Professional Documents
Culture Documents
Autor:
Tutor:
Antonio Jos Segovia Henares
Tabla de contenido
OBJETIVO, ALCANCE Y USUARIOS ............................................................................................................... 1
1.
2.
3.
4.
5.
6.
7.
BIBLIOGRAFA. .................................................................................................................................. 28
7.1.
7.2.
7.3.
8.
Gerente General.
Gerente de Negocios.
Gerente Administrativo Financiero.
Gerente de Planificacin.
Gerente de Sistemas.
Gerente de Riesgos.
Asesor Jurdico.
Jefe de Recursos Humanos.
Jefe de Operaciones.
Auditor de Sistemas.
Oficial de Seguridad de la Informacin.
Los miembros para la ejecucin del proyecto, que sern debidamente
identificados y notificados por el Oficial de Seguridad de la Informacin.
Objetivos Especficos.
Pgina 1 de 31
1. Documentos de referencia
Para el desarrollo del presente plan y la implementacin del mismo, se ha seleccionado a
la serie de estndares ISO 27000 relacionados con seguridad de la informacin, los cuales
contienen los trminos y definiciones que nos permiten aplicar el estndar ISO, los
requisitos para implementar un SGSI, los dominios y objetivos de control para la
implementacin, y una gua de auditora til en la fase de verificacin.
Adicionalmente se ha seleccionado los siguientes documentos:
Norma BS 25999-2.
NTP-ISO/IEC 17799-2007.
Metodologa:
Arquitectura de Seguridad de Informacin en la Empresa, denominada EISA por
sus siglas en ingls.
Pgina 5 de 31
Objetivos
Metodologa.
Pgina 6 de 31
Documentado
Si
Actualizado
Si
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
No
Detalle
Pgina 8 de 31
Servicios
SW
HW
Redes y comunicaciones
Soporte de Informacin
Activo
Informacin personal cliente
Transaccin Cliente
Depsito
Retiro
Pagos
Operaciones Plizas
Recaudacin
FISA
Sistema BP-BR (webservice)
Servidor BBDD
IBM Blade Server
Servidor Formas
Terminal de Usuario
Red Lan
Papeletas
Comprobantes
Equipamiento Auxiliar
Instalaciones
Personal
Oficinas
Data Center (Sala servidores)
Cajeros
Supervisor de Caja / Oficial Operativo y Administrativo
Supervisor de Front Operativo
Jefe de Operaciones
Terceros
Pgina 9 de 31
mbito
Datos
Servicios
SW
HW
Redes y
comunicaciones
Soporte de
Informacin
Instalaciones
Personal
Activo
Informacin personal cliente
Transaccin Cliente
Depsito
Retiro
Pagos
Operaciones Plizas
Recaudacin
FISA
Sistema BP-BR (webservice gestin
independiente)
Servidor BBDD Principal - Oracle
IBM Blade Server
Servidor Formas - Oracle Forms 6
Terminal de Usuario
Valor
MA
M
MA
MA
M
M
M
MA
A
8
6
8
8
8
8
8
8
C
I D A
9 10 9 7
8 9 6 7
7 7 10 7
7 7 10 7
7 7 6 7
7 7 6 7
7 7 6 7
9 9 9 8
MA
MA
MA
MA
M
6
9
7
7
2
3
9
9
9
6
1
9
6
6
1
Red Lan
Papeletas
Comprobantes
Oficinas
Data Center (Sala servidores)
Cajeros
Supervisor de Caja / Oficial Operativo y
Administrativo
Supervisor de Front Operativo
Jefe de Operaciones
MA
M
MB
A
MA
M
9 9 9 9
2 1 8 4
8 2 6 4
7 8 7 8
9 10 10 10
7 9 9 5
9
1
2
2
9
4
M
B
B
7
7
7
6
4
4
6
9
9
9
2
9
9
9
5
9
8
8
1
9
9
9
8
3
3
Pgina 10 de 31
Frecuencia
A
C
I
D
40
80% 60%
20
10% 80% 80% 100%
20
10% 10% 10%
30
50%
60
1%
30
100%
100
50%
40
50%
10
100%
50
10%
1
100% 100% 100% 100%
1
50% 10% 100%
1
50%
10
100%
10
80%
40
20%
20
100%
40
1%
Transaccin Cliente
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.14 Escapes de Informacin (fuga accidental)
E.15 Alteracin de la informacin
E.16 Introduccin de informacin incorrecta
E.17 Degradacin de la informacin
E.18 Destruccin de informacin
E.19 Divulgacin de informacin (fuga)
A.4 Manipulacin de la configuracin
A.11 Acceso no autorizado
A.14 Interceptacin de informacin (escucha)
A.15 Modificacin de la informacin
A.16 Introduccin de falsa informacin
A.17 Corrupcin de la informacin
A.18 Destruccin la informacin
A.19 Divulgacin de Informacin
Frecuencia
A
C
I
D
A
60
30% 20%
10
10% 80% 80% 50% 10%
10
10% 10% 10% 100%
50
50%
100%
1
1%
10
100%
10
50%
1
50%
1
100%
10
10%
1
100% 100% 100% 100% 100%
1
50% 10% 100%
1
50%
1
100%
10
80%
1
20%
1
100%
80
1%
A
100%
100%
100%
100%
Pgina 11 de 31
Depsito
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.9 Errores de re-encaminamiento
E.10 Errores de secuencia
E.24 Cada del sistema por agotamiento de
recursos
A.4 Manipulacin de la configuracin
A.5 Suplantacin de la identidad del usuario
A.6 Abuso de privilegios de acceso
A.7 Uso no previsto
A.9 Re-encaminamiento de mensajes
A.10 Alteracin de secuencia
A.11 Acceso no autorizado
A.13 Repudio
A.24 Denegacin de servicio
Frecuencia
30
10
10
20
1
1
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Retiro
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.9 Errores de re-encaminamiento
E.10 Errores de secuencia
E.24 Cada del sistema por agotamiento de
recursos
A.4 Manipulacin de la configuracin
A.5 Suplantacin de la identidad del usuario
A.6 Abuso de privilegios de acceso
A.7 Uso no previsto
A.9 Re-encaminamiento de mensajes
A.10 Alteracin de secuencia
A.11 Acceso no autorizado
A.13 Repudio
A.24 Denegacin de servicio
Frecuencia
30
10
10
20
1
1
80%
30%
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Pagos
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
Frecuencia
30
10
10
80%
30%
80%
30%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
A
10%
10%
Pgina 12 de 31
20
1
1
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Operaciones Plizas
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.9 Errores de re-encaminamiento
E.10 Errores de secuencia
E.24 Cada del sistema por agotamiento de
recursos
A.4 Manipulacin de la configuracin
A.5 Suplantacin de la identidad del usuario
A.6 Abuso de privilegios de acceso
A.7 Uso no previsto
A.9 Re-encaminamiento de mensajes
A.10 Alteracin de secuencia
A.11 Acceso no autorizado
A.13 Repudio
A.24 Denegacin de servicio
Frecuencia
30
10
10
20
1
1
80%
30%
1
1
20
50
1
1
1
10
1
30%
10%
30%
30%
60%
10%
10%
50%
30%
Recaudacin
E.1 Errores de los usuarios
E.2 Errores del Administrador
E.3 Errores de monitorizacin (Log)
E.4 Errores de configuracin
E.9 Errores de re-encaminamiento
E.10 Errores de secuencia
E.24 Cada del sistema por agotamiento de
recursos
Frecuencia
30
10
10
20
1
1
80%
30%
30
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
30
30
100%
50% 50%
50%
60%
70%
30%
20%
30%
100%
50% 50%
50%
60%
70%
30%
20%
30%
80%
40%
100%
100%
I
D
1%
1%
50% 100%
10%
10%
10% 100% 100% 100% 100%
10% 50% 80%
10%
60%
100%
Pgina 13 de 31
1
1
20
50
1
1
1
10
1
30%
10%
Frecuencia
10
10
20
1
10
1
1
1
20
30
1
1
20
1
1
1
1
1
1
Frecuencia
30
10
1
1
1
1
50%
50%
60%
50%
80%
70%
10%
10%
50%
30%
30%
20%
30%
40%
100%
100%
C
50% 100%
10%
1%
1%
50%
1%
50%
D
A
100% 100%
1%
1%
100% 100% 20%
20%
100% 100% 20%
1%
1%
1%
50%
100%
30%
30%
30
30
30%
30%
60%
10%
10%
1%
1%
1%
1%
D
A
100% 100%
1%
1%
10% 10% 10%
1%
1% 100%
2%
1%
1%
1%
Pgina 14 de 31
1
1
20
1%
10%
10
10
1
1
20
1
1
1
1
1
1
10%
1%
Frecuencia
0
1
0
0
1
0
0
1
10
10
1
10
1
1
10
1
1
1
1
0
50%
30%
100%
30%
10
50%
10%
10%
10%
1%
10%
10%
100% 100%
10% 10% 10%
10% 10%
1% 10%
10%
10% 10% 10%
50% 50%
50%
10% 10%
20%
1%
1%
C
10%
10%
10%
1%
D
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
50%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
10%
10%
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
10%
Pgina 15 de 31
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
1
10
10
1
1
10
1
100%
50%
100%
50%
50%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
10%
100%
100%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
50%
1
10
1
1
1
1
0
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
10%
10%
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
100%
50%
50%
100%
50%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
10%
A
100%
100%
100%
100%
100%
100%
10%
Pgina 16 de 31
1
10
10
Terminal de Usuario
Frecuencia
0
1
0
0
1
0
0
1
10
10
N.1 Fuego
N.2 Daos por Agua
N.* Desastres Naturales
I.1 Fuego
I.2 Daos por agua
I.* Desastres Industriales
I.3 Contaminacin Mecnica
I.4 Contaminacin Electromagntica
I.5 Avera de origen fsico o lgico
I.6 Corte de suministro elctrico
I.7 Condiciones inadecuadas de temperatura y/o
humedad
I.11 Emanaciones electromagnticas
E.2 Errores del Administrador
E.4 Errores de configuracin
E.23 Errores de mantenimiento /actualizacin
de equipos (hardware)
E.24 Cada del sistema por agotamiento de
recursos
A.4 Manipulacin de la configuracin
A.6 Abuso de privilegios de acceso
10% 10%
100% 100%
100% 100%
1
1
10
1
50%
50%
10%
50% 100% 100% 100%
10% 100% 100% 100%
10%
10%
1
10
1
1
1
1
0
0
0
0
0
100%
100%
10% 100% 100% 100%
50% 50%
30%
30% 30%
20%
100%
50%
50%
100%
50%
50%
A
1
1
10
1
10%
10%
10%
10%
10%
10%
10%
D
10%
10%
10%
10%
10%
1%
1%
10%
1%
1%
A
10%
10%
10%
10%
10%
1%
1%
10%
1%
1%
50%
50%
10%
10%
10%
10%
10%
10
1
1
10%
10%
10%
1%
10%
1%
10%
10%
10%
Pgina 17 de 31
1
1
0
0
0
0
0
Frecuencia
0
1
0
0
1
0
0
1
10
10
1%
1%
50%
A
D
100%
100%
100%
100%
100%
100%
10%
50%
100%
100%
A
100%
100%
100%
100%
100%
100%
10%
50%
100%
100%
80%
100%
80%
50%
50% 100% 100% 100%
10% 100% 100% 100%
10% 50% 50%
50%
50%
1
1
0
0
1
0
0
0
0
0
0
0
0
0
1%
50%
50%
50%
50%
1
1
0
10
1
0
0
1
1%
1%
50% 100%
50% 50%
80%
10% 100%
10%
50%
20%
20%
10%
100%
100% 100%
50%
80%
50%
100%
50%
50%
10%
10%
50%
10%
10%
100%
100%
100%
100%
Pgina 18 de 31
Papeletas
N.1 Fuego
N.2 Daos por Agua
N.* Desastres Naturales
I.1 Fuego
I.2 Daos por agua
I.* Desastres Industriales
I.3 Contaminacin Mecnica
I.4 Contaminacin Electromagntica
I.5 Avera de origen fsico o lgico
I.6 Corte de suministro elctrico
I.7 Condiciones inadecuadas de temperatura y/o
humedad
I.10 Degradacin de los soportes de
almacenamiento de la informacin
A.7 Uso no previsto
A.11 Acceso no autorizado
A.25 Robo
A.26 Ataque destructivo
A.27 Ocupacin enemiga
Comprobantes
N.1 Fuego
N.2 Daos por Agua
N.* Desastres Naturales
I.1 Fuego
I.2 Daos por agua
I.* Desastres Industriales
I.3 Contaminacin Mecnica
I.4 Contaminacin Electromagntica
I.5 Avera de origen fsico o lgico
I.6 Corte de suministro elctrico
I.7 Condiciones inadecuadas de temperatura y/o
humedad
I.10 Degradacin de los soportes de
almacenamiento de la informacin
A.7 Uso no previsto
A.11 Acceso no autorizado
A.25 Robo
A.26 Ataque destructivo
A.27 Ocupacin enemiga
Frecuencia
0
30
0
0
30
0
0
0
10
0
30
Frecuencia
0
50
0
0
50
0
0
0
10
0
100% 100%
1%
50%
50%
100%
50%
100%
100%
10%
10%
A
50
D
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
A
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
50
10
1
0
0
0
A
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
30
10
1
0
0
0
D
100%
100%
100%
100%
100%
100%
50%
0%
100%
0%
100% 100%
1%
50%
50%
100%
10%
50%
100%
100%
10%
Pgina 19 de 31
N.1 Fuego
N.2 Daos por Agua
N.* Desastres Naturales
I.1 Fuego
I.2 Daos por agua
I.* Desastres Industriales
I.11 Emanaciones Electromagnticas
A.7 Uso no previsto
A.11 Acceso no autorizado
A.26 Ataque destructivo
A.27 Ocupacin enemiga
Frecuencia
0
10
0
0
10
0
0
0
20
0
0
Frecuencia
0
20
0
0
20
0
0
0
20
0
0
Cajeros
E.7 Deficiencias en la organizacin
E.28 Indisponibilidad del personal
A.28 Indisponibilidad del personal
A.29 Extorsin
A.30 Ingeniera Social
Frecuencia
30
40
0
0
20
Oficinas
20%
20%
20%
A
60%
60%
80%
60%
60%
60%
30%
60%
20%
20%
A
50%
50%
50%
D
A
100% 100%
80% 80%
80% 80%
100% 100%
80% 80%
60% 60%
50% 50%
10%
100%
50%
50%
A
1%
1%
1%
1%
1%
1%
20
10
0
0
10
20%
20%
20%
20%
20%
20%
Frecuencia
Frecuencia
D
60%
60%
80%
60%
60%
60%
30%
10%
D
20%
1%
1%
1%
1%
D
20%
20%
20%
20%
20%
D
Pgina 20 de 31
10
1
0
0
10
Jefe de Operaciones
E.7 Deficiencias en la organizacin
E.28 Indisponibilidad del personal
A.28 Indisponibilidad del personal
A.29 Extorsin
A.30 Ingeniera Social
Frecuencia
1
1
0
0
1
10%
30%
30%
30%
30%
30%
30%
30%
30%
50%
50%
50%
50%
50%
50%
30%
30%
D
1%
50%
50%
50%
50%
El clculo del riesgo actual es una valoracin en la que interviene el valor que le hemos
dado a los activos en cada una de las dimensiones, la frecuencia con la que una amenaza
puede degradar a aun activo, y el impacto de dao o disminucin que la amenaza puede
causarle al activo, en el Anexo 1. Clculo del Riesgo Actual; se identifica y se calculan los
diferentes valores de riesgo para los activos.
5.4.6. Seleccin de controles/salvaguardas.
Procedimientos
Poltica Personal
Aplicaciones
Dispositivos Fsicos
Seguridad Fsica
Pgina 21 de 31
Tipo de proteccin
PTG
PdS
PDI
PSW
PHW
PdC
PSF
PRP
Luego de identificados los controles o salvaguardas que debemos aplicar a los diferentes
activos, debemos volver a calcular el riesgo al que estn expuestos nuestros activos pero
sta vez disminuido en los casos en los que hemos adoptado la implementacin de
salvaguardas, es decir que el riesgo analizado en el Literal 5.4.5, est disminuido gracias a
la actividad realizada en el literal 5.4.6, en el Anexo 3. Clculo del Riesgo Residual; se
detallan los diferentes valores de riesgo para los activos, luego de implementadas las
salvaguardas.
5.5.
Con el propsito de proteger la informacin del Banco, y como futura gua para
implementar o mejorar las medidas de seguridad, sta etapa nos va a permitir obtener
una radiografa de la situacin actual entorno a la Seguridad del Banco de Loja.
NOTA: En el Anexo 4. Tabla de Cumplimiento de la ISO/IEC 27002:2005, se detalla el
estado actual de la seguridad implementada indicando el porcentaje de cumplimiento por
cada control.
Pgina 22 de 31
Pgina 23 de 31
Implementacin de SIEM
Control de Accesos
Implementacin de TDM
Recursos Personal.Pgina 26 de 31
Pgina 27 de 31
Publicaciones de Normas.
1. UNE-ISO/IEC 27001, Tecnologa de la informacin, Tcnicas de seguridad,
Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Especificaciones (ISO/IEC 27001:2005). Espaa: AENOR, 2007. 35 Pginas.
2. NTP-ISO/IEC 17799, EDI. Tecnologa de la informacin. Cdigo de buenas
prcticas para la gestin de la seguridad de la informacin. 2a Edicin. Per:
INDECOPI, 2007. 174 pginas.
7.2.
Otras Publicaciones
1. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin, I Mtodo. Versin 2. Espaa, 2006. 154 pginas
2. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin, II Catlogo de Elementos. Versin 2. Espaa, 2006. 154
pginas
3. MAGERIT, Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin, III Gua de Tcnicas. Versin 2. Espaa, 2006. 154 pginas
4. HARRIS, Shon. ALL IN ONE CISSP. 6th Edition, USA: McGraw-Hill, 2012. 1430
pages. ISBN 978-0-07-178171-8
5. CRDOVA RODRIGUEZ, Norma Edith. Plan de Seguridad Informtica para
una Entidad Financiera. Argentina: Biblioteca Central UNMSM, 2007. 171
pginas.
6. INTECO-CERT. Curso De Sistemas De Gestin De La Seguridad De La
Informacin Segn La Norma UNE-ISO/IEC 27000. Espaa: INTECO-CERT,
2010. 91 pginas.
7. CRESSON WOOD, Charles. Polticas de Seguridad Informtica - Mejores
Prcticas Internacionales, Version 9.0. Texas: NetIQ, Inc., 2002. 758 pginas.
ISBN 1-881585-09-3
8. ANDRS, Ana y GMEZ, Luis, Gua de aplicacin de la Norma UNE-ISO/IEC
27001 sobre seguridad en sistemas de informacin para pymes. Espaa:
AENOR, 2009. ISBN 978-84-8143-602-0.
7.3.
Sitios Web.
1. Information Technology Security for Managers IBM Global Service.
http://www.ibm.com/services/securite
2. Information Security & Business Continuity Academy, Dejan Kosutic.
http://www.iso27001standard.com/en
3. Lista de verificacin para una auditora a la seguridad Informtica, Cristian
Borghello. http://www.segu-info.com.ar/
4. El Portal de Iso 27001 en espaol. http://www.iso27000.es/
5. El Anexo de ISO 27001 en espaol. http://www.iso27002.es/
Pgina 28 de 31
Activo de Informacin: Son los elementos, que pueden ser tanto fsicos como lgicos y
son gestionados por un SGSI.
Dimensin de Seguridad: Son conocidas como dimensiones de seguridad a la triada
formada por los conceptos de Integridad, Confidencialidad, y Disponibilidad de la
informacin
Valoracin de Activos: Es la estimacin cuantitativa o cualitativa de la importancia de un
activo en un SGSI.
Amenaza: es todo aquello que puede causar dao o disminuir el valor de un activo para
una empresa.
Vulnerabilidad: son todas las debilidades que puede tener un activo.
Pgina 29 de 31