J Guerro NT FM 0113 Memoria

UOC INSTITUTO INTERNACIONAL DE POSGRADO
ELABORACIN DE UN PLAN PARA LA

IMPLEMENTACIN DEL SISTEMA DE GESTIN
DE SEGURIDAD DE LA INFORMACIN
Trabajo de Fin del Mster Interuniversitario en
Seguridad de las Tecnologas de la Informacin y las
Comunicaciones.
Autor:
Jorge Cstulo Guerrn Eras
Tutor:
Antonio Jos Segovia Henares
Loja, Enero de 2013
Elaboracin de un Plan Seguridad de la Informacin
Tabla de contenido
OBJETIVO, ALCANCE Y USUARIOS ............................................................................................................... 1
1.
DOCUMENTOS DE REFERENCIA .......................................................................................................... 2
2.
PROYECTO DE IMPLEMENTACIN DEL SGSI. ....................................................................................... 2

2.1.
OBJETIVO DEL PROYECTO......................................................................................................................... 2
2.2.
RESULTADOS DEL PROYECTO. ................................................................................................................... 2
2.3.
PLAZOS................................................................................................................................................ 3
2.4.
ORGANIZACIN DEL PROYECTO ................................................................................................................ 3
2.4.1. Promotor del Proyecto. ............................................................................................................... 3
2.4.2. Gerente del Proyecto................................................................................................................... 4
2.4.3. Equipo del Proyecto..................................................................................................................... 4
2.5.
PRINCIPALES RIESGOS DEL PLAN ............................................................................................................... 4
2.6.
HERRAMIENTAS PARA IMPLEMENTACIN DEL PROYECTO Y GENERACIN DE INFORMES. ....................................... 4
3.
GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO. ............................................... 5
4.
VALIDEZ Y GESTIN DE DOCUMENTOS. .............................................................................................. 5
5.
SITUACIN ACTUAL. ........................................................................................................................... 6

5.1.
OBJETIVOS ........................................................................................................................................... 6
5.2.
METODOLOGA. .................................................................................................................................... 6
5.3.
DOCUMENTACIN NORMATIVA SOBRE LAS MEJORES PRCTICAS EN SEGURIDAD DE LA INFORMACIN. .................... 8
5.4.
IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS Y AMENAZAS SOBRE LOS ACTIVOS DEL BANCO DE LOJA .................. 8
5.4.1. Inventario de Activos................................................................................................................... 8
5.4.2. Definicin de grupos de activos. ................................................................................................. 8
5.4.3. Valoracin de los activos............................................................................................................. 9
5.4.4. Anlisis de Amenazas. ............................................................................................................... 10
5.4.5. Clculo del Riesgo. .................................................................................................................... 21
5.4.6. Seleccin de controles/salvaguardas. ....................................................................................... 21
5.4.7. Clculo del Riesgo Residual. ...................................................................................................... 22
5.5.
AUDITORA DE CUMPLIMIENTO DE LA ISO/IEC 27002:2005. ..................................................................... 22
5.5.1. Modelo de Madurez de la Capacidad ....................................................................................... 23
5.5.2. Diagrama de Radar ................................................................................................................... 23
6.
PROPUESTAS DE PROYECTOS ........................................................................................................... 24
7.
BIBLIOGRAFA. .................................................................................................................................. 28
7.1.
7.2.
7.3.
8.
PUBLICACIONES DE NORMAS. ................................................................................................................ 28

OTRAS PUBLICACIONES ......................................................................................................................... 28
SITIOS WEB. ....................................................................................................................................... 28
GLOSARIO DE TRMINOS. ................................................................................................................. 29

Objetivo, alcance y usuarios
El objetivo del Plan del proyecto es definir claramente el propsito del proyecto de
implementacin del Sistema de Gestin de Seguridad de la Informacin (SGSI), los
documentos que se redactarn, los plazos y las funciones y responsabilidades del
proyecto.
El Plan del proyecto se aplica en una primera etapa a los datos, sistemas de informacin,
medios de enlace y redes de comunicacin, infraestructura tecnolgica, soportes de
informacin, infraestructura fsica y funcionarios que apoyan la ejecucin de los tres (3)
primeros procesos identificados como crticos dentro del Banco de Loja, lo cual nos
permitir identificar de una implementar la metodologa adecuada, para cada ao
adaptar los dems procesos crticos del negocio con el SGSI, hasta obtener un grado de
madurez que luego nos permita gestionar de una manera adecuada todos los procesos
en el Banco de Loja.
Los usuarios de este documento y los que tienen acceso son:
Gerente General.
Gerente de Negocios.
Gerente Administrativo Financiero.
Gerente de Planificacin.
Gerente de Sistemas.
Gerente de Riesgos.
Asesor Jurdico.
Jefe de Recursos Humanos.
Jefe de Operaciones.
Auditor de Sistemas.
Oficial de Seguridad de la Informacin.
Los miembros para la ejecucin del proyecto, que sern debidamente
identificados y notificados por el Oficial de Seguridad de la Informacin.
Objetivos Especficos.
Realizar un diagnstico de la situacin actual entorno al ambiente de

Seguridad de la Informacin en el Banco de Loja.
Analizar la reglamentacin elaborada por las entidades de control respecto a
riesgos y seguridad de la informacin.
Implementar bajo normas, mejores prcticas, y requerimientos de entidades
de control un Sistema de Gestin de Seguridad de la Informacin, que permita
dar cumplimiento a la legislacin en materia de seguridad de la informacin.
Establecer la metodologa y procedimientos necesarios para implementar la
gestin de activos de informacin de los procesos del Banco de Loja.
Pgina 1 de 31
Establecer mediante los controles seleccionados del anexo de la norma ISO

27002, los pilares de seguridad de la informacin en los activos y los procesos
que soportan los servicios del Banco de Loja.
Mejorar e implementar nuevas medidas de seguridad sobre los activos de
informacin, los procesos y los sistemas que permiten brindar los servicios del
Banco de Loja.
Establecer las normas necesarias que permitan incrementar el compromiso y
entorno de seguridad de la informacin, de los funcionarios y directivos del
Banco de Loja.
Establecer la planificacin necesaria para gestionar de mejor manera la
implementacin de los controles de seguridad de la informacin.
Identificar los requerimientos de normativas, servicios o software que son
necesarios implementar para mejorar y garantizar la confidencialidad,
integridad y disponibilidad de la seguridad de la informacin.
1. Documentos de referencia
Para el desarrollo del presente plan y la implementacin del mismo, se ha seleccionado a
la serie de estndares ISO 27000 relacionados con seguridad de la informacin, los cuales
contienen los trminos y definiciones que nos permiten aplicar el estndar ISO, los
requisitos para implementar un SGSI, los dominios y objetivos de control para la
implementacin, y una gua de auditora til en la fase de verificacin.
Adicionalmente se ha seleccionado los siguientes documentos:
Norma BS 25999-2.
NTP-ISO/IEC 17799-2007.
Metodologa:
Arquitectura de Seguridad de Informacin en la Empresa, denominada EISA por
sus siglas en ingls.
2. Proyecto de Implementacin del SGSI.

2.1. Objetivo del proyecto.
Para implementar el Sistema de Gestin de Seguridad de la Informacin en
conformidad con la norma ISO 27001, se realizar a ms tardar, hasta finales de
Noviembre del 2014, la implementacin de los documentos necesarios que permitan
gestionar de manera segura el flujo de informacin derivado de los diferentes
procesos del Banco de Loja.
2.2. Resultados del proyecto.
Pgina 2 de 31

Durante el proyecto de implementacin del SGSI, se redactarn los siguientes
documentos:
a. Situacin actual
b. Polticas que incluyen controles para:
1. Aspectos Organizativos de la seguridad de la informacin.
2. Gestin de Activos.
3. Seguridad relacionada al personal.
4. Gestin de comunicaciones y operaciones.
5. Control de Acceso.
6. Adquisicin, desarrollo, mantenimiento de sistemas informticos.
7. Gestin de los Incidentes de Seguridad.
8. Gestin de la Continuidad del Negocio.
9. Cumplimiento.
c. Compromiso firmado por parte de los miembros del Comit de Administracin
Integral de Riesgo (CAIR), de apoyar decididamente a la implementacin del
SGSI.
d. Enfoque de evaluacin de riesgos cuya metodologa debe contemplar
inventario de activos, identificacin de amenazas y vulnerabilidades,
identificacin de impactos, anlisis y evaluacin de riesgos, y tratamiento de
riesgos.
e. Declaracin de aplicabilidad SOA.
f. Estrategias para Formacin y concienciacin.
g. Planes de accin correctiva/preventiva.
h. Planes de monitoreo y revisin.
i. Revisin del SGSI por parte de la Direccin.
j. Planes de auditora.
2.3. Plazos
El Sistema de Gestin de Seguridad de la Informacin tiene como fecha lmite de
implementacin Noviembre del 2014, fecha en la cual se habr pasado por las fases
del ciclo de Deaming o PDCA (Plan - Do - Check - Act) que nos permitir, como la
mejor prctica, hacer una mejora continua de las facses que son necesarias a fin de
llevar a cabo una satisfactoria implementacin del SGSI.
2.4. Organizacin del Proyecto
2.4.1. Promotor del Proyecto.
El promotor y responsable del presente proyecto ser el Oficial de Seguridad de

la Informacin, quien deber coordinar cada una de las fases, solicitar,
organizar o generar la documentacin que sea necesaria a fin de dar
cumplimiento a la implementacin satisfactoria del SGSI.
Pgina 3 de 31

2.4.2. Gerente del Proyecto.
El Oficial de Seguridad de la Informacin informar de los avances en el

desarrollo del presente proyecto al Gerente de la Unidad de Administracin
Integral de Riesgos.
2.4.3. Equipo del Proyecto.
Para el desarrollo del presente proyecto ser necesario contar con la

colaboracin de un miembro de la Unidad de Planificacin y Desarrollo
Organizacional, Administrador de Seguridad de la Informacin, y el visto bueno
de los Gerentes de cada rea con la finalidad de involucrar a sus colaboradores
de una manera planificada mientras se desarrolla el presente plan.
2.5. Principales Riesgos del Plan
En cualquier proyecto, el recurso ms importante son las personas. Idealmente un
proyecto debera tener disponibles a un nmero adecuado de personas, con las
habilidades y experiencia correctas, y comprometidos y motivados con el proyecto.
Sin embargo, las cosas pueden ser diferentes, por lo que hemos identificado estos
riesgos.
El personal del proyecto est comprometido con la entera duracin para lo

que son necesarios?
Todos los miembros del equipo estn disponibles a tiempo completo?
El movimiento de personal de un mismo proyecto es suficientemente bajo
como para permitir la continuidad del proyecto?
Se han establecido los mecanismos apropiados para permitir la comunicacin
entre los miembros del equipo?
El entorno de trabajo del equipo es el apropiado?
2.6. Herramientas para implementacin del proyecto y generacin de informes.

Se ha evaluado varias herramientas, una de las mejores opciones de cdigo abierto ha
sido Securia SGSI es una herramienta integral que cubre el proceso automtico de
implantacin, puesta en funcionamiento, mantenimiento y mejora continua de un
Sistema de Gestin de Seguridad de la Informacin (SGSI) segn la norma internacional
ISO 27001.
Otras herramientas evaluadas fueron:
e-Pulpo.
GCPGLOBAL.
Pgina 4 de 31

ORCA.
La herramienta seleccionada es actualizada peridicamente y cuenta con manuales de
implementacin y uso en espaol, adicional al uso de Securia, se usar hojas de clculo lo
cual permitir llevar un control del avance de la implementacin del SGSI.
3. Gestin de registros guardados en base a este documento.

Se realizar una revisin de los documentos de polticas y archivos generados del
desarrollo e implementacin del SGSI, se gestionar la implementacin de un sistema de
versionamiento que permita validar los cambios documentales y las versiones finales de
adicionalmente se llevar el control de la documentacin en las herramientas
seleccionadas.
4. Validez y gestin de documentos.

Todos los documentos sern debatidos por los involucrados, recoger los comentarios
ayudar a enriquecer las polticas que se definan, solo entrara en vigencia cuando se los
apruebe por los canales establecidos en el Banco de Loja, y una vez que se tenga
implementadas todas las correcciones solicitadas por los involucrados del SGSI.
Pgina 5 de 31
Diagnstico de la Situacin Actual

5. Situacin Actual.
5.1.
Objetivos
Verificar la implementacin de una metodologa que permita gestionar los riesgos

del Banco, la identificacin y valoracin de activos y las amenazas sobre stos.
Verificar la administracin de accesos lgicos a los servicios internos y externos.
Verificar las configuraciones de los servicios y la documentacin generada.
Evaluacin de la arquitectura de red implementada.
Seleccionar los controles que nos van a permitir cubrir los distintos aspectos al
implementar el Sistema de Gestin de Seguridad de la Informacin (SGSI).
Revisar las polticas, normas, procedimientos y documentos de control que nos
permiten determinar el grado de cumplimiento en la implementacin del SGSI.
Validar el cumplimiento actual de la ISO:IEC 27002:2005
5.2.
Metodologa.
La metodologa seleccionada para la implementacin se basa en la metodologa EISA la

cual nos permitir aplicar un mtodo riguroso y comprensivo para describir el
comportamiento de los procesos de seguridad del Banco, sistemas de seguridad de
informacin y subunidades de personal y organizativas, para que se alineen con las metas
comunes de la organizacin y la direccin estratgica.
Preguntas que responde la EISA
Un proceso de Arquitectura de Seguridad de Informacin en la Empresa ayuda a
contestar preguntas bsicas como:
Est la arquitectura actual apoyando y aadiendo valor a la seguridad de la
organizacin?
Cmo podra una arquitectura de seguridad ser modificada para que aada ms
valor a la organizacin?
Basndonos en lo que sabemos sobre lo que la organizacin quiere llevar a cabo
en el futuro, la arquitectura actual lo sustentar o lo entorpecer?
Para implementar una arquitectura de seguridad de informacin en el Banco de Loja,
mediante la cual la arquitectura se alinee con la estrategia de la organizacin y otros
detalles necesarios tales como dnde y cmo opera, es necesario competencias
esenciales, procesos de negocio, y cmo la organizacin interacta consigo misma y con
partes tales como clientes, proveedores, y entidades gubernamentales.
Estando establecida la estrategia y estructura de la organizacin, es necesario identificar
cual es la actual arquitectura y como sta soporta los procesos.
Pgina 6 de 31

Requerimiento
Cuadros de organizacin, actividades, y flujo de
procesos sobre cmo TI de la organizacin opera.
Ciclos, periodos y distribucin en el tiempo de la
organizacin.
Proveedores de tecnologa hardware, software y
servicios.
Inventarios y diagramas de aplicaciones y software.
Interfaces entre aplicaciones; esto es: eventos,
mensajes y flujo de datos.
Intranet, Extranet, Internet, comercio electrnico.
Clasificacin de datos, bases de datos y modelos de
datos soportados.
Hardware, plataformas, servidores, componentes de
red y dispositivos de seguridad y dnde se
conservan.
Redes de rea local y abiertas, diagramas de
conectividad a internet
Documentado
Si
Actualizado
Si
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Para el desarrollo del presente plan se utilizarn los siguientes procedimientos:

Reuniones con los involucrados en el Plan de implementacin del SGSI, que nos
permitir debatir y contar con la aceptacin de los controles de la norma ISO
27002 a implementar en el Banco de Loja.
Reunin para establecer el compromiso y delegados en el proceso de
implementacin del SGSI.
El objetivo de sta etapa es sentar las bases del proceso de mejora continua en materia
de seguridad, permitiendo al Banco de Loja conocer el estado del mismo y plantear las
acciones necesarias para minimizar el impacto de los riesgos potenciales.
Para ello se abordarn las siguientes fases:
Documentacin normativa sobre las mejores prcticas en seguridad de la
informacin.
Identificacin y valoracin de los activos y amenazas sobre los activos del Banco
de Loja
Auditora de cumplimiento de la ISO/IEC 27002:2005.
Propuestas de proyectos de cara a conseguir una adecuada gestin de la
seguridad.
Presentacin de resultados.
Para adaptar el Sistema de Gestin de Seguridad de la Informacin ser importante que el
proyecto se ajuste a las 4 fases definidas por la serie de normas ISO 27000 como la mejor
prctica para poder implementar el SGSI, en el siguiente esquema se presenta las etapas
Pgina 7 de 31

en las cuales el SGSI ser adaptado al Banco de Loja, las mismas etapas sern la gua para
la presentacin de avances.
5.3. Documentacin normativa sobre las mejores prcticas en seguridad de la

informacin.
Para la ejecucin de la presente etapa se selecciona a Magerit V2 como metodologa de
Anlisis y Gestin de Riesgos de los Sistemas de Informacin, tambin es posible que para
la consecucin de los objetivos sea necesario implementar otras fuentes de buenas
prcticas como ITIL.
5.4. Identificacin y valoracin de los activos y amenazas sobre los activos del Banco
de Loja
5.4.1. Inventario de Activos.
Como primera actividad a ejecutar es necesario realizar la evaluacin de los activos de

informacin en los procesos seleccionados, considerando las dependencias entre stos y
realizando una valoracin.
5.4.2. Definicin de grupos de activos.
Inventario de Activos
Detalle
Pgina 8 de 31

Instalaciones
Hardware (HW)
Aplicacin(SW)
Ubicacin de equipos informticos y de comunicaciones

Equipos que alojan datos, aplicaciones y servicios
Aplicativos que permiten manejar los datos
El principal recurso, todos los dems activos se identifican alrededor de
Datos
ste activo
Red
Equipamiento que permite intercambiar datos
Que se brindan gracias a los datos y que se necesitan para gestionar los
Servicios
datos
Equipamiento Auxiliar Todo aquello que complemente al material informtico
Soportes de
Informacin
Dispositivos que permiten el almacenamiento de datos (temporal)
Personal
Quienes explotan u operan todos los dems elementos
Activos proceso operaciones de caja:

mbito
Datos
Servicios
SW
HW
Redes y comunicaciones
Soporte de Informacin
Activo
Informacin personal cliente
Transaccin Cliente
Depsito
Retiro
Pagos
Operaciones Plizas
Recaudacin
FISA
Sistema BP-BR (webservice)
Servidor BBDD
IBM Blade Server
Servidor Formas
Terminal de Usuario
Red Lan
Papeletas
Comprobantes
Equipamiento Auxiliar
Instalaciones
Personal
Oficinas
Data Center (Sala servidores)
Cajeros
Supervisor de Caja / Oficial Operativo y Administrativo
Supervisor de Front Operativo
Jefe de Operaciones
Terceros
5.4.3. Valoracin de los activos
Pgina 9 de 31

Dimensiones de Seguridad
VA Valor
Criterio
MA
10 Dao muy grave a la organizacin
A
7 - 9 Dao grave a la organizacin
MA 4 - 6 Dao importante a la organizacin
B
1 - 3 Dao menor a la organizacin
MB
0 Dao irrelevante para la organizacin
mbito
Datos
Servicios
SW
HW
Redes y
comunicaciones
Soporte de
Informacin
Instalaciones
Personal
Activo
Transaccin Cliente
Depsito
Retiro
Pagos
Operaciones Plizas
Recaudacin
FISA
Sistema BP-BR (webservice gestin
independiente)
Servidor BBDD Principal - Oracle
IBM Blade Server
Servidor Formas - Oracle Forms 6
Terminal de Usuario
Valor
MA
M
MA
MA
M
M
M
MA
A
8
6
8
8
8
8
8
8
C
I D A
9 10 9 7
8 9 6 7
7 7 10 7
7 7 10 7
7 7 6 7
7 7 6 7
7 7 6 7
9 9 9 8
MA
MA
MA
MA
M
6
9
7
7
2
3
9
9
9
6
1
9
6
6
1
Red Lan
Papeletas
Comprobantes
Oficinas
Cajeros
Supervisor de Caja / Oficial Operativo y
Administrativo
Jefe de Operaciones
MA
M
MB
A
MA
M
9 9 9 9
2 1 8 4
8 2 6 4
7 8 7 8
9 10 10 10
7 9 9 5
9
1
2
2
9
4
M
B
B
7
7
7
6
4
4
6
9
9
9
2
9
9
9
5
9
8
8
1
9
9
9
8
3
3
5.4.4. Anlisis de Amenazas.
Para el entendimiento de la presente etapa es necesario indicar que se establecen segn

Magerit V2, ciertas amenazas tpicas identificadas y que reducen la utilizacin del activo
en diferentes mbitos de los pilares de la seguridad de la informacin, stos activos estn
frecuentemente expuestos a las amenazas, por lo cual la frecuencia de ocurrencia se
expresar como como tasa anual o incidencias por ao; finalmente la frecuencia con la
Pgina 10 de 31

que una amenaza se materialice sobre un activo har que ste activo disminuya en un
porcentaje de su valor.
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.14 Escapes de Informacin (fuga accidental)
E.15 Alteracin de la informacin
E.16 Introduccin de informacin incorrecta
E.17 Degradacin de la informacin
E.18 Destruccin de informacin
E.19 Divulgacin de informacin (fuga)
A.4 Manipulacin de la configuracin
A.11 Acceso no autorizado
A.14 Interceptacin de informacin (escucha)
A.15 Modificacin de la Informacin
A.16 Introduccin de falsa informacin
A.17 Corrupcin de la informacin
A.18 Destruccin la informacin
A.19 Divulgacin de Informacin
Frecuencia
A
C
I
D
40
80% 60%
20
10% 80% 80% 100%
20
10% 10% 10%
30
50%
60
1%
30
100%
100
50%
40
50%
10
100%
50
10%
1
100% 100% 100% 100%
1
50% 10% 100%
1
50%
10
100%
10
80%
40
20%
20
100%
40
1%
Transaccin Cliente
E.14 Escapes de Informacin (fuga accidental)
E.15 Alteracin de la informacin
E.16 Introduccin de informacin incorrecta
E.17 Degradacin de la informacin
E.18 Destruccin de informacin
E.19 Divulgacin de informacin (fuga)
A.15 Modificacin de la informacin
A.16 Introduccin de falsa informacin
A.17 Corrupcin de la informacin
A.18 Destruccin la informacin
A.19 Divulgacin de Informacin
Frecuencia
A
C
I
D
A
60
30% 20%
10
10% 80% 80% 50% 10%
10
10% 10% 10% 100%
50
50%
100%
1
1%
10
100%
10
50%
1
50%
1
100%
10
10%
1
100% 100% 100% 100% 100%
1
50% 10% 100%
1
50%
1
100%
10
80%
1
20%
1
100%
80
1%
A
100%
100%
100%
100%
Pgina 11 de 31
Depsito
E.9 Errores de re-encaminamiento
E.10 Errores de secuencia
E.24 Cada del sistema por agotamiento de
recursos
A.5 Suplantacin de la identidad del usuario
A.6 Abuso de privilegios de acceso
A.7 Uso no previsto
A.9 Re-encaminamiento de mensajes
A.10 Alteracin de secuencia
A.13 Repudio
A.24 Denegacin de servicio
Frecuencia
30
10
10
20
1
1
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Retiro
recursos
A.7 Uso no previsto
A.13 Repudio
Frecuencia
30
10
10
20
1
1
80%
30%
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Pagos
Frecuencia
30
10
10
80%
30%
80%
30%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
A
10%
10%
Pgina 12 de 31

recursos
A.7 Uso no previsto
A.13 Repudio
20
1
1
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Operaciones Plizas
recursos
A.7 Uso no previsto
A.13 Repudio
Frecuencia
30
10
10
20
1
1
80%
30%
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Recaudacin
recursos
Frecuencia
30
10
10
20
1
1
80%
30%
10% 100% 100% 100% 100%

10% 50% 80%
10%
60%
30
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
100%
Pgina 13 de 31

A.7 Uso no previsto
A.13 Repudio
FISA
I.5 Avera de origen fsico o lgico
E.8 Difusin de software daino
E.14 Escapes de informacin
E.20 Vulnerabilidades de los programas
(software)
E.21 Errores de mantenimiento / Actualizacin
de programas (software)
A.7 Uso no previsto
A.8 Difusin de software daino
A.22 Manipulacin de programas
Sistema BP-BR (webservice gestin
independiente)
E.8 Difusin de software daino
1
1
20
50
1
1
1
10
1
30%
10%
Frecuencia
10
10
20
1
10
1
1
1
20
30
1
1
20
1
1
1
1
1
1
Frecuencia
30
10
1
1
1
1
50%
50%
60%
50%
80%
70%
10%
10%
50%
30%
30%
20%
30%
40%
100%
100%
C
50% 100%
10%
1%
1%
50%
1%
50%
D
A
100% 100%
1%
1%
100% 100% 20%
20%
100% 100% 20%
1%
1%
1%
50%
100%
30%
30%
30
30
30%
30%
60%
100% 100% 100%

100% 100%
30% 100% 100% 100% 50%
80% 80% 80%
50% 50%
50%
100% 100% 100% 100% 100%
10% 50% 50%
10%
50%
100% 100% 100%
20%
100% 100% 100%
100%
10%
10%
1%
1%
1%
1%
D
A
100% 100%
1%
1%
10% 10% 10%
1%
1% 100%
2%
1%
1%
1%
Pgina 14 de 31

E.20 Vulnerabilidades de los programas
(software)
E.21 Errores de mantenimiento / Actualizacin
de programas (software)
A.7 Uso no previsto
A.8 Difusin de software daino
A.22 Manipulacin de programas
Servidor BBDD Principal - Oracle
N.1 Fuego
N.2 Daos por Agua
N.* Desastres Naturales
I.1 Fuego
I.2 Daos por agua
I.* Desastres Industriales
I.3 Contaminacin Mecnica
I.4 Contaminacin Electromagntica
I.6 Corte de suministro elctrico
I.7 Condiciones inadecuadas de temperatura y/o
humedad
I.11 Emanaciones electromagnticas
E.23 Errores de mantenimiento /actualizacin
de equipos (hardware)
recursos
A.7 Uso no previsto
1
1
20
1%
10%
10
10
1
1
20
1
1
1
1
1
1
10%
1%
Frecuencia
0
1
0
0
1
0
0
1
10
10
1
10
1
1
10
1
1
1
1
0
50%
30%
100%
30%
10
50%
10%
10%
10%
1%
10%
10%
100% 100%
10% 10% 10%
10% 10%
1% 10%
10%
10% 10% 10%
50% 50%
50%
10% 10%
20%
1%
1%
C
10%
10%
10%
1%
D
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
50%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
10%
10%
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
10%
Pgina 15 de 31

A.25 Robo
A.26 Ataque destructivo
A.27 Ocupacin enemiga
IBM Blade Server
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
humedad
recursos
A.7 Uso no previsto
A.25 Robo
Servidor Formas - Oracle Forms 6
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
1
10
10
1
1
10
1
100%
50%
100%
50%
50%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
50%
1
10
1
1
1
1
0
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
10%
10%
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
100%
50%
50%
100%
50%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
10%
A
100%
100%
100%
100%
100%
100%
10%
Pgina 16 de 31

humedad
recursos
A.7 Uso no previsto
A.25 Robo
1
10
10
Terminal de Usuario
Frecuencia
0
1
0
0
1
0
0
1
10
10
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
humedad
recursos
10% 10%
100% 100%
100% 100%
1
1
10
1
50%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
10%
10%
1
10
1
1
1
1
0
0
0
0
0
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
100%
50%
50%
100%
50%
50%
A
1
1
10
1
10%
10%
10%
10%
10%
10%
10%
D
10%
10%
10%
10%
10%
1%
1%
10%
1%
1%
A
10%
10%
10%
10%
10%
1%
1%
10%
1%
1%
50%
50%
10%
10%
10%
10%
10%
10
1
1
10%
10%
10%
1%
10%
1%
10%
10%
10%
Pgina 17 de 31

A.7 Uso no previsto
A.25 Robo
Red Lan
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
humedad
I.8 Fallo de servicio de comunicaciones
recursos
A.7 Uso no previsto
A.9 Re-encaminamiento de mansajes
A.10 Alteracin de Secuencia
A.12 Anlisis de trfico
A.25 Robo
1
1
0
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
1
10
10
1%
1%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
50%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
50%
100%
100%
80%
100%
80%
50%
50% 100% 100% 100%
10% 100% 100% 100%
10% 50% 50%
50%
50%
1
1
0
0
1
0
0
0
0
0
0
0
0
0
1%
50%
50%
50%
50%
1
1
0
10
1
0
0
1
1%
1%
50% 100%
50% 50%
80%
10% 100%
10%
50%
20%
20%
10%
100%
100% 100%
50%
80%
50%
100%
50%
50%
10%
10%
50%
10%
10%
100%
100%
100%
100%
Pgina 18 de 31
Papeletas
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
humedad
I.10 Degradacin de los soportes de
almacenamiento de la informacin
A.7 Uso no previsto
A.25 Robo
Comprobantes
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
humedad
I.10 Degradacin de los soportes de
almacenamiento de la informacin
A.7 Uso no previsto
A.25 Robo
Frecuencia
0
30
0
0
30
0
0
0
10
0
30
Frecuencia
0
50
0
0
50
0
0
0
10
0
100% 100%
1%
50%
50%
100%
50%
100%
100%
10%
10%
A
50
D
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
A
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
50
10
1
0
0
0
A
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
30
10
1
0
0
0
D
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
1%
50%
50%
100%
10%
50%
100%
100%
10%
Pgina 19 de 31
N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
I.11 Emanaciones Electromagnticas
A.7 Uso no previsto
Frecuencia
0
10
0
0
10
0
0
0
20
0
0

N.1 Fuego
N.2 Daos por Agua
I.1 Fuego
I.2 Daos por agua
I.11 Emanaciones Electromagnticas
A.7 Uso no previsto
Frecuencia
0
20
0
0
20
0
0
0
20
0
0
Cajeros
E.7 Deficiencias en la organizacin
E.28 Indisponibilidad del personal
A.28 Indisponibilidad del personal
A.29 Extorsin
A.30 Ingeniera Social
Frecuencia
30
40
0
0
20
Oficinas
Supervisor de Caja / Oficial Operativo y

Administrativo
A.29 Extorsin
20%
20%
20%
A
60%
60%
80%
60%
60%
60%
30%
60%
20%
20%
A
50%
50%
50%
D
A
100% 100%
80% 80%
80% 80%
100% 100%
80% 80%
60% 60%
50% 50%
10%
100%
50%
50%
A
1%
1%
1%
1%
1%
1%
20
10
0
0
10
20%
20%
20%
20%
20%
20%
Frecuencia
Frecuencia
D
60%
60%
80%
60%
60%
60%
30%
10%
D
20%
1%
1%
1%
1%
D
20%
20%
20%
20%
20%
D
Pgina 20 de 31

A.29 Extorsin
10
1
0
0
10
Jefe de Operaciones
A.29 Extorsin
Frecuencia
1
1
0
0
1
10%
30%
30%
30%
30%
30%
30%
30%
30%
50%
50%
50%
50%
50%
50%
30%
30%
D
1%
50%
50%
50%
50%
5.4.5. Clculo del Riesgo.
El clculo del riesgo actual es una valoracin en la que interviene el valor que le hemos
dado a los activos en cada una de las dimensiones, la frecuencia con la que una amenaza
puede degradar a aun activo, y el impacto de dao o disminucin que la amenaza puede
causarle al activo, en el Anexo 1. Clculo del Riesgo Actual; se identifica y se calculan los
diferentes valores de riesgo para los activos.
5.4.6. Seleccin de controles/salvaguardas.
Para ejecutar la actividad de seleccin de salvaguardas, debemos tomar en consideracin

los elementos de proteccin actual que tienen nuestros activos, y los posibles elementos
de control de los que podemos dotar a nuestros, activos, es decir a los grupos de activos
que hemos definido, validar los controles del Anexo a la Norma UNE-ISO/IEC 27001:2005
son aplicables en el contexto de nuestras capacidades, para sto se ha considerado 2
mbitos esenciales con los que debemos trabajar las salvaguardas, los aspectos de y el
tipo de proteccin de las salvaguardas que vamos a implementar, los cuales resumimos
en los siguientes cuadros.
Aspecto de las salvaguardas

PR
PP
SW
HW
SF
Procedimientos
Poltica Personal
Aplicaciones
Dispositivos Fsicos
Seguridad Fsica
Pgina 21 de 31
Tipo de proteccin
PTG
PdS
PDI
PSW
PHW
PdC
PSF
PRP
Proteccin de Tipo General

Proteccin de Servicios
Proteccin de Datos/Informacin
Proteccin de Aplicaciones
Proteccin de Equipos
Proteccin de Comunicaciones
Seguridad Fsica
Relativas al Personal
En el Anexo 2. Seleccin de Salvaguardas; hemos identificado los controles actuales y los

posibles controles que podemos aplicar.
5.4.7. Clculo del Riesgo Residual.
Luego de identificados los controles o salvaguardas que debemos aplicar a los diferentes
activos, debemos volver a calcular el riesgo al que estn expuestos nuestros activos pero
sta vez disminuido en los casos en los que hemos adoptado la implementacin de
salvaguardas, es decir que el riesgo analizado en el Literal 5.4.5, est disminuido gracias a
la actividad realizada en el literal 5.4.6, en el Anexo 3. Clculo del Riesgo Residual; se
detallan los diferentes valores de riesgo para los activos, luego de implementadas las
salvaguardas.
5.5.
Auditora de cumplimiento de la ISO/IEC 27002:2005.
Con el propsito de proteger la informacin del Banco, y como futura gua para
implementar o mejorar las medidas de seguridad, sta etapa nos va a permitir obtener
una radiografa de la situacin actual entorno a la Seguridad del Banco de Loja.
NOTA: En el Anexo 4. Tabla de Cumplimiento de la ISO/IEC 27002:2005, se detalla el
estado actual de la seguridad implementada indicando el porcentaje de cumplimiento por
cada control.
Pgina 22 de 31

5.5.1. Modelo de Madurez de la Capacidad
5.5.2. Diagrama de Radar
Pgina 23 de 31

6. Propuestas de Proyectos
El primer acercamiento para realizar la implementacin del SGSI es el desarrollo del
presente plan, el mismo que es un instrumento imprescindible en cualquier organizacin,
las propuestas de los proyectos que se ejecutarn ayudarn a mejorar el entorno de
Seguridad de la Informacin en el Banco de Loja, los proyectos que se recomiendan
estudiar y que ayudarn a mitigar el riesgo y dar cumplimiento a la norma UNE ISO/IEC
27002:2005, en todos los casos se deber establecer el costo beneficio, para validar la
cuantificacin econmica contra el tiempo de implementacin y la factibilidad de uso,
algunos de los proyectos que se propone validar sern:
Proyecto 1.-
Clasificacin de activos de informacin.
Recursos Personal.- Oficial de Seguridad de la Informacin

- Oficial de Planificacin
- Oficial de Procesos
- Jefe de Centro de Cmputo
- Jefe de Operaciones
Recursos Hardware.- Terminales del personal involucrado en el proyecto.
Recursos Software.- Software procesador de ofimtica
- Gantt project.
Planificacin de actividades.- Especificado en Anexo N 6.
Presupuesto.- 40.000
Proyecto 2.-
Implementacin de SIEM

- Gerente de Sistemas
- Tcnico de Infraestructura
- Tcnico de Telecomunicaciones
Recursos Hardware.Pgina 24 de 31

- IBM Blade.
- Terminales de usuarios
- Equipamiento auxiliar de almacenamiento
Recursos Software.- OSSIM AlienVault
- Active Directory
Presupuesto 80.000
Proyecto 3.-
Control de Accesos

- Administrador de Base de Datos
- Administrador de Seguridad de la Informacin
- Personal Tcnico de Proveedor
Recursos Hardware.- Appliance de Herramienta
Recursos Software.- Software de ofimtica
Presupuesto 35.000
Proyecto 4.-
Validacin de transacciones de Base de Datos

- Auditor de Sistemas
Pgina 25 de 31

Recursos Hardware.- Servidor de Base de Datos
- Appliance firewall de Base de Datos.
Recursos Software.- Software de Ofimtica.
Presupuesto 75.000
Proyecto 5.-
Implementacin de TDM

- Jefe de Desarrollo
Recursos Hardware.- Servidores de Base de Datos (ambiente desarrollo)
Recursos Software.- Software de Ofimtica
- Herramientas para Test Data Management (Licuado de Datos)
Presupuesto 60.000
Proyecto 6.-
Implementacin de medidas de Encriptacin.
Recursos Personal.Pgina 26 de 31

- Oficial de Seguridad de la Informacin
Recursos Hardware.- Routers de Red
Recursos Software.- Software de Ofimtica
Presupuesto 15.000
Pgina 27 de 31

7. Bibliografa.
7.1.
Publicaciones de Normas.
1. UNE-ISO/IEC 27001, Tecnologa de la informacin, Tcnicas de seguridad,
Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Especificaciones (ISO/IEC 27001:2005). Espaa: AENOR, 2007. 35 Pginas.
2. NTP-ISO/IEC 17799, EDI. Tecnologa de la informacin. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin. 2a Edicin. Per:
INDECOPI, 2007. 174 pginas.
7.2.
Otras Publicaciones
1. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin, I Mtodo. Versin 2. Espaa, 2006. 154 pginas
Informacin, II Catlogo de Elementos. Versin 2. Espaa, 2006. 154
pginas
Informacin, III Gua de Tcnicas. Versin 2. Espaa, 2006. 154 pginas
4. HARRIS, Shon. ALL IN ONE CISSP. 6th Edition, USA: McGraw-Hill, 2012. 1430
pages. ISBN 978-0-07-178171-8
5. CRDOVA RODRIGUEZ, Norma Edith. Plan de Seguridad Informtica para
una Entidad Financiera. Argentina: Biblioteca Central UNMSM, 2007. 171
pginas.
6. INTECO-CERT. Curso De Sistemas De Gestin De La Seguridad De La
Informacin Segn La Norma UNE-ISO/IEC 27000. Espaa: INTECO-CERT,
2010. 91 pginas.
7. CRESSON WOOD, Charles. Polticas de Seguridad Informtica - Mejores
Prcticas Internacionales, Version 9.0. Texas: NetIQ, Inc., 2002. 758 pginas.
ISBN 1-881585-09-3
8. ANDRS, Ana y GMEZ, Luis, Gua de aplicacin de la Norma UNE-ISO/IEC
27001 sobre seguridad en sistemas de informacin para pymes. Espaa:
AENOR, 2009. ISBN 978-84-8143-602-0.
7.3.
Sitios Web.
1. Information Technology Security for Managers IBM Global Service.
http://www.ibm.com/services/securite
2. Information Security & Business Continuity Academy, Dejan Kosutic.
http://www.iso27001standard.com/en
3. Lista de verificacin para una auditora a la seguridad Informtica, Cristian
Borghello. http://www.segu-info.com.ar/
4. El Portal de Iso 27001 en espaol. http://www.iso27000.es/
5. El Anexo de ISO 27001 en espaol. http://www.iso27002.es/
Pgina 28 de 31

8. Glosario de Trminos.
Mejor Prctica: Es la aplicacin de controles o costumbres que han sido comunes o
analizados e implementados en otras empresas de la misma naturaleza a la nuestra.
Ciclo de Deming: es conocido como el ciclo de mejora continua, es decir cada vez que el
ciclo es completado, ste vuelve a iniciar; con el objetivo de aprender y mejorar sobre las
actividades que ejecutamos al final.
Sistema de Gestin de Seguridad de Informacin (SGSI): es un conjunto de polticas de
administracin de la informacin, es el trmino utilizado principalmente en la Norma
ISO/IEC27001, el concepto clave de un SGSI es gestionar eficientemente la informacin,
buscando asegurar las dimensiones de Seguridad en los activos de informacin.
Activo de Informacin: Son los elementos, que pueden ser tanto fsicos como lgicos y
son gestionados por un SGSI.
Dimensin de Seguridad: Son conocidas como dimensiones de seguridad a la triada
formada por los conceptos de Integridad, Confidencialidad, y Disponibilidad de la
informacin
Valoracin de Activos: Es la estimacin cuantitativa o cualitativa de la importancia de un
activo en un SGSI.
Amenaza: es todo aquello que puede causar dao o disminuir el valor de un activo para
una empresa.
Vulnerabilidad: son todas las debilidades que puede tener un activo.
Pgina 29 de 31

J Guerro NT FM 0113 Memoria

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

J Guerro NT FM 0113 Memoria

Uploaded by

Copyright:

Available Formats

UOC INSTITUTO INTERNACIONAL DE POSGRADO

ELABORACIN DE UN PLAN PARA LA

Jorge Cstulo Guerrn Eras

Loja, Enero de 2013

Elaboracin de un Plan Seguridad de la Informacin

DOCUMENTOS DE REFERENCIA .......................................................................................................... 2

PROYECTO DE IMPLEMENTACIN DEL SGSI. ....................................................................................... 2

GESTIN DE REGISTROS GUARDADOS EN BASE A ESTE DOCUMENTO. ............................................... 5

VALIDEZ Y GESTIN DE DOCUMENTOS. .............................................................................................. 5

SITUACIN ACTUAL. ........................................................................................................................... 6

PROPUESTAS DE PROYECTOS ........................................................................................................... 24

PUBLICACIONES DE NORMAS. ................................................................................................................ 28

GLOSARIO DE TRMINOS. ................................................................................................................. 29

Elaboracin de un Plan Seguridad de la Informacin

Realizar un diagnstico de la situacin actual entorno al ambiente de

Elaboracin de un Plan Seguridad de la Informacin

Establecer mediante los controles seleccionados del anexo de la norma ISO

2. Proyecto de Implementacin del SGSI.

Elaboracin de un Plan Seguridad de la Informacin

El promotor y responsable del presente proyecto ser el Oficial de Seguridad de

Elaboracin de un Plan Seguridad de la Informacin

El Oficial de Seguridad de la Informacin informar de los avances en el

Para el desarrollo del presente proyecto ser necesario contar con la

El personal del proyecto est comprometido con la entera duracin para lo

2.6. Herramientas para implementacin del proyecto y generacin de informes.

Elaboracin de un Plan Seguridad de la Informacin

3. Gestin de registros guardados en base a este documento.

4. Validez y gestin de documentos.

Diagnstico de la Situacin Actual

Verificar la implementacin de una metodologa que permita gestionar los riesgos

La metodologa seleccionada para la implementacin se basa en la metodologa EISA la

Diagnstico de la Situacin Actual

Para el desarrollo del presente plan se utilizarn los siguientes procedimientos:

Diagnstico de la Situacin Actual

5.3. Documentacin normativa sobre las mejores prcticas en seguridad de la

Como primera actividad a ejecutar es necesario realizar la evaluacin de los activos de

Diagnstico de la Situacin Actual

Ubicacin de equipos informticos y de comunicaciones

Activos proceso operaciones de caja:

5.4.3. Valoracin de los activos

Diagnstico de la Situacin Actual

5.4.4. Anlisis de Amenazas.

Para el entendimiento de la presente etapa es necesario indicar que se establecen segn

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

10% 100% 100% 100% 100%

Diagnstico de la Situacin Actual

100% 100% 100%

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Diagnstico de la Situacin Actual

Data Center (Sala servidores)

Supervisor de Caja / Oficial Operativo y

Diagnstico de la Situacin Actual

5.4.5. Clculo del Riesgo.

Para ejecutar la actividad de seleccin de salvaguardas, debemos tomar en consideracin

Aspecto de las salvaguardas

Diagnstico de la Situacin Actual

Proteccin de Tipo General