universidad tecnolÓ gica equinoccialrepositorio.ute.edu.ec/bitstream/123456789/5710/1/43803... ·...
TRANSCRIPT
I
UNI
CARRE
TEDIREC
PREVINF
A
IVERSID
FACULT
ERA DE I
EMA: “GCCIÓN DE
VIA LA OFORMÁT
AUTOR:
DIREC
DAD TE
TAD DE C
INGENIELA
ESTIÓNE DESAR
OBTENCTICA Y C
SILVAN
CTOR: IN
QU
ECNOLÓ
CIENCIA
ERÍA INF COMPU
DE LA NRROLLO
TESI
CIÓN DELCIENCIA
A KARIN
NG. VICT
UITO – EC
2011
II
ÓGICA
AS DE LA
FORMÁTUTACIÓN
NORMA IO INSTITU
IS
L TÍTULAS DE LA
NA SOTA
TOR HUG
CUADOR
1
EQUIN
A INGENI
TICA Y CN
ISO 2700UCIONA
O DE INGA COMPU
ALÍN TIT
GO GÁLV
NOCCIA
IERÍA
CIENCIA
00 EN LA AL DEL IE
GENIERUTACIÓN
TUAÑA
VEZ
AL
S DE
ESS”
RÍA N
III
DECLARACIÓN
Del contenido de la presente Tesis se responsabiliza al Autor: Silvana Karina
Sotalín Tituaña.
IV
CARTA DEL DIRECTOR DE TESIS
Quito, 14 de julio del 2010
Señor
Ingeniero Jorge Viteri MBA.- MSc
DECANO DE LA FACULTAD DE CIENCIAS DE LA INGENIERÍA
Presente.
De mi consideración:
Por medio del presente hago llegar el informe final de la tesis titulada: “"GESTIÓN DE
LA NORMA ISO 27001 EN LA DIRECCION DE DESARROLLO INSTITUCIONAL
DEL IESS"”, presentada por el señorita Silvana Sotalín Tituaña, el mismo que a
continuación detallo:
La tesis cumple con el objetivo general propuesto en el plan.
La tesis cumple con los objetivos específicos planteados al inicio del trabajo de
investigación.
Se ha utilizado una metodología para el desarrollo del proyecto de tesis.
Hago propicia la ocasión para desearle éxitos en sus funciones.
Atentamente.
Ing. Víctor H. Gálvez C.
Director de Tesis
V
AGRADECIMIENTO
Primero y antes que nada, dar gracias a Dios, por estar conmigo en cada paso
que doy, por fortalecer mi corazón e iluminar mi mente y por haber puesto en mi
camino a aquellas personas que han sido mi soporte y compañía durante todo el periodo
de estudio.
Agradecer hoy y siempre a mi familia que es lo más importante en mi vida por
darme la estabilidad emocional, económica y sentimental. A mi padre José Luis Sotalín
(+) que desde el cielo me bendice y protege, a mi madre Elvira Tituaña, quien con su
ejemplo de valentía, sus ganas de vivir me ha enseñado que todo es posible ante
cualquier adversidad, a mis Hermanos Edwin, por brindarme su ayuda cuando más la
necesitaba, por ser una persona con la que puedo contar siempre, por el cariño que me
brinda y los ánimos que me da, Ronnie que con su buen sentido de humor ha logrado
que sea una persona feliz y con sus enseñanzas logre mis objetivos, a mi hermana Gina,
por su apoyo, cariño, por compartir conmigo muchos momentos tanto alegres como
tristes.
A mis sobrinos Jose Luis, por ser la personita que ha compartido el mayor
tiempo a mi lado, porque en su compañía las cosas malas se convierten en buenas, la
tristeza se transforma en alegría y la soledad no existe, Konnie, por el ánimo y alegría
que brinda me da la fortaleza necesaria para seguir adelante.
VI
Mi especial agradecimiento es para la Universidad Tecnológica Equinoccial
que en su visión de ofrecer una excelente alternativa de educación superior hizo realidad
mis sueños y aspiraciones, ofreciéndome más que un recinto de estudios, un segundo
hogar.
A todos mis profesores gracias por su tiempo, por su apoyo así como por la
sabiduría que me trasmitieron en el desarrollo de mi formación profesional.
De igual manera mi más sincero agradecimiento al Ing. Victor Hugo Gálvez
por asesorarme a lo largo de la tesis y acompañarme es este camino, por la
colaboración, paciencia, apoyo brindados desde siempre y sobre todo por esa gran
amistad que me brindó y me brinda, por escucharme y aconsejarme siempre.
Así también a todo el personal del IESS, ya que dentro de los ámbitos que a cada
uno le competen me han colaborado sin ponerme ningún impedimento.
En general quisiera agradecer a todos mis amigos, familiares y a cada una de las
personas que han vivido conmigo la realización de esta tesis, con sus altos y bajos
porque tanto ellas como yo sabemos que desde los más profundo de mi corazón les
agradezco el haberme brindado todo el apoyo, colaboración, ánimo y sobre todo cariño
y amistad.
Silvana Sotalín T.
VII
DEDICATORIA
Durante estos años de lucha constante, de gratas vivencias, de momentos de
éxitos y también de angustias y desesperanzas para poder cumplir mis objetivos y así
poder alcanzar uno de mis más grandes anhelos, culminar mi carrera, los deseos de
superarme y de lograr mi meta eran tan grandes que logre vencer todos los obstáculos y
es por ello que debo dedicar este triunfo a quienes en todo momento me llenaron de
amor y apoyo, y por sobre todo me brindaron su amistad:
A Dios Por haberme permitido llegar hasta este punto y haberme dado salud para
lograr mis objetivos, además de su infinita bondad y amor.
A mis Hermanos Edwin, Ronnie, Gina, este triunfo lo comparto con ustedes,
pilares fundamentales en mi vida, dignos de ejemplo de trabajo y constancia, quienes
me han brindado todo el apoyo necesario para alcanzar mis metas y sueños, y han
estado ahí en cada día de mi vida, compartiendo los buenos y los malos ratos desde el
día que nací…..los quiero mucho y gracias!!!
A mis sobrinos Jose Luis y Konnie imposible imaginar la vida sin estos seres
maravillosos, me ayudaron a enfrentar mis obstáculos con alegría.
VIII
A ti el amigo de toda la vida, quien sabe lo gratificante que ha sido para mí
llevar a cabo este proyecto, muchas gracias por ocupar un lugar muy importante en mi
vida
A mi Madre : Mami Vila, serás siempre mi inspiración para alcanzar mis metas,
por enseñarme que todo se aprende y que todo esfuerzo es al final recompensa. Tu
esfuerzo, se convirtió en tu triunfo y el mío, TE AMO.
Silvana Sotalín T.
IX
ÍNDICE GENERAL
CARÁTULA…………………………………………………………………….. II
DECLARACIÓN ……………………………………………………….. …….. III
CARTA DEL DIRECTOR DE TESIS ………………………………………… IV
AGRADECIMIENTO ………………………………………………………… V
DEDICATORIA ………………………………………………………………. VII
ÍNDICE GENERAL……………………………………………………… …….. IX
ÍNDICE DE CONTENIDOS…………………………………………………… X
ÍNDICE DE CUADROS ……………………………………………….. ……. XXII
ÍNDICE DE FIGURAS…………………………………………………............ XXIII
ÍNDICE DE ANEXOS………………………………………………………… XXIV
RESUMEN ……………………………………………………………………. XXV
SUMMARY …………………………………………………………………… XXVI
X
ÍNDICE DE CONTENIDO
CAPÍTULO I .................................................................................................................... 1
1.1. ANTECEDENTES ............................................................................................. 1
1.2. OBJETIVOS ...................................................................................................... 2
2.1.2. Objetivo General ............................................................................................ 2
2.1.2. Objetivos Específicos ..................................................................................... 2
1.3. JUSTIFICACIÓN .............................................................................................. 2
1.4. ALCANCE DEL PROYECTO .......................................................................... 4
1.5. METODOLOGÍA DE DESARROLLO ............................................................. 4
1.6. FACTIBILIDAD ................................................................................................ 6
1.6.1. Factibilidad Técnica ....................................................................................... 6
1.6.2. Factibilidad Económica .................................................................................. 9
CAPÍTULO II ................................................................................................................ 13
2.1. SEGURIDADES INFORMÁTICAS ............................................................... 13
2.1.1. Objetivos de la Seguridad de Información. .................................................. 14
2.1.2. Importancia de la Seguridad de Información. .............................................. 15
2.1.3. Establecer las Necesidades de Seguridad ..................................................... 18
2.1.4. Evaluación de los Riesgos de Seguridad ...................................................... 19
2.1.5. Componentes de la Seguridad: Procesos, personas y tecnología ................. 21
2.1.6. Tipos de Seguridad Informática ................................................................... 22
2.1.7. Niveles de Seguridad ................................................................................... 25
XI
2.1.8. Hacker, Phreaker, Pirata y Cracker .............................................................. 27
2.2. ESTÁNDAR ISO 27001 .................................................................................. 29
2.2.1. Definición ..................................................................................................... 29
2.2.1. Sistema de Gestión de la Seguridad de la Información ................................ 30
2.2.3. Controles ...................................................................................................... 50
2.2.4. Beneficios al Aplicar la ISO 27001 ............................................................. 56
2.3. LA ORGANIZACIÓN ..................................................................................... 58
2.4. NORMA ISO 270002 ....................................................................................... 63
CAPÍTULO III ............................................................................................................... 73
SISTEMA DE GESTIÓN DE LA INFORMACIÓN DEL DDI APLICANDO LA
NORMA ISO 27001 ..................................................................................................... 73
3.0. INTRODUCCIÓN ........................................................................................... 74
3.1. CAMPO DE APLICACIÓN ............................................................................ 74
3.2. TÉRMINOS Y DEFINICIONES ..................................................................... 74
3.3. ESTRUCTURA DEL ESTÁNDAR ISO 270002 ............................................ 85
3.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO ...................................... 87
3.4.1. Análisis del Riesgo y los Requerimientos del ISO 27001:2005 .................. 88
3.4.2. Proceso de Evolución del Riesgo ................................................................. 88
3.4.2.1. Identificación y tasación de Activos: ................................................... 89
3.4.2.2. Identificación de requerimientos de Seguridad: ................................... 91
3.4.2.3. Identificación de Amenazas y Vulnerabilidades .................................. 92
3.4.2.4. Cálculos de los Riesgos de Seguridad .................................................. 93
XII
3.4.2.5. Selección de Opciones Apropiadas de Tratamiento del Riesgo ........... 94
3.4.2.6. Selección de Controles para Reducir los Riesgos a un Nivel Aceptable ...... 96
3.4.3. Riesgo Residual ............................................................................................ 97
3.4.4. Valoración de Bienes o Activos ................................................................... 98
3.4.5. Cálculo del Riesgo en la Dirección de Desarrollo Institucional .................. 99
3.4.5.1. Riesgo de Activos ................................................................................ 99
3.4.5.2. Cuadro del Cálculo del Riesgo en la Dirección de Desarrollo Institucional . 99
3.4.5.3. Cuadro del Cálculo de la Seguridad en la Dirección de Desarrollo
Institucional ........................................................................................................ 103
3.4.5.4. Análisis del cálculo de la seguridad ................................................... 105
3.4.5.5. Servicios en Línea del IESS ............................................................... 106
3.5. POLÍTICA DE SEGURIDAD: ...................................................................... 107
3.5.1. Análisis del tratamiento de políticas en la DDI ......................................... 108
3.5.2. Definición de Políticas para la DDI ........................................................... 110
3.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIÓN ....................................................................................................... 113
3.6.1 Orgánico Funcional .................................................................................... 114
3.6.2. Órganos de Gobierno ................................................................................. 116
3.6.3. La Dirección General ................................................................................. 116
3.6.4. La Dirección Provincial ............................................................................. 117
3.6.5. Direcciones Especializadas ........................................................................ 118
3.6.6. Estructura Organizacional de la Dirección de Desarrollo Institucional ..... 118
XIII
3.6.7. Organigrama de la Dirección de Desarrollo Institucional .......................... 120
3.6.7.1. Responsabilidades. ............................................................................. 121
3.6.7.2.Dependencias de la Dirección de Desarrollo Institucional ........................ 122
3.6.7.3. Competencia de la Subdirección de Planificación Institucional ....... 123
3.6.7.4. Responsabilidades de la Subdirección de Planificación Institucional. ...... 123
3.6.7.5. Dependencias de la Subdirección de Planificación ............................ 124
3.6.7.6. Competencia de la Subdirección de Procesos y Normatividad. ........ 126
3.6.7.7. Responsabilidades de la Subdirección de Procesos y Normatividad 126
3.6.7.8. Dependencias de la Subdirección de Normatividad y Procesos. ...... 127
3.6.7.9. Competencia de la Subdirección de Tecnología. .............................. 130
3.6.7.10. Responsabilidades de la Subdirección de Tecnología. .................... 130
3.6.7.11. Dependencias de la Subdirección de Tecnología. .............................. 131
3.6.7.12. Competencia de la Unidad de Presupuesto. ....................................... 135
3.6.7.13. Responsabilidades de la Unidad de Presupuesto. ............................. 135
3.6.7.14. Competencia de la Unidad de Historia Laboral. ................................ 137
3.6.7.15. Responsabilidades de la Unidad de Historia Laboral. ...................... 137
3.6.8. Esquema de Funcionalidad de los Proyectos ............................................. 139
3.6.9. Unidad de Producción ................................................................................ 139
3.6.9.1. Área de Seguridades ........................................................................... 140
3.6.9.2. Área de Servidores ............................................................................. 142
3.6.9.3. Diagrama de los servidores ................................................................ 144
3.6.9.4. Servicios on-line del IESS ................................................................. 146
XIV
3.6.9.5. Diagrama de Almacenamiento de los servidores ............................... 147
3.6.9.6. Área de Redes .................................................................................... 148
3.6.9.7. Diagrama de Red de IESS .................................................................. 151
3.6.9.8. Área de Base de Datos ....................................................................... 152
3.6.9.9. Área de Soporte .................................................................................. 153
3.7. GESTIÓN DE ACTIVOS .............................................................................. 154
3.8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS .......................... 156
3.8.1. Seguridad en la definición del trabajo y los recursos ................................. 156
3.8.1.1. Inclusión de la seguridad en las responsabilidades laborales............. 157
3.8.1.2. Selección y política de personal. ........................................................ 158
3.8.1.3. Términos y condiciones de la relación laboral. .................................. 158
3.8.2. Seguridad en el desempeño de las funciones del empleo .......................... 158
3.8.2.1.Supervisión de las obligaciones ................................................................. 159
3.8.2.2. Formación y capacitación en seguridad de la información ................ 159
3.8.2.3. Procedimiento disciplinario ............................................................... 160
3.8.3. Finalización o cambio del puesto de trabajo .............................................. 160
3.8.3.1. Cese de responsabilidades .................................................................. 160
3.8.3.2. Restitución de activos ........................................................................ 161
3.8.3.3. Cancelación de permisos de acceso ................................................... 162
3.9. SEGURIDAD FÍSICA Y AMBIENTAL ....................................................... 164
3.9.1. Áreas Seguras ............................................................................................. 164
3.9.1.1. Perímetro de seguridad física ............................................................. 165
XV
3.9.1.2. Controles físicos de entrada ............................................................... 165
3.9.1.3. Seguridades de oficinas, despachos y recursos .................................. 165
3.9.2.4. Protección contra amenazas externas y del entorno ........................... 165
3.9.2.5. El trabajo en áreas seguras ................................................................. 166
3.9.2.6. Áreas aisladas de carga y descarga .................................................... 166
3.9.2. Seguridad de los equipos ............................................................................ 166
3.9.2.1. Instalación y protección de equipos ................................................... 167
3.9.2.2. Suministro eléctrico ........................................................................... 167
3.9.2.3. Seguridad del cableado ...................................................................... 167
3.9.2.4. Mantenimiento de equipos ................................................................. 168
3.9.2.5. Seguridad de equipos fuera de los locales de la Organización .......... 168
3.9.2.6. Seguridad en la reutilización o eliminación de equipos ..................... 168
3.9.2.7. Traslado de activos ............................................................................. 168
3.10. GESTIÓN DE COMUNICACIONES Y OPERACIONES ........................... 169
3.10.1. Procedimiento y responsabilidad de operación .......................................... 169
3.10.1.1. Documentación de procedimientos operativos .................................. 170
3.10.1.2. Control de cambios operacionales ..................................................... 170
3.10.1.3. Segregación de tareas ......................................................................... 171
3.10.1.4. Separación de los recursos para desarrollo y producción .................. 171
3.10.2. Supervisión de los servicios contratados a terceros ................................... 171
3.10.2.1. Prestación de servicios ....................................................................... 172
3.10.2.2. Monitorización y revisión de los servicios contratados ..................... 172
XVI
3.10.2.3. Gestión de los cambios en los servicios contratados ......................... 172
3.10.3. Planificación y aceptación del sistema ....................................................... 173
3.10.3.1. Planificación de capacidades .............................................................. 173
3.10.3.2. Aceptación del sistema ....................................................................... 173
3.10.4. Protección contra software malicioso y código móvil ............................... 174
3.10.4.1. Medidas y controles contra software malicioso ................................. 175
3.10.4.2. Medidas y controles contra código móvil .......................................... 175
3.10.5. Gestión interna de soportes y recuperación ............................................... 175
3.10.5.1. Recuperación de la información......................................................... 176
3.10.6. Gestión de redes ......................................................................................... 176
3.10.6.1. Controles de red ................................................................................. 177
3.10.6.2. Seguridad en los servicios de red ....................................................... 177
3.10.7. Utilización y seguridad de los soportes de información ............................ 177
3.10.7.1. Gestión de soportes extraíbles ............................................................ 178
3.10.7.2. Eliminación de soportes ..................................................................... 178
3.10.7.3. Procedimientos de utilización de la información ............................... 178
3.10.7.4. Seguridad de la documentación de sistemas ...................................... 179
3.10.8. Intercambio de información y software ..................................................... 179
3.10.8.1. Políticas y procedimientos de intercambio de información ............... 179
3.10.8.2. Acuerdos de intercambio.................................................................... 180
3.10.8.3. Soportes físicos en tránsito ................................................................ 180
3.10.8.4. Mensajería electrónica ....................................................................... 180
XVII
3.10.8.5. Sistemas de información empresariales ............................................. 181
3.10.9. Servicios de comercio electrónico ............................................................. 182
3.10.9.1. Seguridad en comercio electrónico .................................................... 182
3.10.9.2. Seguridad en transacciones en línea ................................................... 182
3.10.9.3. Seguridad en información pública ..................................................... 183
3.10.10.Monitorización .......................................................................................... 183
3.10.10.1.Registro de incidencias ...................................................................... 184
3.10.10.2.Supervisión del uso de los sistemas ................................................... 184
3.10.10.3.Protección de los registros de incidencias .......................................... 184
3.10.10.4.Diarios de operación del administrador y operador ........................... 184
3.10.10.5.Registro de fallos ............................................................................... 185
3.10.10.6.Sincronización del reloj ..................................................................... 204
3.11. CONTROL DE ACCESO .............................................................................. 204
3.11.1 Requisitos de negocio para el control de accesos ...................................... 205
3.11.1.1. Política de control de accesos ............................................................ 205
3.11.2. Gestión de acceso de usuario ..................................................................... 206
3.11.2.1. Registro de usuario ............................................................................. 207
3.11.2.2. Gestión de privilegios ........................................................................ 207
3.11.2.3. Gestión de contraseña de usuario ....................................................... 207
3.11.2.4. Revisión de los derechos de acceso de los usuarios ........................... 208
3.11.3. Responsabilidades del usuario ................................................................... 208
3.11.3.1. Uso de contraseña .............................................................................. 208
XVIII
3.11.4. Control de acceso de red ............................................................................ 212
3.11.4.1. Política de uso de los servicios de red ................................................ 212
3.11.4.2. Autenticación de usuario para conexiones externas........................... 213
3.11.4.3. Autenticación de nodos de la red ....................................................... 213
3.11.4.4. Protección a puertos de diagnóstico remoto....................................... 214
3.11.4.5. Segregación en las redes .................................................................... 214
3.11.4.6. Control de conexión a las redes ......................................................... 214
3.11.4.7. Control de encaminamiento en la red................................................. 214
3.11.5. Control de acceso al sistema operativo ...................................................... 215
3.11.5.1. Procedimientos de conexión de terminales ........................................ 215
3.11.5.2. Identificación y autenticación de usuario ........................................... 216
3.11.5.3. Sistema de gestión de contraseñas ..................................................... 216
3.11.5.4. Uso de los servicios del sistema ......................................................... 216
3.11.5.5. Desconexión automática de terminales .............................................. 216
3.11.5.6. Limitación del tiempo de conexión .................................................... 217
3.11.6. Control de acceso a las aplicaciones .......................................................... 217
3.11.6.1. Restricción de acceso a la información .............................................. 218
3.11.6.2. Aislamiento de sistemas sensibles ..................................................... 218
3.11.7. Información móvil y tele trabajo ................................................................ 218
3.12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIÓN ....................................................................................................... 219
3.12.1. Requisitos de seguridad de los sistemas............................................. 220
XIX
3.12.1.1. Análisis y especificación de los requisitos de seguridad ................... 221
3.12.2. Seguridad de las aplicaciones del sistema .................................................. 221
3.12.2.1. Validación de los datos de entrada ..................................................... 222
3.12.2.2. Control del proceso interno ................................................................ 222
3.12.2.3. Autenticación de mensajes ................................................................. 222
3.12.2.4. Validación de los datos de salida ....................................................... 223
3.12.3. Controles criptográficos ............................................................................. 223
3.12.3.1. Política de uso de los controles criptográficos ................................... 223
3.12.3.2. Cifrado ............................................................................................... 223
3.12.4. Seguridad de los ficheros del sistema ........................................................ 223
3.12.4.1. Control del software en explotación .................................................. 224
3.12.4.2. Protección de los datos de prueba del sistema ................................... 224
3.12.4.3. Control de acceso a la librería de programas fuente .......................... 224
3.12.5. Seguridad en los procesos de desarrollo y soporte..................................... 224
3.12.5.1. Procedimientos de control de cambios ............................................... 225
3.12.5.2. Revisión técnica de los cambios en el sistema operativo ................... 225
3.12.5.3. Restricciones en los cambios a los paquetes de software .................. 225
3.12.5.4. Canales encubiertos y código troyano................................................ 225
3.12.5.5. Desarrollo externalizado del software ................................................ 226
3.12.6. Gestión de las vulnerabilidades técnicas .................................................... 226
3.12.6.1. Control de las vulnerabilidades técnicas ............................................ 226
3.13. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN . 227
XX
3.13.1. Comunicación de eventos y debilidades en la seguridad de la información 227
3.13.1.1. Comunicación de eventos en seguridad ............................................. 228
3.13.1.2. Comunicación de debilidades en seguridad ....................................... 228
3.13.1.2.Gestión de incidentes y mejoras en la seguridad de la información ........ 228
3.13.2.1. Identificación de responsabilidades y procedimientos ....................... 229
3.13.2.2. Evaluación de incidentes en seguridad .............................................. 229
3.13.2.3. Recogida de pruebas .......................................................................... 230
3.14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO ........................................ 230
3.14.1. Aspectos de la gestión de continuidad del negocio .................................... 230
3.14.1.1. Continuidad del negocio y análisis de impactos ................................ 232
3.14.1.2. Redacción e implantación de planes de continuidad.......................... 232
3.14.1.3. Marco de planificación para la continuidad del negocio ................... 232
3.14.1.4. Prueba, mantenimiento y reevaluación de planes de continuidad...... 232
3.15. CONFORMIDAD .......................................................................................... 233
3.15.1. Conformidad con los requisitos legales ..................................................... 233
3.15.1.1. Identificación de la legislación aplicable ........................................... 234
3.15.1.2. Derechos de propiedad intelectual (IPR) ........................................... 234
3.15.1.3. Salvaguarda de los registros de la Organización ................................ 234
3.15.1.4. Protección de datos de carácter personal y de la intimidad de las personas 234
3.15.1.5. Evitar mal uso de los dispositivos de tratamiento de la información . 235
3.15.1.6. Reglamentación de los controles de cifrados ..................................... 235
CAPÍTULO IV ............................................................................................................. 236
XXI
CONCLUSIONES Y RECOMENDACIONES ......................................................... 236
CONCLUSIONES ..................................................................................................... 236
RECOMENDACIONES ............................................................................................ 237
BIBLIOGRAFÍA .......................................................................................................... 240
XXII
ÍNDICE DE CUADROS
Cuadro 1: (Escala de vulnerabilidad)……………………………………………. 101
Cuadro 2: (Calculo del Riesgo)………………...………………………………… 102
Cuadro 3: (Calculo de seguridad)…………………….…………………………... 104
XXIII
ÍNDICE DE FIGURAS
Figura 1: Controles de la Norma ISO\IEC 17799:2005………………….. …….. 50
Figura 2: Proceso de Evaluación del Riesgo……………………………………. 89
Figura 3: Grafico de la seguridad………………………………………………. 105
Figura 4: Estructura de coordinación del Proyecto de Modernización………….. 119
Figura 5: Organigrama DDI…………………………………………………….. 121
Figura 6: Esquema de Funcionalidad de los Proyectos…………………………. 139
Figura 7: Organigrama de Producción………………………………………….. 140
Figura 8: Diagrama de Distribución de los Servidores…………………… ……. 146
Figura 9: Diagrama de Almacenamiento de los Servidores……………………… 148
Figura 10: Diagrama de comunicación entre Quito, Guayaquil y Cuenca……….. 150
Figura 11: Esquema de la Red……………………………………………………. 151
XXIV
ÍNDICE DE ANEXOS
Anexo 1: Plano Data Center IESS………………………………………………239
XXV
RESUMEN
En el presente proyecto de titulación “Gestión de la Norma ISO 27001 en la
Dirección de Desarrollo Institucional del IESS”, desarrollado mediante las mejores
prácticas de la Norma ISO 27001, se tratan varios aspectos importantes, los cuales se
dividen en cada uno de los capítulos de la siguiente manera:
En el capítulo I se muestra el diseño teórico del proyecto, en el capítulo II, se
plantea que actualmente en las empresas tanto como en las organizaciones su más
grande activo es la Información; por esta razón la seguridad informática posee una
importancia decisiva en el IESS para funcionar eficientemente. Se hace referencia a las
diferentes metodologías para la evaluación del sistema informático y los estándares de
seguridad que se justifica el uso de la Norma ISO 27001 junto con la exposición de sus
propiedades más representativas, además se presenta las diferentes herramientas que se
utilizarán para realizar determinación del universo, la muestra y el análisis de la
situación actual del IESS.
En el capítulo III se realiza la aplicación de la norma para el Sistema de Gestión
de Seguridad de la Información (SGSI), análisis del medio para el cual se determina el
universo y se define las políticas de seguridad para la Dirección de Desarrollo
Institucional basada en el análisis al medio realizado, en el siguiente capítulo las
conclusiones y recomendaciones sugeridas para la institución.
XXVI
SUMMARY
In this proyect titling "Gestión de la Norma ISO 27001 en la Dirección de
Desarrollo Institucional del IESS", developed using the best practices of the Norma ISO
27001, in this project are several important features, which are divided in each of the
chapter as follows:
In the chapter I, show the theoretical design of the project, in chapter II, it
suggest that current business and organizations both its greatest asset is information, for
this reason, computer security has a decisive importance in the IESS to operate
efficiently
Refers to the different methodologies for the evaluations of computer system and
safety standards is justified in use of Norma ISO 27001 together with the statement of
its most representative also presented the different tools to use for determining the
universe sample ad of the current situation of IESS.
In the chapter III is made the implementation of Norma for “Sistema de Gestión
de la Información” (SGSI), analysis of means wich determines the universe and security
policies for the “Dirección de Desarrollo Institucional” based on analysis done the
enviroment. In the next chapter are show the conclusions and suggested
recommendations for the institution.
Ing. Victor Hugo Gálvez
Director de Tesis
1
CAPÍTULO I
1.1. ANTECEDENTES
El Instituto Ecuatoriano de Seguridad Social (IESS), es una entidad, cuya
organización y funcionamiento se fundamenta en los principios de solidaridad,
obligatoriedad, universalidad, equidad, eficiencia, subsidiariedad y suficiencia. Se
encarga de aplicar el Sistema del Seguro General Obligatorio que forma parte del
sistema nacional de Seguridad Social.
Cada área tiene su funcionalidad dentro del Instituto de Seguridad Social, para
nuestro caso de estudio trabajaremos directamente con la Dirección de Desarrollo
Institucional (DDI) que tiene como objetivo principal la modernización del IESS, se
encarga de formular, coordinar y ejecutar los proyectos y programas de mejoramiento
y desarrollo de la institución
El IESS no cuenta con políticas para minimizar las amenazas en cuanto a la
seguridad, es por ello que se sugiere como herramienta de seguridad la norma ISO
27001:2005, antes de implementar políticas se ha realizado un análisis para
determinar los activos que cuenta la institución con los cuales se ha calculado el
riesgo y la seguridad que tiene cada uno de ellos, luego de realizar los pasos
anteriores se genera políticas para mitigar las amenaza.
2
1.2. OBJETIVOS
2.1.2. Objetivo General
Diseño de una solución para implementar la norma ISO 27001 en el
Instituto Ecuatoriano de Seguridad Social.
2.1.2. Objetivos Específicos
Analizar la situación actual del IESS en el concepto de seguridad
informática.
Diseñar un sistema de gestión que garantice la seguridad de la
información.
Definir las políticas de respaldo de la información para la DDI (Dirección
de Desarrollo Institucional) del IESS.
1.3. JUSTIFICACIÓN
Cada vez y en mayor medida, las organizaciones dependen de sus sistemas
informáticos para el éxito de sus operaciones y principalmente el IESS que maneja
mucha información de sus afiliados. Cualquier empresa que tenga un computador así
3
no se encuentre conectado a la red que maneje base de datos o un sistema de
facturación, necesita de medidas de respaldo y de contingencia para proteger su
información.
En nuestro medio no existe una conciencia acerca de la importancia de la
seguridad informática. Por esta misma razón no se le asignan al tema de la seguridad
informática la importancia que se merece, en la seguridad de la información es
importante señalar que su manejo está basado en la tecnología y debemos saber que
puede ser confidencial: la información está centralizada y puede tener un alto valor.
Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su
disponibilidad y la pone en riesgo.
Cuando se presenta un ataque, la crisis pone a cualquier compañía en desventaja
frente a sus competidores, incluso, puede causar su quiebra si no responde con
rapidez a las exigencias del mercado. Por ello, es vital para toda organización el
aseguramiento de su información, proceso que debe ser acompañado de un sistema de
seguridad de información para conseguir resultados confiables.
La seguridad de la información se consigue implantando un conjunto adecuado de
controles, que pueden ser políticas, prácticas, procedimientos, estructuras
organizativas y de software. Estos controles deberían establecerse para asegurar que
se cumplan los objetivos específicos de seguridad de la organización.
4
1.4. ALCANCE DEL PROYECTO
El trabajo a realizar consiste en el desarrollo de un sistema de gestión de la
seguridad de la información en la Dirección de Desarrollo Institucional de IESS
(DDI) aplicando la norma ISO 27001 que garantice la seguridad de la información
on-line de los afiliados del IESS, también se definirá políticas de respaldo de la
información para la Dirección de Desarrollo Institucional y desarrollar un
procedimiento tomando en cuenta la realidad ecuatoriana para la solución a los
problemas de seguridad.
1.5. METODOLOGÍA DE DESARROLLO
A través de la ejecución de un conjunto de pasos secuenciales el CICLO DE
DEMING es una forma de gestionar los procesos para lograr el objetivo de este
proyecto. El ciclo de Deming contempla 4 etapas principales:
Planificar
Seleccionar un proceso.
Documentar el proceso.
Analizar los datos relacionados con ese proceso, como resultados, indicadores,
problemas, etc.
5
Fijar los objetivos, expresados en metas cuantitativas.
Analizar los diferentes caminos para lograrlos.
Finalmente, elabora un Plan de Mejora con sus respectivas mediciones.
Ejecutar
Aplicar el plan antes definido.
Ejecutar su control operacional, que consiste en verificar los progresos alcanzados a
través de: recabar información y medir avances.
Documentar los cambios registrados.
Verificar
El análisis de los datos de la etapa Ejecutar.
La Observación de las desviaciones respecto a las metas.
Detectar las limitaciones.
Corregir
Revisar los estándares planificados, para ver si son alcanzables o deben definirse
estándares más exigentes.
En esta etapa se revisa lo planificado en función de los resultados obtenidos
de la ejecución, para decidir si mantener o modificar lo planificado inicialmente
En esta etapa es donde se decide:
6
Cómo mejorar los aspectos débiles.
Afianzar las fortalezas.
Difundir las mejoras.
1.6. FACTIBILIDAD
1.6.1. Factibilidad Técnica
Indica si se dispone de los conocimientos y habilidades en el manejo métodos,
procedimientos y funciones requeridas para el desarrollo e implantación del proyecto.
Además indica si se dispone del equipo y herramientas para llevarlo a cabo, de no ser
así, si existe la posibilidad de generarlos o crearlos en el tiempo requerido por el
proyecto.
El departamento de auditoría deberá llevar a cabo un análisis de riesgo en
cada etapa. Cuando se prioriza el desarrollo de las aplicaciones, el departamento de
auditoría deberá determinar si la aplicación es suficientemente significativa en
comparación con otras prioridades de auditoría de otros diferentes departamentos que
necesitarán revisarse; asumiendo que este es el caso, el análisis de riesgo de las
aplicaciones deberá dar al auditor una indicación de la cantidad en tiempo que la
7
revisión podría justificar y un panorama general de las áreas en las que se deberá
concentrar.
El auditor deberá confirmar que el sistema está siendo completado de acuerdo
a las normas de la organización, y observará las implicaciones de seguridad y control
que vendrán poco a poco en las etapas subsiguientes. Sin embargo para los sistemas
que posean niveles de riesgo altamente potenciales como por ejemplo una
transferencia de dinero, los asuntos relacionados con seguridad y control han de ser el
tema central en el sistema y deberá ser considerado en el estudio de factibilidad.
De acuerdo a la metodología aplicada para este proyecto la factibilidad técnica
comprende en los siguientes pasos:
Planificar
La planificación básicamente consiste en evaluar todos los aspectos
particulares del IESS que se encuentra bajo estudio y en qué áreas físicas se
encontrará el sistema en evaluación.
El auditor tiene un entendimiento acerca del sistema desde el estudio de
factibilidad, él deberá revisar la especificación del entorno del sistema y después la
especificación detallada, para confirmar que los controles adecuados han sido
planeados para el sistema.
8
Ejecución
Esta puede ser la etapa más larga al desarrollar cualquier sistema. El auditor
deberá estar seguro de lo siguiente:
La documentación del programa vayan de acuerdo con las normas de
desarrollo.
Que la documentación ha sido revisado por el jefe de Desarrollo Institucional
del IESS.
Las pruebas han sido planeadas anticipadamente previo a llevarse a cabo.
Las pruebas son adecuadas y que todos los datos han sido chequeados.
Verificar
Una vez que los módulos están siendo satisfactoriamente completados, el
desarrollo se mueve a la etapa de verificación. Aquí la gestión en su totalidad es
probado, en esta etapa muchas deficiencias en componentes individuales deberán ser
identificadas, registradas y referidas. Los tiempos en los procesos deberán ser
tomados en cuenta para confirmar que el procedimiento está dentro de una franja
razonable de tiempo.
Esta es la etapa final. Los usuarios deben estar involucrados para asegurarse
que el sistema está siendo probado de acuerdo a sus requerimientos, y que cumple
9
con la seguridad del sistema. Esto también es una oportunidad para confirmar lo
adecuado de los procedimientos del usuario y de los procedimientos operacionales del
departamento de cómputo.
La autorización de determinado usuario es crítica en esta etapa, el desarrollo
sólo deberá progresar a la implementación cuando el usuario esté contento con la
gestión. Mientras se está probando la aplicación, se deberá verificar o afianzar la
seguridad de ingresos de personas no autorizadas.
Corrección
Pueden existir problemas en el sistema de seguridad, los cuales deben ser
corregidos tan pronto como sea posible. Estos problemas podrían ocurrir en cualquier
momento. Mientras no sea posible seguir procedimientos de la norma para un cambio
de rutina en estas ocasiones, los cambios de emergencia deberán estar en su totalidad
controlados.
1.6.2. Factibilidad Económica
Se refiere a que se dispone del capital en efectivo o de los créditos de
financiamiento necesario para invertir en el desarrollo del proyecto, mismo que
10
deberá haber probado que sus beneficios a obtener son superiores a sus costos en que
incurrirá al desarrollar e implementar el proyecto o sistema.
Los costos que involucró este proyecto lo detallamos de la siguiente manera:
Transporte
Siendo un proyecto de investigación las visitas al IESS eran constantes, por
ello es un aspecto importante dentro del desarrollo y lo calculamos el costo de
gasolina en ir y venir multiplicado por las visitas.
Visitas
Las visitas tienen un costo en tiempo, son las realizadas al IESS, a la Universidad, a
las diferentes bibliotecas.
VISITAS TOTAL (USD)
GASOLINA IESS
(60)
UNIVERSIDAD
(50)
BIBLIOTECAS
(40)
1GLN*2 USD 120
11/2GLN*2USD 150
2GLN*2 USD 160
TOTAL (1) 430
11
Internet
Una de las herramientas fundamentales para la investigación, el valor de este servicio
es durante todo el tiempo de realización de este proyecto.
TIEMPO (MES) COSTO MENSUAL (USD) TOTAL (USD)
INTERNET 10 meses 30 300
TOTAL (2) 300
Suministros y papelería
Son todos los materiales utilizados para plasmar el trabajo realizado, esto comprende:
hojas de papel bond, tinta de impresora, anillados, empastados, otros accesorios de
papelería.
CANTIDAD COSTO (USD) TOTAL(USD)
PAPEL BOND 10 Resmas 4.80 48
TINTA DE IMPRESORA B/N 3 Unidades 27 81
TINTA DE MPRESORA COLOR 3 Unidades 31 93
ANILLADOS 8 Unidades 3 24
EMPASTADOS 5 Unidades 15 75
OTROS 50 50
TOTAL(3) 371
12
Para conocer el valor generado en la realización de la presente tesis sumamos todos
los totales:
TOTAL (1) 430
TOTAL (2) 300
TOTAL (3) 371
El costo de elaboración de este proyecto es 1.101,oo USD
13
CAPÍTULO II
2.1. SEGURIDADES INFORMÁTICAS
Consiste en asegurar que los recursos de un sistema de información (material
informático o programas) de una organización sean utilizados de la manera que se
decidió y que el acceso a la información contenida así como su modificación sólo sea
posible a las personas que se encuadren acreditadas y dentro de los límites de su
autorización.
Podemos entender como seguridad un estado de cualquier tipo de información sea
informático o no. Se entiende como peligro o daño todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría
de los expertos el concepto de seguridad en la informática es utópico porque no existe
un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe
tener estas cuatro características:
Integridad: La información sólo puede ser modificada por quien está
autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser entendible para los
autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
14
Irrefutabilidad (No repudio): El uso y/o modificación de la información por
parte de un usuario debe ser irrefutable, es decir, que el usuario no puede
negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres
partes: seguridad física, seguridad ambiental y seguridad lógica.
En estos momentos la seguridad informática es un tema de dominio obligado por
cualquier usuario de Internet, para no permitir que su información sea comprometida.
2.1.1. Objetivos de la Seguridad de Información.
Los activos son los elementos que la seguridad informática tiene como objetivo
proteger. Son tres elementos que conforman los activos:
Información
Es el objeto de mayor valor para una organización, el objetivo es el resguardo
de la información, independientemente del lugar en donde se encuentre
registrada, en algún medio electrónico o físico.
Equipos que la soportan.
Software, hardware y organización.
Usuarios
15
Individuos que utilizan la estructura tecnológica y de comunicaciones que
manejan la información.
2.1.2. Importancia de la Seguridad de Información.
En la actualidad, más del 70% de las compañías están infectadas con malware
(Malicius software), es decir, están expuestas a situaciones tales como la pérdida de
datos importantes, lo cual puede provocar la detención de los negocios o hasta el
quiebre de una empresa.
En nuestro país, la mayoría de las grandes compañías tiene muy claro la
importancia y las ventajas de contar con una seguridad informática de alto nivel al
interior de su empresa. Por lo tanto, es común el delegar la seguridad en partners
tecnológicos, dedicándose así a su core business en un 100%.
Es más, aún un porcentaje de empresas cree que tomando medidas tales como
instalar un antivirus o firewalls y evitando navegar en algunos sitios, no tendrán
virus, ataques o pérdida de información vital.
Si sumamos a esta falsa sensación de seguridad, la falta de información,
podemos dar cuenta amenazas de internet, e inclusive, desde sus mismas redes
internas, que pueden tener graves consecuencias.
16
Por estos motivos se hace fundamental, la generación de conciencia del por
qué existe un gran incremento de la exposición de las empresas a virus, spyware y a
otras de lo que significa la seguridad de la información en las empresas. Es conocida
la situación de que sólo alrededor de un 30% de las grandes empresas tienen una
sección dedicada a la seguridad de la información, mientras que otras solo cubren
aspectos limitados como de la seguridad informática. Sin embargo, queda un 70% de
estas empresas, en donde no se dispone de ninguna de las dos áreas mencionadas o
dependen de gerencias inadecuadas que no pueden garantizar las inversiones
necesarias, las capacitaciones internas, la definición e instrumentación de procesos y
los planes de auditorías.
Otro factor a tener en cuenta es que podemos percibir que al igual que
aumenta la concientización de las ventajas de la seguridad en las empresas, crecen
también las formas de infiltración en redes corporativas, logrando provocar el daño
deseado. Por ejemplo, entre las últimas tendencias se encuentran ataques
especializados como los de phreaking (Hacking orientado a la telefonía) y vishing (en
los cuales se aprovechan los protocolos de VoIP y la ingeniería social para obtener
información financiera o de utilidad para el robo de identidad).
A esto se suma que en el último tiempo se han duplicado los fallos de
seguridad asociados a la VoIP (Voice over Internet protocol) en estos últimos años.
Por estos motivos, los especialistas de seguridad se preocupan cada vez más
en definir controles relacionados con los servicios de seguridad perimetral, avanzada
17
y de contenidos a nivel aplicativo. De esta forma, tienen la posibilidad de realizar un
seguimiento proactivo de los eventos, realizar análisis y reportes de vulnerabilidades
así como los típicos penetration tests, entre otras cosas.
Una recomendación general, es realizar un seguimiento proactivo del
comportamiento anómalo que hay en las redes, e incluso llevar a cabo auditorías de
seguridad frecuentemente, muy necesarias en estos tiempos debido a la gran actividad
que hay en el mundo del underground.
En conclusión, la seguridad no es un juego y requiere darle la importancia
necesaria, contratando expertos o a una empresa dedicada a ello, ya que así se
evitarán mayores costos operativos, baja de productividad, pérdida de información y
de dinero y se conseguirá continuidad en el negocio con una máxima seguridad.
Es muy importante, de forma esencial cuando su manejo está basado en tecnología
moderna, para esto se debe conocer que la información:
esta almacenada y procesada en computadoras
puede ser confidencial para algunas personas o a escala institucional
puede ser mal utilizada o divulgada
puede estar sujeta a robos, sabotaje o fraudes
Los primeros puntos nos muestran que la información está centralizada y que
puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la
18
destrucción total o parcial de la información, que incurre directamente en su
disponibilidad que puede causar retrasos de alto costo.
Pensemos por un momento que ahí se sufre un accidente en el centro de cómputo
o el lugar donde se almacena la información. Ahora preguntémonos: ¿Cuánto tiempo
pasaría para que la organización este nuevamente en operación?
Es necesario tener presente que el lugar donde se centraliza la información con
frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el
más vulnerable.
2.1.3. Establecer las Necesidades de Seguridad
Lo más importante es que toda organización en este caso el Instituto
Ecuatoriano de Seguridad Social tenga claro e identifique sus requisitos de seguridad.
Existen tres fuentes principales para identificar sus necesidades.
La primera fuente procede de la valoración de los riesgos de la organización.
Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la
probabilidad de su ocurrencia y se estima su posible impacto.
La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones
y contratos que debería satisfacer la organización, sus socios comerciales, los
contratistas y los proveedores de servicios.
19
La tercera fuente está formada por los principios, objetivos y requisitos que
forman parte del tratamiento de la información que la organización ha desarrollado
para apoyar sus operaciones.
2.1.4. Evaluación de los Riesgos de Seguridad
Los requisitos de seguridad se identifican mediante una evaluación metódica
de los riesgos. El gasto en controles debería equilibrarse con el posible impacto
económico, resultante de los fallos de seguridad.
Las técnicas de evaluación de riesgos pueden aplicarse a toda la organización,
sólo a partes de ella o incluso a sistemas de información individuales, a componentes
específicos de sistemas o a servicios dónde sea factible, realista y útil, en este caso se
aplicará en la parte más importe que son los datos que maneja el Instituto Ecuatoriano
de Seguridad Social ya que es allí en la data en donde tiene información de cada uno
de los funcionarios, empleadores, afiliados y todos los préstamos que realiza el
afiliado, entre otras más informaciones.
La evaluación del riesgo es una consideración sistemática:
a) del impacto económico que probablemente resulte de un fallo de seguridad,
20
teniendo en cuenta las posibles consecuencias de pérdida de confidencialidad,
integridad o disponibilidad de la información y otros activos;
b) de la probabilidad realista de que ocurra dicho fallo a la luz de las
amenazas y vulnerabilidades existentes, así como de los controles implantados.
Los resultados de ésta evaluación ayudarán a encauzar y determinar una
adecuada acción gerencial y las prioridades para gestionar los riesgos de seguridad de
la información, y la implantación de los controles seleccionados para protegerse
contra dichos riesgos.
El proceso de evaluación de riesgos y selección de controles, puede requerir
que sea realizado varias veces para cubrir diferentes partes de la organización o
sistemas de información individuales.
Es importante, efectuar revisiones periódicas de los riesgos de seguridad y de
los controles (el detalle de cada uno de estos controles se revisará en capítulos más
adelante) implantados para:
a) tener en cuenta los cambios de los requisitos y las prioridades de negocio de
la organización;
21
b) considerar nuevas amenazas y vulnerabilidades;
c) confirmar que las medidas de control siguen siendo eficaces y apropiadas.
Deberían realizarse estas revisiones con distintos niveles de detalle
dependiendo de los resultados de las evaluaciones previas y de los umbrales de riesgo
que la gerencia está dispuesta a aceptar. Se suelen realizar las evaluaciones de riesgo
primero a alto nivel, como un medio de priorizar recursos en áreas de alto riesgo, y
después en un nivel más detallado para enfocar riesgos específicos.
2.1.5. Componentes de la Seguridad: Procesos, personas y tecnología
La seguridad puede ser afectada a través de cualquiera de sus tres componentes: el
uso indebido de la tecnología, la falta de procesos de planificación de seguridad o el
desconocimiento de las personas acerca de las distintas medidas de seguridad
informática.
22
COMPONENTES DE LA SEGURIDAD
Fuente: www.monografias.com/trabajos/seguinfo
2.1.6. Tipos de Seguridad Informática
Seguridad lógica:
Dentro de la seguridad informática, la seguridad lógica hace referencia a la
aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la
información dentro de un sistema informático. La seguridad lógica contrasta con la
seguridad física.
La seguridad lógica de un sistema informático incluye:
23
Restringir al acceso a programas y archivos mediante claves y/o encriptación.
Asignar las limitaciones correspondientes a cada usuario del sistema
informático. Esto significa, no darle más privilegios extras a un usuario, sino
sólo los que necesita para realizar su trabajo.
Asegurarse que los archivos y programas que se emplean son los correctos y
se usan correctamente. Por ejemplo, el mal uso de una aplicación puede
ocasionar agujeros en la seguridad de un sistema informático.
Control de los flujos de entrada/salida de la información. Esto incluye que una
determinada información llegue solamente al destino que se espera que llegue,
y que la información llegue tal cual se envió.
24
Seguridad física:
La seguridad física es uno de los aspectos más olvidados a la hora del diseño
de un sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma. Esto puede derivar en que
para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar
acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial". Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
La seguridad es como se definió la calidad de algo seguro, por tanto la
seguridad de un sistema informático (entiendo como tal a un conjunto de dispositivos
y programas que funcionen bajo un fin), estará fijada por todos los elementos que lo
componen en software y hardware.
La seguridad a nivel informático no se limitará entonces por ejemplo a la
posibilidad de evitar la adulteración de la información de la data o intromisión no
25
autorizada a lugares restringidos de acceso, sino también a que los equipos donde se
opera y almacena la información sean confiables, siendo la seguridad general
establecida, tan buena como la menor seguridad de cualquier componente.
Pero las estadísticas mundiales indican que los usuarios están preocupados
más por la probabilidad que tiene un experto en filtrarse dentro de la información
existente y adulterarla, que por saber si el sistema se va a detener y no funcionar por
un período de tiempo por problemas de hardware.
Estas tendencias mundiales han llevado a que el término seguridad
informática sea acotado sólo a lo concerniente a la violabilidad de claves de acceso,
redes, sistemas, protecciones contra copias, en general a la seguridad del software.
2.1.7. Niveles de Seguridad
El estándar de niveles de seguridad más utilizado internacionalmente es el
TCSEC Orange Book(2).Los niveles describen diferentes tipos de seguridad del
Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Nivel D
26
Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema
operativo es inestable y no hay autentificación con respecto a los usuarios y sus
derechos en el acceso a la información. Los sistemas operativos que responden a este
nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discresional
Se requiere identificación de usuarios que permite el acceso a distinta información.
Cada usuario puede manejar su información privada y se hace la distinción entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad
multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no
puede modificar los permisos de un objeto que está bajo control de acceso
obligatorio.
27
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de
administración de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes dominios de seguridad.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación,
mediante métodos formales (matemáticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema.
2.1.8. Hacker, Phreaker, Pirata y Cracker
Hacker: Es una expresión idiomática inglesa cuya traducción literal al
español tiene varios significados, siendo el más popular el atribuido a "una persona
contratada para un trabajo rutinario" y que por la naturaleza del mismo su trabajo es
tedioso, entregado, hasta se podría maniático.
28
Phreaker: Es una persona que con amplios conocimientos de telefonía puede
llegar a realizar actividades no autorizadas con los teléfonos, por lo general celulares.
Construyen equipos electrónicos artesanales que pueden interceptar y hasta ejecutar
llamadas de aparatos telefónicos celulares sin que el titular se percate de ello. En
Internet se distribuyen planos con las instrucciones y nomenclaturas de los
componentes para construir diversos modelos de estos aparatos.
Pirata: La palabra pirata, asociada al uso ilegal del software, fue nombrada
por primera vez por William Gates en 1976, en su "Carta abierta a los Hobistas"
mediante la cual expresó su protesta debido a que muchos usuarios de computadoras
estaban haciendo uso de un software desarrollado por él, sin su autorización.
Cracker: Es aquella persona que haciendo gala de grandes conocimientos
sobre computación y con un obcecado propósito de luchar en contra de lo que le está
prohibido, empieza a investigar la forma de bloquear protecciones hasta lograr su
objetivo. Los crackers modernos usan programas propios o muchos de los que se
distribuyen gratuitamente en cientos de páginas web en Internet, tales como rutinas
desbloqueadoras de claves de acceso o generadores de números para que en forma
aleatoria y ejecutados automáticamente pueden lograr vulnerar claves de accesos de
los sistemas.
29
2.2. ESTÁNDAR ISO 27001
2.2.1. Definición
El estándar para la seguridad de la información ISO/IEC 27001 (Information
technology - Security techniques - Information security management systems -
Requirements) fue aprobado y publicado como estándar internacional en Octubre de
2005.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)
El equipo de proyecto de implantación debe estar formado por representantes
de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por
la dirección y asesorado por consultores externos especializados en seguridad
informática, derecho de las nuevas tecnologías, protección de datos y sistemas de
gestión.
El desarrollo de las políticas que se aplicarán para la obtención de respaldos,
al igual que su restauración es tomada en cuenta en el estudio de seguridades ISO
27001, por lo se realizará una introducción de cómo nace esta norma.
30
2.2.1. Sistema de Gestión de la Seguridad de la Información
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto
central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por
analogía con una norma tan conocida como ISO 9001, como el sistema de calidad
para la seguridad de la información.
Definición.-
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés,
siglas de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto
de datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
31
fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación
de su confidencialidad, integridad y disponibilidad, así como de los sistemas
implicados en su tratamiento, dentro de una organización. Así pues, estos tres
términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad
de la información:
Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos autorizados
cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada
correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido
por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el
que constituye un SGSI.
32
¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son
activos muy importantes de una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden llegar a ser esenciales para mantener
los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
Las organizaciones y sus sistemas de información están expuestos a un
número cada vez más elevado de amenazas que, aprovechando cualquiera de las
vulnerabilidades existentes, pueden someter a activos críticos de información a
diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos,
el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y
conocidos, pero también se deben considerar los riesgos de sufrir incidentes de
seguridad causados voluntaria o involuntariamente desde dentro de la propia
organización o aquellos provocados accidentalmente por catástrofes naturales y fallos
técnicos.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las
condiciones variables del entorno, la protección adecuada de los objetivos de negocio
para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de
33
negocio, son algunos de los aspectos fundamentales en los que un SGSI es una
herramienta de gran utilidad y de importante ayuda para la gestión de las
organizaciones.
El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente
por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la
organización, con la gerencia al frente, tomando en consideración también a clientes
y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe
contemplar unos procedimientos adecuados y la planificación e implantación de
controles de seguridad basados en una evaluación de riesgos y en una medición de la
eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a
establecer estas políticas y procedimientos en relación a los objetivos de negocio de la
organización, con objeto de mantener un nivel de exposición siempre menor al nivel
de riesgo que la propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que está sometida su
información y los asume, minimiza, transfiere o controla mediante una sistemática
definida, documentada y conocida por todos, que se revisa y mejora constantemente.
¿Qué incluye un SGSI?
34
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha
mostrado gráficamente la documentación del sistema como una pirámide de cuatro
niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de
la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el
término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo
el sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se
realicen de forma eficaz la planificación, operación y control de los procesos de
seguridad de la información.
Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se
realizan las tareas y las actividades específicas relacionadas con la seguridad de la
información.
35
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros
tres niveles como output que demuestra que se ha cumplido lo indicado en los
mismos.
De manera específica, ISO 27001 indica que un SGSI debe estar formado por
los siguientes documentos (en cualquier formato o tipo de medio):
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI,
incluyendo una identificación clara de las dependencias, relaciones y límites que
existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos
casos en los que el ámbito de influencia del SGSI considere un subconjunto de la
organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas
concretas).
Política y objetivos de seguridad: documento de contenido genérico que
establece el compromiso de la dirección y el enfoque de la organización en la gestión
de la seguridad de la información.
Procedimientos y mecanismos de control que soportan al SGSI: aquellos
procedimientos que regulan el propio funcionamiento del SGSI.
36
Enfoque de evaluación de riesgos: descripción de la metodología a emplear
(cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de
ocurrencia e impactos en relación a los activos de información contenidos dentro del
alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de
niveles de riesgo aceptables.
Informe de evaluación de riesgos: estudio resultante de aplicar la metodología
de evaluación anteriormente mencionada a los activos de información de la
organización.
Plan de tratamiento de riesgos: documento que identifica las acciones de la
dirección, los recursos, las responsabilidades y las prioridades para gestionar los
riesgos de seguridad de la información, en función de las conclusiones obtenidas de la
evaluación de riesgos, de los objetivos de control identificados, de los recursos
disponibles, etc.
Procedimientos documentados: todos los necesarios para asegurar la
planificación, operación y control de los procesos de seguridad de la información, así
como para la medida de la eficacia de los controles implantados.
37
Registros: documentos que proporcionan evidencias de la conformidad con
los requisitos y del funcionamiento eficaz del SGSI.
Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas
inglesas); documento que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de evaluación y
tratamiento de riesgos, justificando inclusiones y exclusiones.
Implementación de un SGSI
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en
los sistemas de gestión de la calidad.
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Plan: Establecer el SGSI
38
Definir el alcance del SGSI en términos del negocio, la organización, su
localización, activos y tecnologías, incluyendo detalles y justificación de cualquier
exclusión.
Definir una política de seguridad que:
incluya el marco general y los objetivos de seguridad de la información de la
organización;
considere requerimientos legales o contractuales relativos a la seguridad de la
información;
esté alineada con el contexto estratégico de gestión de riesgos de la
organización en el que se establecerá y mantendrá el SGSI;
establezca los criterios con los que se va a evaluar el riesgo;
esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación del
riesgo y especificar los niveles de riesgo aceptable.
Identificar los riesgos:
identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
identificar las amenazas en relación a los activos;
39
identificar las vulnerabilidades que puedan ser aprovechadas por dichas
amenazas;
identificar los impactos en la confidencialidad, integridad y disponibilidad de
los activos.
Analizar y evaluar los riesgos:
evaluar el impacto en el negocio de un fallo de seguridad que suponga la
pérdida de confidencialidad, integridad o disponibilidad de un activo de
información;
evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relación a las amenazas, vulnerabilidades, impactos en los
activos y los controles que ya estén implementados;
estimar los niveles de riesgo;
determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
aplicar controles adecuados;
aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y
criterios establecidos para la aceptación de los riesgos;
evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;
40
transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de
outsourcing.
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos identificados en el
proceso de evaluación del riesgo.
Aprobar por parte de la dirección tanto los riesgos residuales como la
implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya:
los objetivos de control y controles seleccionados y los motivos para su
elección;
los objetivos de control y controles que actualmente ya están implantados;
los objetivos de control y controles del Anexo A excluidos y los motivos para
su exclusión; este es un mecanismo que permite, además, detectar posibles
omisiones involuntarias.
Do: Implementar y utilizar el SGSI
41
Definir un plan de tratamiento de riesgos que identifique las acciones,
recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de
la información.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos
de control identificados, incluyendo la asignación de recursos, responsabilidades y
prioridades.
Implementar los controles anteriormente seleccionados que lleven a los
objetivos de control.
Definir un sistema de métricas que permita obtener resultados reproducibles y
comparables para medir la eficacia de los controles o grupos de controles.
Procurar programas de formación y concienciación en relación a la seguridad
de la información a todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de
la seguridad de la información.
42
Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.
Check: Monitorizar y revisar el SGSI
La organización deberá:
Ejecutar procedimientos de monitorización y revisión para:
detectar a tiempo los errores en los resultados generados por el procesamiento
de la información;
identificar brechas e incidentes de seguridad;
ayudar a la dirección a determinar si las actividades desarrolladas por las
personas y dispositivos tecnológicos para garantizar la seguridad de la
información se desarrollan en relación a lo previsto;
detectar y prevenir eventos e incidentes de seguridad mediante el uso de
indicadores;
determinar si las acciones realizadas para resolver brechas de seguridad
fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la
política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes,
43
resultados de las mediciones de eficacia, sugerencias y observaciones de todas las
partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los
riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios
que hayan podido producirse en la organización, la tecnología, los objetivos y
procesos de negocio, las amenazas identificadas, la efectividad de los controles
implementados y el entorno exterior -requerimientos legales, obligaciones
contractuales, etc.-.
Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
Revisar el SGSI por parte de la dirección periódicamente para garantizar que el
alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI
son evidentes.
Actualizar los planes de seguridad en función de las conclusiones y nuevos
hallazgos encontrados durante las actividades de monitorización y revisión.
44
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el
rendimiento del SGSI.
Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
Implantar en el SGSI las mejoras identificadas.
Realizar las acciones preventivas y correctivas
Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle
adecuado y acordar, si es pertinente, la forma de proceder.
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de
nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en
cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej.,
puede haber actividades de implantación que ya se lleven a cabo cuando otras de
planificación aún no han finalizado; o que se monitoricen controles que aún no están
implantados en su totalidad.
Tareas que tiene la Gerencia en un SGSI
45
Uno de los componentes primordiales en la implantación exitosa de un
Sistema de Gestión de Seguridad de la Información es la implicación de la dirección.
No se trata de una expresión retórica, sino que debe asumirse desde un principio que
un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de
decisiones y acciones que sólo puede tomar la gerencia de la organización. No se
debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica
relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos
de negocio que son responsabilidad y decisión de la dirección.
El término Dirección debe contemplarse siempre desde el punto de vista del
alcance del SGSI. Es decir, se refiere al nivel más alto de gerencia de la parte de la
organización afectada por el SGSI (recuérdese que el alcance no tiene por qué ser
toda la organización).
|
Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la
dirección se detallan en los siguientes puntos:
Compromiso de la dirección
La dirección de la organización debe comprometerse con el establecimiento,
implementación, operación, monitorización, revisión, mantenimiento y mejora del
SGSI. Para ello, debe tomar las siguientes iniciativas:
46
- Establecer una política de seguridad de la información.
- Asegurarse de que se establecen objetivos y planes del SGSI.
- Establecer roles y responsabilidades de seguridad de la información.
- Comunicar a la organización tanto la importancia de lograr los objetivos de
seguridad de la información y de cumplir con la política de seguridad, como sus
responsabilidades legales y la necesidad de mejora continua.
- Asignar suficientes recursos al SGSI en todas sus fases.
- Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
- Asegurar que se realizan auditorías internas.
- Realizar revisiones del SGSI, como se detalla más adelante.
Asignación de recursos
Para el correcto desarrollo de todas las actividades relacionadas con el SGSI,
es imprescindible la asignación de recursos. Es responsabilidad de la dirección
garantizar que se asignan los suficientes para:
- Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.
- Garantizar que los procedimientos de seguridad de la información apoyan los
requerimientos de negocio.
- Identificar y tratar todos los requerimientos legales y normativos, así como las
obligaciones contractuales de seguridad.
47
- Aplicar correctamente todos los controles implementados, manteniendo de esa
forma la seguridad adecuada.
- Realizar revisiones cuando sea necesario y actuar adecuadamente según los
resultados de las mismas.
- Mejorar la eficacia del SGSI donde sea necesario.
Formación y concienciación
La formación y la concienciación en seguridad de la información son
elementos básicos para el éxito de un SGSI. Por ello, la dirección debe asegurar que
todo el personal de la organización al que se le asignen responsabilidades definidas en
el SGSI esté suficientemente capacitado. Se deberá:
- Determinar las competencias necesarias para el personal que realiza tareas en
aplicación del SGSI.
- Satisfacer dichas necesidades por medio de formación o de otras acciones como, por
ejemplo la contratación de personal ya formado.
- Evaluar la eficacia de las acciones realizadas.
- Mantener registros de estudios, formación, habilidades, experiencia y cualificación.
48
Además, la dirección debe asegurar que todo el personal relevante esté
concienciado de la importancia de sus actividades de seguridad de la información y
de cómo contribuye a la consecución de los objetivos del SGSI.
Revisión del SGSI
A la dirección de la organización se le asigna también la tarea de, al menos
una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz.
Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones,
entre las que se pueden enumerar:
- Resultados de auditorías y revisiones del SGSI.
- Observaciones de todas las partes interesadas.
- Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el
rendimiento y eficacia del SGSI.
- Información sobre el estado de acciones preventivas y correctivas.
- Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones
de riesgos anteriores.
- Resultados de las mediciones de eficacia.
- Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección.
- Cualquier cambio que pueda afectar al SGSI.
- Recomendaciones de mejora.
49
Basándose en todas estas informaciones, la dirección debe revisar el SGSI y
tomar decisiones y acciones relativas a:
- Mejora de la eficacia del SGSI.
- Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
- Modificación de los procedimientos y controles que afecten a la seguridad de la
información, en respuesta a cambios internos o externos en los requisitos de negocio,
requerimientos de seguridad, procesos de negocio, marco legal, obligaciones
contractuales, niveles de riesgo y criterios de aceptación de riesgos.
- Necesidades de recursos.
- Mejora de la forma de medir la efectividad de los controles.
¿Se integra un SGSI con otros sistemas de gestión?
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una
herramienta de la que dispone la gerencia para dirigir y controlar un determinado
ámbito, en este caso, la seguridad de la información.
La gestión de las actividades de las organizaciones se realiza, cada vez con
más frecuencia, según sistemas de gestión basados en estándares internacionales: se
gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o
50
la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001
como estándar de gestión de seguridad de la información.
Las empresas tienen la posibilidad de implantar un número variable de estos
sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a
la organización.
2.2.3. Controles
Figura 1: Controles de la Norma ISO\IEC 17799:2005
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
La norma ISO 27001 se basa en los controles de la norma 17799, para lo cual
listaremos cada uno de los controles que utiliza dicha norma.
1 Política de seguridad: Se necesita una política que refleje las
expectativas de la organización en materia de seguridad a fin de
51
suministrar administración con dirección y soporte. La política
también se puede utilizar como base para el estudio y evaluación.
2 Organización de la seguridad: Sugiere diseñar una estructura de
administración dentro la organización que establezca la
responsabilidad de los grupos en ciertas áreas de la seguridad y un
proceso para el manejo de respuesta a incidentes. Esta sección
considera las políticas generales de la organización y detalla cómo se
debe administrar la seguridad de la información dentro de la compañía.
Asimismo, define cómo mantener la seguridad de las instalaciones de
procesamiento de información y los activos informáticos accedidos por
terceros, (proveedores, clientes).
3 Control y clasificación de los recursos de información: Detalla los
elementos de la compañía (servidores, PCs, medios magnéticos,
información impresa, documentos, etc.), que deben ser considerados
para establecer un mecanismo de seguridad, manteniendo una
protección adecuada, garantizando que reciban un nivel adecuado de
protección. En este sentido, los activos deben ser clasificados en:
confidenciales, privados, de uso interno y de uso público. Para cada
clasificación se debe implantar mecanismos adecuados de seguridad de
acuerdo a su importancia.
52
4 Seguridad del personal: Establece la necesidad de educar e informar
a los empleados actuales y potenciales sobre lo que se espera de ellos
en materia de seguridad y confidencialidad de la información que
manejan. También determina cómo incide el papel que desempeñan
los empleados como corresponsales de la seguridad de la información.
En esta sección se busca minimizar los riesgos ocasionados por el
personal, tales como hurto y manipulación de la información, fraudes y
mal uso de la plataforma tecnológica. Su propósito es crear conciencia
en los usuarios sobre los riesgos que pueden amenazar a la
información, para lo cual considera mecanismos y medios para
informar y capacitar periódicamente a todos los usuarios (personal
interno de la compañía y personal que brinde servicios) de todas las
políticas, y establecer mecanismos de prevención, identificación,
notificación y corrección de posibles incidentes de seguridad.
5 Seguridad física y ambiental: Responde a la necesidad de proteger
las áreas, los equipos y los controles generales. El objetivo principal es
la prevención de accesos no autorizados a las instalaciones de la
compañía, con especial atención a todos los sitios en los cuales se
procesa información (centros de cómputo, PC de usuarios críticos,
equipos de los proveedores de servicios, etc.), y áreas en las cuales se
recibe o se almacena información (magnética o impresa) sensitiva (fax,
53
áreas de envío y recepción de documentos, archivadores, etc.),
minimizando riesgos por pérdidas de información, hurto, daño de
equipos y evitando la interrupción de las actividades productivas.
6 Manejo de las comunicaciones y las operaciones: Define las
políticas y procedimientos para asegurar la correcta operación de las
instalaciones de procesamiento (servidores y equipos de
comunicación). Los objetivos de esta sección se pueden enumerar
como sigue:
Asegurar la protección y el funcionamiento correcto de las
instalaciones de procesamiento de la información.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la información.
Conservar la integridad y disponibilidad del procesamiento y
transmisión de la información.
Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
Evitar daños a los recursos de información e interrupciones en las
54
actividades de la compañía.
7 Control de acceso: Establece la importancia de monitorear y controlar
el acceso a la red y los recursos de aplicación para protegerlos contra
los abusos internos e intrusos externos. Asimismo, establece los
diferentes tipos de accesos o privilegios a los recursos informáticos
(sistema operativo, aplicaciones, correo electrónico, Internet,
comunicaciones, conexiones remotas, etc.) que requiere cada
empleado de la compañía y el personal externo que brinda servicios,
en concordancia con sus responsabilidades. Esto permitirá identificar y
evitar acciones o actividades no autorizadas, garantizando los servicios
informáticos.
8 Desarrollo y mantenimiento de los sistemas: Establece la necesidad
de implantar medidas de seguridad y aplicación de controles de
seguridad en todas las etapas del proceso de desarrollo y
mantenimiento de los sistemas de información. Además, considera los
mecanismos de seguridad que deben implantarse en el proceso de
adquisición de todos los sistemas o aplicaciones de la compañía
(protección de archivos, programas, base de datos, políticas de
cifrado), para prevenir pérdidas, modificaciones, o eliminación de los
datos, asegurando así la confidencialidad e integridad de la
55
información.
9 Manejo de la continuidad del negocio: Considera el análisis de todos
los procesos y recursos críticos del negocio, y define las acciones y
procedimientos a seguir en casos de fallas o interrupción de los
mismos, evitando la pérdida de información y la cancelación de los
procesos productivos del negocio, lo que podría provocar un deterioro
de la imagen de la compañía, una posible pérdida de clientes o incluso
una dificultad severa que impida continuar operando.
10 Cumplimiento: Imparte instrucciones a las organizaciones para que
verifiquen si el cumplimiento con la norma técnica ISO 27001,
concuerda con otras leyes, reglamentos, obligaciones contractuales o
cualquier requerimiento de seguridad, tales como propiedad
intelectual, auditorias, contrato de servicios, etc. Esta sección también
requiere una revisión a las políticas de seguridad, al cumplimiento y a
las consideraciones técnicas; asimismo, busca garantizar que las
políticas de seguridad sean acordes a la infraestructura tecnológica de
la compañía.
Existen además Políticas de cifrado que especifican todos los criterios que se
deben considerar para determinar qué tipo de información se debe almacenar en un
56
formato ilegible (método de cifrado) para evitar que personas no autorizadas puedan
acceder a la misma y Políticas de comercio electrónico que establece todas las
consideraciones que se deben adoptar si la compañía posee presencia en Internet y
cuenta con prácticas de comercio electrónico.
Tomando en cuenta las áreas que cubre esta norma técnica, y considerando
que el IESS no ha adoptado un programa de protección definido de la información,
ISO 27001 puede servir de parámetro para que lo defina, e incluso, puede servirle de
guía para configurar la política de seguridad para poder obtener unas políticas
eficiente para sacar los respaldos de la data al igual del sistema operativo y de los
logs.
En todo caso, es importante tener en cuenta que ISO 27001 es un buen
esquema de seguridad que el IESS puede adoptar.
2.2.4. Beneficios al Aplicar la ISO 27001
En general, las mejores prácticas son simplemente la mejor manera de cumplir
con un proceso de negocio; y a su vez representan la manera en que el Instituto
Ecuatoriano de Seguridad Social puede alcanzar la estabilidad con respecto a la
información llegando a lograr obtener muchos beneficios.
Algunos de los beneficios perseguidos por las organizaciones al adoptar,
57
mantener y comunicar un marco de referencia son:
• Presentan una ventaja significativa desde la perspectiva de la seguridad
y control sobre aquellas que carecen de dicho marco de referencia.
• Si se utiliza un criterio estándar para la configuración y administración
de los sistemas de la organización, se puede minimizar la posibilidad de que una
debilidad en uno de ellos pueda comprometer los controles de acceso de los restantes
(pese a que éstos cuenten con medidas de seguridad robustas) explotando sus
vínculos habituales.
• Adoptando estándares y marcos de referencia común, la organización
puede construir una arquitectura de seguridad que permita minimizar las brechas que
se puedan registrar entre las amenazas detectadas y los controles existentes,
mitigando el riesgo asociado a una eventual ocurrencia de dicha amenaza.
• Partes interesadas, como es Auditoría Interna y Administradores del
Seguridad, pueden ser apoyados por la existencia de un marco de referencia en el área
de TI, facilitando su entendimiento respecto a los roles, políticas y estándares y la
tarea de lograr el cumplimiento de los mismos.
• Se le facilita a la organización la simplificación, estandarización y
automatización de los servicios de seguridad.
58
2.3. LA ORGANIZACIÓN
Los orígenes remotos del sistema del Seguro Social en el Ecuador se
encuentran en las leyes dictadas en los años 1905, 1915, 1918 y 1923 para amparar a
los empleados públicos, educadores, telegrafistas y dependientes del poder judicial.
El gobierno del doctor Isidro Ayora Cueva, mediante Decreto Nº 18, del 8 de
marzo de 1928, creó la Caja de Jubilaciones y Montepío Civil, Retiro y Montepío
Militar, Ahorro y Cooperativa, institución de crédito con personería jurídica,
organizada de conformidad con la Ley que se denomina Caja de Pensiones.
En octubre de 1935 se dictó la Ley del Seguro Social Obligatorio y se crea el
Instituto Nacional de Previsión, órgano superior del Seguro Social que comenzó a
desarrollar sus actividades el 1º de mayo de 1936. Su finalidad fue establecer la
práctica del Seguro Social Obligatorio, fomentar el Seguro Voluntario y ejercer el
Patronato del Indio y del Montubio.
En la misma fecha inició su labor el Servicio Médico del Seguro Social como
una sección del Instituto.
El 25 de julio de 1942 se expidió la Ley del Seguro Social Obligatorio. Los
Estatutos de la Caja del Seguro se promulgaron en enero de 1944, con lo cual se
59
afianza el sistema del Seguro Social en el país.
En diciembre de 1949, por resolución del Instituto Nacional de Previsión, se
dotó de autonomía al Departamento Médico, pero manteniéndose bajo la dirección
del Consejo de Administración de la Caja del Seguro, con financiamiento,
contabilidad, inversiones y gastos administrativos propios.
Las reformas a la Ley del Seguro Social Obligatorio de julio de 1958
imprimieron equilibrio financiero a la Caja y la ubicaron en nivel de igualdad con la
de Pensiones, en lo referente a cuantías de prestaciones y beneficios.
En 1964 se establecieron el Seguro de Riesgos del Trabajo, el Seguro
Artesanal, el Seguro de Profesionales, el Seguro de Trabajadores Domésticos y, en
1966, el Seguro del Clero Secular.
En 1968, estudios realizados con la asistencia de técnicos nacionales y
extranjeros, determinaron “la inexcusable necesidad de replantear los principios
rectores adoptados treinta años atrás en los campos actuariales, administrativo,
prestacional y de servicios”, lo que se tradujo en la expedición del Código de
Seguridad Social, para convertirlo en "instrumento de desarrollo y aplicación del
principio de Justicia Social, sustentado en las orientaciones filosóficas universalmente
aceptadas en todo régimen de Seguridad Social: el bien común sobre la base de la
60
Solidaridad, la Universalidad y la Obligatoriedad”. El Código de Seguridad Social
tuvo corta vigencia.
En agosto de l968, con el asesoramiento de la Organización Iberoamericana
de Seguridad Social, se inició un plan piloto del Seguro Social Campesino.
El Congreso Nacional, en l987, integró el Consejo Superior en forma tripartita
y paritaria, con representación del Ejecutivo, empleadores y asegurados; estableció la
obligación de que consten en el Presupuesto General del Estado las partidas
correspondientes al pago de las obligaciones del Estado.
En l99l, el Banco Interamericano de Desarrollo, en un informe especial sobre
Seguridad Social, propuso la separación de los seguros de salud y de pensiones y el
manejo privado de estos fondos.
Los resultados de la Consulta Popular de l995 negaron la participación del
sector privado en el Seguro Social y de cualquier otra institución en la administración
de sus recursos.
La Asamblea Nacional, reunida en l998 para reformar la Constitución Política
de la República, consagró la permanencia del IESS como única institución autónoma,
responsable de la aplicación del Seguro General Obligatorio.
61
El IESS, según lo determina la vigente Ley del Seguro Social Obligatorio, se
mantiene como entidad autónoma, con personería jurídica, recursos propios y
distintos de los del Fisco. Bajo la autoridad de la Comisión Interventora ha reformado
sus Estatutos, Reglamentos y Resoluciones para recuperar el equilibrio financiero.
El 30 de noviembre del 2001, en el Registro Oficial N° 465 se publica la LEY
DE SEGURIDAD SOCIAL, que contiene 308 artículos, 23 disposiciones transitorias,
una disposición especial única, una disposición general.
El Instituto Ecuatoriano de Seguridad Social “IESS” desde hace cuatro años
decide implementar el departamento o la Dirección de Desarrollo Tecnológico, cuya
finalidad es la de modernizar al IESS.
La información que manejaba el IESS la llevaba a través del hosts que se le
conoce, pero de a cuerdo a las necesidades y por tratarse de una organización grande
surge el hecho de migrar dicha información a una nueva arquitectura tecnológica,
pero el hecho de adquirir una mejor tecnología conlleva tener una mayor seguridad ya
que estos equipos están diseñados para almacenar mucha información es por ello que
se debe de tener un buen respaldo de la información.
La administración de la información se la realizaba directamente en un solo
equipo y realmente no era muy confiable.
62
El Instituto Ecuatoriano de Seguridad Social inicia con la tecnología Tiempo
Compartido, la misma que contaba con un servidor centralizado y varias estaciones
tontas, la información que ingresaban los funcionarios era procesada por el servidor
centralizado.
Esta tecnología fue implementada en dos ciudades principales Quito, y
Guayaquil, y cada una de ellas tenía su propio hosts centralizado.
La forma que se realizaba el respaldo se lo hacía directamente en cada uno de
los hosts y se lo realizaba periódicamente, pero este proceso no era el más adecuado
ya que las políticas estaban dadas por la persona responsable de obtener los respaldos,
al igual que el período en que se saca cada uno de los mismos.
Cabe recalcar que no se contaba con un programa para generar los respaldos y
esto ocasionaba que no se sabía a ciencia cierta cuando la cinta estaba a punto de
llenarse, en este caso cada persona que realizaba el respaldo calculaba el día a
remplazar la cinta por otra nueva no importaba si contaba o no con espacio.
Otro de los problemas que contaban era el hecho del momento de unificar la
información de la ciudad de Guayaquil y Quito era un proceso largo y muy complejo.
63
Este tipo de respaldo no era muy adecuado pues si el hosts se dañaba no se
podía restaurar la información ni mucho menos sacar respaldos puesto que todo se lo
hacía localmente en el servidor.
Otro de los problemas que se contaba era que las cintas que se utilizaban no
contaban con una gran capacidad para el tipo de información que se respaldaba.
Los problemas comienzan a presentarse cuando se desea implementar nuevas
ciudades a la red del IESS surge la necesidad de implementar una nueva tecnología
que pueda satisfacer las necesidades de cada uno de los funcionarios, al igual que la
forma de sacar respaldo de la data pues si con dos ciudades se presentaba problemas
con mas ciudades ocasionaba mas caos al momento de unificar la información.
2.4. NORMA ISO 270002
Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
LAS CLÁUSULAS DE ISO 27002:2005 SON:
0. Introducción
1. Campo de Aplicación
2. Términos y Definiciones
64
3. Estructura del Estándar
4. Evaluación y Tratamiento del Riesgo
5. Política de Seguridad
5.1 Política de seguridad de la información
5.1.1 Documento de política de la información
5.1.2 Revisión de la política de la información
6. Organización de la Seguridad de Información
6.1 Estructura para la seguridad de la información
6.1.1 Comité de gestión de seguridad de la información
6.1.2 Coordinación de la seguridad de información
6.1.3 Asignación de responsabilidades para la seguridad de la
información
6.1.4 Proceso de autorización de recursos para el tratamiento de la
información
6.1.5 Acuerdos de confidencialidad
6.1.6 Contacto con las autoridades
6.1.7 Contacto con organizaciones de especial interés
6.1.8 Revisión independiente de la seguridad de la información
6.2 Terceros
6.2.1 Identificación de los riesgos derivados del acceso de terceros
6.2.2 Tratamiento de la seguridad en la relación con los clientes
6.2.3 Tratamiento de la seguridad en contratos con terceros
65
7. Gestión de Activos
7.1 Responsabilidad sobre los activos
7.1.1 Inventario de activos
7.1.2 Responsabilidad de los activos
7.1.3 Acuerdos sobre el uso aceptable de los activos
7.2 Clasificación de la información
7.2.1 Directrices de clasificación
7.2.2 Mercado y tratamiento de la información
8. Seguridad ligada a los Recursos Humanos
8.1 Seguridad en la definición del trabajo y los recursos
8.1.1 Inclusión de la seguridad en las responsabilidades laborales
8.1.2 Selección y política de personal
8.1.3 Términos y condiciones de la relación laboral
8.2 Seguridad en el desempeño de las funciones del empleado
8.2.1 Supervisión de las obligaciones
8.2.2 Formación y capacitación en seguridad de la información
8.2.3 Procedimiento disciplinario
8.3 Finalización o cambio de puesto de trabajo
8.3.1 Cese de responsabilidades
8.3.2 Restitución de activos
8.3.3 Cancelación de permisos de accesos
9. Seguridad Física y del Entrono
66
9.1 Áreas segura
9.1.1 Perímetro de seguridad física
9.1.2 Controles físicos de entrada
9.1.3 Seguridad de oficinas, despachos y recursos
9.1.4 Protección contra amenazas externas y del entorno
9.1.5 El trabajo en áreas seguras
9.1.6 Áreas aisladas de carga y descarga
9.2 Seguridad de los equipos
9.2.1 Instalación y protección de equipos
9.2.2 Suministro eléctrico
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos
9.2.5 Seguridad de equipos fuera de los locales de la Organización
9.2.6 Seguridad en la reutilización o eliminación de equipos
9.2.7 Traslado de activos
10. Gestión de Comunicaciones y Operaciones
10.1 Procedimiento y responsabilidad de operación
10.1.1 Documentación de procedimientos operativos
10.1.2 Control de cambios operacionales
10.1.3 Segregación de tareas
10.1.4 Separación de los recursos para desarrollo y producción
10.2 Supervisión de los recursos contratados a terceros
67
10.2.1 Prestación de servicios
10.2.2 Monitorización y revisión de los servicios contratados
10.2.3 Gestión de los cambios en los servicios contratados
10.3 Planificación y aceptación del sistema
10.3.1 Planificación de capacidades
10.3.2 Aceptación del sistema
10.4 Protección contra software malicioso y código móvil
10.4.1 Medidas y controles contra software malicioso
10.4.2 Medidas y controles contra código móvil
10.5 Gestión interna de soportes y recuperación
10.5.1 Recuperación de la información
10.6 Gestión de redes
10.6.1 Controles de red
10.6.2 Seguridad en los servicios de red
10.7 utilización y seguridad de los soportes de información
10.7.1 Gestión de soportes extraíbles
10.7.2 Eliminación de soportes
10.7.3 Procedimientos de utilización de la información
10.7.4 Seguridad de la documentación se sistemas
10.8 Intercambio de información y software
10.8.1 Acuerdos para intercambio de información y software
10.8.2 Seguridad de de soportes en tránsito
68
10.8.3 Mensajería electrónica
10.8.4 Interconexión se sistemas con información de negocio
10.8.5 Sistemas de información empresariales
10.9 Servicios de comercio electrónico
10.9.1 Seguridad en comercio electrónico
10.9.2 Seguridad en transacciones en línea
10.9.3 Seguridad en información pública
10.10 Monitorización
10.10.1 Registro de incidencias
10.10.2 Seguimiento del uso de los sistemas
10.10.3 Protección de los registros de incidencias
10.10.4 Diarios de operación del administrados y operador
10.10.5 Registro de fallos
10.10.6 Sincronización de reloj
11. Control de Accesos
11.1 Requisitos de negocio para el control de accesos
11.1.1 Política de control de accesos
11.2 Gestión de acceso de usuario
11.2.1 Registro de usuario
11.2.2 Gestión de privilegios
11.2.3 Gestión de contraseña de usuario
11.2.4 Revisión de los derechos de acceso de los usuarios
69
11.3 Responsabilidades del usuario
11.3.1 Uso de contraseña
11.3.2 Equipo informático de usuario desatendido
11.3.3 Políticas para escritorios y monitores sin información
11.4 Control de acceso de red
11.4.1 Política de uso de los servicios de red
11.4.2 Autenticación de usuario para conexiones externas
11.4.3 Autenticación de nodos de la red
11.4.4 Protección a puertos de diagnóstico remoto
11.4.5 Segregación en las redes
11.4.6 Control de conexión a las redes
11.4.7 Control de encaminamiento en la red
11.5 Control de acceso al sistema operativo
11.5.1 Procedimientos de conexión de terminales
11.5.2 Identificación y autenticación de usuario
11.5.3 Sistema de gestión de contraseñas
11.5.4 Uso de los servicios del sistema
11.5.5 Desconexión automática de terminales
11.5.6 Limitación del tiempo de conexión
11.6 Control de acceso a las aplicaciones
11.6.1 Restricción de acceso a la información
11.6.2 Aislamiento de sistemas sensibles
70
11.7 Información móvil y tele trabajo
11.7.1 Informática móvil
11.7.2 Tele trabajo
12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
12.1 Requisitos de seguridad de los sistemas
12.1.1 Análisis y especificación de los requisitos de seguridad
12.2 Seguridad de las aplicaciones del sistema
12.2.1 Validación de los datos de entrada
12.2.2 Control del proceso interno
12.2.3 Autenticación de mensajes
12.2.4 Validación de los datos de salida
12.3 Controles criptográficos
12.3.1 Política de uso de los controles criptográficos
12.3.2 Cifrado
12.4 Seguridad de los ficheros del sistema
12.4.1 Control del software en explotación
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de acceso a la librería de programas fuente
12.5 Seguridad en los procesos de desarrollo y soporte
12.5.1 Procedimientos de control de cambios
12.5.2 Revisión técnica de los cambios en el sistema operativo
12.5.3 Restricciones en los cambios a los paquetes de software
71
12.5.4 Canales encubiertos y código troyano
12.5.5 Desarrollo externalizado del software
12.6 Gestión de las vulnerabilidades técnicas
12.6.1 Control de las vulnerabilidades técnicas
13. Gestión de Incidentes de Seguridad de la Información
13.1 Comunicación de eventos y debilidades en la seguridad de información
13.1.1 Comunicación de eventos de seguridad
13.1.2 Comunicación de debilidades en seguridad
13.2 Gestión de incidentes y mejoras en la seguridad de la información
13.2.1 Identificación de responsabilidades y procedimientos
13.2.2 Evaluación de incidentes en seguridad
13.2.3 Recogida de pruebas
14. Gestión de Continuidad del Negocio
14.1 Aspectos de la gestión de continuidad del negocio
14.1.1 Proceso de la gestión de continuidad del negocio
14.1.2 Continuidad del negocio y análisis de impactos
14.1.3 Redacción e implantación de planes de continuidad
14.1.4 Marco de planificación para la continuidad del negocio
14.1.5 Prueba, mantenimiento y reevaluación de planes de continuidad
15. Conformidad
15.1 Conformidad con los requisitos legales
15.1.1 Identificación de la legislación aplicable
72
15.1.2 Derechos de propiedad intelectual
15.1.3 Salvaguarda los requisitos de la organización
15.1.4 Protección de datos de carácter personal y de la intimidad de las
personas
15.1.5 Evitar el mal uso d los dispositivos de tratamiento de la
información
15.1.6 Reglamentación de los controles de cifrados
15.2 Revisiones de la política de seguridad y de la conformidad técnica
15.2.1 Conformidad con la política de seguridad
15.2.2 Comprobación de la conformidad técnica
15.3 Consideraciones sobre la auditoria de sistemas
15.3.1 Controles de auditoría de sistemas
15.3.2 Protección de las herramientas de auditoría de sistemas
73
CAPÍTULO III
SISTEMA DE GESTIÓN DE LA INFORMACIÓN DEL DDI APLICANDO LA
NORMA ISO 27001
El problema que se encuentra es que no se tiene definido una política de
seguridad para las cintas que contienen la información, al igual que la forma de sacar
los respaldos, cada que período y sobre cada qué tiempo se realizarán las
restauraciones para determinar si los respaldos no han sufrido ningún problema.
Lo que espera el Instituto Ecuatoriano de Seguridad Social es contar con una
buena política que garantice el proceso de los respaldos de la información, puesto que
como se explicó en temas anteriores lo más importante que maneja el IESS es la
información ya que tiene en sus bases de datos información de cada uno de los
empleadores, afiliados y funcionarios, cuenta también con la información de los
correos, sistema operativo de cada uno de los servidores, y sus configuraciones, entre
otra información.
De acuerdo a lo que establece la norma seguiremos la cláusulas
correspondientes para desarrollar una propuesta de un sistema de Gestión de la
Seguridad de Información, a continuación lo que establece la norma, lo q el IESS
tiene y lo q se debe hacer.
74
3.0. INTRODUCCIÓN
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto
central sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un
proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por
analogía con una norma tan conocida como ISO 9001, como el sistema de calidad
para la seguridad de la información.
3.1. CAMPO DE APLICACIÓN
Objetivo: Garantizar que los riesgos de la seguridad de la información sean
conocidos, asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios
que se produzcan en los riesgos, el entorno y las tecnologías.
3.2. TÉRMINOS Y DEFINICIONES
Breve descripción de los términos más usados en la norma.
75
A
Acción correctiva
(Inglés: Corrective action). Medida de tipo reactivo orientada a eliminar la causa de
una no-conformidad asociada a la implementación y operación del SGSI con el fin de
prevenir su repetición.
Acción preventiva
(Inglés: Preventive action). Medida de tipo pro-activo orientada a prevenir
potenciales no-conformidades asociadas a la implementación y operación del SGSI.
Aceptación del Riesgo
(Inglés: Risk acceptance). Según [ISO/IEC Guía 73:2002]: Decisión de aceptar un
riesgo.
Activo
(Inglés: Asset). En relación con la seguridad de la información, se refiere a cualquier
información o sistema relacionado con el tratamiento de la misma que tenga valor
para la organización. Según [ISO/IEC 13335-1:2004]: Cualquier cosa que tiene valor
para la organización.
76
Alcance
(Inglés: Scope). Ámbito de la organización que queda sometido al SGSI. Debe incluir
la identificación clara de las dependencias, interfaces y límites con el entorno, sobre
todo si sólo incluye una parte de la organización.
Alerta
(Inglés: Alert). Una notificación formal de que se ha producido un incidente
relacionado con la seguridad de la información que puede evolucionar hasta
convertirse en desastre.
Amenaza
(Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no
deseado, el cual puede causar el daño a un sistema o la organización.
Análisis de riesgos
(Inglés: Risk analysis). Según [ISO/IEC Guía 73:2002]: Uso sistemático de la
información para identificar fuentes y estimar el riesgo.
Análisis de riesgos cualitativo
(Inglés: Qualitative risk analysis). Análisis de riesgos en el que se usa una escala de
puntuaciones para situar la gravedad del impacto.
77
Análisis de riesgos cuantitativo
(Inglés: Quantitative risk analysis). Análisis de riesgos en función de las pérdidas
financieras que causaría el impacto.
Auditor
(Inglés: Auditor). Persona encargada de verificar, de manera independiente, la calidad
e integridad del trabajo que se ha realizado en un área particular.
Auditoría
(Inglés: Audit). Proceso planificado y sistemático en el cual un auditor obtiene
evidencias objetivas que le permitan emitir un juicio informado sobre el estado y
efectividad del SGSI de una organización.
Autenticación
(Inglés: Authentication). Proceso que tiene por objetivo asegurar la identificación de
una persona o sistema.
C
Checklist
Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros
los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su
continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo.
78
Este tipo de listas también se pueden utilizar durante la implantación del SGSI para
facilitar su desarrollo.
Compromiso de la Dirección
(Inglés: Management commitment). Alineamiento firme de la Dirección de la
organización con el establecimiento, implementación, operación, monitorización,
revisión, mantenimiento y mejora del SGSI.
Confidencialidad
(Inglés: Confidenciality). Acceso a la información por parte únicamente de quienes
estén autorizados. Según [ISO/IEC 13335-1:2004]:" característica/propiedad por la
que la información no está disponible o revelada a individuos, entidades, o procesos
no autorizados.
Control
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo del
nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de
salvaguarda o contramedida.
79
Control correctivo
(Inglés: Corrective control). Control que corrige un riesgo, error, omisión o acto
deliberado antes de que produzca pérdidas. Supone que la amenaza ya se ha
materializado pero que se corrige.
Control detectivo
(Inglés: Detective control). Control que detecta la aparición de un riesgo, error,
omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí
mismo no la corrige
Control preventivo
(Inglés: Preventive control). Control que evita que se produzca un riesgo, error,
omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
D
Desastre
(Inglés: Disaster). Cualquier evento accidental, natural o malintencionado que
interrumpe las operaciones o servicios habituales de una organización durante el
tiempo suficiente como para verse la misma afectada de manera significativa.
E
Evaluación de riesgos
80
(Inglés: Risk evaluation). Según [ISO/IEC Guía 73:2002]: proceso de comparar el
riesgo estimado contra un criterio de riesgo dado con el objeto de determinar la
importancia del riesgo.
Evento
(Inglés: information security event). Según [ISO/IEC TR 18044:2004]: Suceso
identificado en un sistema, servicio o estado de la red que indica una posible brecha
en la política de seguridad de la información o fallo de las salvaguardias, o una
situación anterior desconocida que podría ser relevante para la seguridad
G
Gestión de claves
(Inglés: Key management). Controles referidos a la gestión de claves criptográficas.
Gestión de riesgos
(Inglés: Risk management). Proceso de identificación, control y minimización o
eliminación, a un coste aceptable, de los riesgos que afecten a la información de la
organización. Incluye la valoración de riesgos y el tratamiento de riesgos. Según
[ISO/IEC Guía 73:2002]: actividades coordinadas para dirigir y controlar una
organización con respecto al riesgo.
81
I
Inventario de activos
(Inglés: Assets inventory). Lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, reputación de la organización, etc.) dentro
del alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser
protegidos de potenciales riesgos.
ISO
Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una
agrupación de organizaciones nacionales de normalización cuyo objetivo es
establecer, promocionar y gestionar estándares.
ISO 27001
Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en
2005
ISO 27002
Código de buenas prácticas en gestión de la seguridad de la información
(transcripción de ISO 17799). No es certificable. Cambio de oficial de nomenclatura
de ISO 17799:2005 a ISO 27002:2005 el 1 de Julio de 2007.
82
O
Objetivo
(Inglés: Objetive). Declaración del resultado o fin que se desea lograr mediante la
implementación de procedimientos de control en una actividad de TI determinada.
P
PDCA
Plan-Do-Check-Act. Modelo de proceso basado en un ciclo continuo de las
actividades de planificar (establecer el SGSI), realizar (implementar y operar el
SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el
SGSI).
Plan de continuidad del negocio
(Inglés: Bussines Continuity Plan). Plan orientado a permitir la continuación de las
principales funciones del negocio en el caso de un evento imprevisto que las ponga en
peligro.
Plan de tratamiento de riesgos
(Inglés: Risk treatment plan). Documento de gestión que define las acciones para
reducir, prevenir, transferir o asumir los riesgos de seguridad de la información
inaceptables e implantar los controles necesarios para proteger la misma.
83
Política de seguridad
(Inglés: Security policy). Documento que establece el compromiso de la Dirección y
el enfoque de la organización en la gestión de la seguridad de la información. Según
[ISO/IEC 27002:2005]: intención y dirección general expresada formalmente por la
Dirección.
R
Riesgo
(Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Según
[ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus
consecuencias.
Riesgo Residual
(Inglés: Residual Risk). Según [ISO/IEC Guía 73:2002] El riesgo que permanece tras
el tratamiento del riesgo.
S
Segregación de tareas
84
(Inglés: Segregation of duties). Reparto de tareas sensibles entre distintos empleados
para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por
negligencia.
Seguridad de la información
Según [ISO/IEC 27002:2005]: Preservación de la confidencialidad, integridad y
disponibilidad de la información; además, otras propiedades como autenticidad,
responsabilidad, no repudio y fiabilidad pueden ser también consideradas.
SGSI
(Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según
[ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el
análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y
mejora la seguridad de la información. (Nota: el sistema de gestión incluye una
estructura de organización, políticas, planificación de actividades, responsabilidades,
procedimientos, procesos y recursos.)
T
Tratamiento de riesgos
(Inglés: Risk treatment). Según [ISO/IEC Guía 73:2002]: Proceso de selección e
implementación de medidas para modificar el riesgo.
V
85
Valoración de riesgos
(Inglés: Risk assessment). Según [ISO/IEC Guía 73:2002]: Proceso completo de
análisis y evaluación de riesgos.
Vulnerabilidad
(Inglés: Vulnerability). Debilidad en la seguridad de la información de una
organización que potencialmente permite que una amenaza afecte a un activo. Según
[ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser
explotado por una amenaza.
3.3. ESTRUCTURA DEL ESTÁNDAR ISO 270002
Este estándar internacional adopta un proceso para establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Una
organización necesita identificar y administrar cualquier tipo de actividad para
funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada
para transformar entradas en salidas, puede ser considerada como un “proceso”. A
menudo, estas salidas son aprovechadas nuevamente como entradas, generando una
realimentación de los mismos.
86
Este estándar internacional adopta también el modelo “Plan-Do-Check-Act”
(PDCA), el cual es aplicado a toda la estructura de procesos de SGSI, y significa lo
siguiente:
- Plan (Establecer el SGSI): Implica, establecer a política SGSI, sus objetivos,
procesos, procedimientos relevantes para la administración de riesgos y mejoras para
la seguridad de la información en este caso serían los datos configuración del Sistema
Operativo, los logs, etc., entregando resultados acordes a las políticas y objetivos de
toda la organización.
- Do (Implementar y operar el SGSI): Representa la forma en que se debe operar e
implementar la política, controles, procesos y procedimientos.
- Check (Monitorizar y revisar el SGSI): Analizar y medir donde sea aplicable, los
procesos ejecutados con relación a la política del SGSI, evaluar objetivos,
experiencias e informar los resultados a la administración para su revisión.
- Act (Mantener y mejorar el SGSI): Realizar las acciones preventivas y correctivas,
basados en las auditorías internas y revisiones del SGSI o cualquier otra información
relevante para permitir la continua mejora del SGSI.
87
3.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO
El Instituto Ecuatoriano de Seguridad debe mantener un control del riesgo,
puesto que se encuentra siempre expuesto a amenazas y cada día tenemos nuevos
ataques de personas maliciosas como Hacker, Phreaker, Pirata y Cracker.
Dada las necesidades de seguridad el Instituto Ecuatoriano de Seguridad
Social debe tener en claro cuáles son sus áreas de mayor crisis para poder tomar las
decisiones necesarias para seleccionar los controles que permitan disminuir los
riesgos y sobre todo tener un buen plan de contingencia.
Un sistema de gestión de seguridad de información tiene tres componentes
para alcanzar confidencialidad y aseguramiento de la información:
Confidencialidad: Protección de la información sensitiva de intercepciones
no autorizadas.
Integridad: La propiedad de salvaguardar la exactitud y integridad de los
activos.
Disponibilidad: La propiedad de estar disponible y utilizable cuando la
requiera una entidad autorizada; si se desea ser utilizado para la certificación.
88
3.4.1. Análisis del Riesgo y los Requerimientos del ISO 27001:2005
La ISO 27001:2005 requiere que toda organización que plantee un sistema de
gestión de seguridad de información (SGSI), debe primero definir el alcance del
estándar en la empresa y en base a ese alcance se debe definir todos los activos de
información.
Luego se debe realizar un análisis de riesgo para definir de todos los activos
cuales se les puede considerar de mayor riesgo, luego se debe conversar con los
respectivos encargados de cada uno de los activos para definir que controles se
aplicarán para mitigar dichos riesgos, El ISO 27001:2005 es un sistema dinámico que
obliga a la Gerencia estar constantemente revisando y definiendo controles, sus
amenazas, vulnerabilidad e iniciar acciones preventivas y correctivas cuando sea
necesario.
3.4.2. Proceso de Evolución del Riesgo
En la figura 9 se muestra el proceso de evaluación del riesgo. Toda
organización tiene que pasar cada una de las fases para poder evaluar y determinar
los riesgos, mas adelante se detallará cada unos de los niveles.
89
Figura 2: Proceso de Evaluación del Riesgo
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
3.4.2.1. Identificación y tasación de Activos:
Primero definamos lo que es un activo, para el IESS un activo es algo que
tiene valor o utilidad cada activo necesita ser protegido ya que ellos nos garantizan la
continuidad de la organización.
Cada uno de los activos debe estar identificado apropiadamente y valorado. La
ISO clasifica a los activos de la siguiente manera:
1. Activos de Información: Son las base de datos y archivos de
90
datos, documentación del sistema, manuales de usuario, material
de entrenamiento, procedimiento de operativos de apoyo, planes de
continuidad.
2. Documentos Impresos: Documentos impresos, contratos,
lineamientos, documentos de la institución, documentos que
contiene resultados importantes de negocios.
3. Activos de Software: Software de aplicación, software de
sistemas, herramientas de desarrollo.
4. Activos Físicos: Equipos de comunicación y computación, medios
magnéticos, otros equipos técnicos.
5. Personas: Personal, clientes, suscriptores.
6. Imagen y Reputación de la Compañía.
7. Servicios: Servicios de computación y comunicaciones, otro
servicios técnicos.
La tasación de activos, basada en las necesidades del negocio de toda
organización es un factor importante en la evaluación del riesgo. Para poder encontrar
la protección apropiada para los activos es necesario evaluar su valor en términos en
su importancia para la institución “Para poder tasar los valores de los activos y poder
relacionarlos apropiadamente, una escala de valores para activos debe ser aplicada.”
(Alberts, Dorofee, 2003).
91
3.4.2.2. Identificación de requerimientos de Seguridad:
Los requerimientos de seguridad se derivan de tres fuentes esenciales:
1. El conjunto único de amenazas y vulnerabilidad que pudieran
ocasionar pérdidas significativas en la institución si ocurrieran.
2. Los requerimientos contractuales que deben satisfacerse por el
IESS.
3. El conjunto único de objetivos, principios y requerimientos para el
procesamiento de la información que el Instituto Ecuatoriano de
Seguridad Social (IESS) debe desarrollar para apoyar las
operaciones de negocios y sus procesos.
Una vez que se identifiquen cada uno de estos requerimientos en necesario y
recomendable formularlos en términos de requerimientos de confidencialidad,
integridad y disponibilidad para el Instituto Ecuatoriano de Seguridad Social.
Con ello se logrará determinar cada una de las necesidades que requiere el
IESS para poder prevenir y controlar los posibles ataques que se puedan dar, y sobre
todo al tener claro las necesidades y requerimientos, se podrá aplicar los controles
que satisfagan dichos requerimientos.
92
3.4.2.3. Identificación de Amenazas y Vulnerabilidades
Como se explicó en temas anteriores lo más importante para toda
organización son sus activos, y es por ello que se encuentran siempre sujetos a
amenazas. Una amenaza es capaz de causar daño a toda organización pues ocasiona
incidentes no deseados, el cual puede ocasionar daño al sistema y sobre todo a los
activos. El daño se puede dar por varias vías ya sea directamente es decir dañar los
datos o indirectamente pude darse daños a la infraestructura.
Las amenazas pueden originarse de fuentes accidentales o de manera
deliberada, para que una amenaza pueda dañar un activo debería explotar la
vulnerabilidad del sistema, aplicativo o servicio.
Las vulnerabilidades son debilidades asociadas con los activos
organizacionales. Las debilidades pueden ser explotadas por las amenazas, causando
incidentes no deseados que ocasionarían pérdidas, daños o deterioro a los activos. La
vulnerabilidad como tal, no causa daño, es simplemente una condición o conjuntos de
condiciones que pueden permitir que una amenaza afecte a un activo.
Una evaluación de la posibilidad de ocurrencia de la vulnerabilidad y las
amenazas, deben ser efectuadas en esta fase.
93
3.4.2.4. Cálculos de los Riesgos de Seguridad
El objetivo de la evaluación del riesgo es la de identificar y evaluar el riesgo
para poder determinar soluciones. Los riegos son calculados de una combinación de
valores de activos y niveles de requerimiento de seguridad.
La evaluación de riesgos envuelve la sistemática considerando los siguientes
aspectos.
1 Consecuencia: El daño de la empresa o institución como resultado de
un incumplimiento de seguridad de información considerando las
potenciales consecuencias de pérdidas o fallos de confidencialidad,
integridad y disponibilidad de información.
2 Probabilidad: La real posibilidad de que tal incumplimiento ocurra a
la luz del reinado de amenazas, vulnerabilidad y controles.
Es importante considerar que no existe una manera buena o mala de calcular
los riesgos, es por ello que cada institución tiene su propia forma de evaluación de los
riesgos considerando cada uno de sus activos, por lo tanto no se puede regir a una
norma o ley para poder calcular los riesgos, puesto que no todas las organizaciones
cuentas con los mismos activos.
94
3.4.2.5. Selección de Opciones Apropiadas de Tratamiento del
Riesgo
Cuando los riesgos han sido identificados y evaluados, lo próximo que se debe
hacer es determinar la acción que se debe seguir para poder definir como serán
tratados cada uno de los riesgos. La decisión debe ser tomada basada en los activos
involucrados y su impacto en la Institución.
Otro aspecto importante a considerar es el nivel del riesgo aceptado que ha
sido identificado siguiendo la selección de la metodología apropiada de evaluación.
El estándar ISO 27001:2005 requiere que el tratamiento del riesgo siga cuatro
posibles acciones:
1. Aplicación de apropiados controles para reducir los riesgos. Los
controles tienen que ser identificados en el anexo A. Si los
controles no pueden ser hallados en el anexo A, la firma puede
crearlos y documentarlos.
2. Aceptar objetivamente los riesgos partiendo del supuesto que
satisfacen las políticas de la institución y sus criterios para la
aceptación del riesgo.
3. Evitar los riesgos.
4. Transferir los riesgos asociados a otra parte.
95
Por cada uno de los riesgos se debe evaluar estas opciones para identificar la
más adecuada.
Los resultados de esta actividad deben de ser documentados y luego la
institución debe documentar su “plan de tratamiento del riesgo”.
Hay dos pociones en la identificación y evaluación del riesgo que requieren
mayor explicación. Las alternativas son:
1. Evitar el riesgo.
2. Transferir el riesgo.
Evitar el Riesgo: Describe cualquier opción donde los activos son transferidos
de las áreas riesgosas. Cuando se evalúan la posibilidad de evitar el riesgo esto debe
sopesarse entre las necesidades de la institución y las monetarias.
Transferir el Riesgo: Esta opción puede ser la mejor si no se puede reducir los
niveles el riesgo. Existen muchas alternativas a considerar en relación a la estrategia
de transferencia del riesgo. La transferencia del riesgo podría alcanzarse tomándose
una póliza de seguridad. Otra posibilidad podría ser la utilización e servicios de
“outsoucing” para que se manejen activos y procesos críticos. La responsabilidad por
96
los servicios tercerizados siempre recae en la Institución.
3.4.2.6. Selección de Controles para Reducir los Riesgos a un
Nivel Aceptable
Para reducir el riesgo evaluado dentro del alcance del Sistema de Gestión de
Seguridad Informática (SGSI) considerados, controles de seguridad apropiados y
justificados deben ser identificados y seleccionados. Estos controles deben ser
seleccionados del anexo A del ISO 27001:2005. La institución también puede utilizar
el ISO 17799:2005 como guía para la implementación de los controles, pero deben
ser escogidos del ISO 27001:2005.
La selección de los controles debe ser sustentada por los resultados de la
evaluación del riesgo. La vulnerabilidad con las amenazas asociadas indican donde la
protección pudiera ser requerida y que forma debe tener. Especialmente para
propósitos de certificación, las relaciones con la evaluación del riesgo deben ser
documentadas para justificar la selección de los controles.
Cuando se seleccionan controles para la implementación, un número de
factores deben ser considerados, incluyendo:
97
1. Uso de controles.
2. Transferencia de usuarios.
3. Ayuda otorgada a los usuarios para desempeñar su función.
4. Relativa fuerza de los controles.
5. Tipos de funciones desempeñadas.
En términos generales, un control podrá satisfacer más de una de éstas
funciones y lo más que pueda satisfacer mejor.
3.4.3. Riesgo Residual
Después de identificar los controles adecuados para reducir un riesgo
especifico al nivel considerado aceptable, debe evaluarse cuando los controles, si se
implementan reducirán los riesgos es el denominado “riesgo residual”.
El riesgo residual usualmente es difícil evaluarlo. Por los menos una
estimación de cuando los controles reducen el nivel de los requerimientos de los
valores asociados de seguridad debería ser identificada para asegurar que la suficiente
protección es alcanzada.
Si el riesgo residual es inaceptable, una decisión comercial debe ser tomada
sobre cómo se irá a manejar la situación. Una opción es la selección más controlada
98
para finalmente reducir los riesgos a un nivel aceptable. Es una buena práctica no
tolerar riesgos inaceptables, pero muchas veces no es posible o financieramente
factible reducir todos los riesgos al nivel aceptable.
Después de implantar los controles seleccionados, es importante estar claros,
que siempre habrá riesgos existentes. Esto sucede porque los sistemas de información
en una organización nunca podrán estar absolutamente seguros. Esta es la razón por
la cual es necesario revisar la implementación, los resultados de los controles para
finalmente evaluar qué tan bien los controles implementados están operando.
3.4.4. Valoración de Bienes o Activos
El valor de un bien se puede determinar a partir de:
1 El costo inicial y operativo asumido al comprar, licenciar, desarrollar
o soportar un activo
2 El valor del activo para las labores de producción, investigación y
desarrollo.
3 El valor del activo establecido por el mercado externo.
4 El valor estimado de la propiedad intelectual
99
3.4.5. Cálculo del Riesgo en la Dirección de Desarrollo Institucional
El cálculo del riesgo es importante para toda organización puesto que esto nos
permite determinar cómo esta nuestros activos de acuerdo a las diferentes amenazas
que se encuentren, también contando con el riego se puede determinar el tipo de
seguridad que tendrá cada activo.
3.4.5.1. Riesgo de Activos
El cálculo del riesgo es fundamental puesto que este nos permitirá calcular la
seguridad que tiene cada uno de los activos en la Dirección de Desarrollo
Institucional.
El riesgo como se lo conoce está dado por el cálculo del factor de exposición
(porcentaje de pérdida del activo en la organización) por la vulnerabilidad
(probabilidad que ocurra un desastre)
3.4.5.2. Cuadro del Cálculo del Riesgo en la Dirección de
Desarrollo Institucional
El cálculo del riesgo es fundamental puesto que este nos permitirá calcular la
seguridad que tiene cada uno de los activos en la Dirección de Desarrollo
Institucional.
100
El riesgo como se lo conoce esta dado por el cálculo del factor de exposición
(porcentaje de pérdida del activo en la organización) por la vulnerabilidad
(probabilidad que ocurra un desastre).
R= vulnerabilidad x factor de exposición
Antes de realizar el cálculo del riesgo se debe determinar el tipo de
vulnerabilidad que tiene cada uno de los activos, cabe recalcar que cada organización
debe clasificar la vulnerabilidad de acuerdo a su empresa y considerando cada uno de
sus activos.
101
El siguiente cuadro nos explica cómo está clasificada la vulnerabilidad.
Grado de vulnerabilidad Tipo de vulnerabilidad
0.1 Vulnerabilidad baja
0.2 Vulnerabilidad baja
0.3 Vulnerabilidad baja media
0.4 Vulnerabilidad baja media
0.5 Vulnerabilidad media
0.6 Vulnerabilidad media
0.7 Vulnerabilidad media alta
0.8 Vulnerabilidad alta
0.9 Vulnerabilidad alta critica
1 Vulnerabilidad crítica
Cuadro 1: (Escala de vulnerabilidad)
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Silvana Sotalín T.
Para realizar la clasificación de los activos, se ha considerado aquellos que
son de mayor importancia para la Dirección de Desarrollo Institucional en este
momento, pero no se descarta que a medida que se modifique las políticas de
seguridad se siga aumentando más activos.
102
Activo Vulnerabilidad Exposición % Riesgo
Servidor de Aplicación de Desarrollo SUN 0,5 0,3 0,15
Clave de usuario 0,9 0,9 0,81
Servidor de Base de datos de Desarrollo SUN 0,5 0,1 0,05
Servidor de aplicación de desarrollo IBM 0,7 0,3 0,21
Servidor de base de datos de desarrollo IBM 0,8 0,5 0,40
Impresora 0,5 0,5 0,25
Manuales 0,6 0,6 0,36
Procedimientos de Operación 0,5 0,4 0,20
Documentos Impresos 0,4 0,6 0,24
Software Aplicación 0,7 0,3 0,21
Herramientas de Desarrollo 0,6 0,2 0,12
Router Central 0,6 0,2 0,12
Router Agencias 0,8 0,7 0,56
Servidor QAP SUN 0,8 0,7 0,56
Servidor QAD SUN 0,8 0,7 0,56
Switch capa 2 0,6 0,5 0,30
Switch capa 3 0,6 0,2 0,12
Cinta de Respaldo 0,5 0,8 0,40
Servidor de Base Datos SUN 0,7 1 0,70
Servidor de Aplicación SUN 0,8 1 0,80
Servidor de Aplicación IBM 0,7 1 0,70
Servidor de Correo SUN 0,7 1 0,70
Servidor Web 0,5 1 0,50
Cuadro 2: (Calculo del Riesgo)
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Silvana Sotalín T.
103
3.4.5.3. Cuadro del Cálculo de la Seguridad en la Dirección de
Desarrollo Institucional
Luego de haber calculado el riesgo se procede a determinar los valores
de la seguridad de cada uno de los activos, esto nos servirá para poder definir las
diferentes políticas que nos ayudará a minimizar los riesgos frente a las amenazas.
La seguridad está dada por la siguiente fórmula:
Seguridad = 1 - Riesgo
104
Activo Valor Unitario Riesgo Seguridad Servidor de Aplicación de Desarrollo SUN 1 0,15 0,85
Clave de usuario 1 0,81 0,19
Servidor de Base de datos de Desarrollo SUN 1 0,05 0,95
Servidor de aplicación de desarrollo IBM 1 0,21 0,79
Servidor de base de datos de desarrollo IBM 1 0,40 0,60
Impresora 1 0,25 0,75
Manuales 1 0,36 0,64
Procedimientos de Operación 1 0,20 0,80
Documentos Impresos 1 0,24 0,76
Software Aplicación 1 0,21 0,79
Herramientas de Desarrollo 1 0,12 0,88
Router Central 1 0,12 0,88
Router Agencias 1 0,56 0,44
Servidor QAP SUN 1 0,56 0,44
Servidor QAD SUN 1 0,56 0,44
Switch capa 2 1 0,30 0,70
Switch capa 3 1 0,12 0,88
Cinta de Respaldo 1 0,40 0,60
Servidor de Base Datos SUN 1 0,70 0,30
Servidor de Aplicación SUN 1 0,80 0,20
Servidor de Aplicación IBM 1 0,70 0,30
Servidor de Correo SUN 1 0,70 0,30
Servidor Web 1 0,50 0,50
Cuadro 3: (Calculo de seguridad)
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Silvana Sotalín T.
105
Cálculo de la Seguridad
Figura 3: Gráfico de la seguridad
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Silvana Sotalín T.
3.4.5.4. Análisis del cálculo de la seguridad
De los cálculos anteriores se puede deducir que los servidores de base de
datos, servidor de aplicación de producción y de desarrollo tienen un menor grado de
seguridad es por lo cual que al momento de generar las políticas se debe de tener
mucho cuidado con estos activos.
El mismo trato se debe de tener con los Software Aplicación, claves de
usuarios y las herramientas de desarrollo, para evitar futuros desmanes con estos
activos.
Cálculo de la Seguridad
0,00
0,10
0,20
0,30
0,40
0,50
0,60
0,70
0,80
0,90
1,00
Activo
Seg
uri
da
d
106
Con respecto a los demás activos también se debe de realizar políticas de
seguridad de acuerdo a los rangos obtenidos en los cálculos anteriores.
3.4.5.5. Servicios en Línea del IESS
El Instituto Ecuatoriano Social como meta primordial es la de brindar un
mejor servicio a sus Empleadores, Afiliados y Jubilados, para lo cual tiene varias
aplicaciones que trabajan en Internet y ofrecen un servicio en línea.
Los empleadores ya no tienen que ir a las instalaciones del IESS para poder
realizar sus recaudaciones, al igual los afiliados ya no tiene que realizar los préstamos
quirografarios e hipotecarios en las instalaciones del IESS si no lo pueden realizar
desde la comodidad de su casa, las aplicaciones que ofrece el IESS son las siguientes.
� Historia laboral
� Fondos de reserva
� Préstamos Hipotecarios
� Préstamos Quirografarios
� Supervivencia
� Pensiones
� Rol
107
3.5. POLÍTICA DE SEGURIDAD:
ANÁLISIS Y DEFINICIÓN DE POLÍTICAS DE SEGURIDAD
INFORMÁTICA EN LA DDI
Incluye el marco general y los objetivos de seguridad de la información de la
organización, tomamos en cuenta los requisitos de negocio, legales y
contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo
general, se establece criterios de evaluación de riesgo y sea aprobada por la
Dirección. La política del SGSI es normalmente un documento muy general, una
especie de "declaración de intenciones" de la Dirección.
Según capítulos anteriores la Dirección de Desarrollo Institucional (DDI)
tiene como finalidad principal modernizar al Instituto Ecuatoriano de Seguridad
Social, es por ello que tienen a su cargo toda la infraestructura tecnológica que
sirve para lograr dicho objetivo. Por esta razón este departamento es el más crítico
de los otros departamentos que tiene a su cargo el IESS, por eso se aplicará
políticas de seguridad a esta Dirección. Esto no quiere decir que no se puedan
aplicar las mismas políticas a las otras direcciones que maneja el IESS.
108
Se debe considerar que dentro de esta Dirección de Desarrollo tenemos el
departamento o unidad de producción en la cual se encuentra el área de base de datos,
y el área de servidores, estas áreas son las encargadas de realizar los respaldos tanto a
nivel de la data como a nivel de configuraciones y de sistema operativo; razón por la
cual se tendrá un análisis especial para el tratamiento de las políticas que manejarán
para poder cumplir sus objetivos.
3.5.1. Análisis del tratamiento de políticas en la DDI
Antes de definir los controles que se aplicarán para poder determinar las
políticas necesarias, se realizará un análisis para determinar cuáles son las áreas de
mayor vulnerabilidad.
Dentro del organigrama de la Unidad de Producción se encuentra el área de
soporte, una de las funciones de esta área es de dotar de recursos informáticos, tanto a
funcionarios como a consultores del IESS, dentro de estos recursos se encuentran los
computadores, los mismos que son entregados a sus respectivos usuarios con el
software que requieren para poder realizar su trabajo. Esto se lo realiza de esta
manera puesto que cada usuario tiene su clave dentro de un dominio.
De la investigación que se realizó a esta área se pudo dar cuenta que al
109
momento de asignar la clave del usuario en el dominio se lo realizaba de una manera
fácil de descifrar por otro usuario, esto ocasionaría que otra persona ingrese a otro
computador que no sea el suyo, debido a esto se tomará atención a este
inconveniente al momento de crear las políticas de seguridad.
El área de seguridades también es una de las más críticas puesto que tiene la
función principal de impedir que intrusos puedan ingresar a la red del IESS, por eso
es necesario tener mucho cuidado al momento de definir políticas en el firewall,
Dentro de otras responsabilidades que cuenta el área de seguridades es la de
encargarse de conceder permisos de acceso a los usuarios a los servidores que se
encuentran en producción, es por ello que se debe de tener mucho cuidado al
momento se asignar los permisos y sobre todo definir bien la necesidad que tiene el
usuario para acceder a los servidores.
Para concluir con esta área también tiene la función de crear los usuarios tanto
de base de datos, como los usuarios de los aplicativos por lo tanto se definirá la forma
y la manera más prudente y sobre todo segura para poder definir dichos usuarios.
Para finalizar tenemos el área de servidores, la misma que tiene la función
principal de mantener los servicios que presta la institución a sus afiliados en perfecto
funcionamiento para ello tienen que cubrir ciertos aspectos como:
110
1. Tener el espacio disponible para las diferentes aplicaciones.
2. Tener los respaldos al día de los correos.
3. Tener los respaldos de la data en perfecto estado y sobre todo confiables.
4. Contar con los respaldos de Sistema Operativo de cada uno de los
servidores tanto de producción como de desarrollo.
5. Disponer de los respaldos de configuración de cada unos de los aplicativos
en caso de una emergencia.
El área de servidores cuenta con más funciones pero se ha tomado en cuenta
aquellas que son de un mayor riesgo e importancia para la institución.
De lo que he podido observar esta área no cuenta con políticas de backups, y
la manera que se ha estado procediendo puede ser no muy indicada puesto que cada
persona que realiza los respaldos tiene su propio criterio al momento de obtener los
respaldos, por todo esto y debido a la importancia de los respaldos se tomará mayor
interés en definir políticas de backups como de restauración.
3.5.2. Definición de Políticas para la DDI
111
La Dirección debería aprobar y publicar un documento de la política de
seguridad de la información y comunicar la política a todos los empleados y las partes
externas relevantes.
El documento de la política de seguridad de información debería declarar el
compromiso de la dirección y establecer el enfoque de ésta para la gestión de la
seguridad de la información.
La política de seguridad de la información se debería revisar a intervalos
planificados (o en caso que se produzcan cambios significativos) para garantizar que
es adecuada, eficaz y suficiente.
Una vez que los requisitos de seguridad han sido identificados, se elegirán e
implantarán los controles que aseguren la reducción de los riesgos a un nivel
aceptable.
Hay muchas formas distintas de gestionar los riesgos y este documento
proporciona ejemplos de enfoques habituales. Sin embargo hay que reconocer que
ciertos controles no son aplicables para todos los sistemas o entornos de información
y pueden no ser de aplicación en todas las organizaciones.
Los controles deberían elegirse por su costo de implantación en relación con
los riesgos a reducir y con las posibles pérdidas si se materializa la ruptura de
112
seguridad. También es conveniente tener en cuenta factores no económicos como la
pérdida de reputación.
Cierto número de controles se consideran principios orientativos que
proporcionan un punto de partida adecuado para implantar la seguridad de la
información. Se apoyan en requisitos legislativos esenciales o se considera la mejor
práctica habitual para conseguir dicha seguridad.
Los controles que se consideran esenciales para una organización desde un
punto de vista legislativo comprenden:
1. La protección de los datos de carácter personal y la intimidad de las
personas.
2. La salvaguarda de los registros de la organización.
3. Los derechos de la propiedad intelectual.
Los controles que se consideran comunes para la mejor práctica habitual para
conseguir la seguridad de la información comprenden:
1. La documentación de la política de seguridad de la información.
2. La asignación de responsabilidades de seguridad.
3. La formación y capacitación para la seguridad de la información.
113
4. El registro de las incidencias de seguridad.
5. La gestión de la continuidad del negocio.
Estos controles pueden aplicarse a la mayoría de las organizaciones y los
entornos. Es conveniente señalar que pese a la importancia dada a los controles en
este documento, la importancia de cualquier control debería determinarse a la luz de
los riesgos específicos que afronta la organización. Por tanto y aunque el enfoque
anterior se considere un buen punto de partida, no sustituye a la selección de
controles basada en una evaluación del riesgo.
3.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
INFORMACIÓN
El objetivo de este control es la seguridad de la información dentro de la
Organización, se debe establecer una estructura de gestión con objeto de iniciar y
controlar la implantación de la seguridad de la información dentro de la
Organización.
El órgano de dirección debería aprobar la política de seguridad de la
información, asignar los roles de seguridad y coordinar y revisar la implantación de la
seguridad en toda la Organización.
114
Si fuera necesario, en la Organización se debería establecer y facilitar el
acceso a una fuente especializada de consulta en seguridad de la información.
Deberían desarrollarse contactos con especialistas externos en seguridad, que
incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en
las tendencias de la industria, la evolución de las normas y los métodos de
evaluación, así como proporcionar enlaces adecuados para el tratamiento de las
incidencias de seguridad.
Debería fomentarse un enfoque multidisciplinario de la seguridad de la
información, que, por ejemplo, implique la cooperación y la colaboración de
directores, usuarios, administradores, diseñadores de aplicaciones, auditores y el
equipo de seguridad con expertos en áreas como la gestión de seguros y la gestión de
riesgos.
3.6.1 Orgánico Funcional
Mediante Resolución Nº 021, el Consejo Directivo del IESS aprobó el nuevo
orgánico funcional de la Institución que cuenta con seis niveles:
1. Nivel de gobierno y Dirección superior.- Responsables de la aplicación
del Seguro General Obligatorio en todo el territorio nacional: Consejo
Directivo, Dirección General y Dirección Provincial.
115
2. Nivel de Dirección especializada.- Órganos especializados en el
aseguramiento de las contingencias y calificación del derecho a las
prestaciones que otorga el Seguro General Obligatorio: Dirección del
Seguro General de Salud Individual y Familiar, Dirección del Sistema
de Pensiones, Dirección del Seguro General de Riegos del Trabajo y
Dirección del Seguro Social Campesino.
3. Nivel de reclamación administrativa.- Responsables de la aprobación o
denegación de los reclamos de prestaciones plantados por los
asegurados: Comisión Nacional de Apelaciones y Comisión Provincial
de Prestaciones y Controversias. Son instancias de resolución
administrativa.
4. Nivel Técnico Auxiliar.- Dirección Actuarial y Comisión Técnica de
Inversiones.
5. Nivel de Control Interno.- La Auditoría Interna es el órgano de control
independiente, de evaluación y asesoría, responsable del examen
posterior, objetivo, profesional, sistemático y periódico de los
procedimientos administrativos, presupuestarios y financieros del
Instituto.
116
6. Nivel de asistencia técnica y administrativa.- Dirección Económica
Financiera, Dirección de Servicios Corporativos, Dirección de
Desarrollo Institucional, Secretaría General y Procuraduría General.
3.6.2. Órganos de Gobierno
Dentro de la estructura orgánica del Instituto, el Consejo Directivo, la
Dirección General y la Dirección Provincial constituyen el nivel de gobierno y
dirección superior, y son responsables de la aplicación del Seguro General
Obligatorio.
El Consejo Directivo es el órgano máximo de gobierno y le corresponde dictar
las políticas para la aplicación del Seguro General Obligatorio, así como las normas
de organización y funcionamiento de los seguros generales y especiales aplicados por
el IESS y la fiscalización de los actos de la administración. Está conformado de
manera tripartita por un representante del Ejecutivo, quien lo preside, un
representante de los empleadores y un representante de los trabajadores.
3.6.3. La Dirección General
Es el órgano responsable de la organización, dirección y supervisión de todos
117
los asuntos relativos a la ejecución de los programas de protección provisional de la
población urbana y rural, con relación de dependencia o sin ella, con sujeción a lo que
determina la Ley de Seguridad Social. La autoridad responsable es el Director
General.
En esta nueva estructura se crea la Subdirección General, dependencia de
apoyo y asistencia a la Dirección General. La autoridad responsable es el Subdirector
General, quien es designado por el Consejo Directivo. Cuando el Director General
renuncia, falta o se ausenta temporalmente o por impedimento, le subroga el
Subdirector General.
3.6.4. La Dirección Provincial
Es responsable de la aplicación de las estrategias de aseguramiento
obligatorio, la recaudación oportuna de las aportaciones de los empleadores y
asegurados y la calificación del derecho a prestaciones de los afiliados, comprendidos
en la circunscripción geográfica de su competencia. Es el órgano responsable del
manejo de las cuentas patronales e individuales de los asegurados, del ejercicio de la
jurisdicción coactiva, y de la consolidación de la información presupuestaria y
contable de todas las dependencias administrativas subordinadas a su autoridad.
118
3.6.5. Direcciones Especializadas
Dentro del nivel de dirección especializada se encuentran las direcciones del
Seguro General de Salud Individual y Familiar, el Sistema de Pensiones, el Seguro
General de Riesgos del Trabajo, el Seguro Social Campesino y las direcciones
provinciales, encargadas del aseguramiento de las contingencias y la calificación del
derecho a las prestaciones que otorga el Seguro General Obligatorio.
3.6.6. Estructura Organizacional de la Dirección de Desarrollo
Institucional
La Dirección de Desarrollo Institucional (DDI), cuenta con la función primordial
de modernizar al IESS cuenta con la siguiente estructura.
En la figura 4 se muestra el esquema de cómo está estructurado la coordinación
del proyecto, cuenta con el Coordinador del proyecto cuya función principal es la de
dotar de toda la infraestructura que necesita el proyecto como equipo, y personal
capacitado para las diferentes áreas.
En segundo plano se encuentran los consultores líderes quienes se encargan
del aspecto de desarrollo.
119
El tercer grupo son técnicos cuya función es la de administración,
mantenimiento de los equipos y servidores y soporte a usuarios
Como cuarto grupo son los encargados de el aspecto administrativo son los
que se encargan de de el aspecto del recurso humanos
Este es un esquema general de cómo está estructurado la DDI mas adelante se
detallará cada una de las ares.
Figura 4: Estructura de coordinación del Proyecto de Modernización
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
120
3.6.7. Organigrama de la Dirección de Desarrollo Institucional
La Dirección de Desarrollo Institucional es la encargada de la formulación y
coordinación de la ejecución de los proyectos y programas de mejoramiento y
desarrollo de la Institución, en procura de la eficacia, eficiencia y economía de los
procesos del Instituto Ecuatoriano de Seguridad Social, de conformidad con lo
establecido en el Plan Estratégico Institucional y las normas y políticas definidas por
el Consejo Directivo. Así también, esta Dirección es la responsable de la
administración de la infraestructura tecnológica del Instituto.
La autoridad responsable de la gestión de la Dirección de Desarrollo Institucional
es su Director, nombrado por el Director General, de conformidad con las leyes y
reglamentos sobre la materia.
121
Figura 5: Organigrama DDI
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
3.6.7.1. Responsabilidades.
La Dirección de Desarrollo Institucional tiene a su cargo las siguientes
responsabilidades:
1. La ejecución de actividades de apoyo técnico relacionadas con el
desarrollo de la Institución.
2. La proposición ante la Dirección General de proyectos o programas
relacionados con la sistematización de productos y procesos de la
Dirección de Desarrollo
Institucional
Subdirección de
Planificación Institucional
Subdirección de
Normatividad y Procesos
Subdirección de
Tecnología
Unidad de Presupuesto
Unidad de Historia Laboral
Unidad de Gestión de Proyectos
Unidad de Planificación
Unidad de Normatividad
Unidad de Procesos
Unidad de Desarrollo
Unidad de Producción
Unidad de Infraestructura Tecnológica
Dirección de Desarrollo
Institucional
Subdirección de
Planificación Institucional
Subdirección de
Normatividad y Procesos
Subdirección de
Tecnología
Unidad de Presupuesto
Unidad de Historia Laboral
Unidad de Gestión de Proyectos
Unidad de Planificación
Unidad de Normatividad
Unidad de Procesos
Unidad de Desarrollo
Unidad de Producción
Unidad de Infraestructura Tecnológica
122
Institución; y la dirección y supervisión de los proyectos que fueren
aprobados.
3. La aplicación estricta de las normas legales y procedimientos vigentes,
relacionados con la administración de los recursos humanos.
4. El conocimiento y despacho oportuno de los asuntos de competencia
del área de gestión, sometidos a consideración de la Dirección de
Desarrollo Institucional, dentro de los plazos que señala la Ley.
5. La presentación a la Dirección General, de los informes de rendición
de cuentas, sobre el cumplimiento de sus actividades.
3.6.7.2. Dependencias de la Dirección de Desarrollo
Institucional
La Dirección de Desarrollo Institucional tiene a su cargo: la Subdirección de
Planificación Institucional, la Subdirección de Procesos y Normatividad, la
Subdirección de Tecnología y Unidad de Presupuesto, Unidad de Historia Laboral.
123
3.6.7.3. Competencia de la Subdirección de Planificación
Institucional
La Subdirección de Planificación Institucional es la encargada de la
Planificación Estratégica Institucional, su evaluación y control, apoyada en las
herramientas metodológicas y tecnológicas pertinentes; así como también la
formulación y coordinación de la ejecución de los proyectos y programas de
mejoramiento y desarrollo de la Institución, derivados de la planificación
referida.
3.6.7.4. Responsabilidades de la Subdirección de
Planificación Institucional.
1. El cumplimiento de actividades y gestiones atinentes a la elaboración
de términos de referencia y bases de contratación de consultorías y
asesorías especializadas en su ámbito de acción.
2. La dirección de los grupos profesionales, de consultoría y asesoría
especializada, determinados por la Dirección General, para el estudio
de las reformas a los programas de seguros sociales y la optimización
de la organización y funcionamiento del Instituto.
124
3. La supervisión y validación del cumplimiento del Plan Estratégico
Institucional y los correspondientes Planes Operativos Anuales, en
coordinación con los órganos y dependencias de la Institución, y la
Unidad de la Planificación.
4. La validación y perfeccionamiento del concepto desarrollado en los
productos y procesos, para alcanzar la optimización en el otorgamiento
de las prestaciones y servicios de la Institución.
5. Direccionamiento estratégico y operativo de las Unidades de
Planificación y Gestión de Proyectos.
3.6.7.5. Dependencias de la Subdirección de Planificación
La Subdirección de Planificación Institucional tiene a su cargo: la Unidad de
Planificación y la Unidad de Gestión de Proyectos.
(a) Responsabilidades de la Unidad de Planificación.-
1. La formulación del Plan Estratégico Institucional, en coordinación con
los órganos y dependencias de la Institución.
125
2. La evaluación técnico económica, sistemática y periódica, de la
gestión Institucional, en cuanto al cumplimiento del Plan Estratégico
Institucional y sus planes operativos; así como la elaboración del
informe de evaluación sobre el cumplimiento del mismo.
3. La conceptualización de los productos y servicios del Instituto, para
alcanzar la optimización en el otorgamiento de las prestaciones y
servicios de la Institución, así como el control y evaluación de sus
resultados, de conformidad con los planes y programas aprobados por
el Consejo Directivo.
4. Análisis y diseño del sistema de control de gestión institucional.
(b) Responsabilidades de la Unidad de Gestión de Proyectos.-
1. La evaluación, seguimiento y control del desarrollo de todos los
programas y proyectos, derivados de la planificación estratégica y
operativa de la institución.
2. El registro, control y archivo de la documentación sobre el avance y
resultados de los proyectos a su cargo.
126
3. Construcción, implementación y administración del sistema de control
de gestión institucional.
3.6.7.6. Competencia de la Subdirección de Procesos y
Normatividad.
La Subdirección de Procesos y Normatividad es la encargada de establecer el
marco normativo en todos los ámbitos de acción institucional, así como el esquema
de gestión organizacional por procesos, en concordancia con el marco Estratégico
Institucional.
3.6.7.7. Responsabilidades de la Subdirección de Procesos y
Normatividad
1. El cumplimiento de actividades y gestiones atinentes a la elaboración
de términos de referencia y bases de contratación de consultorías y
asesorías especializadas en su ámbito de acción.
2. La validación y perfeccionamiento de la normativa y procesos
desarrollados, para alcanzar la optimización en el otorgamiento de las
127
prestaciones y servicios de la Institución, así como en la
administración y operación institucional.
3. Direccionamiento estratégico y operativo de la Unidad de
Normatividad y la Unidad de Procesos.
4. Las demás que, por la naturaleza de sus procesos, le asigne el Director
de Desarrollo Institucional. Normatividad
3.6.7.8. Dependencias de la Subdirección de Normatividad y
Procesos.
La Subdirección de Normatividad y Procesos tiene a su cargo: la Unidad de
Normatividad y la Unidad de Procesos.
(a) Responsabilidades de la Unidad de Normatividad.-
1. Elaborar, actualizar y/o derogar las políticas, normas, procedimientos,
manuales, instructivos y formularios en general, que regulen el
funcionamiento de las Dependencias y Entidades del Instituto,
orientados a la estructuración de un sistema institucional de gestión de
calidad.
128
2. Realizar de manera adecuada y oportuna actividades de promoción,
investigación y divulgación de la normatividad y sus respectivos
manuales, aprobados y autorizados por la autoridad competente, en
coordinación con la Unidad de Capacitación correspondiente.
3. La evaluación de la aplicación de la normatividad vigente en el
contexto institucional, a través de un proceso de evaluación
programado, y efectuar propuestas para el mejoramiento de su gestión.
4. Asesorar a las unidades o departamentos, que lo solicitan en la
interpretación y aplicación de procedimientos y técnicas
administrativas; coordinándose con cada una de ellas e implantando
nuevos y mejores sistemas de gestión y establecer conjuntamente, los
proyectos de creación o modificación de alguna norma en general.
5. Estudio, bibliografía y documentación sobre temas de normatividad y
procesos.
6. La preparación y presentación de los estudios técnicos para la revisión
y actualización de los reglamentos, instructivos y manuales
relacionados con los procesos administrativos de la Institución.
129
7. La preparación de estudios técnicos y la definición de los
procedimientos para la contratación de servicios profesionales,
tendientes a obtener la certificación de calidad de los distintos
procesos y productos de la Institución;
(b) Responsabilidades de la Unidad de Procesos.-
1. Realización de estudios, diagnóstico y análisis de la estructura,
funcionamiento y de costeo de los procesos de la organización y en
especial, los de afiliación, aseguramiento y entrega de prestaciones, a
fin de diseñar mejores esquemas organizacionales y de gestión
orientados a un mejoramiento continúo de la Institución, permitiendo
desarrollar con mayor eficiencia y productividad las actividades de los
funcionarios y empleados.
2. Diseño de los procesos mediante los cuales se elaboran y aplican las
regulaciones que norman la actividad Institucional.
3. Estudio, bibliografía y documentación sobre temas de normatividad y
procesos.
4. Realizar conjuntamente con el área de tecnología el análisis de
130
procedimientos susceptibles de automatización.
3.6.7.9. Competencia de la Subdirección de Tecnología.
La Subdirección de Tecnología es la encargada de la planificación,
normatividad, programación, organización, gestión, control y evaluación de la
plataforma tecnológica y de los servicios que esta brinda, derivados de la
planificación estratégica institucional referida.
3.6.7.10. Responsabilidades de la Subdirección de
Tecnología.
La Subdirección de Tecnología tiene las siguientes responsabilidades:
1. La planificación, programación, organización, gestión, control y
evaluación de la plataforma tecnológica y de los servicios informáticos
del Instituto.
2. La formulación y entrega oportuna, de la proforma presupuestaria
consolidada anual de los servicios informáticos, con base en los
requerimientos de cada una de las dependencias del Instituto.
131
3. Establecimiento del un sistema de administración y soporte técnico de
la plataforma institucional en el ámbito nacional, a través de
encargados responsables de las actividades correspondientes, y
mecanismos acordes con el fin del servicio que debe prestar la
plataforma tecnológica en referencia.
4. El establecimiento y uso de sistemas de información confiables y de
sistemas apropiados de documentación y archivo de registros,
informes y documentos de las actividades a cargo de esta
Subdirección.
5. La presentación, por órgano regular, al Director General, del Informe
Anual sobre el cumplimiento del Plan Estratégico Informático,
aprobado por el Consejo Directivo, y sobre la efectividad y costo de
los servicios proporcionados.
6. Las demás que, por la naturaleza de sus procesos, le asigne el Director
de Desarrollo Institucional.
3.6.7.11. Dependencias de la Subdirección de Tecnología.
132
La Subdirección de Tecnología tiene a su cargo: la Unidad de Desarrollo, la
Unidad de Producción y la Unidad de Implementación Tecnológica.
(a) Responsabilidades de la Unidad de desarrollo.
1. La asistencia técnica para el desarrollo e implantación de sistemas
automatizados en los procesos institucionales.
2. El establecimiento de la normatividad técnica para el desarrollo de las
herramientas informáticas que demande la Institución, así como la
elaboración de manuales técnicos correspondientes, y su aplicación en
el ámbito de gestión.
3. La preparación de las especificaciones técnicas, de los documentos
precontractuales y la asistencia técnica a los Titulares o encargados de
las Direcciones, para la adquisición y/o desarrollo de herramientas de
software relativas a la razón de ser del Instituto,
4. El establecimiento y uso de sistemas de información confiables y de
sistemas apropiados de documentación y archivo de registros,
informes y documentos de las actividades a cargo de esta Unidad ;
133
(b) Responsabilidades de la Unidad de Producción.
1. La coordinación de la operación y mantenimiento de los centros de
cómputo, las redes de comunicación de datos y las bases de datos, a
escala nacional.
2. El establecimiento de la normatividad técnica para la administración
de la plataforma tecnológica institucional, así como la elaboración de
los manuales técnicos correspondientes, y su aplicación.
3. La preparación de las especificaciones técnicas, de los documentos
precontractuales y la asistencia técnica a los Titulares o encargados de
las Direcciones, para la adquisición y/o arrendamiento de hardware,
software para la administración y operación de la plataforma
tecnológica, licencias, instalación, mantenimiento y soporte técnico.
4. La preparación de los planes para provisión de insumos, materiales de
trabajo, accesorios y repuestos necesarios para el funcionamiento y
mantenimiento de los equipos e instalaciones de cómputo y la
supervisión de su cumplimiento.
5. El establecimiento y uso de sistemas de información confiables y de
134
sistemas apropiados de documentación y archivo de registros,
informes y documentos de las actividades a cargo de esta Unidad
(c) Responsabilidades de la Unidad de Infraestructura Tecnológica
1. La conceptualización de la infraestructura tecnológica y de los
servicios informáticos de uso general en la Institución, en coordinación
con la Subdirección de Planificación Institucional.
2. La elaboración de los proyectos de implementación de infraestructura
tecnológica, de cada una de las dependencias del Instituto.
3. La implementación de la infraestructura tecnológica, en las
dependencias de la institución.
4. La elaboración de especificaciones técnicas de la infraestructura
tecnológica de la institución.
5. El análisis de las innovaciones tecnológicas, a fin de incorporar nuevas
tendencias al Instituto.
6. El apoyo a los procesos de adquisición, en la etapa de calificación de
135
ofertas, de equipamiento informático y/o de telecomunicaciones
especializado, que se lleven adelante en las dependencias del Instituto.
7. Las tareas de coordinación con las demás unidades de la Subdirección
de Tecnología, que permita cumplir con los objetivos del plan
estratégico.
8. El establecimiento y uso de sistemas de información confiables y de
sistemas apropiados de documentación y archivo de registros,
informes y documentos de las actividades a cargo de esta Unidad;
3.6.7.12. Competencia de la Unidad de Presupuesto.
La unidad de Presupuesto es la encargada de la planificación y ejecución
presupuestaria de todos los proyectos y procesos a cargo de la Dirección de
Desarrollo Institucional, así como también la administración del inventario del
equipamiento tecnológico institucional.
3.6.7.13. Responsabilidades de la Unidad de Presupuesto.
136
La elaboración de la proforma presupuestaria anual, en base a las actividades
previstas en los sub-proyectos de modernización institucional, a cargo de la Dirección
de Desarrollo Institucional.
1. La elaboración del plan anual de adquisiciones (paquetes de
adquisición, en coordinación con los distintos sub-proyectos al interior
del Proyecto de Modernización del IESS, a cargo de la Dirección de
Desarrollo Institucional).
2. La solicitud de transferencia de los recursos presupuestarios del IESS
al PNUD.
3. El registro de los recursos presupuestarios transferidos al PNUD, por
sub-proyecto y por seguros / unidades de negocio.
4. La verificación de la emisión de los pagos por contratos y
adquisiciones de bienes o servicios del Proyecto de Modernización del
IESS, con cargo a las respectivas líneas presupuestarias que maneja el
PNUD.
5. La participación en las evaluaciones del Comité de Adquisiciones del
PNUD, conformadas para la compra de bienes o servicios, además del
apoyo requerido para los procesos de licitación implementados.
6. La consolidación mensual de la ejecución presupuestaria, en base al
reporte de gastos que emite el PNUD y su homologación con las
partidas presupuestarias que maneja el IESS.
137
7. La emisión de reportes mensuales de gasto por sub-proyecto y por
seguros / unidades de negocio.
8. La liquidación anual del presupuesto ejecutado por el Proyecto de
Modernización del IESS, para el levantamiento de los cargos
presupuestarios.
9. El establecimiento del sistema de inventario de hardware y software
del Proyecto de Modernización / Instituto, su consolidación a escala
nacional, con el detalle de las características técnicas, proveedor,
forma de contratación, garantías y otra información del estado y uso de
los productos;
3.6.7.14. Competencia de la Unidad de Historia Laboral.
La Unidad de Historia Laboral es la encargada de desarrollar la
conceptualización de los productos y servicios institucionales, en coordinación con
las subdirecciones de planificación y Normatividad y Procesos, así como la
administración de la operación de los mismos, en el ámbito nacional.
3.6.7.15. Responsabilidades de la Unidad de Historia
Laboral.
138
1. Desarrollar la conceptualización de los productos y servicios
institucionales, en coordinación con la Subdirección de Planificación,
aplicando criterios de eficacia, eficiencia y altos niveles de calidad.
2. Supervisión y apoyo al desarrollo de la normatividad y procesos que
rigen el desempeño de los productos y servicios institucionales.
3. La verificación del cumplimiento en lo relativo a la aplicación de la
normativa vigente, por parte de las herramientas tecnológicas
desarrolladas e implementadas que permiten realizar la prestación de
los diferentes servicios institucionales.
4. La difusión y capacitación en el uso de las herramientas tecnológicas
institucionales, en afán de la utilización adecuada y óptima de las
mismas.
5. Realizar la validación de la funcionalidad pertinente y conveniente de
todas las herramientas tecnológicas institucionales.
6. Conformar el sistema de servicio al cliente interno y externo de la
institución.
139
3.6.8. Esquema de Funcionalidad de los Proyectos
Los proyectos en el IESS funciona de la siguiente manera, pasando siempre
por la Dirección de Desarrollo Institucional.
Figura 6: Esquema de Funcionalidad de los Proyectos.
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de desarrollo Institucional IESS
3.6.9. Unidad de Producción
El área de producción es la encargada de realizar que el proceso diario se
encuentre en correcto funcionamiento tiene a su cargo las siguientes áreas.
140
Figura 7: Organigrama de Producción
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
3.6.9.1. Área de Seguridades
El área de seguridades tiene las siguientes responsabilidades.
1. Administración de usuarios: esta actividad se refiere a la
implementación de seguridades en lo que se refiere a dominios de
Windows y creación de perfiles de usuario para permisos a la base
de datos y a los sistemas operativos. Las tareas a cumplirse en este
aspecto son:
141
2. Configurar seguridad para usuarios Windows
3. Configurar usuarios para Oracle y Sun
4. Instalación y configuración del Sistema Detector de Intrusos (IDS),
consiste en la implementación del sistema que detecta intrusos de
Cisco para el Internet y el IDS de ISS para la Intranet. Esto
permite detectar los intentos de ataques a la red para prevenir
daños a la integridad de la información y tomar acciones para
evitarlas.
5. Instalación y configuración Cisco IDS
6. Reemplazo ISS RealSecure.
7. Pruebas de funcionamiento Cisco IDS.
8. Instalación y configuración ISS IDS.
9. Pruebas de funcionamiento ISS IDS
10. Un complemento del sistema de seguridad es la configuración del
Firewall. Para proteger la red interna de los accesos desde Internet,
e implementarlo para el acceso desde Internet esto se lo logra a
través de.
� Instalación y configuración del firewall
� Configuración de equipos de seguridad.
� Pruebas de funcionamiento.
� Definición políticas firewall
11. Instalación de nuevos ambientes de SUN Solaris: todos los
142
servidores se cambiarán a plataforma Sun Solaris por lo que el
ingreso de los nuevos servidores a la red y el cambio de los
mismos a servidores web y de aplicaciones para pruebas y
producción ocasionará que se rediseñe la administración de
usuarios a través de dominios, reconfiguración de los firewalls y
los IDS.
12. Administración de usuarios.
13. Instalación Sistema Detector de Intrusos.
14. Reconfiguración Firewall
15. Pruebas de seguridades: existen actualmente en el mercado
herramientas que comprueban la existencia de huecos de seguridad
y de vulnerabilidades en los servidores, por ello se analizarán las
debilidades de nuestro sistema con el fin de aplicar los cambios
respectivos a cada uno de ellos.
16. Pruebas de vulnerabilidades
17. Al concluir con todas las actividades descritas anteriormente el
sistema de seguridad del Centro de Cómputo del IESS estará a la
vanguardia de las necesidades.
3.6.9.2. Área de Servidores
Esta área es la que se encarga de la administración y del correcto
143
funcionamiento de los diferentes aplicativos que presta el IESS para su empleados,
funcionarios y empleadores, de los servidores, tanto en producción como en el área de
desarrollo dentro de las funciones tenemos las siguientes:
1. Adecuaciones del centro de cómputo: debido a que se realizarán
trabajos físicos en las dos salas, para proteger a los equipos se
trasladarán a otro lugar todos los servidores y equipos de
comunicación así como las estaciones de trabajo. Previo a este
trabajo se debe adecuar el lugar donde se laborará durante la
ejecución de los trabajos físicos con puntos de red y tomas de
energía eléctrica.
2. Capacitación: se elaborará un plan de capacitación en lo referente a
Solaris y Oracle como requerimiento indispensable para la
configuración de los nuevos servidores.
3. Administración de usuarios de los servidores
4. Configuración de los servidores de aplicaciones.
5. Instalación del sistema operativo Windows, Linux y Solaris.
6. Reestructuración de los servidores de aplicaciones.
7. Migración al Application Server al 10 g
8. Actualizaciones de las aplicaciones.
9. Cambio en el Bios de cada uno de los servidores.
10. Respaldos de backup de datos y S.O de todos los servidores de
producción.
144
11. Habilitar servidores para el departamento de desarrollo.
12. Dar soporte a los funcionarios, desarrolladores y afiliados.
13. Monitorear el rendimiento de los servidores.
14. Eliminación de cargas enviados a los servidores de aplicaciones
por parte de los usuarios del sistema.
15. Tares de Web Master.
16. Configuración de file system en cada uno de los servidores
17. Pruebas de rendimiento y desempeño equipos de pruebas
18. Configuración de servicios DNS, Correo.
19. Administración de rutas en los servidores.
20. Administración de tares de cront en todos los servidores de
aplicaciones
21. Aplicación de parches y manejo de versiones en los servidores de
aplicaciones.
3.6.9.3. Diagrama de los servidores
Como se muestra en la figura 6 es el esquema de tres capas que maneja el
Instituto Ecuatoriano de Seguridad Social, en la primera parte contamos con dos
balanceadores: el uno se encarga de balancear la carga de Intranet y el otro lo que
respecta al Internet.
145
En segundo plano tenemos 4 servidores en la parte Web distribuidos en la
siguiente:
1. Dos servidores atiende en la parte de intranet.
2. Dos en la parte de Internet
Para ingresar a estos servidores el usuario tiene que ingresar la dirección
http://www.iess.gov.ec
Como tercer plano están los servidores de aplicaciones, estos servidores tienen
los diferentes aplicativos que cuenta el IESS, y sirve para atender a funcionarios,
afiliados y empleadores.
Como tercera y última capa se encuentran los diferentes servidores de Bases
de datos.
De acuerdo a esta distribución se debe de tomar muy en cuenta al momento de
obtener los diferentes respaldos, puesto que el área más crítica y donde se encuentra
la información más importante, está en los servidores de base de datos, luego tenemos
los diferentes servidores de aplicaciones, para terminar con los servidores Web. Cabe
recalcar que el orden esta dado de acuerdo a la información que manejan dichos
servidores.
146
Diagrama de los Servidores
Figura 8: Diagrama de Distribución de los Servidores
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
3.6.9.4. Servicios on-line del IESS
El Instituto Ecuatoriano de Seguridad social tiene varios servicios en línea, el
más importante y se puede decir que es la columna vertebral es el módulo de Historia
Laboral; este módulo es utilizado por, funcionaros de la institución, afiliados y
147
empleadores.
El módulo de historia laboral se considera el más crítico del resto de módulos
ya que a través de este módulo se realizan las recaudaciones que realiza el IESS a los
empleadores.
Otro de los módulos que tiene el IESS es el de fondos de reserva que como es
de conocimiento público, este módulo es utilizado para que los afiliados puedan
registrar sus retiros de fondos de reserva, también cuenta con el módulo de préstamos
Quirografarios, cuentas bancarias, supervivencia, cada uno de estos módulos son
accedidos por los afiliados vía Internet y sirven para brindar varios servicios que
tienen la Institución.
3.6.9.5. Diagrama de Almacenamiento de los servidores
En la Figura 8 se muestra como se encuentran distribuidos los equipos de
acuerdo al almacenamiento, como se puede observar y debido a la gran cantidad de
información que maneja el IESS requiere un equipo con la capacidad de 8 T,
distribuidos a todos los servidores que se encuentran los servidores.
Cabe recalcar y como se muestra la grafica del equipo de almacenamiento
SUN se conecta al robot, el mismo que se encargará de realizar los respaldos de la
data al igual de la información que se encuentre en cada uno de los discos del equipo
148
SUN.
Este equipo SUN se encuentra estructurado de tal manera que sus discos se
encuentran conectados a través de fibra óptica, esto nos sirve para mejorar el I/O
entre los discos y el servidor de base de datos.
Figura 9: Diagrama de Almacenamiento de los Servidores
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
3.6.9.6. Área de Redes
1. Administración de la Red LAN.
149
2. Administración de la intranet a nivel nacional.
3. Administración de la infraestructura de switchs (vlans) y cableado
estructurado.
4. Instalación y configuración de las redes LAN con los siguientes
servicios de red: DHCP, DNS, File Servers y Controlador de
Dominio.
5. Administración de la red WAN.
6. Monitoreo de los enlaces de comunicaciones a nivel nacional.
7. Configuración y administración de equipos de comunicaciones
(Inet Servers y Ruteadores).
8. Implementación de redes WAN a nivel nacional.
9. Generación de proyectos de infraestructura básica para diferentes
dependencias del IESS
10. Soporte Técnico a usuarios internos de la institución a nivel
nacional.
El IESS cuenta con los servicios de la empresa Brightcell que es la encargada
de establecer la comunicación a nivel nacional, utiliza redes físicas de fibra óptica y
cobre en las principales áreas metropolitanas del país. En las zonas rurales provee el
servicio de Transmisión de Datos e Internet a través de tecnología inalámbrica,
satelital y de radio, según se requiera.
150
Así también, desde su Centro de Operaciones (NOC) en Quito, realiza el
monitoreo y control de toda su red a nivel nacional, con un servicio activo las 24
horas del día, 7 días a la semana, los 365 días del año.
Diagrama de la Comunicación
Figura 10: Diagrama de Comunicación entre Quito, Guayaquil y Cuenca
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
Cuenca
Guayaquil
Quito
BRIGHTCELL
151
3.6.9.7. Diagrama de Red de IESS
Figura 11: Esquema de la Red
Fuente: Dirección de Desarrollo Institucional IESS
Elaborado por: Dirección de Desarrollo Institucional IESS
En la figura 11 se muestra como se realiza el monitoreo de las redes, en este
se puede determinar cuándo una ciudad no se encuentra operando con normalidad,
este también nos permite determinar el trafico de los paquetes, la rapidez de entrega y
se puede realizar conexiones en los diferentes nodos para determinar que todo se
encuentre en perfecto funcionamiento.
152
3.6.9.8. Área de Base de Datos
1. Soporte técnico en el área de Base de Datos.
2. Ejecución y monitoreo de procesos automáticos.
3. Control de espacio en los servidores.
4. Instalación y configuración de Base de Datos Oracle.
5. Administración, Asignación de Recursos, Seguridad de las bases
de datos de Producción, Migración, Capacitación, Pruebas,
Repositorio y JDE.
6. Automatización respaldos de RRHH en estructuras, estadísticas y
dmps.
7. Procesos de Respaldo y Recuperación de Base de Datos.
8. Administración proceso de aplicación de parches sobre las bases
de datos.
9. Cambios en scripts de ejecución de parches para fondos de reserva.
10. Parametrización de tabla para replicación de datos producción a
migración.
11. Cambios en scripts de ejecución para replicación de datos
producción a migración.
12. Instalación y configuración de Oracle Client 9i área fondos de
reserva.
13. Ejecución de scripts de anulación de comprobantes auto cancelado.
153
14. Monitoreo de sesiones de base de datos de producción y fondos de
reserva.
15. Control y asignación de espacios para datafiles de bases de datos.
16. Solución de errores presentados al importar base de datos de
RRHH.
17. Soporte en el traslado al nuevo centro de cómputo para el IESS.
18. Respaldos de archives de RRHH, producción y migración.
3.6.9.9. Área de Soporte
El área de soporte tienen las siguientes funciones:
1. Instalación y configuración de estaciones de trabajo
2. Soporte técnico a usuarios del Proyecto de Modernización del IESS.
3. Soporte técnico a Funcionarios del IESS.
4. Instalación y configuración de impresoras locales.
5. Instalación y configuración de impresoras en red
6. Creación y mantenimiento de cuentas de usuario.
7. Instalación de Antivirus.
8. Revisión y eliminación de Virus Informáticos.
9. Soporte técnico vía telefónica a Funcionarios y Afiliados
154
3.7. GESTIÓN DE ACTIVOS
De acuerdo a la norma este control nos permitirá tener claro que información será
la que se respaldará, cual es el responsable de dicha información y sobre todo definir
si se sacará un respaldo total o parcial de la misma y sobre todo si esta sufre cambios
a diario y cuál es la gravedad.
- Inventario de activos: todos aquellos activos de información que tienen algún
valor para la organización y que quedan dentro del alcance del SGSI.
Primero definamos lo que es un activo, para el IESS un activo es algo que
tiene valor o utilidad cada activo necesita ser protegido ya que ellos nos garantizan la
continuidad de la organización.
Cada uno de los activos debe estar identificado apropiadamente y valorado. La
ISO clasifica a los activos de la siguiente manera:
1. Activos de Información: Son las base de datos y archivos de
datos, documentación del sistema, manuales de usuario, material
de entrenamiento, procedimiento de operativos de apoyo, planes de
continuidad.
2. Documentos Impresos: Documentos impresos, contratos,
lineamientos, documentos de la institución, documentos que
155
contiene resultados importantes de negocios.
3. Activos de Software: Software de aplicación, software de
sistemas, herramientas de desarrollo.
4. Activos Físicos: Equipos de comunicación y computación, medios
magnéticos, otros equipos técnicos.
5. Personas: Personal, clientes, suscriptores.
6. Imagen y Reputación de la Compañía.
7. Servicios: Servicios de computación y comunicaciones, otro
servicios técnicos.
- Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del
inventario.
Como se explicó en temas anteriores lo más importante para toda organización
son sus activos, y es por ello que se encuentran siempre sujetos a amenazas. Una
amenaza es capaz de causar daño a toda organización pues ocasiona incidentes no
deseados, el cual puede ocasionar daño al sistema y sobre todo a los activos. El daño
se puede dar por varias vías ya sea directamente es decir dañar los datos o
indirectamente pude darse daños a la infraestructura.
Las amenazas pueden originarse de fuentes accidentales o de manera
deliberada, para que una amenaza pueda dañar un activo debería explotar la
vulnerabilidad del sistema, aplicativo o servicio.
156
Las vulnerabilidades son debilidades asociadas con los activos
organizacionales. Las debilidades pueden ser explotadas por las amenazas, causando
incidentes no deseados que ocasionarían pérdidas, daños o deterioro a los activos. La
vulnerabilidad como tal, no causa daño, es simplemente una condición o conjuntos de
condiciones que pueden permitir que una amenaza afecte a un activo.
Una evaluación de la posibilidad de ocurrencia de la vulnerabilidad y las
amenazas, deben ser efectuadas en esta fase.
1. Todos los activos de información del IESS tienen un propietario.
2. Cada propietario clasificará la información dentro de uno de los niveles
sensitivos (que se mencionan abajo), que dependen de obligaciones
legales, costos, políticas institucionales y necesidades del negocio. El
propietario es responsable por la protección de esta información.
3. El propietario definirá cuales usuarios pueden acceder a sus datos.
4. El propietario es responsable de sus datos.
5. La seguridad de los mismos tiene que estar de acuerdo al nivel de
sensitividad.
3.8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
3.8.1. Seguridad en la definición del trabajo y los recursos
157
Asegurar que los empleados, contratistas y usuarios de terceras partes
entiendan sus responsabilidades y sean aptos para las funciones que
desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
Las responsabilidades de la seguridad se deberían definir antes de la contratación
laboral mediante la descripción adecuada del trabajo y los términos y condiciones del
empleo.
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras
partes se deberían seleccionar adecuadamente, especialmente para los trabajos
sensibles.
Los empleados, contratistas y usuarios de terceras partes de los servicios de
procesamiento de la información deberían firmar un acuerdo sobre sus funciones
y responsabilidades con relación a la seguridad.
3.8.1.1. Inclusión de la seguridad en las responsabilidades
laborales.
Se define y se documenta los roles y responsabilidades de la seguridad de los
empleados, contratistas y terceros en concordancia con la política de seguridad de la
información de la organización.
158
3.8.1.2. Selección y política de personal.
Se deben realizar revisiones de verificación de antecedentes de los candidatos
al empleo, contratistas y terceros y en concordancia con las regulaciones, ética y leyes
relevantes y deben ser proporcionales a los requerimientos del negocio, la
clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.
3.8.1.3. Términos y condiciones de la relación laboral.
Como parte de su obligación contractual, empleados, contratistas y terceros
deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual
establecerá sus obligaciones y las obligaciones de la organización para la seguridad
de información.
3.8.2. Seguridad en el desempeño de las funciones del empleo
En este control se asegura que los empleados, contratistas y terceras partes son
conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y
que están equipados para cumplir con la política de seguridad de la organización en
el desempeño de sus labores diarias, para reducir el riesgo asociado a los errores
humanos.
159
A todos los usuarios empleados, contratistas y terceras personas se les debería
proporcionar un adecuado nivel de concienciación, educación y capacitación en
procedimientos de seguridad y en el uso correcto de los medios disponibles para el
procesamiento de la información con objeto de minimizar los posibles riesgos de
seguridad.
Se debe establecer un proceso disciplinario normal para gestionar las brechas en
seguridad.
3.8.2.1. Supervisión de las obligaciones
En este control la Dirección debería requerir a empleados, contratistas y
usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los
procedimientos establecidos de la organización.
3.8.2.2. Formación y capacitación en seguridad de la información
Todos los empleados de la organización y donde sea relevante, contratistas y
usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y
actualizaciones regulares en políticas y procedimientos organizacionales como sean
relevantes para la función de su trabajo.
160
3.8.2.3. Procedimiento disciplinario
Debería existir un proceso formal disciplinario para empleados que produzcan
brechas en la seguridad.
3.8.3. Finalización o cambio del puesto de trabajo
Garantizar que los empleados, contratistas y terceras personas abandonan la
organización o cambian de empleo de forma organizada.
Se deberían establecer las responsabilidades para asegurar que el abandono de
la organización por parte de los empleados, contratistas o terceras personas se
controla, que se devuelve todo el equipamiento y se eliminan completamente todos
los derechos de acceso.
3.8.3.1. Cese de responsabilidades
Las responsabilidades para ejecutar la finalización de un empleo o el cambio
de éste deberían estar claramente definidas y asignadas.
161
3.8.3.2. Restitución de activos
Todos los empleados, contratistas y terceros deberían devolver todos los
activos de la organización que estén en su posesión a la finalización de su empleo,
contrato o acuerdo.
El proceso de finalización debería estar formalizado para incluir el retorno
previo de los software, documentos corporativos y equipos.
Otros activos de la organización como dispositivos móviles de computo,
tarjetas de crédito, tarjetas de acceso, manuales, software e información guardada en
medios electrónicos, también necesitan ser devueltos.
En casos donde el empleado, contratista o tercero compra el equipo de la
organización o usa su propio equipo, se debería seguir procedimientos para asegurar
que toda la información relevante es transferida a la organización y borrado con
seguridad del equipo.
En casos donde un empleado, contratista o tercero tiene conocimiento que es
importante para las operaciones en curso, esa información debe ser documentada y
transferida a la organización.
162
3.8.3.3. Cancelación de permisos de acceso
Se deberían retirar los derechos de acceso para todos los empleados,
contratistas o usuarios de terceros a la información y a las instalaciones del
procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser
revisada en caso de cambio.
Tras la finalización, se deberían reconsiderar los derechos de acceso de un
individuo a los activos asociados con los sistemas de información y a los servicios.
Esto determinara si es necesario retirar los derechos de acceso.
Los cambios en un empleo deberían reflejarse en la retirada de todos los
derechos de acceso que no sean aprobados para el nuevo empleo.
Los derechos de acceso deberían ser retirados o adaptados, incluyendo acceso
físico y lógico, llaves, tarjetas de identificación, instalaciones del proceso de
información, subscripciones y retirada de cualquier documentación que los identifica
como un miembro actual de la organización.
Si un empleado, contratista o usuario de tercero saliente ha sabido contraseñas
para activos restantes de las cuentas, deberían ser cambiadas hasta la finalización o
cambio del empleo, contrato o acuerdo.
163
Los derechos de acceso para activos de información y equipos se deberían
reducir o retirar antes que el empleo termine o cambie, dependiendo de la evaluación
de los factores de riesgo como:
a) si la finalización o cambio es iniciado por el empleado, contratista o usuario de
tercero, o por la gerencia y la razón de la finalización;
b) las responsabilidades actuales del empleado u otro usuario;
c) el valor de los activos a los que se accede actualmente.
Información adicional:
En ciertas circunstancias los derechos de acceso pueden ser asignados en base
a la disponibilidad hacia más personas que el empleado, contratista o usuario de
tercero saliente.
En estas circunstancias, los individuos salientes deberían ser removidos de
cualquier lista de grupos de acceso y se deben realizar arreglos para advertir a los
demás empleados, contratistas y usuarios de terceros involucrados de no compartir
esta información con la persona saliente.
En casos de gerencia terminada, contrariedad con los empleados, contratistas
o usuarios de terceros pueden llevar a corromper información deliberadamente o a
sabotear las instalaciones del procesamiento de información.
164
En casos de renuncia de personal, estos pueden ser tentados a recolectar
información para usos futuros.
3.9. SEGURIDAD FÍSICA Y AMBIENTAL
3.9.1. Áreas Seguras
Una política de seguridad física debe existir para detallar las medidas a tomar
para proteger los edificios de desastres como: inundaciones, incendios, explosiones,
terremotos, apagones, robos. Considerar el control del acceso, seguridades del centro
de cómputo y los gabinetes del cableado.
Deben definirse las siguientes zonas:
1. Zona 1: Área abierta al público.
2. Zona 2: Área no abierta al público, abierta solo para el personal
de la institución.
3. Zona 3: Áreas protegidas, Solamente accesibles con una
identificación, acceso estrictamente restringido.
165
3.9.1.1. Perímetro de seguridad física
Los perímetros de seguridad (como paredes, tarjetas de control de entrada a
puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas
que contengan información y recursos para su procesamiento.
3.9.1.2. Controles físicos de entrada
Las áreas de seguridad deberían estar protegidas por controles de entrada
adecuados que garanticen el acceso únicamente al personal autorizado.
3.9.1.3. Seguridades de oficinas, despachos y recursos
Se debería asignar y aplicar la seguridad física para oficinas, despachos y
recursos.
3.9.2.4. Protección contra amenazas externas y del entorno
Se debería designar y aplicar medidas de protección física contra incendio,
inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o
humano.
166
3.9.2.5. El trabajo en áreas seguras
Se debería diseñar y aplicar protección física y pautas para trabajar en las
áreas seguras.
3.9.2.6. Áreas aisladas de carga y descarga
Se deberían controlar las áreas de carga y descarga con objeto de evitar
accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de
la información.
3.9.2. Seguridad de los equipos
Evitar la pérdida, daño, robo o puesta en peligro de los activos e interrupción
de las actividades de la organización.
Deberían protegerse los equipos contra las amenazas físicas y ambientales. La
protección del equipo es necesaria para reducir el riesgo de acceso no autorizado a la
información y su protección contra pérdida o robo. Así mismo, se debería considerar
la ubicación y eliminación de los equipos.
167
Se podrían requerir controles especiales para la protección contra amenazas
físicas y para salvaguardar servicios de apoyo como energía eléctrica e
infraestructura del cableado.
3.9.2.1. Instalación y protección de equipos
El equipo debería situarse y protegerse para reducir el riesgo de
materialización de las amenazas del entorno, así como las oportunidades de acceso no
autorizado.
3.9.2.2. Suministro eléctrico
Se deberían proteger los equipos contra fallos en el suministro de energía u
otras anomalías eléctricas en los equipos de apoyo.
3.9.2.3. Seguridad del cableado
Se debería proteger el cableado de energía y de telecomunicaciones que
transporten datos o soporten servicios de información contra posibles interceptaciones
o daños.
168
3.9.2.4. Mantenimiento de equipos
Se deberían mantener adecuadamente los equipos para garantizar su continua
disponibilidad e integridad.
3.9.2.5. Seguridad de equipos fuera de los locales de la
Organización
Se debería aplicar seguridad a los equipos que se encuentran fuera de los
locales de la organización considerando los diversos riesgos a los que están
expuestos.
3.9.2.6. Seguridad en la reutilización o eliminación de equipos
Debería revisarse cualquier elemento del equipo que contenga dispositivos de
almacenamiento con el fin de garantizar que cualquier dato sensible y software con
licencia se haya eliminado o sobrescrito con seguridad antes de la eliminación.
3.9.2.7. Traslado de activos
No deberían sacarse equipos, información o software fuera del local sin una
autorización.
169
3.10. GESTIÓN DE COMUNICACIONES Y OPERACIONES
Define las políticas y procedimientos para asegurar la correcta
operación de las instalaciones de procesamiento (servidores y equipos de
comunicación). Los objetivos de esta sección se pueden enumerar como sigue:
Asegurar la protección y el funcionamiento correcto de las
instalaciones de procesamiento de la información.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la información.
Conservar la integridad y disponibilidad del procesamiento y
transmisión de la información.
Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
Evitar daños a los recursos de información e interrupciones en las
actividades de la compañía.
3.10.1. Procedimiento y responsabilidad de operación
Objetivo: Asegurar la operación correcta y segura de los recursos de
tratamiento de información.
170
Principios: Se deberían establecer responsabilidades y procedimientos para la
gestión y operación de todos los recursos para el tratamiento de la información.
Esto incluye el desarrollo de instrucciones apropiadas de operación y de
procedimientos de respuesta ante incidencias.
Se implantará la segregación de tareas, cuando sea adecuado, para reducir el
riesgo de un mal uso del sistema deliberado o por negligencia.
3.10.1.1. Documentación de procedimientos operativos
Se deberían documentar y mantener los procedimientos de operación y
ponerlos a disposición de todos los usuarios que lo necesiten.
3.10.1.2. Control de cambios operacionales
Se deberían controlar los cambios en los sistemas y en los recursos de
tratamiento de la información.
171
3.10.1.3. Segregación de tareas
Se deberían segregar las tareas y las áreas de responsabilidad con el fin de reducir
las oportunidades de una modificación no autorizada o no intencionada, o el de un
mal uso de los activos de la organización.
3.10.1.4. Separación de los recursos para desarrollo y
producción
La separación de los recursos para el desarrollo, prueba y producción es
importante para reducir los riesgos de un acceso no autorizado o de cambios al
sistema operacional.
3.10.2. Supervisión de los servicios contratados a terceros
Implementar y mantener un nivel apropiado de seguridad de la información y de
la prestación del servicio en línea con los acuerdos de prestación del servicio por
terceros.
La organización debería verificar la implementación de acuerdos, el monitoreo de
su cumplimiento y gestión de los cambios con el fin de asegurar que los servicios que
se ser prestan cumplen con todos los requerimientos acordados con los terceros.
172
3.10.2.1. Prestación de servicios
Se debería garantizar que los controles de seguridad, definiciones de servicio
y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean
implementados, operados y mantenidos por la parte externa.
3.10.2.2. Monitorización y revisión de los servicios contratados
Los servicios, informes y registros suministrados por terceros deberían ser
monitoreados y revisados regularmente, y las auditorias se deberían realizar a
intervalos regulares.
3.10.2.3. Gestión de los cambios en los servicios contratados
Se deberían gestionar los cambios en la provisión del servicio, incluyendo
mantenimiento y mejoras en las políticas de seguridad de información existentes, en
los procedimientos y los controles teniendo en cuenta la importancia de los sistemas y
procesos del negocio involucrados, así como la reevaluación de los riesgos.
173
3.10.3. Planificación y aceptación del sistema
Se requiere una planificación y preparación avanzadas para garantizar la
adecuada capacidad y recursos con objeto de mantener la disponibilidad de los
sistemas requerida.
Deberían realizarse proyecciones de los requisitos de capacidad en el futuro
para reducir el riesgo de sobrecarga de los sistemas.
Se deberían establecer, documentar y probar, antes de su aceptación, los
requisitos operacionales de los nuevos sistemas.
3.10.3.1. Planificación de capacidades
Se debería monitorizar el uso de recursos, así como de las proyecciones de los
requisitos de las capacidades adecuadas para el futuro con objeto de asegurar el
funcionamiento requerido del sistema.
3.10.3.2. Aceptación del sistema
Se deberían establecer criterios de aceptación para nuevos sistemas de
información, actualizaciones y versiones nuevas. Se deberían desarrollar las pruebas
adecuadas del sistema durante el desarrollo y antes de su aceptación.
174
3.10.4. Protección contra software malicioso y código móvil
Objetivo: Proteger la integridad del software y de la información
Principio: Se requieren ciertas precauciones para prevenir y detectar la introducción
de código malicioso y códigos móviles no autorizados.
El software y los recursos de tratamiento de información son vulnerables a la
introducción de software malicioso como virus informáticos, gusanos de la red,
caballos de troya y bombas lógicas.
Los usuarios deberían conocer los peligros que puede ocasionar el software
malicioso o no autorizado y los administradores deberían introducir controles y
medidas especiales para detectar o evitar su introducción.
1. El software de dominio público se evitará en los sistemas de información
clasificada como confidencial. Sin embargo, cuando sea necesario, solo
será permitido luego de que el software este en uso por al menos un año en
sistemas comparables en otras (bien conocidas y confiables) compañías y
el software ha sido rigurosamente probado en un ambiente protegido.
2. El software de dominio público puede usarse en los sistemas de
información clasificada como pública o interna, si el administrador del
sistema responsable por la instalación está convencido de la integridad del
autor o de las fuentes.
175
3. El software no licenciado no debe ser usado.
4. Los programas de juegos no son permitidos en las estaciones de trabajo de
los usuarios.
3.10.4.1. Medidas y controles contra software malicioso
Se deberían implantar controles de detección, prevención y recuperación
contra el software malicioso, junto a procedimientos adecuados para la
concienciación de los usuarios.
3.10.4.2. Medidas y controles contra código móvil
Cuando se autoriza la utilización de código móvil, la configuración debería
asegurar que dicho código móvil opera de acuerdo a una política de seguridad
definida y se debería evitar la ejecución de los códigos móviles no autorizados.
3.10.5. Gestión interna de soportes y recuperación
Objetivo: Mantener la integridad y la disponibilidad de los servicios de tratamiento de
información y comunicación.
176
Principios: Se deberían establecer procedimientos rutinarios para conseguir la
estrategia aceptada de respaldo para realizar copias de seguridad y probar su puntual
recuperación.
3.10.5.1. Recuperación de la información
Se deberían hacer regularmente copias de seguridad de toda la información
esencial del negocio y del software, de acuerdo con la política acordada de
recuperación.
3.10.6. Gestión de redes
Objetivo: Asegurar la protección de la información en las redes y la
protección de su infraestructura de apoyo.
Principios: La gestión de la seguridad de las redes, las cuales pueden cruzar
las fronteras de la organización, exige la atención a los flujos de datos, implicaciones
legales, monitoreo y la protección.
Podrían ser necesarios controles adicionales con el fin de proteger la
información sensible que pasa por las redes públicas.
177
3.10.6.1. Controles de red
Se deberían mantener y controlar adecuadamente las redes para protegerlas de
amenazas y mantener la seguridad en los sistemas y aplicaciones que utilizan las
redes, incluyendo la información en tránsito.
3.10.6.2. Seguridad en los servicios de red
Se deberían identificar e incluir, en cualquier acuerdo sobre servicios de red,
las características de seguridad, los niveles de servicio y los requisitos de gestión de
todos los servicios de red, independientemente de que estos servicios sean provistos
desde la propia organización o se contratan desde el exterior.
Los datos confidenciales transmitidos sobre redes públicas deben ser
encriptadas.
3.10.7. Utilización y seguridad de los soportes de información
Objetivo: Evitar la divulgación, modificación, retirada o destrucción de
activos no autorizada e interrupciones en las actividades de la organización.
Principios: Los medios deberían ser controlados y físicamente protegidos.
178
Se deberían establecer los procedimientos operativos adecuados para proteger
los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y
documentación del sistema contra la divulgación, modificación, retirada o destrucción
de activos no autorizadas.
3.10.7.1. Gestión de soportes extraíbles
Se deberían establecer procedimientos para la gestión de los medios
informáticos removibles.
3.10.7.2. Eliminación de soportes
Se deberían eliminar los medios de forma segura y sin riesgo cuando ya
no sean requeridos, utilizando procedimientos formales.
3.10.7.3. Procedimientos de utilización de la información
Se deberían establecer procedimientos para la manipulación y
almacenamiento de la información con el objeto de proteger esta información contra
divulgaciones o usos no autorizados o inadecuados.
179
3.10.7.4. Seguridad de la documentación de sistemas
Se debería proteger la documentación de los sistemas contra accesos no autorizados.
3.10.8. Intercambio de información y software
Objetivo: Mantener la seguridad de la información y del software que se
intercambian dentro de la organización o con cualquier entidad externa.
Principios: Se deberían realizar los intercambios sobre la base de una política
formal de intercambio, según los acuerdos de intercambio y cumplir con la
legislación correspondiente (consultar cláusula 15).
Se deberían establecer procedimientos y normas para proteger la información
y los medios físicos que contienen información en tránsito.
3.10.8.1. Políticas y procedimientos de intercambio de información
Se deberían establecer políticas, procedimientos y controles formales de
intercambio con objeto de proteger la información mediante el uso de todo tipo de
servicios de comunicación.
180
3.10.8.2. Acuerdos de intercambio
Se deberían establecer acuerdos para el intercambio de información y software
entre la organización y las partes externas.
3.10.8.3. Soportes físicos en tránsito
Se deberían proteger los medios que contienen información contra acceso no
autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de
la organización.
3.10.8.4. Mensajería electrónica
Se debería proteger adecuadamente la información contenida en la mensajería
electrónica.
1. Los usuarios deben estar al tanto de que los sistemas de correo electrónico
convencionales a menudo no garantizan privacidad. En muchos sistemas
el administrador del sistema puede leer todos los correos electrónicos.
2. La información clasificada como interna puede enviarse dentro de la
compañía sin encripción. La información clasificada como confidencial
debe ser encriptada. La información clasificada como secreta no puede ser
181
transmitida vía correo electrónico.
3. Solo la información pública y la información específicamente orientada
para proyectos con entidades externas puede ser enviada por correo
electrónico, fuera de la institución.
4. Los usuarios deben estar al tanto de los riesgos de abrir documentos con
macros, archivos postscript, y programas de instalación recibidos vía
correo electrónico.
5. Debe considerarse un esquema que permita la autenticación del
emisor/receptor de información clasificada como confidencial. Por
ejemplo, uso de firmas digitales.
3.10.8.5. Sistemas de información empresariales
Se deberían desarrollar e implementar políticas y procedimientos con el fin de
proteger la información asociada con la interconexión de sistemas de información del
negocio.
182
3.10.9. Servicios de comercio electrónico
Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y de
su uso seguro.
Principios: Se deberían considerar las implicaciones de seguridad asociadas
con el uso de servicios de comercio electrónico, incluyendo transacciones en línea y
los requisitos para los controles.
La integridad y disponibilidad de la información electrónica publicada a través
de sistemas disponibles de publicidad deberían ser también consideradas.
3.10.9.1. Seguridad en comercio electrónico
Se debería proteger la información involucrada en el comercio electrónico que
pasa por redes públicas contra actividades fraudulentas, disputas por contratos y
divulgación o modificación no autorizadas.
3.10.9.2. Seguridad en transacciones en línea
Se debería proteger la información implicada en las transacciones en
línea para prevenir la transmisión incompleta, enrutamiento equivocado, alteración,
divulgación, duplicación o repetición no autorizada del mensaje.
183
3.10.9.3. Seguridad en información pública
Se debería proteger la integridad de la información que pone a disposición en
un sistema de acceso público para prevenir modificaciones no autorizadas.
3.10.10. Monitorización
Objetivo: Detectar actividades de procesamiento de la información no
autorizadas.
Principios: Los sistemas deberían ser monitoreados y los eventos de la
seguridad de información registrados. El registro de los operadores y el registro de
fallos debería ser usado para garantizar la identificación de los problemas del sistema
de información.
La organización debería cumplir con todos los requerimientos legales
aplicables para el monitoreo y el registro de actividades.
El monitoreo del sistema debería ser utilizado para verificar la efectividad de
los controles adoptados y para verificar la conformidad del modelo de política de
acceso.
184
3.10.10.1. Registro de incidencias
Se deberían producir y mantener durante un periodo establecido los registros
de auditoría con la grabación de las actividades de los usuarios, excepciones y
eventos de la seguridad de información, con el fin de facilitar las investigaciones
futuras y el monitoreo de los controles de acceso.
3.10.10.2. Supervisión del uso de los sistemas
Se deberían establecer procedimientos para el uso del monitoreo de las
instalación de procesamiento de información y revisar regularmente los resultados de
las actividades de monitoreo.
3.10.10.3. Protección de los registros de incidencias
Se deberían proteger los servicios y la información de registro de la actividad
contra acciones forzosas o accesos no autorizados.
3.10.10.4. Diarios de operación del administrador y operador
Se deberían registrar las actividades del administrador y de los operadores del
sistema.
185
3.10.10.5. Registro de fallos
Se deberían registrar, analizar y tomar acciones apropiadas de las averías. Se
enfoca las contingencias relacionadas con fallas menores que se suscitan en el normal
funcionamiento de la Red de Información al igual de los servidores tanto de
producción como para el área de desarrollo.
La ocurrencia de fallos en la red, puede darse en alguno de los componentes
de la misma, a saber:
1. Equipos y enlaces de Comunicaciones
2. Acceso a Internet.
3. Servidores de red.
4. Estaciones de trabajo.
5. Equipos de Impresión
El fallo de un componente, es factible ser focalizado de manera precisa, dado
que a cada uno de ellos le corresponde brindar un servicio, el mismo que en caso de
ocurrencia de errores, deniega el servicio para el cual fue implementado.
1. Equipos y enlace de comunicaciones
La ocurrencia de fallos en los equipos suele suceder cuando los estos no se
186
detectan entre si y fallos en enlaces puede ocurrir al no poder acceder a aplicaciones
de los servidores.
Fallas.
1. Equipos remotos no pueden acceder a aplicaciones de los servidores.
2. Los equipos de monitoreo no detectan a los equipos remotos.
Acciones a Tomar.
1 Asegúrese que los equipos de comunicaciones están encendidos (Router,
FRAD).
2 Ejecute el comando ping en el Promt del sistema, a fin de verificar
comunicación con la interfase LAN:
En Primer lugar verificamos que el puerto LAN del firewall de Intranet se
encuentre activo y la comunicación con este esté en buen estado, para lo cual
ejecutamos el comando:
1 ping puerto LAN del Firewall.
En caso de no tener respuesta afirmativa verificar cables de comunicación y/o
comunicarse con el área de seguridades a fin de verificar estado del firewall. Si la
respuesta es afirmativa, se debe comprobar que la comunicación con el router esté
activa, esto se hace con los siguientes comandos:
187
1 ping para el caso del router de Quito.
2 ping para el caso del router de Ambato.
3 ping para el caso del router de Latacunga.
4 ping para el caso del router de Ibarra.
5 ping para el caso del router de Manta.
6 ping para el caso del router de Otavalo.
7 ping para el caso del router de Loja.
En caso de no tener resultados positivos verifique cable de conexión del router
al Firewall.
Ejecute el comando ping en el Promt del sistema, a fin de verificar
comunicación con la interfase WAN del router de Intranet.
8 ping para el caso de Quito.
9 ping para el caso del Hospital de Ambato.
10 ping para el caso de Latacunga.
11 ping para el caso de Otavalo.
12 ping para el caso de Ibarra.
13 ping para el caso de Manta.
14 ping para el caso de Loja.
188
Si existe resultados positivos tanto en la interfase LAN como en la WAN del
router local, realizar el mismo procedimiento para el router remoto, utilizando los
comandos siguientes:
15 ping router de Regional Ambato.
16 ping router del Hospital de Ambato.
17 ping router de Latacunga.
18 ping router de Otavalo.
19 ping router de Ibarra.
20 ping router de Manta.
21 ping router de Loja.
Si no existe resultados positivos al verificar la interface WAN del router, se
debe a otro tipo de fallas, puede ser en el canal de comunicaciones, para lo cual hay
que comunicarse con el proveedor del servicio a fin de tomar los correctivos del caso.
2. Acceso a Internet
Cuando los usuarios tienen dificultad al ingresar a internet suele ocurrir este
tipo de fallas.
189
Fallas.
1. Los usuarios no tienen acceso a Internet.
2. El monitor de Internet reporta fallos.
Acciones a Tomar.
1. Asegúrese que los equipos de comunicaciones para Internet están
encendidos, esto es: router de Internet, radio de Comunicaciones.
2. Verificar que el cable de conexión de la antena al equipo de radio se
encuentre conectado.
3. Verificar estado de los Led´s del equipo de radio, principalmente el de
RADIO FAILE que indica errores en el equipo. Debe estar encendido
únicamente el indicador INPUT1.
4. Desde el prompt del computador PRO04, ejecute telnet al router, con
la finalidad de verificar estado de los puertos de comunicación y del
enlace. Para esto utilice el siguiente comando: telnet servidor de
Internet
Passwords para ingreso como administrador de los diferentes routes, solicitar
al área de seguridades.
De no existir resultados positivos verificar el cable de conexión del router al
190
Switch.
Si la conectividad con el router y el estado del Radio de comunicaciones es el
correcto, se debe contactar con el proveedor del servicio a fin de realizar pruebas y
tomar los correctivos del caso.
3. Servidores de red
Los servicios de red que son proveídos por servidores locales son: DHCP y
DNS
Fallas en Servidor de DHCP.
1. No existe comunicación entre las diferentes máquinas de la red LAN.
2. Ninguna de las estaciones de trabajo tiene asignado una dirección IP.
Acciones a Tomar.
1. Verifique que el equipo servidor esté encendido.
2. Verifique que el equipo servidor esté conectado a la red
3. Verifique que la configuración de acceso a redes, del equipo, se encuentre
bien.
4. Verifique que el servicio de DHCP server se encuentre iniciado.
5. En caso de no tener respuesta positiva con todas estas acciones es
191
necesario verificar configuración ó definitivamente reconfigurar el
servicio.
Fallas en el Servidor de DNS.
Al intentar comunicación con otros equipos, utilizando el nombre de alto
nivel del equipo destino, obtenemos el mensaje de Host no Reconocido.
Acciones a Tomar.
1. Verificar si el equipo servidor de DNS se encuentra encendido.
2. Verificar que el equipo servidor se encuentre conectado a la red.
3. Verificar que la configuración de acceso a redes, del equipo, se encuentre
bien.
4. Verificar que el servicio de DNS server se encuentre iniciado.
5. En caso de no tener respuesta positiva con todas estas acciones es
necesario verificar configuración ó definitivamente reconfigurar el
servicio.
4. Estación de Trabajo
Dado que las estaciones de trabajo son usuarias de todos los servicios de red,
así como de las aplicaciones que se hallan en producción, existe mayor cantidad de
192
parámetros por verificar, tanto en la parte de comunicaciones como de acceso a
aplicaciones.
Fallas en Comunicaciones.
1. No se visualiza ningún computador perteneciente al grupo de trabajo de la
estación.
2. No se tiene asignada una dirección IP.
3. No se tiene respuesta utilizando nombres de alto nivel.
Acciones a Tomar
1. Verificar que patch cord se encuentre conectado a tarjeta de red y al punto
de datos del cableado estructurado.
2. Ejecutar el comando ipconfig en el Promt del sistema, a fin de obtener
información de dirección IP, default gateways, etc.
3. Si no se tiene respuesta positiva al requerimiento anterior, se debe
habilitar en cada uno de los clientes de los servicios la configuración
automática, a fin de obtener estos parámetros de los respectivos
servidores.
4. Habilitar, en la parte de servicios, el DHCP client y el DNS client.
Fallas de Acceso a Aplicaciones.
El browser del Internet Explorer no despliega la aplicación Historia Laboral.
193
Acciones a Tomar.
1. Verificar estado de las comunicaciones tanto de acceso a la red local como
del enlace de comunicaciones, desarrollar los procedimientos 4.2 y 1.2
respectivamente.
2. Verificar configuración del Internet Explorer, haciendo clic derecho en el
icono del IE, utilizar la opción Propiedades de Internet, en la viñeta
conexión verificar que la casilla de configurar una conexión a Internet, no
contenga ninguna cuenta, debe estar habilitado únicamente la opción de
configuración de la Red de Área Local, en esta hay que activar la casilla
de configuración automática.
5. Equipos de Impresión
Fallas de Impresión
1. Al realizar el envío de impresión, a una impresora de red, esta no es
detectada por la máquina origen.
2. No se encuentra ninguna impresora instalada en un computador personal.
3. Es detectada la impresora de red pero no se produce la impresión.
Acciones a Tomar.
1. Verificar que la impresora de red se encuentre encendida.
2. Ejecute el comando ping en el Promt del sistema, a fin de verificar
194
comunicación con la impresora de red: C:\> ping <DIR IP-
IMPRESORA>
3. De no tener resultados positivos verificar el cable de comunicación de la
impresora.
4. Verificar que la impresora tenga disponibilidad de papel.
5. Ejecutar en la impresora una impresión de prueba y de seteo de la
impresora, si la impresora a cambiado sus parámetros de configuración,
volver a realizar la configuración utilizando como procedimiento el
mencionado en el respectivo manual.
6. Verificar que el software de impresión de la impresora local, no haya
cambiado sus parámetros de configuración.
6. Servidores del sistema Historia Laboral
El sistema Historia Laboral está implementado en dos ambientes, Pruebas y
Producción. En cada uno de estos ambientes existen servidores de Base de Datos,
servidores de Aplicaciones y servidores de Web.
Fallas de Acceso a Aplicaciones Historia Laboral
1. Los usuarios nos comunican que no pueden ingresar al aplicativo de
Historia laboral.
195
Acciones a Tomar
1. Se debe conectar desde una estación hacia al servidor de historia laboral
vía telnet.
2. Si no tenemos respuesta del equipo debemos verificar físicamente que el
servidor se encuentra prendido.
3. Luego de verificar que el servidor se encuentra prendido ingresamos vía
consola se debe realizar un ping a la interfaz local del equipo para
verificar que se encuentra levantada, luego realizar un ping a un servidor
que se encuentre en la misma red.
4. Si al momento de realizar el ping a otro servidor no tengo respuesta se
debe comunicar al responsable del área de redes que verifique porque no
se encuentra el servidor en la red.
5. Luego de haber solucionado los pasos anteriores ingresamos al respectivo
servidor con el usuario adecuado del ias.
6. Verificar si el servicio de http está levantado para lo cual se debe realizar
la ejecución del siguiente comando:
dcmctl getstate -v -d
7. Si el servicio de http se encuentra abajo se debe ejecutar el siguiente
comando para levantar el servicio.
dcmctl start -v -d
8. Ingresar al Internet explorar a la dirección http://hl.iess.gov.ec (dirección
de intranet) o http://hl2.iess.gov.ec (dirección de Internet) de acuerdo de
196
donde se nos reportó el daño y verificar si muestra la página de inicio de la
sección.
9. Si ya se muestra la página se debe comunicar a los usuarios que prueben
para ver si ya no existe problemas.
6. Servidos de Base de Datos
La ocurrencia de fallos en estos servidores puede darse a nivel de conexiones
de red, motor de base de datos y/o sistema operativo.
Acciones a Tomar
1. Verificar que el equipo se encuentre encendido.
2. Verificar que se encuentre conectado el cable de red.
3. Desde una estación de trabajo ejecutar el comando ping a la dirección del
servidor que se trate:
4. Si no se obtiene resultados positivos, verificar condiciones del cable de red
y/o configuración del sistema operativo para trabajo en red.
5. Para el caso de sistema operativo. Windows 2000 Server realizar:
Clic derecho en: Entorno de red / Propiedades /
Conexión de Área Local /Propiedades/Protocolo
de Internet (TCP/IP)
Dirección IP 192.168.10.41
197
Máscara 255.255.255.0
Default Gateway (No se necesita definir Default
Gateway)
Servidor DNS 192.168.10.42
6. Para el caso de Sistema Operativo Solaris:
En un terminal ejecutar el comando ifconfig -a, se
despliega información de la configuración de las
interfaces de red. La interfaz de red que se
encuentra habilitada es la eri0. Con los siguientes
valores:
Dirección IP 192.168.10.1
Netmask ffffff00
Para realizar la configuración de la interface, en un
terminal se ejecuta el siguiente comando:
ifconfig eri0 inet 192.168.10.1 netmask
255.255.255.0
Adicionalmente es necesario verificar archivos de configuración que se
encuentran en el directorio /etc, estos son: defaultrouter y defaultname.
198
Mediante la ejecución del comando more defaultrouter, desplegamos
información del default gateway del equipo, para este caso la dirección de defaoult
gateway es 192.168.10.3.
Mediante la ejecución del comando more defaultname, desplegamos
información del dominio del equipo, para este caso el dominio es iess.gov.ec.
En caso de requerirse que se edite estos archivos, lo podemos realizar
utilizando el editor de texto vi, mediante el siguiente comando:
1 vi defaultname y/o vi defaultrouter.
Si la verificación de las interfaces no tiene ningún problema y la
comunicación está funcionando bien, pero no se logra conexión a la Base de Datos, es
necesario verificar parámetros de configuración del motor de base de datos
conjuntamente con el Administrador de Base de Datos.
7. Área de Servidores
Como se dijo en capítulos anteriores el área servidores es la que tiene como
función primordial el mantener las diferentes aplicaciones que presta el Instituto
Ecuatoriano de Seguridad Social (IESS) en perfecto funcionamiento, para lo cual hay
199
que tomar las siguientes directrices en caso de un comportamiento poco normal o
fuera del funcionamiento diario.
Fallas al momento de levantar los servicios de http causada por sesiones muertas
1. Al momento de levantar los servicios del servidor no sube el utilitario http
Acciones a Tomar
1. Ingresar al servidor para corregir el inconveniente encontrado al levantar
el servicio http.
2. Seguidamente con los siguientes comandos matamos las sesiones de java
y http de la manera indicada:
pkill -9 java
pkill -9 httpd
3. Para comprobar que no existen conexiones a la base de datos realizamos el
siguiente comando.
netstat -na|grep IP_BDD |wc -l
4. Al no existir conexiones a la base de datos procedemos a levantar los
servicios.
dcmctl start -v -d
5. Finalmente para verificar el servicio se encuentre en funcionamiento
ingresamos a la página http://hl.iess.gov.ec (dirección de intranet) o
http://hl2.iess.gov.ec (dirección de Internet) de acuerdo a donde se reportó
200
el problema.
Fallas al momento de levantar los servicios de http causadas por espacio en los
discos.
1. Al momento de levantar los servicios de http se presenta el problema de
que no cuenta con el espacio suficiente el servidor de aplicaciones.
Acciones a Tomar
1. Desde el servidor de aplicaciones se debe verificar el espacio que cuenta el
equipo para lo cual se ejecuta el comando.
df -h
2. La raíz debe de contar con el 30% de espacio disponible para que la
aplicación puede funcionar correctamente.
3. Se debe revisar directorios que no deben de estar y proceder a eliminarlos,
pero se tiene que tener mucho cuidado con los directorios o archivos del
sistema operativo los cuales no se debe tocar, estos son los que se
encuentran en /var, /usr, /proc tomar muy en cuenta con el archivo del
core ya que este si se puede eliminar, el comando que nos permite la
eliminación es:
rm -rf nombre del archivo
4. Luego de eliminar archivo y directorios innecesarios se procede a ejecutar
el comando df -h para verificar el espacio en el disco para luego levantar
201
las sesiones.
Fallas al momento de levantar los servicios de http causadas por los logs.
1. Al momento de levantar los servicios de http se presenta el problema de
que los log de la aplicación está lleno.
Acciones a Tomar
1. Desde el servidor de aplicaciones dirigirse al path donde se encuentra
instalado la aplicación APP/Apache/Apache/log con el siguiente comando.
cd /App/ Apache/Apache/log
2. Mover el log que genera la aplicación en este caso el access_log con el
siguiente comando.
mv access_log /path en donde se pondrá el log
3. Cabe recalcar que al momento de mover el log es recomendable cambiar
el nombre o aumentar con la fecha. Ejemplo access20060717_log.
Fallas de file system de los servidores.
1. El servidor no reconoce algún arreglo al momento de iniciar, cuando tuvo
un apagón brusco.
Acciones a Tomar
1. Cuando un servidor no reconoce un arreglo al momento de reiniciar, se
202
queda intentando montar el arreglo hasta que le pide el login de root
2. Luego de haber ingresado el login de root, ingresamos el siguiente
comando.
fsck -y
3. Si no se reparó se debe ingresar el mismo comando pero en vez de la (y)
ingresamos la unidad lógica, esta se la puede tomar del archivo vfstab que
el que utiliza el servidor para montar los diferentes arreglos.
fsck nombre lógico de la unidad
4. Luego de haber reparado el file system nos escribimos el comando para
verificar que todos los arreglos están levantando df -h.
5. Ingresamos el comando exit y el equipo se reinicia sin ningún problema.
Fallas de Acceso a www.iess.gov.ec.
1. Los usuarios nos informan que no pueden ingresar a la dirección
www.iess.gov.ec.
Acciones a Tomar
1. Ingresamos al servidor de intranet o Internet de acuerdo desde donde se
nos comunicó el problema.
2. Comprobamos que los servicios de http estén corriendo con el siguiente
comando.
service httpd status
203
3. Si al comprobar que los servicios están abajo se debe ejecutar el siguiente
comando para levantarlos.
service httpd start
4. Ingresamos desde el Internet Explorer a la dirección www.iess.gov.ec para
ver si nos muestro la página de inicio de sesión.
5. Si luego de realizar el paso anterior no se muestra la página puede ser que
el balanceador de carga no se encuentra balanceando.
6. Realizamos una sesión de telnet a la ip del balanceador.
7. Ingresamos la clave de usuario de telnet.
8. Digitamos en y luego ponemos la clave del balanceador.
9. Ingresamos el comando wr term para mirar si está incluido los dos equipos
web dentro del balanceador debe aparecer lo siguiente.
real IP_SERVIDOR_WEB1:0:0:tcp is
real IP_SERVIDOR_WEB2:0:0:tcp is
10. Si nos aparece en lugar de is está os se debe incluir el equipo que no se
encuentra registrado, con el siguiente comando.
In_service real IP_SERVIDOR_WEB is
11. Para finalizar grabamos con el comando wr mem y listo probamos desde
el Internet Explorer.
Apagar los servidores en caso de fallo en la corriente eléctrica.
1. Suspensión brusca del servicio de corriente eléctrica.
204
Acciones a Tomar
1. Para que la base de datos pueda bajar de una manera rápida se debe de
matar todas las sesiones de los diferentes aplicativos.
2. Bajamos los servicios de todos los servidores de aplicaciones con el
comando dcmctl stop.
3. Matamos todas las sesiones de java y http con el comando pkill -9 java y
pkill -9 httpd en todos los servidores de aplicaciones.
4. Se le informa al DBA que ya no tenemos sesiones para que proceda a
bajar las diferentes bases de datos.
6. Apagamos por completo todos los equipos en las diferentes capas (web,
aplicaciones y base de datos).
3.10.10.6. Sincronización del reloj
Se deberían sincronizar los relojes de todos los sistemas de procesamiento de
información dentro de la organización o en el dominio de seguridad, con una fuente
acordada y exacta de tiempo.
3.11. CONTROL DE ACCESO
Establece la importancia de monitorear y controlar el acceso a la red y
los recursos de aplicación para protegerlos contra los abusos internos e intrusos
externos. Asimismo, establece los diferentes tipos de accesos o privilegios a los
205
recursos informáticos (sistema operativo, aplicaciones, correo electrónico,
Internet, comunicaciones, conexiones remotas, etc.) que requiere cada empleado
de la compañía y el personal externo que brinda servicios, en concordancia con
sus responsabilidades. Esto permitirá identificar y evitar acciones o actividades no
autorizadas, garantizando los servicios informáticos.
3.11.1 Requisitos de negocio para el control de accesos
Se deberían controlar los accesos a la información, los recursos de tratamiento
de la información y los procesos de negocio en base a las necesidades de seguridad y
de negocio de la Organización.
Las regulaciones para el control de los accesos deberían considerar las
políticas de distribución de la información y de autorizaciones.
3.11.1.1. Política de control de accesos
Se debería establecer, documentar y revisar una política de control de accesos
en base a las necesidades de seguridad y de negocio de la Institución.
1. Todos los usuarios deben ser autentificados.
2. Los usuarios deben ser capaces de modificar los datos que les
pertenecen a ellos y solo podrán consultar los datos que
pertenecen a otros usuarios siempre y cuando estos datos estén
clasificados como información pública o interna.
206
3. Se permite el acceso al sistema como administrador
privilegiado solo vía consola o desde las estaciones que él
defina.
4. Se debe controlar el acceso de los usuarios a todos los objetos
en el sistema (archivos, impresoras, dispositivos, bases de
datos, comandos, aplicaciones, etc.).
5. No se permite a los usuarios conocer el acceso otorgado a otros
usuarios.
6. Identificar la información de acuerdo a la clasificación de
sensitividad previamente definida.
7. El sistema debe proveer un control de acceso obligatorio.
8. La asignación de privilegios debe ser hecha por tipo de usuario,
para ello debemos valernos de la definición de roles. Si hay
usuarios con acceso a varias aplicaciones se puede agrupar los
privilegios en roles uno por cada tipo de aplicación.
9. Solo el administrador debe tener la capacidad de conectarse a
los recursos del sistema en modo privilegiado para realizar
tareas administrativas.
3.11.2. Gestión de acceso de usuario
Se deberían establecer procedimientos formales para controlar la asignación
de los permisos de acceso a los sistemas y servicios de información.
207
Los procedimientos deberían cubrir todas la etapas del ciclo de vida del
acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja
cuando ya no sea necesario su acceso a los sistemas y servicios de información.
Se debería prestar especial atención, si fuera oportuno, a la necesidad de
controlar la asignación de permisos de acceso con privilegios que se salten y anulen
la eficacia de los controles del sistema.
3.11.2.1. Registro de usuario
Debería existir un procedimiento formal de alta y baja de usuarios con objeto de
garantizar y cancelar los accesos a todos los sistemas y servicios de información.
3.11.2.2. Gestión de privilegios
Se debería restringir y controlar la asignación y uso de los privilegios.
3.11.2.3. Gestión de contraseña de usuario
Se debería controlar la asignación de contraseñas mediante un proceso de
gestión formal.
208
3.11.2.4. Revisión de los derechos de acceso de los usuarios
El órgano de Dirección debería revisar con regularidad los derechos de acceso
de los usuarios, siguiendo un procedimiento formal.
3.11.3. Responsabilidades del usuario
Objetivo: Impedir el acceso de usuarios no autorizados y el compromiso o
robo de información y recursos para el tratamiento de la información.
Principios: La cooperación de los usuarios autorizados es esencial para una
seguridad efectiva.
Los usuarios deberían ser conscientes de sus responsabilidades en el
mantenimiento de controles de acceso eficaces, en particular respecto al uso de
contraseñas y seguridad en los equipos puestos a su disposición.
Se debería implantar una política para mantener mesas de escritorio y
monitores libres de cualquier información con objeto de reducir el riesgo de accesos
no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de
la información.
3.11.3.1. Uso de contraseña
Se debería exigir a los usuarios el uso de las buenas prácticas de seguridad en la
selección y uso de las contraseñas.
209
1. La identidad de los usuarios sobre el sistema está dada por la
combinación del nombre de usuario y del password.
2. Los passwords deben cumplir los siguientes requerimientos:
Tener una longitud de 8 caracteres.
Tener al menos un carácter numérico, un carácter alfabético
y un carácter especial.
Puede ser una combinación de caracteres numéricos,
alfabéticos y caracteres especiales como:”_&*.”.
No debe ser fácil de recordar. Por ejemplo, no debe ser
igual al nombre del usuario.
Debe ser fácil de digitar rápidamente, para que sea difícil de
mirar por un observador.
Deben ser validados por una rutina de verificación. La
rutina de verificación debe validar que el password cumpla
con los requerimientos mencionados.
3. En la definición de los passwords evitar el uso de:
Nombres como: esposa, padre, canción, amigo, mes, día,
pueblo, mascota
Palabras del diccionario común.
Una serie de letras o números idénticos.
Alguno de los casos anteriores en inverso o con un número
antes o después.
210
Secuencia de palabras obvias, como: “unodos”.
Los dos últimos passwords contenidos en el historial.
4. Para la definición de passwords se sugiere:
Escoger una línea de una canción, poema o cualquier
párrafo y usar solo las primeras letras de un grupo de
palabras.
Juntar pequeñas palabras con un carácter de subrayado
(“_”).
Inventarse un acrónimo (siglas).
5. Para asegurar la privacidad de los passwords, tomar en cuenta las
siguientes guías:
No escribirlo en un lugar visible, o revelarlo por e-mail.
No dé su password a otra persona.
No compartir el password del administrador.
Informarle a los usuarios en detalle del éxito o el peligro de
que su password sea revelado. Un usuario bien educado es
la mejor manera de asegurar buenas opciones de passwords.
El password de acuerdo a su nivel de sensitividad está
clasificado como información secreta.
Los passwords deben ser almacenados en una forma
encriptada. La encriptación debe ser sólida, que resista el
211
forcejeo de la desencripción. Usar un algoritmo de
encripción como DES3.
El password encriptado no debe estar embebido dentro del
software tanto cuanto sea posible.
El sistema debe chequear el contenido del password de
acuerdo a las reglas definidas previamente, antes de aceptar
el password.
El usuario puede cambiar solamente su password.
Proveer una generación automática de un password por
defecto cuando el usuario ingresa por primera vez y
asegurar que sea entregado a su propietario.
Proveer un proceso para que el usuario pueda cambiar su
password en intervalos regulares. Este proceso debe
considerar un nivel adicional de autenticación del usuario.
Proveer un proceso que permita generar un nuevo password
al usuario en caso de olvido, de modo similar a cuando
ingresa por primera vez.
6. En el tiempo de vida de los passwords considerar:
El tiempo máximo de vigencia para los passwords
es de 1 año. El usuario debe tener un período de
gracia de 5 días de tal forma que en éste lapso de
tiempo el usuario pueda cambiar su password. Si
212
no lo hace, entonces su cuenta expirará.
3.11.4. Control de acceso de red
Objetivo: Impedir el acceso no autorizado a los servicios en red.
Principios: Se deberían controlar los accesos a servicios internos y externos
conectados en red.
El acceso de los usuarios a redes y servicios en red no debería comprometer la
seguridad de los servicios en red si se garantizan:
3.11.4.1. Política de uso de los servicios de red
Se debería proveer a los usuarios de los accesos a los servicios para los que
han sido expresamente autorizados a utilizar.
1. Todos los accesos al Internet desde la red de la institución
deben hacerse sobre proxies localizadas en un firewall.
2. Los servicios de configuración por defecto están prohibidos.
3. Todos los usuarios están permitidos a intercambiar correo
electrónico interno.
4. Los usuarios de soporte técnico informático están permitidos a
usar WWW y FTP (sobre proxies). El resto de usuarios
requieren autorización.
213
5. Los departamentos que requieren acceso completo al Internet
para probar nuevos servicios no deben instalar estos servicios
en la red institucional, sino en una red separada, fuera del
firewall.
6. Ningún usuario debe ser capaz de ingresar directamente a los
equipos de firewall.
7. Se prohíbe el acceso por Internet a material ilícito.
8. Integridad
9. Debe chequearse regularmente (cada mes) la exactitud e
integridad de los archivos localizados en los equipos de firewall.
3.11.4.2. Autenticación de usuario para conexiones externas
Se deberían utilizar métodos de autenticación adecuados para el control del acceso
remoto de los usuarios.
3.11.4.3. Autenticación de nodos de la red
Se debería considerar la identificación automática de los equipos como un medio de
autenticación de conexiones procedentes de lugares y equipos específicos.
214
3.11.4.4. Protección a puertos de diagnóstico remoto
Se debería controlar la configuración y el acceso físico y lógico a los puertos de
diagnóstico.
3.11.4.5. Segregación en las redes
Se deberían segregar los grupos de usuarios, servicios y sistemas de información en
las redes.
3.11.4.6. Control de conexión a las redes
En el caso de las redes compartidas, especialmente aquellas que se extienden
más allá de los límites de la propia Organización, se deberían restringir las
competencias de los usuarios para conectarse en red según la política de control de
accesos y necesidad de uso de las aplicaciones de negocio.
3.11.4.7. Control de encaminamiento en la red
Se deberían establecer controles de enrutamiento en las redes para asegurar
que las conexiones de los ordenadores y flujos de información no incumplen la
política de control de accesos a las aplicaciones de negocio.
215
3.11.5. Control de acceso al sistema operativo
Objetivo: Impedir el acceso no autorizado al sistema operativo de los
sistemas.
Principios: Se deberían utilizar las prestaciones de seguridad del sistema
operativo para permitir el acceso exclusivo a los usuarios autorizados.
Las prestaciones deberían ser capaces de:
a) la autenticación de los usuarios autorizados, de acuerdo a la política de control de
accesos definida;
b) registrar los intentos de autenticación correctos y fallidos del sistema;
c) registrar el uso de privilegios especiales del sistema;
d) emitir señales de alarma cuando se violan las políticas de seguridad del sistema;
e) disponer los recursos adecuados para la autenticación;
f) restringir los horarios de conexión de los usuarios cuando sea necesario.
3.11.5.1. Procedimientos de conexión de terminales
Debería controlarse el acceso al sistema operativo mediante procedimientos
seguros de conexión.
216
3.11.5.2. Identificación y autenticación de usuario
Todos los usuarios deberían disponer de un único identificador propio para su
uso personal y exclusivo. Se debería elegir una técnica de autenticación adecuada que
verifique la identidad reclamada por un usuario.
3.11.5.3. Sistema de gestión de contraseñas
Los sistemas de gestión de contraseñas deberían ser interactivos y garantizar
la calidad de las contraseñas.
3.11.5.4. Uso de los servicios del sistema
Se debería restringir y controlar muy de cerca el uso de programas de utilidad
del sistema que pudieran ser capaces de eludir los controles del propio sistema y de
las aplicaciones.
3.11.5.5. Desconexión automática de terminales
Se deberían desconectar las sesiones tras un determinado periodo de
inactividad.
217
3.11.5.6. Limitación del tiempo de conexión
Se deberían utilizar limitaciones en el tiempo de conexión que proporcionen
un nivel de seguridad adicional a las aplicaciones de alto riesgo.
3.11.6. Control de acceso a las aplicaciones
Objetivo: Impedir el acceso no autorizado a la información mantenida por los
sistemas de las aplicaciones.
Principios: Se deberían utilizar dispositivos de seguridad con objeto de
restringir el acceso a las aplicaciones y sus contenidos.
Se debería restringir el acceso lógico a las aplicaciones software y su
información únicamente a usuarios autorizados.
Los sistemas de aplicación deberían:
a) controlar el acceso de los usuarios a la información y funciones de los sistemas de
aplicaciones, en relación a la política de control de accesos definida;
b) proporcionar protección contra accesos no autorizados derivados del uso de
cualquier utilidad, software del sistema operativo y software malicioso que puedan
traspasar o eludir los controles del sistema o de las aplicaciones;
c) no comprometer otros sistemas con los que se compartan recursos de información.
218
3.11.6.1. Restricción de acceso a la información
Se debería restringir el acceso de los usuarios y el personal de mantenimiento
a la información y funciones de los sistemas de aplicaciones, en relación a la política
de control de accesos definida.
3.11.6.2. Aislamiento de sistemas sensibles
Los sistemas sensibles deberían disponer de un entorno informático dedicado
(propio).
3.11.7. Información móvil y tele trabajo
Objetivo: Garantizar la seguridad de la información en el uso de recursos de
informática móvil y teletrabajo.
Principios: La protección exigible debería estar en relación a los riesgos
específicos que ocasionan estas formas específicas de trabajo. En el uso de la
informática móvil deberían considerarse los riesgos de trabajar en entornos
desprotegidos y aplicar la protección conveniente.
En el caso del teletrabajo, la Organización debería aplicar las medidas de
protección al lugar remoto y garantizar que las disposiciones adecuadas estén
disponibles para esta modalidad de trabajo.
219
Se debe proteger, no sólo de los propios equipos informáticos portátiles (es
decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en
ellos.
Por lo general, el valor de la información supera con mucho el del hardware.
Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro
de las instalaciones de la organización tiene su correspondencia en el nivel de
protección de los equipos portátiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc.
"Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el
estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs,
teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo
móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales
de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de
configuraciones seguras, antivirus, firewalls personales, etc.
3.12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
SISTEMAS DE INFORMACIÓN
Establece la necesidad de implantar medidas de seguridad y aplicación de
controles de seguridad en todas las etapas del proceso de desarrollo y mantenimiento
de los sistemas de información. Además, considera los mecanismos de seguridad que
deben implantarse en el proceso de adquisición de todos los sistemas o aplicaciones
220
de la compañía (protección de archivos, programas, base de datos, políticas de
cifrado), para prevenir pérdidas, modificaciones, o eliminación de los datos,
asegurando así la confidencialidad e integridad de la información.
3.12.1. Requisitos de seguridad de los sistemas
Objetivo: Garantizar que la seguridad es parte integral de los sistemas de
información.
Principios: Dentro de los sistemas de información se incluyen los sistemas
operativos, infraestructuras, aplicaciones de negocio, aplicaciones estándar o de uso
generalizado, servicios y aplicaciones desarrolladas por los usuarios.
El diseño e implantación de los sistemas de información que sustentan los
procesos de negocio pueden ser cruciales para la seguridad. Los requisitos de
seguridad deberían ser identificados y consensuados previamente al desarrollo y/o
implantación de los sistemas de información.
Todos los requisitos de seguridad deberían identificarse en la fase de recogida
de requisitos de un proyecto y ser justificados, aceptados y documentados como parte
del proceso completo para un sistema de información.
Esté al tanto de las novedades sobre vulnerabilidades comunes o actuales en
aplicaciones e identifique e implemente las medidas protectoras o defensivas
apropiadas.
221
3.12.1.1. Análisis y especificación de los requisitos de seguridad
Las demandas de nuevos sistemas de información para el negocio o mejoras
de los sistemas ya existentes deberían especificar los requisitos de los controles de
seguridad.
3.12.2. Seguridad de las aplicaciones del sistema
Objetivo: Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de
la información en las aplicaciones.
Se deberían diseñar controles apropiados en las propias aplicaciones, incluidas
las desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de
la información. Estos controles deberían incluir la validación de los datos de entrada,
el tratamiento interno y los datos de salida.
Podrían ser requeridos controles adicionales para los sistemas que procesan o
tienen algún efecto en activos de información de carácter sensible, valioso o crítico.
Dichos controles deberían ser determinados en función de los requisitos de seguridad
y la estimación del riesgo.
Siempre que sea posible, se debe utilizar librerías y funciones estándar para
necesidades corrientes como validación de datos de entrada, restricciones de rango y
tipo, integridad referencial, etc.
222
Desarrollar y usar herramientas y habilidades de prueba automatizadas y
manuales, para comprobar cuestiones habituales como desbordamientos de memoria,
inyección SQL, etc.
3.12.2.1. Validación de los datos de entrada
Se deberían validar los datos de entrada utilizados por las aplicaciones para
garantizar que estos datos son correctos y apropiados.
3.12.2.2. Control del proceso interno
Se deberían incluir chequeos de validación en las aplicaciones para la
detección de una posible corrupción en la información debida a errores de
procesamiento o de acciones deliberadas.
3.12.2.3. Autenticación de mensajes
Se deberían identificar los requisitos para asegurar la autenticidad y
protección de la integridad del contenido de los mensajes en las aplicaciones, e
identificar e implantar los controles apropiados.
223
3.12.2.4. Validación de los datos de salida
Se deberían validar los datos de salida de las aplicaciones para garantizar que el
procesamiento de la información almacenada es correcto y apropiado a las
circunstancias.
3.12.3. Controles criptográficos
Objetivo: Proteger la confidencialidad, autenticidad o integridad de la
información con la ayuda de técnicas criptográficas.
Principios: Se debería desarrollar una política de uso de controles
criptográficos. Se debería establecer una gestión de claves que de soporte al uso de de
técnicas criptográficas.
3.12.3.1. Política de uso de los controles criptográficos
Se debería desarrollar e implantar una política de uso de controles
criptográficos para la protección de la información.
3.12.3.2. Cifrado
Se debería establecer una gestión de las claves que respalde el uso de las técnicas
criptográficas en la Institución.
3.12.4. Seguridad de los ficheros del sistema
Objetivos: Garantizar la seguridad de los sistemas de ficheros.
224
Principios: Se debería controlar el acceso a los sistemas de ficheros y código
fuente de los programas. Los proyectos TI y las actividades de soporte deberían ser
dirigidos de un modo seguro. Se debería evitar la exposición de datos sensibles en
entornos de prueba.
3.12.4.1. Control del software en explotación
Se deberían establecer procedimientos con objeto de controlar la instalación
de software en sistemas que estén operativos.
3.12.4.2. Protección de los datos de prueba del sistema
Se deberían seleccionar, proteger y controlar cuidadosamente los datos
utilizados para las pruebas.
3.12.4.3. Control de acceso a la librería de programas fuente
Se debería restringir el acceso al código fuente de los programas.
3.12.5. Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software del sistema de aplicaciones y la
información.
Principios: Se deberían controlar estrictamente los entornos de desarrollo de
proyectos y de soporte.
225
Los directivos responsables de los sistemas de aplicaciones deberían ser
también responsables de la seguridad del proyecto o del entorno de soporte. Ellos
deberían garantizar que todas las propuestas de cambio en los sistemas son revisadas
para verificar que no comprometen la seguridad del sistema o del entorno operativo.
3.12.5.1. Procedimientos de control de cambios
Se debería controlar la implantación de cambios mediante la aplicación de
procedimientos formales de control de cambios.
3.12.5.2. Revisión técnica de los cambios en el sistema operativo
Se deberían revisar y probar las aplicaciones críticas de negocio cuando se
realicen cambios en el sistema operativo, con objeto de garantizar que no existen
impactos adversos para las actividades o seguridad de la Organización.
3.12.5.3. Restricciones en los cambios a los paquetes de software
Se debería desaconsejar la modificación de los paquetes de software,
restringiéndose a lo imprescindible y todos los cambios deberían ser estrictamente
controlados.
3.12.5.4. Canales encubiertos y código troyano
Se debería prevenir las posibilidades de fuga de información.
226
3.12.5.5. Desarrollo externalizado del software
Se debería supervisar y monitorizar el desarrollo del software subcontratado
por la Organización.
3.12.6. Gestión de las vulnerabilidades técnicas
Objetivo: Reducir los riesgos originados por la explotación de
vulnerabilidades técnicas publicadas.
Principios: Se debería implantar una gestión de la vulnerabilidad técnica
siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que
confirmen su efectividad.
Se deberían considerar sistemas operativos, así como todas las aplicaciones
que se encuentren en uso.
3.12.6.1. Control de las vulnerabilidades técnicas
Se debería obtener información oportuna sobre la vulnerabilidad técnica de los
sistemas de información que se están utilizando, evaluar la exposición de la
organización ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente
a los riesgos asociados.
227
3.13. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN
Notificación de eventos y puntos débiles de la seguridad de la información;
gestión de incidentes de seguridad de la información y mejoras.
3.13.1. Comunicación de eventos y debilidades en la seguridad de la
información
Objetivo: Garantizar que los eventos y debilidades en la seguridad asociados
con los sistemas de información se comuniquen de modo que se puedan realizar
acciones correctivas oportunas.
Principios: Debería establecerse el informe formal de los eventos y de los
procedimientos de escalada.
Todos los empleados, contratistas y terceros deberían estar al tanto de los
procedimientos para informar de los diferentes tipos de eventos y debilidades que
puedan tener impacto en la seguridad de los activos organizacionales.
Se les debería exigir que informen de cualquier evento o debilidad en la
seguridad de información lo más rápido posible y al punto de contacto designado.
228
3.13.1.1. Comunicación de eventos en seguridad
Se deberían comunicar los eventos en la seguridad de información lo más
rápido posible mediante canales de gestión apropiados.
3.13.1.2. Comunicación de debilidades en seguridad
Todos los empleados, contratistas y terceros que son usuarios de los sistemas
y servicios de información deberían anotar y comunicar cualquier debilidad
observada o sospechada en la seguridad de los mismos.
3.13.1.2. Gestión de incidentes y mejoras en la seguridad de la
información
Objetivo: Garantizar que se aplica un enfoque consistente y eficaz para la
gestión de los incidentes en la seguridad de información.
Principio: Deberían establecerse las responsabilidades y procedimientos para
manejar los eventos y debilidades en la seguridad de información de una manera
efectiva y una vez que hayan sido comunicados.
Se debería aplicar un proceso de mejora continua en respuesta para
monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de
información.
229
Cuando se requieran evidencias, éstas deben ser recogidas para asegurar el
cumplimiento de los requisitos legales.
Las revisiones post-incidente y los casos de estudio para incidentes serios,
tales como fraudes, ilustran los puntos débiles de control, identifican oportunidades
de mejora y conforman por sí mismos un mecanismo eficaz de concienciación en
seguridad.
Número y gravedad de incidentes; evaluaciones de los costes de analizar,
detener y reparar los incidentes y cualquier pérdida tangible o intangible producida.
Porcentaje de incidentes de seguridad que han causado costes por encima de
umbrales aceptables definidos por la dirección.
3.13.2.1. Identificación de responsabilidades y procedimientos
Se deberían establecer las responsabilidades y procedimientos de gestión para
asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de
información.
3.13.2.2. Evaluación de incidentes en seguridad
Debería existir un mecanismo que permitan cuantificar y monitorear los tipos,
volúmenes y costes de los incidentes en la seguridad de información.
230
3.13.2.3. Recogida de pruebas
Cuando una acción de seguimiento contra una persona u organización, después de
un incidente en la seguridad de información, implique acción legal (civil o criminal),
la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la
evidencia establecidas en la jurisdicción relevante.
3.14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Considera el análisis de todos los procesos y recursos críticos del negocio, y
define las acciones y procedimientos a seguir en casos de fallas o interrupción de los
mismos, evitando la pérdida de información y la cancelación de los procesos
productivos del negocio, lo que podría provocar un deterioro de la imagen de la
compañía, una posible pérdida de clientes o incluso una dificultad severa que impida
continuar operando.
3.14.1. Aspectos de la gestión de continuidad del negocio
Objetivo: Reaccionar a la interrupción de actividades del negocio y proteger
sus procesos críticos frente a desastres o grandes fallos de los sistemas de
información.
Principios: Se debería implantar un proceso de gestión de continuidad del
negocio para reducir, a niveles aceptables, la interrupción causada por los desastres y
231
fallos de seguridad (que, por ejemplo, puedan resultar de desastres naturales,
accidentes, fallas de equipos o acciones deliberadas) mediante una combinación de
controles preventivos y de recuperación.
Este proceso debería identificar los procesos críticos de negocio e integrar los
requisitos de gestión de la seguridad de información para la continuidad del negocio
con otros requisitos de continuidad relacionados con dichos aspectos como
operaciones, proveedores de personal, materiales, transporte e instalaciones.
Se deberían analizar las consecuencias de los desastres, fallas de seguridad,
pérdidas de servicio y la disponibilidad del servicio y desarrollar e implantar planes
de contingencia para asegurar que los procesos del negocio se pueden restaurar en los
plazos requeridos las operaciones esenciales.
La seguridad de información debería ser una parte integral del plan general de
continuidad del negocio y de los demás procesos de gestión dentro de la
organización.
La gestión de la continuidad del negocio debería incluir adicionalmente al
proceso de evaluación, controles para la identificación y reducción de riesgos, limitar
las consecuencias de incidencias dañinas y asegurar la reanudación a tiempo de las
operaciones esenciales.
232
3.14.1.1. Continuidad del negocio y análisis de impactos
Se deberían identificar los eventos que puedan causar interrupciones a los
procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y
sus consecuencias para la seguridad de información.
3.14.1.2. Redacción e implantación de planes de continuidad
Se deberían desarrollar e implantar planes de mantenimiento o recuperación
de las operaciones del negocio para asegurar la disponibilidad de la información en el
grado y en las escalas de tiempos requeridos, tras la interrupción o fallo de los
procesos críticos de negocio.
3.14.1.3. Marco de planificación para la continuidad del negocio
Se debería mantener un esquema único de planes de continuidad del negocio
para garantizar que dichos planes son consistentes, para tratar los requisitos de
seguridad y para identificar las prioridades de prueba y mantenimiento.
3.14.1.4. Prueba, mantenimiento y reevaluación de planes de
continuidad
Se deberían probar regularmente los planes de continuidad del negocio para
garantizar su actualización y eficacia.
233
3.15. CONFORMIDAD
Imparte instrucciones a las organizaciones para que verifiquen si el
cumplimiento con la norma técnica ISO 27001, concuerda con otras leyes,
reglamentos, obligaciones contractuales o cualquier requerimiento de seguridad, tales
como propiedad intelectual, auditorias, contrato de servicios, etc. Esta sección
también requiere una revisión a las políticas de seguridad, al cumplimiento y a las
consideraciones técnicas; asimismo, busca garantizar que las políticas de seguridad
sean acordes a la infraestructura tecnológica de la compañía.
3.15.1. Conformidad con los requisitos legales
Objetivo: Evitar incumplimientos de cualquier ley, estatuto, regulación u
obligación contractual y de cualquier requisito de seguridad.
Principios: El diseño, operación, uso y gestión de los sistemas de información
pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales.
Los requisitos legales específicos deberían ser advertidos por los asesores
legales de la organización o por profesionales adecuadamente cualificados.
Los requisitos que marca la legislación cambian de un país a otro y pueden
variar para la información que se genera en un país y se transmite a otro país distinto
(por ej., flujos de datos entre fronteras).
234
3.15.1.1. Identificación de la legislación aplicable
Todos los requisitos estatutarios, de regulación u obligaciones contractuales
relevantes, así como las acciones de la Organización para cumplir con estos
requisitos, deberían ser explícitamente definidos, documentados y actualizados para
cada uno de los sistemas de información y la Organización.
3.15.1.2. Derechos de propiedad intelectual (IPR)
Se deberían implantar procedimientos adecuados que garanticen el
cumplimento de la legislación, regulaciones y requisitos contractuales para el uso de
material con posibles derechos de propiedad intelectual asociados y para el uso de
productos software propietario.
3.15.1.3. Salvaguarda de los registros de la Organización
Los registros importantes se deberían proteger de la pérdida, destrucción y
falsificación, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de
negocio.
3.15.1.4. Protección de datos de carácter personal y de la intimidad
de las personas
Se debería garantizar la protección y privacidad de los datos y según requiera
la legislación, regulaciones y, si fueran aplicables, las cláusulas relevantes
contractuales.
235
3.15.1.5. Evitar mal uso de los dispositivos de tratamiento de la
información
Se debería disuadir a los usuarios del uso de los recursos dedicados al
tratamiento de la información para propósitos no autorizados.
3.15.1.6. Reglamentación de los controles de cifrados
Se deberían utilizar controles cifrados en conformidad con todos acuerdos,
leyes y regulaciones pertinentes.
236
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
1. La seguridad no es un juego y requiere darle la importancia
necesaria, contratando expertos o a una empresa dedicada a ello, ya
que así se evitarán mayores costos operativos, baja de
productividad, pérdida de información y de dinero y se conseguirá
continuidad en el negocio con una máxima seguridad.
2. Las políticas de seguridad ayudarán mantener controlado todos los
activos que maneja el Instituto Ecuatoriano de Seguridad Social.
3. La seguridad de información es el principal activo que tiene el
IESS es por ello que se debe tener mucho cuidado al momento de
realizar los respaldos.
4. La norma ISO 27001 es la más adecuada para aplicar la best
practices en la seguridad de la información en la Dirección de
Desarrollo Institucional.
237
5. El análisis del riesgo determina la probabilidad, ocurrencia de las
amenazas y determinar el impacto potencial en la Institución.
6. El riesgo informático es todo factor que pueda generar una
disminución en la confidencialidad, integridad y disponibilidad en
la Institución.
RECOMENDACIONES
1 Para la aplicación de las políticas de seguridad tenga un mejor
resultado se recomienda el compromiso de todas las personas
involucradas en el proyecto de modernización del IESS.
2 Se recomienda realizar un seguimiento de las políticas
semestralmente, para que sigan manteniéndose acorde a las
necesidades de la empresa.
3 Se recomienda realizar un control del acceso de las personas
que ingresan al centro de cómputo a través de una tarjeta
magnética, para impedir futuros desmanes en el mismo.
4 Se recomienda realizar equipos de almacenamiento trabajo en
238
Guayaquil y Cuenca para almacenamiento de los respaldos.
5 Se recomienda tener muy a la mano las políticas de seguridad
ya que tienen como objetivo principal disminuir el riesgo
informático.
239
ANEXOS
PLANO DATA CENTER IESS
Anexo 1: Plano Data Center IESS
Fuente: Instituto de Seguridad Social, Centro de Cómputo
Elaborado por: Centro de Cómputo IESS
240
BIBLIOGRAFÍA
1. Aldegani, Gustavo, “Seguridad Informática”, Estrategias para proteger
su Información y la de su Empresa, M.p. Ediciones; Cdr edition,
España, Enero 1999.
2. Alvarez Marañon, Gonzalo,” Seguridad Informática para empresas y
particulares”, McGraw-Hill, Madrid - España
3. Álvarez, Pedro Pablo Pérez, “Seguridad de la Información para la
Empresa”.
4. Atkins, Derek, “Security Profesional Reference”, New Riders
Publishing, USA, 1997
5. Fernández Areal, Manuel, “Introducción al Derecho de Información”,
A.T.E., España, 1997
6. Firtman, Sebastian, “Seguridad Informática, Manuales USERS: Las
amenazas y vulnerabilidades más peligrosas”, M.P. Ediciones, España,
Septiembre 2005
241
7. Frisher, Royal, “Seguridad en los sistemas informáticos”, Ediciones
Diaz de Santos, Madrid – España
8. Garfinkel y Gene Spafford, “Seguridad Practica en Unix e Internet
Simson “
9. Gómez, Alvaro, “Enciclopedia de la Seguridad Informática”,
Alfaomega, Madrid, Febrero 2008.
10. Gratton, Pierre, “Protección Informática”, Trillas Ediciones,
México,1998
11. Humphereys, Edward, “Implementing the ISO/IEC 27001 Iformation
Segurity Management System”, Boston, EEUU, Artech House
12. Ing. Wladimir, Información del Instituto de Seguridad Social.
13. Molina Mateos, José María,”Seguridad, Información y Poder: Una
Perspectiva conceptual y jurídica de la criptografía”, Incipid
Ediciones, España, 2007
242
PÁGINAS WEB:
1. http://es.wikipedia.org/wiki/ISO/IEC_27001
2. http://es.wikipedia.org/wiki/seguridadinformatica
3. www.monografias.com/trabajos/seguinfo
4. http://www.worldlingo.com/ma/enwiki/es/FRAD
5. http://www.alegsa.com.ar/Dic/caballo%20de%20troya.php
6. http://docs.sun.com/app/docs/doc/820-2317/z.admin.task-
51?l=es&a=view
7. http://www.computeranddata.com/doc/vendors/sun/solaris/10/Solaris_10_
Doc/common/SUNWesiab/reloc/sun_docs/es/solaris_10/SUNWesiab/SOL
INSTALLADV/p48.html
8. http://www.iso27000.es