento Apoyo y Soporte. .................................................................................... 48
Gráfico 13. Cumplimiento Operación. ............................................................................................. 50 Gráfico 14. Cumplimiento Evaluación del Desempeño. ................................................................... 52
Gráfico 15. Cumplimiento Mejora. ................................................................................................... 53 Gráfico 16. Porcentaje general de cumplimiento de la Norma ISO/IEC 27001:2013. .................... 54 Gráfico 17 Valoración de Activos de Información del Consorcio Metro-Bastión. .......................... 72
Gráfico 18 Valoración Activos Físicos. ............................................................................................ 73 Gráfico 19 Activos de Servicio. ........................................................................................................ 74
Gráfico 20 Valoración general Activos de Información................................................................... 76
FACULTAD CIENCIAS ADMINISTRATIVAS
CARRERA INGENIERÍA EN SISTEMAS ADMINSTRATIVOS COMPUTARIZADOS
xvi
Índice de Figuras
Figura 1. La información. ................................................................................................................ 14
Figura 2 Cambios Estructurales en la Norma ISO 27001 ................................................................ 21 Figura 3. Ciclo Deming. ................................................................................................................... 22 Figura 4. Modelo de encuesta realizada ........................................................................................... 30 Figura 5. Organigrama Consorcio Metro-Bastión ........................................................................... 65
Índice de Ilustraciones
Ilustración 1 Diagrama AS IS/TO BE. Procedimientos de seguridad en Consorcio Metro-Bastión.
.................................................................................................................................................... 60
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
1
CAPÍTULO 1
1.1. Introducción
Hace más de una década atrás, el tránsito vehicular en la ciudad de Guayaquil era
totalmente desorganizado, existían diferentes líneas de buses de transporte urbano que generaban
aglomeraciones y un ambiente caótico en las calles de la ciudad, debido al incumplimiento de las
leyes de tránsito.
El mal servicio que brindaban era notorio, con un personal poco idóneo al momento de
cumplir con la atención al usuario, por lo cual la municipalidad de Guayaquil optó por
implementar el Sistema Integrado Metrovía de la ciudad de Guayaquil conformada por 3
consorcios: Metroquil, Metroexpress, Metro-Bastión los mismos que son regulados por la
fundación Metrovía perteneciente a la municipalidad de Guayaquil.
La presente tesis se enfocará en el Diseño de un Sistema de Gestión de la Seguridad de la
información para el Consorcio Metro-Bastión.
Es evidente que la información es uno de los activos primordiales para toda empresa, por
lo cual es de gran importancia para el Consorcio Metro-Bastión salvaguardarla, ya que muchas
veces la información puede ser tergiversada o puede perderse por la cantidad de riesgos a la que
está expuesta.
A raíz de que la tecnología hoy en día es más sofisticada, la información está en constante
vulnerabilidad, ya que, así como evoluciona la tecnología también se incrementan los ataques
cibernéticos. Por esta razón el Consorcio debe adoptar las medidas y controles necesarios para
proteger a la compañía ante las amenazas a los activos de información que afectan la
confidencialidad, integridad y disponibilidad de la información del Consorcio.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
2
El diseño del sistema de Gestión de Seguridad de la Información para el Consorcio
Metro-Bastión, estará alineado bajo la norma ISO 27001:2013 el cual permitirá preservar los
recursos informáticos del Consorcio ayudando a cumplir sus objetivos, ya que el Consorcio no
cuenta con la seguridad de la información adecuada.
La ISO 27001:2013 es una norma internacional emitida por la Organización Internacional
de Normalización (ISO) y describe cómo gestionar la seguridad de información en una empresa.
La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre complemento
es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la
norma británica BS 7799-2. (27001 Academy, s.f.)
Por lo tanto se desarrolla esta tesis con el fin de realizar un diagnóstico que permita
analizar cuánto es el cumplimiento que tiene el Consorcio Metro-Bastión con la norma ISO/IEC
27001:2013 y de esta manera realizar un Diseño de Gestión de Seguridad de la Información que
permita cumplir con los requerimientos estipulados en la norma para garantizar que los riesgos
de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por el
Consorcio Metro-Bastión de una forma documentada, sistemática, estructurada, repetible,
eficiente, y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
1.2. Antecedentes
Según el portal (Grupo Control Seguridad , 2010) la Seguridad Informática ha
experimentado un profundo cambio en los últimos años, llevadas a cabo con el objetivo de
fortalecer la seguridad en puntos muy concretos, han dado paso a inversiones para asegurar el
bien más valioso de la empresa, la información, enfocando la seguridad hacia los procesos de
negocio de la empresa.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
3
De acuerdo al mismo portal, dice que durante los años 80 y principios de los 90 la
Seguridad Informática se centraba en proteger los equipos de los usuarios, es decir, proporcionar
seguridad a los ordenadores y su sistema operativo. Esta Seguridad Lógica, entendida como la
seguridad de los equipos informáticos era para evitar que dejasen de funcionar correctamente, se
centraba en la protección contra virus informáticos.
Con la aparición de internet y su uso globalizado a nivel empresarial, la seguridad
informática comenzó a enfocarse hacia la conectividad de redes o Networking, protegiendo los
equipos servidores de aplicaciones informáticas, los equipos servidores accesibles públicamente
a través de internet, y controlando la seguridad a nivel periférica a través de dispositivos como
Firewalls. Es decir, la posibilidad tecnológica de “estar conectados” llevaba implícita la
aparición de nuevas vulnerabilidades que podían ser explotadas, la exposición de información
crucial para el negocio que podía ser accesible precisamente gracias a esa conectividad.
El perfil de atacante de un sistema informático ha cambiado radicalmente. Si bien antes
los objetivos de un atacante o hacker podían ser más simples (acceder a un sitio donde nadie
antes había conseguido llegar, o infectar un sistema mediante algún tipo de virus, pero sin ningún
tipo de ánimo de lucro), en la actualidad los atacantes se han percatado de lo importante que es la
información y sobre todo de lo valiosa que puede ser. Se trata de grupos organizados que
aprovechan las vulnerabilidades de los sistemas informáticos y las redes de telecomunicaciones
para acceder a la información crítica y sensible de la empresa.
El Consorcio Metro-Bastión es una organización ecuatoriana constituida el 1 de marzo del
2006 a través del aporte de 13 cooperativas de transporte público urbano con la finalidad única
de brindar el servicio de transporte urbano masivo de pasajeros en la Troncal III (Bastión
Popular) del sistema integrado Metrovía de la ciudad de Guayaquil.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
4
El Consorcio Metro-Bastión procesa información a través de sus diferentes activos
informáticos, es por ello que en la actualidad la información en formato digital tiene un papel
fundamental para la toma de decisiones, por lo cual está en constante amenaza de tipo natural o
humano y para el Consorcio debe ser esencial protegerla.
1.3. El problema
Actualmente el uso de la tecnología es indispensable en las organizaciones,
prácticamente todo es controlado por las nuevas tecnologías, ya que estas permiten mejorar los
procesos y la eficiencia en los trabajadores de cada organización.
El Consorcio Metro-Bastión como toda empresa recibe información crucial tanto
personal como financiera por parte de sus clientes y de sus proveedores, dicha información es
almacenada tanto física como electrónica (vía telefónica, vía e-mail, personal etc.).
Toda aquella información que el Consorcio recibe mediante estos medios debe ser
confidencial y exclusivamente para el uso de la empresa, la misma que es puesta a disposición
del personal que solicite el uso de dicha información para la toma de decisiones.
El fácil acceso a la información es uno de los métodos existentes y nuevos para sustraer
los datos lo cual produce mayor dificultad al momento de salvaguardar la información.
El problema radica en que el Consorcio Metro-Bastión no cuenta con los controles,
medidas, políticas y procedimientos de seguridad necesarios para asegurar sus activos de
información, tales como: documentos, hardware, software, imagen, audio, video, etc. Si bien es
cierto, como toda empresa mantiene un control de su información, pero no es suficiente para
mantener a salvo el activo más importante de la empresa.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
5
La información es vulnerable a amenazas tanto físicas como tecnológicas, como por
ejemplo: desastres naturales, estructurales, personales, riesgos contra el patrimonio, entre otros
riesgos.
El propósito de diseñar este sistema de gestión de seguridad de la información será
salvaguardar y controlar la información y establecer los controles necesarios para garantizar la
confidencialidad, integridad y disponibilidad de la empresa, y así minimizar los riesgos de la
información, considerando que un sistema de gestión de seguridad de la información (SGSI)
evita que los activos de información sean vulnerables; desde un simple virus de computadora
hasta el robo de la información de la empresa.
1.4. Objetivos
1.4.1. Objetivo General
Diseñar un Sistema de Seguridad de la Información para el Consorcio Metro-Bastión que
permita mitigar los riesgos de los activos de información los cuales actualmente son vulnerables
poniendo en riesgo los procesos de la empresa.
1.4.2. Objetivos Específicos
Realizar un análisis del estado actual en el que se encuentra la información del
Consorcio Metro-Bastión, mediante un diagnóstico de cumplimiento e
incumplimiento de la norma ISO/IEC 27001:2013.
Identificar, clasificar y valorar a los activos, identificando las amenazas y
vulnerabilidades a las que están expuestos los activos de información bajo un
enfoque de riesgo.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
6
Sugerir las políticas de seguridad que permitan hacer uso aceptable de los activos
de información que garanticen la confidencialidad, integridad y disponibilidad de la
información.
1.5. Justificación
El motivo primordial por el que se pretende diseñar un sistema de gestión de seguridad de
la información alineado bajo la norma ISO/IEC 27001:2013 es la solución al incremento de las
amenazas informáticas a la que está expuesta la información del Consorcio Metro Bastión, por lo
cual el área de la seguridad de información debe tener mayor prioridad, ya que conforman a los
activos más valiosos con los que cuenta el Consorcio.
Gracias al estudio realizado se podrá mitigar los riesgos a los que están expuestos los
activos de información del Consorcio Metro-Bastión, mediante los procedimientos que se
realizarán para hallar los riesgos y las amenazas de los activos y así asegurar la continuidad de la
empresa.
Para el desarrollo de esta tesis se alineará bajo la norma ISO/IEC 27001:2013 la cual nos
permitirá establecer los procedimientos adecuados para diseñar un correcto Sistema de Gestión
de Seguridad de la Información. El cual estará basado en 7 pilares fundamentarles de la norma
internacional:
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Apoyo/Soporte
8. Operación
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
7
9. Evaluación del desempeño
10. Mejoras
Se realizará un diagnóstico que permita dar a conocer la cercanía que tiene el Consorcio de
cumplir con los lineamientos de la norma ISO/IEC 27001:2013
1.5.1. El propósito del estudio.
Con el Sistema de Gestión de Seguridad de la Información se espera establecer las
metodologías necesarias de manera clara y estructurada, poder crear conciencia en los
responsables de los activos de información, los procesos de negocio, la existencia de riesgos y la
necesidad de gestionarlos a tiempo.
Mediante el SGSI se brindará mayor confianza a los clientes al garantizar la
confidencialidad de la información y así también garantizar la continuidad del Consorcio.
1.5.2. El significado del estudio.
Partimos del hecho que la Metrovía es un servicio a la comunidad que transporta
aproximadamente hasta 65.384 usuarios diarios, es por ello que el Consorcio maneja mucha
información importante la cual debe ser protegida. En consecuencia, el estudio propende
establecer metodologías de gestión de seguridad de la información, crear conciencia en los
encargados de los procesos, reducir los riesgos que amenacen directamente a los activos de la
información, brindar mayor confianza a los clientes.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
8
1.6. Definición de términos
Activo de Información: Recurso de valor para el desarrollo de la actividad propia de la
institución que incluye la gestión de la información, el software para su tratamiento y los
soportes físicos y lógicos de la información. (Universidad Nacional de Luján, 2018)
Amenazas: Evento capaz de atentar contra la seguridad de la información y provocar
incidentes en la organización. (Universidad Nacional de Luján, 2018)
Confidencialidad: La confidencialidad implica que debe protegerse la información de
forma tal que solo sea conocida por las personas autorizadas y se la resguarde del acceso de
terceros. (Universidad Nacional de Luján, 2018)
Disponibilidad: La disponibilidad implica que debe protegerse la información de forma
tal que se pueda disponer de ella para su gestión en el tiempo y la forma requeridos por el
usuario. (Universidad Nacional de Luján, 2018)
Información: Datos relacionados que tienen valor para la organización
Integridad: La integridad implica que debe salvaguardarse la totalidad y la exactitud de
la información que se gestiona. (Universidad Nacional de Luján, 2018)
ISO: International Standard Organization. En español Organización de Estándares
Internacionales. Conjunto de normas orientadas a ordenar la gestión de una empresa. (ISOtools,
2015)
Riesgo: Es la posibilidad de que una amenaza aproveche una vulnerabilidad y dañe un
activo de información (Universidad Nacional de Luján, 2018)
Seguridad de la Información: Conjunto de metodologías, técnicas, estrategias, políticas,
normas y procedimientos tendientes a minimizar las amenazas y riesgos continuos a los que está
expuesta la información. (Universidad Nacional de Luján, 2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
9
S.G.S.I: Sistema de Gestión de Seguridad de la Información.
Vulnerabilidad: Debilidad en un activo que lo hace susceptible a ser atacado.
(Universidad Nacional de Luján, 2018)
Alcance: Ámbito de la organización que queda sometido al SGSI. (ISO2700.ES, s.f.)
Parte interesada: Persona u organización que puede afectar a, ser afectada por o
percibirse a sí misma como afectada por una decisión o actividad. (ISO2700.ES, s.f.)
Mejora continua: Es un proceso que pretende mejorar, los productos, servicios y
procesos de una organización mediante una actitud general, la cual configura la base para
asegurar la estabilización de los circuitos de una continuada detección de errores o áreas de
mejoras. (ISOTools, 2015)
Aceptación del riesgo: Decisión informada de asumir un riesgo concreto. (ISO2700.ES,
s.f.)
Procesos: Conjunto de actividades interrelacionadas o interactuantes que transforman
unas entradas en salidas. (ISO2700.ES, s.f.)
Acción correctiva: Acción para eliminar la causa de una no conformidad y prevenir su
repetición. Va más allá de la simple corrección. (ISO2700.ES, s.f.)
1.7. Supuestos del estudio
Diseñando un sistema de gestión de la seguridad de la información alineado bajo la
norma ISO/IEC 27001:2013 se espera garantizar la protección adecuada de la información,
permitiendo cumplir con los principios de seguridad que debe tener toda información en una
empresa que son: integridad, disponibilidad, y confidencialidad permitiendo que el Consorcio
Metro Bastión mejore sus procesos y cree nuevos controles que permitan reestructurar la
seguridad de información establecida en el Consorcio Metro-Bastión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
10
CAPÍTULO 2 DISEÑO TEÓRICO
2.1. Géneros de literatura incluidos en la revisión
2.1.1. Fuentes.
Según la investigación de Marisol Maranto y Eugenia González (2015) encontrada en el
repositorio de la universidad Autónoma del Estado de Hidalgo dice el tipo de fuentes de
información primaria abarca información original y exclusiva, y sus fuentes principales son
libros, revistas, monografías etc.
Mientras que las fuentes secundarias son definidas como información que ha sido
extraída desde una fuente primaria para realizar un análisis e interpretación de la información ya
obtenida.
La presente investigación es desarrollada mediante información extraída tanto de fuentes
primarias como de fuentes secundarias, dado que se analiza e interpreta diferentes estudios de
investigación, los cuales han sido hallados en diferentes repositorios de universidades tanto
nacionales como internacionales, de artículos de revistas, libros etc.
2.2. Marco teórico
2.2.1. Antecedentes investigativos
En la tesis “Diseño de un Sistema de Gestión de Seguridad de la Información
mediantes la aplicación de la Norma Internacional ISO/IEC 27001:2013 en la oficina de
Sistemas de Información y Telecomunicaciones de la Universidad de Córdova” (Doria,
2015) menciona que:
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
11
El SGSI es un marco de administración general a través del cual las organizaciones
identifican, analizan y direccionan sus riesgos en seguridad de la información. La correcta
implementación de un SGSI garantiza que los acuerdos de seguridad están afinados para
mantenerse al ritmo constante con las amenazas de seguridad, vulnerabilidades e
impactos en el negocio, el cual es un aspecto a considerar profundamente teniendo en
cuenta la competitividad y cambios a los que enfrentan las organizaciones hoy en día.
Por otro lado, en la tesis de grado “Diseño de un Modelo de Gestión de Seguridad de
Información Digital para la Secretaría Nacional de la Escuela Tecnológica Instituto
Técnico Central” realizada por (Peña, 2016) dice que:
Para mantenerse en el mercado actual se requiere de recursos disponibles, un enfoque
proactivo y estratégico para implantar un Sistema de Gestión de Seguridad de la
información, para gestionar, crear una meta concreta y criterios generales de evaluación y
decisión para el tratamiento de los riesgos en que se encuentre la información dentro de
cualquier tipo de organización siendo esta un activo que como los otros activos
importantes tiene valor y en consecuencia requiere una protección adecuada, por eso es
preciso asegurar la confidencialidad, integridad, disponibilidad de la información valiosa
para la organización, el negocio y los clientes.
En el artículo “Metodología de Implantación de un SGSI en grupos empresariales de
relación jerárquica” realizado por (Pallas & Corti) menciona que:
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
12
La seguridad de la información, no es un activo a comprar, ni un fin en sí mismo,
tampoco un estado a alcanzar haciendo una determinada inversión; debe gestionarse,
deben existir metas concretas, criterios generales de evaluación y de decisión, y debe
poder medirse. Es un sistema dinámico en constante evolución que debe ser evaluado y
monitoreado, con métricas establecidas que permitan, comparar de manera consciente y
objetiva escenarios diferentes y tomar decisiones con respecto a los riesgos que se
afrontan y los recursos que se invierten.
Como los estudios anteriormente citados muestran que es de gran importancia que toda
empresa cuente con Sistema de Gestión de Seguridad de la Información (SGSI) ya que protege
en gran manera la información utilizada, pero muchas empresas no le dan mayor importancia a la
información, permitiendo que las amenazas sean mucho mayores.
2.2.2. Reseña Institucional Troncal 3 Consorcio Metro-Bastión
El interés de la alcaldía por mejorar el sistema de transporte de Guayaquil dio inicio al
sistema Metrovía fue constituida con la denominación de “Fundación de Transporte Masivo
Urbano de Guayaquil” mediante el acuerdo Ministerial No. 0220, de fecha 25 de marzo del 2004,
emitida por el Ministro de Gobierno, Cultos, Policías y Municipalidades. (METROVIA, 2015)
La Fundación Municipal Transporte Masivo Urbano de Guayaquil, con su sucursal
Consorcio Metro-Bastión es una persona jurídica de derecho privado y sin fines de lucro con el
objeto de impulsar permanentemente, así como administrar y regular en forma coordinada el
Sistema Integrado de Transporte Urbano Masivo de Guayaquil “Sistema Metrovía” conformado
por las rutas, terminales, paradas, infraestructura y equipos incorporados al referido sistema.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
13
Fue constituida el 01 de marzo del 2006 a través del aporte de 13 cooperativas de
transporte público urbano que operaban en la ciudad de Guayaquil con la única finalidad de
brindar el servicio de transporte urbano masivo en la troncal 3 (Bastión Popular) del Sistema
Integrado Metrovía de la ciudad de Guayaquil. (MetroVia, 2015)
2.2.3. Antecedentes conceptuales
La información
La información ha existido desde el surgimiento de la raza humana bajo diferentes formas
y técnicas, por tanto, en la antigüedad era muy importante para el hombre mantener a salvo la
información por lo cual esta era registrada en objetos que se almacenaban en lugares de difícil
acceso.
Se define que:
La información es un conjunto de datos con un significado, o sea, que reduce la
incertidumbre o que aumenta el conocimiento de algo. En verdad, la información es un mensaje
con significado en determinado contexto, disponible para uso inmediato que proporciona
orientación a las acciones por el hecho de reducir el margen de incertidumbre con respecto a
nuestras decisiones. (Chiavenato, 2006, pág. 110)
Según la ISO 27001, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma, independientemente de la
forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada
electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones,
etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
(ISO 27000.ES, 2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
14
Figura 1. La información.
Activos de Información
Según el blog de ISACA, (2018), dice que un Activo de información es:
“Un recurso o bien económico propiedad de una empresa, con el cual se obtienen
beneficios. Los activos de las empresas varían de acuerdo con la naturaleza de la actividad
desarrollada”.
ISO 27001 menciona que “los activos de información pueden ser ficheros y bases de
datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones,
software del sistema, etc.” (ISO TOOLS, 2014)
Uno de los primeros pasos que se debe realizar es un inventario de los activos para
reconocerlos e identificarlos dentro de la organización. En este inventario hay que
clasificarlos y obtener toda la información posible como, por ejemplo, tipo de activo,
valor, localización, formato, etc.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
15
Dentro del SGSI de ISO-27001, para cada activo, se debe establecer un propietario que
defina el grado de seguridad que hay que aplicar al mismo, aunque no necesariamente
será la que gestione el día a día del mismo. (ISO TOOLS, 2014)
Seguridad de la información
Seguridad:
A grandes rasgos puede afirmarse que este concepto que proviene del latín securitas hace
foco en la característica de seguro, es decir, realza la propiedad de algo donde no se registran
peligros, daños, ni riesgos. Una cosa segura es algo firme, cierto e indubitable. La seguridad, por
lo tanto, puede considerarse como una certeza. (Pérez & Gardey, 2012)
En toda empresa la seguridad de la información debe ser un componente crucial en la
estrategia de negocio, por lo cual con el avance tecnológico, la información hoy en día puede
mantenerse mejor protegida ante las amenazas, con el fin de asegurar la continuidad de la
empresa.
La seguridad de la información, según ISO 27001, se refiere a la confidencialidad, la
integridad y la disponibilidad de la información y los datos importantes para la organización,
independientemente del formato que tengan estos pueden ser (electrónicos, en papel, audio y
video, etc.). ( ISOTools Excellence, 2015)
Fundamentos de la seguridad de Información
Para garantizar que la seguridad de información es gestionada correctamente se debe
identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-
I-D:
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
16
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la
misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. (ISO
27000.ES, 2018)
Seguridad Informática
Definición: “La seguridad informática consiste en aquellas prácticas que se llevan
adelante respecto de un sistema de computación a fin de proteger y resguardar su funcionamiento
y la información en él contenida”. (DefiniciónABC, s.f.)
Es decir, la seguridad informática se centra en salvaguardar toda la información
registrada, procesada y almacenada en un sistema y equipo de comunicación.
“La seguridad informática, de igual forma a como sucede con la seguridad aplicada a
otros entornos, trata de minimizar los riesgos asociados al acceso y utilización de determinado
sistema de forma no autorizada y en general malintencionada” (Galdámez, 2003, pág. 4)
La seguridad informática, y la seguridad de la información son contextos muy distintos
pero que están relacionados, cabe recalcar que la seguridad informática se enfoca en la
protección de los recursos del sistema de información de una organización y por otro lado la
seguridad de la información se enfoca en la preservación de los datos más importantes, ya sean
almacenados de manera escrita, digital, electrónico entre otros, que mantiene una empresa y de
esta manera lograr mantener la confidencialidad, integridad y disponibilidad de la información.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
17
Objetivos de la Seguridad Informática
El objetivo de la seguridad informática es proteger los recursos informáticos valiosos de
la organización, tales como la información, el hardware o el software. A través de la adaptación
de las medidas adecuadas, la seguridad informática ayuda a la organización a cumplir sus
objetivos, protegiendo sus recursos financieros, sus sistemas, su reputación, su situación legal, y
otros bienes tanto tangibles como inmateriales. (Galdámez, 2003)
Sistema de Gestión de Seguridad de la Información (SGSI)
El SGSI es la abreviatura usada para referirse al Sistema de Gestión de Seguridad de la
Información e ISMS son las siglas equivalentes en inglés a Information Security
Management System.
El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en
preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas
implicados en el tratamiento dentro de la organización. ( ISOTools Excellence, 2015)
Según Federico Pacheco en su artículo “La importancia de un SGSI” dice que un
Sistema de Gestión de Seguridad de la Información propicia un enfoque general de la situación
de los sistemas de información de la empresa, ya que asegura la obtención de resultados al
aplicar las medidas de seguridad correspondientes, con lo cual la alta gerencia puede podrá tomar
mejores decisiones estratégicas.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
18
International Organization for Standarization/ Organización Internacional de
Normalización (ISO)
ISO es una organización internacional independiente y no gubernamental con una
membresía de 160 organismos nacionales de normalización.
A través de sus miembros, reúne a expertos para compartir conocimientos y desarrollar
normas internacionales voluntarias, basadas en el consenso y relevantes para el mercado que
respalden la innovación y brinden soluciones a los desafíos mundiales.
ISO ha publicado 22226 Normas Internacionales y documentos relacionados, que cubren
prácticamente todas las industrias, desde la tecnología hasta la seguridad alimentaria, la
agricultura y la sanidad. (ISO, s.f.)
Historia ISO
La historia de las Normas Internacionales de Estandarización tiene 71 en la actualidad
desde que comenzaron con su actividad.
La historia de ISO comenzó en 1946 cuando delegados de 25 países se reunieron en el
Instituto de Ingenieros Civiles y decidieron crear una nueva organización internacional
para facilitar la coordinación internacional y la unificación de estándares industriales. El
23 de febrero de 1947, la nueva organización, ISO, comenzó a operar oficialmente. (ISO,
s.f.)
International Electrotechnical Commission (IEC Comisión Electrotécnica Internacional)
Fundada el 26 de Junio de 1906, Londres Reino Unido, la IEC es actualmente la
organización líder a nivel mundial encargada de preparar y publicar Normas Internacionales para
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
19
todas las tecnologías eléctricas, electrónicas y afines, conocidas en su conjunto como
“electrotecnología”.
El IEC ofrece a la industria y a los gobiernos una plataforma donde pueden reunirse,
discutir y preparar las normas que necesitan. La IEC también administra tres Sistemas de
Evaluación de la Conformidad para millones de dispositivos que utilizan y producen electricidad
de cualquier forma. (International Electrotechnical Commission, 2010)
Norma ISO/IEC 27001:2013
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar,
monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo Deming) de mejora
continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001
para medio ambiente, etc.).
Es un estándar certificable, es decir, cualquier organización que tenga implantado un
SGSI según este modelo puede solicitar una auditoría extrema por parte de una entidad
acreditada, y tras superar con éxito la misma, recibir la certificación ISO 27001.
Su origen está en la norma BSI (British Standars Institution) BS7799- Parte 2, norma que
fue publicada por primera vez en 1998 y ya era un estándar certificable desde entonces. Tras la
adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre del 2005. (ISO 27000.ES,
2018)
ISO 27001 puede ser implementada en cualquier tipo de organización con o sin fines de
lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del
mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
20
la información en una organización. También permite que una empresa sea certificada; esto
significa que una entidad de certificación independiente confirma que la seguridad de la
información ha sido implementada en esa organización en cumplimiento con la norma ISO
27001. (Advisera, s.f.)
ISO 27001:2005 / ISO/IEC 27001:2013
(ISOTools Excellence, 2015) La norma ISO 27001 en su primera versión fue publicada
en el 2005, luego realizaron una actualización en el año 2013 según lo describe el Blog
especializado en Sistemas de Gestión de Seguridad de la Información.
La norma ISO 27001:2013 es la primera revisión del estándar internacional ISO 27001.
La revisión se ha llevado a cabo tomando la experiencia práctica de la utilización de la norma
durante estos años. Ha habido dos influencias principales para llevar a cabo la revisión.
La primera influencia es la necesidad de que todas las normas ISO deben cumplir con la
estructura de alto nivel denominada “Anexo SL”, la conformidad con dichos requisitos generarán
una tendencia a hacer que todos los Sistemas de Gestión de las normas tengan el mismo aspecto,
con la principal intención de que la integración de los diferentes sistemas de gestión sean mucho
más fácil.
La segunda influencia es por la necesidad de alinear la norma ISO-27001 con todos los
principios y la orientación dada por la norma ISO 31000 de Gestión de Riesgo. Es bueno para la
integración de sistemas, ya que una organización puede aplicar la misma metodología de
evaluación de riesgo mediante diferentes disciplinas.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
21
Figura 2 Cambios Estructurales en la Norma ISO 27001
Fuente: slideshre.net
Autor: (Colmenares, 2014)
El resultado de la revisión es que una enorme diferencia entre la norma ISO27001:2013 y
la norma ISO-27001:2005. Ahora no se duplican requisitos, permite una mayor libertad de
elección sobre cómo poner en práctica la norma. (ISOTools Excellence, 2015)
Ciclo Deming
(Idi, 2016) El ciclo de mejora continua, PDCA, también conocido como Círculo de
Deming, por ser Edwards Deming su autor. Es una metodología de gestión que describe los
cuatro pasos esenciales que deben llevarse a cabo de forma sistemática para lograr la mejora
continua en la gestión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
22
El círculo Deming lo forman 4 etapas cíclicas, de modo que una vez terminada la etapa
final se debe volver a la primera y repetir el ciclo de nuevo, así las actividades son reevaluadas
periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada
principalmente para ser utilizada en empresas y organizaciones a la hora de afrontar un cambio
estratégico.
Figura 3. Ciclo Deming.
Fuente: Ipea Instituto de Productividad Empresarial Aplicada.
Planificar (Plan): buscar las actividades susceptibles de mejora y establecer los objetivos
a alcanzar.
Hacer (Do): realizar los cambios para implementar la mejora propuesta.
Controlar (Check): una vez implantada la mejora, se establece un periodo de prueba para
verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales deberá
modificarse para ajustarla a los objetivos esperados.
Actuar (Act): finalmente, una vez finalizado el periodo de prueba se han de estudiar los
resultados y compararlos con el funcionamiento de las actividades antes de implantar la mejora.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
23
Método Magerit
El método MAGERIT son las siglas de Metodología de Análisis y Gestión de Riesgo de
los Sistemas de Información de las administraciones, dicho método cubre la fase ARG (Análisis
y Gestión de Riesgo). Si hablamos de la gestión global de la seguridad de un Sistema de
Seguridad de la Información basado en ISO 27001, MAGERIT, es el núcleo de toda actuación
organizada en dicha materia, ya que influye en todas las fases que sean de tipo estratégico y se
condiciona la profundidad de las fases de tipo logístico.
El Consejo Superior de Informática ha sido encargado de elaborar la primera versión de
MAGERIT, con lo que promueve su utilización como respuesta a la dependencia creciente de
toda la sociedad respecto a las tecnologías de la información. (Blog especializado en Sistemas de
Gestión , 2015)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
24
CAPÍTULO 3 DISEÑO METODÓLOGICO
El enfoque del presente trabajo de investigación es de tipo cualitativo y exploratorio,
puesto que se realiza mediciones específicas de la seguridad que mantiene la información en el
Consorcio Metro-Bastión y se compara con los requerimiento de la norma ISO/IEC 27001:2013,
para conocer la desviación frente a los requisitos que la norma establece y poder corregirlos,
además esta investigación sirve de base para nuevos estudios a futuro sobre la seguridad de la
información en función de la constante mejora.
Esta investigación también es de tipo cuantitativa, ya que se realizó una encuesta para
determinar si el personal de trabajo de Metro-Bastión estaría de acuerdo en desarrollar un SGSI.
3.1. Tipo de Estudio:
Bibliográfica o Documental
Se utilizará como fuente de información trabajos escritos preliminares como tesis, artículos
científicos, revistas, etc. Las cuáles serán de gran ayuda para la obtención de información y para
la construcción del marco teórico para el presente trabajo, además servirán para conocer los
resultados de estudios previos sobre la recolección de información como medio para solucionar
un determinado problema.
Investigación de Campo
Según los autores Palella y Martins (2010) define:
La investigación de campo consiste en la recolección de datos directamente de la realidad
donde ocurren los hechos, sin manipular o controlar las variables. Estudia los fenómenos sociales
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
25
en su ambiente natural. El investigador no manipula variables debido a que esto hace perder el
ambiente de naturalidad en el cual se manifiesta.
La investigación de Campo está enfocada en la aplicación de encuestas a los trabajadores
del Consorcio Metro-Bastión, dicha encuesta cuenta con varias preguntas orientadas a la
recolección de información para conocer si creen que un SGSI ayudará a mejorar sus procesos y
por ende ayudará la mejor protección de sus activos de información.
Investigación Descriptiva
Según el autor (Arias, 2012, pág. 24) define:
La investigación descriptiva consiste en la caracterización de un hecho, fenómeno,
individuo o grupo, con el fin de establecer su estructura o comportamiento. Los resultados de
este tipo de investigación se ubican en un nivel intermedio en cuanto a la profundidad de los
conocimientos se refiere.
Se pretende realizar una investigación de tipo descriptiva ya que por medio de las
encuestas se procura saber si el personal del Consorcio Metro-Bastión tiene conocimiento de la
importancia que debe tener la información y así poder considerar el diseño de un sistema de
gestión de seguridad de la información que permita mantener los principios básicos de la
seguridad que son, la disponibilidad, integridad y confidencialidad de la información y por
medio de estos resultados brindar una sólida propuesta de mejora continua para lograr
salvaguardar la información.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
26
3.2. Población y la Muestra.
La población será considerada como el total de empleados pertenecientes al Consorcio
Metro-Bastión, estos individuos serán el objeto de estudio, en el caso de que dicha población
supere las 100 unidades se procederá a realizar una selección de muestra significativa en base a
un procedimiento de selección estadístico. Esta muestra será considerada como representativa del
total ya que se toma o se separa de ella con ciertos métodos para someterla a un estudio mediante
la aplicación de encuestas.
3.2.1. Población:
Según Tamayo (2012) señala que la población es la “Totalidad de un fenómeno de
estudio, incluye la totalidad de unidades de análisis que integran dicho fenómeno y que debe
cuantificarse para un determinado estudio integrando un conjunto de N de entidades que
participan de una determinada característica, y se denomina la población por construir la
totalidad del fenómeno adscrito a una investigación”.
El Consorcio Metro-Bastión cuenta con un total de 421 empleados divididos en los
siguientes departamentos: Junta General y Gerencia, Operaciones, Recaudaciones, Bodega,
RRHH, Contabilidad, Control de Activos, Mantenimiento, Infraestructura.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
27
Tabla 1. Población
Número Total de Empleados del Consorcio Metro – Bastión
Departamento N° de Empleados
Junta General y Gerencia 18
Operaciones 326
Recaudaciones 4
Bodega 5
RRHH 4
Contabilidad 3
Control de Activos 7
Mantenimiento 50
Infraestructura 4
Total 421
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión
3.2.2. La Muestra
Según (Hernández, 2008 p.52) dice que “La muestra en el proceso cualitativo es un grupo
de personas, eventos, sucesos, comunidades, etc., sobre el cual se habrán de recolectar los datos,
sin que necesariamente sea representativo del universo o población que se estudia”.
Del total de empleados se pretende del Consorcio Metro-Bastión se pretende tomar como
muestra a 20 empleados pertenecientes a los siguientes departamentos RRHH, Contabilidad,
Seguridad, Compras, Mantenimiento y Bodega estos fueron escogidos mediante la aplicación del
método aleatorio simple.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
28
Tabla 2 Muestra de la investigación
Departamento N° de Empleados Mujeres No. Hombres No.
RRHH 3 2 1
Contabilidad 3 3 0
Seguridad 3 3
Compras 3 3
Mantenimiento 4 3 1
Bodega 4 0 4
Total 20 20
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión
3.2.3. Técnicas de recolección de datos
Para la recolección de información se utilizará la metodología cuantitativa ya que se
aplicaran encuestas a los empleados escogidos como muestra pertenecientes a los departamentos
de RRHH, Contabilidad, Seguridad, Compras, Mantenimiento y Bodega.
Adicionalmente también se recopilará información del actual estado de cumplimiento de
la norma ISO/IEC 27001:2013 en el que el Consorcio Metro-Bastión se encuentra.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
29
Plan para la recolección de la información
Tabla 3 Recolección de la Información
PREGUNTAS BÁSICAS EXPLICACIÓN
1. ¿Para qué? Para determinar la seguridad de la
información y la opinión de los empleados
sobre la creación de un sistema de gestión de
seguridad de la información.
2. ¿De qué personas u objetos? Empleados escogidos como muestra del
Consorcio Metro – Bastión.
3. ¿Sobre qué aspectos? Seguridad de la Información
ISO/IEC 27001:2013
Diseño de un sistema de gestión de
seguridad de la información.
4. ¿Quién?, ¿quiénes? Investigadoras
5. ¿Cuándo? Julio 2018
6. ¿Dónde? Consorcio Metro – Bastión.
7. ¿Cuántas veces? 1
8. ¿Qué técnicas de recolección? Aplicación de encuestas
9. ¿Con qué? Registro fotográfico.
10. ¿En qué situación? Jornada de trabajo y horarios de descanso.
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
30
Modelo de encuesta
Figura 4. Modelo de encuesta realizada
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
INSTRUCCIONES
1. ¿Cree usted que la información es el activo más importante para la empresa?
¿Por qué?
2. ¿Cree usted que es de suma importancia para el funcionamiento del consorcio mantener la información a salvo?
¿Por qué?
3. ¿Conoce usted la existencia de la norma ISO/IEC 27001:2013 y de su contribución a que la informacón sea más segura?
4. ¿Cree usted que la norma internacional ISO/27001:2013 debe integrarse al departamento de Sistemas del Consorcio?
¿Por qué?
5. ¿Cree usted que un Sistema de Gestión de Seguridad de la información ayudará al Consorcio Metro-Bastión a mantener
la información y los recursos de información a salvo de manera óptima?
¿Por qué?
6. ¿Cree usted que aplicando el Sistema de Gestión de Seguridad de la Informacón basado en la norma ISO/IEC 27001:2013
se obtendrá la confidencialidad, integridad y disponibilidad de la información?
¿Por qué?
7. ¿Cree usted que es importante implementar más politicas de seguridad que permitan garantizar que la información esté
totalmente segura?
¿Por qué?
8. ¿Cree usted que el consorcio Metro-Bastión deba considerar el diseño del Sistema de Gestión de Seguridad de la
¿Por qué?
información para proteger sus activos de información?
Unversidad de Guayaquil
Encuesta
Tema: Diseño de un Sistema de Gestión de Seguridad de la
Información alineado bajo la norma ISO/IEC 27001:2013 para el consorcio Metro-Bastión
Objetivo: Obtener la información más sincera de su punto de vista sobre la pregunta formulada, es importante mencionar que el llenado del mismo es de
1. Escuche y/o lea detenidamente las preguntas a realizarse.
2. Escriba con letra legible y clara sobre las líneas de la misma pregunta, su punto de vista.
3. Por favor consigne su respuestas a las preguntas descritas a continuación.
SI NO
1.Sí
2. Indiferente
3. No
1.Sí
2. No
3. Indiferente x
SI NO
1.Sí
2. No
3. Indiferente
1.Sí
2. No
3. Indiferente
1.Sí
2. No
3. Indiferente
1.Sí
2. No
3. Indiferente
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
31
3.2.4. Procesamiento de Datos y Análisis de Datos
Según el portal en internet (Universidad Santos Tomas, 2004) su redacción de estudio dice
que la investigación cuantitativa asume el método estadístico como proceso de obtención,
representación, simplificación, análisis, interpretación y proyección de las características,
variables o valores numéricos de un estudio o de un proyecto de investigación para una mejor
comprensión de la realidad y una optimización en la toma de decisiones.
3.2.5. Procesamiento de Datos
Los datos escogidos se procesaran en base a los siguientes procedimientos
Revisión crítica de la información recolectada tanto en el diagnóstico de
cumplimiento de la norma ISO/IEC 27001:2013 y en las encuestas al personal de
cada departamento. Esto con la finalidad de conocer los incumplimientos de la
misma y proceder a mejorar para cumplir con el diseño del SGSI.
Levantamiento de información e identificación de activos de información del
Consorcio Metro-Bastión
Almacenamiento de la información para su posterior tabulación
Tabulación de la información.
Estudio estadístico de datos para presentación de resultados
3.2.6. El análisis de datos
Análisis de los resultados estadísticos destacando tendencias o relaciones
fundamentales de acuerdo con los objetivos e hipótesis.
Interpretación de los resultados.
Establecimiento de conclusiones y recomendaciones.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
32
3.2.6.1.Métodos utilizados
Método Analítico
Según (Ortiz & García, 2005) dice que:
El método analítico es aquel método de investigación que consiste en la desmembración de
un todo, descomponiéndolo en sus partes o elementos para observar las causas, la naturaleza y
los efectos. El análisis es la observación y examen de un hecho en particular
Es necesario conocer la naturaleza del fenómeno y objeto que se estudia para comprender
su esencia. Este método nos permite conocer más del objeto de estudio con lo cual se puede:
explicar, hacer analogías, comprender mejor su comportamiento y establecer nuevas teorías.
Se utilizará este método ya que permite analizar las variables descomponiéndolas en sus
partes para su mejor manejo. Además de llegar a conocer mediante el diagnóstico realizado las
principales falencias en los procesos de seguridad de la información.
Método Inductivo Deductivo
Según el portal de internet Definición.De (Pérez Porto & Merino, 2012)
El método deductivo es un método científico que considera que la conclusión se halla
implícita dentro de las premisas, esto quiere decir que las conclusiones son una consecuencia
necesaria de las premisas: cuando las premisas resultan verdaderas y el razonamiento deductivo
tiene validez, no hay forma de que la conclusión no sea verdadera.
Mediante este proceso se puede llegar al conocimiento y a la demostración de las variables
de estudio y al ser comprobadas se puede dar una conclusión general.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
33
3.2.7. Análisis de los Resultados
3.2.7.1.Encuesta
En este apartado se muestran los resultados encontrados por medio de la encuesta, la cual
se realizó para dar a conocer si el personal que maneja la información en el Consorcio Metro-
Bastión está de acuerdo con realizar un diseño de Gestión de Seguridad de la Información.
1. ¿Cree usted que la información es el activo más importante para la empresa?
Tabla 4 Tabulación pregunta 1 de la encuesta.
Frecuencia Porcentaje
Sí 18 90%
No 2 10%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 1 Pregunta 1 Encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Se puede determinar el 90% del personal encuestado que maneja la información del Consorcio
Metro-Bastión es consciente que la información es un activo crucial ya que la filtración de la
información puede generar daños costosos para la empresa, y tan solo un 10% cree que no es tan
importante.
Si90%
No10%
LA INFORMACIÓN ES EL ACTIVO MÁS IMPORTANTE PARA LA EMPRESA.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
34
2. ¿Cree usted que es de suma importancia para el funcionamiento del Consorcio mantener
la información a salvo?
Tabla 5 Tabulación pregunta 2 Encuesta.
Frecuencia Porcentaje
Si 16 90%
No 4 10%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 2 Pregunta 2 Encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Se observa que el 80% de los encuestados está de acuerdo con que mantener la
información del Consorcio a salvo es de suma importancia para el correcto funcionamiento ya
que con información confidencial es menor la probabilidad que existan problemas, disminuyendo
así el riesgo.
Sí 80%
No20%
IMPORTANCIA DE MANTENER LA INFORMACIÓN A SALVO
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
35
3. ¿Conoce usted la existencia de la Norma ISO/IEC 27001:2013 y de su contribución a que
la información sea más segura?
Tabla 6 Tabulación pregunta 3 Encuesta.
Frecuencia Porcentaje
Sí 16 90%
No 4 10%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 3 Pregunta 3 Encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Los encuestados mencionan que un 95% sí tienen conocimientos sobre la norma ISO/IEC
27001:2013 y de su contribución a que la información sea más segura, mientras que un 5% no
tiene conocimiento de la misma. La mayoría los encuestados conocen la norma y alguno de ellos
respondieron que es importante cumplir con todos los requisitos que la norma dispone para
mantener la información protegida de constantes amenazas.
Sí 95%
No5%
CONOCIMIENTO DE LA NORMA ISO/IEC 27001:2013 EN EL CONSORCIO METRO-BASTIÓN
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
36
4. ¿Cree usted que la Norma Internacional ISO/IEC 27001:2013 debe integrarse al
departamento de Sistemas del Consorcio?
Tabla 7 Tabulación pregunta 4 Encuesta.
Frecuencia Porcentaje
Sí 15 75%
Indiferente 5 25%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 4 Pregunta 4 encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
El 75% de los encuestados cree que sí se debe integrar la norma en el departamento de
Sistemas del Consorcio Metro-Bastión, y con ello ponerla en práctica y mejorar la seguridad de
la información. Por otro lado un 25% de los encuestados toma como indiferente la decisión de
establecer la norma en el departamento de sistemas.
Sí 75%
Indiferente25%
DEBE INTEGRARSE LA NORMA ISO/IEC 27001:2013 AL DPTO. DEL CONSORCIO
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
37
5. ¿Cree usted que un Sistema de Gestión de Seguridad de la Información ayudará al
Consorcio Metro-Bastión a mantener la información y los recursos de información a
salvo de manera óptima?
Tabla 8 Tabulación pregunta 5 encuesta
Frecuencia Porcentaje
Sí 11 55%
No 3 15%
Indiferente 6 30%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 5 Pregunta 5 encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Luego de aplicar la respectiva encuesta se encuentra que el 55% menciona que el SGSI sí
ayudará al Consorcio a mantener a salvo la información y los recursos de información, un 30%
no le da importancia y menciona que es indiferente y un 15% no cree que el SGSI ayude a
mantenerla a salvo. Se determina que la mayoría da una opinión positiva ya que tienen
conocimientos de los beneficios a obtener al integrar el SGSI.
Sí 55%
No15%
Indiferente 30 %
EL SGSI AYUDARÁ AL CONSORCIO A MANTENER LA INFORMACIÓN Y RECURSOS A SALVO DE MANERA OPTIMA
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
38
6. ¿Cree usted que aplicando el SGSI basado en la norma ISO/IEC 27001:2013 se obtendrá
la confidencialidad, integridad y disponibilidad de la información?
Tabla 9 Tabulación pregunta 6 Encuesta.
Frecuencia Porcentaje
Sí 15 54%
No 3 40%
Indiferente 2 10%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 6 Pregunta 6 encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Los resultados de la encuesta muestran que un 75% de los encuestados dan una respuesta
positiva y cree que mediante la aplicación del SGSI al departamento la información cumplirá con
los principios de seguridad, mientras que un 25% no está convencido de que se cumpla debido a
que no todos tienen conocimiento de los beneficios que generaría el diseño del SGSI.
Sí 75%
No15%
Indiferente 10%
CON LA APLICACIÓN DEL SGSI SE OBTENDRÁ C.I.D. DE LA INFORMACIÓN
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
39
7. ¿Cree usted que es importante implementar más políticas de seguridad que permitan
garantizar que la información esté totalmente segura?
Tabla 10 Tabulación pregunta 7 encuesta.
Frecuencia Porcentaje
Sí
No
20
0
100%
0%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 7 Pregunta 7 encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Los resultados de la encuesta mostraron que la totalidad de los encuestados están de
acuerdo con que se incremente más políticas de seguridad que permitan garantizar la seguridad
de la información y esto se debe a la necesidad de resguardar la información empresarial.
Sí100%
no0%
ES IMPORTANTE IMPLEMENTAR MÁS POLÍTICAS DE SEGURIDAD
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
40
8. ¿Cree usted que el Consorcio Metro-Bastión deba considera el diseño del SGSI para
proteger sus activos de información?
Tabla 11 Tabulación pregunta 8 encuesta.
Frecuencia Porcentaje
Sí 15 75%
No 4 20%
Indiferente 1 5%
Total 20 100%
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Gráfico 8 Pregunta 8 encuesta.
Elaborado por: Autores (2018)
Análisis e Interpretación
Se determina que el 75% de los encuestados tiene claro que es importante tener un SGSI
que permita mitigar la probabilidad del riesgo. Por otro lado el 25% cree que la información está
a salvo bajo las medidas de seguridad con las que ya cuenta el Consorcio Metro-Bastión.
Sí 75%
No20%
Indiferente 5%
EL CONSORCIO DEBE CONSIDERAR EL DISEÑO DE SGSI PARA PROTECCIÓN DE ACTIVOS
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
41
3.2.7.2. Diagnóstico
Diagnóstico de cumplimiento de la Norma ISO/IEC 27001:2013 en el Consorcio Metro-
Bastión
A continuación en las siguientes tablas se mostrará un resumen del diagnóstico de
cumplimiento de la norma ISO/IEC 27001:2013 realizado en el Consorcio Metro-Bastión en el
cual se sugieren las acciones correctivas y preventivas para optimizar el cumplimiento de la
misma.
4. Contexto de la Organización
Tabla 12 Cumplimiento del punto 4. Contexto de la Organización.
DIAGNÓSTICO DE CUMPLIMIENTO
NORMA ISO 27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA
INMEDIATA
4 CONTEXTO DE LA
ORGANIZACIÓN
SI NO
4.1 Conocimiento de la organización y su
contexto
1
4.2 Conocimiento de las necesidades y
expectativas de las partes interesadas
1
4.3 Determinación del alcance del sistema de
seguridad de la información
1 El Consorcio debe
elaborar registros donde
establezca
1.-Los asuntos internos
y externos de la
organización.
2.- Las partes
interesadas que son
relevantes en el SGSI.
Debe presentar
mensualmente
los registros y
deben ser
aprobados
4.4 Sistema de Gestión de la Seguridad de la
Información
1 Debe elaborar un
registro donde la
organización se
comprometa a
establecer, implementar,
mantener, y mejorar
continuamente al
Sistema de Información.
Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
42
Gráfico 9. Cumplimiento de Contexto de la Organización.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
De acuerdo al diagnóstico realizado el consorcio Metro-Bastión solo tiene un 44 % de
cumplimiento de la norma ISO/IEC 27001 y un 56% de incumplimiento, por lo cual se debe
desarrollar las acciones correctivas y preventivas mencionadas para lograr un mejor
conocimiento de la organización y de sus partes.
cumplimientos44%
incumplimientos56%
4. Contexto de la Organización
cumplimieto incumplimiento
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
43
5. Liderazgo
Tabla 13 Cumplimiento del punto 5. Liderazgo.
DIAGNÓSTICO DE CUMPLIMIENTO
NORMA ISO 27001:2013 EN
CONSORCIO METRO-BASTIÓN CUMPLIMIENTO
ACCIÓN CORRECTIVA INMEDIATA
ACCIÓN
PREVENTIVA
INMEDIATA
5 Liderazgo SI NO 5.1 Liderazgo y compromiso 1
5.2 Política 1 Se encontraron algunos
puntos de las políticas que el
Consorcio sí cumple con la
norma pero se recomienda
establecer las políticas que
determinen los objetivos de
seguridad ya que el
Consorcio no cuenta con
éstas.
Se debe verificar
el cumplimiento
de las políticas
de seguridad que
se
implementaran.
5.3 Funciones, responsabilidades y
autoridad de la organización
1 El Consorcio debe establecer
los roles y responsabilidades
de la seguridad de la
información a personal que
forme parte del SGSI, y
elaborar un informe donde
detalle el desempeño del
SGSI a la alta gerencia.
Llevar el control
periódico del
informe
realizado.
Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
44
Gráfico 10. Cumplimiento de Liderazgo.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
En este punto vemos que el Consorcio Metro-Bastión sí cuenta con un buen porcentaje de
cumplimiento, ya que tiene un 67% es decir, más de la mitad, lo cual es de gran beneficio para el
Consorcio permitiendo así facilitar el desarrollo del sistema de gestión de seguridad de la
información. Se deben llevar a cabo las medidas correctivas y preventivas para cumplir al 100%
los requisitos que dicta esta norma.
Cumplimientos67%
Incumplimientos33%
5. Liderazgo
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
45
6. Planificación
Tabla 14 Cumplimiento del punto 6 Planificación.
DIAGNÓSTICO DE
CUMPLIMIENTO NORMA ISO
27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO
ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA
INMEDIATA
6 Planificación SI NO
6.1 Acciones para enfrentar los
riesgos y las oportunidades
General
1 El Consorcio debe elaborar
documentación donde:
1. se detalle la
identificación de los
riesgos, que permitan
reducir los efectos
indeseados
2. Asignar responsables y,
3. evaluar la efectividad de
las acciones
Establecer la
planificación
como un
documento
oficial,
aprobado y
comunicado a
toda la
organización
para el
establecer la
cultura de la
planificación. 6.1.2
Evaluación de los riesgos de
seguridad de la información
1 El Consorcio cumple, pero
falta la documentación que
identifique, analice y
determine los niveles de
riesgos que pueden
ocasionarse en el proceso
de alcance de objetivos del
SGSI, Documentar los
resultados del análisis de
los riesgos con los criterios
para el desempeño de las
evaluaciones.
Hacer
evaluaciones
periódicas de
los riesgos de
seguridad
6.1.3
Tratamiento de los riesgos de la
seguridad de la Información
1 Elaborar una
documentación donde
detalle un plan de acción
para mejorar la seguridad
de la información y reducir
el riesgo.
Mantener
actualizado el
plan de acción
que permita
reducir el
riesgo
6.2
Objetivos de Seguridad de la
Información y la planificación
para alcanzarlos
1 Elaborar documentación
que establezca los objetivos
de seguridad de la
información donde se tome
en cuenta los requisitos del
SGSI.
Actualizar
periódicamente
los objetivos de
la política de
información
Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
46
Gráfico 11. Cumplimiento de Planificación.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
De acuerdo a los resultados obtenidos el Consorcio Metro-Bastión no cumple con una
planificación adecuada para mantener la seguridad a salvo y no mantiene un plan de tratamiento
de riesgos para mitigar las amenazas a la que la información es vulnerable, como se muestra en
el gráfico solamente hay un 34 % de cumplimiento de la norma, mientras que el 66 % es de
incumplimiento, lo cual afecta mayormente a mantener la integridad, disponibilidad y
confidencialidad de la información.
Cumplimientos34%
Incumplimientos66%
6. PLANIFICACIÓN
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
47
7. Apoyo y Soporte
Tabla 15 Cumplimiento de punto 7 Apoyo y Soporte.
DIAGNÓSTICO DE
CUMPLIMIENTO NORMA ISO
27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO
ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA INMEDIATA
7 Apoyo y Soporte SI NO
7.1
Recursos
1
7.2
Competencia
1 El Consorcio debe
elaborar documentación
donde se evidencie que ha
existido capacitación al
personal en seguridad de
la información.
Realizar
capacitaciones
periódicas.
7.3
Concientización
1
7.4
Comunicación
1
7.5
Documentación de la
información
1 Elaborar los documentos
necesarios que debe estar
en el SGSI requerida por
la Norma Internacional.
Controlar la
evaluación de
cumplimiento
y su debida
aplicación. Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
48
Gráfico 12. Cumplimiento Apoyo y Soporte.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
Se obtuvo un 57 % de incumplimiento de la norma y un 43 % de cumplimiento, la gran
parte de No conformidades encontradas es que el Consorcio no cuenta con la documentación
necesaria que solicita la norma, por lo cual es de gran importancia que el Consorcio elabore la
documentación adecuada, y se verifique el cumplimiento de la misma.
Cumplimientos43%
Incumplimientos57%
7. Apoyo y Soporte
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
49
8. Operación
Tabla 16 Cumplimiento punto 8. Operación.
DIAGNÓSTICO DE
CUMPLIMIENTO NORMA ISO
27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO
ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA
INMEDIATA
8 Operación
SI NO
8.1
Planificación y control
operacional
1 Cumple pero se
recomienda elaborar la
documentación que
establezca procesos para
el control del SGSI
Mantener un
control
periódico.
8.2
Evaluación de los riesgos de
seguridad de la información
1 Elaborar documentación
donde se evidencie las
evaluaciones de los
riesgos de SI.
Llevar el
control
periódico de
evaluaciones.
8.3
Tratamiento de los riesgos de la
seguridad de la Información
1 Elaborar y documentar un
plan de tratamiento de
riesgo.
Controlar la
aplicación del
tratamiento de
riesgo. Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
50
Gráfico 13. Cumplimiento Operación.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
Se puede apreciar que el Consorcio Metro-Bastión realmente no lleva un plan de
tratamiento de riesgos que permita mitigar los riesgos a los que está expuesta la información,
como se observa en el gráfico existe un 75% de incumplimiento de la norma y tan solo un 25%
de cumplimiento de la misma, es decir la información está en constante riesgo ya que el
Consorcio no maneja un plan de operación que ayude a salvaguardar la información.
Cumplimientos25%
Incumplimientos75%
8. Operación
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
51
9. Evaluación y Desempeño
Tabla 17 Cumplimiento punto 9. Evaluación y Desempeño.
DIAGNÓSTICO DE
CUMPLIMIENTO NORMA ISO
27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO
ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA INMEDIATA
9 Evaluación y Desempeño
SI NO
9.1
Monitoreo, medición, análisis y
evaluación
1 El Consorcio no mantiene
un control para evaluar el
desempeño, debe elaborar
documento en el que
definan indicadores para
evaluar el cumplimiento
de cada proceso del SGSI,
que defina quién será el
responsable de realizar el
monitoreo, y cuándo
deberán analizarse los
resultados.
Controlar el
cumplimiento.
9.2
Auditorías internas
1
9.3
Revisión por parte de la
Dirección
1
Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
52
Gráfico 14. Cumplimiento Evaluación del Desempeño.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
De acuerdo a los resultados obtenidos el Consorcio cumple con 56% las evaluaciones del
desempeño del SGSI, a pesar que no cuenta con un SGSI completamente desarrollado, mantiene
un buen nivel de evaluaciones que permiten garantizar que la información pueda estar
regularmente protegida mas no completamente. El 44% de incumplimiento que se encontró es
que no existe el monitoreo, medición, análisis ni evaluación de la seguridad de información lo
cual es una debilidad que mantiene la organización.
Cumplimientos56%
Incumplimientos44%
9. Evaluación del desempeño
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
53
10. Mejora
Tabla 18 Cumplimiento punto 10. Mejora.
DIAGNÓSTICO DE
CUMPLIMIENTO NORMA ISO
27001:2013 EN CONSORCIO
METRO-BASTIÓN
CUMPLIMIENTO
ACCIÓN CORRECTIVA
INMEDIATA
ACCIÓN
PREVENTIVA INMEDIATA
10 Mejora
SI NO
10.
1
No conformidad y acción
correctiva
1 Elaborar documento donde
detalle las acciones
correctivas a realizarse por
las no conformidades
encontradas
Controlar el
cumplimiento
de la misma.
10.
2
Mejora continua 1 Elaborar un plan de mejora
continua del SGSI
Elaborado por: Autores (2018)
Gráfico 15. Cumplimiento Mejora.
Elaborado por: Autores (2018)
Análisis e Interpretación de resultados
El Consorcio Metro-Bastión lleva un control de mejora cumpliendo con el 50 % de la
norma, sin embargo existe el otro 50% de incumplimiento que se genera principalmente por la
falta de documentación de acciones correctivas tomadas, las no conformidades encontradas y los
resultados de las acciones correctivas.
Cumplimientos50%
Incumplimientos50%
10. Mejora
Cumplimientos Incumplimientos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
54
Análisis General – ISO/IEC 27001:2013 en Consorcio Metro-Bastión.
Tabla 19 Porcentaje General de cumplimiento e incumplimiento.
CAPÍTULOS Si No
4 Contexto de la Organización 44% 56%
5 Liderazgo 67% 33%
6 Planificación 34% 66%
7 Apoyo y Soporte 43% 57%
8 Operación 25% 75%
9 Evaluación y Desempeño 56% 44%
10 Mejora 50% 50%
PROMEDIO 46% 54%
Elaborado por: Autores (2018)
Gráfico 16. Porcentaje general de cumplimiento de la Norma ISO/IEC 27001:2013.
Elaborado por: Autores (2018)
44%
67%
34%
43%
25%
56%50%
56%
33%
66%
57%
75%
44%50%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
4 Contexto de laOrganización
5 Liderazgo 6 Planificación 7 Apoyo ySoporte
8 Operación 9 Evaluación yDesempeño
10 Mejora
DIAGNÓSTICO DE CUMPLIMIENTO NORMA ISO/IEC 27001:2013 CONSORCIO METRO-BASTIÓN
Si No
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
55
3.2.8. Discusión de los resultados
Luego de analizar los resultados se puede determinar que la mayoría de los encuestados
consideran que la información es un activo que debe tener prioridad en toda empresa, ya que la
filtración de la información puede generar daños que afecten la continuidad del Consorcio.
Por ese motivo se considera importante salvaguarda del Consorcio permitiendo así un
correcto funcionamiento ya que con información confidencial es menor la probabilidad que
existan problemas porque se disminuye el riesgo. Además es importante destacar que la mayor
parte del personal perteneciente a los departamentos encuestados sí tiene conocimientos
necesarios para reconocer el nivel de importancia de la información, es por esto que gran parte
considera que se debe integrar la Norma ISO/IEC 27001:2013 en su totalidad resguardar la
información óptimamente, ya que, de acuerdo al diagnóstico de cumplimiento realizado se puede
reconocer que el Consorcio Metro-Bastión cumple un 46% de la Norma ISO/IEC 27001:2013 lo
cual no es un mal promedio considerando que llega casi a la mitad del cumplimiento.
Planificación y operación son los puntos de la norma con más incumplimiento
encontrado con lo cual debe establecer las medidas correctivas y preventivas que permitan
mejorar estas debilidades halladas.
Se concluye que el 46% de cumplimiento demuestra que la información no está del todo
salvaguardada lo cual genera un nivel de riesgo representativo y con mayor énfasis en los
puntos de planificación y operación, pero se puede mitigar estas falencias incrementando el
cumplimiento de la norma por medio del SGSI.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
56
CAPÍTULO 4 PROPUESTA
4.1. Título de la propuesta
Diseño de un Sistema de Gestión de Seguridad de la Información para el Consorcio
Metro-Bastión disminuyendo los riesgos de la información.
4.2. Objetivo de la propuesta
General
Diseñar un SGSI que permita mejorar la seguridad de la información establecida en
el Consorcio Metro-Bastión alineado con la Norma ISO/IEC 27001:2013.
Específicos
Disminuir los incumplimientos de la Norma ISO/IEC 27001:2013 en el
Consorcio Metro-Bastión.
Asegurar la confidencialidad, integridad y disponibilidad de la información
identificando las amenazas y vulnerabilidades de activos de información
mediante la comparación actual versus el SGSI para el Consorcio Metro-
Bastión.
Identificar, analizar y sugerir la elaboración de las políticas de seguridad de
la información que permitan una mejor protección de la misma.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
57
4.3. Justificación de la propuesta
La seguridad óptima de la información es un aspecto crucial que debe ser
considerado en toda empresa, es por ello que el diseño de un Sistema de Gestión de la
Seguridad de la Información (SGSI) para el Consorcio Metro-Bastión es necesario ya que
la norma ISO/IEC 27001:2013 es cumplida en un 43 %, a pesar de que en el presente
estudio no se pretende realizar una implementación de la norma, pero sí se ha trabajado
bajo los requerimientos de la misma, diagnosticando los incumplimientos para mejorar los
procesos que intervienen en el SGSI, el principal motivo por el cual es importante el
diseño del SGSI es mitigar o contrarrestar las amenazas informáticas a la que está expuesta
la información del Consorcio Metro-Bastión, por lo cual se ha realizado un pequeño
análisis de riesgo de los activos con los que cuenta el Consorcio Metro-Bastión, mediante
la metodología de análisis de riesgo Magerit V3, el Consorcio puede adoptar otras
metodologías que existen para el análisis de riesgo de los activos de información, pero
para la presente investigación se ha trabajado bajo este enfoque de riesgo. Es indispensable
que el área de seguridad resguarde los activos más valiosos con los que cuenta el
Consorcio y lograr mitigar los riesgos a los que están expuestos dichos activos.
La presente propuesta beneficiará a la continuidad del Consorcio Metro-Bastión,
los funcionarios del Consorcio deberán en función del Diagnóstico de cumplimiento
ISO/IEC 27001:2013 poner en práctica los procedimientos y políticas a describir en la
propuesta para mejorar la seguridad de la información y por ende proteger a los activos de
las amenazas a las que se encuentran vulnerables, halladas en el presente estudio.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
58
4.4. Descripción de la propuesta
Para el diseño del SGSI el Consorcio Metro-Bastión deberá contemplar el desarrollo de
los componentes básicos que debe tener el SGSI.
1. Manual de Seguridad: el cual deberá incluir los documentos en relación al SGSI, es
decir, alcance, funciones, responsables de cada función, políticas, etc. Estos son
considerados como documentos primordiales para el SGSI.
2. En el SGSI también se deberá determinar en forma documentada los
procedimientos que permitan verificar la realización, operación y el control de los
procedimientos de seguridad de la información.
3. Deberá incluir documentación en la cual se describa las actividades relacionadas
con la seguridad de la información por ejemplo, instrucciones, formularios.
4. Registros donde detalle la evidencia del cumplimiento de los requisitos del SGSI.
De acuerdo con el diagnostico de cumplimiento de la norma ISO/IEC 27001:2013 el
Consorcio Metro-Bastión cuenta con documentación definida en el SGSI pero no en su
totalidad, es por eso que se detalla los componentes necesarios para un SGSI.
El portal de ISO 27001 en español dice
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos:
Alcance del SGSI: Ámbito de la organización que queda sometido al SGSI,
incluyendo una identificación clara de las dependencias, relaciones y límites que
existen entre el alcance y aquellas partes que no hayan sido consideradas.
Políticas y Objetivos de Seguridad
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
59
Procedimientos y Mecanismos de control que soportan el SGSI
Enfoque de Evaluación de Riesgo
Informe de Evaluación de riesgo
Plan de Tratamiento de riesgo
Procedimientos documentados
Registros
Declaración de aplicabilidad (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basados en los resultados de los procesos de evaluación
y tratamiento de riesgo, justificando inclusiones y exclusiones. (ISO 27000.ES,
2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
60
4.4.1. Diagrama AS IS/ TO BE
Ilustración 1 Diagrama AS IS/TO BE. Procedimientos de seguridad en Consorcio Metro-Bastión.
Elaborado por: Autores (2018)
AS IS TO BE
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
61
Se ha realizado un diagrama AS IS/ TO BE de los procedimientos de seguridad de
la información. En el diagrama AS IS se detalla los procedimientos de seguridad faltantes
en el Consorcio Metro-Bastón, basados en el diagnóstico de cumplimiento de la norma
ISO/IEC 27001:2013 realizado a la empresa. Por otro lado el diagrama TO BE propuesto,
detalla los procedimientos que contempla la norma para un correcto funcionamiento del
SGSI, el cual es desarrollado en función al ciclo Deming (Plan, Do, Check, Act).
Por tanto de acuerdo al ciclo, los procedimientos se realizan de la siguiente manera:
PLANEAR (PLAN)
Definición de políticas y objetivos: Establecer las políticas y objetivos pertinentes
para gestionar el riesgo y mejorar la seguridad de la información con el fin de
entregar resultados acordes con las políticas y objetivos globales del Consorcio
Metro-Bastión. Ejemplo.
“Consorcio Metro-Bastión debe definir responsabilidades y deberes con respecto
a la seguridad de la información, y asegurar la concientización de empleados y
terceros con respecto a la importancia y el cumplimiento de la normatividad
definida.”
Determinación del Alcance: El alcance está en función a las características del
negocio, activos, tecnología, por lo que procesos finir el alcance no implica abarcar
toda la organización sino los procesos que contengan la información más relevante
para el Consorcio.
Análisis de Activos: Identificación y valoración de los activos de información
pertenecientes al Consorcio. Ejemplo
Activos de información: Libros contables, datos clientes, contratos funcionarios,
contratos con la municipalidad.
Activos de servicio: Mantenimiento de Software, telefonía IP, conexión a internet.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
62
Activos Físicos Hardware: Computadoras, UPS, teléfonos, dispositivos de
almacenamiento.
Instalaciones: Departamento de archivo, sala de equipos, sala de junta general.
Personal: Personal de RRHH, personal administrativo, personal de compras,
personal de mantenimiento.
Análisis de Riesgo: Identificación de amenazas, vulnerabilidad de los activos de
información y determinar el impacto causado por los riesgos encontrados. Ejemplo:
Amenaza: Alteración accidental de la información
Vulnerabilidad: Falta de restricción en los archivos y software.
Gestión de Riesgo: En la gestión de los riesgos se implementan las medidas
técnicas y organizativas necesarias para impedir, reducir o controlar los riesgos
analizados e identificados, de forma que las consecuencias que puedan generar
sean eliminadas o, si esto no es posible, se puedan reducir lo máximo posible.
Ejemplo:
Riesgo: Virus a las computadoras
Medidas para eliminar el riesgo: “En todos los equipos del Consorcio Metro-
Bastión se debe instalar y ejecutar el antivirus y actualizarlo para detectar
software maliciosos”
Selección de Objetivos de control: Los controles se seleccionarán e
implementarán para minimizar en lo posible la posibilidad de que los riesgos
detectados en el análisis de riesgos dañen los activos. Ejemplo:
Objetivo de control: Política de seguridad de la Información
Controles: Documento de política de seguridad de la información, revisión de la
política de seguridad de la información.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
63
HACER (DO)
Implantación y operación práctica: Seleccionando los controles, procedimientos,
objetivos y políticas pertinentes deben definirse los procedimientos para su
implantación
VERIFICAR (CHECHK)
Monitorización y revisión: Hacer seguimiento de cómo funciona y cómo va
evolucionando el sistema y hacer revisión con el objetivo de asegurarse de que el
SGSI es en todo momento adecuado, apropiado y efectivo para los propósitos y
contexto de la organización.
Realizar auditorías internas del SGSI: Determinar si los objetivos de los
controles, los controles , los procesos y procedimientos están conforme con los
requisitos de la Norma ISO/IEC 27001:2013
ACTUAR (ACT)
Implantar Mejora continua: Implantar medidas correctivas fruto de las
revisiones efectuadas y mejorar así el rendimiento del SGSI.
Acciones correctivas: Acciones que deben tomarse para corregir una no-
conformidad significativa con los requisitos del SGSI
No conformidad: Falta de Plan de Tratamiento de los riesgos de la seguridad de la
Información
Acción Correctiva: Elaborar una documentación donde detalle un plan de acción para
mejorar la seguridad de la información y reducir el riesgo.
Acciones preventivas: Acciones que deben tomarse para eliminar la causa de una
posible no conformidad, es decir, se actúa antes de que ocurra. Ejemplo:
No conformidad: Falta de Plan de Tratamiento de los riesgos de la seguridad de la
Información. Acción Preventiva: Controlar la aplicación del plan de tratamiento de riesgo.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
64
4.4.2. Descripción de la Empresa
El Consorcio Metro-Bastión es una persona jurídica de derecho privado y sin fines
de lucro con el objeto de impulsar permanentemente, así como administrar y regular en
forma coordinada el Sistema Integrado de Transporte Urbano Masivo de Guayaquil
“Sistema Metrovía” conformado por las rutas, terminales, paradas, infraestructura y
equipos incorporados al referido sistema.
Fue constituida el 01 de marzo del 2006 a través del aporte de 13 cooperativas de
transporte público urbano que operaban en la ciudad de Guayaquil con la única finalidad
de brindar el servicio de transporte urbano masivo en la troncal 3 (Bastión Popular) del
Sistema Integrado Metrovía de la ciudad de Guayaquil. (MetroVia, 2015)
Misión de Consorcio Metro-Bastión
“Brindar un servicio de transporte urbano de pasajeros en la ciudad de
Guayaquil, con una flota de buses moderna, mediante una labor basada en la
seguridad, puntualidad, honestidad y trato agradable, cumpliendo altos estándares de
calidad, buscando siempre el mayor beneficio para los usuarios e inversionistas,
asegurando el desarrollo sustentable” (MetroBastión, Misión, 2015).
Visión de Consorcio Metro-Bastión
“Ser la operadora líder del ecuador en el servicio de transporte urbano de
pasajeros en el sistema BRT1 guiada por la integridad, el trabajo en equipo y la
innovación de nuestra gente, a través de la mejora continua” (MetroBastión, Visión,
2015).
1 Un sistema BRT (Bus Rapid Transit) es un modo de transporte automotor que utiliza buses operando en carriles con
derecho de paso exclusivo, con el objetivo de aumentar la velocidad comercial, mejorar la confiabilidad de los tiempos
de operación y el confort del pasajero. (Piccirillo, 2012)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
65
Organigrama
Figura 5. Organigrama Consorcio Metro-Bastión
Fuente: Consorcio Metro - Bastión.
Junta General
Apoderado General
Gerente
Representante Técnico (1)
Asesor Legal (2)
Secretaria de Gerencia (1)
Comisario (1)
Gerente de Mantenimiento (1)
Gerente de Operaciones (1)
Jefe de
Bodega (1)
Jefe de Talento Humano (1)
Supervisor de Limpieza de Buses (1)
Ayudante de Bodega
(4)
Contador General (1)
Asistente de Talento
Humano (2)
Coordinador de Mantenimiento (1)
Supervisor de Mantenimiento (3)
Secretaria de Operaciones (1)
Servicios Generales (2)
Jefe de Operaciones (3)
Coordinador de Ruta (3)
Conductor de Bus
Alimentador (172)
Conductor de Bus Articulado
(142)
Carrocero (6)
Técnico Mecánico (3)
Técnico Electromecánico (3)
Operador de Limpieza
de Buses (12)
Despachador de Combustible (2)
ORGANIGRAMA DEL CONSORCIO METRO-BASTIÓN Revisión: 6Fecha: 03-08-2015
Asistente Contable (1)
Jefe de Recaudaciones
(1)
Supervisor de Recaudaciones (1)
Auxiliar Contable (1)
Coordinadora de Compras (1)
Trabajadora Social (1)
Comisión de Compras (3)
Sistema Integrado de Gestión
(6)
Ayudante Carrocero (4)
Mecánico (3)
Ayudante Mecánico (4)
Electromecánico (3)
Jefe de Control de Activos
(1)
Analista de Recaudaciones
(1)
Coordinador de Operaciones (1)
Control Pre Operativo(1)
Supervisor de Oficina de
Recaudaciones (1)
Ayudante de Activos (6)
-------------------------------
Elaborado por:
Jefe de Talento
Humano
-----------------------------
Aprobado por:
Gerente
Jefe de Infraestructura (1)
Inspector de Ruta (3)
Asistente de Mantenimiento (1)
Conductor de patios (1)
Servicios Generales – Mantenimiento (1)
Servicios Generales –
Infraestructura (3)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
66
Para el diseño del SGSI se procede a realizar un enfoque de riesgo para el Consorcio
Metro-Bastión que permita dar a conocer los riesgos a los que están expuestos los activos.
4.4.3. Análisis de riesgo
El análisis de riesgo realizado para el Consorcio Metro-Bastión es mediante la
metodología Magerit V3, ya que según (Amutio Gómez, y otros, 2012) dice:
Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se
denomina “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la
Gestión de los riesgos”) dentro del “Marco de Gestión de los riesgos”. En otras palabras
MAGERIT implementa el proceso de Gestión de Riesgos dentro de un marco de trabajo
para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos
derivados del uso de tecnologías de la información.
Se llevan a cabo las siguientes actividades para el enfoque de riesgo:
1. Identificación de Activos: Lista de todos aquellos recursos (Físicos, de
información, software, documentos, servicios, personas, intangibles, etc) dentro
del alcance del SGSI que tengan valor para la organización y necesiten por tanto
ser protegidos de potenciales riesgos. (ISO2700.ES, s.f.)
2. Identificación de Procedimientos y dependencias de Metro-Bastión: Detalla los
procedimientos y quién es el responsable del mismo.
3. Valoración de Activos: Determina el valor del activo detallando el más
importante para el Consorcio.
4. Identificación de Amenazas y Vulnerabilidades: Listado de amenazas a las que se
encuentran expuestas los activos y las vulnerabilidades de los mismos.
5. Evaluación del Impacto: Impacto causado si una vulnerabilidad se materializa.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
67
4.4.3.1. Identificación de Activos
Tabla 20 Identificación de Activos. ACTIVOS ESCENCIALES INFORMACIÓN Y SERVICIO
Información
Datos de Clientes
Copias de Seguridad
Información Personal clientes
Información Personal Proveedores
Información Telefónica a Clientes
Información Telefónica Proveedores
Libros contables
Facturas como documento
Hoja de vida funcionarios
Contratos con la municipalidad
Correo electrónico
Software de Mantenimiento
Software contable
Software para documentos electrónicos
Software tributario
Utilitarios Office
Manuales
Base de datos
Servicio
Red local
Cortafuegos
Mantenimiento de Software
Servicios web
Conexión a internet
servicio de telefonía IP
Servicio de Vigilancia
Servicio de Alarma
Aire acondicionado
Servicio de Telecomunicaciones
Servicio de Energía eléctrica
ACTIVOS FÍSICOS /HARDWARE
Computadoras
UPS
servidores
Reuters
teléfonos
Dispositivos de Almacenamiento
Archivadores
Impresora
Scanner
INSTALACIONES
Departamento de Archivo
Oficinas
Sala de equipos
Sala de junta general
PERSONAL
Personas calificadas con experiencia en los cargos.
Proveedores calificados para su actividad.
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
68
El alcance del SGSI determina que los activos de información son indispensables para un
correcto diseño del mismo, es por ello que en la tabla anterior (Tabla 20) se han clasificado los
activos de información del Consorcio Metro-Bastión con el fin de proceder a la valoración de los
mismos y conocer los activos más importantes para la organización. Para la identificación de los
activos se adquirieron los datos por parte del Jefe del departamento de Sistemas del Consorcio
Metro-Bastión.
4.4.3.2.Identificación de los procedimientos y dependencias de Metro-Bastión
Tabla 21 Procedimientos y Dependencias
PROCEDIMIENTO DEPENDENCIA DESCRIPCION RESPONSABLE
ATENCIÓN DE
RECLAMOS
Entrada Reclamo del cliente /
Multa de FMV Arq. Edith Manjarres
Gerente de
Operaciones
Salida Reclamo solucionado /
Multa resuelta
Secretaria de
Operaciones
GESTIÓN DE
DOCUMENTOS
Entrada
Requerimientos de
actualización de
documentos
Jairo Baque
Jefe de
Seguridad
Industrial
Entrada
Sugerencias y
oportunidades de
mejora
Jairo Baque
Jefe de
Seguridad
Industrial
Entrada Necesidad de controlar
y mejorar Jairo Baque
Jefe de
Seguridad
Industrial
Salida
Documentos
actualizados y
controlados
Jairo Baque
Jefe de
Seguridad
Industrial
MANTENIMIENTO
DE BUSES
Entrada
Unidad con necesidad
de mantenimiento
preventivo
Mauricio Murgueitio Gerente de
Mantenimiento
Entrada
Unidad con fallas
mecánicas, eléctricas o
de carrocería
Mauricio Murgueitio Gerente de
Mantenimiento
Salida
Unidad con
mantenimiento
preventivo completada
y operativa
Mauricio Murgueitio Gerente de
Mantenimiento
MANTENIMIENTO
DE
INFRAESTRUCTURA,
SISTEMAS DE
INFORMACIÓN Y
COMUNICACIÓN
Entrada Necesidad de
Mantenimiento Javier Barba
Jefe de
Infraestructura
Salida
Infraestructura en
buenas condiciones
para la operación
Javier Barba Jefe de
Infraestructura
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
69
PLANIFICACIÓN Y
CONTROL
GERENCIAL
Entrada Ambiente externo Ab. Juan Carlos
Guevara Gerente General
Entrada Expectativas de los
accionistas
Ab. Juan Carlos
Guevara Gerente General
Salida Plan Estratégico Ab. Juan Carlos
Guevara Gerente General
Salida Presupuesto y Control
de Ingresos
Ab. Juan Carlos
Guevara Gerente General
Salida Presupuesto y Control
de Costos y Gastos
Ab. Juan Carlos
Guevara Gerente General
Salida Decisiones gerenciales Ab. Juan Carlos
Guevara Gerente General
SELECCIÓN Y
CONTRATACIÓN
Entrada Requisición de
personal Ab. Mireya Peralta Jefe de RRHH
Salida Personal contratado Ab. Mireya Peralta Jefe de RRHH
CAPACITACIÓN Entrada
Requerimiento de
capacitación Ab. Mireya Peralta Jefe de RRHH
Salida Personal capacitado Ab. Mireya Peralta Jefe de RRHH
COMPRAS
Entrada Requerimiento de
compra Mary Flores
Coordinadora de
Compras
Salida Producto / Servicio
comprado y verificado Mary Flores
Coordinadora de
Compras
ALMACENAMIENTO
Entrada Materiales, Repuestos,
Equipos, Herramientas Gilber Macas Jefe de Bodega
Entrada
Repuestos usados,
Herramientas
especiales, Materiales
Gilber Macas Jefe de Bodega
Salida Materiales, Repuestos,
Equipos, Herramientas Gilber Macas Jefe de Bodega
Salida Repuestos para
reparación Gilber Macas Jefe de Bodega
SERVICIO DE
TRANSPORTE
Entrada Usuario con necesidad
de transporte Rafael García
Jefe de
Operaciones
Salida Usuario Transportado Rafael García Jefe de
Operaciones
GESTIÓN DE
RECURSOS DE
INFORMACIÓN
Entrada Adquisición José Villacrés Jefe de Sistemas
Entrada Actualización de la
Web José Villacrés Jefe de Sistemas
Salida Análisis Documental José Villacrés Jefe de Sistemas
Salida Tratamiento Físico José Villacrés Jefe de Sistemas
DIFUSIÓN Y
EXTENSIÓN
Entrada Comunicación con
Usuario y Externo José Villacrés Jefe de Sistemas
Salida Formación de Usuarios José Villacrés Jefe de Sistemas
Salida Base de Datos José Villacrés Jefe de Sistemas
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
70
En la tabla 21 se detalla los procedimientos que realiza el Consorcio Metro-Bastión y los
responsables encargados de dichos procedimientos. Los datos para realizar dicha tabla fueron
obtenidos por parte del Jefe del Departamento de Sistemas del Consorcio.
4.4.3.3.Clasificación y calificación para valoración de Activos
Tabla 22 Calificación del Valor de Activo según C.I.D.
Clasificación Calificación
Muy alto 5
Alto 4
Medio 3
Bajo 2
Muy bajo 1 Elaborado por: Autores (2018)
Análisis: Posteriormente de haber realizado un inventario de activos pertenecientes al
Consorcio se procede a realizar su valoración, en la siguiente tabla se muestra cómo se califica al
activo según la confidencialidad, integridad y disponibilidad, siendo 1 muy bajo, 2 bajo, 3
medio, 4 alto y 5 muy alto. La sumatoria de la calificación según la confidencialidad, integridad
y disponibilidad dará como resultado el valor del activo.
Tabla 23 Clasificación del Activo
Clasificación Rango
Muy alto 13-15
Alto 10-12
Medio 7-9
Bajo 4-6
Muy bajo 1-3 Elaborado por: Autores (2018)
Análisis: En la Tabla 23 muestra la clasificación del activo según el rango, para conocer
cuán importante es para el Consorcio Metro-Bastión cada activo identificado. El valor del activo
es muy bajo cuando está entre 1 y 3, es bajo cuando está entre 4 y 6, es medio cuando está entre
7 y 9, es alto cuando está entre 10 y 12, y es muy alto cuando está entre 13 y 15. Según la Tabla
24 - cuadro 4.4.2.4 Valoración de Activos.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
71
4.4.3.4.Valoración de Activos
Tabla 24 Valoración de Activos de información del Consorcio Metro-Bastión.
ACTIVOS VALORACIÓN
ACTIVOS ESCENCIALES C I D VALOR DEL ACTIVO
ACTIVOS DE INFORMACIÓN Y SERVICIO
Datos de Clientes 3 4 4 11 Alto
Información Personal clientes 4 4 4 12 Alto
Información Personal
Proveedores 4 3 4 11
Alto
Información Telefónica a
Clientes 4 4 4 12
Alto
Información Telefónica
Proveedores 4 3 4 11
Alto
Libros contables 4 4 4 12 Alto
Facturas como documento 4 5 4 13 Muy Alto
Hoja de vida funcionarios 4 4 4 12 Alto
Contratos con la municipalidad 5 4 4 13 Muy Alto
Manuales 3 5 3 11 Alto
SOFTWARE
Software de Mantenimiento 3 3 4 10 Alto
Software contable 4 4 5 13 Muy Alto
Software para documentos
electrónicos 4 4 4 12
Alto
Software tributario 3 3 4 10 Alto
Utilitarios Office 3 3 4 10 Alto
Copias de seguridad 5 4 1 10 Alto
Base de datos 4 4 4 12 Alto
Correo electrónico 3 4 4 11 Alto
Elaborado por: Autores (2018)
Fuente: Consorcio Metro - Bastión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
72
Gráfico 17 Valoración de Activos de Información del Consorcio Metro-Bastión.
Elaborado por: Autores (2018)
Análisis
De acuerdo a la valoración realizada por el Consorcio Metro-Bastión, este considera más
importante a las facturas como documentos, contratos, software en cuanto a los activo de
información y servicio, calificándolo como Muy Alto, los demás activos de información los
calificaron con valor alto, es decir, el apartado de activos de información y software es de mayor
importancia para el Consorcio.
11 12 11 12 11 12 13 12 1311 10
13 1210 10 10
12 11
Activos de Información/ Software
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
73
Tabla 25 Valoración de Activos Físicos del Consorcio Metro-Bastión.
ACTIVOS FÍSICOS
HARDWARE
Computadoras 0 2 5 7 Medio
UPS 0 2 5 7 Medio
servidores 4 4 4 12 Alto
Reuters 0 2 5 7 Medio
teléfonos 2 0 5 7 Medio
Dispositivos de Almacenamiento 2 3 3 8 Medio
Archivadores 3 2 4 9 Medio
Impresora 0 0 5 5 Bajo
Scanner 0 0 5 5 Bajo
INFRAESTRUCTURA
Departamento de Archivo 4 4 3 11 Alto
Oficinas 3 4 4 11 Alto
Sala de equipos 4 4 4 12 Alto
Sala de junta general 4 4 4 12 Alto
Elaborado por: Autores (2018)
Gráfico 18 Valoración Activos Físicos.
Elaborado por: Autores (2018)
Análisis:
En el apartado de activos físicos, el Consorcio Metro-Bastión ha valorado como activo más
importante a los servidores con un valor total de 12 en cuanto a la confidencialidad, integridad y
disponibilidad, tomando en consideración que el activo físico es aquel que se caracteriza por
tener un valor intrínseco, los demás activos fueron calificados de valor medio.
7 7
12
7 7 8 9
5 5
11 11 12 12
Valoración de Activos Físicos
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
74
Tabla 26 Valoración Activos de servicio Consorcio Metro-Bastión.
ACTIVOS DE SERVICIO
Red local 0 0 5 5 Bajo
Cortafuegos firewall 0 0 5 5 Bajo
Mantenimiento de Software 3 3 4 10 Alto
Servicios web 2 2 3 7 Medio
Conexión a internet 0 2 5 7 Medio
servicio de telefonía IP 0 2 5 7 Medio
Servicio de Vigilancia 4 4 4 12 Alto
Servicio de Alarma 3 3 4 10 Alto
Aire Acondicionado 0 0 5 5 Bajo
Servicio de Telecomunicaciones 3 3 3 9 Medio
Servicio de Energía eléctrica 4 4 4 12 Alto
Elaborado por: Autores (2018)
Gráfico 19 Activos de Servicio.
Elaborado por: Autores (2018)
Análisis:
Según la valoración de los activos realizadas para el Consorcio Metro-Bastión el servicio
de vigilancia y energía son los de mayor valor considerándolos como activos de valor Alto, los
activos de servicios nos permiten interacciones y funcionalidades de la gestión de la información.
5 5
10
7 7 7
1210
5
9
12
Activos de servicio
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
75
Tabla 27 Valoración de Activos personales.
ACTIVOS PERSONALES
Personas calificadas con
experiencia en los cargos 4 5 5 14
Muy Alto
Proveedores calificados para su
actividad 4 4 4 12
Alto
Elaborado por: Autores (2018)
Elaborado por: Autores (2018)
Análisis:
Entre los activos personales que conforman el Consorcio metro bastión las personas
calificadas con experiencia en los cargos es de suma importancia para el Consorcio, ya que cada
una de las personas que trabajan en la organización maneja información crucial que maneja el
Consorcio Metro-Bastión.
14
12
Personas calificadas con experiencia en loscargos
Proveedores calificados para su actividad
Activos Personales
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
76
Tabla 28 Valoración General activos de Información
ACTIVOS VALOR DEL ACTIVO
ACTIVOS DE INFORMACIÓN Y
SERVICIO 11 Alto
ACTIVOS FÍSICOS
9 Medio
ACTIVOS DE SERVICIO
8 Medio
ACTIVOS PERSONALES
13 Muy Alto
Elaborado por: Autores (2018)
Gráfico 20 Valoración general Activos de Información.
Elaborado por: Autores (2018)
Análisis:
La valoración de los activos de la información del Consorcio Metro-Bastión es primordial
ya que nos permite cuantificar la importancia de los activos de información, para la valoración se
ha considerado tres puntos importantes, confidencialidad, integridad y disponibilidad obteniendo
como resultado que los activos de información y los activos personales son aquellos que el
Consorcio considera más importante..
11
98
13
ACTIVOS DEINFORMACIÓN Y SERVICIO
ACTIVOS FÍSICOS ACTIVOS DE SERVICIO ACTIVOS PERSONALES
Valoración Activos de información Consorcio Metro-Bastión
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
77
4.4.3.5.Identificación de Amenazas y Vulnerabilidades
Según el Blog especializado en Sistemas de Gestión de Seguridad de la Información (2015)
dice que “Las amenazas son las situaciones que desencadenan en un incidente en la empresa,
realizando un daño material o pérdidas inmateriales de sus activos de información. El Sistema de
Gestión de Seguridad de la Información basado en la ISO 27001 ayuda a controlar las amenazas
que pueden desencadenar los incidentes.”
Según la metodología Magerit las amenazas se clasifican en:
Desastre Natural
De origen industrial
Errores y Fallos no intencionados
Ataques intencionados
Según el mismo Blog dice que la vulnerabilidad de un activo de seguridad es la
potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.
A continuación se presenta la tabla con la identificación de amenazas y vulnerabilidades de
los activos del Consorcio Metro-Bastión.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio
Metro-Bastión.
78
Tabla 29 Identificación de Amenazas y Vulnerabilidades de los Activos de Información/Software.
Activo
Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad
Activos de
Información
/Software
Desastre Natural
N.1 Fuego Carencia de protección contra fuego.
N.2 Daños por agua Carencia de protección física.
N.3 Otro desastre natural
Condiciones locales donde los activos son afectados
fácilmente.
Errores y Fallos no
intencionados
E.1 Errores de Usuario Falta de conocimiento para el uso de software.
E.2 Errores de Administrador Falta de capacitación del administrador del sistema.
E.8 Difusión de Software dañino Falta de actualización de software antivirus.
E.15 Alteración Accidental de la información Falta de restricción en los archivos y software.
E.18 Destrucción de Información Falta de control.
E.24
Caída del sistema por agotamiento de
recursos Sobrecarga en la utilización del software.
Ataques
Intencionados
A.5 Suplantación de la identidad del usuario
Carencia de mecanismos de identificación y
autenticación.
A.6 Abusos de privilegios de acceso Falta de políticas para asignación de privilegios.
A.7 Uso no previsto Falta de restricción de acceso.
A.11 Acceso no Autorizado Falta de contraseñas seguras para el acceso.
A.15 Modificación deliberada de la información Falta de restricción de acceso.
A.20 Manipulación de programas Falta de seguridad para acceso al software.
De origen Industrial I.5 Avería de origen físico o lógico Falta de mantenimiento del software. Elaborado por: Autores (2018)
Fuente: Magerit V3.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio
Metro-Bastión.
79
Tabla 30 Identificación de Amenazas y Vulnerabilidades de los Activos de información Físicos Hardware/ Infraestructura.
Activo Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad
Activos Físicos
Hardware/Infraestructura
Desastre Natural
N.1 Fuego Carencia de protección contra fuego.
N.2 Daños por agua Carencia de protección física.
N.3 Otro desastre natural
Condiciones locales donde los activos son afectados
fácilmente.
De origen Industrial
I.3 Contaminación
Mecánica Falta de Mantenimiento.
I.5 Avería de origen
físico o lógico Falta de Mantenimiento.
I.6 Corte de suministro
eléctrico Funcionamiento no confiable de UPS.
I.7
Condiciones
inadecuadas de
temperatura o
humedad
Mal funcionamiento de aire acondicionado.
I.9
Interrupción de otros
servicios y
suministros esenciales
Falta de servicios y suministros de repuesto.
Errores y Fallos no
intencionados
E.2 Errores del
administrador Falta de capacitación del administrador del sistema.
E.23
Errores de
mantenimiento/
actualización de
programas(hardware) Falta de control.
E.25 Pérdida de equipos Falta de seguridad física.
Ataques Intencionados
A.6 Abusos de privilegios
de acceso Carencia de seguridad física.
A.7 Uso no previsto Falta de restricción de acceso.
A.11 Acceso no Autorizado Falta de seguridad física y lógica.
A.25 Robo Falta de seguridad física. Elaborado por: Autores (2018)
Fuente: Magerit V3.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio
Metro-Bastión.
80
Tabla 31 Identificación de Amenazas y Vulnerabilidades de los Activos de Servicio.
Activo Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad
Activos de servicio
Desastre Natural
N.1 Fuego Carencia de protección contra fuego.
N.2 Daños por agua Carencia de protección física.
N.3 Otro desastre natural
Condiciones locales donde los activos son afectados
fácilmente.
De origen Industrial
I.5 Avería de origen físico o
lógico Falta de mantenimiento del servicio.
I.6 Corte de suministro eléctrico Funcionamiento no confiable de UPS.
I.7 Condiciones inadecuadas de
temperatura o humedad Mal funcionamiento de aire acondicionado.
I.8 Fallo de servicio de
comunicaciones Falta de mantenimiento.
Errores y Fallos no
Intencionales E.24
Caída del sistema por
agotamiento de recursos Sobrecarga en la utilización del software.
Ataques Intencionales A.14 Interceptación de
información Comunicaciones sin encriptar. Elaborado por: Autores (2018)
Fuente: Magerit V3, Metro-Bastión.
Tabla 32 Identificación de Amenazas y Vulnerabilidades de los Activos Personales.
Activo Afectado Tipo de Amenaza REF Amenaza Vulnerabilidad
ACTIVOS
PERSONALES
Errores y Fallos no
intencionados
E.7 Deficiencias en la organización Falta de capacitación del personal.
E.19 Fugas de Información Personal poco confiable.
E.28 Indisponibilidad del personal No se tiene reemplazo de personal clave. Elaborado por: Autores (2018)
Fuente: Magerit V3.
.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
81
4.4.3.6. Impacto por Amenaza
Según el Blog especializado en Sistemas de Gestión de Seguridad de la Información
dice que “El impacto es, la diferencia entre las estimaciones del estado de la seguridad del
activo antes y después de materializarse las amenazas.”
Tabla 33 Impacto.
Cualitativo Cuantitativo Descripción
Leve (L) 1 No hay consecuencias relevantes.
Moderado (M) 2 Tiene consecuencias moderadas.
Grave (G) 3 Tiene consecuencias graves. Elaborado por: Autores (2018)
En la tabla 33 se muestra la clasificación, calificación y la descripción del impacto
que puede causar que una amenaza se materialice en los activos de información.
Tabla 34 Probabilidad de Ocurrencia. (Frecuencia)
Cualitativo Cuantitativo Descripción
Bajo 1 Casi nunca ocurre.
Medio 2 Ocurre a menudo
Alto 3 Ocurre siempre. Elaborado por: Autores (2018)
En la tabla 34 detalla la probabilidad con la que puede ocurrir de una amenaza.
Se van a tratar los riesgos que su valor de riesgo sea superior a 4, el cálculo para el
valor de riesgo es:
V.R= I*F
V.R= Valor de riesgo
I= Impacto
F= Frecuencia
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
82
Tabla 35 Impacto.
Activo
Afectado
Tipo de
Amenaza REF Amenaza
Frecuencia
Impacto Consecue
ncias del
Impacto
Valor
del
riesgo
Tratami
ento
1 B. 2 M. 3 A.
Activos de
Información
/Software
Desastre Natural
N.1 Fuego 1
3 Grave 3
N.2 Daños por agua 1
3 Grave 3
N.3 Otro desastre natural 1
3 Grave 3
Errores y Fallos
no intencionados
E.1 Errores de Usuario 2
1 Leve 2
E.2 Errores de Administrador 2
1 Leve 2
E.8 Difusión de Software dañino 2
2 Moderado 4
E.15 Alteración Accidental de la información 2
3 Grave 6
E.18 Destrucción de Información 2
3 Grave 6
E.24
Caída del sistema por agotamiento de
recursos 2 2 Moderado
4
Ataques
Intencionados
A.5 Suplantación de la identidad del usuario 1
3 Grave 3
A.6 Abusos de privilegios de acceso 2
2 Moderado 4
A.7 Uso no previsto 2
2 Moderado 4
A.1
1 Acceso no Autorizado 2 2 Moderado
4
A.1
5 Modificación deliberada de la información 1
3 Grave
3
A.2
0 Manipulación de programas 2 2 Moderado
4
De origen
Industrial I.5 Avería de origen físico o lógico
2 2 Moderado
4
Activos Físicos
Hardware/Infra
estructura
Desastre Natural
N.1 Fuego 1
3 Grave 3
N.2 Daños por agua 1
3 Grave 3
N.3 Otro desastre natural 1
3 Grave 3
De origen
Industrial
I.3 Contaminación Mecánica 1
2 Moderado 2
I.5 Avería de origen físico o lógico 1
2 Moderado 2
I.6 Corte de suministro eléctrico 1
2 Moderado 2
I.7 Condiciones inadecuadas de temperatura o
humedad 2 2 Moderado
4
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
83
I.9 Interrupción de otros servicios y suministros
esenciales 2 2 Moderado
4
Errores y Fallos
no intencionados
E.2 Errores del administrador 1
2 Moderado 2
E.23 Errores de mantenimiento/ actualización de
programas(hardware) 2 2 Moderado
4
E.25 Pérdida de equipos 1
3 Grave 3
Ataques
Intencionados
A.6 Abusos de privilegios de acceso 2
2 Moderado 4
A.7 Uso no previsto 2
2 Moderado 4
A.1
1 Acceso no Autorizado
2 3 Grave
6
A.2
5 Robo
1 3 Grave
3
Activos de
servicio
Desastre Natural
N.1 Fuego 1
3 Grave 3
N.2 Daños por agua 1
3 Grave 3
N.3 Otro desastre natural 1
3 Grave 3
De origen
Industrial
I.5 Avería de origen físico o lógico 2
2 Moderado 4
I.6 Corte de suministro eléctrico 1
2 Moderado 2
I.7 Condiciones inadecuadas de temperatura o
humedad 2 2 Moderado
4
I.8 Fallo de servicio de comunicaciones 2
2 Moderado 4
Errores y Fallos
no intencionados E.24
Caída del sistema por agotamiento de
recursos 2 2 Moderado
4
Ataques
Intencionados
A.1
4 Interceptación de información 2 2 Moderado
4
Activos
personales
Errores y Fallos
no intencionados
E.7 Deficiencias en la organización 1
3 Grave 3
E.19 Fugas de Información 1
3 Grave 3
E.28 Indisponibilidad del personal 2
2 Moderado 4
Elaborado por: Autores (2018)
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
84
La Tabla 35(Impacto) muestra el impacto que los activos de Metro-Bastión tendrían
si alguna de las amenazas a las que están expuestos ocurre, y detalla la si la consecuencia
es grave, pintada en rojo, si la consecuencia es leve, pintado en celeste, o es moderada,
pintada en amarillo. De acuerdo al impacto analizado el Consorcio Metro-Bastión deberá
considerar un plan de tratamiento de riesgo que permita aceptar, evitar, mitigar y transferir
el riesgo para la mejor protección de los activos de información.
Tabla 36 Tratamiento de Riesgo.
Activos en riesgo Tipo de
Amenaza REF Amenaza
Tratamiento
Plan de
Monitoreo
Resultado
Esperado A
cep
tarl
o
Evit
arl
o
Mit
igarl
o
Tra
nsf
erir
lo
Activos de
Información
/Software
Desastre
Natural
N.1 Fuego
x
DIARIO.-
Reporte vía
e-mail,
revisión de
procedimie
ntos,
revisión de
Base de
Datos
Reducción
y
disminució
n del
impacto
y/o
probabilida
d
N.2 Daños por agua
x
N.3 Otro desastre
natural x
Errores y
Fallos no
intencionad
os
E.15
Alteración
Accidental de
la información
x
E.18 Destrucción de
Información x
Ataques
Intencionad
os
A.5
Suplantación
de la identidad
del usuario
x
A.1
5
Modificación
deliberada de la
información
x
Activos Físicos
Hardware/Infraestru
ctura
Desastre
Natural
N.1 Fuego
x
DIARIO.-
Revisión del
área, reporte
vía mail,
mantenimie
nto
preventivo
del área
involucrada
Reducción y
disminución
del impacto
y/o
probabilidad
N.2 Daños por agua
x
N.3 Otro desastre
natural x
Errores y
Fallos no
intencionad
os
E.25 Pérdida de
equipos x
Ataques
Intencionad
os
A.1
1
Acceso no
Autorizado x
A.2
5 Robo
x
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
85
Activos de servicio Desastre
Natural
N.1 Fuego
x
Diario,
reporte vía
mail,
revisión de
equipos de
control y
emergencia
Reducción y
disminución
del impacto
y/o
probabilidad
N.2 Daños por agua
x
N.3 Otro desastre
natural x
Activos personales
Errores y
Fallos no
intencionad
os
E.7 Deficiencias en
la organización x
Diario.-
Revisión de
procedimien
to, reporte
vía mail,
revisión de
Base de
Datos
Reducción y
disminución
del impacto
y/o
probabilidad E.19
Fugas de
Información x
Elaborado por: Autores (2018)
En la tabla 36 (Tratamiento de riesgo) con referencia a las amenazas a las que los
activos de información son vulnerables, se muestra cuáles deben ser tratadas para evitar
que ocurran.
Es importante que el Consorcio Metro-Bastión elabore un plan de tratamiento de
riesgo que permita llevar a cabo para aceptar, evitar, mitigar y transferir el riesgo en los
activos de información, ya que es uno de los requerimientos que exige la norma para
contribuir la mejora continua.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
86
4.4.3.7.Políticas de seguridad de la Información
Para alinear la seguridad de la información de Metro Bastión se sugiere la creación
de las políticas para los siguientes puntos:
Todos los colaboradores del Consorcio Metro-Bastión y terceros que
prestan servicios a esta, deben conocer sus funciones y responsabilidades
asociadas con la seguridad de la información.
Uso razonable de los activos de la empresa.
Administración del riesgo en seguridad de la información.
Validación de integridad de la información.
El escritorio de cada computadora debe estar limpio y pantalla despejada.
Control de dispositivos de almacenamiento extraíble.
Restricción de uso de datos personales.
Capacitación y creación de cultura en seguridad de la información.
Definición de Perfiles de Acceso.
Acceso remoto.
Conexión segura de terceros a la red.
Respaldo de información crítica.
Protección física de equipos de cómputo.
Seguridad en correo electrónico.
Validación de datos de entrada en los sistemas de información.
Auditorias y controles periódicos sobre el modelo de gestión de seguridad
de la información.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
87
4.5. Impactos de la propuesta
Impacto Económico: Mediante el presente estudio el Consorcio Metro-Bastión
tendrá un impacto económico, ya que al considerar el diseño del SGSI, mediante los
procesos de protección en los activos de información permitirá mantener equilibrado el
bienestar económico, pues la pérdida de la información debido a los riesgos que pueden
presentarse generaría gastos realmente costosos.
Las empresas que logran incorporar la seguridad de información óptima a sus
procesos mediante SGSI establecen y demuestran relaciones de confianza que intensifican
positivamente las actividades comerciales con sus clientes y empresas colaboradoras y
facilitan su propagación a clientes potenciales.
Según (López Neira) en su artículo SGPI: Privacidad y beneficio económico en un
SGSI cita en su investigación un estudio realizado que dice:
“El 29% de los afectados por un fallo de seguridad en el que se comprometen datos
personales se pasaría inmediatamente a la competencia y otro 37% consideraría esa
posibilidad. Solo un 29% esperaría a obtener antes una respuesta de la empresa.”
Es por esto con la introducción de nuevos controles, políticas y procedimientos de
seguridad de la información se asegurará la integridad, confidencialidad y disponibilidad
de la misma reduciendo el nivel de incertidumbre y posibles pérdidas económicas.
Impacto Político Institucional: Mediante la propuesta expuesta se obtendrá un
impacto de crecimiento institucional ya que la seguridad de la información es
indispensable para el Consorcio y por este motivo mediante el diseño del SGSI alineado
bajo los requerimientos de la norma ISO/IEC 27001:2013 el cual pretende establecer un
nivel óptimo de seguridad de la información, de manera que es beneficioso para la
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
88
institución ya que es necesario que el conocimiento de los trabajadores sea mejorado por
medio de capacitaciones que permitan hacer uso correcto de la de la información y de los
demás aspectos establecidos en la norma.
Según el artículo de (López Neira) dice que un SGSI a nivel interno, se favorece la
relación que la propia empresa establece con sus empleados, la gerencia, los accionistas y
otras partes interesadas y se mejora la eficacia entre distintos, los ámbitos organizativos y
físicos establecidos.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
89
4.6. Conclusiones
Gracias a la investigación realizada queda claro que la información es uno de los
activos más importantes en las organizaciones, y la pérdida de los mismos puede afectar en
gran manera a las empresas, es por eso que dentro del estudio realizado al Consorcio
Metro-Bastión se halló mediante el diagnóstico de cumplimientos e incumplimiento de la
norma ISO/IEC 27001:2013, la cercanía que tiene el Consorcio de cumplirla, y mediante
el cual se pudo dar a conocer cuáles son los aspectos que el Consorcio tiene que mejorar
para asegurar el activo más importante de la empresa. El Consorcio Metro-Bastión registró
un 46% de cumplimiento, determinando que los puntos que la norma exige “planificación
y operación” fueron los puntos más débiles, es por ello que se determinó que el Consorcio
Metro-Bastión no cuenta con las medidas y controles necesarios de una forma
documentada, sistemática, estructurada, repetible, eficiente, y adaptada a los cambios que
se produzcan ante el riesgo, el entorno y la tecnología para una correcta protección de la
información.
El diseño del SGSI ayudará a establecer las políticas de seguridad para los activos
que se encuentran más vulnerables, con el objetivo de reducir el riesgo encontrado y
mantener la integridad, confidencialidad y disponibilidad de la información del Consorcio
Metro-Bastión y por ende asegurar la continuidad de la misma.
Finalmente se concluye que mantener la información a salvo de cualquier amenaza
ya sea de tipo: natural, industrial, por error o intencionada, es un aspecto crucial que debe
ser indispensable en toda empresa, por lo cual es importante contar un Sistema de Gestión
de Seguridad de la Información que permita establecer los controles adecuados para
recuperar la información ante una pérdida de la misma.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
90
4.7. Recomendaciones
Como recomendaciones se establece que:
Es necesario que el Consorcio Metro-Bastión cuente con un cronograma de
concientización a todos sus empleados, sobre la seguridad de la información
y su importancia.
Hacer un análisis e incrementar las políticas de seguridad de la información
de la empresa, darlas a conocer a cada uno de sus trabajadores llevando un
control de cumplimiento de las mismas.
Establecer mecanismos dirigidos a promover el desarrollo de los sistemas
de información dentro del Consorcio Metro-Bastión.
Identificar brechas e incidente de seguridad de la información.
Por último se recomienda que a un mediano plazo se realice la
implementación de la norma ISO 27001:2013 dentro del Consorcio ya que
es evidente que esta norma ayudará a cumplir con los procesos y controles
adecuados para la protección de la información. Permitiría un ahorro de
recursos económico de aproximadamente un 35% de menos gastos de los
que se incurren en la actualidad.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
91
Bibliografía ISOTools Excellence. (21 de Mayo de 2015). Blog especializado en Sistemas de Gestión .
Obtenido de https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-
la-informacion/
27001 Academy. (s.f.). Advisera. Obtenido de https://advisera.com/27001academy/es/que-
es-iso-27001/
Advisera. (s.f.). Advisera. Obtenido de https://advisera.com/27001academy/es/que-es-iso-
27001/
Amutio Gómez, M. A., Públicas, M. d., Candau, J., Nacional, C. C., Presidencia, M. d., &
Mañas, J. A. (Octubre de 2012). MAGERIT – versión 3.0 Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información. Madrid: Ministerio de Hacienda y
Administraciones Públicas. Obtenido de http://administracionelectronica.gob.es/
Arias, F. G. (2012). El proyecto de investigación Introducción a la Metodología científica.
Episteme.
Blog especializado en Sistemas de Gestión . (16 de Marzo de 2015). Blog especializado en
Sistemas de Gestión . Obtenido de https://www.pmg-ssi.com/2015/03/iso-27001-el-
metodo-magerit/
Chiavenato, I. (2006). Introducción a la Teoría General de la Administración. McGraw-
Hill Interamericana.
Colmenares, Y. A. (28 de Mayo de 2014). SlideShare. Obtenido de
https://es.slideshare.net/yangoalexander/iso-27001-2013
DefiniciónABC. (s.f.). Obtenido de https://www.definicionabc.com/tecnologia/seguridad-
informatica.php
Doria, A. F. (2015). Repositorio Institucional UNAD. Obtenido de
https://repository.unad.edu.co/bitstream/10596/3624/1/1067846426.pdf
Galdámez, P. (2003). Seguridad Informática. Actualidad TIC, 19.
Grupo Control Seguridad . (2010). Grupo Control Seguridad . Obtenido de
https://www.grupocontrol.com/evolucion-de-la-seguridad-informatica
Idi. (06 de Junio de 2016). Instituto de Innovación Empresarial. Obtenido de
http://www.idi.es/index.php/es/crecer-y-consolidar/cambio-estrategico/ciclo-de-mejora-
continua
International Electrotechnical Commission. (2010). International Electrotechnical
Commission. Obtenido de
http://www.iec.ch/about/brochures/pdf/about_iec/iec_welcome_sp_2010_lr_.pdf
ISACA. (2018). ISACA. Obtenido de
https://www.isaca.org/Blogs/282270/archive/2011/04/27/Protecci%C3%B3ndeActivosdeI
nformaci%C3%B3n.aspx
ISO 27000.ES. (2018). EL portal de ISO 27001 en español. Obtenido de
http://www.iso27000.es/sgsi.html
ISO. (s.f.). Organización Internacional para la Estandarizacióm. Obtenido de
https://www.iso.org/about-us.html
ISO TOOLS. (19 de Agosto de 2014). Blog Calidad y Excelencia. Obtenido de
https://www.isotools.org/2014/08/19/iso-27001-activos-informacion-empresa-3/
ISO2700.ES. (s.f.). El portal de ISO 27001 en Español. Obtenido de
http://www.iso27000.es/glosario.html
ISOtools. (19 de Marzo de 2015). ISOtools. Obtenido de
https://www.isotools.org/2015/03/19/que-son-las-normas-iso-y-cual-es-su-finalidad/
ISOTools. (28 de Mayo de 2015). ISOTools. Obtenido de
https://www.isotools.org/2015/05/28/la-relacion-entre-calidad-y-mejora-continua/
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
92
ISOTools Excellence. (18 de Febrero de 2015). SGSI Blog especializado en SIstemas de
Gestión de Seguridad de la Información. Obtenido de https://www.pmg-
ssi.com/2015/02/comparativa-entre-la-iso-270012013-y-la-iso-270012005/
López Neira, A. (s.f.). El portal de ISO 27001 en español. Obtenido de
http://www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf
MetroBastión, C. (2015). Misión. Guayaquil.
MetroBastión, C. (2015). Visión. Guayaquil.
MetroVia, F. (2015). MetroVia. Obtenido de http://www.metrovia-
gye.com.ec/fundacionmetrovia
METROVIA, F. (2015). METROVIA. Obtenido de http://www.metrovia-
gye.com.ec/tiposdetarjeta
Ortiz, F., & García, M. d. (2005). Metodología de la Investigación El proceso y sus
Técnicas. En Metodología de la Investigación El proceso y sus Técnicas (pág. 180).
México: Limusa.
Pallas, G., & Corti, M. E. (s.f.). Criptored. Obtenido de
http://www.criptored.upm.es/cibsi/cibsi2009/docs/Papers/CIBSI-Dia2-Sesion3(4).pdf
Peña, A. (2016). Universidad de La Salle. Obtenido de
http://repository.lasalle.edu.co/bitstream/handle/10185/20837/33081276_2016.pdf?sequen
ce=1
Pérez Porto, J., & Merino, M. (2012). Definición.De. Obtenido de Definición.De:
https://definicion.de/metodo-deductivo/
Pérez, J., & Gardey, A. (2012). Definicion.de. Obtenido de https://definicion.de/seguridad/
Piccirillo, J. M. (2012). FACILITACIÓN DEL TRANSPORTE Y EL COMERCIO EN
AMÉRICA LATINA Y EL CARIBE. Boletín Fal, 10. Obtenido de
https://repositorio.cepal.org/bitstream/handle/11362/36157/1/FAL-312-WEB_es.pdf
Universidad Nacional de Luján. (2018). Universidad Nacional de Luján. Obtenido de
http://www.seguridadinformatica.unlu.edu.ar/?q=lexicon/1
Universidad Santos Tomas. (2004). Universidad Santos Tomas . Obtenido de
http://soda.ustadistancia.edu.co/enlinea/Segunda%20unidad%20Cuanti/el_mtodo_estadstic
o.html
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
I
Glosario
Activo de Información: Recurso de valor para el desarrollo de la actividad propia
de la institución que incluye la gestión de la información, el software para su tratamiento y
los soportes físicos y lógicos de la información. (Universidad Nacional de Luján, 2018)
Amenazas: Evento capaz de atentar contra la seguridad de la información y
provocar incidentes en la organización. (Universidad Nacional de Luján, 2018)
Confidencialidad: La confidencialidad implica que debe protegerse la información
de forma tal que solo sea conocida por las personas autorizadas y se la resguarde del
acceso de terceros. (Universidad Nacional de Luján, 2018)
Disponibilidad: La disponibilidad implica que debe protegerse la información de
forma tal que se pueda disponer de ella para su gestión en el tiempo y la forma requeridos
por el usuario. (Universidad Nacional de Luján, 2018)
Información: Datos relacionados que tienen valor para la organización
Integridad: La integridad implica que debe salvaguardarse la totalidad y la
exactitud de la información que se gestiona. (Universidad Nacional de Luján, 2018)
ISO: International Standard Organization. En español Organización de Estándares
Internacionales. Conjunto de normas orientadas a ordenar la gestión de una empresa.
(ISOtools, 2015)
Riesgo: Es la posibilidad de que una amenaza aproveche una vulnerabilidad y dañe
un activo de información (Universidad Nacional de Luján, 2018)
Seguridad de la Información: Conjunto de metodologías, técnicas, estrategias,
políticas, normas y procedimientos tendientes a minimizar las amenazas y riesgos
continuos a los que está expuesta la información. (Universidad Nacional de Luján, 2018)
S.G.S.I: Sistema de Gestión de Seguridad de la Información.
Diseño de un Sistema de Gestión de Seguridad de la Información alineado bajo la norma
ISO/IEC 27001:2013 para el Consorcio Metro-Bastión.
II
Vulnerabilidad: Debilidad en un activo que lo hace susceptible a ser atacado.
(Universidad Nacional de Luján, 2018)
Alcance: Ámbito de la organización que queda sometido al SGSI. (ISO2700.ES,
s.f.)
Parte interesada: Persona u organización que puede afectar a, ser afectada por o
percibirse a sí misma como afectada por una decisión o actividad. (ISO2700.ES, s.f.)
Mejora continua: Es un proceso que pretende mejorar, los productos, servicios y
procesos de una organización mediante una actitud general, la cual configura la base para
asegurar la estabilización de los circuitos de una continuada detección de errores o áreas de
mejoras. (ISOTools, 2015)
Aceptación del riesgo: Decisión informada de asumir un riesgo concreto.
(ISO2700.ES, s.f.)
Procesos: Conjunto de actividades interrelacionadas o interactuantes que
transforman unas entradas en salidas. (ISO2700.ES, s.f.)
Acción correctiva: Acción para eliminar la causa de una no conformidad y
prevenir su repetición. Va más allá de la simple corrección. (ISO2700.ES, s.f.)