Professional Documents
Culture Documents
DEL LITORAL
Analista en Sistemas
TEMA:
SISTEMA DE GESTIN DE SEGURIDAD
DE LA INFORMACIN EN EL AREA DE
RECURSOS HUMANOS
AUTOR(ES):
BETTY LUNA MATAMOROS
RONALD ORTZ RODRGUEZ
JAIME PAREDES ARTEAGA
DIRECTOR:
ING. VICTOR MUOZ
Ao
2011
AGRADECIMIENTO
Agradecemos a nuestro Dios, por cada da de vida y por las
oportunidades puestas en nuestro camino y haber llegado a
nuestra meta.
Agradecemos a nuestras madres, por la paciencia y ternura de
nuestros primeros pasos, por su gua y apoyo incansable durante
estos aos; por su amor incomparable.
Agradecemos a nuestros padres, por el apoyo brindado y por ese
aliento de fuerza cuando nos vean flaquear en el camino; por su
orgullo mal disimulado en cada obstculo que dejbamos atrs.
Agradecemos a nuestros hermanos, por su compaa en esta
vida, por ser amigos y confidentes, por simplemente estar all.
DEDICATORIA
Nos llena de alegra el poder dedicarle esta tesis a nuestro Dios
que nos ha dado las fuerzas necesarias para poder llegar al final.
A nuestras familias, a cada uno de sus miembros, ya que de una
u otra manera han colaborado durante estos aos a que no nos
rindamos en el intento de superacin al que nos comprometimos
al inicio de nuestras carreras.
DECLARACIN EXPRESA
La responsabilidad del contenido de este Trabajo Final de
Graduacin, me corresponde exclusivamente; y el patrimonio
intelectual de la misma a la Escuela Superior Politcnica del
Litoral.
Delegado
NDICE GENERAL
CAPTULO 1
INTRODUCCIN............................................................................................ 12
1
INTRODUCCIN.................................................................................... 11
1.1 Qu es seguridad de la informacin?.................................................11
1.2 Marco de Referencia............................................................................. 12
1.2.1Qu es un SGSI?.................................................................................12
1.2.2ISO (International Organization for Standardization)............................13
1.2.3Metodologa ISO27001.........................................................................14
CAPTULO 2 BREVE HISTORIA DE
LA EMPRESA...............................20
2
BREVE HISTORIA DE LA EMPRESA........................................................21
2.1 HOSPITAL DEL NIO FRANCISCO ICAZA BUSTAMANTE.........................21
2.1.1Resea histrica................................................................................... 21
2.1.2Justificacin.......................................................................................... 21
2.1.3Visin................................................................................................... 22
2.1.4Misin................................................................................................... 22
2.1.5Ubicacin............................................................................................. 22
2.2 ORGANIZACIN.................................................................................... 23
2.2.1Clasificacin de contratos....................................................................24
2.2.2Clasificacin de bajas...........................................................................24
CAPTULO 3 PLANIFICACIN.......................................................................26
3
PLANIFICACIN..................................................................................... 27
3.1 ALCANCES Y LMITES DEL SISTEMA......................................................27
3.1.1Qu es?.............................................................................................. 27
3.1.2Alcance del Sistema planteado al Organismo......................................27
3.2 POLTICAS DE SEGURIDAD...................................................................28
3.2.1Definicin............................................................................................. 28
3.2.2Consideraciones Generales..................................................................28
3.2.3Polticas................................................................................................ 28
3.3 ANLISIS DE RIESGOS..........................................................................30
3.3.1Qu es?.............................................................................................. 30
3.3.2Consideracin Del Riesgo.....................................................................30
3.3.3Identificacin de Activos......................................................................31
3.4 AMENAZAS DE LOS ACTIVOS................................................................35
3.4.1Qu es?.............................................................................................. 35
3.4.2Valoracin de Activos...........................................................................38
3.4.3Valoracin de Activos...........................................................................38
3.4.4Tablas de puntuacin del anlisis de riesgo.........................................39
3.5 HOJA DE CLCULO DE ANLISIS DE RIESGOS.......................................40
3.5.1Nivel de riesgos.................................................................................... 43
3.6 TRATAMIENTO DE RIESGOS..................................................................44
3.7 DOCUMENTO DE APLICABILIDAD S O A..............................................45
CAPTULO 4 ETAPA DO.............................................................................. 47
4.1 Normativas de controles de personal...................................................47
4.1.1Definicin de Funciones y Responsabilidades......................................47
4.1.2Clusulas de Confidencialidad..............................................................48
4.1.3Concienciacin y educacin sobre normas de seguridad.....................48
4.1.4Responsabilidad en el uso de contraseas...........................................49
VII
4.2 PROCEDIMIENTO..................................................................................50
4.3 ACTIVO: A02 BASE DE DATOS PROPIA DE EMPLEADOS........................50
4.3.1Amenaza: Divulgacin de la informacin.............................................50
4.3.2Amenaza: Acceso no autorizado..........................................................51
4.4 ACTIVO: A04 REGISTROS DEL IESS.......................................................52
4.4.1Amenaza: Divulgacin de la informacin.............................................52
4.5 ACTIVO: A-05 REGISTRO DE INVENTARIO ASIGNADO...........................53
4.5.1Amenaza: Introduccin de informacin incorrecta...............................53
4.6 ACTIVO: A06 ARCHIVO VIDA LABORAL DE EMPLEADOS.......................54
4.6.1Amenaza: Divulgacin de la informacin.............................................54
4.6.2Amenaza: Interceptacin de la Informacin.........................................55
4.7 ACTIVO: A07 ARCHIVO DE PACIENTES..................................................56
4.7.1Amenaza: Divulgacin de la Informacin.............................................56
4.7.2Amenaza: Manipulacin de la Informacin...........................................56
4.7.3Amenaza: Acceso no Autorizado..........................................................58
4.7.4Amenaza: Interceptacin de la Informacin.........................................59
4.7.5Amenaza: Corrupcin de la Informacin..............................................60
4.8 ACTIVO: S01 PC.................................................................................... 61
4.8.1Amenaza: Uso indebido........................................................................61
4.9 ACTIVO: D01 DIRECTOR GENERAL........................................................62
4.9.1Amenaza: Deficiencia en la organizacin.............................................62
4.10 ACTIVO: D02 JEFES DE REA................................................................62
4.10.1...............................................Amenaza: Deficiencia de la organizacin
62
4.11 ACTIVO: H01 REAS RESTRINGIDAS.....................................................63
4.11.1......................................................................Amenaza: Uso no previsto
63
4.11.2............................................................Amenaza: Acceso no autorizado
63
CAPTULO 5 CONCLUSIONES Y
RECOMENDACIONES.........................64
5
CONCLUSIONES Y RECOMENDACIONES................................................65
CAPITULO 6 ANEXOS.................................................................................. 68
6
ANEXOS................................................................................................ 69
6.1 ANEXO I................................................................................................ 69
6.1.1Hoja de Inventario................................................................................ 69
6.2 ANEXO II............................................................................................... 70
6.2.1Dominios del Sistema de Gestin de Seguridad de la Informacin:.....70
6.3 ANEXO III.............................................................................................. 71
6.3.1ACCIN DE PERSONAL.........................................................................71
6.4 ANEXO IV.............................................................................................. 72
6.4.1POLTICAS DE SEGURIDAD...................................................................72
6.5 ANEXO V............................................................................................... 74
6.5.1Marco de referencia............................................................................. 74
6.5.2Qu es un SGSI?.................................................................................74
6.5.3Para qu sirve un SGSI?......................................................................76
6.5.4ISO (International Organization for Standardization)............................77
6.5.5Metodologa ISO27001.........................................................................81
6.6 ANEXO VI............................................................................................ 102
6.6.1Glosario.............................................................................................. 101
VIII
NDICE DE FIGURAS
IX
NDICE DE TABLAS
Tabla 1.1 Tipo de activos..... 31
Tabla 1.2 Catlogo de activos..............31
Tabla 1.3 Escala de puntuaciones de valores de los activos ...38
Tabla 1.4 Asignacin de valores a los activos ...............................38
Tabla 1.5 Ponderacin de degradacin...................................................39
Tabla 1.6 Ponderacin de ocurrencias........................................39
Tabla 1.7 Ponderacin de gestin...................................................39
Tabla 1.8 Anlisis de riesgos ..............................................43
Tabla 1.9 Escala de las ponderaciones de riesgos.............................44
Tabla 1.10 Riesgos encontrados en el organismo .................44
Tabla 1.11 Tratamiento de riesgo........45
Tabla 1.12 Documento de aplicabilidad..........................................46
CAPTULO 1
INTRODUCCIN
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1 INTRODUCCIN
1.1 QU ES SEGURIDAD DE LA INFORMACIN?
Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y
reactivas del hombre, de las organizaciones y de los sistema tecnolgicos que permitan
resguardar y proteger la informacin buscando mantener la confidencialidad, la
autenticidad y Integridad de la misma.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico,
pudiendo encontrar informacin en diferentes medios o formas.
Para el hombre como individuo, la seguridad de la informacin tiene un efecto
significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
El campo de la seguridad de la informacin ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera
acreditada a nivel mundial.
Esta ofrece muchas reas de especializacin, incluidos la auditora de sistemas de
informacin, Planificacin de la continuidad del negocio, Ciencia Forense Digital y
Administracin de Sistemas de Gestin de Seguridad por nombrar algunos.
La necesidad de proteger los datos personales excede el mero inters del Hospital del
Nio Francisco Icaza Bustamante, (en adelante El Organismo).
Desde hace ms de una dcada la legislacin protege el honor y la intimidad de los
datos personales y familiares. Primero mediante la derogada Ley Orgnica 5/1992
conocida como LORTAD, y ms recientemente con la Ley Orgnica 15/1999 de
Proteccin de Datos de Carcter Personal, conocida como LOPD. La LOPD otorga una
serie de derechos a las personas cuyos datos sean objeto de tratamiento, y establece las
obligaciones de quienes efecten dichos tratamientos.
Informacin como el sueldo de los empleados, desempeo profesional o bajas laborales,
pertenece al departamento de Recursos Humanos y es considerada confidencial en
cualquier sector.
Por la naturaleza intrnseca de los datos de Recursos Humanos las obligaciones
establecidas en la LOPD deben ser consideradas con sumo rigor.
EDCOM
Pgina 11
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Qu es un SGSI?
Legalidad: La informacin debe de cumplir con las leyes vigentes dependiendo del
lugar donde se encuentran y son manejadas.
EDCOM
Pgina 12
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1.2.2
La ISO es una federacin internacional con sede en Ginebra (Suiza) de los institutos de
normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental
(sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los
institutos de normalizacin nacionales es diferente en cada pas (entidad pblica,
privada).
La ISO desarrolla estndares requeridos por el mercado que representan un consenso de
sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores) acerca de productos, tecnologas, sistemas y mtodos de gestin, entre
otros.
Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no
gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en
aquellos casos en los que un pas ha decidido adoptar un determinado estndar como
parte de su legislacin, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptacin mundial a travs de sus 3.000 grupos
tcnicos y ms de 50.000 expertos que colaboran en el desarrollo de estndares.
1.2.2.1
ISO 27000
Pgina 13
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Metodologa ISO27001
EDCOM
Pgina 14
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1.2.3.1
.
EDCOM
Pgina 15
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1.2.3.2
Pgina 16
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pero sin duda, una de las reas que ms importancia tiene en la seguridad de la
informacin es el departamento encargado de gestionar los Recursos Humanos.
Aspectos como la formacin de los empleados, la captacin y seleccin de nuevos
miembros de la plantilla, la gestin de empleados que abandonan la Organizacin o la
implementacin de la normativa interna, son fundamentales en el tema que nos ocupa.
Todas las claves que se van a desarrollar en el presente artculo, se podran resumir en
una sola frase: conseguir que los criterios de seguridad estn presentes en la gestin de
los Recursos Humanos. Un magnfico punto de partida podra ser que los responsables
de Seguridad y Recursos Humanos se sienten juntos y compartan impresiones.
Entre tanto, podemos anticipar algunos aspectos fundamentales a tener en cuenta.
Reclutamiento y salida de empleados.
Existen dos puntos fundamentales en el ciclo de vida de todo empleado en
Organizacin: El inicio de su actividad profesional y la finalizacin de la misma.
una
1.2.3.2.1 Reclutamiento
Cada nuevo empleado de la Organizacin es una apuesta de futuro. La empresa asigna
una serie de tareas y responsabilidades al nuevo empleado, y proporciona los medios
materiales y la informacin necesaria para que pueda llevarlas a cabo. Debe existir un
procedimiento de reclutamiento que tenga en cuenta los siguientes aspectos relativos a
la seguridad:
Definicin del puesto: Para cada nueva vacante se debe definir la criticidad del
puesto a cubrir segn su responsabilidad y la informacin que maneja. Cada
empresa debe definir su criterio propio. Algunos puestos crticos pueden ser
directivos, personal de seguridad, personal de contabilidad, etc.
Seleccin: En la seleccin de candidatos a puestos crticos se deben comprobar los
antecedentes penales y las referencias profesionales.
Contrato: El contrato laboral debe incluir los correspondientes acuerdos de
confidencialidad, propiedad intelectual y proteccin de datos.
Pgina 17
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 18
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
vigentes durante meses, o que tras la marcha del empleado no es posible recuperar cierta
informacin vital que posea. Para evitar todo esto, debe existir un procedimiento de
bajas que tenga en cuenta los siguientes aspectos de seguridad:
Clasificacin de las bajas: El responsable del empleado junto con Recursos Humanos
debe clasificar la baja segn las circunstancias que la rodean. Un ejemplo de posibles
categoras sera:
Renuncia
Muerte
Jubilacin obligatoria
Jubilacin anticipada
Destitucin
o Sumario administrativo
o Sancin
Supresin de puestos
Pgina 19
ESPOL
CAPTULO 2
BREVE HISTORIA DE
LA EMPRESA
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Resea histrica
La fecha de fundacin e historia. El Hospital del Nio
Dr. Francisco de Icaza Bustamante inaugur la
consulta externa el 11 de enero de 1982, y
hospitalizacin el 7 de octubre de 1985.
La comunidad guayaquilea caracterizada por
enfrentar grandes desafos, reunida el mes de
diciembre de 1951, en el club de leones analizando los
mltiples problemas de la ciudad encontr eco en la
voz del Dr. Rosendo Arosemena Elizalde, quien
plantea la necesidad de construir un nuevo hospital
peditrico para atender a los nios pobres de
Guayaquil.
2.1.2
Justificacin
Pgina 21
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
2.1.3
Visin
Ser lderes en el pas en atencin peditrica y juvenil con recursos humanos altamente
calificado, motivado, humanizado con educacin continua gestionando recursos
financieros que nos permiten contar tecnologa de punta con un sistema de referencia y
contra referencia implementando, coordinando acciones interinstitucionales y de
participacin comunitaria.
2.1.4
Misin
2.1.5
Ubicacin
Las instalaciones del Hospital Francisco Icaza Bustamante estn ubicadas en las calles
EDCOM
Pgina 22
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
2.2 ORGANIZACIN
El Hospital Francisco Icaza Bustamante es uno de los ms grandes a nivel nacional,
atendiendo no solo a pacientes de la regin, sino que tambin existen pequeos de otras
provincias que necesitan ser atendidos en sus instalaciones, para ello, existen
actualmente 1.300 trabajadores que desempean sus funciones en el Hospital del Nio
Francisco Icaza Bustamante; incluyendo:
-
Mdicos generales
Mdicos especialista
Trabajadores de mantenimiento
Trabajadores de servicios generales
Administrativo
Reclutamiento y Seleccin
- Norma tcnica de seleccin y concurso
- Instructivo para llenar vacante
Clasificacin de puestos
- Una vez al ao, Analistas del ministerio actualizan la tabla de clasificacin de
puestos bajos una norma tcnica para evaluar cada uno de los puestos
establecidos y su ptimo funcionamiento.
Sistema de evaluacin de desempeo
- Existen grados de evaluacin de cada uno de los trabajadores, tabla que va
desde (excelente deficiente) la misma que es usada para examinar las
funciones de los empleados, en la que se podr otorgar un ascenso o en una
baja laboral dependiendo de cada caso en particular.
Capacitacin
EDCOM
Pgina 23
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Clasificacin de contratos
2.2.2
Clasificacin de bajas
Renuncias
Muerte
Jubilacin obligatoria (70 aos)
Jubilacin voluntaria
Destitucin por sumario administrativo
Destitucin por sancin
Supresin de puestos por accin de personal
Supresin de puestos por bonificacin
Agradecimiento de servicio
Ascenso
EDCOM
Pgina 24
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 25
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
Fig. F.6 Organigrama Hospital de Nios Francisco Icaza
Bustamante
EDCOM
ESPOL
Pgina 26
CAPTULO 3
PLANIFICACIN
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
3 PLANIFICACIN
3.1 ALCANCES Y LMITES DEL SISTEMA
3.1.1
Qu es?
3.1.2
EDCOM
Pgina 28
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Definicin
"Las Polticas son documentos de alto nivel. Ellas representan la filosofa corporativa
de una organizacin y el pensamiento estratgico de la alta gerencia y de los dueos de
los procesos del negocio. Las polticas deben ser claras y concisas para que sean
efectivas. La administracin debe crear un ambiente de control positivo, asumiendo la
responsabilidad de formular, desarrollar, documentar, promulgar y controlar las polticas
que abarcan las metas y las directrices generales.
3.2.2
Consideraciones Generales
Polticas
PS 1. La formacin ser obligatoria antes de asumir una responsabilidad, tanto si
es su primera asignacin o si se trata de un cambio de puesto de trabajo o de
responsabilidades en el mismo.
PS 2. En el momento de la contratacin ser obligado un compromiso por escrito
en que se acepta la confidencialidad de cada una de sus labores mantenidas
con la organizacin.
EDCOM
Pgina 29
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
Pgina 30
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
PS 13. La informacin
Qu es?
El anlisis de riesgos es una herramienta que permite identificar, clasificar y valorar los
eventos que pueden amenazar la consecucin de los objetivos de la Organizacin y
establecer las medidas oportunas para reducir el impacto esperado hasta un nivel
aceptable.
El anlisis de riesgo puede tener distintos destinatarios dentro de la organizacin. Cada
destinatario necesita esta informacin para fines distintos, y por ello, necesita recibir la
informacin presentada de forma diferente
3.3.2
EDCOM
Pgina 31
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
Pgina 32
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
3.4
3.4.1
Identificacin de Activos
3.4.1.1
Qu es?
Tipos de activos
1
2
3
4
5
6
7
8
SERVICIO
DATOS
APLICACIONES
EQUIPOS
INFORMTICOS
SOPORTE DE
INFORMACIN
EQUIPAMIENTO
AUXILIAR
INSTALACIONES
PERSONAL
Tabla 1.1 Tipos de activos
3.4.1.3
Catlogo de Activos
A.00 DATOS
Base de datos ministerial de
A-01 empleados
A-02 Base de datos propia de empleados
A-03 Registros de roles
A-04 Registros de IESS
A-05 Registro de inventario asignado
3.4.1.4
Descripcin
general de activos A-06 Archivos vida laboral de empleados
A-07 Archivos de pacientes
Cdigo:
A-01 E-00 APLICACIONES
Nombre
de
Activo: Base de E-01 ESIPREN
datos ministerial
de empleados.
D-00 PERSONAL
Descripcin: Base D-01 Director general
de
datos
que
registra
todos
los
D-02 Jefe de reas administrativas
empleados S-00 EQUIPO IINFORMTICO
que prestan sus
S-01 CPU
servicios
al
Organismo,
H-00 INSTALACIONES
cubre
todos los niveles
H-01 reas restringidas
jerrquicos;
incluyen campos Tabla
de datos
de nombre,
apellido, documento identidad, cdigo
1.2 Catalogo
de activos
de empleado, fecha de alta, puesto que cubre, ascensos, procesos disciplinarios;
EDCOM
Pgina 33
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
es decir, toda la vida laboral que ha tenido dentro de la Organizacin. Esta base
de datos est bajo el dominio del Ministerio de Salud, compartida con el
Ministerio de Finanzas y el Organismo el que est a cargo de su
mantenimiento, y actualizacin.
El acceso a la base de datos es a travs de conexin internet, el software que se
ejecuta para el mantenimiento y la actualizacin est instalado en solo una
mquina del Dpto. de RRHH.
Su acceso a travs de la aplicacin est asignado a una sola persona del Dpto.,
la misma que tiene asignado un USER y un PASSWORD, el mismo que es
compartido con el Director del Dpto. de RRHH paro su uso en caso de
ausencia o algn otro imprevisto.
Los datos pueden ser consultados por el Dpto. de Nmina bajo un USER y un
PASSOWRD con acceso de solo lectura.
Cdigo: A-02 Nombre de Activo: Base de datos propia de empleados
Descripcin: Base de datos de los empleados del Organismo; cubre todas las reas y
todos los niveles jerrquicos. El acceso est controlado con USER y
PASSORD, los mismos que son de poca confidencialidad entre los empleados
del Dpto. Su uso es de poca utilidad ya que solo es a nivel de consulta, ya sea
de puesto a cargo, aos de antigedad, jefe inmediato u rea de trabajo. Su
modificacin no es de asignacin especfica dentro de los empleados del rea
de RRHH. el cual puede ser ejecutado por cualquiera que lo necesite.
Cdigo: A-03 Nombre del Activo: Registro de Roles
Descripcin: Los Roles de pago de cada empleado son almacenados en hojas de clculo
(Excel) los mismos que son guardados en el servidor, su acceso se permite
exclusivamente al Departamento de Roles de Pago, pero la informacin que
contiene no es de uso exclusivo del Dpto. ya que se puede visualizar de
muchsimas formas, ya que an no conciben la idea de que es informacin
confidencial, que compete nicamente al empleado. Por ejemplo, al firmar el
recibido del rol de pago, se entrega al empleado un listado donde estn
registrados los empleados en orden alfabtico con nombre, cargo, sueldo,
descuentos y datos adicionales, que pueden ser ledos con total libertad.
Pgina 34
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 35
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
persona tiene acceso con un USER y PASWORD a todos los procesos que
contiene. El USER y PASWORD es compartido con el jefe del departamento.
Este software es utilizado para el registro de alta de cada empleado, consulta de
roles, consulta de la vida laboral de cada empleado; al momento del cese del
empleo, es dado de baja a travs del software, registrndose en la base de datos
del Ministerio de Finanzas y de Salud la desvinculacin del mismo con el
Organismo. Es decir, todo proceso, modificacin o registro que se haga desde
el software, se ver reflejado ambos Ministerios.
Cdigo: H-01 Nombre del activo: reas restringidas
Descripcin: Existen reas en las que se manejan informacin confidencial, tanto del
paciente como del personal que labora en la Organizacin; lugares como Caja
donde se entregan los roles dejando el libre acceso de la informacin de cada
empleado; el rea destinado a los archivadores de la vida laboral de cada
empleado; el rea de estadstica donde se archivan las carpetas de las historias
clnicas de cada paciente; el rea de centro de cmputo que no cuenta con un
bloqueo en la puerta de acceso que limite el paso a personas ajenas al mismo.
En general, el Organismo no ha transmitido durante todos estos aos de
funcin, la necesidad del resguardo de cada informacin que maneja, dejando
los accesos fsicos de las reas a libre disposicin del personal.
Cdigo: D-01 Nombre del activo: Director General
Descripcin: El cargo desempea muchas obligaciones, responsabilidades y derechos
para poder realizar todas las funciones necesarias en el buen manejo de las
diversas situaciones que acontecen dentro del Organismo. Es as que cada
cambio de direccin que ha tenido el Organismo ha necesitado un periodo de
adaptacin y ubicacin para poder continuar con las funciones; esto se debe a
todo el conocimiento y experiencia acumulada que da a da se necesita para
poder afrontar el cargo, conocimiento que no se deja plasmado en un
documento y que deja un vaco notorio en cada proceso de cambio, es
obligacin urgente para cada nuevo Director, el ponerse al da en los caminos y
procesos establecidos que no estn registrados en ninguna parte, experiencia
que toca volver a vivirlas para poder tener planteado los pasos a seguir en
algunas situaciones que no son nuevas dentro del Organismo.
Cdigo: D-02 Nombre del activo: Jefe de reas
Descripcin: El cargo de jefe es asignado al empleado que por mritos y experiencia
est plenamente capacitado; pero al igual que cualquier ascenso el cambio de
funciones que necesita un periodo de adaptacin, procedimientos que necesitan
Pgina 36
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Qu es?
Llmese amenaza a una declaracin intencionada para hacer un dao, como por
ejemplo mediante un virus, un acceso no autorizado o robo.
Pero no se debe pensar que nicamente personas pueden ser los causantes de estos
daos, pues existen otros factores como las causas naturales, que son capaces de
desencadenar daos materiales o prdidas inmateriales en los activos, y son tambin
consideradas como amenazas.
Una vez identificados los procesos involucrados en la gestin de clientes, el siguiente
paso es identificar las principales amenazas que pueden afectar a los activos de
informacin. Las amenazas pueden tener un origen natural o humano, y pueden ser
accidentales o deliberadas.
Amenazas del entorno:
Las amenazas generadas por el entorno pueden ser catstrofes naturales (inundaciones,
tormentas, terremotos, etc.), acciones de origen humano intencionadas (posibles robos,
asaltos, errores tcnicos, etc.), o accidentales como el corte del suministro elctrico.
EDCOM
Pgina 37
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Las principales amenazas que pueden sufrir los sistemas de informacin son las que
afectan a alguno de los elementos que lo forman o explotan. Podemos distinguir tres
grupos:
- hardware
- software
- personal que utiliza cualquiera de los dos recursos anteriores.
En los equipos fsicos del sistema de informacin (servidores, equipos informticos y
hardware de comunicaciones), existen amenazas debidas a errores de uso o
mantenimiento, y a fallos o averas de cualquiera de sus componentes.
EDCOM
Pgina 38
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
Pgina 39
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
3.5.2
Valoracin de Activos
Los activos sern puntuados dependiendo de una tabla de ponderaciones en las que se
evala la disponibilidad, integridad, confidencialidad de cada uno de los activos. Al
obtener cada uno de los puntajes asignados estos se promedian para poder obtener la
valoracin final de cada uno, dato que nos servir para calcular el nivel de riesgo.
VALOR = PROM (DISPONIBILIDAD+INTEGRIDAD+CONFIABILIDAD)
PUNTUACIN
5
4
3
2
1
DISPONIBILIDAD
siempre
exenta por horas
exenta por 24h
exenta por 48h
exenta varios das
INTEGRIDAD
extrema
importante
media
no importante
insignificante
CONFIDENCIALIDAD
uso confidencial
uso restringido
semi-restringido
uso interno
acceso pblico
3.5.3
Valoracin de Activos
A.00
A-01
A-02
A-03
A-04
A-05
A-06
A-07
DATOS
Base de datos ministerial de empleados
Base de datos propia de empleados
Registros de roles
Registros de IESS
Registro de inventario asignado
Archivos vida laboral de empleados
Archivos de pacientes
E-00 APLICACIONES
E-01 ESIPREN
Disp.
5
4
5
5
4
5
5
Disp.
5
Integridad
5
5
5
5
5
5
5
Confid.
5
5
4
4
1
4
5
VALOR
5
5
5
5
3
5
5
D-00 PERSONAL
D-01 Director general
D-02 Jefe de reas administrativas
Disp.
4
4
Integridad Confid.
5
5
4
5
VALOR
5
4
Disp.
3
Integridad Confid.
5
3
VALOR
4
H-00 INSTALACIONES
H-01 reas restringidas
Disp.
5
Integridad Confid.
5
5
VALOR
5
EDCOM
Pgina 40
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
3.5.4
EDCOM
Pgina 41
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
NPR ACTUAL
VAL. DE LA GESTIN
CONTR ACTUAL
NIVEL DE RIESGOS
PROB. DE FALLA
DEGRADACIN
AMENAZA
VALOR
CDIGO ACTIVO
A-01 5
Alteracin de la Informacin
100%
EXISTE
15
A-01 5
100%
EXISTE
25
A-01 5
Destruccin de la Informacin
75%
EXISTE
16
A-01 5
Divulgacin de La informacin
75%
EXISTE
20
A-01 5
Manipulacin de la Configur.
75%
EXISTE
12
A-01 5
Acceso no Autorizado
75%
EXISTE
16
A-01 5
Interceptacin de Informacin
75%
EXISTE
20
A-01 5
Corrupcin de la informacin
75%
EXISTE
20
A-02 5
Alteracin de la Informacin
100%
NO EXISTE
20
A-02 5
100%
10
NO EXISTE
20
A-02 5
Destruccin de la Informacin
100%
NO EXISTE
15
A-02 5
Divulgacin de La informacin
50%
13
NO EXISTE
65
A-02 5
Manipulacin de la Configur.
50%
NO EXISTE
10
A-02 5
Acceso no Autorizado
100%
25
NO EXISTE
125
A-02 5
Corrupcin de la informacin
50%
NO EXISTE
25
A-03 5
Alteracin de la Informacin
100%
EXISTE
10
A-03 5
100%
EXISTE
10
A-03 5
Destruccin de la Informacin
75%
EXISTE
A-03 5
Divulgacin de La informacin
25%
NO EXISTE
25
A-03 5
Manipulacin de la Configur.
100%
EXISTE
15
A-03 5
Acceso no Autorizado
100%
NO EXISTE
20
A-03 5
Interceptacin de Informacin
25%
NO EXISTE
20
A-03 5
Corrupcin de la informacin
25%
EXISTE
A-04 5
Alteracin de la Informacin
100%
EXISTE
10
A-04 5
100%
EXISTE
20
A-04 5
Destruccin de la Informacin
75%
EXISTE
16
A-04 5
Divulgacin de la Informacin
50%
NO EXISTE
40
A-04 5
Manipulacin de la Informacin.
100%
EXISTE
10
EDCOM
Pgina 42
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
A-04 5
Acceso no Autorizado
50%
NO EXISTE
25
A-04 5
Interceptacin de Informacin
50%
EXISTE
24
A-05 5
Alteracin de la Informacin
100%
10
NO EXISTE
30
A-05 5
100%
10
NO EXISTE
40
A-05 5
Destruccin de la Informacin
100%
NO EXISTE
20
A-05 5
Divulgacin de la Informacin
25%
NO EXISTE
16
A-05 5
Manipulacin de la Informacin.
25%
NO EXISTE
A-05 5
Acceso no Autorizado
25%
NO EXISTE
16
A-05 5
Interceptacin de Informacin
25%
NO EXISTE
16
A-06 5
Alteracin de la Informacin
100%
10
NO EXISTE
30
A-06 5
100%
15
NO EXISTE
45
A-06 5
Destruccin de la Informacin
100%
NO EXISTE
15
A-06 5
Divulgacin de la Informacin
50%
13
NO EXISTE
65
A-06 5
Manipulacin de la Informacin.
50%
NO EXISTE
A-06 5
Acceso no Autorizado
50%
13
NO EXISTE
26
A-06 5
Interceptacin de Informacin
50%
13
NO EXISTE
65
A-07 5
Alteracin de la Informacin
100%
10
NO EXISTE
50
A-07 5
100%
10
NO EXISTE
50
A-07 5
Destruccin de la Informacin
100%
NO EXISTE
25
A-07 5
Divulgacin de la Informacin
50%
13
NO EXISTE
65
A-07 5
Manipulacin de la Informacin.
50%
13
NO EXISTE
65
A-07 5
Acceso no Autorizado
50%
13
NO EXISTE
65
A-07 5
Interceptacin de Informacin
50%
13
NO EXISTE
65
E-01 5
Errores de Usuario
25%
EXISTE
E-01 5
Errores de Administrador
25%
EXISTE
E-01 5
Errores de Configuracin
50%
EXISTE
E-01 5
Escape de Informacin
25%
EXISTE
E-01 5
50%
EXISTE
E-01 5
50%
EXISTE
E-01 5
100%
EXISTE
E-01 5
Manipulacin de la Configur.
100%
EXISTE
10
E-01 5
50%
EXISTE
E-01 5
75%
EXISTE
12
E-01 5
Uso no Previsto
50%
EXISTE
12
E-01 5
100%
EXISTE
10
E-01 5
Acceso no Autorizado
25%
EXISTE
EDCOM
Pgina 43
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
E-01 5
Interceptacin de Informacin
50%
EXISTE
15
E-01 5
Manipulacin de Programas
75%
EXISTE
E-01 5
75%
EXISTE
S-01 4
50%
NO EXISTE
20
S-01 4
Uso Indebido
50%
10
NO EXISTE
50
S-01 4
Acceso no Autorizado
50%
NO EXISTE
S-01 4
Interceptacin de Informacin
50%
NO EXISTE
S-01 4
Robo
100%
NO EXISTE
D-01 5
Deficiencias en la organizacin
100%
15
NO EXISTE
45
D-01 5
50%
NO EXISTE
D-01 5
Extorsin
100%
NO EXISTE
20
D-02 5
Deficiencias en la organizacin
100%
15
NO EXISTE
45
D-02 5
50%
NO EXISTE
D-02 5
Extorsin
100%
NO EXISTE
20
D-02 5
Segregacin responsabilidades
100%
20
NO EXISTE
80
H-01 5
Uso no Previsto
50%
10
NO EXISTE
50
H-01 5
Acceso no Autorizado
75%
15
NO EXISTE
75
EDCOM
Pgina 44
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
3.6.1
Nivel de riesgos
La metodologa nos indica que existen riesgos que son asumibles por la empresa,
riesgos de nivel bajo, riesgos de nivel medio y riesgos de alto nivel. A estos 2 ltimos
sern a los que le plantearemos controles para poder reducirlos a un nivel bajo, o
asumible en mejor de los casos.
Para esto existe una tabla de ponderaciones:
NIVEL
ALTO
MEDIO
BAJO
ASUMIDO
ESCALA
61-125
36-60
24-35
0-23
Resumen
Dada la tabla de ponderacin de los valores segn la escala establecida, extraemos el
siguiente resumen de todas las amenazas que hemos encontrado en el funcionamiento de
las etapas de nuestro alcance.
GRADO DE RIESGO
AMENAZAS
Rojos
10
Amarillo
Verdes
Gris
53
EDCOM
Pgina 45
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
Divulgacin de La informacin
50%
A-02
Acceso no Autorizado
100%
A-04
Divulgacin de La informacin
50%
A-05
100%
A-06
100%
A-06
Divulgacin de La informacin
50%
A-06
Interceptacin de informacin
50%
A-07
Archivos de pacientes
Alteracin de la informacin
A-07
Archivos de pacientes
A-07
Archivos de pacientes
Divulgacin de La informacin
A-07
Archivos de pacientes
A-07
Archivos de pacientes
A-07
S-01
ACTIVO
AMENAZA
VAL. DE LA
GESTIN
NPR ACTUAL
NIVEL DE RIESGO
DEGRADAC.
A-02
CDIGO
VALOR
PROB. DE FALLA
CONTROL ACTUAL
13
TRATAMIENTO DE RIESGO
NO EXISTE
65
Mitigar
NO EXISTE
125
Mitigar
NO EXISTE
40
Mitigar
10
NO EXISTE
40
Eliminar
15
NO EXISTE
45
Eliminar
13
NO EXISTE
65
Mitigar
13
NO EXISTE
65
Mitigar
100%
10
NO EXISTE
50
Eliminar
100%
10
NO EXISTE
50
Mitigar
50%
13
NO EXISTE
65
Mitigar
Manipulacin de la Configur.
50%
13
NO EXISTE
65
Eliminar
Acceso no Autorizado
50%
13
NO EXISTE
65
Eliminar
Archivos de pacientes
Interceptacin de informacin
50%
13
NO EXISTE
65
Mitigar
Punto de acceso(CPU)
Uso no Previsto
50%
10
NO EXISTE
50
Mitigar
D-01
Director general
Deficiencias en la organizacin
100%
15
NO EXISTE
45
Mitigar
D-02
Deficiencias en la organizacin
100%
15
NO EXISTE
45
Mitigar
25
D-02
Segregacin de responsabilidad
100%
20
NO EXISTE
80
Eliminar
H-01
reas restringidas
Acceso no Autorizado
75%
15
NO EXISTE
75
Mitigar
H-01
reas restringidas
Uso no Previsto
50%
10
NO EXISTE
50
Mitigar
EDCOM
Pgina 46
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
OC: Obligaciones Contractuales-; RN/ABP: Requisitos de Negocio/Adopcin de Buenas Prcticas-; RER: Resultados de Evaluacin
de Riesgo
Controles Seleccionados y su
Controles ISO 27001:2005
Clusula
Control
Control
Justificacin
Excluido
Actual
RL
OC
Comentario
RN/ABP RER
Objetivo de control
8.3 Finalizacin/cambio del puesto
Todo cargo de alto nivel deber tener
SEGURIDAD
EN
RECURSOS
EDCOM
Pgina 47
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
devolucin.
A toda persona que quede desvinculada total o
parcialmente
HUMANOS
de acceso
EDCOM
Pgina 48
ESPOL
Tabla 1.12 Documento de Aplicabilidad
CAPTULO 4
ETAPA DO
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4 ETAPA DO
4.1 NORMATIVAS DE CONTROLES DE PERSONAL
El personal que maneja el sistema de informacin, es uno de los elementos principales
en el anlisis de medidas de seguridad de la informacin, de su colaboracin depende en
buena medida el xito o fracaso de muchas de las medidas de seguridad a implantar.
Atendiendo al principio de que la cadena es tan fuerte como el ms dbil de sus
eslabones, en toda organizacin se cumple que el eslabn ms dbil es el personal.
Antes de establecer los controles especficos a cada una de las amenazas encontradas en
el sistema que ha venido funcionando en el Organismo, debemos poner en conocimiento
ciertos trminos que se vern reflejados en el planteamiento de los controles:
4.1.1
Implantacin de Medidas
Se deben definir las funciones y responsabilidades de seguridad para cada uno de los
usuarios del sistema de informacin; para ello se aplicar el principio de establecer los
mnimos privilegios necesarios para el desarrollo de dichas labores.
Cada proceso de seguridad debe identificar a un propietario, un depositario y a los
usuarios que participarn en el mismo. De esta forma se evitarn malentendidos acerca
de las responsabilidades sobre los elementos del sistema de informacin.
Todas las funciones y responsabilidades deben comunicarse a los usuarios involucrados
en su ejecucin, de una forma clara y asegurando su recepcin y entendimiento. Se
prestar especial atencin al tratamiento de datos de carcter personal.
Las funciones y obligaciones de cada una de las personas con acceso a los datos
de carcter personal y a los sistemas de informacin estarn claramente
definidas y documentadas.
Las funciones de seguridad y las responsabilidades de los empleados,
contratistas y usuarios terceros, deben estar definidas y documentadas conforme
a la poltica de seguridad de la informacin de la organizacin. (Punto 8.1.1
ISO17799:2005)
EDCOM
Pgina 50
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.1.2
Clusulas de Confidencialidad
Implantacin de Medidas
Normativa
La confidencialidad del personal con acceso a datos est regulada, tanto en la Ley de
Proteccin de datos como en la norma ISO 17799.
4.1.3
Para que los usuarios puedan colaborar con la gestin de la seguridad, se les debe
concienciar e informar a fin de que cumplan con las medidas establecidas por la
organizacin en el desempeo habitual de sus funciones.
Es preciso instruir al personal de forma apropiada sobre seguridad y el uso correcto de
los sistemas de informacin y sus recursos, as como sobre la importancia de la
seguridad en el tratamiento de los datos en la organizacin.
4.1.3.1
Implantacin de Medidas
Se debe formar a todo el personal de la empresa que vaya a tratar datos del sistema de
informacin sobre las normas de utilizacin y medidas de seguridad que debe
contemplar dicho tratamiento. Conseguir que todo usuario conozca las instrucciones
para tratar los recursos, la respuesta ante incidencias de seguridad y el mantenimiento de
los recursos, es una forma de disminuir los errores de tratamiento y los malos usos de
los recursos del sistema de informacin.
4.1.3.2
Normativa
La regulacin sobre la formacin y concienciacin del personal con acceso a datos est
regulada, tanto en la Ley de Proteccin de datos como en la ISO 17799, en los
siguientes puntos:
EDCOM
Pgina 51
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.1.4
Todos los usuarios deberan tener un identificador nico para su empleo personal
y una tcnica conveniente de autenticacin debera ser escogida para justificar la
seguridad de identificacin de los usuarios. (Punto 11.5.2 ISO17799:2005)
EDCOM
Pgina 52
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.2 PROCEDIMIENTO
En esta etapa, se propondr los controles o polticas de seguridad que se establecern
en el Organismo, con el fin de corregir o mitigar aquellas amenazas que atacan
directamente a los activos de mayor importancia del Organismo.
Las Polticas de Seguridad que estn dentro de nuestro mbito, se plantean
conjuntamente con el procedimiento a seguir para poder llevarlas a cabo. Aquellas que
estn fuera de nuestro mbito solo se dejaran planteadas.
Pgina 53
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.3.2
Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
c. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
d. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
Control: 9.1.3 Seguridad de oficinas, despachos e instalaciones
Recomendacin
Se recomienda que en el archivo de RRHH se instalen seguridades tales como
puertas de acceso controladas con tarjetas o con identificadores de huellas dactilares;
de esta forma poder proteger aquella rea donde se archivan cada una de las carpetas
con la vida laboral de cada uno de los empleados.
Poltica de Seguridad
- El acceso a reas restringidas ser controlado mediante puertas con apertura de
lector dactilar.
- El rea de archivo de RRHH ser considerado como rea de acceso restringido
EDCOM
Pgina 54
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 55
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
c. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
a. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
Poltica de Seguridad
- El control de inventario de activos se realizar cada tres meses, en el cual cada
empleado deber confirmar los activos asignados al inicio de sus funciones.
Procedimiento
a. El jefe del rea de inventario planificar el control de activos presentando un
cronograma al Director general, proponiendo la fecha para el inicio del mismo;
cronograma que deber ser aprobado para la ejecucin del mismo.
b. Cada jefe de rea y persona con activo asignado, deber proporcionar toda
informacin sobre los activos a su cargo desde el inicio y de los que se les ha sido
entregado durante el periodo de desempeo de sus funciones.
c. Los formularios del control de inventario sern contrastados con los registros
actuales.
d. En caso de existir diferencia de informacin, se deber presentar los respaldos de
las asignaciones de inventario, los mismos que debern registrar las firmas del
empleado.
EDCOM
Pgina 56
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 57
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado que procede a la modificacin de su relacin laboral, pertenece a
alguna de las reas administrativas en las que se tiene acceso a la informacin
digital, se enviar una copia del documento al Centro de Cmputo para la
verificacin y posterior inhabilitacin de los accesos en caso de los que tuviere
del empleado.
c. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
4.6.2
Pgina 58
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 59
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Todos los activos de las diferentes reas debern ser devueltos en perfecto
estado, ya sean estas a nivel mdico o administrativo.
Si existe algn activo que no pertenezca al Organismo este ser revisado para
verificar si tiene informacin relevante para la organizacin, si es as, esta ser
entregada al Organismo.
Procedimiento
a. Los empleados debern llenar un formulario de devolucin de activos entregado
por el departamento de inventario en el cual indicaran todos los activos que el
Organismo les entrego; a su vez indicaran los activos propios del empleado, que
utiliz en el Organismo durante su funcin.
b. Una vez declarados los activos estos sern entregados y revisados para ver su
buen estado, si el activo tiene algn dao se evaluar su reparacin o reposicin
del mismo.
c. Si el activo del empleado contiene informacin relevante para el Organismo esta
deber ser entregada y eliminada del activo del empleado.
d. Si todos los procesos anteriores se llevaron a cabo el empleado firmar el
formulario de devolucin de activos dejando constancia de dicho proceso.
Control 8.3.3 Retiro de los derechos de acceso
Poltica de Seguridad
- Cuando un empleado cambia su situacin laboral, el acceso que este tiene a la
informacin ser inhabilitado 24 horas antes de la entrega del documento de
accin de personal en el que se comunica el cese o cambio de sus funciones
dentro del Organismo; y 24 horas despus en caso de renuncia voluntaria sin
previo aviso.
- Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
c. Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
d. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
e. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
EDCOM
Pgina 60
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.7.3
EDCOM
Pgina 61
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
4.7.4
Pgina 62
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
c. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
d. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
4.7.5
Pgina 63
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Poltica de Seguridad
- Cuando un empleado cambia su situacin laboral, el acceso que este tiene a la
informacin ser inhabilitado 24 horas antes de la entrega del documento de
accin de personal en el que se comunica el cese o cambio de sus funciones
Procedimiento
a. En caso de renuncia voluntaria, despido forzado, del rea de RRHH emitir la
accin de personal (anexo II), en el que se especifica los motivos por el cual el
empleado es despedido o procede al cambio de sus funciones.
b. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a la informacin digital, se enviar una copia del documento al Centro de
Cmputo para la verificacin y posterior inhabilitacin de los accesos en caso de
los que tuviere del empleado.
c. Si el empleado pertenece a alguna de las reas administrativas en las que se tiene
acceso a las reas restringidas, el jefe inmediato comunicar la retirada de la
tarjeta de acceso o la anulacin del registro dactilar dependiendo de la
infraestructura instalada.
d. En caso de cambio de sus funciones, un asistente del centro de cmputo y el jefe
de la prxima rea del empleado, plantearn las modificaciones de los accesos
que necesitar para el desarrollo de las obligaciones establecidas.
Existen muchas razones para establecer un control estricto en lo que a redes sociales
se refiere, entre otro tenemos:
Ingeniera Social: los usuarios de las redes sociales son altamente propensos a
ataques de ingeniera social. En especial empleados clave.
EDCOM
Pgina 64
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Poltica de Seguridad
- Queda prohibido el acceso a redes sociales, redes comerciales, en general al
acceso a direcciones electrnicas y sitios que se consideran innecesarios para
cuestiones laborales de cada uno de los puestos del organismo.
Procedimiento
El centro de cmputo ser el encargado de implementar las medidas necesarias para
la puesta en marcha de esta poltica de seguridad.
Pgina 65
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Poltica de seguridad
- Se establece la obligacin de documentar las responsabilidades y funciones de los
empleados, contratistas y terceros en concordancia con la poltica de seguridad de
la informacin de la organizacin, estableciendo por escrito, de alguna forma, las
obligaciones del empleado con el puesto y con el Organismo.
Procedimiento
a. El departamento de RRHH ser el encargado de realizar un manual de funciones
y servicios, donde se especifique por escrito el desempeo del puesto a cubrir,
pudiendo as el organismo en el momento del cese laboral, reclamar y ejercer el
derecho del cumplimiento de dichas funciones y la fiscalizacin de lo ejercido
por el empleado.
b. El empleado recibir la documentacin de cada una de sus funciones al inicio de
su relacin laboral, dejando constancia de recibido.
EDCOM
Pgina 66
ESPOL
CAPTULO 5
CONCLUSIONES Y
RECOMENDACIONES
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
5 CONCLUSIONES Y RECOMENDACIONES
En el desarrollo del presente captulo se exponen las conclusiones y las
recomendaciones de la tesis de grado, realizados sobre la base de los objetivos que tiene
el presente trabajo, tales como: Realizar los debidos procedimientos desde la
contratacin hasta el despido o cese de funciones del empleado.
Entre las conclusiones que pudimos observar se encuentran las siguientes:
El hospital cuenta con una aplicacin que est conectado con el IESS (Instituto
Ecuatoriano de Seguridad Social) y el Ministerio de Finanzas el cual posee
algunas fallas entre las cuales est que las ventanas de la aplicacin muchas
veces se bloquean o son imposibles de acceder.
Trabajan bajo las normativas de la LOSEP (Ley Orgnica del Servicio Pblico).
Cada movimiento, proceso o toma de decisin se basa en la LOSEP
EDCOM
ESPOL
Pgina 68
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
1.2 Tribunal
Dependiendo lo que ordene el reglamento los concursos sern abiertos (pueden
acceder cualquier ciudadano que cumpla los requisitos; o cerrados (solo personal
del hospital).
El tribunal est conformado por: El Responsable de direccin del hospital,
responsable de RRHH, responsable del organismo sindical y el responsable del
rea de necesidad. Las calificaciones dependen de un examen terico y de la
entrevista personal.
2.- Clasificacin o actualizacin del personal.
Analistas de Quito 1 vez al ao actualizan cada uno de los puestos cubiertos en
el hospital, ya sea por que el empleado ha recibido mayor formacin o por que
este a nivel de experiencia pueda desenvolver un puesto con mayor
responsabilidad, de esta forma pueda ascender a otro nivel y aumentar as su
remuneracin mensual.Para esto los analistas se basan en una tabla de
clasificacin de puestos y adems cada accin ser acatada bajo alguna norma
tcnica.
3.- Evaluacin por desempeo.
Existen grados de evaluacin para cada personal; estos van desde (excelente,
hasta malo), esto sirve para poder realizar movimientos en el personal ya sea por
(baja, ascenso, capacitacin, etc.).Estas evaluaciones estn a cargo del jefe de
RRHH y del jefe inmediato del rea al que pertenece el empleado.
4.-Capacitacin
Las capacitaciones son programadas anualmente; al ser dependientes del estado
poco es el presupuesto destinado a los mismos, por eso se solventan en base de
las multas establecidas para cada sancin del personal, en las aportaciones del
Ministerio, y en los diferentes acuerdos entre las empresas capacitadoras que
colaboran con el hospital.
5.- Planificacin
Esta norma tiene como finalidad la creacin de puestos y la anulacin de los
mismos. Las bajas o despidos estn clasificadas en:
Renuncias.
Muerte.
Jubilacin obligada (mayores de 65 aos).
Jubilacin voluntaria.
Destitucin por sumario administrativo.
Destitucin por sancin.
Supresin de puestos mediante accin de personal y posterior bonificacin.
EDCOM
ESPOL
Pgina 69
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 70
CAPTULO 6
ANEXOS
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
6 ANEXOS
6.1 ANEXO I
6.1.1
Hoja de Inventario
EDCOM
Pgina 72
ESPOL
Tesis de Grado
Sistema de Gestin de Seguridad de la Informacin
en el rea de Recursos Humanos
EDCOM
Pgina 73
ESPOL
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.2 ANEXO II
6.2.1
EDCOM
ESPOL
Pgina 74
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
ACCIN DE PERSONAL
EDCOM
ESPOL
Pgina 75
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.4 ANEXO IV
6.4.1
POLTICAS DE SEGURIDAD
Las siguientes polticas de seguridad debern ser implantadas para disminuir el nivel de
riesgo que generan las amenazas encontradas. La aplicacin de las mismas son
necesarias para la certificacin de la ISO 27001.
Art 01
- Se documentar las responsabilidades y funciones de los empleados, contratistas y
terceros en concordancia con la poltica de seguridad de la informacin de la
organizacin, estableciendo por escrito, de alguna forma, las obligaciones del
empleado con el puesto y con el Organismo.
Art 02
- Todo empleado que inicie su relacin laboral con el Organismo, firmar un
documento llamado de confidencialidad que ser entregado por RRHH en el
momento de la contratacin, el mismo que est obligado a cumplir en un periodo
de 3 meses despus de concluida dicha relacin.
Art 03
- Una vez que el ex empleado cese sus funciones dentro de la Organizacin, est
obligado a cumplir con la no divulgacin de la informacin de uso exclusivo del
Organismo
Art 04
- Todos los activos de las diferentes reas debern ser devueltos en perfecto estado,
ya sean estas a nivel mdico o administrativo.
- Si existe algn activo que no pertenezca al Organismo este ser revisado para
verificar si tiene informacin relevante para la organizacin, si es as, esta ser
entregada al Organismo.
Art 05
- Cuando un empleado cambia su situacin laboral, el acceso que este tiene a la
informacin ser inhabilitado 24 horas antes de la entrega del documento de accin
de personal en el que se comunica el cese o cambio de sus funciones dentro del
Organismo; y 24 horas despus en caso de renuncia voluntaria sin previo aviso.
- Los derechos de acceso que deberan ser retirados o adaptados incluyen accesos
fsicos y lgicos, claves, tarjetas de identificacin, recursos de tratamiento de la
informacin, suscripciones, as como la retirada de cualquier documentacin que
les identifique como un miembro actual de la organizacin.
EDCOM
ESPOL
Pgina 76
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Art 06
- El acceso a reas restringidas ser controlado mediante puertas con apertura de
lector dactilar o con tarjetas de acceso.
- El rea de Estadstica ser considerado como rea de acceso restringido.
- El rea de archivo de RRHH ser considerado como rea de acceso restringido
Art 07
- Queda prohibido el acceso a redes sociales, redes comerciales, en general al acceso
a direcciones electrnicas y sitios que se consideran innecesarios para cuestiones
laborales de cada uno de los puestos del organismo.
Art 08
- El control de inventario de activos se realizar cada tres meses, en el cual cada
empleado deber confirmar los activos asignados al inicio de sus funciones
Art 09
- El control de inventario de activos se realizar cada tres meses, en el cual cada
empleado deber confirmar los activos asignados al inicio de sus funciones.
EDCOM
ESPOL
Pgina 77
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.5 ANEXO V
6.5.1
6.5.1.1
Marco de referencia
Qu es seguridad de la informacin?
Qu es un SGSI?
EDCOM
ESPOL
Pgina 78
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Legalidad: La informacin debe de cumplir con las leyes vigentes dependiendo del
lugar donde se encuentran y son manejadas.
EDCOM
ESPOL
Pgina 79
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy
importantes de una organizacin. La confidencialidad, integridad y disponibilidad de
informacin sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de la organizacin y asegurar beneficios econmicos.
Las organizaciones y por consecuente su informacin, estn expuestos cada vez ms a
un nmero elevado de amenazas que aprovechan cualquiera de las vulnerabilidades
existentes para someter a activos crticos de informacin, a diversas formas de fraude,
espionaje, sabotaje o vandalismo. Los virus informticos, el hacking o los ataques de
denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se
deben considerar los riesgos de sufrir incidentes de seguridad causados desde dentro de
la propia organizacin ya sean estos voluntaria o involuntariamente, o aquellos
provocados accidentalmente por catstrofes naturales y fallos tcnicos los cuales son
difciles de prevenir y de manejar.
Cumplir con las leyes establecidas, poder adaptarse de forma dinmica y puntual a las
condiciones variables del entorno, proteger adecuadamente los objetivos de negocio
para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestin de las
organizaciones.
El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por s
mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
organizacin, con la gerencia al frente, tomando en consideracin tambin a clientes y
proveedores de bienes y servicios.
El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados
y la planificacin e implantacin de controles de seguridad basados en una evaluacin
de riesgos y en una medicin de la eficacia de los mismos.
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer
estas polticas y procedimientos en relacin a los objetivos de negocio de la
organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de
riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin
y los asume, minimiza, transfiere o controla mediante una sistemtica definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
EDCOM
ESPOL
Pgina 80
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.5.4
La ISO es una federacin internacional con sede en Ginebra (Suiza) de los institutos de
normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental
(sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los
institutos de normalizacin nacionales es diferente en cada pas (entidad pblica,
privada).
La ISO desarrolla estndares requeridos por el mercado que representan un consenso de
sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios,
consumidores) acerca de productos, tecnologas, sistemas y mtodos de gestin, entre
otros.
Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no
gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en
aquellos casos en los que un pas ha decidido adoptar un determinado estndar como
parte de su legislacin, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptacin mundial a travs de sus 3.000 grupos
tcnicos y ms de 50.000 expertos que colaboran en el desarrollo de estndares.
6.5.4.1
ISO 27000
Pgina 81
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 82
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 83
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la
organizacin de la seguridad de la informacin. Su publicacin revisa y retira las
normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en
ISO.org.
ISO 27006:
Publicada el 13 de Febrero de 2007. Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
Es una versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que
operan certificacin/registro de SGSI) que aade a ISO/IEC 17021 (Requisitos para las
entidades de auditora y certificacin de sistemas de gestin) los requisitos especfico
relacionados con ISO 27001 y los SGSI. Es decir, ayuda a interpretar los criterios de
acreditacin de ISO/IEC 17021 cuando se aplican a entidades de certificacin de ISO
27001, pero no es una norma de acreditacin por s misma. En Espaa, esta norma an
no est traducida. El original en ingls puede adquirirse en ISO.org.
ISO 27007:
En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en
una gua de auditora de un SGSI.
ISO 27011:
En fase de desarrollo; su fecha prevista de publicacin es Enero de 2008. Consistir en
una gua de gestin de seguridad de la informacin especfica para telecomunicaciones,
elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones).
ISO 27031:
En fase de desarrollo; su fecha prevista de publicacin es Mayo de 2010. Consistir en
una gua de continuidad de negocio en cuanto a tecnologas de la informacin y
comunicaciones.
ISO 27032:
En fase de desarrollo; su fecha prevista de publicacin es Febrero de 2009. Consistir
en una gua relativa a la ciberseguridad.
ISO 27033:
En fase de desarrollo; su fecha prevista de publicacin es entre 2010 y 2011. Es una
norma consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad
de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre
redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes
EDCOM
ESPOL
Pgina 84
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Metodologa ISO27001
Pgina 85
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 86
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 87
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 88
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los
requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y
especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los
resultados obtenidos sean comparables y repetibles (existen numerosas metodologas
estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir
una propia).
Identificar los riesgos:
Identificar los activos que estn dentro del alcance del SGSI y a sus responsables
directos, denominados propietarios.
Identificar las amenazas en relacin a los activos;
Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
Identificar los impactos en la confidencialidad, integridad y disponibilidad de los
activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida
de confidencialidad, integridad o disponibilidad de un activo de informacin.
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en
relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que
ya estn implementados.
Estimar los niveles de riesgo.
Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si
el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados.
Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios
establecidos para la aceptacin de los riesgos.
Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan.
EDCOM
ESPOL
Pgina 89
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 90
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799)
proporciona una completa gua de implantacin que contiene 133 controles, segn 39
objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO
27001, en su segunda clusula, en trminos de documento indispensable para la
aplicacin de este documento y deja abierta la posibilidad de incluir controles
adicionales en el caso de que la gua no contemplase todas las necesidades particulares.
6.5.5.2.2 Do: Implementar y utilizar el SGSI
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos,
responsabilidades y prioridades en la gestin de los riesgos de seguridad de la
informacin.
Pgina 91
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 92
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 93
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
inferiores del organigrama; se estn gestionando riesgos e impactos de negocio que son
responsabilidad y decisin de la direccin.
El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del
SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin
afectada por el SGSI (recurdese que el alcance no tiene por qu ser toda la
organizacin).
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se
detallan en los siguientes puntos:
6.5.5.3.1 Compromiso de la direccin
La direccin de la organizacin debe comprometerse con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del
SGSI. Para ello, debe tomar las siguientes iniciativas:
Establecer una poltica de seguridad de la informacin.
Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la informacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad
de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades
legales y la necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.
Asegurar que se realizan auditoras internas.
Realizar revisiones del SGSI, como se detalla ms adelante.
6.5.5.3.2 Asignacin de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es
imprescindible la asignacin de recursos. Es responsabilidad de la direccin garantizar
que se asignan los suficientes para:
Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
Garantizar que los procedimientos de seguridad de la informacin apoyan los
requerimientos de negocio.
Identificar y tratar todos los requerimientos legales y normativos, as como las
obligaciones contractuales de seguridad.
EDCOM
ESPOL
Pgina 94
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Realizar revisiones cuando sea necesario y actuar adecuadamente segn los resultados
de las mismas.
Mejorar la eficacia del SGSI donde sea necesario.
6.5.5.3.3 Formacin y concienciacin
La formacin y la concienciacin en seguridad de la informacin son elementos bsicos
para el xito de un SGSI. Por ello, la direccin debe asegurar que todo el personal de la
organizacin al que se le asignen responsabilidades definidas en el SGSI est
suficientemente capacitado. Se deber:
Determinar las competencias necesarias para el personal que realiza tareas en
aplicacin del SGSI.
Satisfacer dichas necesidades por medio de formacin o de otras acciones como, p. ej.,
contratacin de personal ya formado.
Evaluar la eficacia de las acciones realizadas.
Mantener registros de estudios, formacin, habilidades, experiencia y cualificacin.
Adems, la direccin debe asegurar que todo el personal relevante este concienciado de
la importancia de sus actividades de seguridad de la informacin y de cmo contribuye
a la consecucin de los objetivos del SGSI.
6.5.5.3.4 Revisin del SGSI
A la direccin de la organizacin se le asigna tambin la tarea de, al menos una vez al
ao, revisar el SGSI, para asegurar que contine siendo adecuado y eficaz. Para ello,
debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que
se pueden enumerar:
Resultados de auditoras y revisiones del SGSI.
Observaciones de todas las partes interesadas.
Tcnicas, productos o procedimientos que pudieran ser tiles para mejorar el
rendimiento y eficacia del SGSI.
Informacin sobre el estado de acciones preventivas y correctivas.
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones
de riesgos anteriores.
Resultados de las mediciones de eficacia.
EDCOM
ESPOL
Pgina 95
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 96
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 97
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 98
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Factores de xito.EDCOM
ESPOL
Pgina 99
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 100
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.5.5.4
Pgina 101
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 102
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
En la fase DO, se seleccionan e implementan los controles que reduzcan el riesgo a los
niveles considerados como aceptables y en CHECK y ACT se cierra y reinicia el ciclo
de vida con la recogida de evidencias y readaptacin de los controles segn los nuevos
niveles obtenidos y requeridos.
Es un proceso cclico sin fin que permite la mejor adaptacin de la seguridad al cambio
continuo que se produce en la empresa y su entorno.
6.5.5.5
Certificacin
Pgina 103
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Pgina 104
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
EDCOM
ESPOL
Pgina 105
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
6.6 ANEXO VI
6.6.1
Glosario
6.6.1.1
Glosario de Trminos
En este glosario se presentan los trminos de uso frecuente en el entorno del anlisis de
riesgos.
En la elaboracin de este glosario se han obtenido en cuenta las definiciones recogidas
en los principales estndares que se detallan en la Norma Iso-27000
Activo.- En relacin con la seguridad de la informacin, se refiere a cualquier
informacin o sistema relacionado con el tratamiento de la misma que tenga valor para
la organizacin. Segn [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor para la
organizacin.
Alcance.- mbito de la organizacin que queda sometido al SGSI. Debe incluir la
identificacin clara de las dependencias, interfaces y lmites con el entorno, sobre todo
si slo incluye una parte de la organizacin.
Amenaza.- Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no
deseado, el cual puede causar el dao a un sistema o la organizacin.
Anlisis de impacto al negocio: evaluar los resultados y las consecuencias de la
inestabilidad.
Anlisis de riesgos.- Segn [ISO/IEC Gua 73:2002]: Uso sistemtico de la
informacin para identificar fuentes y estimar el riesgo.
Autorizacin: Lo que se permite cuando se ha otorgado acceso.
Confidencialidad.- Es la propiedad de prevenir la divulgacin de informacin a
personas o sistemas no autorizados. Por ejemplo, una transaccin de tarjeta de crdito
en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el
comprador al comerciante y el comerciante de a una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del
nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin
de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo
alguno, se ha producido una violacin de la confidencialidad. La prdida de la
confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira
por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla,
cuando se publica informacin privada, cuando un laptop con informacin sensible
sobre una empresa es robado, cuando se divulga informacin confidencial a travs del
telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad.
EDCOM
ESPOL
Pgina 106
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Control.- Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del
nivel de riesgo asumido. (Nota: Control es tambin utilizado como sinnimo de
salvaguarda o contramedida.
Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas.
Disponibilidad.- Es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones. En el caso de los sistemas informticos utilizados para almacenar y
procesar la informacin, los controles de seguridad utilizada para protegerlo, y los
canales de comunicacin protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir
estando disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware, y actualizaciones del sistema. Garantizar la
disponibilidad implica tambin la prevencin de ataque Denegacin de servicio. La
disponibilidad adems de ser importante en el proceso de seguridad de la informacin,
es adems variada en el sentido de que existen varios mecanismos para cumplir con los
niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura
tecnolgica, servidores de correo electrnico, de bases de datos, de web etc., mediante
el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red,
servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces
redundantes, etc. La gama de posibilidades depender de lo que queremos proteger y el
nivel de servicio que se quiera proporcionar.
Evaluacin de riesgos.- Segn [ISO/IEC Gua 73:2002]: proceso de comparar el riesgo
estimado contra un criterio de riesgo dado con el objeto de determinar la importancia
del riesgo.
Evento.- Segn [ISO/IEC TR 18044:2004]: Suceso identificado en un sistema, servicio
o estado de la red que indica una posible brecha en la poltica de seguridad de la
informacin o fallo de las salvaguardias, o una situacin anterior desconocida que
podra ser relevante para la seguridad.
Gestin de riesgos.- Proceso de identificacin, control y minimizacin o eliminacin, a
un coste aceptable, de los riesgos que afecten a la informacin de la organizacin.
Incluye la valoracin de riesgos y el tratamiento de riesgos. Segn [ISO/IEC Gua
73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto
al riesgo.
Identificacin: verificacin de una persona o cosa; reconocimiento.
EDCOM
ESPOL
Pgina 107
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
IEC.- Organizacin internacional que publica estndares relacionados con todo tipo de
tecnologas elctricas y electrnicas.
Impacto.- El coste para la empresa de un incidente -de la escala que sea-, que puede o
no ser medido en trminos estrictamente financieros -p.ej., prdida de reputacin,
implicaciones legales, etc.-.
Incidente.- Segn [ISO/IEC TR 18044:2004]: Evento nico o serie de eventos de
seguridad de la informacin inesperados o no deseados que poseen una probabilidad
significativa de comprometer las operaciones del negocio y amenazar la seguridad de la
informacin.
Integridad.- Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. No es igual a integridad referencial en bases de datos. La violacin de
integridad se presenta cuando un empleado, programa o proceso (por accidente o con
mala intencin) modifica o borra los datos importantes que son parte de la informacin,
as mismo hace que su contenido permanezca inalterado a menos que sea modificado
por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y
confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de
datos de comprobacin de la integridad: la firma digital Es uno de los pilares
fundamentales de la seguridad de la informacin.
ISO 27001.- Estndar para sistemas de gestin de la seguridad de la informacin
adoptado por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera
publicacin en 2005
Objetivo.- Declaracin del resultado o fin que se desea lograr mediante la
implementacin de procedimientos de control en una actividad de TI determinada.
PDCA. - Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI),
verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).
Polticas: declaracin de alto nivel sobre la intencin y la direccin de la gerencia.
Poltica de seguridad.- Documento que establece el compromiso de la Direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin. Segn
[ISO/IEC 27002:2005]: intencin y direccin general expresada formalmente por la
Direccin.
Riesgo.- Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]:
combinacin de la probabilidad de un evento y sus consecuencias.
Riesgo Residual.- Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
EDCOM
ESPOL
Pgina 108
Tesis de Grado
Seguridad de la Informacin
Sistema de Gestin de
en el rea de Recursos Humanos
Glosario de Abreviaturas
EDCOM
ESPOL
Pgina 109